W32/Parite Virus

Trouble4ever · #1 23-02-2003, 20:46

ichj glaubs ned....hab formatiert und antvir drübergezogen und was findet der?

fast 50 dateien die mit dem w32/parite virsu infiziert waren...zum glück konnte er die reparieren..abba nun ne frage..ist der virus jetzt ausgelöscht??also weg?

M.C.M · #2 23-02-2003, 20:49

ich würde viren nie reparieren. Gleich isolieren und dann löschen ist einer Meinung nach die sicherte Methode

Trouble4ever · #3 23-02-2003, 21:20

und woher weiss ich, ob diese datei windows braucht und welche nicht??

zur zeit findet der nämlich imm noch diesen typ von virus

Voitex · #4 23-02-2003, 21:34

Ich würde dir raten solange zu formatieren, bis der Virus ganz weg ist

Moltke · #5 23-02-2003, 23:25

Deine Beschreibung weist auf einen Bootsektorvirus hin. D.h., er residiert im Bootsektor der Festplatte, von wo aus er jedes neuinstallierte Betriebssystem wieder infizieren wird.

Abhilfe: saubere und garantiert uninfizierte DOS-Bootdiskette (DOS 6.22, Startdiskette Windows 95, 98, ME) nehmen. Schreibschutzschieber auf Schreibschutz stellen. Computer damit booten. Auf die Hauptpartition wechseln mit:

c:

Dann den Befehl:

format /mbr

eingeben.

Dieser überschreibt den Bootsektor mit dem auf der Diskette vorhandenen und bedeutet "Format master boot record".

Dann installierst du Windows von einer garantiert virenfreien CD, etablierst eine Internetverbindung und besorgst dir von der Seite http://www.avp.ch den AVP-Virenscanner. Der ist sehr gut und wird täglich upgedatet. Damit scannst du nochmal das ganze System und läßt ihn hinfort immer im Systray mitlaufen.

Ich hoffe, du hast Erfolg.

*MyersGer* · #6 24-02-2003, 00:24

parite? ich kenn nur parity (Parity.B, usw.)und das war n bootvirus.
da kannste wirklich das was moltke gesagt hat mal machen.

Moltke · #7 24-02-2003, 04:49

Parite gibt's auch und es ist kein Bootsektorvirus, aber nach der Beschreibung von Trouble muß es einer sein. Sonst wäre er nach dem Formatieren nicht mehr da.

*MyersGer* · #8 24-02-2003, 12:55

doch pirate ist ein b-virus

zu dem ist er auch noch speicherresident

Trouble4ever · #9 24-02-2003, 16:37

also es war W32/Parite ganz sicher...

also dass mit der boot da moltke verstehe ich nicht ganz....die startdisk und die cd von win2k müssten doch voll sauber sein....

TMOA · #10 24-02-2003, 16:41

hab das gleiche problem, mein virus heißt "W32.Kwbot.C.Worm", aber mein virus programm (norton) kann ihn nicht löschen, vonm hand kann ich ihn auch nicht löschen

Moltke · #11 24-02-2003, 17:03

Trouble: Jawohl, die CD dürfte sauber sein. Die Startfestplatte jedoch nicht, weil der Virus vermutlich im Bootsektor residiert. Und dieser Bootsektor wird durch "format c:" nicht gelöscht. Dazu brauchst du den Befehl "format /mbr".

Der Bootsektor ist der oberste Sektor eines physischen Laufwerks, in dem wichtige Informationen darüber, wie die Festplatte anzusprechen und das Betriebssystem zu laden ist, enthalten sind, z.B. Partitionsgröße, Clustergröße, Sektoren pro Cluster, Bytes pro Sektor, Anzahl der Sektoren, Anzahl der Köpfe, usw., usw.!

Braucht dich aber nicht zu interessieren. Interessieren muß dich nur die Tatsache, daß in diesem Bootsektor ausführbarer Code enthalten ist, der durch einen Bootsktorvirus infiziert werden kann, und der durch ein bloßes formatieren nicht gelöscht wird.

Daher meine Anweisung.

TMOA: Selbe Anweisung an dich. Bootsektorviren können in Windows nicht gelöscht werden. Jedoch ist das Formatieren der Platte nicht notwendig. "format /mbr" schreibt nur den Bootsektor neu, das Betriebssystem und alle anderen Daten bleiben dabei erhalten und bleiben benutzbar. Klassische Bootsektorviren verbreiten sich über Disketten und infizieren auschließlich die Bootsektoren von Disketten und Festplatten.

