Forum
Tipps
News
Menu-Icon

2x fehler: virus in bootsektor // win kann nicht formatieren

hi ich wollte 2 partitionen je 14 gb für win xp draufhauen fertigmachen:

partition
1 kommt diese meldung : wenn ich rechtsklicke und formatiere komme  "windows konnte die formatierung nicht abschliessen"

partition 2 (h:) kommt wenn ich fertig formatiert habe immer diese meldung
"....masterbootsektor von laufwerk h wurde virus oder ... programm    boo/sinowal.f gefunden"

zu 1 : was kann da der fehler sein
zu 2 : muss ich dort mit tools wie fixmbr oder so zur sache gehen (bezogen NUR auf diese partition?)



Antworten zu 2x fehler: virus in bootsektor // win kann nicht formatieren:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

würde beide Partitionen löschen und dann, während der Installation die Platte partitionieren und formatieren.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

hm ja löschen kann ich mal versuchen allerdings kann ich dann ja auch gleich IM laufenden betrieb nochmal versuchen zu formatieren und gucken ob die fehler noch da sind
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ich glaube ich habe auch gerade den fehler bei (1) gefunden und zwar ist diese als systempartition markiert. kann nicht gelöscht werden - und wohl auch deshalb nicht formatiert. wie bekomme ich den status dort weg ??
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Partition löschen während der Installation.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

um ehrlich zu sein bei der "verseuchten" hat das soweit geklappt.
daher kann ich ruhigen gewissens wohl auf diese xp installieren.
(muss ich dort übrigens vor der install. noch "aktiv markieren" ?)

kann ich das also so lassen bei der anderen partition (HD ist so aufgeteilt: 1x startpartition + 1x systempartition + normal/daten) ? kommt halt eine meldung beim formatieren (weiss aber nicht was sonst noch "wäre").

PS
wenn ich eine partition "lösche" wird dann wohl auch alles solches: diverse boot einträge, mbr etc gelöscht ?  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ja, der mbr wird bei der Neuinstallation neu geschrieben.

Sind denn noch Daten auf der Platte ?

Am besten alles während der XP-Installation machen und auch immer nur die Partition neu anlegen, auf die momentan Installiert werden soll.

 

Zitat
wenn ich eine partition "lösche" wird dann wohl auch alles solches: diverse boot einträge, mbr etc gelöscht ?

Würde ich nicht unbedingt drauf vertrauen. Ganz sicher: Platte mit DBAN überschreiben.
Oder wenn du mit Linux vertraut bist: Mit aktueller Live-CD deiner Wahl starten und auf die betroffene Festplatte dd loslassen:

dd if=/dev/zero of=/dev/sda bs=512 count=1
vorausgesetzt die betroffene Platte ist /dev/sda (erste SCSI- oder SATA-Platte) - statt count=1 kann man auch count=1000 schreiben um die ersten 1000 Sektoren zu wipen)  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ich gehe davon aus das ganze zählt auch für einzelne paritionen (nicht nur platten?)

edit: hab gerade gegoogelt also :
dban - macht die GANZE platte neu !?
dd - nur je nach bedarf allersten sektoren / booteinträge der platte (oder partition?) !?

wenn man dafür die ganze platte erstmal "leeren" müsste würd ich das wohl lassen, zumal das av programm springt auch nicht mehr mit der virusmeldung an sobald ich die partition "bearbeite"        

« Letzte Änderung: 04.01.11, 19:29:02 von jan.kr »

Nach der Behandlung mit dd ist die gesamte Platte leer! Es werden keine Partitionen mehr gefunden, also muss man schon seine Daten vorher sichern. Sollte man 1. eh immer regelmäßig machen und 2. vor delikaten Eingriffen ins System - auch bei sowas wie Neuinstallation des OS.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

du meinst jetzt aus virus gründen?

naja da bin ich doch aber schon auf der relativ sicheren seite wenn er vorher angeschlagen hat / meldung macht und nun halt nicht mehr!? das heisst was er da fand ist schon mal nicht mehr da bzw aktiv

 

Zitat
du meinst jetzt aus virus gründen?

Nein! Ein Backup der wichtigen Daten macht man immer. Oder verrät dir deine Glaskugel wann und ob deine Festplatte stirbt? Oder du versehentlich Dateien löscht?  ???

