Board-Ansicht
Mix-Ansicht- @ alle PC-Experten - Hilfe bei Bootsektorvius - WebDiver, 12.02.2004, 08:23
- Bootsektorvirus sollte es natürlich heißen, sorry - owt (owT) - WebDiver, 12.02.2004, 08:24
- Re: alle PC-Experten sind sicher in de.comp.os.../de.comp.hardware... - BRATMAUS, 12.02.2004, 09:35
- hatte etwas ähnliches - W98 2nd neu intsalliert -geht wieder ohne Datenverlust. - BillyGoatGruff, 12.02.2004, 10:54
- Re: @ alle PC-Experten - Hilfe bei Bootsektorvius - Turon, 12.02.2004, 11:45
- Re: Warst wieder schneller ;-) (owT) - Mr. Smith, 12.02.2004, 12:02
- Re: @ alle PC-Experten - Hilfe bei Bootsektorvius - WebDiver, 12.02.2004, 13:32
- Re: immer diese Hardware - Mr. Smith, 12.02.2004, 11:59
- Re: immer diese Hardware - WebDiver, 12.02.2004, 13:05
- FDISK /MBR - FOX-NEWS, 12.02.2004, 12:53
- aber NICHT bei WiXP! (ntldr) - terminus, 12.02.2004, 15:14
Re: @ alle PC-Experten - Hilfe bei Bootsektorvius
-->>Hallo Board-Gemeinde,
Hallo Stefan:
>ich betreibe meinen PC mit 2 IDE-Festplatten unter Windows XP Pro mit eingeschalteter XP-Firewall und stets aktuellem Virenwächter von AntiVir.
>Vorgestern ließen sich zunehmend einzelne Programme nach Benutzung nicht mehr neu öffnen bis am Ende das Betriebssystem unvermittelt neu bootete und in einer Boot-Schleife festhing. Der Virenwächter hatte ich nicht gemeldet.
Ich habe eine Festplatte, die eines Tages ganz ohne Virenbefall plötzlich um ein Drittel schrumpfte. Es muß nicht unbedingt gleich eine Vireninfektion sein,
doch davon gehe ich in Deinem Falle jedenfalls aus. Es kann aber auch sein, daß die Festplatte den Geist aufgibt - so sicher steht das nicht fest. Die Platte bei mir funktionierte dann jedoch dann irgendwann wieder - allerding nur auf IDE0 mit Einstellung Slave.
>Ich gehe davon aus, dass es sich trotzdem um einen Virus handelt, der die ausführbaren Dateien befällt und zum Schluss die explorer.exe des Betriebssystems kaputt gemacht hat.
Insofern es sich um einen Virus handelt, wird er alle aufgerufenen *.exe`s
Dateien befallen. Ob Explorer als letzter auf die Reihe kommt kann ich nicht sagen - wäre mir zumindest neu.
Wie der Virus in mein System gekommen sein soll, ist mir allerdings unklar.
>Danach habe ich per DOS gebootet und von dort aus das auf der als Slave geschalteten Festplatte befindliche Backup meiner (sauberen) Systempartition vom Stand Ende 12/2003
Das stellst am ehesten im Betrieb fest. Ein Virus kommt nicht einfach so ins System - es wird angeschleppt, mit einer Installation einer neuer Anwendung. Der Virus muß erst einmal aktiv werden, d.h. in den Arbeitsspeicher geladen werden, dann pflanzt er sich auf alle angreifbare *.exe Dateien fort.
zurückgesichert und auch die Systemzeit zurückgestellt (falls datumsabhängige Virusaktivierung), aber die Symptome begannen sofort von neuem. Zusätzlich schien der Zugriff auf einzelne Internetseiten (z.B. Updateseite von Microsoft) verhindert zu werden. Der Komplettscan mit AntiVir brachte allerdings keinen Alarm.
Einfach mal anderen Virenscanner probieren. AVP zum Beispiel ist gelegentlich schneller als Norton. Generell würde ich nur einen von beiden wählen, AVP gefällt mir um einiges besser als der Norton.
>Da der Mist sofort wieder von vorn begann, nehme ich an, dass sich der Virus über den Bootsektor im System gehalten hatte. Oder gibt es andere Möglichkeiten?
Nicht zwangsläufig. Dein Update: hast Du es zum Beispiel offen auf der Festplatte rumliegen? dann ist durchaus möglich, daß irgendeine Datei auf der anderer Festplatte geöffnet wurde, und ebenfalls schon verseucht ist. Für diesen unglücklichen Fall hast Du kein Backup mehr. Mal so ein Tipp am Rande.
Ich habe in aller Regel zwei parallere Systeme laufen. Auch auf zwei Platten.
(allerding Win98). Wenn alles soweit eingerichtet ist, wird jeweils das andere nicht aktive System (je nach dem von welcher Platte du bootest, gepackt und auf separatem Medium abgesichert. Wenn was ist - wird einfach von der CD alles zurückgespielt.
Um die Sache richtig anzugehen, wäre ich für einige Auskünfte zur Funktion und Verbreitungsweise von Bootsektorviren sehr dankbar:
1. Kann auch eine schreibgeschützte Diskette von einem BS-Virus befallen werden?
Kaum möglich: dennoch kann ein möglicher Virus von einer schreibgeschützter Disk gelesen werden, d.h.: er landet im Hauptspeicher und infiziert von dort aus alle Daten.