Achja: nicht vergessen, nach der Reparatur alle Disketten nach dem Virus zu scannen und auf dieselbe Weise zu desinfizieren. Der Virus überträgt sich, wenn von eine infizierten Diskette gebootet wird. (Z.B. wenn sie aus Versehen beim Neustart im Laufwerk war.) Gleichfalls infiziert der Virus alle Disketten die in diesem Computer ohne Schreibschutz benutzt wurden. Es ist daher zu empfehlen, nach der Restaurierung des Bootsektors, im BIOS Booten von Diskette abzuschalten.

TMOA · #12 24-02-2003, 17:53

das ist ja schön und gut, was du da sagst moltke, aber was mach ich wenn ich gar keine boot diskette habe?

Moltke · #13 25-02-2003, 12:42

Dann mußt du dir eine besorgen. Runterladen hilft nichts, weil ja jede Diskette, die du beschreibst, mit dem Virus infiziert wird.

Ich empfehle die Bootdiskette von Windows ME. Sowas ist absolut notwendiges Handwerkszeug für Systemreparaturen, muß man immer in der Schublade haben.

Kann jeder erstellen, der Windows ME installiert hat. Notfalls gehst du in den nächsten Computerladen, schilderst dein Problem und sie kopieren dir das auf eine Diskette.

General_@ze · #14 27-02-2003, 18:32

Hier nen kleiner Tip von Sven aus nem anderen Bootsektor-Virus-Thread:

Zitat:

Original geschrieben von Sven
Nur daß es nicht format /mbr sondern fdisk/mbr heisst

Trouble4ever · #15 27-02-2003, 19:59

Zitat:

Original geschrieben von General_@ze
Hier nen kleiner Tip von Sven aus nem anderen Bootsektor-Virus-Thread:

ja..schon gut...

...also ich hab keinen virus mehr drauf

...alles repariert!..

Moltke · #16 27-02-2003, 20:11

Und? Wie hast du ihn weggekriegt? Mit dem Antivirusprogramm?

Trouble4ever · #17 27-02-2003, 20:21

Zitat:

Original geschrieben von Moltke
Und? Wie hast du ihn weggekriegt? Mit dem Antivirusprogramm?

lol...ich hab alle 775 dateien reparieren lassen....und jetzt findet "antivir" nix mehr

Z-21MCS · #18 29-03-2003, 00:55

@ moltke

wenn ich mit 98 diskette boote .

dann.

>c:
>format/mbr eingebe dann ENTER

dann steht da

>Ungültige Option - /mbr

mach ich da was falsch?

Moltke · #19 29-03-2003, 01:01

Z21: Ja, ich muß mich entschuldigen, das falsch angegeben zu haben. Es ist schon viele Jahre her, daß ich einen Virus so entfernte.

Es muß richtig heißen:

fdisk /mbr

Z-21MCS · #20 29-03-2003, 01:03

wenn ich schreibe

>c:
>Fdisk/mbr
dann kommt
>c:

muss man da nochwas schreiben?

EviLSnipeR · #21 29-03-2003, 01:48

Hoffen das fdisk auf der BootDiskette drauf ist. Sonst nur Leerzeichen beachten.

Z-21MCS · #22 29-03-2003, 11:48

is bei fdisk /mbr genau so

bei welcher boot diskette is das fdisk /mbr vorhanden weiß das jemand?

edit: funzt das bei der XP cd auch?

CaptureX · #23 29-03-2003, 14:58

hm ich würde das bei win 2k oder xp mit der Wiederherstellungskonsole (Kommandozeilenebene) machen:

Im bios auf booten von CDROM umstellen -> Bootfähige Winxp CD
--> Wiederherstellungskonsole auswählen -->
dann das Kommando fixmbr zur Reperatur des MBR eingeben...

Um einen Parity Boot Virus gnadenlos zu killen, ohne zu formatieren... empfehle ich den Virenscanner --> F-Prot

Z-21MCS · #24 29-03-2003, 15:14

hmm mit CP cd wird das nix kommt so ne hardware fehlermeldung.

ich hab kein Windows drauf (hab formatiert)
und ich hab alle laufwerke gelöscht

jetzt ist mein PC leer

*heul*

kann mir jemand ne DOS 5v diskette per post schicken?

Peter Döllinger
91052 Erlangen
Am Röthelheim 61

oder gibst da ne webseite wie man MBR formatiert?

CaptureX · #25 29-03-2003, 15:33

du bist doch jetzt im internet....
http://www.bootdisk.de/

--> kannst dir runterladen was du brauchst

Moltke · #26 29-03-2003, 15:37

Z21: Du mußt den Befehl unter DOS ausführen. Das heißt von der Diskette booten, wie ich es beschrieben habe. Kein Windows! Keine DOS-Box!

Von Diskette booten kannst Du immer, egal welches Betriebssystem installiert ist, da Bootlaufwerk dann ja A statt C ist.

Doc · #27 30-03-2003, 17:40

Zum Loswerden siehe hier:
http://securityresponse.symantec.com...w32.pinfi.html

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)