Partitionstabellenvirus / MBR Virus

[Surgeon100]

Ich frage mal: GIbt es solche ?? Laut Internet ja.

Ich habe komische Effekte die ich hier nicht näher beschreiben will.

Natürlich findet KIS nichts !

Daher habe ich auch schon mal eine Rescue CD benutzt, findet aber auch nichts !

Oder Fremdsoftware von Bitdefender, CD, aber die startet nicht und die Firma kann mir nicht sagen warum !

[Schulte]

Hi @Surgeon100,

natürlich gibt es Viren, die sich im MBR einnisten. Die Hauptverbreitung war die Zeit, als noch Disketten ausgetauscht wurden. Aber auch per USB-Laufwerk können sie sich heute verbreiten.

Hast Du mal den TDSSKiller über Dein System laufen lassen? Dieses Tool ist speziell zur Erkennung von Root- und Bootkits gedacht.

Ohne Nennung der “komischen Effekte” können wir natürlich keine genauere Einordnung vornehmen.

[Surgeon100]

Hi@Surgeon100,

natürlich gibt es Viren, die sich im MBR einnisten. Die Hauptverbreitung war die Zeit, als noch Disketten ausgetauscht wurden. Aber auch per USB-Laufwerk können sie sich heute verbreiten.

Hast Du mal den TDSSKiller über Dein System laufen lassen? Dieses Tool ist speziell zur Erkennung von Root- und Bootkits gedacht.

Ohne Nennung der “komischen Effekte” können wir natürlich keine genauere Einordnung vornehmen.

 

Siehe ältere Posts von diesem Jahr von mir. Die Effekte sind mittlerweile nicht mehr logisch !

Daher !

Ich hatte ja mal KRD laufen lassen, danach war die PT auf einer SSD kaputt. Ohne Meldung eines Virus.

Danach hatte ich die Original HDD eingelegt, dann war auch da die PT defekt, die ich aber mit Win 7 CD recovern konnte. Hatte es vorher noch nie gegeben und ist völlig unlogisch !

Danach sind mir auf einer Samsung QVO immer wieder die PT abgeschmiert, allerdings auch bei Kopie einer reinen Datenplatte.

Heute nun habe ich von einer EVO und anderen Sicherungen gemacht, danach war die PT der EVO weg.

Wiederherstellung mit Win Start CD lieferte falsche Partitionen, aber eine war da: eine mit dem Namen XPSP3 wo auch XPSP3 drauf war ! 10 GB ! Die hatte es vorher da nie gegeben !

Die Original Win 7 HDD extern auf einmal: nicht initialisert !

Auf einem anderen externen Gehäuse: wieder alles da !

Also das ist völlig unlogisch und da stimmt etwas nicht !

Und XPSP3 habe ich nur auf einen VM und sonst nirgends, wie kann das auf einmal auf der Originalplatte / SSD nach recovern der PT auftauchen ???

 

[Surgeon100]

Zudem immer wieder USB Sticks wenn angesteckt Überprüfung chkdsk obwohl nichts ist, hatte ich auf irgendwelche Windows Updates geschoben, die die Überprüfung schärfer einstellen, keine Ahnung ob da was dran ist.

Dann wenn Systemplatten wenn extern gehängt oft kein Auswerfen möglich, da angeblich noch Zugriff oder bestimmte Verweigerungscodes beim Abdocken, fallen mir im Moment gerade nicht ein.

[Surgeon100]

TDSS Killer findet nichts.

Anhang: XPSP3 auf EVO mit sonst 7 P., 2 x Win 7, 2 x Programme, 3 x Daten !

Möglicherweise ist es das XPSP3 von der VM, aber wie kommt es da hin und heißt dann auch noch so ??

Die Bilder sind entstanden von der defekten PT auf SSD extern gehängt bei laufendem Win 8.1 auf HDD.

[Surgeon100]

Dazu kommt noch, wenn ich die Original PT von der HDD sichere via Testdisk und dann auf den defekte SSD PT übertragen will ist sie auf einmal “bad” und lässt sich nicht übertragen.

Da stimmt doch irgend was nicht.

[Schulte]

Sehr viel Info, ich muss das morgen mal für mich sortieren…

An Malware denke ich aber erstmal nicht, eher an ein Controller-/BIOS-/Treiberproblem. Im Moment kann ich Dir aber leider keine Lösung anbieten, muss mich auch umhören.

[Surgeon100]

Sehr viel Info, ich muss das morgen mal für mich sortieren…

An Malware denke ich aber erstmal nicht, eher an ein Controller-/BIOS-/Treiberproblem. Im Moment kann ich Dir aber leider keine Lösung anbieten, muss mich auch umhören.

Es ist für mich langsam völlig unklar. Aber mit HDDs ist das nie passiert, nur SSDs !

Zudem hatte ich vor kurzem noch am PC eine Kleinigkeit gebastelt. Aber nur am Plastik.

Danach war auch wieder die PT/MBR kaputt. Das kann eigentlich auch gar nicht sein.

Es muss hier elektrisch was vorliegen, Kriechströme oder Ähnliches !

Aber wie soll man das herausfinden und beheben ??

Eine Samsung QVO jedoch ließ sich nie korrekt klonen. Es wurde immer die PT nicht korrekt geschrieben, kleine Fehler und nach einigen Wochen war sie dann ganz defekt !

[Surgeon100]

Zudem, wenn auf Samsung SSDs PT oder MBR kaputt sind und man nach PT dann sucht, tauchen immer ext4 auf.

Die es ja auch nie gegeben hat und gar nicht sein können !

Das fehlende Abdocken unter 8.1 und 10 liegt aber meist am ständigen chkdsk überprüfen, was MS heimlich überall eingeführt hat, schärfer als vorher. Hat wohl mit der Sache nichts zu tun, und ist reiner Müll !

[Surgeon100]

Mal anders herum und weniger kompliziert:

Eine Samsung QVO liess sich nicht korrekt klonen, immer wieder PT defekt nach einigen Wochen.

Direkt nach dem Klon lief alles, aber die PT wies Fehler auf.

Dann EVO genommen, alles ok. Als Datenplatte eine Crucial.

Nach eine paar Umbauarbeiten am NB bei belassener Crucial diese auf einmal defekt, PT und MBR.

Neu geklont.

Dann auf einmal EVO defekt ebenfalls PT und MBR.

Neu geklont.

Dann Backups gemacht, und ohne äußeren Eingriff wieder PT und MBR bei EVO defekt.

Vorher Klon auf externes LW, beim Abmelden dieses mit 4 HDDs 

nur die Ziel HHD im Arbeitsplatz noch angezeigt,

die anderen ohne Bezeichnung, an den Symbolen irgendwie ein blauer Halbkreis oder so.

Fazit:

Aus unklaren Gründen immer wieder PT und MBR defekt. Aber nur bei SSDs, nicht bei HDDs, dort nie aufgetreten.

Allerdings mit Einschränkungen:

Nach einer defekten QVO vor Wochen war auf einmal auch das Original defekt,

lies sich aber mit Win CD wieder herstellen.

Gestern war angeschlossene Original HDD am externen 2,5 LW auf einmal auch nicht initialisert, voll den Schrecken bekommen,

am anderen 2,5 Gehäuse aber wieder ok.

Heute wieder die defekte EVO neu geklont mit Acronis DD,

als ich nach Hause kam,

wurde auf einmal ein Corsair USB 3 Stick als nicht initialisiert angezeigt unter Acronis DD.

Nach Neustart dann aber doch ok. Wurde aber so angezeigt !

 

Also was ist da los ??

Ein Virus lässt sich nicht finden, 

elektrische Instabilität oder Treiber defekt oder Bus ??

Eigenartig ist, dass mindestens einmal auch die original HDD defekt war mit PT und MBR.

 

Gespenster auf dem PC oder NB gibt es ja nicht.

 

P.S. Rootkitsuche ist regelmäßig eingestellt, TDSSKiller ohne Ergebnis und auch Antimalwarebyte ok, das hin und wieder gestartet wird.

 

Hardware ein älteres Medion MD 98920 mit selbst eingebautem i5 statt i3,

und etwas Veränderungen an der Unterseite zur besseren Belüftung der HDDs oder SSDs.

[Schulte]

Hi @Surgeon100,

wirklich weiterhelfen kann ich Dir leider nicht.

Meine Ideen:

• Du hattest immer mehrere Win-Versionen parallel installiert: ist auf einem BS noch die automatische Defragmentierung aktiviert?
• Gibt es eventuell für den Rechner ein BIOS-/Treiberupdate, speziell für SSDs?

Für mich wären dieses die ersten Anlaufstellen.

Zur ext4-Partition: die dürfte vom Live-Linuxsystem stammen. Wird gerne als Swap-Partition angelegt, soweit freier Speicher verfügbar ist.

Im Ganzen betrachtet gehe ich davon aus, dass es weder ein Malware- noch ein KL-Problem ist. Ich möchte Dir empfehlen, Dich an auf solche Probleme spezialisierte Stellen/Foren zu wenden.

Falls wir Dir noch mit anderen Ideen weiterhelfen können - berichte und frag.
Wenn Du auf die Ursache stößt - interessiert mich brennend.

[Surgeon100]

Automatische Defragmentierung wurde nie genutzt.

Ich habe und hatte immer nur eine HDD mit 2 x 7, eine mit 8.1 und eine mit 10.

Es würde aus meiner Sicht nie einen Unterschied machen ! Ich könnte auch eine mit 7, 8.1 und 10 haben, also 3 fach Boot. Ich zwar komplexer, muss aber gehen.

Gebe zu dass die Beschreibung hier irre klingt, es sind aber einfach nur Effekte beschrieben.
Und von der Logik her könnte man schon mal an ein PT-/MBR Virus denken !

Das ältere NB war sonst ohne Probleme, nur die üblichen Windows Probleme aus dem Hause Microschrott mit ungenauer Programmierung und mangelnder Abstimmung auf Fremdsoftware.

An dem NB hatte ich vor kurzem aber auch nach den Problemen eine kleine bauliche Veränderung vorgenommen,

indem ich die von den 2 möglichen HDDs oder SSDs die längs sitzende durch bauliche Veränderungen außen so modifiziert habe, dass ich diese im Rahmen ein- und ausschieben kann,

also ohne unten den Deckel zu öffnen.

Damit mußte ich die inneren Befestigungsschrauben weglassen, und am Deckel innen an der wärmeleitenden Metalleinlage ein paar Noppen entfernen damit das Rein- und Rausschieben geht,

aber das sollte mit der Elektrik nichts zu tun haben, 

und die Probleme waren auch schon vorher !

Angefangen hat es damit, dass eine QVO von Samsung immer wieder defekte PT hatte,

diese wurden nie korrekt kopiert, sagte die Sektorsicht von Acronis DD,

und gingen dann regelmäßig nach wenigen Wochen ganz kaputt = nicht initialisiert.

Also vor ! irgendwelchen Basteleien !

Es kann nicht sein, dass durch Kleinbasteleien am Gehäuse noch verbleibende SSDs kaputt gehen,

sicher sollte man besser alle rausnehmen, aber so elektrisch sensibel sind sie wohl auch wieder nicht.

Sicher ist das ev. kein KL Thema, aber dran denken mußte man schon mal, PT /MBR Virus.

Habe aber in den letzten 10 Jahren nie einen Virus gehabt und wenn, wurde der gleich von K. entfernt.

Ist nun n K Forum hier, aber ev. sind da eben auch ein paar andere Fachleute.

In vielen anderen Foren wird oft nur bei unklaren Sachen herumgepöbelt und beleidigt.

Muss sonst mal suchen, ob es ein spezielles Forum von Hardwarespezialisten gibt.

Aber glaube ich kaum. Es tummeln sich überall 100e Besserwisser, aber die echten Fachleute sind rar, so wie in anderen Bereichen wie Medizin und Wissenschaft auch.

[Surgeon100]

Wenn ich auf die Ursache stoße, ist das NB explodiert, das Wohnhaus eingestürzt oder ich bin tot oder habe Krebs ! ^^^^^^

[Surgeon100]

Hi@Surgeon100,

wirklich weiterhelfen kann ich Dir leider nicht.

Meine Ideen:

• Du hattest immer mehrere Win-Versionen parallel installiert: ist auf einem BS noch die automatische Defragmentierung aktiviert?
• Gibt es eventuell für den Rechner ein BIOS-/Treiberupdate, speziell für SSDs?

Für mich wären dieses die ersten Anlaufstellen.

Zur ext4-Partition: die dürfte vom Live-Linuxsystem stammen. Wird gerne als Swap-Partition angelegt, soweit freier Speicher verfügbar ist.

Im Ganzen betrachtet gehe ich davon aus, dass es weder ein Malware- noch ein KL-Problem ist. Ich möchte Dir empfehlen, Dich an auf solche Probleme spezialisierte Stellen/Foren zu wenden.

Falls wir Dir noch mit anderen Ideen weiterhelfen können - berichte und frag.
Wenn Du auf die Ursache stößt - interessiert mich brennend.

BIOS Update gibt es nicht.

Aber interessant, dass nach allen Defekten auf den SSDs immer ext4 gefunden wird die es nie gab !

Oder dass auf einmal eine XP Partition auftaucht, die aber nur in einer VM war !

Ein Superfachmann könnte das ev. erklären !

[Surgeon100]

Es ist bisher insgesamt ein unklares aber sehr ärgerliches elektrisches Phänomen !