festplatte mit windows cd formatieren. reicht das?

Kowa

Captain
Dabei seit
Dez. 2008
Beiträge
3.076
Prinzipiell -> Ein Virus kann NIEMALS auf eine (fertige) CD gelangen, ausser du hast die CD selbst auf einem infizierten System gebrannt.

Von Viren die sich aus formatierten Platten wiederherstellen können, hätt ich noch nichts gehört. Aber geile Idee :D
Beides ist nicht ganz unmöglich:

Wenn es eine gebrannte CD ist, womöglich eine CD-RW, womöglich eine unabgeschlossene Multisession-CD kann ein Virus jederzeit eine neue Session öffnen und die Daten abändern. Bei CD-RWs womöglich ungefähr im selben Abschnitt, falls es gelingt diesen zielgerichtet zu formatieren.

Im MBR wurden früher oft Bootloader untergebracht um die jeweiligen Größenbeschränkungen zu umgehen und >512mb , >1gb , >8g zugreifbar zu machen. Das nutzen auch "Boot-Sektor-Viren" wg. denen es auch jahrelang entsprechende BIOS-Sperren gab. Das Formatieren einzelner Partitionen bringt da nichts.

Mit der gestiegenen Komplexität vom UEFI mehren sich auch die Warnungen vor Viren, die sich hier einnisten, statt auf einer HDD.

Windows neu aufsetzen birgt auch die Gefahr, dass ein infizierter Stick oder eine CD, das Smarphone oder die ext. USB-Platte zum Zurücksichern per Autorun das System gleich wieder infiziert, weil man womöglich nicht sofort an das Deaktivieren von Autostart gedacht hat.

Generell finde ich es besser erstmal den Virus zu finden, identifizieren, Verbreitungswege ermitteln und anschließend zu beseitigen. Wird Windows dauernd neu aufgesetzt, ist die Ursache nicht beseitigt, sondern nur die Symptome.
 

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
ja ich habe ein UEFI bios. das asrock h87 pro4 habe ich. gibt es sowas oft, dass ein virus sich im bios einnistet? aber wenn, wie kann man das entfernen?
 

promashup

Admiral
Dabei seit
Aug. 2013
Beiträge
7.296
@Kowa Die Windows DVD ist abgeschlossen, und die Diskussion, ob ein Virus auf die DVD gelagen kann, damit auch.
@Luk4s-320 Es passiert so gut wie nie, dass ein Virus sich ins BIOS nistet, ich kann dir auch gar nicht sagen, wie das bei Otto Normal auch passieren sollte. Entfernen könnte man den, nehme ich an, durch das Rausnehmen der BIOS Batterie für einige Minuten, wenn er sich nicht ausgerechnet dort eingenistet hat, von wo das BIOS resetet wird.
 

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
Im MBR wurden früher oft Bootloader untergebracht um die jeweiligen Größenbeschränkungen zu umgehen und >512mb , >1gb , >8g zugreifbar zu machen. Das nutzen auch "Boot-Sektor-Viren" wg. denen es auch jahrelang entsprechende BIOS-Sperren gab. Das Formatieren einzelner Partitionen bringt da nichts.
was bringt da denn was?
kann ich auch einfach darik's boot and nuke benutzen um da wirklich alles zu beseiteigen? das würde doch was bringen,oder?
Ergänzung ()

@promashup. rausnehmen der batterie? das rausnehmen des jumpers würde es doch auch tun :D
 

Kowa

Captain
Dabei seit
Dez. 2008
Beiträge
3.076
was bringt da denn was?
kann ich auch einfach darik's boot and nuke benutzen um da wirklich alles zu beseiteigen? das würde doch was bringen,oder?
Den MBR kann man z-B. mit gParted neu schreiben oder (sofern man eins hat) vom Backup holen oder mit fixboot /MBR neu schreiben; alles vorausgesetzt, der Virus ist nicht gerade im RAM aktiv.

Ein Virus im BIOS ist seltsamerweise eher selten, vermutlich weil die kommerziellen Trojaner eine breite Basis suchen und dann auf Flash, Java und Windows aufsetzen.

Im BIOS ist dann schon etwas spezieller und NSA-Niveau. Ein Virus kann im Grunde alles machen, was andere Software auch kann. Wer hat z.B. nicht schon die Firmware seiner SSD geflashed? Vorher gecheckt, ob der Code signiert ist? Oder das VGA-BIOS oder von der Netzwerkkarte oder vom Board?
Der Code ist dann schon vorm ersten Zugriff auf eine HDD im System.

Aber da die Komponenten immer ähnlicher werden, ist das wohl nicht das Problem. Gemoddete Firmware gibt es ja auch und das Vorgehen zum flashen ist seit vielen Jahren gleich.
Ergänzung ()

Etwas am Rande: Wer hat eine Vorstellung, wie groß 100kByte sind ?

Schonmal einen 96kb-3D-EgoShooter gespielt? Der Shooter paßt 5x in ein gängiges 512k-BIOS:

http://www.scene.org/file.php?file=/demos/groups/farb-rausch/kkrieger-beta.zip
 

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
wenn ich aber mit darik's boot and nuke formatiere ist doch das mbr auch weg, oder?
 

Kowa

Captain
Dabei seit
Dez. 2008
Beiträge
3.076
Dariks Boot & Nuke kenne ich leider nicht. Der Name klingt für mich nach rumänischem Hacker.

Wie gesagt, solche Viren sind eher unwahrscheinlich, derzeit geht es nur um Java, Windows, Flash ...

