antivir hat bootsektor gelöscht - was nun?

[††† NelsoN †††™]

hallo
habe hier ein pc von nem kumpel der den "bundeskriminalamt-virus" drauf hatte.
(dort konnte man absolt nichts mehr machen, win hat gestartet, allerdings ohne taskleiste und symbole und nach kurzer zeit kam eine seite das man geld überweisen soll)

im netz hab ich gelesen das man den per abgesicherten modus löschen kann, allerdings kam man da auch nicht rein.

also hab ich die platte jetz in nen anderen pc gesteckt und hochgefahren.
ich konnte auch gleich auf die ganzen daten zugreifen...
habe allerdings gleich antivir gestartet und habs über die platte laufen lassen.
er hat knapp 100 viren gefunden - ich habe alle gelöscht, weil mir die namen alle nichts sagten (zB: jdz[1].exe usw).

dann wollte ich von dieser platte booten, allerdings wird mir dann gesagt das kein bootsektor vorhanden ist und ich ihn per diskette reparieren soll.

soo, jetz hab ich bei google gefunden wie ich den bootsektor reaprieren kann.
mit dem befehl: fixmbr - nachdem ich diesn jedoch ausgeführt habe würd mir nach dem neustart gesagt das kein bootfähiges medium vorhanden ist...



und nun ? wie bekomm ich das wieder hin ohne die platte platt zu machn ?

 

[kernel panic]

neben fixmbr musst du noch fixboot ausführen.... wobei bei 100 Viren neu aufsetzen besser wäre....

 

[first-samurai]

der war aber bestimmt nicht der Bundestrojaner eher mal ein Virus mit Freischaltung via Geld

 

[.mojo]

mit der (XP?)-CD starten, wiederherstellungskonsole
fixmbr
fixboot c:

versuch das mal

 

[Simpson474]

der war aber bestimmt nicht der Bundestrojaner eher mal ein Virus mit Freischaltung via Geld

Es ist natürlich nicht der offizielle Bundestrojaner, aber als BKA-Trojaner ist er weit bekannt

Bei knapp 100 Viren kann man nur einen Ratschlag geben - installier Windows neu. Ist zumindest ein halbwegs guter Virus dabei, so bekommst du das System nicht mehr 100% sauber hin.

 

[††† NelsoN †††™]

@haasenfranz /@.mojo
funktioniert leider nicht... da sagt er: bootsektor konnte auf festplatte nicht gefunden werden.

mir gehts aber drum das ich auf die daten zugreifen kann die drauf sind


@first-samurai
nein ich meine nicht den bundestrojaner.
bei dem virus stand überall auf der seite das man erwischt wurde pornographien runtergeladen zu haben und soll jetz ans bundeskriminalamt zahlen.
(das hier kam:
http://der-technik-blog.blogspot.com/2011/07/bka-virus-sicher-entfernen.html )

 

[Simpson474]

Der BKA-Trojaner besteht jedoch nur aus sehr wenigen Dateien - wenn fast 100 Viren gefunden wurden, so sind auch schwerere Geschütze dabei.

 

[easy.2ci]

bundeskriminalamt-virus

Von da an habe ich aufgehört zu lesen

Kannst ja mal mit dem Microsoft Kernel Debugger dein System absuchen:
http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx

oder mit dem Live Kernel Debugger von Mark Russinovich:
http://technet.microsoft.com/en-us/sysinternals/bb897415

oder ob illegale Callback Handler aktiviert wurden:
http://www.moonsols.com/2011/02/17/global-windows-callbacks-and-windbg/

BKA Virus? Sicher nicht.

 

[††† NelsoN †††™]

fast genau wie dieses bild hier sah es aus:

http://2.bp.blogspot.com/-wffd9iwYArE/TjK5yy04t9I/AAAAAAAAANs/inVl3z2yZ5I/s1600/bka-virus.jpg




ich kann ja nicht auf das system zugreifen wie soll da diese progeramme ausführen?
nachdem ich den neustart nach den virenvorgang gemacht habe, wird mir die platte im win auch nicht mehr angezeigt



edit:
also keiner ne idee wie noch an die daten ran komm könnte?

 

[pyrol]

Die Daten sind ja noch da, neben dem Bootsektor hats wohl auch die Partitionstabelle zerschossen. Ich habe selber noch keine Erfahrung damit, vielleicht kann da jemand anderes noch was zu sagen, aber TestDisk könnte dir eventuell helfen.

 

[††† NelsoN †††™]

wunderbar!
mit testdisk konnt ich die alten partitionen wiederherstellen.

so 'nächstes' problem...
also ich seh die platte erst mal wiede in win und kann drauf zugreifen, aber
wenn ich diese platte booten will, kommt anstelle des bootlogos ein bluescreen mit:
stop 0x0000007B - laut microsoft hab ich ein bootsektorvirus.

also hab ich das nochmal probiert: fixmbr, fixboot
bringt allerdings nichts.

wenn ich antivir nochmal drüber laufen lass, löscht er mir die boot daten bestimmt wieder.
gibts noch ne möglichkeit ohne neuinstall ?
(problem ist nämlich das der pc-besitzer kein cds mehr vom pc hat, so wollt ich mir das mit den ganzen treiber krams sparen)

 

[pyrol]

...
gibts noch ne möglichkeit ohne neuinstall ?
...

Nein, ist unsinnig. Irgendwo lassen sich die Treiber schon auftreiben.

 

[.mojo]

ist das ein fertig PC?
Hersteller homepage, TReiber CD runterladen.

 

[.mojo]

easy easy!
Er weiß dass es sich nicht um den Bundestrojaner handelt.
So wie ich das verstanden habe ist dieser hier ("BKA" Trojaner) was anderes und nur ganz gewöhnliche Malware.

 

[Fiona]

Was heißt laut Microsoft hast du ein Bootsektorvirus?
Könnte auch sein, das du den Treiber vom Festplattenkontroller gelöscht haben könntest.
Um dieses zu prüfen, mache mal eine Diagnose mit der Testdisk Boot CD.
https://www.computerbase.de/downloads/systemtools/festplatten/testdisk/

Testdisk kann im Fall auch einen Bootsektor erneut wieder aufbauen.
Auch zur Diagnose zeigt es an, ob das Dateisystem beschädigt ist.

Mache mal eine Diagnose mit Testdisk als Boot-CD.
Zumeist benutzen User eine Digitalkamera oder ein Handy um Fotos mit geringer jpg-Auflösung zu machen.
Spart das abschreiben.
Anonsten würde ich die Infos bei Disk benötigen und die Partitionen die jeweils auf den 3 benötigten Screens angezeigt werden.
Dazu kannst du auch Bart's PE Builder nehmen.
Müßtest aber in Bart's PE Builder Testdisk für eine Diagnose integrieren.
Wäre diese Klickanleitung;
https://www.computerbase.de/forum/threads/s-m-a-r-t-datenrettung-noch-moeglich.229021/#post-2258849
Ansonsten kannst du auch die Testdisk FreeDOS Boot-CD nehmen;
https://www.computerbase.de/downloads/systemtools/festplatten/testdisk/

Die Diagnose wäre ungefähr;

Starte Testdisk bestätige bei dem Log-Datei-Screen mit Enter, wähle deine betroffene Festplatte aus und bestätige mit Enter, bestätige bei Partition Table Typ Intel, bestätige bei Analyse mit Enter und setze mir einen Screenshot.
Bestätige auch bei Proceed mit Enter (wenn nötig wegen Vista-check mit y) und setze mir auch den Screen.
Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Wenn keine Partition mit Daten gefunden wurde;
Bestätige bei Proceed und setze mir auch einen Screenshot.
Bestätige weiter bis du zum Menü kommst wo unten steht [Quit] [Search] [Write] und gehe mit dem Pfeil auf [Search] (tiefere Suche) und lasse es laufen.
Setze mir auch einen Screenshot.
Die betroffene Partition sollte wenn du den Screen machst markiert sein.

Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Viele Grüße

Fiona