Neuinstallation & MBR , evtl Malware - Wechsel zu Linux
 

Hallo allerseits,

zuerst hoffe ich das ihr mir weiterhelft :daumenhoc

Nun zu meinem Problem:
Ich bin jahrelanger Windoof Nutzer und habe die Schnauze voll.
Nun kam dazu das ich anhand versch. Anzeichen feststellen musste das ich mit Malware infiziert bin.
So oder so will ich mich von Windows trennen und zu Linux wechseln (Ubuntu) - nun habe ich aber das Problem das ich mich zwar mit allgemeiner Windows Sicherheit und Neuinstallation auskenne, nicht aber damit wie ich den MBR bei 2 Festplatten (1x SSD / Windows hier installiert) und (1x HDD / Datengrab) lösche und Partitionen sicher überschreibe ("lösche").
Dann habe ich eine andere Frage: (Klingt sicher etwas paranoid) Ist es möglich das sich die Malware ins UEFI geschrieben hat und so die Neuinstallation über lebt? (Mein Motherboard: H87-HD3 ; UEFI DualBios)

Hoffebtlich saubere Ubuntu CD ist schon vorhanden. (-> Chip Heft)

Zusammengefasst suche ich nach einer Anleitung zur Löschung des MBR bei 2 Festplatten, Löschung der Partitionen und das saubere Installieren und abschließende Absichern von Linux.


Ich danke euch schonmal!

Viele Grüße,
Winux


PS. Datensicherung ist per LiveSystem schon geschehen, Stick wird ausschließlich bei LinuxLive System angeschlossen. Des weiteren schreibe ich am Smartphone, da keine anderen sauberen Computer gerade verfügbar sind.

Hi,

ich schubse dich mal ins Linux Forum, da die MBR dort in einem Rutsch gleich mitgekillt werden können. Brauchen wir dann nicht mit normalen Mitteln zu machen :)

MBR kannst du nicht löschen höchstens überschreiben. Das geschieht automatisch wenn du ein neues System (z.B. Linux) installierst. Ohne den MBR - da steht nämlich die Partitionstabelle könntest du nicht starten. Beim installieren eines neuen Systems inkl. Partitionierung wird der aktuelle Stand im MBR gespeichert um die Partitionen wiederfinden zu können.

Linux setzt grundsätzlich auf GPT das ist ein anderes Partitionsschema als beim MBR. Zwar liegt MBR immer noch aus Kompatibilitätsgründen auf Sektor 0 aber wird für GPT eigentlich nicht benötigt.

FAQ zu UEFI, BIOS, GUID Partition Table (GPT) und Master Boot Record | WindowsPro

Du kannst den MBR überschreiben in dem du mit einem Livesystem bootest und folgenden Befehl eingibst (auf eigene Gefahr!):
Wobei mit hdx deine erste Festplatte gemeint ist z.B. hd0. Auf diesem Weg wird der MBR überschrieben ohne das die Partitionstabelle verloren geht.

Das installieren von einer Heft-CD war früher eine gute Sache, heute kann ich nicht genau sagen ob (aufgrund die Verbreitung über die Redaktion) irgendwelche Toolbars etc. mitinstalliert werden.

Ich habe die iso's immer direkt heruntergeladen vielleicht kann jemand der über Magazin-CD installiert hat mehr dazu sagen.

Toolbars bei Heft-CDs sind mir unbekannt, aber ich empfehle auch den Download direkt vom Anbieter (hier : Ubuntu).

In Linux Foren tauchen oft Leute auf mit komplett vermurkster Installation die oft auf eine Heft-CD zurückzuführen ist- mit nem eigenen aktuellen Download sparst du dir den Frust.

Aktuellstes ISO der Lieblingsdistri runterladen, mk5 oder sha1 Test machen (auch ob die Daten richtig gebrannt wurden falls man nicht gleich vom Stick installiert) und installieren.

Hey danke für die Antworten.

Bei mir ergeben sich nun folgende, weitere Fragen:
1. - Ist es möglich das der Virus das LiveSystem angreift, wenn die Festplatten gemountet werden?
2. - Wieso ist der Befehl auf eigene Gefahr? Kann dadurch die Festplatte unwiderruflich kaputt gehen?
3. - Muss ich bei Infektion / Malware / Root- / Bootkit befall nur den MBR überschreiben + Partitionen löschen / formatieren oder auch den GPT überschreiben (ist es überhaupt notwendig / möglich?) Zur Info: Ich will zu 100% jede Malware auf der Festplatte entfernen.
4. - Wieso sollte ich die Partitionstabelle lassen? Bzw. Wieso gibst du an BS=440 und in anderen Anleitungen steht BS=512? (Z.B. in der ChipForum Anleitung: hxxp://forum.chip.de/viren-trojaner-wuermer/faq-thinkpoint-entfernen-1443209-page2.html#post8738501 )

Vielen Dank euch schon mal!

