Bootdatensatz infiziert ...

Bootdatensatz infiziert ... (22 Beiträge, 25 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

gestern hatte ich laut meinem virenscanner (mcafee)einen trojaner, den ich zu beseitigen versuchte.

beim hochfahren des pc kam heute die meldung "bootdatensatz infiziert, säuberung nicht möglich".

löschen wollte ich aber auch nichts und der pc funktioniert (einstweilen)noch normal.

ob die zwei dinge zusammenhängen, kan ich nicht sagen.

was habt ihr für ideen ?

Du hast wohl einen Bootvirus. Ein Trojaner dürfte den Boot Code nicht ändern können.

wie bekomme ich den weg, wenn die datei nicht säuberbar ist ?

löschen ist wohl auch nicht das wahre ..

ausser löschen kenn ich nix?
fdisk/mbr --aber die genaue schreibweise weiß ich nicht!!!!--
und dann mit der startdiskette neu straten viel glück!

Danke
T.

mit einer cleanen bootdisk hochfahren und dann fdisk /mbr im dos ausführen.
oder einen kleinen viren scanner draufspielen und mit dem cleanen.
aucn norton bootCD von sytem works oder antivirus sollte helfen.

wenn ich c scanne, findet mcafee nichts.

warüm ?

habe folgenden artikel (natürlich über google) gefunden:

Bootsektorvirus von der Festplatte entfernen

Fahre Deinen Rechner herunter und schalte ihn komplett aus.
Warte dann ca. 10 Sekunden, bis der Rechner alle Daten aus dem Speicher verliert.
Boote den Rechner mit einer schreibgeschützten, nicht infizierten Diskette durch einen Kaltstart.
Gebe dann folgenden DOS-Befehl ein: fdisk /mbr
Fdisk erstellt nun einen neuen Bootsektor und löscht damit jeden Bootsektorvirus.
Der restliche Festplatteninhalt bleibt dabei erhalten.
Schalte den Rechner nach der Eingabe des Befehls sofort ab, damit nicht ein im Speicher
befindlicher Virus die Festplatte erneut infiziert.
Nach einer Wartezeit von ca. 10 Sekunden (Grund siehe oben), kannst Du den Rechner
wieder einschalten.
Der Bootsektorvirus ist nun entfernt.

ob das wohl immer hilft ?

Das ganze hat er dir vorher in einer Zeile zusammengefaßt geschrieben. Entweder das hilft, oder du erstellst ne Bootdisk mit McAfee, und probierst es mal damit.
Andere Frage, von wann ist dein letztes SDAT-File?

chaos

ja die norton cd sollte auch helfen so wie dei notfall disketten aber nur wenn du norton hast?
Danke
T.

fdisk /mbr
falls das nicht funktioniert probier sys C:

Wieso sollte ein Trojaner bitte Boot-Code nicht ändern können??? Mach mich mal schlau!

chaos

Weil ein Trojaner ein Programm ist, das sich in ein Windows System einschleust, um dann eine Serverapplikation zu installieren, durch das ein Hacker das System ausspionieren kann. Und um dieses Ziel zu erreichen ist es unnötig für einen Trojaner den Bootcode zu ändern.

Aha, der unterschied zwischen "nicht nötig" und "nicht können" ist dir aber schon bewußt?

chaos

Naja ich kenne jedenfalls keinen Trojaner der den Boot Code ändert. Natürlich wäre es möglich einen Trojaner zu programmieren der auch den Boot Code ändern kann. Aber wie gesagt ein Trojaner ist eben zum spionieren da.

Übrigens kann man durch solche zusätzlichen Gimmicks vom eigentlichen Problem (Trojaner) ablenken. Aber du kennst dich da sicher besser aus...
abgesehen davon glaub ich eher, dass der scanner den virus fälschlicherweise als trojaner bezeichnet hat, und es gar keiner ist.

chaos

Ja das ist auch so. Der Bond007 hat es am Schluss ja gesagt.

da der master boot record infiziert ist musst du den neu einteilen.

also mit startdikette booten. dos
fdisk /mbr

und das geht dann. dann eventuell noch mal format [lw]

dann bs installieren und du hast ruh

MfG
ThE XtReMe HaCkA

My ICQ# : 145037444

nützt es, wenn man ein ghost-image zurückspielt ?

ich würde zuerst formatieren dann vielleicht das Bios flashen und zu guter letzt das Image zurückspielen.

________________________________________________________________________________
This hint was presented by HeHo.

wozu bios flashen??

fer befehl ist auch nicht immer das wahre, wie hier beschrieben wird ...

FDISK/MBR
DOS liefert einen undokumentierten Befehl, mit dem ein neuer Master Boot Record erstellt werden kann. Der Befehl lautet FDISK/MBR. Dieser Befehl birgt einige Gefahren in sich und sollte nur von entsprechend ausgebildeten Leuten eingesetzt werden.

So darf FDISK/MBR nicht eingesetzt werden, wenn auf dem Rechner ein Bootmanager installiert ist (z.B. DOS / OS/2), da sich solche Bootmanager im Bootsektor einer Festplatte befinden. Auch auf Laufwerken, die mit Double Space oder Stacker gepackt sind kann der Einsatz von FDISK/MBR zu Datenverlust führen. Bei Viren wie Monkey oder Neuroquilla darf FDISK/MBR auch nicht eingesetzt werden. Diese Viren verschlüsseln die Partitionstabelle und legen sie irgendwo auf der Festplatte ab. Dadurch ist die Partitionstabelle nur lesbar, wenn sich der Virus aktiv im Speicher befindet. Wird der Virus durch FDISK/MBR entfernt, ist die Partitionstabelle nicht mehr lesbar und auf die Festplatte kann nicht mehr zugegriffen werden. Wenn von einer sauberen Diskette aus gebootet wird, muß vor dem Einsatz von FDISK/MBR geprüft werden, ob noch ein Zugriff auf die Festplatte erfolgen kann. Sollte dies nicht der Fall sein, darf FDISK/MBR nicht verwendet werden.

FDISK/MBR ist nur gegen Bootsektor-Viren wirksam, die sich an der gleichen Position befinden, wo normalerweise das Master Boot Record gespeichert ist.

ja und was willst du damit sagen ???
mach das einfach, schlimma kanns ja nimma gehn.
einfach unverseuchte daten auf cd brennen (net image weil da vielleivht versuechtes mitgehn kann)

dann einfach fdisk /mbr und dann von mir aus fdisk, dann format [lw]:

dann einfach bs installieren und du bis viren frei. (eventuell nochmals scannen)

bios flashen hat damit nix zu tun

MfG
ThE XtReMe HaCkA

My ICQ# : 145037444

habe die meldung bekommen, während der pc versuchte eine als master statt als slave gejumperte platte zu erkennen (gelang natürlich nicht).

so wie ich es sehe ist das problem weg, seit die jumperung stimmt.

vermutlich fehlmeldung von mcafee ...

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung