mutmasslich virenverseuchter win pc, daten, partitonstabelle

michaa7 · Beitrag von **michaa7** » 10.01.2007 17:20:05

Ich hoffe mit dem titel die mitteilungslustigen fachleute angelockt zu haben

Es geht um das sichere überschreiben/zerstören von ungewollten "Gästen" im bootsektor unter beibehaltung der partitionstabelle!

situation:
ein nicht mehr bootfähiger (d.h. er blieb immer beim laden der netzwerk einstellungen hängen und startete auch bei noch so langer wartezeit nicht mehr durch), mutmasslich viren befallener win 2000 pc soll von mir neu aufgebaut werden. Da der rechner auch mit win 2000 reparaturkonsole nicht wider flott zu bekommen war (keine notfalldisketten) habe ich versucht von linux aus mittels f-prot zu scannen, erhielt jedoch auch so KEINEN zugriff, sondern von f-prot nur ne meldung in der art: /dev/hda1 kein gültiges medium oder so ähnlich. Gleichwohl kann ich mit der gparted live cd oder kanotix darauf zugreifen, sowohl auf fat als auch auf ntfs partitonen.

lösungsschritte:
Da ich einerseits festplattenplatzmangel habe, und auch einige daten ( video, bilder, OO-documente u.ä.) erhalten will und muß, habe ich allen verfügbaren platz zusammengefaßt und auf linux/reiserfs formatiert und darauf diese daten gerettet.

problem:
Ich möchte jetzt alle anderen partitionen löschen und neu anlegen. Nun zur eigentlichen frage. Die geretteten daten werde ich noch nach viren scannen und dann eben je nach dem für virenfrei erklären. Wie gehe ich mit dem bootsektor um? Ich wollte den eigentlich mit nullen überschreiben und dann die partitionstabelle zurückschreiben. Oder ist es, was mögliche viren betrifft schon ausreichend, dass ich den ursprünglichen bootsektor (win 2000) mit grub überschrieben habe.

In jedem fall wäre ein hinweis auf eine seite hilfreich, die nochmal genau den aufbau des bootsektors inkl. partitionstabelle beschreibt. Auch gibt es ja zwischen bootsektor und partitionstabelle nochmal 4 oder 8 byte mit irgenwelchen flags. Ich habe bislang erst zwei mal an bootsektoren manipuliert, aber jedesmal mit erfolg, daher traue ich mir das schon zu, bei ausreichender info das wiederum hinzubekommen.

Danke vorab für eure hilfe.

blueflidge · Beitrag von **blueflidge** » 10.01.2007 17:40:44

Hast Du es schon mal mit ner normalen Windows-Bootdiskette versucht und fdisk /mbr ? Das schreibt Dir den MBR neu, wenn er Fehler enthält. Könnte Dir ein Image von so einer Diskette zukommen lassen

michaa7 · Beitrag von **michaa7** » 10.01.2007 17:49:44

Danke für dein angebot, aber ich habe mich bei "nicht mehr bootfähig" wohl unvollständig ausgedrückt: Der rechner bootet ZUNÄCHST ganz normal, der windows bootloader startete ( nun ist ja Grub drauf, und grub starte natürlich mein zwischenzeitlich auch in eine neu eingerichtete partition installiertes linux) und windows 2000 wurde bis zum netzwerk geladen. Dann nichts mehr (auch nicht nach 1/2 stunde wartezeit).

Mit meiner anfrage ging es NICHT um das wieder bootbarmachen ( weil ich die windows installation sowie neu aufbaue) sondern das sichere überschreiben/zerstören von ungewollten "Gästen" im bootsektor unter beibehaltung der partitionstabelle! Nichts anders. Den mbr könnte ich natürlich einfach mit der win2000 reparaturkonsole überschreiben, aber ist der virenbehaftet nutz das eventuell so nichts.

herrchen · Beitrag von **herrchen** » 10.01.2007 18:52:02

michaa7 hat geschrieben:sondern das sichere überschreiben/zerstören von ungewollten "Gästen" im bootsektor unter beibehaltung der partitionstabelle!

der bootcode befindet sich in den ersten 446 byte des MBR.
du kannst ihn mit "dd" überschreiben.

herrchen

michaa7 · Beitrag von **michaa7** » 10.01.2007 20:26:13

danke für die info, bei wkipedia habe ich zudem ne klare beschreibung der einzelnen abschnite gefunden 440+4+2+64+2=512.

Ist es eigentlich nötig, den bootsektor nochmal zu überschreiben, nachdem ich ja schon grub drüber installiert habe? Anders ausgedrückt: Sind bootviren im grub-mbr bekannt? ein virus im windows-mbr hätte ja während der Kanotixinstallation aus dem windows-mbr ausgelesen werden müssen und dann vom Grub installer reinstalliert werden müssen.

Naja, vllt besser auf nummer sicher gehn!

pluvo · Beitrag von **pluvo** » 11.01.2007 08:27:17

Klingt ja alles sehr abenteuerlich, aber wenn du es noch nicht getan hast dann solltest du dir zumindestens eine Sicherung vom MBR auf ein externes Medium anlegen

http://www.linux-fuer-alle.de/doc_show.php?docid=112

michaa7 hat geschrieben: habe ich versucht von linux aus mittels f-prot zu scannen, erhielt jedoch auch so KEINEN zugriff, sondern von f-prot nur ne meldung in der art: /dev/hda1 kein gültiges medium oder so ähnlich

Also das liegt wohl daran, dass f-prot mit der Gerätedatei /dev/hda1 nichts anfangen kann. Du solltest vorher die Partiton einbinden und dann überprüfen lassen.

Meinetwegen:

Code: Alles auswählen

cd /mnt/
mkdir win2k
mount /dev/hda1 /mnt/win2k
f-prot /mnt/win2k

*nicht hauen*

Aber du hast ja wenigstens mal versucht die Kiste im abgesicherten Modus hochzufahren oder?

michaa7 · Beitrag von **michaa7** » 12.01.2007 17:06:54

w2k im abgesicherten modus habe ich versucht, auch wiederherstellungskonsole etc.

Was das virenscannen und /dev/hda1 betrifft hast du natürlich recht wie ich mittlerweile auch schmerzlich feststellen mußte. Ich hatte mich durch den f-prot hilfetext (fprot [drive, file or directory] [options]) in die irre führen lassen. Klar weiß ich dass man unter linux nur in verzeichnisse schreibt. Aber beim virenscanner habe ich dummerweise diese regel gedanklich ausser acht gelassen. Tja, leider habe ich nun alle betroffenen windows laufwerke schon gelöscht, verändert und neu angelegt, so dass ich nie erfahren werde, ob es da unerbetene gäste gab oder nicht.