Viele Grüße,
Winux

Hi Winux!

Die ersten beiden kann ich guten Gewissens beantworten, die anderen sollte jemand beantworten der sich mit Windows Dateisystemen und Plattenstrukturen besser auskennt.

1. Theoretisch kann ein Virus das .iso Image deiner heruntergeladenen Datei infizieren. Ich sage "theoretisch" da die übliche Schadsoftware Gewinne einspielen soll, und der Aufwand um die paar Leute die eine Linux .iso herunterladen um sie zu installieren persistent zu infizieren sich garantiert nicht lohnt (Linux auf dem Desktop : ~1,8 %, daher gibt es auch keine kommerziellen Linux Viren)
2. Die Hardware kannst du so nicht beschädigen, aber alle Daten auf der Platte auf Nimmerwiedersehen ins Nirwana senden. Ebenso falls du ausversehen eine andere Platte als die deren MBR du überschreiben willst angeschlossen haben solltest.

die 440 ergibt sich daraus, dass in dem rechenbeispiel (und daraufolgender erklärung) die partitionstabelle erhalten wurde. Mit partitionstabelle wären es die 512.

Schreib einfach den MBR neu, formatier die Festplatte und gut is. Dann ist das Ding 100% sauber.

Hi schrauber,

sorry das ich Frage:
Soll ich nun 440 oder 512 nehmen?

Viele grüße,
Winux


Hallo,

nun wollte ich eben schnell noch ein paar Dateien vom Livesystem sichern und nun kommt, wenn ich auf meine Festplatte zugreifen will, das (habe Windows normal heruntergefahren):

Ich habe es auch schon mit...
... versucht.
Das kommt dabei raus:

Was nun?


Vielen Dank euch schonmal!

Viele Grüße,
Winux / Michi

Hallo Winux,

Deine erste Fehlermeldung besagt schon, wo der Fehler liegt:

(Ende erste Zeile)

Bei der UEFI-Installation muss du übrigens ein paar Sachen beachten, gib einfach mal UEFI Installation bei Google ein oder schaue mal bei Ubuntuusers. Außerdem brauchst du zum Mounten Rootrechte (d.h. du musst mit sudo arbeiten)

Gruß James

PS: Ist schon ein bisschen länger her, dass ich soetwas gemacht habe, verzeih mir also wenn ich nicht mehr auf dem neusten Stand bin.

Hey xXjamesXx,

das Problem ist halt:
Ich schalte ihn mit "Herunterfahren" aus, nicht mit in den Ruhezustand versetzen.
Btw. Ich habe jetzt auch einmal den Strom am Netzteil ausgemacht, als ich Windoof ausgeschalten habe.

Der Abgesicherte Modus funktioniert auch nicht...

Viele Grüße,
Winux / Michi

Dein System befindet sich im Schnellstartmodus. Das heisst auch wenn du "Herunterfahren" auswählst werden Dateien in der Hiberfil.sys geschrieben damit es schneller wieder gestartet werden kann (so kenn ich das).

Du musst den Ruhezustand abschalten: Ruhezustand deaktivieren bzw. Speicherplatz verringern Windows 8 Deskmodder Wiki

Wenn dein System schon infiziert war, dann ist es möglich das ein iso befallen werden kann. Auch wenn die Malwareschreiber hier nicht unbedingt einen großen Erfolg sehen. Deshalb solltest du den Hashwert der auf der Webseite steht mit dem heruntergeladenen ISO vergleichen. Die Quelle von wo du das iso downloadest ist hier entscheidend.
Erfahrene nutzer können auch ihr eigenes Paket schnürren. Das heisst also das Angebote aus anderen Quellen (ausser dem Hersteller) mit zusätzlichen Paketen daherkommen.

Sobald du das Partitionsschema bei eine Festplatte auflöst wird der MBR neu geschrieben. Das heisst also wenn du mit z.B. GParted die Festplatte löscht wird der MBR auch neu geschrieben. Übrigens kümmert sich GPArted einen Sch**** ob windows im Ruhezustand ist, er macht das wofür es geschaffen ist, Festplatten erkennen und neu Partitionieren.

Wichtige Daten wie das erstellen eines ISO solltest du von einem sauberen Rechner aus machen.

Ist das MBR erst einmal infiziert, dann werden alle Medien die du ab diesem Zeitpunkt eingestöpselt hast mit-infiziert. Wenn du also sicher bist das dein MBR befallen ist dann musst du alle angeschlossenen Medien auch formatieren.

Das was Schrauber geschrieben hat ist korrekt die 440 ist ohne Partitionstabelle so bleibt das Schema erhalten du kannst aber Windows dadurch nicht neu Starten weil diese Informationen fehlen. Auf eigene Gefahr habe ich geschrieben, weil ich bei vielen schon erlebt habe das sie es nicht genau so geschrieben haben wie angegeben.

Ein Live-System kann nicht befallen werden (wenn es vorher sauber erstellt wurde). Windows schädlinge haben keinen Zugriff darauf.

Wenn du aber nur vermutest dass das System befallen ist solltest du vielleicht hier im Forum ein Log erstellen damit dir die Experten bei der Erkennung helfen können.

Hallo vielen Dank für die antworten!

Ich habe etwas rumprobiert und es nun hinbekommen die Festplatte zum laufen zu bekommen (zu mounten), dann gabs ein Problem beim Mounten des USB-Sticks. ("Read Only Filesystem... blabla")
Habe das durch einen neuen Mount-Point und die Mountoption "rw" (ReadWrite) hinbekommen.

Jetzt brauche ich noch bei folgenden Fragen rat:
3. - Muss ich bei Malware / Root- / Boot- kit befall nur den MBR überschreiben + Partitionen löschen / formatieren oder auch den GPT überschreiben (ist es überhaupt notwendig / möglich?) Zur Info: Ich will zu 100% jede Malware auf der Festplatte entfernen.
4. - Wieso sollte ich die Partitionstabelle lassen? Bzw. Wieso gibst du an BS=440 und in anderen Anleitungen steht BS=512? (Z.B. in der ChipForum Anleitung: hxxp://forum.chip.de/viren-trojaner-wuermer/faq-thinkpoint-entfernen-1443209-page2.html#post8738501 )
5. - In welcher Reinfolge sollte dies geschehen? Zuerst formatieren oder zuerst MBR löschen, oder ist es egal?


Grüße,
Winux

Müssen tut man das nicht. Nur ganz selten kann es vorkommen, dass im Falle einer Bootkit-Infektion es besser sein kann, zB mit einem Live-Liux oder mit DBAN die Platte vorher zu wipen. Hatte vor langer Zeit mal ein paar Rechner gesehen die mit Recovery-Medium neu installiert wurden, ein Bootkit im MBR es aber überlebt hat.

Normalerweise reicht es aus, das OS-Setup auszuführen, neue Partitionen zu erstellen und einfach neu zu installieren.

Sollen und müssen tust du garnix. Das mit den 440 und 512 war nur ein Hinweis. Wenn nur die ersten 440 Byte einer Platte überschrieben werden, dann bleibt die Partitionstabelle intakt. Nur falls man die Partitionsstruktur behalten aber den MBR trotzdem überschreiben will.

Ist dir klar was der Unterschied ist zwischen MBR überschreiben und formatieren?

Hallo cosinus,

vielen dank für deine Antwort!
Wie kann ich denn die Platte wipen? - Bin momentan mit einer Ubuntu-LiveCD unterwegs.
Ich möchte halt sicher gehen, das ich den vermutlichen Schädling entfernt habe. (Kling vielleicht etwas paranoid...)

Ok, also ich werde dann beim MBR überschreiben den Befehl...
... benutzen, ist so ok oder?

Zu letzterem:
Ja mir ist klar, das "formatieren" und "überschreiben", in gewissem Maße das selbe sind.
Ausser beim Schnellformatieren (Tabel of Index löschen).
Ich meinte, soll ich:
1) zuerst den MBR löschen und dannach die Platte nochmal ganz formatieren dann installieren
oder
2) zuerst die Partitionen formatieren, dann MBR löschen und dann installieren.

Dann ergibt sie die Frage:
Schnellformatierung oder die Langsame Variante für die Platte?

Am besten ich habe Schritte an die ich mich halten kann, sonst vergesse ich am Ende etwas... Entschuldige das ich das so kompliziert mache :/

Vielen Dank!

Viele Grüße,
Winux / Michi

Wenn du die ersten 512 Byte überschrieben hast, gibt es es so nix mehr zu formatieren. Mit Formatieren wird gemeint, dass ein Dateisystem erstellt wird, und das geht normalerweise nur auf Partitionen.

Nach deinem o.g Befehl ist die Platte völlig blank und muss erst wieder partitioniert werden. Mehr braucht es nicht um die Schädlinge zu entfernen...

Ok, :dankeschoen:

Wieso schriebst du denn dann gerade, das man in einigen Fällen die Festplatte "Wipen" muss?

Wenn das beantwortet und ich das System neuinstalliert habe, zu etwas anderem:
Wie sichere ich Linux nun genug ab? (Ist Apparmor, AV etc. Ratsam bei Desktop Umgebungen?)

Danke.


Viele Grüße,
Winux / Michi

Hallo Winux,

AppArmor ist im Kernel integriert und wird bei Ubuntu standardmäßig schon ausgeführt, dass gilt auch für die Profile.

