Einen Bootsector Virus löschen (Win XP)

Mitglied: partydevil

partydevil (Level 1) - Jetzt verbinden

26.01.2009, aktualisiert 11:32 Uhr, 41756 Aufrufe, 9 Kommentare

Bootvirus eingefangen?

Hier die Lösung:

Mir ist jetzt bereits dreimal passiert, dass der Virusscanner Avira einen Bootvirus im Sektor C: fand, aber ihn nicht löschen konnte.

Also:
Man starte den Rechner von der Win XP CD aus.

Dort geht es weiter in die Wiederherstellungsconsole.
Dannach muss man nur noch den Befehl fixmbr eingeben.

Damit wird der Bootsektor neu geschrieben ohne das du Daten verlierst.
Mitglied: 36831
26.01.2009 um 16:33 Uhr
Moin,

gut und schnell beschrieben.

Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?
Kannst du für die Situation auch noch einen Lösungsweg angeben?

MfG,
VW
Bitte warten ..
Mitglied: partydevil
27.01.2009 um 09:49 Uhr
Hay danke.

Ja ich denke man müsste einfach noch die Location vom Bootmaster angeben.

Also ich meine von welcher Partition.

Ich denke etwa so:
fixmbr/ D: (oder eben die Partition die du hast)

Ich kann dir aber nicht genau sagen wie.
Bitte warten ..
Mitglied: 73986
27.01.2009 um 13:07 Uhr
Hallo,

http://support.microsoft.com/kb/314058/de

FIXMBR
fixmbr Gerätename
Verwenden Sie diesen Befehl, um den MBR (Master Boot Record) der Startpartition zu reparieren. In der Befehlssyntax steht Gerätename für einen optionalen Gerätenamen, der das Gerät angibt, das einen neuen MBR erfordert. Verwenden Sie diesen Befehl, falls ein Virus den MBR beschädigt hat und Windows nicht gestartet werden kann.

Warnung Dieser Befehl kann die Partitionstabellen beschädigen, falls ein Virenbefall vorliegt oder ein Hardwareproblem besteht. Die Verwendung des Befehls kann zu Partitionen führen, auf die Sie nicht mehr zugreifen können. Es wird empfohlen, Antivirussoftware auszuführen, bevor Sie diesen Befehl verwenden.

Sie können den Gerätenamen anhand der Ausgabe des Befehls map ermitteln. Wenn Sie keinen Gerätenamen angeben, wird der MBR des Startgeräts repariert. Beispiel:
fixmbr \device\harddisk2
Falls der Befehl fixmbr eine ungültige oder nicht standardmäßige Partitionstabellensignatur erkennt, fordert der Befehl fixmbr von Ihnen eine Bestätigung, bevor dieser denMBR umschreibt. Der Befehl fixmbr wird nur auf x86-basierten Computern unterstützt.
Bitte warten ..
Mitglied: 60730
28.01.2009 um 15:19 Uhr
Servus,

Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?

Yupp ;-(

Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen ist.

Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.

Gruß
Bitte warten ..
Mitglied: 36831
28.01.2009 um 16:16 Uhr
Zitat von 60730:
Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen ist
Bei Vista sollte das wohl nicht das größte Problem darstellen (habe es selber noch nicht gemacht, da ich wenig mit Vista zu tun habe), aber wie sieht es z.B. mit Ubuntu 8.10 oder 8.04.1 aus? Kann ich da auch einfach den MBR neu schreiben lassen? Wenn ja, wird dann WinXP auch mit berücksichtigt?
Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.
So ging es mir bisher auch.
Ich warte ja noch darauf, dass sich die Viren-Entwickler auf die Intel Active Management Technology stürzen, die ja bei neueren Business-PCs meist drauf ist, da man dort keine Unterscheidung nach Betriebssystem mehr bräuchte, denn der Abschalt-Befehl oder System-Reset ist ja überall auf AMT gleich.
Das wird mit dem Zeitpunkt sicherlich passieren, dass mehr Unternehmen Intel AMT aktivieren und nutzen.

