Hallo,

ich habe vor kurzem einen neuen PC gekauft. Anfangs lief er noch ganz gut, ca. 2 Tage, dann hing sich der PC immer auf sobald ich den WMP11 bzw. eine Antivirensoftware gestartet habe.
Dann habe ich im gelesen, dass es auch Viren gibt die den main boot record beschädigen/verändern. Habe also den MBR mithilfe der Windows Wiederherstellungskonsole neuinstalliert.
Bei der "Neuinstallation" des MBR sagt das System auch, dass mit dem mbr scheinbar etwas nicht in Ordnung sei (Weiss den genauen Rückgabetext leider nicht!). Die Neuinstallation lief jedoch einwandfrei.

Danach hing sich das System allerdings nach einer gewissen Uptime wieder auf..
Ich dachte eigentlich schon das Problem wäre gelöst, da ich jetzt Antivir und AVG Freenantivir ohne Probleme starten und auch scannen konnte. Was davor nicht der Fall war. Nach sogar mehreren Neuaufsetzungen des Systems fror der PC immer wieder direkt ein, wenn ich versuchte solch eine Software zu starten/installieren.

Nun meine eigentlich Frage,
kann es sein, dass ich bei der zweiten Parition, die ich habe (D:\), auch einen neuen mbr installieren oder muss das nur bei der partition (C:\) mit dem Betriebssystem gemacht werden?

Ich hoffe auf Antwort,
had0r

Das kommt auf die jeweilige Malware an. Viele Malwares installieren sich in allen Verfügbaren Boot-Sektoren, doch nur der MBR wird beim booten ausgeführt, es sei denn, Du benutzt einen Boot-Loader mit sog. Chain-Loader.

Wenn Du tatsächlich eine Malware auf dem System hast und nachträglich Anti-Viren-Software installiert hast, dann kann es sein, dass die Malware sie so beeinflusst, dass sie sie nicht finden können.

Am besten entfernt man solche Malware, indem man von einem sauberen ROM, also z.B. von einer CD, die an einem sauberen Rechner erstellt wurde, bootet und dann die Datenträger von der Malware befreit.

Oft ist es jedoch unmöglich eine Malware zu entfernen, ohne das System zu beschädigen. Daher empfiehlt es sich von einem sauberen ROM zu booten, das Virus nur aus den Benutzerdaten zu entfernen und ein Backup der sauberen Benutzerdaten zu erzeugen. Nun kann man alle Datenträger radikal und komplett leeren (inklusive Boot-Sektoren usw.). Dann installiert man ein neues Betriebssystem, während der Rechner vom Netz getrennt ist. Man besorgt sich über ein suaberes System saubere Anti-Viren-Software, installiert diese und richtet dann die Firewall des Rechners ordentlich ein. Nun kann man die sauberen Benutzerdaten aus dem Backup wieder herstellen und das System schließlich ans Netz hängen.

Es emfiehlt sich auch, ein Betriebssystem zu wählen, das besonders resistent gegen Malware ist, bzw. für das es nur wenig Malware "on the wild" gibt, z.B. UNIXe oder UNIX-Ähnliche, wie MacOS, BSD, Linux oder MINIX.

PS: Der MBR ist der Boot-Sektor des Boot-Device, welches das BIOS bestimmt, i.d.R. also die erste Festpatte, eine CD/DVD oder ein Diskettenlaufwerk.

Danke für die Antwort

Kann es also sein, dass sich die Malware auch auf die D:\ Partition eingeschlichen hat? Ich nutze keinen anderen Bootloader als den von Windows vorgegeben.
Was meinst du mit einer sauberen ROM? In meinem Fall die XP-CD?

Welche Tools zum entfernen der Malware kannst du mir empfehlen?

Zitat:

Zitat von had0r

Kann es also sein, dass sich die Malware auch auf die D:\ Partition eingeschlichen hat?

Klar, nur deren Boot-Sektor wird i.d.R. nicht ausgeführt, daher bleibt sie dort inaktiv, wenn sie dort sein sollte. Natülich könnte sie auch im Dateisystem sein und dann kann sie schon aktiv werden.

Zitat:

Zitat von had0r

Was meinst du mit einer sauberen ROM?

Eine LiveCD wie z.B. ] oder ]

Ohje..bin net sehr bewandert was Linux angeht.

