Parity.1:komme nicht klar

#1 Hallo; ich habe diese beiträge weieter unten im Forum schon durchgelesen, wie man den parity.1 entfernt; leider komme ich da nicht so ganz zurecht.
kann mir bitte, bitte jemand das genau nochmal erklären??? Hab schon das ganze Internet durchsucht, wie man das entfernt, bin aber noch nicht schlauer geworden;
Mein PC hat - windows 98
- keine virensoftware ( was wäre da am besten für den virus??->
ich kann aber nur vom internet, da der
virus mein cdrom laufwerk lahmgelegt hat!
Muss die Bootdiskette auch eine virensoftware draufhaben?
Was heißt das, wenn der BOOTSEKTOR des Diskettenlaufwerks mit dem Virus infiziert ist?
Woher könnte ich den Virus eingefangen haben?

MFG
Dominik

#2 Es kommt ein wenig darauf an, wie fitt du in DOS bist. Wenn nur eine Diskette und nicht die Festplatte infiziert ist, gibt es gar keine Probleme. Es wuerde reichen die Kompletten Dateien auf die Festplatte zu kopieren die Disk zu forematieren und die Daten zurueckzukopieren. Bootsektorviren werden nur aktiv, wenn man von infizierten MEdien(Diskette/Festplatte) bootet.

In deinem Fall muesstest du dir einfach eine saubere Bootdiskette, oder Bootcd(von Win98?) besorgst und von ihr bootest. Man koennte dann einfach Fdisk /mbr eingeben, das kann aber unter umstaenden zu Datenverlust fuehren (doppelinfectionen des Bootsektors oder ein Diskmanager usw.).

Also ist es wohl besser sich F-prot fuer DOS zu besorgen(gibt es bei ftp://ftp.f-prot.com/pub/dos ) oder ueber www.percomp.de . Entpacke das Zip Archiv in ein Verzeichniss, starte dann mit der Bootdisk(cd) wechsle danach in das Verzeichniss in dem du F-prot entpackt hast und starte es mit F-prot /hard /disinf /nomem . Das sollte dein Virenproblem beseitigen.
Ich weiss nicht, ob KAV das noch bietet, aber es konnte damals den aktiven Virus aus dem Speicher werfen und reinigen. Du koenntest es ja mal versuchen und dir eine Demo von www.avp-de.com herunterladen, falls du mit DOS nicht so gut klar kommst.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Raman;
danke, dass du mir das so gut erklärt hast!
Muss ich dann, wenn ich von einer diskette boote, von Windows ins Dos gehen und dort dann einfach Fdisk/mbr eingeben? ist dann der virus weg?
Ich verstehe noch nicht so ganz, was die Bootdiskette für einen Zweck hat?
Wird dann etwa Windows von dieser diskette gestartet, oder wie?
ist das eigentlich normal, bei dem virus, dass dann das cdrom-laufwerk nicht geht? WIe könnte ich es wieder in gang bringen?
Irgendwie komme ich noch nicht so ganz klar mit der ganzen geschichte;
aber danke, dass du mir helfen wolltest!

Mfg
Dominik

#4 Eine saubere(also Virenfreie) Bootdiskette ist dafuer da den Rechner zu booten ohne ein Programm(welches infiziert sein koennte) von der Festplatte zu starten. Du landest unter normalen umstaenden nach dem starten nicht in windows sondern im guten alten DOS! und dort musst du halt FDISK /MBR eingeben, wenn du diese Variante waehlst. Wichtig ist, das du den Rechner dann ausschaltest, also nicht einfach einen warmstart machst, sondern wirklich den "Stecker" ziehst. Das "dein" Virus den zugriff auf das CD-Rom unterbindet, liegt daran, das der Virus die "Ansteuerungsbefehle" uebernimmt und Windows dann nicht mehr Zugriff darauf hat. Du wirst auch merken, das der Rechner bei dir derzeit im kompatbilitaetsmodus laeuft.

Ich weiss so nicht, ob es reicht, aber du koenntest auch versuchen windows nicht herunterzuufahren sondern "im MSDOS Modus neu starten" waehlen und dann Fdisk /MBR auszufuehren. Danach bitte sofort den "Stecker" ziehen!

Aber denke daran, ews koennte(!) unter umstaenden zu Datenverlust fuehren. Ich kann dir das aber nicht garantieren, da ich dein System nicht gut genug kenne.

Wenn du es dennoch schafen solltest ihn so loszuwerden, solltest du im Bios die Bootreihenfolge so aendern, das direkt von der Festplatte(HDD0) gestartet wird und nicht vom Diskettenlaufwerk. Auch solltest du deine Kompletten Disketten mt einem AV-Programm pruefen und reinigen lassen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Raman! ich bin jetzt schlauer geworden danke!
Welches AV-programm muss ich da hernehmen, dass ich Fdisk /MBR eingeben kann?? Muss ich da den Laufwerksbuchstaben A: oder C: im Dos eingeben? Was ist ein kompatbilitaetsmodus, an was merke ich dass der rechner in diesem Modus läuft?
Wie komme cih denn ins Bios um die Bootfolge zu ändern?
Wenn ich den Virus nach deiner Methode "kille", was sind da für Datenverluste zu verzeichnen? Muss icxh danach windows nochmal installieren oder werden nur Programme gelöscht?
ich hoffe ich gehe dir nicht auf die Nerven mit der vielen Fragerei, aber ich weiß sonst auch nicht an wen ich mich wenden soll.
Mfg
Dominik

#6 <g> Fdisk ist bestandteil von DOS/windows. von woaus du den Befehl eingibst ist egal. Kompatibilitaetsmodus heisst einfach, das windows nicht optimal laeuft. Ich habe leider kein Win98 mehr, aber es Stand irgendwo beim Arbeitsplatz(rechte Maustaste auf Arbeitsplatz/Eigenschaften und dann irgendwo unter Leistung o.ae).
Du merkst es unter anderem daran, das dein CD-Rom nicht mehr da ist!
*Wenn* es bei diesem Befehl zu Datenverlust kommt, sind deine komplette Daten weg! Darum ist die F-prot Variante sicherer.

Aber da du dich nicht so gut mit Computern/Windows/Dos auskennst, solltest du es mal mit KAV probieren.

In Bezug auf die Biosstartreihenfolge lies mal hier ein wenig: www.bios-info.de
__________
MfG Ralf
SEO-Spam Hunter

#7 Muss ich dann das AV-programm auch auf die Bootdisk kopieren?

#8 Nein, bei diesem Virus nicht. Wenn du F-prot meinst denke daran es mit /nomem /hard /disinf zu starten.
__________
MfG Ralf
SEO-Spam Hunter

#9 wo muss ich das eingeben?

#10 Dort, wo du F-prot hin entpackt hast. Sprich entpacke F-prot in das Verzeichniss F-prot . Starte von der Bootdisk wechsele auf die Festplatte mit "c:" , dann in das Verzeichniss mit "cd\f-prot", dann musst du halt "f-prot /hard /disinf /nomem" eingeben, alles natuerlich ohne die "".
__________
MfG Ralf
SEO-Spam Hunter

#11 hurra, mein CD-rom laufwerk geht wieder! aber ich hatte den virus noch gar nicht entfernt! kann; es war einfach wieder da; könnte ich jetzt von der win98cd auch booten? denn wenn ich sie im laufwerk drinnen habe, dann frägt mich der pc am anfang, ob ich mit cd oder mit festplatte starten will--> wennn ich dann mit der cd starte, geht das dann auch?
was für eine version von f-prot soll ich herunterladen, das den virus verichtet?
und danach gleich den stecker rausziehen, oder?
hab noch ne frage: könnte das am virus liegen, dass meine grafikkarte nicht geht? denn sie erkennt den treiber nicht an und ich bin zurzeit im 16-farben modus, weiß aber nicht wie ich das ändern kann!
wenn ich die gesamte festplatte mal lösche(was muss ich da unter dos eingeben?), ist dann der bootsektorvirus auch weg?

#12 Du laedst dir das hier herunter: ftp://ftp.f-prot.com/pub/f-prot.zip

Das entpackst du dann in ein Verzeichniss auf C: . Z.B. F-prot .
Dann startest du mit der Win98 CD neu, welchselst dann auf C: und dann ins F-prot Verzeichniss und startest F-prot mit: f-prot /hard /disinf /nomem

Und dann mal schauen, was F-prot meldet
__________
MfG Ralf
SEO-Spam Hunter

#13 Hallo!

Ein weiteres Problem... mit Parity 1

Ich habe den Virus "Parity I" in/auf dem Bootsektor von meinem Laufwerk A (3,5´ Disc).


Mit den hier erwähnten Schritten habe ich versucht das Problem zu lösen, leider ohne Erfolg!

Liegt das ggf. daran, dass es sich hier um ein 3,5´ Laufwerk handelt?

Ein Verständnisproblem meinerseits liegt darin, dass ich nicht genau eruieren kann, welche Schritte ich exakt bzw. nacheinander machen muss. Z. B. Wann ich in welchen Modus wechseln oder wo ich wann und wie etwas eingeben muss. usw.usw.


Auf meinem PC liegt das aktuelle AntiVir, mit aktuellem Update. Ein aktueller NOD32Scanner, und das hier beschriebene F-Prot. Auch eine online Prüfung mit Norton Antivirus blieb bislang erfolglos.

Zur Historie:
Das ganze kam so...
ich habe alte 3, 5´ Discs prüfen und löschen/formatieren wollen.
Ich legte eine weitere Disc ein, es ratterte kurz und dann erhielt ich, von meinem AntiVir Programm, folgende Meldung: "Der Bootsektor von Laufwerk A wurde mit dem Virus Parity I infiziert! Soll der Zugriff erlaubt werden?"
Das ganze habe ich mit NEIN beantwortet!

Bedeutet dies ggf. das der Virus doch nicht auf meinem Rechner ist? Aber warum erhalte ich dann in Folge die unten beschriebene Meldung?

Ein sofortiger Scan mit AntiVir blieb leider erfolglos, denn des erschien immer die Meldung:
"Der Bootsektor von Laufwerk A konnte nicht gelesen werden! und "Der BS von ... konnte nicht geprüft werden!"
Auch wenn ich den BS noch mal separat prüfe erhalte ich diese Meldung.

Dann...
erhalte ich sinngemäß, in einem separatem Fenster, die Meldung:
"Alle geprüften BS sind ok!"

A konnte nicht geprüft werden und somit bin ich mir sicher, dass diese "Mistkrücke" noch drauf ist!

Ist dies nun ein spezielles Merkmal im Verhalten dieses Virus und vor allem wie bekomme ich den wieder weg???

Bitte um Euren Rat und Hilfe.

grußMorgana

#14 Hallo@Morgana

#eScan-Erkennungstool
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hai Sabina...

Erstmal vielen lieben Dank, für Deine Zeit & Hilfsbereitschaft!

Nach dem Scan wurde dies mit Hilfe der Suchfunktion innerhalb des Dokuments ausgespuckt. Ich hoffe, dass es die benötigte Info ist!?
Da ich keine wirkliche Ahnung von solchen Dingen besitze, habe ich weiter unten ein paar Zeilen aus dem Log kopiert. Da das ganze Ding ist knapp 800 Seiten lang ist erspare ich uns erst einmal den Rest. Denn ich glaube, dass es die benötigte Info sein müßte.

Falls nicht bitte um Rückmeldung und Instruktionen. Hat übrigens sehr gut geklappt mit Deinen Hinweisen, Danke!