Für gewöhnlich werden die gängigen Viren zuverlässig von jedem namhaften Scanner gefunden, wenn nicht sofort, dann sind die Signaturen spätestens nach 2 Wochen aktuell.

Woran machst Du dieses Gefühl eigentlich fest? Womöglich ist etwas anderes am System krumm. Schau mal ins Systemlog, womöglich gibt es da Fehlermeldungen.
 

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
ich meine nur, wenn ich einen virus hätte und da ich das system sowieso neu aufsetzen wollte. meinst du jetzt, dass solche mbr viren unverscheinlich sind, oder die bios viren?
darik's boot and nuke ist ein programm, dass du dir auf die cd schreibst und damit die festplatte so formatierst, sodass die daten zu 100% nicht wiederherrstellbar sind. aber wenn ich formatiere ist das mbr ja soweiso weg,oder?
Ergänzung ()

Im MBR wurden früher oft Bootloader untergebracht um die jeweiligen Größenbeschränkungen zu umgehen und >512mb , >1gb , >8g zugreifbar zu machen. Das nutzen auch "Boot-Sektor-Viren" wg. denen es auch jahrelang entsprechende BIOS-Sperren gab. Das Formatieren einzelner Partitionen bringt da nichts.
kriege ich das mbr denn weg, wenn ich die partitionen denn zusätzlich noch lösche und dann alles neu partitioniere?
 

Kowa

Captain
Dabei seit
Dez. 2008
Beiträge
3.076
Wie in Beitrag Nr.6 beschrieben enthält der MBR den Bootloader und dieser kann Viren enthalten. Früher war das nicht unüblich, heutzutage ist das aber selten, weil sich dieser Bootloader nicht auf ein Betriebssystem stützen kann, mit all seinen Möglichkeiten. Das Betriebssystem wird ja erst später gestartet.

Der MBR enthält neben dem Bootloader die Partitionstabelle. Diese wird nur dann verändert, wenn man die Größe einer Partition ändert. Beim Formatieren wird max. der Typ aktualisiert. So gesehen wird auch ein fixboot /mbr den Bootloader nicht anfassen, sondern lediglich prüfen, ob die richtige Partition im MBR aktiv ist. Genau weiß ich es aber nicht.

Da der Wikipediaartikel recht roß ist also in Kürze: es ist eine Tabelle, in der für 4 Partition lediglich die Nummer des Star- und Endesektors enthalten ist. Zusätzlich gibt es noch ein paar Markierungen, welchen Typ diese Partition hat und von welcher der Partitionen gebootet werden soll. Das sind 4 kurze Zeilen mit je 3 Zahlen.

Das Tool scheint zu funktionieren:
"DBAN is a self-contained boot disk that automatically deletes the contents of any hard disk that it can detect. This method can help prevent identity theft before recycling a computer. It is also a solution commonly used to remove viruses and spyware from Microsoft Windows installations. DBAN prevents all known techniques of hard disk forensic analysis."
 

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
dann kann ich ja einfach mit dban die festplatte formatieren, um sicherzugehen, dass falls ich ja solche bootloaderviren hätte, dass diese auch weg sind. aber warum wird denn beim formatieren über die windows cd das mbr nicht gelöscht? ich meine, wenn der schon formatieren soll, dann aber ja auch alles, was auf der festplatte ist :D
 

Madnex

Vice Admiral
Dabei seit
März 2004
Beiträge
6.621
Der Unterschied zwischen der Formatierung unter Windows und DBAN ist der, dass die Windows Formatierung primär den Zweck hat die Verwaltungsinformationen des Dateisystems und (wenn man die Partitionierung auch mit einbezieht) der Partitionen anzulegen. Vorhandene Verwaltungsinformationen müssen also beachtet werden und eventuell auch unangetastet bleiben. DBAN hingegen ist völlig egal was für (Verwaltungs-)daten auf der Festplatte sind. Dessen Zweck ist die saubere Löschung der Festplatte. Es nullt einfach jeden Sektoren ohne Rücksicht.

Ab Vista hat Microsoft eine Änderung in der Formatierungsfunktion eingeführt. Ab dieser Windows Version werden (bei einem Vollformat; der langsamen Methode) alle Sektoren innerhalb der zu formatierenden Partition genullt und die Daten somit sauber gelöscht. Die vorherigen Versionen haben hierbei lediglich eine Leseüberprüfung der Sektoren durchgeführt, also nichts wirklich gelöscht. Dass ab Vista die Sektoren innerhalb der Partitionen bei einer langsamen Formatierung genullt werden, bedeutet aber auch, dass die sogenannten Meta-Daten und alle Sektoren außerhalb der Partitionsgrenzen unangetastet bleiben und nicht sauber gelöscht werden. Hierzu kann man unter Windows (oder von der Windows Installatins-DVD aus) jedoch den diskpart clean Befehl verwenden, wodurch auch sich dort eingenistete Schadsoftware eliminiert wird.

Diskpart ist ein Kommandozeilenprogramm und kann unter Windows oder beim Booten über die Windows-Installations-DVD über die Eingabeaufforderung aufgerufen werden.
 
Zuletzt bearbeitet:

Luk4s-320

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
304
okay, aber ich bleib trotzdem bei der dban methode :D aber trotzdem danke für deine hilfe und für die hilfe der anderen auch,die mir hier versucht haben, etwas weiterzuhelfen und mich aufzuklären über dieses thema :)
 
Top