Hi allerseits,

bezugnehmend auf meinen Thread in der Sektion Log-Analyse und Auswertung, sowie weiterführender Korrespondenz zu Chris4You, wurde ich von Letztgenanntem auf diesen Teil des Forums aufmerksam gemacht.

Kurzzusammenfassung:
- Eine intern verbaute HDD (native IDE), SATA, Bootkitverseucht (hat sich im MBR eingenistet), 32bit OS
- " " " SSD (AHCI), ", clean, 64bit OS
- Abgesicherter Modus mit beiden Platten neuerdings nicht aufrufbar, redundantes Bios ist vorhanden, von einem Reset wurde jedoch noch kein Gebrauch gemacht

Nun zu den Fragen:

1.: Wird die auf native IDE eingestellte HDD auch als solche erkannt, wenn man das OS per SSD startet und auch im Bios AHCI aktiviert hat? Als reine Mainplatte startet sie logischerweise nicht, verhält sie sich also als Zweitplatte anders?

2.: Wenn ich die HDD nachträglich auf AHCI umstelle muss ich im Bootmenü logischerweise nach jedem Rechnerstart das OS auswählen. Da im dortigen Menü meines Wissens jedoch nicht die Bit-Version angezeigt wird, laufe ich dort ja stetig Gefahr, die verseuchte Platte auszuwählen. Der schöne alte Jumpertrick bei alten IDE-Platten ist seit SATA ja leider Geschichte, wie kann ich dann sicherstellen, dass die HDD slave und die SSD master wird?

3.: Lässt sich autorun auch nur bei einem einzigen Laufwerk dauerhaft unterdrücken, ohne dies generell deaktivieren zu müssen? Die verseuchte HDD sollte zwecks Verhinderung einer Übertragung des Schädlings auf die SSD auf autorun verzichten, dennoch möchte ich bspw. eine DVD nicht erst zum abspielen des Films manuell öffnen müssen.

4.: Ist bei einer intern verbauten Festplatte autorun nicht ohnehin hinfällig? Immerhin wird sie, anders als die externe Variante, schon vor der Windowsanmeldung erkannt. Könnte sich also nicht schon während des Bootvorgangs der Schädling auf die SSD ausbreiten?

5.: Sobald ich die unverzichtbaren Daten der HDD auf eine externe Festplatte kopiert habe, werde ich die verseuchte Platte formatieren. Wird die unpartionierte HDD dann ähnlich wie eine externe nach dem Windowsstart als leeres Medium angezeigt, oder bittet mich die Platte dann nach jedem Neustart, doch bitte ein OS auf sie zu installieren? Wie man merkt, habe ich bisher keine sekundäre interne HDD genutzt, bei externen stellt sich diese Frage ja nicht.
Welche Variante genießt generell eine höhere Priorität? Die leere HDD die ein OS haben möchte, oder die nutzbare Festplatte, die sich jederzeit starten lässt?

Für hilfreiche Antworten bedanke ich mich im Voraus.

P.S.: Noch etwas grundsätzliches, was eigentlich an erster Stelle stehen sollte: Ich gehe davon aus, dass sämtliche aktuell unsichtbaren Ordner (also quasi der komplette Inhalt des verseuchten Laufwerks) der HDD nach dem Start über ein sauberes Betriebssystems wieder sichtbar werden und somit kopierbar sind. Falls ich hiermit falsch liegen sollte, könnte ich mir den Aufwand sparen, da ich die Daten dann ohnehin nicht ohne weiteres speichern könnte.

eh

Zitat:

1.: Wird die auf native IDE eingestellte HDD auch als solche erkannt, wenn man das OS per SSD startet und auch im Bios AHCI aktiviert hat? Als reine Mainplatte startet sie logischerweise nicht, verhält sie sich also als Zweitplatte anders?

Der MBR ist auf einer Platte jeweils nur 1x da. Wenn du von einer Platte bootest, die keinen schädlichen MBR hat, so wird auch kein Schadcode MBR-bezogen gestartet. Somit wird auch nichts schädliches vom MBR der infizierten Platte ausgeführt.

Zitat:

2.: Wenn ich die HDD nachträglich auf AHCI umstelle

Dann läufst du Gefahr, dass das Betriebssystem Windows garnicht gebootet werden kann. Einmal in AHCI installiert, kann Windows nicht mehr im IDE-compatible gebootet werden und andersrum...
Das hat nichts damit zu tun ob es 32- oder 64bittig ist.

Zitat:

verhält sie sich also als Zweitplatte anders?

Was ist auf dieser Zweitplatte denn noch drauf? Ein anderes Betriebssystem?

Zitat:

3.: Lässt sich autorun auch nur bei einem einzigen Laufwerk dauerhaft unterdrücken, ohne dies generell deaktivieren zu müssen?

Autorun hat NICHTS mit dem MBR zu ein.
Falls du das meinst. Ansonsten:

Automatische Wiedergabe deaktivieren:

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Zitat:

werde ich die verseuchte Platte formatieren

Es gibt so keine "verseuchten" Platten. Wohl aber können Datenträger infizierte Dateien enthalten.
Ich hab auch den Eindruck dass du booten mit autorun verechselst bzw in einen Topf reinrührst.


Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Guten Abend,

danke für die rasche Antwort.
Vielleicht hätte ich mich etwas präziser ausdrücken sollen, daher hier noch ein paar Richtigstellungen.

Zitat:

Wenn du von einer Platte bootest, die keinen schädlichen MBR hat, so wird auch kein Schadcode MBR-bezogen gestartet. Somit wird auch nichts schädliches vom MBR der infizierten Platte ausgeführt.

Zwar scheint sich das Bootkit im MBR eingenistet zu haben, jedoch hat der Schädling vermutlich noch weitere Bestandteile aktiviert/nachgeladen. Immerhin konnten bisher nur die Symptome behandelt werden. Das eigentliche Problem ist ja auch, dass ich bei der OS-Auswahl nicht sehen kann, welche Windowsversion gestartet wird, da sich auf beiden Platten Win 7 befindet. Starte ich also über die falsche Platte, kann sich der Kram durchaus ausbreiten.

Zitat:

Einmal in AHCI installiert, kann Windows nicht mehr im IDE-compatible gebootet werden und andersrum...

Die zweite Frage hat sich mitlerweile erledigt, die HDD konnte den entsprechenden Treiber problemlos laden, jetzt laufen beide Platten problemlos auf AHCI. Wieso du meinst, dass man nachträglich nicht von IDE auf AHCI umstellen kann, kann ich nicht ganz nachvollziehen. Mehr als eine kleine Wertänderung in der Registry und das Aktivieren im Bios bedarf es nicht. Die Werte der SSD vor und nach der Umstellung bestätigen dies auch.

Zitat:

Was ist auf dieser Zweitplatte denn noch drauf?

Hat sich auch erledigt, da jetzt beide auf AHCI gestellt wurden.

Zitat:

Autorun hat NICHTS mit dem MBR zu ein.

Klassisches Missverständnis. Ich habe halt folgende Befürchtung: Nach dem Rechnerstart werden die beiden internen Platten sofort erkannt, nicht erst wie die an USB angeschlossenen Geräte nach dem Windowsstart. Meine Hoffnung ist, dass man per Bioseinstellung den Start der HDD unterbinden kann, sodass sie nicht bei jedem Start mit anläuft und im OS-Menü mit auftaucht. Ansonsten bliebe mir nur noch Hot Swap als Alternative.

Zitat:

Es gibt so keine "verseuchten" Platten.

Das ich damit nicht die physische Beschaffenheit der Platte sondern die Integrität des virtuellen Inhalts gemeint habe, habe ich als selbstverständlich vorausgesetzt. ^^

Zitat:

Ich hab auch den Eindruck dass du booten mit autorun verechselst bzw in einen Topf reinrührst.

Siehe oben, die Frage war vielmehr, ob der reguläre Bootvorgang die gleichen potenziellen Schlupflöcher öffnen kann, wie der autorun nach dem Windowsstart.

Zitat:

Das ich damit nicht die physische Beschaffenheit der Platte sondern die Integrität des virtuellen Inhalts gemeint habe, habe ich als selbstverständlich vorausgesetzt. ^^

Wird aber von vielen trotzdem falsch herum verstanden, habs schon echt ein paar mal gehört, dass manche meinen eine verseuchte Platte müssen man wegschmeißen

Zitat:

Siehe oben, die Frage war vielmehr, ob der reguläre Bootvorgang die gleichen potenziellen Schlupflöcher öffnen kann, wie der autorun nach dem Windowsstart.

Du hast ein Problem bzw. eine infiziertes/kompromittiertes OS, wenn dieses von einem infizierten MBR aus gebootet wird. Was der autorun da eine Rolle spielen soll weiß ich so immer nich nicht genau...

Update:

Also die Fragen 1-5 haben sich soweit erledigt. Seltsamerweise liegt die SSD nun an Position 0 und nicht 1, aber immerhin startet sie automatisch und eine Auswahl des OS wurde mir auch gar nicht erst angeboten (zwar praktisch für meine Zwecke aber wiederum verwunderlich).
Wie erwartet und erhofft werden mir die unterdrückten Ordner und Dateien der HDD nun als versteckt und schreibgeschützt angezeigt.
Neu ist allerdings, dass sich eine zweite, neue Partition ("System-relevant") gebildet hat.
Zwar muss sie über Inhalt verfügen (71,6 von 99,9 MB frei), angezeigt wird mir dieser jedoch nicht.

