Supportnet / Forum / Windows98
Virus im Bootsektor
Frage
Habe eine Parity.1 Virenmeldung im Masterbootsektor, das Virenprogramm schaltet sich ab, das Cd Romlaufwerk geht nicht mehr. kann man diesen Bootsektor wieder reparieren?
Antwort 1 von Mickey
Wenn du dir sicher bist die Meldung von einem Virus kommt:
Fahr den Rechner runter und schalte ihn aus.
Warte dann ca. 15-20 Sekunden, bis der Rechner alle Daten aus dem Speicher verloren hat und boote den Rechner mit einer
schreibgeschützten, nicht infizierten Boot-Diskette.
Gib dann folgenden DOS-Befehl ein:
fdisk /mbr
Fdisk erstellt einen neuen Bootsektor und löscht damit den Virus.
Schalte den Rechner nach der Eingabe des Befehls sofort ab, um eine Neuinfizierung zu verhindern und warte wieder 15 sec. bis zum Neustart ( Diskette entfernen ).
Gruss,
Mic
Fahr den Rechner runter und schalte ihn aus.
Warte dann ca. 15-20 Sekunden, bis der Rechner alle Daten aus dem Speicher verloren hat und boote den Rechner mit einer
schreibgeschützten, nicht infizierten Boot-Diskette.
Gib dann folgenden DOS-Befehl ein:
fdisk /mbr
Fdisk erstellt einen neuen Bootsektor und löscht damit den Virus.
Schalte den Rechner nach der Eingabe des Befehls sofort ab, um eine Neuinfizierung zu verhindern und warte wieder 15 sec. bis zum Neustart ( Diskette entfernen ).
Gruss,
Mic
Antwort 2 von Rodi
Hi.
Definitiv ja.
Allerdings bekommst Du jetzt richtig arbeit. Soviel zum Thema Bootsektorviren sind keine Bedrohung mehr. *g*
Besorge Dir eine sauber Bootfähige Floppy oder CD. Diese muss alle Treiber enthalten und darf die Festplatte keinesfalls ansprechen. Anschliessend startest Du ein aktuelles DOS - Anti Viren Programm. (Von mir aus auch ein Linux Anti Viren Programm). Dieses sollte wenn es die aktuellen Virensignaturen enthält denselben erkennen und auch entfernen können.
Wenn Du eine saubere Bootdisk brauchst, mit einer RAMDrive, dann kann ich Dir meine schicken.
Als Anti Viren Programm kann ich F-Prot empfehlen. Entpacke die Dateien auf mehrere Disketten und kopiere diese auf die RAMDrive. Anschliessend kopierst Du noch die aktuellen Viresignaturen auf die RAMDrive. Programm starten (am besten mit Heuristic) und auf die Meldungen reagieren.
F-Prot bekommt man hier.
Ich hoffe das hilft Dir weiter. ;)
Ich persönlich habe mir mal eine bootfähige CD gebastelt, die eine RAMDrive anlegt. Ausserdem sind Norton Ghost, F-Prot und Lost&Found drauf. So kann ich fast alle möglichen Problemchen abfangen. :)
Gruss @all,
Dirk
Definitiv ja.
Allerdings bekommst Du jetzt richtig arbeit. Soviel zum Thema Bootsektorviren sind keine Bedrohung mehr. *g*
Besorge Dir eine sauber Bootfähige Floppy oder CD. Diese muss alle Treiber enthalten und darf die Festplatte keinesfalls ansprechen. Anschliessend startest Du ein aktuelles DOS - Anti Viren Programm. (Von mir aus auch ein Linux Anti Viren Programm). Dieses sollte wenn es die aktuellen Virensignaturen enthält denselben erkennen und auch entfernen können.
Wenn Du eine saubere Bootdisk brauchst, mit einer RAMDrive, dann kann ich Dir meine schicken.
Als Anti Viren Programm kann ich F-Prot empfehlen. Entpacke die Dateien auf mehrere Disketten und kopiere diese auf die RAMDrive. Anschliessend kopierst Du noch die aktuellen Viresignaturen auf die RAMDrive. Programm starten (am besten mit Heuristic) und auf die Meldungen reagieren.
F-Prot bekommt man hier.
Ich hoffe das hilft Dir weiter. ;)
Ich persönlich habe mir mal eine bootfähige CD gebastelt, die eine RAMDrive anlegt. Ausserdem sind Norton Ghost, F-Prot und Lost&Found drauf. So kann ich fast alle möglichen Problemchen abfangen. :)
Gruss @all,
Dirk
Antwort 3 von Limbius
Wenn du den Parity1 auf deinem PC hast würde ich den Vorschlag von Mickey nicht realisieren. Erfahrungsgemäß (eigene Erfahrungen) geht es in die Hose den MBR mit Fdisk neu zu erstellen und zu hoffen den Virus danach los zu sein. Ich hatte bei einem Virus ähnlicher Signatur vor einigen Jahren nach 2 Tagen das gleiche Problem wieder.
Das einzige was mir damals geholfen hatte war es den MBR komplett zu überschreiben und neu zu erstellen. Dazu habe ich ein sehr kleines Tool namens S0Kill benutzt (SNULLKILL)!!
Sollte der Vorschlag von Rodi nicht weiterhelfen würde ich auf s0kill zurückgreifen !!
Greets
Das einzige was mir damals geholfen hatte war es den MBR komplett zu überschreiben und neu zu erstellen. Dazu habe ich ein sehr kleines Tool namens S0Kill benutzt (SNULLKILL)!!
Sollte der Vorschlag von Rodi nicht weiterhelfen würde ich auf s0kill zurückgreifen !!