Einen AVScanner brauchst du bei Linuxdesktopsystemen nicht, es gibt nur sehr wenige Viren für Linux (liegt vor allem an der geringen Verbreitung von Linux). Die größte Gefahr für ein System ist eigentlich immer der Benutzer, der unvorsichtig oder unwissend ist und alles anklickt, nur weils schön blinkt. :blabla: Wenn man dabei aufpasst und Programme nur aus den offiziellen Paketquellen (heißst bei Ubuntu: Ubuntu Softwarecenter) und immer schön die Sicherheitsaktualiesierungen installiert, passiert einen nicht soviel.

Gruß James

Hab ich doch in meinem Beitrag geschrieben warum! :wtf:

- regelmäßig Updates einspielen
- regelmäßig Datensicherungen machen
- nur die Software installieren, die benötigt wird und wenn Software installiert wird immer nur über die Paketverwaltung aus offiziellen Repos, sehr vorsichtig sein beim Einbinden von Fremdrepos

Zusätzliche Sicherheitssoftware wie Virenscanner sind unter Linux völlig unnötig und kontraproduktiv.

Hallo ihr,

ich habs geschaft - nach 3 Tagen Linux zu installieren :applaus:

Ja ich habs übersehen... Entschuldige.

Ich will mir Steam installieren - muss ich da etwas beachten (Sicherheit) und kann ich den "Steam (Steam-launcher) vom Softwarecenter nehmen, oder soll ich es von der offiziellen Seite runterladen?

Gibt es Tipps wie ich im Softwarecenter "gut" von "böse" unterscheiden kann? Ich habe das Gefühl bei Windows war es doch leichter, da ich dort z.B. ChipOnline oder Heise zum runterladen hatte und es i.d.R Malwarefrei war...
Wie sieht es zudem mit AMD-GPU Treibern aus - soll ich die von AMD (Omega für Linux) oder den Quelloffnen Treiber nehmen? Dabei: Soll ich es in den Sys. Einstellungen auswählen oder lieber selber installieren?

Viele Grüße,
Winux

Im Softwarecenter ist alles vertrauenswürdig. Wenn du keine sehr guten Gründe für das Gegenteil hast (z.B. aus bestimmten gründen unbedingt die allerneueste Version willst), nimm immer das aus dem Softwarecenter!

@Winux: Lies doch auch mal erst die Doku für Einsteiger bevor du weitere Fragen stellst => Einsteiger ? Wiki ? ubuntuusers.de

V.a. Unterschiede zu Windows solltest du lesen.

Hallo,

ich glaub mich trifft der Schlag - nicht mal einen Tag nach installation ein Rootkit?!
Ich habe mit AdBlock und NoScript gesurft - von Anfang an! (Natürlich Brain.deb mit dabei!)

Trozdem, gerade chkrootkit installier und Swups, auszug aus der Ausgabe:
Und:


Wieso?! - Fehlalarm?


Vielen Dank schonmal!

Viele Grüße,
Winux

Sry aber deine Langeweile kann ich nicht teilen :applaus:

Ein Tag ist das System drauf und dir fällt nix besseres ein erstmal mit einem Sondertool wie chkrootkit auf das System loszugehen...not sure if stupid or trolling :balla:

SCNR

Den Bug gibt's schon seit 2010 :D :D :D

https://bugzilla.redhat.com/show_bug.cgi?id=636231#c1

Bevor du irgendwelche Tools benutzt die du nicht mal ansatzweise kennst (Paranoia STILL) solltest du wirklich mal die ganzen Links anklicken die die Helfer dir gegeben haben. Etwas einlesen in die Materie vollbringt wirklich wunder.

Ganz klares Trolling.

Nein, wie gesagt, in manchen Foren wird halt gesagt, der Bug ist nach nem Neustart weg - (Suckit rootkit bug). Dies war nicht der Fall.

Dann war meine Reaktion: LiveSystem -> Hier melden und nebenbei suchen. Hat sich aber jetzt eh geklärt - habe noch ein Test durchgeführt (gerade gefunden), da der Rootkit eigentlich bestimmte Dateien versteckt - dies war bei mir nicht der Fall.
Ich bins halt noch von Windoof gewohnt...

Ich lese mich mal schlau, arbeite etwas mit Linux und falls was schiefläuft melde ich mich im TB.


Bis denn und viele Grüße,
Winux

PS. Ich kenne solche Tools noch vom Serversegment (genauso wie ein IPS/IDS etc.pp.) und will mich immer absichern (<- Paranoid!)

Dass man sich absichern will ist ja auch sinnvoll, aber ein rootkitchecker auf ein frisch installiertes Linux loszulassen und das völlig ohne vorher die wichtigsten paar Basics gelesen zu haben, klingt diplomatisch ausgedrückt etwas planlos....