>2. Wird ein BS-Virus von einer Diskette nur aktiv, wenn von dieser gebootet wird, oder kann er auch aktiviert werden, wenn man diese bei laufendem Betriebssystem nur ins Laufwerk einlegt?
S.o.: Es reicht mitunter nur, daß eine entsprechende Datei geöffnet wird, die bereits infiziert ist. Es ist dabei vollkommen egal also, ob Du ein Medium
neu eingelegt hast und nichts weiter - auch CD-Roms haben ihren Bootsektor. Damit sich die Datenstruktur zeigt, muß bereits von der CD eine Datei gelesen werden.
>3. Kann man den Bootsektor einer Diskette löschen, ohne den Inhalt zu zerstören, ggf. wie?
Kann man nicht. Der Bootsektor enthält alle Partitionierungsdaten der Disk.
Ist der gelöscht, sind zwar immer noch alle Daten vorhanden, auf dem Disk - allerdings muß Dein Betriebssystem eine Anweisung erhalten wo diese liegen - und da keine Partitionstabelle vorliegt, wird er es ohne Weiteres nicht tun.
Hierzu kann man Norton´s Wiederherstellungsprogramme benutzen - aber Garantie dass alles reibungslos verläuft gibt es nicht.
>3. Kann eine CD-RW von einem BS-Virus ohne Starten eines Brennprogramms befallen werden?
Eigentlich kaum wahrscheinlich.
>4. Kann ein BS-Virus von einer als Slave geschalteten Festplatte (enthält eine nicht aktive System- und eine Datenpartition) aus aktiv werden?
Ja - insofern die Festplatte geöffnet wurde und darauf irgendwelche Daten geschrieben oder gelesen wurden. In aller Regel greift aber ein Virus nur einmalig aufgerufene Dateien an - sprich die normalen Viren greifen nur die Daten an die sich im Arbeitsspeicher befinden - diese werden entsprechend umeschrieben und dann auf der Festplatte erneut gespeichert.
Das ist unter Windows eine ganz perverse Eigenschaft - derzeit aber anders nicht machbar, da Windows durch Updates von IE, aber auch Windows, wie auch Office Paketen erneuert wird. Dabei werden häufig Dateien ersetzt. Mitunter ein Grund warum sich unter Windows Viren sehr wohl gut verbreiten können, da das Umschreiben automatisch läuft.
>5. Kann ein BS-Virus von der Master auf die Slave-Festplatte übertragen werden, wenn sich auf der Slave eine nicht aktivierte primäre Systempartition befindet?
Klar kann er das - wie immer - der Virus muß in den Hauptspeicher gelangen (also einmalig gelesen werden) - und von dort greift er alles an, was quasi aktiv im Arbeitsspeicher als *.exe zum Beispiel vorliegt.
>6. Ich befürchte, dass eine komplette Neuinstallation meines Systems erforderlich werden wird. Wie bekomme ich einen BS-Virus dabei sicher weg? Reicht dafür „fdisk /mbr“ und formatieren der Festplatte aus?
Das ist durchaus möglich. Den Bootsektorvirus kannst Du mit der fdisk/mbr
Option loswerden, ich bin in solchen Fällen ziemlich radikal und würde die Platte preformatieren. Geh mal hierzu auf die Seite des Plattenherstellers,
und schaue mal nach, ob er entsprechendes Programm anbietet der die physikalische Löschung ermöglicht (die Platte also quasi auf das fabrikzustand
zurückgeführt wird). Früher hat Seagate entsprechendes Tool angeboten, der auch für alle anderen Hersteller funktioniert hat. Wie das jetzt ist kann ich allerdings nicht sagen.
>7. Gibt es im Internet einen brauchbaren Virenscanner, der sich von Diskette unter DOS starten lässt, ggf. unter welcher seriösen Download-Adresse?
Die am schnellsten reagierenden Firmen sind Kasperskys AVP oder Norton.
Alle anderen Virenscanner sind leider nicht so stark verbreitet, und daher auch
verdienen sie nach meiner Meinung keineswegs näherer Beachtung (in aller Regel).
AVP gefällt mir persönlich besser - allerdings reicht der Norton in aller Regel aus.
>Wäre Euch für gute Tipps und natürlich auch für Einzelantworten sehr dankbar.
>Beste Grüße!
>Stefan
Ich hoffe ich konnte Dir ein wenig helfen. Wie gesagt: ein Virus verbreitet
sich nicht dadurch, daß er irgendwo auf der Festplatte liegt. Er muß einmal in den Hauptspeicher geladen werden, und das kann vollends automatisch erfolgen (beim booten) - die Startsequenz kann sogar in der Registry eingebettet werden, so daß er sofort neugeladen wird, sobald Windows startet. Letztendlich besteht die Möglichkeit auch, daß Du einen Trojaner hast, der sich den Virus dann unbemerkt aus dem Netz holt (rein theoretisch geht das ist aber eher sehr selten). Trojaner werden leider seltener sofort erkannt.
AVP scannt alle Daten übrigens auch nach böswilligen Code, hat dabei aber auch seine Fehlerquote. Sprich: erkennt gelegentlich dort einen Virus wo keiner vorhanden ist.
Daß was ich hier schrieb trifft jedoch auf die sehr böswilligen Viren zu - die meisten Viren sind oftmals harmloser - lassen sich sogar mit einem Virenscanner auch so entfernen.
Gruß.
Thread gesperrtgesamter Thread:
