Hey @all

Zuerst mein System und dessen Probleme.
Per Bootmagic konfiguriertes Dual-Boot-System mit Windows98se und Windows2000 (die Partition des nicht gestarteten BS wird versteckt), installiert auf einer 36 GB SCSI-Platte.
98 startet nur noch im abgesicherten Modus (muß aber nicht mit dem "Virus" im Zusammenhang stehen, ich habe 2 160GB IDE-Platten, daran könnte es liegen).
Auf 2000 (NTFS) ist der McAffee 4.5 installiert.
Der schmierte auf einmal ab und sagte mir, ich hätte einen Dateivirus im Bootsektor, den er nicht entfernen kann.
Ein nachträglich installierter Norton AV2002 findet keinen Virus!!!
Habe schon versucht, ein "Rettungssystem" auf einer vorhandenen zweiten SCSI-Platte zu installieren, doch beim booten von dieser schmiert der Rechner ab und zeigt nur "99" an.
Ein auf einer IDE-Platte installiertes System (2000) ließ sich jedoch installieren und starten.
Doch weder der McAffe noch der Norton haben hier einen Virus entdeckt (auf der SCSI-Platte), einzig und allein der McAffe auf meiner "eigentlichen" Systempartition findet ihn...
Wie kann man diesen Virus möglichst schadlos entfernen..

Danke
CU
cardisch

Anmerkung:

Habe mir diesen Virus vermutlich beim surfen" eingefangen, denn ursprünglich ist der Virenscanner auf Dateien im "temporarely Internet Files"-Orner unter \dokumente und Einstellungen\Administrator\lokale Eistellungen\ angesprungen.
Der Rechner meiner Freundin (per Router miteinander verbunden) war auch befallen, ich weiß aber nicht, ob ich den beim surfen auf denselben Seiten auch gesteckt habe, oder ob dem Virus die Netzwerkverbindung ausgereicht hat .
Ich hatte den Rechner meiner Freundin zum ersten Scannen benutzt und dazu Netzlaufwerke auf meinen Rechner eingerichtet).
Hier scheint jetzt aber, nachdem ich das Bestriebssystem (2000) drübergebügelt habe, alles in Ordnung zu sein...

CU
cardisch

Hi,

es kann natürlich auch sein, dass Mcafee nur über das Bootmagic stolpert.
Evtl kannst du MBR&Bootsektor(en) mal mit entsprechenden Tools (bei F-secure/NAI/AVERT/mcafee oder googlen) sichern und an mcafee & andere AV-Firmen einschicken.

Ansonsten fallen mit noch die AV-Bootsets von
www.Vexira.de oder
F-prot_AV-Bootdisks ( www.fprot.org/fr_boot.htm ) in Verbindung mit NTFSDOS-Reader (imho von sysinternals) ein.

Was sagen die FixBoot/FIXMBR/Repair utilities der win2000-Cd ?
Aber Vorsicht:

Ich weiß nicht, ob das a) überhaupt auf dem System so geht &
b) dir nicht deinen Bootmanager zerschießt

HEy...

das stolpern über den Bootmanager sollte ausscheiden, da diese Konstellation von Anfang an Bestand...
Ein "Fixboot" hatte (bei meiner Freundin) nichts gebracht, daß drüberbügeln scheinbar doch...
Fixboot bei mir habe ich noch nicht ausprobiert, aber das drüberbügeln war erfolglos...
Rumgoogeln und die div. Tools probier ich noch mal aus, aber für weitere Tipps wäre ich sehr dankbar

cardisch

</font><blockquote>Zitat:</font><hr />Original erstellt von cardisch:

das stolpern über den Bootmanager sollte ausscheiden, da diese Konstellation von Anfang an Bestand... </font>[/QUOTE]Jou,
aber McAfee ändert ja schon gelegentlich seine Signaturen; und da ich nicht annehme, dass du deine MBR/Bootsektoren jemals eingeschickt hast... kann das schon mal sein, dass die plötzlich als "böse" erkannt werden..

Aber klar, Meinungen von anderen Scannern einzuholen ist wichtig..

Hey...

Gibt es denn keine Möglichkeit (wie unter Linux) den (Master) Bootsektor auszulesen, zu verändern und zurückzuschreiben ?!?!

Ich würde nochmal mit KAV probieren zu scannen, nimm am besten die Rettungsdisketten, die laden funktionieren unter Linux.Vorsicht, entfernen von Viren klappt nicht wenn NTFS als Dateisystem verwendet wird.

Hi..
genau das ist ja mein großes Problem:
Weder PQMagic5.0 noch 8.0 lassen mich meine Systempartition in FAT32 umwandeln...
und die Rettungsdisketten lassen sich nicht auf den neuesten Stand aktualisieren, die haben ne 4,5 Jahre alte virensignatur.
Ich könte zwar mit NTFSDos die NTFS-Partitionen mounten, aber die NTFSDos-Disketten wollen ihre eigene Bootdisketten nutzen..
ich komme also per DOS nicht ohne weiteres an die Systempartition heran...
Noch ein Rat ???

</font><blockquote>Zitat:</font><hr />Original erstellt von cardisch:

Ich könte zwar mit NTFSDos die NTFS-Partitionen mounten, aber die NTFSDos-Disketten wollen ihre eigene Bootdisketten nutzen..</font>[/QUOTE]Was heißt denn das ?

NTFSDOS & F-Prot:

-FAT32-Bootdiskette (Win95B - ME); drvspace.bin kann imho weg
- dazu NTFSDOS.EXE & NTFSHLP.VXD, F-Prot.exe, english.tx0, autoexec.bat

autoexec.bat:
ntfsdos
f-prot /hard /packed /archive /type /beep /loaddef /inter

Disk 2&3 mit den .DEFs beschicken
*
zumindest der Dateiscan klappt problemlos, MBR/Bootviren hatte ich noch nie



P.S.: Was soll eigentlich ein "Dateivirus im Bootsektor" sein (s.o.) ?
was sagt Vexira ?

[EDIT]: für F-Prot kannst für Boot/MBR-Scan imo alles außer
/hard /loaddef
auch weglassen
Option /NOFILE:
"Does not scan files. Only useful if you cleaning up a boot sector infection
and do not want to spend unnecessary time scanning files." könnte auch beschleunigend sein


[ 31. August 2003, 19:38: Beitrag editiert von: Who Cares ]

hey...

alles neu macht der M.. äh September...
Habe den Bootsektorvirus nicht entfernt bekommen (trotz aller tipps - danke nochmal), habe nen fixboot und fixmbr ausgeführt, doch danach war meine 98-Partition defekt...
Habe mich jetzt entschieden, alles neu zu machen..

Trotzdem nochmals danke für eure Hilfe...

Gruß,

cardisch