Masterboot-Virus wie entfernen ?

[copkiller64]

Hab auf meinem P1-Laptop (Dos 6.22 & Win98SE) einen Masterboot-Virus drauf und wollte fragen, wie man den entfernt ?

[freecrac]

Hab auf meinem P1-Laptop (Dos 6.22 & Win98SE) einen Masterboot-Virus drauf und wollte fragen, wie man den entfernt ?

Gibt es dort zwei Festplatten , oder nur eine Festplatte?

Befinden sich beide OS auf der selben Partition, oder gibt es zwei primäre Partitionen?

Dirk

[copkiller64]

Es gibt 1 HD mit 3 Partitionen (eine davon Primär)

Dachte, dass es da mal nen Virenscanner oder Patch gegen das Prob gab.....
Formatieren kommt auf jeden Fall nicht in Frage oder richtet der Virus nach ner Zeit mehr Schaden an ?

[freecrac]

Es gibt 1 HD mit 3 Partitionen (eine davon Primär)

Dachte, dass es da mal nen Virenscanner oder Patch gegen das Prob gab.....
Formatieren kommt auf jeden Fall nicht in Frage oder richtet der Virus nach ner Zeit mehr Schaden an ?

Das kann ich dir nicht genau sagen, VIren können quasi alles machen.

Möglicherweise kann man mit "FDISK /MBR" den Bootbereich reparieren. Wenn das nicht hilft, dann könnte man mit einer Boot-CD/Boot-Diskette den Datenträger wieder bootfähig bekommen. Da aber beide OS auf einer Partition zusammen vorhanden sind versteckt W98 die Dateien um jeweil ein Wechseln zum anderen OS zu ermöglichen. MSDOS.SYS und IO.SYS sowie Config.SYS und Autoexec.BAT sind hierbei betroffen. Falls man kein DOS6.22 mehr benutzen kann, gibt es eine Möglichkeit W98 dazu zu bewegen erneut nach weiteren OS zu suchen. Aber leider habe ich vergessen wie man das hinbekommt. Möglicherweise kann ein Anderer weiterhelfen.

Mit "SYS A: C:" wird je nach dem darauf sich befindenen DOS-Version das eine oder andere DOS von der Diskette auf die Festplatte übertragen bzw. der Bootbereich und Systemdateien überschrieben.

Dirk

[copkiller64]

Kann ich den Virus auch mit Antivir unter Win98 killen ?

hab gerade noch gelsen, dass man mit "fdisk /mbr" den Master Boot Record neu schreiben kann

Was heißt das genau ? Ist die Festplatte dann plattgemacht ?

[freecrac]

Kann ich den Virus auch mit Antivir unter Win98 killen ?

hab gerade noch gelsen, dass man mit "fdisk /mbr" den Master Boot Record neu schreiben kann

Was heißt das genau ? Ist die Festplatte dann plattgemacht ?

Ich würde es einfach versuchen. Wenn danach Win98 nicht mehr bootet, dann kann man die Partition mit dem SYS-Befehl und einer bootfähigen Win98-CD oder mit einer DOS7 Bootdiskette wieder bootfähig machen.
Wenn das Booten von Win98 dann immer noch nicht klappt, dann wurden Dateien von Win98 so sehr beschädigt, das man so oder so Win98 wieder neu installieren muss, wenn man den voll installierten Win98-Ordner nicht im sauberen Zustand schon vorher zb. in ein Zip-Archiv gerettet hat.

Dirk

[copkiller64]

Meine Bedenken sind halt, dass die Dos-Partition (C:) darunter leidet und danach garnix mehr geht. Hab mir erst vor kurzen alles wieder schön eingerichtet.
Win ist ja auf der D Partition drauf, aber teilweise hat sich das auch mit C verstrickt (config.sys + autoexec.bat einräge)

[freecrac]

Meine Bedenken sind halt, dass die Dos-Partition (C:) darunter leidet und danach garnix mehr geht. Hab mir erst vor kurzen alles wieder schön eingerichtet.
Win ist ja auf der D Partition drauf, aber teilweise hat sich das auch mit C verstrickt (config.sys + autoexec.bat einräge)

Huch, also doch zwei verschieden primäre Partitionen, das macht die Sache eheblich einfacher. Dann gibt es doch gar keine solche Verstrickung mit der config.sys + autoexec.bat wie ich vorher vermutet hatte.
Windows hat dann lediglich seinen Bootloader auf der C Partition gelegt, damit Windows auch gebootet werden kann. Ich bin mir nicht mehr ganz sicher, versteckt Win98 beim Booten andere primäre Partitionen oder nicht, kannst du die DOS 6.22-Partition unter Windows sehen?

Ggf. kann man die versteckte DOS6.22- Partion zur Laufzeit von Win98 sichbar machen, um an die dortigen Daten von DOS6.22 auch unter Win98 zu kommen. So kann man checken ob die dortige config.sys + autoexec.bat im Originalzustand vorhanden sind. Nach meinem Wissen kann Win98 nicht auf einem logischen Laufwerk installiert werden und benötigt genauso wie DOS5.22 eine primäre Partition. Ein MBR-Virus wird sich möglicherweise nur auf der C-Partition eingenistet haben.