Es gibt nur zwei Datentypen: gesicherte Daten und unwichtige Daten!  ;)

 
Zitat
das heisst was er da fand ist schon mal nicht mehr da bzw aktiv

idR wird auch bei der Neuinstallation der MBR neu geschrieben. Wenn man aber weiß, dass der MBR befallen war, würde ich auf dem frisch installierten Windows zumindest den MBR nochmal prüfen zB mit MBRCHECK:

  • Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

  • Doppelklick auf die MBRCheck.exe

  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

    => Poste mir bitte den Inhalt des .txt Dokumentes

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:         
Windows Version:      Windows XP Home Edition
Windows Information:      Service Pack 3 (build 2600)
Logical Drives Mask:      0x000003fc

Kernel Drivers (total 119):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF7357000 ACPI.sys
  0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF7346000 pci.sys
  0xF7487000 isapnp.sys
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7497000 MountMgr.sys
  0xF7327000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF74A7000 VolSnap.sys
  0xF730F000 atapi.sys
  0xF72E3000 nvgts.sys
  0xF72CB000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xF74B7000 disk.sys
  0xF74C7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF72AB000 fltMgr.sys
  0xF7299000 sr.sys
  0xF7282000 KSecDD.sys
  0xF71F5000 Ntfs.sys
  0xF71C8000 NDIS.sys
  0xF71AE000 Mup.sys
  0xF7547000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
  0xF6DE8000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF79A1000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xF7557000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF795B000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7887000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF6DC4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF788F000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF6D9C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF7567000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF7577000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF7587000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6D79000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF771F000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xF4140000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF412C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF7BCD000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF57D2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7943000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF4115000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF57C2000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF610D000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF77FF000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF4104000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF60FD000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF77D7000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF787F000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF76B7000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7877000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7857000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF798D000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF40A6000 \SystemRoot\system32\DRIVERS\update.sys
  0xF792F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF408A000 \SystemRoot\system32\drivers\AtiHdmi.sys
  0xF4066000 \SystemRoot\system32\drivers\portcls.sys
  0xF7597000 \SystemRoot\system32\drivers\drmk.sys
  0xF75C7000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF75A7000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7991000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xAE757000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xAE723000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xAE51A000 \SystemRoot\system32\drivers\viahduaa.sys
  0xF7993000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A75000 \SystemRoot\System32\Drivers\Null.SYS
  0xF799B000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7747000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF7787000 \SystemRoot\System32\drivers\vga.sys
  0xF799D000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF799F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF775F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7757000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7973000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAE466000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAE40D000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAE3E5000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAE3BF000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xAE39D000 \SystemRoot\System32\drivers\afd.sys
  0xF6FF0000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAE372000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xAE302000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF7607000 \SystemRoot\System32\Drivers\Fips.SYS
  0xAE2DC000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79A9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF7B6F000 \SystemRoot\system32\drivers\AsIO.sys
  0xF60DD000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF611D000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF5AB1000 \SystemRoot\System32\Drivers\dump_diskdump.sys
  0xAE2B0000 \SystemRoot\System32\Drivers\dump_nvgts.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF5E30000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7777000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7ABF000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF060000 \SystemRoot\System32\ati2cqag.dll
  0xBF0FC000 \SystemRoot\System32\atikvmag.dll
  0xBF196000 \SystemRoot\System32\atiok3x2.dll
  0xBF1FB000 \SystemRoot\System32\ati3duag.dll
  0xBF557000 \SystemRoot\System32\ativvaxx.dll
  0xAB5F4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xAB655000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xAB337000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF612D000 \SystemRoot\system32\drivers\sysaudio.sys
  0xAB102000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF79A3000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xAAE80000 \SystemRoot\system32\DRIVERS\srv.sys
  0xAAA7F000 \SystemRoot\System32\Drivers\HTTP.sys
  0xAAA2F000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xAAC58000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xAAA3F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xAAA5B000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xAA7F6000
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
       0 System Idle Process
       4 System
     368 C:\WINDOWS\system32\smss.exe
     584 csrss.exe
     616 C:\WINDOWS\system32\winlogon.exe
     660 C:\WINDOWS\system32\services.exe
     672 C:\WINDOWS\system32\lsass.exe
     872 C:\WINDOWS\system32\ati2evxx.exe
     892 C:\WINDOWS\system32\svchost.exe
     944 svchost.exe
    1040 C:\WINDOWS\system32\svchost.exe
    1132 svchost.exe
    1236 svchost.exe
    1356 C:\WINDOWS\system32\spoolsv.exe
    1380 C:\WINDOWS\system32\ati2evxx.exe
    1456 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1860 C:\WINDOWS\explorer.exe
    1948 C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
    1956 C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe
    1988 C:\Programme\ASUS\AI Suite\QFan4\FanHelp.exe
     120 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
     132 C:\WINDOWS\system32\ctfmon.exe
     164 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
     480 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
     388 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     572 C:\Programme\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
     588 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    1180 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    1588 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    1752 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2476 alg.exe
    1792 C:\WINDOWS\system32\notepad.exe
    1932 C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    2820 C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    2852 C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    2896 C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    3136 C:\Dokumente und Einstellungen\jan\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000003`62c9d000  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000003`62c9d000  (NTFS)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (NTFS)
\\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`007e0000  (NTFS)
\\.\I: --> \\.\PhysicalDrive1 at offset 0x00000006`c593a000  (NTFS)
\\.\J: --> \\.\PhysicalDrive2 at offset 0x00000004`a8530000  (NTFS)

PhysicalDrive0 Model Number: HitachiHDT721010SLA360, Rev: ST6OA31B
PhysicalDrive1 Model Number: SAMSUNGHD154UI, Rev: 1AG01118
PhysicalDrive2 Model Number: SAMSUNGHD203WI, Rev: 1AN10003

      Size  Device Name          MBR Status
  --------------------------------------------
    931 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
   1397 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
   1863 GB  \\.\PhysicalDrive2   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Zitat
    Size  Device Name          MBR Status
  --------------------------------------------
    931 GB  \\.\PhysicalDrive0    Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
   1397 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
   1863 GB  \\.\PhysicalDrive2   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Sieht alles ok aus... 8) 

Wenn Partition die beschrieben mit dd oder auch so gelöscht werden, wird(muß) der MBR neu geschrieben werden.

Und zwar durch das BS welches installiert wird!
es wird der ausführbare Code neu geschrieben die Partitionstabelle und natürlich der Magic!

 

 

Zitat
Und zwar durch das BS welches installiert wird!

So ist. wenn der fehlt könnte das OS ja auch nicht starten.
Die Frage ist nur, ob das Setup IMMER den MBR neu schreibt, auch wenn das Setup glaubt einen intaktten MBR zu sehen.
Hab schon Recovery-Geschichten gesehen, die den infizierten MBR links liegen gelassen haben!  >:(
Zitat
ab schon Recovery-Geschichten gesehen, die den infizierten MBR links liegen gelassen haben!
echt? :o

nach nem dd sollte aber kein "intakter MBR" mehr "erkannt" werden.

Nach dd bestimmt nicht mehr.
Ich find diesen sch... Strang im TB nicht mehr wieder, ein TO hatte, nachdem er angeblich recovert hatte, immer noch einen infizierten MBR. Aber gut, vllt hatte er auch was falsch gemacht.

Ich vermute es war dieser Strang => http://www.trojaner-board.de/93628-tr-fakeav-af-restoredata-exe.html

meine aber in Erinnerung zu haben dass da noch einer war (genau den find ich gerad nicht  >:( )

Danke für den Link, ist wirklich ganz schön strange.
2x hintereinander ist ein bißchen zuviel des Zufalls und ein PC-Anfänger war das wohl auch nicht - jedenfalls der aus dem verlinkten Beitrag nicht.
Sollte man wirklich mal im Auge behalten (die wir immer "format C:" schreien ;))

Jedenfalls erstmal Danke für die Info :)

Update: Im TB hat sich ein Neuling gemeldet, angeblich hat er recovert und der MBR ist immer noch versaut.

Link => http://www.trojaner-board.de/98508-masterbootsektor-hd0-boo-tdss-m-virus-laptop-laesst-sich-nicht-herunterfahren.html#post650131

Wieder ein (mögliches) Beispiel, dass die Recoverymedien nicht immer den MBR neu schreiben  >:(


Edit: Noch einer  ;D

http://www.trojaner-board.de/98527-masterbootsektor-mit-boo-tdss-m-vereucht.html

« Letzte Änderung: 01.05.11, 17:08:24 von cosinus »

ganz schön fettig-> klingt auch absolut glaubwürdig (bei beiden!)

Sauerei sowas  >:( und das bei unterschiedlichen Teilen.

danke Dir, werde beides mal weiter mitlesen  ;)


« Stehe unter DDoS angriffePasswort herausfinden »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Festplatte
Die Festplatte, oft auch als Hard Disk Drive (HDD) bezeichnet, ist ein interner Datenträger im Computer. Man unterscheidet zwischen den Größen der Geh&aum...

Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...