Wenn es sich hierbei nicht um einen Softwarefehler/Malwarebefall handelt sollte und es vielleicht doch an der Hardware selber liegen würde. Was für PC-Komponenten könnten beschädigt sein? Gibt es Hardware, die typisch dafür ist das System abrupt einfrieren zu lassen?

lg had0r

Zitat:

Zitat von had0r

Gibt es Hardware, die typisch dafür ist das System abrupt einfrieren zu lassen?

Nein, es könnte fast alles dazu führen: Defektes RAM, unsichtbare Beschädigungen am Mainboard, Probleme mit der Kühlung, defekter Prozessor, Erweiterungskarten, Festplatten, usw..
Es könnte natürlich auch an der Software liegen, bzw. an Schäden im Dateisystem, die die Software dann natürlich verändern können. Die Ursache für Dateisystem-Probleme kann wiederum ein Hardware-Problem sein (aber natürlich kann es auch an defekter Software oder Malware liegen).

Guck doch mal in Deine Windows-Logbücher, ob da etwas zur Zeit der Abstürze vermerkt ist. (Die sind in der Systemsteuerung versteckelt und heißen "Ereignisanzeige" oder so ähnlich.) Natürlih ist bei Abstürzen oft das Problem, dass das System nix mehr loggen kann, weil es ja nicht mehr funktionstüchtig ist

Du könntest allerdings auch mal nur zum Testen eine Linux LiveCD booten und dann nur ein bisschen rumspielen (ohne auf Deine Festplatte zuzugreifen, damit keine Daten verloren gehen; also z.B. surfen, irgendein vorhandenes Spiel spielen, usw.). Gibt es dann wieder Probleme, so muss es an der Hardware liegen, denn Du hast ja keine Software aus Deinem eigentlichen System verwendet.
Dabei könntest Du optional in einem Kommandozeilen-Fenster (xterm , gnome-terminal oder konsole) folgenden Befehl eingeben, um einige der System-Meldungen von Linux zu überwachen:

Code:

watch -n 1 'dmesg|tail -n 25'

(Vorraussetzung ist natürlich, dass es auf der LiveCD die Programme watch, dmesg und tail gibt, aber da bin ich zuversichtlich.) Wenn Du Glück im Unglück hast, dann kannst Du dort vor dem Absturz etwas beobachten. Anderenfalls versucht Linux bei einem üblen Systemproblem immer noch wenigstens eine sog. "panic"- oder "oops"-Meldung im Text-Modus auszugeben (vergleichbar mit einem BSOD, aber meist etwas leichter zu verstehen).

Apropos, an was erkennst Du eigentl. bisher den Absturz? (BSOD? Friert es einfach ein? Geht die Maus noch? Gehen die Lämpchen für CAPS- und Num-Lock an der Tastatur noch? Kannst Du Strg+Alt+Entf noch benutzen?)

Danke für die Antwort orizis

Ich werde mir morgen mal die von dir beschriebenen Windowslogbücher anschauen. Habe jetzt gerade wieder meinen anderen PC dran.

Werde mir dann wohl mal die aktuellste Knoppix-Version runterladen und damit die Befehlszeile von dir ausprobieren. Was bewirkt diese denn?

Den Absturz erkenne ich so: Der PC bleibt einfach hängen. Die Maus bewegt sich nicht mehr und auch STRG+ALT+ENTF bringt nichts. Ich kann dann leider nur noch auf den Resetknopf drücken. Was die LEDs an der Tastatur angeht kann ich nichts zu sagen, habe ich bisher noch nicht drauf geachtet.

lieben Gruß
had0r

Zitat:

Zitat von had0r

Werde mir dann wohl mal die aktuellste Knoppix-Version runterladen und damit die Befehlszeile von dir ausprobieren. Was bewirkt diese denn?

"watch" ist ein Programm, das ein anderes Programm im Intervall immer wieder startet und von der Ausgabe nur den Anfang anzeigt, der auf den Bildschirm passt, ohne die Ausgabe nach oben weg scrollen zu lassen (die vorige Ausgabe wird ersetzt). Man benutzt es, wenn man die Ausgabe eines Programms überwachen möchte. Der Parameter "-n 1" bewirkt, dass das Intervall nicht die standardmäßigen zwei Sekunden sondern nur eine Sekunde ist.
Der zweite angegebene Parameter für "watch" ist das Auszuführende Kommando. In diesem Fall ist es eine Kombination aus zwei Programmen und muss wegen dem Pipe ("|") und der Leerzeichen zwischen den Parametern des zweiten Programmes in Apostrophen - sog. "single quotes" - stehen; dadurch interpretert die Shell, dass das Pipe, welches die Ausgabe eines Programmes zur Eingabe eines anderen umleitet, nicht für "watch" gelten soll, sondern für "dmesg", das Kommando, das von "watch" ausgeführt wird. (Weiterhin sorgen die Quotes dafür, dass die Shell "-n 25" als ein Parameter für "tail" interpretiert und nicht für "watch".)

Das Pogramm "dmesg" gibt Systemmeldungen aus dem sog. "kernel ring buffer" aus, wenn es ohne Parameter aufgerufen wird. Seine Ausgabe wird mit dem Pipe zu "tail" umgeleitet.

"tail" gibt nur die letzten Zeilen einer Datei oder der Eingabe aus. Der Parameter "-n 25" sorgt dafür, dass es die letzten 25 Zeilen, statt üblicher 10 sind.

Kurz: Das Kommando gibt jede Sekunde die letzten 25 Zeilen der Kernel-Systemmeldungen aus, ohne wildes scrollen.
So kannst Du die letzten Meldungen beobachten und siehst leicht, was sich geändert hat, weil nicht ständig so viel an Dir vorbei scrollt.

Wenn das System dann hängen bleibt, ohne dass Dir der Kernel noch etwas anzeigen kann, dann siehst Du wenigstens noch die Meldungen der letzten Sekunde. Vielleicht ist etwas hilfreiches dabei...

Hallo oziris,

ich habe mich jetzt mal wieder rangesetzt, da ich mal wieder ein wenig Zeit hatte.

Was ich bisher getan habe:

Meine Platte zurück zu einer großen Parition geswitcht. Diese formatiert, einen neuen MBR erstellt und Windows installiert. Danach habe ich auch noch chkdsk c: /p durchlaufen lassen. CHKDSK sagte mir dass etwas an der Platte auch nicht i.O. sei, die Fehler wurden beim Scandurchlauf jedoch korrigiert - laut dem Rückgabetext des Programmes zumindest.
Habe mir dann also alle Treiber draufgehauen, habe diesmal extra die Gigabyte AMD Quiet'n'Cool treiber weggelassen, da ich vermutete diese könnten eventuell Probleme machen bezüglich meines x86-Systems (XP SP3!).
Lief alles wunderbar..doch dann wollte ich wieder einen Antimalwarscanner installieren und schon hing das System wieder! Ich habe dann nochmal rebootet und musste feststellen, dass das gleiche passiert, sobald ich den Windows Media Player starte.. (hat direkt neugestartet - nicht eingefroren wie sonst immer).

Der MBR kanns net sein, die Platte ist rückpartitioniert worden und mit CHKDSK untersucht worden. Was kann es denn noch sein?
Vorallem wieso schmiert der Rechner immer bei den gleichen Programmen ab? Es ist immer das gleiche, wenn ich Malbytes Anti-Malware installiere und es starten/aktualisieren will friert der PC ein - mit anderer Antimalwaresoftware ebenfalls. Dazu kommt noch das Problem mit dem WMP11..

Hijackthis hat mir auch nicht weiterhelfen können. Die Logauswertung auf der Homepage hat nichts aussergewöhnliches gezeigt.
Ein Bios-Update habe ich ebenfalls ausgeführt.

Was tun?
Selbst wenn es ein Softwareproblem (Antimalware + WMP11) sein sollte, wie kann es zustande kommen? Ich habe das System doch frisch aufgesetzt!

Ich hoffe auf Antwort.

Lieben gruß
had0r

Umpartitionieren löscht nicht den Code im MBR!
Wenn Du alle Date auf der Platte verlieren und den MBR löschen willst, dann kannst Du von einem Linux (oder UNIX) aus folgendes eingeben:
Zuerst musst Du die richtige Platte finden, mit:

Code:

fdisk -l

Da kommt dann sowas raus, wie:

Code:

Disk /dev/sda: 2051 MB, 2051013632 bytes
[...]
Disk /dev/hdc: 80.0 GB, 80026361856 bytes
[...]

Hier wäre also zwischen hdc und sda zu wählen, welche die zu plättenden Platte ist. (Ich entschuldige mich für den schlechten Kalauer, und bitte um Verständnis: Ich hatte gerade etwas Whiskey...)
Nehmen wir nun an, unsere Platte wäre /dev/sda (nicht hda). Dann würde das folgende Kommando den MBR der Platte plätten:

Code:

dd if=/dev/zero of=/dev/sda bs=512 count=1

Vorsicht: Bitte stöpsle alle Datenträger - auch USB - vom System ab, damit Du sie nicht versehentlich plättest!

Wird fdisk die Platte direkt auch formatieren und so sozusagen auf "null" zurücksetzen? Komplett alle Partitionen weg? Sozusagen wieder "nackig"?

Was bedeuten denn die parameter bei zeile.

Code:

dd if=/dev/zero of=/dev/sda bs=512 count=1

vielen dank
had0r

Zitat:

Zitat von had0r

Wird fdisk die Platte direkt auch formatieren und so sozusagen auf "null" zurücksetzen? Komplett alle Partitionen weg? Sozusagen wieder "nackig"?

Nein, "fdisk -l" listet nur die Datenträger auf, damit Du weißt, wie die Platte heißt, die Du dann mit "dd" leer machen wirst.

Zitat:

Zitat von had0r

Was bedeuten denn die parameter bei zeile.

Code:

dd if=/dev/zero of=/dev/sda bs=512 count=1

"dd" kopiert Binärdaten. Alle möglichen Parameter sind hier erklärt:
]
In diesem Fall bedeuten sie: Kopiere nur Nullen (aus /dev/zero) auf die Festplatte (in diesem Beispiel /dev/sda) in Gruppen von 512 Bytes, aber nur eine Gruppe.
Da der Boot-Loader und die Partitionstabelle in den ersten 512 Bytes der Festplatte sind, werden diese geleert und die Platte danach unbenutzbar, bis man sie partitioniert. Nach dem Partitionieren sollte das Dateisystem unbedingt formatiert werden, damit das alte Dateisystem verschwindet. Tut man dies nicht, dann könnten dort noch alte Daten und somit auch Malware auftauchen.

PS: Wenn Du die ganze Platte mit Nullen leer machen willst, dann kann man das auch mit dd machen, aber das dauert wirklich ewig...

Super, danke!!!

Ich setz mich nachher gleich ran. Meinst du die Schnellformatierung des Windows Setups wird ausreichen um die Platte zu leeren?


EDIT (autom. Beitragszusammenführung):


So,

Update:

Ich habe mit Knoppix 6.2 den MBR der Platte überschrieben. Daraufhin habe ich formatiert (Nein, nicht die Schnellformatierung ) und daraufhin XP installiert.
Leider schmiert das System wieder ab, wenn ich versuche Anti-Malware von Malwarebytes zu starten. Das gleiche ist ebenfalls passiert als ich versucht habe Java zu installieren.
Wie kann ich denn herausfinden ob es sich um einen Hardwareschaden handelt? So können wir jetzt wenigstens langsam anfangen auszuschließen.

gruß had0r

Du könntest noch mit memtest den RAM durchprüfen, aber das dauert ewig...

Desweiteren könntest Du noch die ganze Platte nach fehlerhaften Blöcken/Sektoren untersuchen (z.B. mit dem Linux-Befehl "badblocks" (weiß nicht, wie das mit Windows geht ... "checkdisk" ?)), aber das dauert auch ewig...

PS: memtest ist auf einigen bootbaren CDs mit drauf und es gibt irgendwie zwei Varianten und ich weiß nicht, welche Unterschiede es gibt.

Zitat:

Zitat von oziris

Du könntest noch mit memtest den RAM durchprüfen, aber das dauert ewig...

Desweiteren könntest Du noch die ganze Platte nach fehlerhaften Blöcken/Sektoren untersuchen (z.B. mit dem Linux-Befehl "badblocks" (weiß nicht, wie das mit Windows geht ... "checkdisk" ?)), aber das dauert auch ewig...

PS: memtest ist auf einigen bootbaren CDs mit drauf und es gibt irgendwie zwei Varianten und ich weiß nicht, welche Unterschiede es gibt.

Hi Oziris,

ich hab gestern meinen PC beim Hersteller abgegeben. Ich hab einfach net die Zeit das alles zu untersuchen, so gern ich auch würde.
Ich wollte dir noch danken für die Hilfe!

Ich werde hier natürlich auch noch posten, was es letzteendlich war - falls es dich interessiert.

Guten Rutsch

Gruß had0r