Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

MBR nach Virenbefall und Neuinstallation

Jonatan / 12 Antworten / Baumansicht Nickles

Nach einem Virenbefall habe ich mich bei Google kundig gemacht und den Entschluss gefasst, das System neu aufzuspielen.
Hierbei wird empfohlen, auf der Festplatte unbedingt den MBR mitzuformatieren.
Einmal steht: beim Installieren des Systems wird automatisch ein neuer MBR eingerichtet.
Demgegenüber gibt es skeptische Beiträge, die das gezielte Löschen des MBR empfehlen.
Zu prüfen wäre das mit MBRcheck.exe.
Die Antwort von diesem Program ist jedoch sehr knapp und ich wüsste nicht, wie ich dabei einen Virusbefall des MBR erkennen könnte
Kann ich also nach dem Virusbefall einfach mit der InstallationsCD das System installieren und darauf vertrauen, daß vom alten Virus keine Reste übriggeblieben sind?

Xdata Jonatan „MBR nach Virenbefall und Neuinstallation“
Optionen

Schon zu DOS Zeiten gab es Bootblockviren, aber ein fdisk/mbr von einer sauberen Diskette
hat da keiner überlebt.

Mit der Xp CD ist es etwas kniiffliger, fixmbr heist der Befehl da.
Aber Xp und Windows überschreiben den auch so,
was Linux Nutzer leidlich erfahren wenn Windows ohne Frage den BootLoader überschreiben.

Bei Panik kann man, falls nicht mehr als eine Partition auf der Platte ist
mit Linux  Live CD eine leere Partitionstabelle erzeugen.
Geht aber mit Windows install CD oder DVD auch.

PS:

Es Gibt noch fixboot um einen beschädigten Boot von Windows zu regenerieren.
Es ist auch nicht nötig eine Festplatte x mal zu überschreiben, zumindest nicht  wegen eventueller Viren.

Jonatan Xdata „Schon zu DOS Zeiten gab es Bootblockviren, aber ein ...“
Optionen

Hallo, danke,habe aber einiges nicht verstanden.
Ich lege die InstallationsCD in das Laufwerk und werde gefragt, ob ich die Festplatte völlig formatieren will, ob alle Partitionen beseitigt werden usw.
Wo soll ich dann den Befehl fixmbr anbringen? Wenn das neue System,z.B.W7 , drauf ist, ist es doch zu spät.
Oder ich könnte mit dem alten System (in meinem Fall XP prof)  noch die Partitionen auflösen und die gesamte Festplatte formatieren. Dann, so habe ich gelernt, ist der MBR nicht mit dabei.
Mit Linux habe ich nichts im Sinne.
Eigentlich wäre ich schon zufrieden, wenn es eine Möglichkeit gäbe, dem MBR anzusehen, ob er infiziert ist. Das Programm MBRcheck sagt mir da aber zu wenig und die Textdatei, welche auf dem Desktop unter MBRcheck_.....txt erscheint, ist für mich unverständlich.
Warum sollte ich Panik haben?
Grüße Jonny

mi~we Jonatan „Hallo, danke,habe aber einiges nicht verstanden. Ich lege ...“
Optionen
Wo soll ich dann den Befehl fixmbr anbringen?
http://www.wintotal.de/tipparchiv/?id=593
Xdata mi~we „http://www.wintotal.de/tipparchiv/?id=593“
Optionen

Genau, schöne Webseite.

Jonatan Xdata „Genau, schöne Webseite.“
Optionen

Hallo, in Vorbereizung des Systemwechsels habe ich mir die dban....iso heruntergeladen und als bootbare CD gebrannt. Das geht schon mal. Es bleiben die Fragen:
Wenn ich wirklich einen MBR-Virus habe, wie kann ich den erkennen.
MBRcheck zeigt ja nur wenige Zeilen und demgegenüber wird damit ein txt erzeugt, der unmöglich auf den MBR Sektor passen kann. Ich würde wirklich mal die Zusammenhänge erfahren. Und sind die gängigen Virenprogramme nicht in der Lage, solche Bootviren zu erkennen? Ich habe schon im Avira und auch bei GDATA geaschaut, aber keine Optione gefunden, die gezielt danach sucht.
Und die 2. Frage: Auf der CD liegt nun nur die bootbare Version von dban. Ist es dann denkbar, daß sich auf diesem Wege noch ein evt. vorhandener Virus auf das neue System schleicht?
danke erst mal  Jonny

mi~we Jonatan „Hallo, in Vorbereizung des Systemwechsels habe ich mir die ...“
Optionen

Nun werde mal nicht paranoid!Zwinkernd
MBRcheck berechnet den SHA-1 Hash des MBR und vergleicht den mit den bekannten Hash-Werten des MBR bei den diversen Windows-Versionen:
http://windows7themes.net/how-to-check-mbr-for-virus-infection-via-mbrcheck.html
Wenn du Windows neu installierst, wird auch der Bootloader neu geschrieben und wenn du während der Installation noch die Partitionen neu formatierst, ist alles weg.
http://de.wikipedia.org/wiki/Master_Boot_Record

Jonatan mi~we „Nun werde mal nicht paranoid! MBRcheck berechnet den SHA-1 ...“
Optionen

das ist schon mal beruhigend, paranoid sind dann andere, siehe

Forum - CHIP Online > IT-Sicherheit > Viren, Trojaner, Würmer

Richtiges Brennen von iso-Dateien
Hinweis nochmal: nicht auf dem verseuchten System brennen!)