Zitat:

Zwar muss sie über Inhalt verfügen (71,6 von 99,9 MB frei), angezeigt wird mir dieser jedoch nicht.

Das ist eine Standard-Systempartition, Win7 legt diese immer an...

So, die Frage nach der Herkunft der neuen Partition hat sich auch geklärt. Sie wurde durch tdss generiert und ist daher verzichtbar. Damit wären soweit alle Fragen geklärt.
Falls man mir noch Tipps bzgl aktuell empfehlenswerter Antiviren-/Spywaresoftware zukommen lassen möchte, wäre ich demjenigen sehr verbunden. Ansonsten kann dass Thema geschlossen werden.

Zitat:

So, die Frage nach der Herkunft der neuen Partition hat sich auch geklärt. Sie wurde durch tdss generiert und ist daher verzichtbar. Damit wären soweit alle Fragen geklärt.

Dann hast du aber eine Partition gemeint. Windows7 legt immer eine 100MB Systempartition an, zusätzlich zu einer C-Partition!

Zitat:

Falls man mir noch Tipps bzgl aktuell empfehlenswerter Antiviren-/Spywaresoftware zukommen lassen möchte, wäre ich demjenigen sehr verbunden. Ansonsten kann dass Thema geschlossen werden.

Diese Frage wird hier fast im Minutentakt gestellt
Wenn ich mich entscheiden müsste, ich würde zu Avast oder MSE greifen

Hiho,

leider hat sich doch noch eine Frage ergeben: Besteht die Möglichkeit den MBR neu zu schreiben, ohne dass sich auf der HDD ein OS befindet? Habe noch den ganzen gestrigen Abend mit Recherche verbracht, allerdings keine adäquate Alternative zur Windows-CD-Variante gefunden. Diese benötigt jedoch ein installiertes OS.

Zitat:

Windows-CD-Variante gefunden. Diese benötigt jedoch ein installiertes OS.

Und was soll das für eine CD sein die du da hast?
Es wird kein installiertes OS benötigt um eine Neuinstallation zu machen. Wäre auch absurd, dann könnte man ja nie auf einer neuen Festplatte ein Windows installiere.

Ich möchte aber Windows nicht neu aufsetzen, sondern eben nur den MBR ändern, um für eine zukünftige Windowsinstallation auf der sicheren Seite zu sein. Daher ja meine Frage.

Was wilst du am MBR "ändern"
Du kannst ihn mit Hilfe der Wiederherstellungskonsole neu schreiben aber was willst du da (einzeln?) ändern?
Du hast aber ein Problem wenn die WHK keine Windows-Installation findet.


Und warum glaubst du du bist dann bei zukünftigen Installationen auf der sicheren Seite? Dazu braucht man den MBR nicht zu "ändern"

Zitat:

Was wilst du am MBR "ändern"

Siehe Post #9.

Zitat:

Du hast aber ein Problem wenn die WHK keine Windows-Installation findet.

Exakt, darauf zielte meine Anfrage ja ab. Da du jedoch scheinbar keine Alternativlösung nennen kannst, werde ich zukünftig die HDD ohne installiertes OS betreiben.

Zitat:

Da du jedoch scheinbar keine Alternativlösung nennen kannst, werde ich zukünftig die HDD ohne installiertes OS betreiben.

Nun, falls die WHK wegen der AHCI-Geschichte keine Windows-Installation findet wüsste ich nur zwei Möglichkeiten:

a) im BIOS AHCI umstellen auf IDE/compatible, dann benötigt die WHK keinen AHCI-Treiber
b) entsprechende individuelle XP-Setup-CD mit nLite erstellen, mit nLite kann man u.a. fremde Treiber in ein XP-Setup einbinden und ein ISO daraus machen bzw. brennen

Zitat:

werde ich zukünftig die HDD ohne installiertes OS betreiben.

Das WindowsXP von einer Platte nicht bootet liegt nicht an der PLatte selbst, sondern wie o.g. am fehlenden AHCI-Treiber bzw. am AHCI-Modus

Wie du jetzt plötzlich darauf kommst, dass ich XP installiert haben soll, ist mir ein Buch mit sieben Siegeln, vielleicht im Thread vertan?
Bei mir läuft und lief 7, wie aus meinem im Urpost bereits angesprochenen Thread in der Sektion Log-Analyse und Auswertung einwandfrei hervorgeht.
Auch der Zusammenhang zu AHCI ist aus meiner Sicht völlig irreführend, da ja nicht einmal ein OS installiert ist.

Also nochmal ein Überblick: Win 7 läuft auf SSD, auf der vom Schädling befallenen HDD läuft derzeit kein OS.
Frage: HDD (kein OS) -> MBR neu beschreibbar ohne OS installieren zu müssen?