Bevor ich die Platte von NTFS auf FAT32 wandle eine Frage noch :
Wirkt sich das auf die Programme und auf windows selber gar nicht aus ? Die Platte ist übrigens eine 500 er.

Vor 3 Tagen habe ich meine Hauptpartition (Festplatte C)mit Hilfe von "Power Quest - Partition Magic" von 150 GB auf 100 GB verkleinert. Ich weiss nicht ob das Zufall ist und der YooYoo Virus noch kommt oder ob das Neuschreiben des MBR durch Partition Magic schon die Lösung war, aber bis jetzt verhält er sich ruhig.

Diese Lösung, wenn sie es denn ist , funzt aber nur wenn man einen funktionierenden Klon seiner Platte hat. Ob das auch bei einer FP mit einem aktiven YooYoo Virus hilft kann ich nicht sagen.
Mehr demnächst

Hi,

das wäre nicht schlecht, wenn er durch das "resizen" der Platte eleminiert weden könnte. Das Umwandlen von NTFS auf FAT32 hat verschiedene Nachteile, bestimmte Infos gehen verloren (Streams etc.). Filegröße ist auf max. 4GB begrenzt, Partitionsgröße auch (änder sich aber mit der Blocksize ->http://de.wikipedia.org/wiki/File_Al...on_Table#FAT32)...

Halte uns auf dem Laufenden....

chris

Auf 4 GB begrenzt ?

Ich kann also Partition C gar nicht auf FAT 32 umwandeln wenn sie 150 GB gross ist ?

Wenn jemand das hier liest bei dem der Virus bereits zugeschlagen hat und der deswegen seine FP nicht mehr starten kann dem empfehle ich mal folgendes:
Ein Kumpel soll Partition Magic Installieren und dann das 2 teilige Rettungsdisketten Set damit herstellen.
Diese soll er dann in seinem PC starten und dann mit Partition Magic die Partition auf der Windows ist (also C) verkleinern. Es genügt schon ganz wenig, Hauptsache der MBR wird neu geschrieben. Ich vermute mal dass dann der verseuchte MBR beseitigt ist.

Ok, hier nochmal der Vollständigkeit halber der gesamte Vorgang:

Also, ich glaube ich habe ein Mittel gegen den Y∞Y∞ Virus gefunden. Allerdings habe ich die Nachfolgende Methode nicht mit einer Festplatte gemacht auf der der Virus bereits aktiv wurde sondern auf einer auf der er noch im Schlummerzustand war. Vielleicht funktioniert es ja trotzdem auch auf einer aktiv befallenen FP.

Wenn jemand den Y∞Y∞ Virus auf seinem Rechner hat und das hier lesen kann dann ist er entweder mit einem Klon der Festplatte hier, so wie ich monatelang, oder er ist auf einem anderen Rechner online.

Also, hier meine Anleitung:

Installiere Partition Magic 8:

http://www.pcwelt.de/start/sof ... _magic_80/

Erstelle damit 2 Rettungsdisketten (Oben bei "Tools" auf "Rescue Disks" klicken)

Starte dann den infizierten Rechner damit.

Klicke dann die Hauptpartition (C) mit der rechten Taste an und wähle "Resize / Move"

Verkleinere dann diese Hauptpartition um einige wenige GB. Wieviel ist egal, hauptsache kleiner.
Klicke dann links unten auf "Apply"

Dann beginnt das Programm zu arbeiten.

Danach ist Deine Hauptpartition ein wenig kleiner und ein neuer MBR wurde geschrieben, der dann höchstwahrscheinlich ohne den YooYoo Virus ist.

Bei mir hat er sich jetzt schon seit etlichen Tagen nicht mehr gemeldet, also gehe ich davon aus dass es stimmt, wenn nicht dann werde ich das in den nächsten Tagen berichtigen.

Alle nachfolgenden Partitionen haben allerdings nun den falschen Laufwerksnamen, deswegen muss man das neu entstandene Partitiönchen umbenennen in einen Buchstaben am Ende des Alphabets (in "X" oder "Y"), und anschliessend kann man den alten Partitionen wieder ihren ursprünglichen Buchstaben geben damit die Verlinkungen wieder stimmen.

Ich bitte um Feedback wie es bei Dir gelaufen ist und ob es geklappt hat.

Hallo,

alles sehr mysteriös. Ich hatte den Virus auf meiner Boot-Platte.
Ich habe dann ein paar mal den MBR neu geschrieben, Rechner ließ sich booten
und lief dann normal, ja, bis zum nächsten Neustart. Ich vermute mal, der Virus
hat sich ganz woanders versteckt und hat sich dann in den MBR "reingeschrieben".
Ich habe dann die ganz harte Tour gemacht: Meine Daten, die ich noch brauche,
gesichert und dann die Platte formatiert, den Anfang der Platte mit Nullen überschrieben, neu partitioniert und Windows neu aufgesetzt. Das ist nicht die
elegante Methode, aber ein frisches Windows hat doch auch was und der Datenmüll der letzten 2000 Jahre ist auch weg.