In:faq-thinkpoint-entfernen-1443209-page2.html
nichts für ungut Jonny

Xdata Jonatan „das ist schon mal beruhigend, paranoid sind dann andere, ...“
Optionen

Du bist nicht paranoid.

Es gab schon Bootviren - und vom Prinzip könnte sich ein Teil eines Rootkits
im MBR aufhalten.
Aber nur ganz locker.

Beim nächsten Betriebssystem welches ja immer einen neuen schreibt,
sonst kann es nicht booten -- ist der weg.

Viel gefährlicher und genug Potenzial um ein wenig paranoid zu sein haben die
-- neuen  EFI   - BIOS Nachfolger und alle ähnlich smarten.


Sagen wir mal so:


Ich hätte kein Problem damit, eine Festplatte die an einem System hing ..
.. mit Viren Trojanern und Rootkits geradezu durchsetzt
-- ganz normal mit den Install CDs oder DVDs von Windows an
einen Rechner, ohne smartes BIOS, zu installieren.



Die Festplatte, genauer der  MBR ,ist nicht "der" Ort für moderne Viren.
Die neuen Nachfolger des alten klassischen BIOS,
also EFI oder UEFI vermutlich schon!


Jonatan Xdata „Du bist nicht paranoid. Es gab schon Bootviren - und vom ...“
Optionen

Wie ist das zu verstehen? Vom BIOS weiß ich, daß es sich im ROM des mainboards befindet. Haben sich dort auch schon mal Viren eingenistet? Von EFI UEFI habe ich keine Ahnung
was ist ein smartes BIIOS?
Jonny

Jonatan Xdata „Du bist nicht paranoid. Es gab schon Bootviren - und vom ...“
Optionen

Und noch eine Frage, nachdem ich mich im Google kundig gemacht habe:
Ich habe ein Motherboard

ASROCK FM2A75M-DGS

64Mb AMI UEFI Legal BIOS with GUI support

 

 bisher mit Win XP betrieben, möchte aber W7 (64 bit) installieren
Beim bisherigen Betrieb hat meine Virensoftware erfolgreich verschiedene Viren und Trojaner abgeblockt. Nach allen vorangegangenen Ratschlägen brauchte ich mir also keine Gedanken zu machen. Jetzt lese ich aber , angeregt durch Deine Antwort,

 Sicherheitsexperten sehen bei der Netzwerkunterstützung von UEFI eine potenzielle Gefahr. Über das Internet könnten Viren und Trojaner schon vor dem Betriebssystemstart auf den Computer gelangen, da im UEFI keinerlei Sicherheitssoftware aktiv ist.

Natürlich hing das UEFI bei den bisherigen Internetarbeiten am Netzwerk. Wie ist das also konkret zu verstehen?

Xdata Jonatan „Und noch eine Frage, nachdem ich mich im Google kundig ...“
Optionen

morning

gemach, es ist nur eine potenzielle Gefahr.

Eine Art kleines BS ist da schon drin, ob und wie Viren da auch für ein sauberes
System auf der Festplatte eine Gefahr werden können muß man sehen.

Das UEFI müßte ja erstmal selber kompromittiert werden
und von da in das laufende BS eingreifen, gelangen.

Zwei Motherboards mit UEFI hab ich schon..
installiere  neue Betriebssysteme aber bisher immer offline.


Die Frage ist   ob das UEFI wenn es internetfähig ist, online Schreibzugriffe zuläßt?


Ansonsten ist  Dein AsRock ein gutes Motherboard mit vernünftiger Onboardgrafik und einem
UEFI welches sich wohl nicht sonderlich  von den anderer moderner Machart und Hersteller unterscheidet.

Man sollte sich aber auch nicht verrückt machen, bei UEFI ist anscheinend ein sicherer Bootvorgang wichtig.

Jonatan Xdata „morning gemach, es ist nur eine potenzielle Gefahr. Eine Art ...“
Optionen

danke, dann doch noch eine Frage... ich bin eben kein Experte:
BIOS befindet sich auf einem ROM, ist also nicht editierbar. Wenn BIOS upgegradet wird, wo ist dann die Korrektur bzw. die neue Version???
Neuerdings soll sich das BIOS auf einem Flash-ROM befinden. Damit wird es editierbar...allerdings über eine speziellen Mechanismus, den ich nicht verstehe und der dann ja auch bei einem Virenbefall ausgelöst werden müßte.
Ist das beim UEFI genau so oder gibt es prinzipielle Unterschiede?
In den schlauen Büchern wird das Wissen dazu offensichtlich vorausgesetzt oder ist es einfacher, mit Abkürzungen zu hantieren, als sie mal einfach zu erklären?
Nichts ist so schwer, wie verständlich zu bleiben  ( das geht nicht gegen Dich.. hier habe ich alles verstanden, außer den Begriff internetfähiges UEFI) mit freundlichen Grüßen Jonny