partydevil
Goto Top

Einen Bootsector Virus löschen (Win XP)

Bootvirus eingefangen?

Hier die Lösung:

Mir ist jetzt bereits dreimal passiert, dass der Virusscanner Avira einen Bootvirus im Sektor C: fand, aber ihn nicht löschen konnte.

Also:
Man starte den Rechner von der Win XP CD aus.

Dort geht es weiter in die Wiederherstellungsconsole.
Dannach muss man nur noch den Befehl fixmbr eingeben.

Damit wird der Bootsektor neu geschrieben ohne das du Daten verlierst.

Content-ID: 107103

Url: https://administrator.de/tutorial/einen-bootsector-virus-loeschen-win-xp-107103.html

Ausgedruckt am: 26.12.2024 um 18:12 Uhr

36831
36831 26.01.2009 um 16:33:16 Uhr
Goto Top
Moin,

gut und schnell beschrieben.

Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?
Kannst du für die Situation auch noch einen Lösungsweg angeben?

MfG,
VW
partydevil
partydevil 27.01.2009 um 09:49:01 Uhr
Goto Top
Hay danke.

Ja ich denke man müsste einfach noch die Location vom Bootmaster angeben.

Also ich meine von welcher Partition.

Ich denke etwa so:
fixmbr/ D: (oder eben die Partition die du hast)

Ich kann dir aber nicht genau sagen wie.
73986
73986 27.01.2009 um 13:07:15 Uhr
Goto Top
Hallo,

http://support.microsoft.com/kb/314058/de

FIXMBR
fixmbr Gerätename
Verwenden Sie diesen Befehl, um den MBR (Master Boot Record) der Startpartition zu reparieren. In der Befehlssyntax steht Gerätename für einen optionalen Gerätenamen, der das Gerät angibt, das einen neuen MBR erfordert. Verwenden Sie diesen Befehl, falls ein Virus den MBR beschädigt hat und Windows nicht gestartet werden kann.

Warnung Dieser Befehl kann die Partitionstabellen beschädigen, falls ein Virenbefall vorliegt oder ein Hardwareproblem besteht. Die Verwendung des Befehls kann zu Partitionen führen, auf die Sie nicht mehr zugreifen können. Es wird empfohlen, Antivirussoftware auszuführen, bevor Sie diesen Befehl verwenden.

Sie können den Gerätenamen anhand der Ausgabe des Befehls map ermitteln. Wenn Sie keinen Gerätenamen angeben, wird der MBR des Startgeräts repariert. Beispiel:
fixmbr \device\harddisk2
Falls der Befehl fixmbr eine ungültige oder nicht standardmäßige Partitionstabellensignatur erkennt, fordert der Befehl fixmbr von Ihnen eine Bestätigung, bevor dieser denMBR umschreibt. Der Befehl fixmbr wird nur auf x86-basierten Computern unterstützt.
60730
60730 28.01.2009 um 15:19:21 Uhr
Goto Top
Servus,

Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?

Yupp face-wink ;-(

Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen ist.

Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.

Gruß
36831
36831 28.01.2009 um 16:16:23 Uhr
Goto Top
Zitat von @60730:
Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen ist
Bei Vista sollte das wohl nicht das größte Problem darstellen (habe es selber noch nicht gemacht, da ich wenig mit Vista zu tun habe), aber wie sieht es z.B. mit Ubuntu 8.10 oder 8.04.1 aus? Kann ich da auch einfach den MBR neu schreiben lassen? Wenn ja, wird dann WinXP auch mit berücksichtigt?
Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.
So ging es mir bisher auch.
Ich warte ja noch darauf, dass sich die Viren-Entwickler auf die Intel Active Management Technology stürzen, die ja bei neueren Business-PCs meist drauf ist, da man dort keine Unterscheidung nach Betriebssystem mehr bräuchte, denn der Abschalt-Befehl oder System-Reset ist ja überall auf AMT gleich.
Das wird mit dem Zeitpunkt sicherlich passieren, dass mehr Unternehmen Intel AMT aktivieren und nutzen.

Gruß zurück,
VW
taumi99
taumi99 12.02.2009 um 12:20:56 Uhr
Goto Top
Ich nehme den Virenscanner Avast!, der lässt es gar nicht erst zu, dass ein Virus in den Bootsektor kommt.

Und falls mal einr kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.

mfg. Taumi
36831
36831 12.02.2009 um 17:45:53 Uhr
Goto Top
Zitat von @taumi99:
Und falls mal einer kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
Bootest du von HDD und lässt quasi während dem Windows Start einen Check durchlaufen?
Oder startest du von CD?

Bei einem Start von HDD kann sich ein eventuelles RootKit bereits vor Avast geladen haben und die eigentlichen Schad-Dateien verbergen.

VW
taumi99
taumi99 12.02.2009 um 18:21:51 Uhr
Goto Top
Nein ist ganz normal von HDD!

Avast macht die Prüfung bevor Windows überhaupt laden kann!

mfg. Taumi
36831
36831 12.02.2009 um 18:34:09 Uhr
Goto Top
Ich gehe davon aus, dass Avast keinen eigenen Bootsektor schreibt, um die Virenprüfung zu machen. Also könnte ein Rootkit, das seinerseits wiederum den eigentlichen Bootvorgang (in dem Fall halt das Starten von Avast statt Windows) startet und sich somit wie ein Virtualisierungslayer (wie es auch Windows Vista Cracks tun) dazwischenschaltet, während der startenden Software (egal ob Windows oder Avast) vorgegaukelt wird, sie würde direkt auf die Hardware zugreifen.

Ich hoffe, dass es noch keine (oder nicht viele) von so hoch entwickelten RootKits gibt, aber das wird wohl nur eine Frage der Zeit sein.

Genauso frage ich mich, wann die Viren-Programmierer erkennen, dass Viren völlig OS-unabhängig sein können, wenn nur die Intel AMT befallen werden muss. Intel AMT bleibt IMHO auch aktiv, wenn der Rechner aus aber mit Strom versorgt ist, was eine Infizierung und Verbreitung im ausgeschalteten Zustand ermöglichen würde. Voraussetzung dafür wären allerdings genügend konfigurierte und aktive Intel AMT Chips in dem jeweiligen Unternehmensnetz.
Dann wären wir so weit, dass ausgeschaltete PCs, die nur mit Strom und LAN versorgt sind, sich gegenseitig infizieren könnten, völlig unabhängig davon, ob Windows, Linux, UNIX, MAC, Solaris, .... auf dieser Maschine gebootet werden kann.

VW