Aus: eScan AntiVirus Toolkit Utilitv Ver (4.6.2)

Mon Nov 08 17:50:15 2004 => Scanning Folder: D:\INFECTED\*.*


Mon Nov 08 17:40:53 2004 => Options Selected by User:


Mon Nov 08 17:40:53 2004 => Memory Check: Enabled


Mon Nov 08 17:40:53 2004 => Registry Check: Enabled


Mon Nov 08 17:40:53 2004 => StartUp Folder Check: Enabled
Mon Nov 08 17:40:53 2004 => System Folder Check: Enabled
Mon Nov 08 17:40:53 2004 => System Area Check: Disabled
Mon Nov 08 17:40:53 2004 => Services Check: Enabled
Mon Nov 08 17:40:53 2004 => Drive Check: Disabled
Mon Nov 08 17:40:53 2004 => All Drive Check :Enabled
Mon Nov 08 17:40:53 2004 => Folder Check: Disabled
---
Mon Nov 08 17:59:09 2004 => Total Files Scanned:25429
Mon Nov 08 17:59:09 2004 => Total Viru(es) Found: 3
Mon Nov 08 17:59:09 2004 => Total Disinfected Files: 0
Mon Nov 08 17:59:09 2004 => Total Files Renamed: 0
Mon Nov 08 17:59:09 2004 => Total Deleted Files: 0
Mon Nov 08 17:59:09 2004 => Total Errors: 1
Mon Nov 08 17:59:09 2004 => Time Elapsed: 00:17:28
Mon Nov 08 17:59:09 2004 => Virus Database Date: 2004/11/04
Mon Nov 08 17:59:09 2004 => Virus Database Count: 108233
---
Virus Log Information

File C:\PROGRAMME\IESEARCHTOOLBAR\IESEARCHTOOLBAR.DLL tagged as not-a-virus:AdWare.Toolbar.Perez.b. No Action Taken

File C:\Programme\IESearchToolbar\IESearchToolbar.dll tagged as not-a-virus:AdWare.Toolbar.Perez.b. No Action taken

File D:\Programme\T-online\T-Online_5\Browser\tmp.exe tagged as not-a-virus: AdWare.Toolbar.Perez.b. No Action taken
---
Mon Nov 08 17:41:39 2004 => ERROR!!! Invalid Entry CNBYHT3G = C:\WINDOWS\SYSTEM\CNBYHT3G.EXE. Removing it.
Mon Nov 08 17:41:39 2004 => *** File d:\programme\t-online\t-online_software_5\browser\browser.exe having Size Restriction ***
Mon Nov 08 17:42:25 2004 => *** File C:\WINDOWS\SYSTEM\DANIM.DLL having Size Restriction ***
Mon Nov 08 17:42:35 2004 => *** File C:\WINDOWS\SYSTEM\MSHTML.DLL having Size Restriction ***
Mon Nov 08 17:42:36 2004 => *** File C:\WINDOWS\SYSTEM\MSJET35.DLL having Size Restriction ***
Mon Nov 08 17:42:38 2004 => *** File C:\WINDOWS\SYSTEM\SHDOCVW.DLL having Size Restriction ***
Mon Nov 08 17:42:44 2004 => *** File C:\WINDOWS\SYSTEM\SHELL32.DLL having Size Restriction ***
Mon Nov 08 17:42:56 2004 => *** File C:\WINDOWS\SYSTEM\MSHTML.TLB having Size Restriction ***
Mon Nov 08 17:42:56 2004 => *** File C:\WINDOWS\SYSTEM\I81CTRL.DLL having Size Restriction ***
Mon Nov 08 17:43:05 2004 => *** File C:\WINDOWS\SYSTEM\MSVBVM50.DLL having Size Restriction ***
Mon Nov 08 17:43:23 2004 => *** File C:\WINDOWS\SYSTEM\ACTPMNT.OCX having Size Restriction ***
Mon Nov 08 17:43:31 2004 => *** File C:\WINDOWS\SYSTEM\I81XGICD.DLL having Size Restriction ***
Mon Nov 08 17:43:33 2004 => *** File C:\WINDOWS\SYSTEM\WMSUI.DLL having Size Restriction ***
Mon Nov 08 17:43:36 2004 => *** File C:\WINDOWS\SYSTEM\WMSUI32.DLL having Size Restriction ***
Mon Nov 08 17:43:39 2004 => *** File C:\WINDOWS\SYSTEM\FM20.DLL having Size Restriction ***
Mon Nov 08 17:43:43 2004 => *** File C:\WINDOWS\SYSTEM\MSXML3.DLL having Size Restriction ***

Usw. usw. usw...