FDISK /MBR bringt "BootSector" Virus: Continue? (y/n)

[Plastikman]

Hi!
Also ich plage mich schon seit längerem mit meinem Syste rum. Hatte einen MasterBootSektor Virus. Hab dann mit fdisk den MasterBootSektor gelöscht, formatiert (vollständigt, nicht schnell) und das System neuaufgesetzt. Lustigerweise hatte ich sofort wieder Viren drauf, obwohl ich als erstes natürlich das SP 2 von Windows XP drauf gespielt habe. Gut nochmal formatiert, sah eigentlich alles gut aus, bis mein EXPLORER.EXE ständig abgeschmiert ist, mit Kaspersky IE 2009 mal drüber gegangen, wieder lauter Zeug gefunden, selbst beim 2. Mal durchlaufen. Wollte ich also nochmal alles formatieren und auch den MasterBootSector reinigen. Dieses Mal kam nur die Nachricht, die man auch im Titel sieht.

"BootSector!! Warning
Virus: Continue? (y/n)"

Hab ich nach wie vor einen Virus im MasterBootSektor? Kann ich ihn loswerden? Oder brauche ich wohl eine komplett neue Festplatte?

Danke schon mal für eure Hilfe.

PC-Daten

Win XP Prof 32bit

Seagate S-ATA I 200GB Festplatte
MSI Neo2-FR
MSI HD4850
OCZ DDR2-800 2x1GB
LG H10N Laufwerk
E8400


PS: Habe mbr.exe laufen lassen

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1e4 !

 

[werkam]

Kann es sein, das im Bios eine Einstellung dafür zuständig ist, die davor warnt wenn der Bootsector überschrieben wird? Manche Boards hatten auch Jumper. Ob das bei neueren Boards auch noch so ist, kann ich nicht sagen. Es gibt auch Tools die einen Rechner mit Bootsector Viren retten können.
AntiVir Bootsektor-Reparaturtool
Das muss natürlich von einer Virenfreien Diskette/CD gestartet werden. Auf der UMBCD sollte sich sowas auch befinden, bin aber nicht ganz sicher.

 

[Plastikman]

Hum, ja mein Mainboard kann das, dann kommt die Nachricht wohl daher ^^, bleibt nochd ie frage, warum es trotzdem "malicious" also bösartige Sachen findet?

 

[werkam]

Wenn Du die Platte sowieso löschen möchtest, lass doch einfach das Tool drüberlaufen und lösche danach alle Partitionen, bei der Installation von Windows kannst Du ja neue Partitionen erstellen. Mit einer Testdisk CD kannst Du auch noch einen Standard MBR schreiben lassen.
FDISK würde ich auf jeden Fall bei einem neueren Windows nicht benutzen, dann lieber den Assistenten bei der Installation für das Erstellen der Partitionen benutzen. Dann nicht schnell formatieren sondern komplett.
Bei der Installation würde ich auch mal das Netzwerkabel abmachen, um den Zugang zum Inet zu verhindern, erst anklemmen, wenn alles fertig ist, vor allen Dingen solltest Du Deine vorhandenen Daten mal prüfen, nicht das Du z.B. in Deiner Install Cd schon Viren verbirgst (mit Nlite ertellte CD, alte gesicherte Mails oder sowas)

 

[Plastikman]

alles was ich installiere, habe ich mitlerweile auf einer festplatte, die habe ich das letzte mal vorher abgeklemmt und erst angeschlossen, als Kaspersky drauf war, um sicher zu gehen, dass sich da vorher nichts installiert, kabel war natürlich auch abgeklemmt.

Vollständige Formatierung hab ich das letzte mal auch gemacht, Partitionen habe ich keine.
Löscht eine komplette Formatierung auch den MBR?
Antivir hatte ich mal, der hat den Sandoval, den ich hatte entdeckt, aber nicht löschen können.


Was hat es denn mit dem "malicious" in der mbr.exe zu tun von dem Gmer.net?

Hab auch mal Wiederherstellungskonsole der Win XP Boot CD verwendet, der bösartige Teil ist immernoch vorhanden.

 

[werkam]

Du solltest nicht die Platte formatieren sondern alle Partitionen löschen, auch nur 1 Partition ist eine Partition die man löschen kann. Dann solltest Du Dir eine bootfähige Virenfreie Diskette/CD erstellen mit dem Tool AntiVir Bootsektor-Reparaturtool und damit den Bootsector überprüfen und ggf. die Viren löschen. Dann erst mit dem Assistenten bei der Installation wieder eine Partition erstellen und formatieren.

alles was ich installiere, habe ich mitlerweile auf einer festplatte, die habe ich das letzte mal vorher abgeklemmt und erst angeschlossen, als Kaspersky drauf war, um sicher zu gehen, dass sich da vorher nichts installiert, kabel war natürlich auch abgeklemmt.

Die Viren sind ja trotzdem gekommen, also stimmt doch was an den Daten nicht, die Du bereits auf der anderen Platte hast.

Was hat es denn mit dem "malicious" in der mbr.exe zu tun von dem Gmer.net?

Was ist denn mbr.exe und Gmer.net, ein installiertes Programm? "malicious" heisst soviel wie bösartig.

 

[Plastikman]

Ah, jetzt verstehe ich. Kann man das Tool auch auf DVD brenne? hab das gemacht, startet nur nicht beim booten ^^

 

[werkam]

Wenn Du eine bootfähige CD/DVD erstellt hast und dann das Tool draufbrennst, starte doch die CD/DVD und Du musst dann das Programm starten. Evtl im Bios umstellen, das er von CD starten soll.

 

[Plastikman]

Es hat gebootet von der DVD, aber dann macht er nichts mehr. Oder dauert es nur ewig? Kommt ein Menü?
Naja die mbr.exe hab ich aus anderen Foren, mit der kann man überprüfen, ob der MBR in Ordnung ist.

 

[werkam]

Das Programm ist ein selbstbrennendes Iso Archiv, runterladen, CD einlegen auf die es gebrannt werden soll, dann die bootwizard.exe starten, es kommt ein Fenster wo man den Brenner auswählen kann, OK drücken und es wird eine bootfähige CD gebrannt. Von dieser bootest Du und folgst den Anweisungen.

Naja die mbr.exe hab ich aus anderen Foren, mit der kann man überprüfen, ob der MBR in Ordnung ist.

Und kann es den Virus denn nicht entfernen?

 

[Plastikman]

Kaspersky und AntiVir entdecken nichts.

Also die Bootfähige DVD funktioniert nicht, die ich erstellt habe, aber die Diskette. Wenn ich laufen lassen, heißt es aber, dass er nicht in Unterverzeichnissen suchen kann oder reparieren, weil es im non-key Modus wäre. Dabei hab ich grad mal Avira Antivir Premium drauf.


So wie es ausschaut was das Grundproblem SECUROM, so ein dreck. Das SECUROM von Drakensang, hat meinen PC so völlig spinnen lassen. Das hat man wieder davon, als ehrlich Käufer...nur Probleme