Suspekte Einträge in Spur 0 ?

[maxion]

Beim Überprüfen der Systempartition (Hexdump) gefallen mir einige Einträge auf Spur 0 nicht:
Sektor 1 (MBR) bis Sektor 7 sind beschrieben, eigentlich sollte ab dann bis Sektor 63 nix mehr stehen?
Aber ab Sektor 18 und weiter bis Head 3 ist alles beschrieben, u.a. lese ich Wörter wie worm, trojan u. ähnliche an Malware erinnernde Wörter.

Bilde mir ein, daß diese Einträge vor einigen Monaten (hatte bewusst einen Eintrag im Sektor 33 gelöscht) nicht da waren, sonst hätte ich den Sektor nicht so rasch gefunden ...

Meines Wissens schreibt kein Programm (ggf. SafeCast) in die Spur 0.

Wenn es Malware ist, so fällt mir nix auf (Check mit netstat, Hijack, Prozess- u. Dienstkontrolle). Zudem rennt KIS, Firewall wird nach dezidierten Regeln kontrolliert.
Das System (Dualboot WinXP/Ubuntu) startet zwar etwas langsam, aber das kann auch an mir liegen (ändere oft was an der Registry).

Am Liebsten würde ich diese Sektoren löschen, aber das Thema ist doch Neuland für mich.
Bitte um Hinweise, thx

 

[Fiona]

Sekor 33 kann auch von Vista sein?
Die Einträge können auch Überbleibsel sein.
Da auf den Speicher bis Sektor 63 normal nicht zugegriffen wird, werden diese noch angezeigt und werden auch nicht beim Partitionserstellen überschrieben.
Wenn nicht benötigt können diese mit einen Festplatteneditor mit Nullen gefüllt werden.
Sektoren können auch vorher in Datei gesichert werden.

Viele Grüße

Fiona

 

[maxion]

Warum nun 'Überbleibsel' auf Spur0, versteh ich nicht, da Partitionen vor 2 Jahren erstellt u. kaum geändert wurden - auf jeden Fall nicht in Größe/Filesystem. Andererseits teste ich ohne Scheu immer wieder Proggies ...

Sektor 33 ist bei mir nicht Vista, da WinXP/Ubuntu Dualboot.
Auf Sektor 32 u./od. 33 habe ich damals Reste von AdobeCS3 entfernt.
Und da war der Rest der Spur 0 noch 'clean'.

Egal, wenn Du meinst, daß es kein Hinweis auf Malware ist, bin ich beruhigt.
Wollte noch Hexdump eines Sektors mit den dubiösen Wörtern uploaden. Geht grad nicht, weil ich auf Thinkpad grad die 2. HDD schreddere, da Klonen nicht klappte.

Werde zur Vorsicht sichern u. die sonderbaren Einträge überschreiben.

Danke für die rasche Antwort.

 

[Fiona]

Sicherlich sollte Malware ausgeschlossen sein.
Teile mal mit, ob du Verdacht hast?

Viele Grüße

Fiona

 

[maxion]

Anbei Shots von Sektoren der Spur0.

Mir gefallen die Einträge wirklich nicht ...
Das geht weiter bis ca. Mitte von Zylinder0, Head3.
Wie schon erwähnt, habe ich KIS, checke oft via netstat u. HiJack - finde nix suspektes.

Meine Idee ist, Sektoren zu sichern u. dann zu überschreiben (zumind. auf Spur0).
Ggf. auch Spur 1 bis 3.
Kann halt nicht erkennen, was davon wirklich Müll ist - und manuell Sektor by Sektor zu sichern/löschen, werd ich mir sicher nicht antun.

 

[Fiona]

Sektoren die nach Cylinder 0, Head 1 und Sektor 1 oder absolute Wert 63 anfangen liegen bereits im Dateisystem.
Daher ist dort Vorsicht geboten.
Kritisch ist die Zuordnung aus einem Speicherauszug (Binär auf Text) zu interpretieren.

Im Fall um es zu testen, sichere alle Daten.
Markiere im Editor den ersten Cylinder und fülle deinen gewünschten Bereich, angefangen vom MBR mit Nullen.
Wenn du es mit Acronis Disk Director machst, markiere das linke Feld und die Partition bei der Festplattenauswahl, sonst kommst du nicht in den Bereich vor Sektor 63.
Lasse es als Hex anzeigen.
Jetzt ist der erste Sektor der MBR.
Sichere die Sektoren in eine Datei und fülle die betreffenden dann mit Nullen.
Du kannst die Festplatte nach der Prozedur in der Datenträgerveraltung neu erstellen und die Daten zurückkopieren.
Prüfe dann ob es etwas gebracht hat.

Viele Grüße

Fiona

 

[maxion]

markiere das linke Feld und die Partition bei der Festplattenauswahl, sonst kommst du nicht in den Bereich vor Sektor 63

DAS war es. Dummer Denkfehler von mir: Nur die Disk markieren, NICHT die Systempartition. In der Spur 0 steht nach den ersten Sektoren wirklich nix mehr.
Wunderte mich zwar, daß absoluter Sektor bei 63 beginnt - aber dachte, das Programm 'zählt' einfach anders, zumal 0 1 1 auch mit 55 AA endet.

Im Übrigen steht in Sektor 1 u. 2 (absolut) etwas v. Geometrie-Error, im letzten beschriebenen Sektor 17 wird nochmals drauf hingewiesen. Kann dies an Linux liegen? Zumal Ext3 u. Swap in erweiterter Partition liegen.
Und: Kann dies ggf. der Grund sein, daß ich die HDD nach dem Klonen nicht booten kann (wobei ich eher auf GRUB tippe, da ich auf größere HDD klone).

Kritisch ist die Zuordnung aus einem Speicherauszug (Binär auf Text) zu interpretieren

Stimmt. Aber wenn doch Wörter rauszulesen sind, sollte dies ein wenig 'aufschlussreich' sein? Sollte 'ominöse' Einträge eher nicht löschen, denn ggf. gehören sie zur KIS-Datenbank.
Andererseits: Auf andrem PC-System (ähnl. Partitionierung, Programmen und KIS) sind vergleichbare absolute Sektoren leer ...

Herzlichen Dank für Deine Hilfe (vor einigen Monaten kam ich 'zufällig' auf richtige Spur *g*)!