H-Sittich

sittich, mit was hast du denn den mbr neu geschrieben ?

Hi,

es deutet alles darauf hin, das sich das Teil am Ende der Partition niederlässt, so das durch dass verkleinern der Partition eliminiert wird. Unklar ist mir die Aufrufsequenz (wann wird es wie ausgeführt). Irgendwo müsste ein Verweis existieren... . Vielleicht wird auch die Kopie der MFT geändert, so dass Windows bei ausführen die Differenz erkennt und das Teil einfach wieder aktiv setzt, so dass ein einfaches schreiben des MBR und der ersten MFT nicht aussreicht, sondern die MFT und ihre Kopie gleichermaßen bereinigt werden muss...

Aber ich bin leider kein HDD und NTFS-Fachmann, Fakt ist, das über booten von einer sauberen CD und der anschließenden Verkleinerung der HD yoyo entsorgt wird.

chris

Zitat:

Zitat von Motels

sittich, mit was hast du denn den mbr neu geschrieben ?

Ich habe den Rechner mit Winbuilder Live XP (musste mal googlen) gebootet.
Auf dieser Live XP - CD gibt es ein Programm namens Testdisk, mit dem man
MBR löschen,schreiben usw. kann.
Man kann auch mit Linux-Versionen den MBR neu schreiben (z.B. Knoppix).

H-Sittich

Also, es gibt Neuigkeiten:

Ich habe nun mal einen Klon angeschlossen und gewartet bis YooYoo sich meldet.
Nach 5 mal rauf und runterfahren hat sich YooYoo gemeldet, und dann habe ich versucht die FP zu reparieren mit den beiden PM Rettungsdisks.

Resultat:
Die Rettungsdisks unb das Programm PM lies sich starten. Die maus funktioniert nicht, deswegen muss man mit F 10, Enter und F6 Taste arbeiten.

Die Resize Funktion lies sich starten,

ALLERDINGS: kurz bevor Rezize beendet wirde kam diese meldung:

Error # 1508 - Bad directory buffer signature

Shit.

Ich habe dann diese defekte FP per USB an einen PC angeschlossen und das gleiche nochmal versucht (also Resize)

Das hat dann auch funktioniert, als ich aber diese Platte dann als Hauptplatte angeschlossen habe war YooYoo nach wie vor da !!!

Das bedeutet: Ich selber habe zwar eine YooYoo freie Platte weil ich Reziye vor dem aktiven YooYoo gemacht habe, aber einen bereits aktivierten YooYoo kann man mit meinr Methode nicht löschen.

Hat noch jemand eine Idee ausser Neuinstallation?

Ps: Sittich: Habe mit Testdisk einen neuen MBR geschrieben, YooYoo war trotzdem noch da !!!

Ich habe drei erfolgreiche Ansätze gefunden:

a.) Dein Versuch mit Ghost (den ich aber aufgrund unterschlagener Einstellungen nicht wirklich für erfolgreich halte)

b.) Umwandeln in FAT (das aber einige Nachteile hat)

c.) Einsatz von Rasnicks Tools (der am meisten Erfolg verspricht, den MBR als Standard umwandeln, s. YoYo at startup?? oder yoyo virus ?? - Windows) => die sind zwar nicht mehr supported, aber da das Teil uralt ist, wäre das ein Ansatz => Ranish Partition Manager. Hard Disk Partitioning Software. Download freeware tools and source code...

ciao, andreas

Was ist Ghost für ein Programm?

Also, ich bin immer noch virusfrei.
Jetzt kann ich schon mal sagen dass fakt ist dass der yoyo virus nicht weiter rumgeistert sondern dass ich irgendwann mal ein infiziertes programm geöffnet habe in dem er drin war.
daraufhin hat er sich im masterboot record MBR eingenistet und das wars.
wenn er von dort (MBR) entfernt wird dann ist er auch vom pc verschwunden, abgesehen von dem programm mit dem er gekommen ist. aber dort drin schlummert er ja und ist nicht aktiviert.

Zitat:

Was ist Ghost für ein Programm?

http://www.symantec.com/de/de/norton/ghost

Zitat:

Also, ich bin immer noch virusfrei.

Dann bist du entlassen.

ciao, andreas

Damit erstellt man eine Sicherheitskopie von seinem WIndows XP MBR:

Enthalten ist die für XP funzende WIN 98 Startdiskette inclusive MBR Sicherungsprogramm und Deutscher Anleitung:
http://www.taxi-west.de/MBRsichern.rar