Greets
Antwort 4 von BatBuster
bei einem parity1 im mbr genügt natürlich ein "fdisk /mbr" (von einer sauberen boot-disk oder -cd gestartet.....), um den bootsektor wieder sauber zu bekommen. da der virus aber ausserdem die COMMAND.COM befällt, wird der mbr beim nächsten booten wieder infiziert. es ist also notwendig, nach dem "fdisk /mbr" noch ein "sys c:" auszuführen, danach ist ruh ;-) ausserdem sicherheitshalber im bios das floppy aus der bootreihenfolge nehmen, damit ist eine erneute infektion nahezu ausgeschlossen *g*
so long,
BatBuster
so long,
BatBuster
Antwort 5 von 14071
Hi,
@Limbius
also wenn Du schon S0kill empfiehlst, wäre es wenigstens angebracht darauf hinzuweisen, daß damit unwiderbringlich alle Daten auf dieser HDD gelöscht werden.
Gruß
Jürgen
@Limbius
also wenn Du schon S0kill empfiehlst, wäre es wenigstens angebracht darauf hinzuweisen, daß damit unwiderbringlich alle Daten auf dieser HDD gelöscht werden.
Gruß
Jürgen
Antwort 6 von Reinhold
Vielen Dank für eure nette Hilfe, fürchte ich habe jetzt ein wenig Arbeit
Viele Grüße aus Tirol
Viele Grüße aus Tirol
Antwort 7 von Limbius
@lucky : stimmt, den Hinweis hatte ich vergessen !!
@Batbuster : das wußte ich auch noch nicht. Wenn ich das damals gewußt hätte wäre ich sicherlich besser dran gewesen und der Einsatz von S0kill wäre mir erspart geblieben.
Aber bevor hier wieder ein Diskussion über Kompetenz und Inkompetenz entfacht wird entschuldige ich mich einfach mal an dieser Stelle dafür das ich ein Mensch bin und Menschen Fehler machen...
Greets
@Batbuster : das wußte ich auch noch nicht. Wenn ich das damals gewußt hätte wäre ich sicherlich besser dran gewesen und der Einsatz von S0kill wäre mir erspart geblieben.
Aber bevor hier wieder ein Diskussion über Kompetenz und Inkompetenz entfacht wird entschuldige ich mich einfach mal an dieser Stelle dafür das ich ein Mensch bin und Menschen Fehler machen...
Greets
Antwort 8 von 14071
@Limbius
wir machen doch alle mal Fehler ;-) - und hier kann man immer noch mal was dazu lernen.
Aber mein posting sollte nicht auf einen Fehler deinerseits hinweisen, sondern Reinhold (und Stöberer im Archiv) davor bewahren ihre Platte platt zu machen, ohne zu wissen was sie tun.
Gruß
Jürgen
wir machen doch alle mal Fehler ;-) - und hier kann man immer noch mal was dazu lernen.
Aber mein posting sollte nicht auf einen Fehler deinerseits hinweisen, sondern Reinhold (und Stöberer im Archiv) davor bewahren ihre Platte platt zu machen, ohne zu wissen was sie tun.
Gruß
Jürgen
Antwort 9 von Limbius
@lucky: Ich hatte es ja auch nicht als "Angriff" verstanden.
Ich wollte nur nicht das es wieder auf eine Grundsatzdiskussion hinausläuft, so wie es oft genug der Fall ist.
Viele verdammt fähige Leute aus der Zeit, in der ich hier im Supportnet angefangen hatte meiden mittlerweile dieses Board aus eben diesen Gründen.
Ich musste mich damals selbst oft genug "anmachen" lassen weil ich in der Meinung einiger nicht immer richtig geantwortet hatte. Klar kann man darüber hinweg sehen aber wenn es ZU oft wird dann überlegt man sich genau ob man noch "helfen" möchte oder nicht.
Sorry wenn ich gleich so "ausführlich" zu diesem Thema poste aber es gab in letzter einige Leute die vergessen das es ein Merkmal von Meinungen ist das es viele gibt !! Also Sorry nochmal
Greets
Ich wollte nur nicht das es wieder auf eine Grundsatzdiskussion hinausläuft, so wie es oft genug der Fall ist.
Viele verdammt fähige Leute aus der Zeit, in der ich hier im Supportnet angefangen hatte meiden mittlerweile dieses Board aus eben diesen Gründen.
Ich musste mich damals selbst oft genug "anmachen" lassen weil ich in der Meinung einiger nicht immer richtig geantwortet hatte. Klar kann man darüber hinweg sehen aber wenn es ZU oft wird dann überlegt man sich genau ob man noch "helfen" möchte oder nicht.
Sorry wenn ich gleich so "ausführlich" zu diesem Thema poste aber es gab in letzter einige Leute die vergessen das es ein Merkmal von Meinungen ist das es viele gibt !! Also Sorry nochmal
Greets
Antwort 10 von 14071
@Limbius
hast schon Recht. Dein Nick ist mir auch noch aus meinen Anfangstagen ein Begriff. Ist mir auch schon öfter negativ aufgestossen, daß emotionale "Debatten" fast endlose threads zur Folge haben, wogegen fachliche Hilfestellungen nichtmal ein simplen feedback bekommen.
Also mach´s gut, man liest sich mal wieder
Jürgen
hast schon Recht. Dein Nick ist mir auch noch aus meinen Anfangstagen ein Begriff. Ist mir auch schon öfter negativ aufgestossen, daß emotionale "Debatten" fast endlose threads zur Folge haben, wogegen fachliche Hilfestellungen nichtmal ein simplen feedback bekommen.
Also mach´s gut, man liest sich mal wieder
Jürgen
Antwort 11 von Reinhold
An alle Danke noch einmal, konnte das Problem lösen - eine tolle Seite hier für technisch nicht so versierte wie mich!