XP gezielt einige Sektoren überschreiben / löschen?
- Ersteller Arnie_75
- Erstellt am
Arnie_75
Grand Admiral Special
Hallo,
ich habe einen Rootkit Virus entfernt bzw. deaktiviert. Nun liegen noch Leichen des Viruses in Sektor 0x0950E4C4 und 0x0950E4DA.
Kann mir jemand sagen wie ich diese Sektoren gezielt überschreiben kann, damit der Code vollständig entfernt ist?
ich habe einen Rootkit Virus entfernt bzw. deaktiviert. Nun liegen noch Leichen des Viruses in Sektor 0x0950E4C4 und 0x0950E4DA.
Kann mir jemand sagen wie ich diese Sektoren gezielt überschreiben kann, damit der Code vollständig entfernt ist?
april.shower
Commander
- Mitglied seit
- 16.12.2007
- Beiträge
- 183
- Renomée
- 6
z.b. mit dem disk-editor hxd
http://mh-nexus.de/en/hxd/
http://mh-nexus.de/en/hxd/
Arnie_75
Grand Admiral Special
Danke, hast du sowas schonmal gemacht?
Ich werde da nicht so richtig schlau draus...
Ich werde da nicht so richtig schlau draus...
april.shower
Commander
- Mitglied seit
- 16.12.2007
- Beiträge
- 183
- Renomée
- 6
mit hxd in extras datenträger öffnen (nicht schreibgeschützt, also häckchen entfernen), sektoren suchen, mit null-bytes überschreiben
Arnie_75
Grand Admiral Special
Danke.
Kann ich ersehen ob da wichtige Daten liegen? Das OS sollte nämlich heile bleiben.
Kann ich ersehen ob da wichtige Daten liegen? Das OS sollte nämlich heile bleiben.
april.shower
Commander
- Mitglied seit
- 16.12.2007
- Beiträge
- 183
- Renomée
- 6
ja wenn du dir über die sektoren, in denen diese reste liegen, sicher bist, kannst du diese sektoren getrost mit 00-bytes überschreiben,
woher hast du denn diese sektor-angaben?
ansonsten, wenn es vom os her noch irgendwelche logischen angaben (also sowas wie dateinamen) gäbe, könnte man natürlich einfach z.b. mit einem programm wie eraser diese dateien löschen,
in eraser gibt es im übrigen auch eine funktion "unused disc space" zu überschreiben (da bin ich mir jetzt nicht ganz sicher, glaube aber, dass dabei datenteile, die logisch nicht mehr zusammenhängen, überschrieben werden)
andererseits, mal ganz allgemein gesagt, wenn ein system mal kompromittiert war (und man das von aussen, mit einem windowsPE / BartPE / Knoppix-Linux festgestellt hat), ist es dann nicht ohnehin besser, das system sicherheitshalber ganz neu aufzusetzen?
woher hast du denn diese sektor-angaben?
ansonsten, wenn es vom os her noch irgendwelche logischen angaben (also sowas wie dateinamen) gäbe, könnte man natürlich einfach z.b. mit einem programm wie eraser diese dateien löschen,
in eraser gibt es im übrigen auch eine funktion "unused disc space" zu überschreiben (da bin ich mir jetzt nicht ganz sicher, glaube aber, dass dabei datenteile, die logisch nicht mehr zusammenhängen, überschrieben werden)
andererseits, mal ganz allgemein gesagt, wenn ein system mal kompromittiert war (und man das von aussen, mit einem windowsPE / BartPE / Knoppix-Linux festgestellt hat), ist es dann nicht ohnehin besser, das system sicherheitshalber ganz neu aufzusetzen?
Zuletzt bearbeitet:
Arnie_75
Grand Admiral Special
Ja. Weil der PC aber meinem Vater gehört und der da seine Buchhaltung drauf hat soll da nix dran gemacht werden was nicht unbedingt sein muss. Und weil das Popup-Fenster mit der Bitte um TAN-Eingaben jetzt weg ist...
ICH sehe das etwas anders als er.
Dalai
Grand Admiral Special
Ach, man macht Online-Banking, will aber kein sauberes System? Was haltet ihr denn davon, ein Image eines sauberen Systems wieder einzuspielen? Aber ich gehe mal davon aus, dass ihr sowas nicht habt...
MfG Dalai
MfG Dalai
Arnie_75
Grand Admiral Special
Es gibt kein IHR, ich mache das alles per Fernwartung.
Und MIR brauchst du das auch nicht zu erklären, ICH weiss das sowas nicht ungefährlich ist. Aber wenn der Chef es so will, das ist seine Firma.
Und MIR brauchst du das auch nicht zu erklären, ICH weiss das sowas nicht ungefährlich ist. Aber wenn der Chef es so will, das ist seine Firma.
Dalai
Grand Admiral Special
OK.
Es mag seine Firma sein, nur ist ihm offensichtlich nicht klar(gemacht worden), dass er damit auch andere Leute im Internet gefährdet!Aber wenn der Chef es so will, das ist seine Firma.
MfG Dalai
Arnie_75
Grand Admiral Special
So wie ich das verstanden habe, ist der Virus jetzt 'deaktiviert', da der entsprechende Eintrag im MBR gelöscht wurde. Lediglich 2 Dateileichen liegen noch auf der HDD, die mit dem reparierten MBR aber nicht gestartet werden können.
Und immerhin hat er sich jetzt AntiVir Premium gekauft.
Und immerhin hat er sich jetzt AntiVir Premium gekauft.
Dalai
Grand Admiral Special
Und dass sie TAN-Eingabe nicht (mehr) sichtbar ist, stört nicht, oder wie? Klar kann das auch andere Ursachen haben, aber wie groß ist die Wahrscheinlichkeit dessen, wenn man grade ne Infektion hat oder zumindest hatte?
MfG Dalai
MfG Dalai
Arnie_75
Grand Admiral Special
Das war andersrum:
Wann immer er eine Onlienbankingseite aufrief und sich anmeldete (erst danach!) tauchte ein Popup auf, dass freundlich um die Eingabe von 10 jungfräulichen TANs bat. Nachdem 2 Virenscanner, MS Defender und Sypot Search+Destroy nix fanden hab ich ein Tool gefunden welches eine Rootkit-Virus im MBR fand. nach der Wiederherstelleung des MBR ist das Fenster verschwunden, lediglich 2 Sektoren haben noch Reste des Viruses, die aber nicht mehr aktiv sind.
Darum suche ich ein Tool welches die beiden Sektoren überschreiben kann, weil normale Virenscanner das nicht können.
Wann immer er eine Onlienbankingseite aufrief und sich anmeldete (erst danach!) tauchte ein Popup auf, dass freundlich um die Eingabe von 10 jungfräulichen TANs bat. Nachdem 2 Virenscanner, MS Defender und Sypot Search+Destroy nix fanden hab ich ein Tool gefunden welches eine Rootkit-Virus im MBR fand. nach der Wiederherstelleung des MBR ist das Fenster verschwunden, lediglich 2 Sektoren haben noch Reste des Viruses, die aber nicht mehr aktiv sind.
Darum suche ich ein Tool welches die beiden Sektoren überschreiben kann, weil normale Virenscanner das nicht können.
Dalai
Grand Admiral Special
Achso, jetzt verstehe ich das. Wie hast du das System gescannt? Vom infizierten System aus?
MfG Dalai
MfG Dalai
Arnie_75
Grand Admiral Special
Jawoll
Dalai
Grand Admiral Special
Dann ist die Wahrscheinlichkeit, etwas zu finden, sehr klein ![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
. IMO reicht eine Infektion des MBR oder bestimmter Sektoren der HD nicht aus, um irgendwelche Fenster gezielt im OS anzuzeigen, dafür braucht es passende Windows-Programme oder mindestens -DLLs. Man kann also gar nicht sicher sein, dass mit dem Überschreiben der Sektoren das Problem gelöst ist, weil noch Schaddateien im Dateisystem liegen (zwar momentan ebenfalls tot, aber das kann sich ja schnell ändern).
Scanne das System offline, d.h. von einem anderen System aus (zweite Windows-Installation auf dem betroffenen PC, Live-CD z.B. von AntiVir oder ähnliches).
MfG Dalai
. IMO reicht eine Infektion des MBR oder bestimmter Sektoren der HD nicht aus, um irgendwelche Fenster gezielt im OS anzuzeigen, dafür braucht es passende Windows-Programme oder mindestens -DLLs. Man kann also gar nicht sicher sein, dass mit dem Überschreiben der Sektoren das Problem gelöst ist, weil noch Schaddateien im Dateisystem liegen (zwar momentan ebenfalls tot, aber das kann sich ja schnell ändern).Scanne das System offline, d.h. von einem anderen System aus (zweite Windows-Installation auf dem betroffenen PC, Live-CD z.B. von AntiVir oder ähnliches).
MfG Dalai
Arnie_75
Grand Admiral Special
Ja, mach ich demnächst mal. Vielleicht kann ich meinen Vater auch überreden den PC neu aufsetzen zu lassen.
Ähnliche Themen