Dirk

[copkiller64]

könnte ich den aber mit Antivir oder einem anderen Virenscanner entfernen ?

[freecrac]

könnte ich den aber mit Antivir oder einem anderen Virenscanner entfernen ?

Möglicherweise, aber ich kenne mich mit Viren nicht wirklich aus und vermute das man bestimmte Muster die man zu Erkennung von Viren benutz auch tarnen oder verschleiern kann, so das sehr viele Variationen von ein und dem selben Virus vorhanden sein könnten. Bootviren nisten sich wie der Name es schon sagt um Bootbereich von Datenträger ein. Ich vermute das es dafür eine Anwendung geben muss die so etwas vollzieht, es also meist nicht so oft eigenhändig beim Vervielfältigen von bootbaren Datenträger passiert. Den MBR kann man ja schnell wieder restaurieren, doch das bedeutet noch nicht unbedingt das alle Daten nun virenfrei sein müssen. So ist es schon Sinnvoll eine bootbare CD zu verwenden mit einem darauf sich befindenen Virenscanner. Z.B. eine Boot-CD von G-DATA(30Tage Twestversion; 258 mb):
http://www.gdata.de/typo3conf/ext/dam_f ... docID=7674

Dirk

[Dekay]

Du könntest den MBR auch mit der Software btcheck sichern (ftp://ftp.heise.de/pub/ct/ctsi/btcheck.zip).
Deine Platte solltest Du sowieso mit einem Virenprogramm durchscannen. Irgendwo muss der Virus ja herkommen.
Wenn du den Virus mir fdisk /mbr überschreiben willst, musst Du vorher mit einem "sauberen" Betriebsystem gestartet sein, also z.B. einer Disk bevor der Virus da war (Schreibschutz anmachen)
oder einer CD-ROM. Sonst könnte es sein, dass, je nachdem wie schlau der Virus ist, Dir das überschreiben des MBR nichts nützt, weil der Virus im Speicher sitzt und darauf wartet sich wieder in den
MBR reinzuchreiben.
Du kannst zur Sicherheit vorher mit einem "Image" Programm die Festplatte byteweise sicher, um wieder zurückzukommen. Z.B. HDCOPY. Das kostet leider was, aber es gibt auch
Freeware dafür z.B. h2copy (ftp://ftp.heise.de/pub/ct/ctsi/h2copy.zip). Das Programm habe ich aber nicht getestet.
Wenn Du den Virus identifizieren könntest wäre es leichter im Netz einen Cleaner zu finden.

dominik

[copkiller64]

Der Virus-Scanner von G-Data benötigt aber Win XP, von d.h. fällt der für mein altes Pentium1 Laptop mit Win 98 flach

Hab gerade folgendes gelesen:
http://www.thespyware.net/mbr_virus.php

"Warning: Some older systems use DDO (Dynamic Driver Overlay) to read beyond BIOS capabilities, so if the MBR boot code becomes corrupted or is replaced by another utility or is deleted, your system may not boot and the DDO will not be loaded."

Das kann also auch bedeuten, wenn ich nen Scanner drüber laufen lasse und der findet + löscht den Virus, dass dann garnix mehr geht.....

MBR Remover findet man schon einige im Netz, aber wie gesagt......nicht, dass dann garnix mehr geht

[Dekay]

ich bin mir nicht so ganz sicher, ob Du meinen Kommentar wirklich gelesen hast. Du kannst doch mit btcheck den MBR sichern!

Oder Du sicherst gleich die ganze Platte mit HDCOPY.

Wie groß ist denn Deine Festplatte? Normalerweise ist ein DDO Treiber nur nötig, wenn Du wegen des BIOSes an ein Limit gestoßen bist.
Dann musst Du extra eine Software eingespielt haben, die sich in den MBR setzt. Zum Beispiel Max-Blast von Maxtor wäre so ein Programm.
Hast Du so etwas eingespielt?

...und nicht vergessen, wenn Du den Master Boot Record sicherst das ganze natürlich auf einen externen Datenträger z.B. Diskette speichern,
damit Du die Daten auch erreichen kannst, wenn die Festplatte nicht mehr booten sollte.

Falls Du keine saubere Startdiskette hast: http://www.bootdisk.com

dominik

[copkiller64]

keine Sorge, hab mir dein Post durchgelesen, dass war nur eine Art Zwischenfrage :D

In dem Laptop ist ne 6 GB HD drine. Das Bios lässt, wie die meisten alten BIOS's nur HD's bis 8GB zu.
EIn Programm habe ich nicht extra eingespielt.

Ich werd jetzt mal bissel rumprobieren und mich wieder melden ;)

[freecrac]

Oder Du sicherst gleich die ganze Platte mit HDCOPY.

Es genügt aber auch alle Dateien/Ordner von Win98 oder DOS6 in ein Zip-Archiv zu packen, dafür braucht man nicht unbedingt die gesamte Partition(mit Partitionstabelle, FAT, leere Bytes) zu retten.
Nur das man damit nun die Systemdateien + Bootbereich mit Format oder SYS übertragen muss, um eine alte wieder oder auch neue Partition bootfähig zu bekommen.

Dirk