Gruß zurück,
VW
Bitte warten ..
Mitglied: taumi99
12.02.2009 um 12:20 Uhr
Ich nehme den Virenscanner Avast!, der lässt es gar nicht erst zu, dass ein Virus in den Bootsektor kommt.

Und falls mal einr kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.

mfg. Taumi
Bitte warten ..
Mitglied: 36831
12.02.2009 um 17:45 Uhr
Zitat von taumi99:
Und falls mal einer kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
Bootest du von HDD und lässt quasi während dem Windows Start einen Check durchlaufen?
Oder startest du von CD?

Bei einem Start von HDD kann sich ein eventuelles RootKit bereits vor Avast geladen haben und die eigentlichen Schad-Dateien verbergen.

VW
Bitte warten ..
Mitglied: taumi99
12.02.2009 um 18:21 Uhr
Nein ist ganz normal von HDD!

Avast macht die Prüfung bevor Windows überhaupt laden kann!

mfg. Taumi
Bitte warten ..
Mitglied: 36831
12.02.2009 um 18:34 Uhr
Ich gehe davon aus, dass Avast keinen eigenen Bootsektor schreibt, um die Virenprüfung zu machen. Also könnte ein Rootkit, das seinerseits wiederum den eigentlichen Bootvorgang (in dem Fall halt das Starten von Avast statt Windows) startet und sich somit wie ein Virtualisierungslayer (wie es auch Windows Vista Cracks tun) dazwischenschaltet, während der startenden Software (egal ob Windows oder Avast) vorgegaukelt wird, sie würde direkt auf die Hardware zugreifen.

Ich hoffe, dass es noch keine (oder nicht viele) von so hoch entwickelten RootKits gibt, aber das wird wohl nur eine Frage der Zeit sein.

Genauso frage ich mich, wann die Viren-Programmierer erkennen, dass Viren völlig OS-unabhängig sein können, wenn nur die Intel AMT befallen werden muss. Intel AMT bleibt IMHO auch aktiv, wenn der Rechner aus aber mit Strom versorgt ist, was eine Infizierung und Verbreitung im ausgeschalteten Zustand ermöglichen würde. Voraussetzung dafür wären allerdings genügend konfigurierte und aktive Intel AMT Chips in dem jeweiligen Unternehmensnetz.
Dann wären wir so weit, dass ausgeschaltete PCs, die nur mit Strom und LAN versorgt sind, sich gegenseitig infizieren könnten, völlig unabhängig davon, ob Windows, Linux, UNIX, MAC, Solaris, .... auf dieser Maschine gebootet werden kann.

VW
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke24 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing24 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke20 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
StefanKittelFrageSicherheit17 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Ähnliche Inhalte
Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

transoceanTippViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Humor (lol)

Freitagsangebot: Virus shut-out Spatial disinfection card TOAMIT TVSO-01

LochkartenstanzerInformationHumor (lol)6 Kommentare

Habe gerade ein tolles Angebot bekommen: Die Virus shut-out Spatial disinfection card TOAMIT TVSO-01 schützt nicht nur zuverlässig gegen ...

Windows 10

Win 10 1703 bietet eine GPO gegen DMA-Attacken

DerWoWussteTippWindows 1013 Kommentare

Was vorher nur über Registrymodifikation ging, hat jetzt eine eigene GPO bekommen: Computerconfig - administrative Templates - Windows Components ...

Windows XP

Update Win98 auf XP bricht ab mit MFC42.DLL und MIGISOL.EXE nicht kopierbar

LochkartenstanzerAnleitungWindows XP11 Kommentare

Moin, Wie manche mitbekommen haben, standen heute bei mir Tests mit einem Update von Win98 auf Windows XP Pro ...

Windows Update

Schwachstelle CVE-2019-0708 (Remote Desktop Services): Sicherheitupdate für Windows XP, Windows 7, Windows Server 2003 -2008 (R2)

kgbornInformationWindows Update

Microsoft hat am 14.5.2019 ein Sicherheitsupdate zum Schließen der Schwachstelle CVE-2019-0708 in den Remote Desktop Services freigegeben. Das besondere: ...

Neue Anleitungen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Fragen
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud