9
Einen Bootsector Virus löschen (Win XP)
Bootvirus eingefangen?
Hier die Lösung:
Mir ist jetzt bereits dreimal passiert, dass der Virusscanner Avira einen Bootvirus im Sektor C: fand, aber ihn nicht löschen konnte.
Also:
Man starte den Rechner von der Win XP CD aus.
Dort geht es weiter in die Wiederherstellungsconsole.
Dannach muss man nur noch den Befehl fixmbr eingeben.
Damit wird der Bootsektor neu geschrieben ohne das du Daten verlierst.
Mir ist jetzt bereits dreimal passiert, dass der Virusscanner Avira einen Bootvirus im Sektor C: fand, aber ihn nicht löschen konnte.
Also:
Man starte den Rechner von der Win XP CD aus.
Dort geht es weiter in die Wiederherstellungsconsole.
Dannach muss man nur noch den Befehl fixmbr eingeben.
Damit wird der Bootsektor neu geschrieben ohne das du Daten verlierst.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107103
Url: https://administrator.de/contentid/107103
Printed on: April 20, 2024 at 01:04 o'clock
9 Comments
Latest comment
Moin,
gut und schnell beschrieben.
Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?
Kannst du für die Situation auch noch einen Lösungsweg angeben?
MfG,
VW
gut und schnell beschrieben.
Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?
Kannst du für die Situation auch noch einen Lösungsweg angeben?
MfG,
VW
Hay danke.
Ja ich denke man müsste einfach noch die Location vom Bootmaster angeben.
Also ich meine von welcher Partition.
Ich denke etwa so:
fixmbr/ D: (oder eben die Partition die du hast)
Ich kann dir aber nicht genau sagen wie.
Ja ich denke man müsste einfach noch die Location vom Bootmaster angeben.
Also ich meine von welcher Partition.
Ich denke etwa so:
fixmbr/ D: (oder eben die Partition die du hast)
Ich kann dir aber nicht genau sagen wie.
Hallo,
http://support.microsoft.com/kb/314058/de
FIXMBR
fixmbr Gerätename
Verwenden Sie diesen Befehl, um den MBR (Master Boot Record) der Startpartition zu reparieren. In der Befehlssyntax steht Gerätename für einen optionalen Gerätenamen, der das Gerät angibt, das einen neuen MBR erfordert. Verwenden Sie diesen Befehl, falls ein Virus den MBR beschädigt hat und Windows nicht gestartet werden kann.
Warnung Dieser Befehl kann die Partitionstabellen beschädigen, falls ein Virenbefall vorliegt oder ein Hardwareproblem besteht. Die Verwendung des Befehls kann zu Partitionen führen, auf die Sie nicht mehr zugreifen können. Es wird empfohlen, Antivirussoftware auszuführen, bevor Sie diesen Befehl verwenden.
Sie können den Gerätenamen anhand der Ausgabe des Befehls map ermitteln. Wenn Sie keinen Gerätenamen angeben, wird der MBR des Startgeräts repariert. Beispiel:
fixmbr \device\harddisk2
Falls der Befehl fixmbr eine ungültige oder nicht standardmäßige Partitionstabellensignatur erkennt, fordert der Befehl fixmbr von Ihnen eine Bestätigung, bevor dieser denMBR umschreibt. Der Befehl fixmbr wird nur auf x86-basierten Computern unterstützt.
http://support.microsoft.com/kb/314058/de
FIXMBR
fixmbr Gerätename
Verwenden Sie diesen Befehl, um den MBR (Master Boot Record) der Startpartition zu reparieren. In der Befehlssyntax steht Gerätename für einen optionalen Gerätenamen, der das Gerät angibt, das einen neuen MBR erfordert. Verwenden Sie diesen Befehl, falls ein Virus den MBR beschädigt hat und Windows nicht gestartet werden kann.
Warnung Dieser Befehl kann die Partitionstabellen beschädigen, falls ein Virenbefall vorliegt oder ein Hardwareproblem besteht. Die Verwendung des Befehls kann zu Partitionen führen, auf die Sie nicht mehr zugreifen können. Es wird empfohlen, Antivirussoftware auszuführen, bevor Sie diesen Befehl verwenden.
Sie können den Gerätenamen anhand der Ausgabe des Befehls map ermitteln. Wenn Sie keinen Gerätenamen angeben, wird der MBR des Startgeräts repariert. Beispiel:
fixmbr \device\harddisk2
Falls der Befehl fixmbr eine ungültige oder nicht standardmäßige Partitionstabellensignatur erkennt, fordert der Befehl fixmbr von Ihnen eine Bestätigung, bevor dieser denMBR umschreibt. Der Befehl fixmbr wird nur auf x86-basierten Computern unterstützt.
Servus,
Yupp
;-(
Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.
Gruß
Das funktioniert aber IMO nicht mit Dual- und Multiboot-Systemen, auf denen z.B. WinXP und WinVista oder XP und eine Linux-Distribution installiert ist, oder?
Yupp
;-(Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen ist.Aber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.
Gruß
Zitat von @60730:
Bei Vista sollte das wohl nicht das größte Problem darstellen (habe es selber noch nicht gemacht, da ich wenig mit Vista zu tun habe), aber wie sieht es z.B. mit Ubuntu 8.10 oder 8.04.1 aus? Kann ich da auch einfach den MBR neu schreiben lassen? Wenn ja, wird dann WinXP auch mit berücksichtigt?Kannst du für die Situation auch noch einen Lösungsweg angeben?
Im Prinzip dann die CD zum Reparieren nehmen, die als letzte auf das System gekommen istAber in den letzten 5 Jahren hab ich viel gesehen, Boot Sektor Viren eher weniger.
So ging es mir bisher auch.Ich warte ja noch darauf, dass sich die Viren-Entwickler auf die Intel Active Management Technology stürzen, die ja bei neueren Business-PCs meist drauf ist, da man dort keine Unterscheidung nach Betriebssystem mehr bräuchte, denn der Abschalt-Befehl oder System-Reset ist ja überall auf AMT gleich.
Das wird mit dem Zeitpunkt sicherlich passieren, dass mehr Unternehmen Intel AMT aktivieren und nutzen.
Gruß zurück,
VW
Ich nehme den Virenscanner Avast!, der lässt es gar nicht erst zu, dass ein Virus in den Bootsektor kommt.
Und falls mal einr kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
mfg. Taumi
Und falls mal einr kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
mfg. Taumi
Zitat von @taumi99:
Und falls mal einer kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
Bootest du von HDD und lässt quasi während dem Windows Start einen Check durchlaufen?Und falls mal einer kommt, den Avast noch nicht kannte(was sehr selten passiert), mache ich eine Bootzeitprüfung.
Oder startest du von CD?
Bei einem Start von HDD kann sich ein eventuelles RootKit bereits vor Avast geladen haben und die eigentlichen Schad-Dateien verbergen.
VW
Nein ist ganz normal von HDD!
Avast macht die Prüfung bevor Windows überhaupt laden kann!
mfg. Taumi
Avast macht die Prüfung bevor Windows überhaupt laden kann!
mfg. Taumi
Ich gehe davon aus, dass Avast keinen eigenen Bootsektor schreibt, um die Virenprüfung zu machen. Also könnte ein Rootkit, das seinerseits wiederum den eigentlichen Bootvorgang (in dem Fall halt das Starten von Avast statt Windows) startet und sich somit wie ein Virtualisierungslayer (wie es auch Windows Vista Cracks tun) dazwischenschaltet, während der startenden Software (egal ob Windows oder Avast) vorgegaukelt wird, sie würde direkt auf die Hardware zugreifen.
Ich hoffe, dass es noch keine (oder nicht viele) von so hoch entwickelten RootKits gibt, aber das wird wohl nur eine Frage der Zeit sein.
Genauso frage ich mich, wann die Viren-Programmierer erkennen, dass Viren völlig OS-unabhängig sein können, wenn nur die Intel AMT befallen werden muss. Intel AMT bleibt IMHO auch aktiv, wenn der Rechner aus aber mit Strom versorgt ist, was eine Infizierung und Verbreitung im ausgeschalteten Zustand ermöglichen würde. Voraussetzung dafür wären allerdings genügend konfigurierte und aktive Intel AMT Chips in dem jeweiligen Unternehmensnetz.
Dann wären wir so weit, dass ausgeschaltete PCs, die nur mit Strom und LAN versorgt sind, sich gegenseitig infizieren könnten, völlig unabhängig davon, ob Windows, Linux, UNIX, MAC, Solaris, .... auf dieser Maschine gebootet werden kann.
VW
Ich hoffe, dass es noch keine (oder nicht viele) von so hoch entwickelten RootKits gibt, aber das wird wohl nur eine Frage der Zeit sein.
Genauso frage ich mich, wann die Viren-Programmierer erkennen, dass Viren völlig OS-unabhängig sein können, wenn nur die Intel AMT befallen werden muss. Intel AMT bleibt IMHO auch aktiv, wenn der Rechner aus aber mit Strom versorgt ist, was eine Infizierung und Verbreitung im ausgeschalteten Zustand ermöglichen würde. Voraussetzung dafür wären allerdings genügend konfigurierte und aktive Intel AMT Chips in dem jeweiligen Unternehmensnetz.
Dann wären wir so weit, dass ausgeschaltete PCs, die nur mit Strom und LAN versorgt sind, sich gegenseitig infizieren könnten, völlig unabhängig davon, ob Windows, Linux, UNIX, MAC, Solaris, .... auf dieser Maschine gebootet werden kann.
VW
