amducias
Goto Top

Trojaner vom Rechner löschen, und zwar komplett

Wo kann der Trojaner sein außer der Festplatte?

Hallo Zusammen,

ich habe heute schon die Erfahrung mit einem "Elite-Trojaner" gemacht. ("sys32_nov.exe", und "braviax.exe")
Rechner hab ich gleich vom Netz genommen, und versucht den Rechner über McAfee wieder zu säubern, leider ohne Erfolg.
Ich habe jetzt eine neue Festplatte eingebaut und setze mein OS und die Daten neu auf.

Allerdings hat mir dann einer geschrieben, daß der Trojaner dann immer noch drauf wäre, ich solle wie folgt vorgen:
1. Funktionsweise Das Trojanische Pferd kommt mit einem MBR-RootKit.Die Installationsroutine des Trojanischen Pferdes kopiert den MBR (MasterBoot Record) von Sektor 0 der Festplatte auf den Sektor 62 und sich selber in den Sektor 0. Damit wird das Trojanischen Pferd bei jedem Systemstartgeladen. Das Trojanische Pferd installiert einen RootKit-Loader in denSektoren 61 und 62 sowie weiteren Schadcode auf den letzten Sektoren der Festplatte. Somit werden keine Manipulationen am normalen File-Systemvorgenommen und die Virenscanner finden keinen Befall. Kurz nach der Installation führt das Trojanische Pferd einen Neustart des Rechners durch und löscht dabei die temporär benötigten Installationsdateien.

2. Bereinigung Für eine weitgehende Bereinigung des Systems ist wie folgt vorzugehen: - Systemstart (Boot) mit einer Windows-CD- Bei der Abfrage was gemacht werden soll - Installieren oder Reparieren - auf REPAIR gehen. Es erscheint der bekannte DOS-Bildschirm.- Hier das Kommando fixmbr eingeben. Durch diesen Befehl wird der BootSektor (Sektor 0) neu geschrieben. Dem Trojanischen Pferdfehlt damit der Einstiegspunkt und es kann somit nicht mehr tätig werden. Anschließend sollte das System neu aufgesetzt werden.. Hierzu ist eine Formatierung (keine schnelle Formatierung, denn dabei wird nur die FAT-File Allocation Table- gelöscht) und anschließend die weitere Neuinstallation durchzuführen.

Meine erste Frage nun: Ist die MBR nicht auf der Festplatte? Wenn ich eine neue Festplatte wechsle, dann sollte der Vorgang doch überflüssig sein, oder?
Meine zweite Frage: Kann sich im Bios oder im Arbeitsspeicher ein Virus bzw. Trojaner verstecken und mein neues System verseuchen? Wenn ja wie kann man RAM und Bios dann säubern?

Ich denke mal daß man das Bios neu flashen muß.

Danke im Voraus für eure Hilfe.

Content-ID: 123976

Url: https://administrator.de/forum/trojaner-vom-rechner-loeschen-und-zwar-komplett-123976.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

56844
56844 01.09.2009 um 17:54:05 Uhr
Goto Top
Moin face-smile

Also als erstes solltest du einfach deine Daten sichern (Eigene Datein etc.).
Danach würde ich es mal mit einer Live Boot CD probieren. Gibt es z.B. von Avira.
Wenn wirklich nichts mehr Hilft dann installiere Windows neu.
Meinetwegen auch auf eine neue Platte. Obwohl ich denke das bei einer Neuinstallation der MBR überschrieben wird.

Der MBR (Master Boot Record) befindet sich auf der Festplatte.
Im Arbeitsspeicher dürften sich keine Viren befinden können.
Arbeitsspeicher ist im Gegensatz zur Festplatte flüchtig.
Bei einem Neustart wird er quasi neu initialisiert.
Bei Bios Viren bin ich im Moment überfragt.
Habe da mal was läuten gehört... ...ist aber eher unwahrscheinlich.

Gruß Uti
Amducias
Amducias 01.09.2009 um 18:01:42 Uhr
Goto Top
Herzlichen Dank für deine Antwort.

Des mit dem RAM dachte ich mir.
Bios hoffe ich jetzt mal nicht.
Festplatte benötige ich evtl. noch für eine Config-Datei.

Wird aber erst an einem neutralen Rechner auf Viren und Trojaner getestet bevor ich mir Datei hole.

Leider wird der Rechner morgen benötigt, deshalb eine neue Platte.

Ich lasse die Frage mal offen, bis ich evetuell eine Antwort vom Bios habe.

Danke für deine Antwort.
Ciao
BigWumpus
BigWumpus 02.09.2009 um 00:08:26 Uhr
Goto Top
Google mal nach MBAA und laß das durchlaufen...

Der MBR-Eintrag wird nicht ausgeführt, wenn die alte HDD als 2. HDD oder so angeklemmt ist.

Vergiß dafür die McAfee-, Kaspersky- oder noch schlimmer ... Symantec-Konsorten, da müssen Experten ran!