Hallo Liste, ich habe mir gestern noch den Mail-Virenscanner amavis installiert, dazu uvscan von NAI. uvscan findet beim ausprobieren einen Parity.b-Virus auf drei von vier Platten und bricht dann ab Cleanen mit uvscan klappt nicht. Hat jemand Erfahrung und kann mir helfen? System ist 6.3 -- Viele Grüße vom Bodensee, Ralf Steck - Die Textwerkstatt mailto:rsteck@die-textwerkstatt.de http://www.die-textwerkstatt.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, On Fri, 04 Feb 2000, Ralf Steck wrote:
dazu uvscan von NAI. uvscan findet beim ausprobieren einen Parity.b-Virus auf drei von vier Platten und bricht dann ab Cleanen mit uvscan klappt nicht. Hat jemand Erfahrung und kann mir helfen?
Ich habe vor laengerer Zeit mal Rechner mit Parity Boot B Viren "gesaeubert", indem ich mit einer sauberen DOS-Bootdiskette startete und von einer zweiten sauberen Diskette aus ein McAfee-Programm startete. Warum es von Linux aus nicht klappt, weiss ich nicht. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Moser schrieb:
Ich habe vor laengerer Zeit mal Rechner mit Parity Boot B Viren "gesaeubert", indem ich mit einer sauberen DOS-Bootdiskette startete und von einer zweiten sauberen Diskette aus ein McAfee-Programm startete.
Warum es von Linux aus nicht klappt, weiss ich nicht.
unter DOS mit einer sauberen Disk booten und den MBR neu Schreiben (fdisk /mbr). cu tonki --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
----- Original Message ----- From: Stefan Onken <Stefan.Onken@difi.de> To: Steffen Moser <moser@egu.schule.ulm.de>; <suse-linux@suse.de> Sent: Friday, February 04, 2000 1:33 PM Subject: Re: Viren ind der Partition und amavis
Steffen Moser schrieb:
Ich habe vor laengerer Zeit mal Rechner mit Parity Boot B Viren "gesaeubert", indem ich mit einer sauberen DOS-Bootdiskette startete und von einer zweiten sauberen Diskette aus ein McAfee-Programm startete.
Warum es von Linux aus nicht klappt, weiss ich nicht.
unter DOS mit einer sauberen Disk booten und den MBR neu Schreiben (fdisk /mbr).
Klappt aber bei manchen Viren nicht z. B. Neuroquilla, die verschlüsseln den MBR. MfG Florian Rauh --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Florian Rauh wrote:
----- Original Message ----- From: Stefan Onken <Stefan.Onken@difi.de> To: Steffen Moser <moser@egu.schule.ulm.de>; <suse-linux@suse.de> Sent: Friday, February 04, 2000 1:33 PM Subject: Re: Viren ind der Partition und amavis
Steffen Moser schrieb:
Ich habe vor laengerer Zeit mal Rechner mit Parity Boot B Viren "gesaeubert", indem ich mit einer sauberen DOS-Bootdiskette startete und von einer zweiten sauberen Diskette aus ein McAfee-Programm startete.
Warum es von Linux aus nicht klappt, weiss ich nicht.
unter DOS mit einer sauberen Disk booten und den MBR neu Schreiben (fdisk /mbr).
Klappt aber bei manchen Viren nicht z. B. Neuroquilla, die verschlüsseln den MBR.
Mal 'ne ganz blöde Idee: Wenn das System eh unter LINUX läuft, dann sollte es doch möglich sein, per dd die Bootsektoren der Platten überzubügeln. Offensichtlich werden sie auf den drei von vier Platten ja nicht gebraucht... Geht's oder mache ich da einen Gedankenfehler? Gruß hebi -- Dirk Hebenstreit Büro-Informationstechnik Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke FAX : 033200 85999 dhebenstreit@rios.de dhebi@gmx.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
So, liebe Freunde, eine kurze Notiz, wie die Geschichte ausging (vielleicht ist jemand anderes nicht so blöd wie ich): Von der c't-Shareware-CD f-prot geholt, das nötigste auf Diskette. DOS-Bootdisk genommen (von der war übrigens der Virus, wie sich herausstellte), Linux-Server (natürlich ohne vorheriges Backup) gebootet. fprot findet in 2., 3. und 4. Platte den Virus und entfernt ihn (erstes glückliches Lächeln. Reboot. Meldung, gleichzeitig Blutduck steil nach oben: /dev/hdc2, mounted on /opt: Could this be a zero length partition? Nachschauen, statt 2 x 1GB-Paritionen 1 x 2 GB. Schwitz, wie war die Partitionierung... Gkleichzeitig: (Blutdruck erreicht Schwindelerregende Höhen): Wo ist eigentlich mein RAID md0 mit all den wertvollen Daten?? fdisk zeigt hdb2 und hdd2 als Linux statt als autodetect RAID an, mit fdisk geändert. Reboot. RAID wird erkannt. Blutdruck geht zurück in gelben Bereich. Mit fdisk hdc nochmal partitioniert (in der Hoffnung, die Zylinderzahlen richtig im Kopf gehabt zu haben). Reboot. System ist wieder da. HURRA!!! SCHWEINEGLÜCK! Was lernen wir? 1. Backup vor jeder solchen Aktion 2. Noch ein Backup 3. Zettel mit Zylindergrößen ALLER Partitionen schreiben 4. Weniger basteln, mehr arbeiten Danke jedenfalls für Eure Vorschläge. -- Viele Grüße vom Bodensee, Ralf Steck - Die Textwerkstatt mailto:rsteck@die-textwerkstatt.de
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Ralf Steck wrote:
Nachschauen, statt 2 x 1GB-Paritionen 1 x 2 GB.
Schwitz, wie war die Partitionierung... Gkleichzeitig: (Blutdruck erreicht Schwindelerregende Höhen): Wo ist eigentlich mein RAID md0 mit all den wertvollen Daten?? fdisk zeigt hdb2 und hdd2 als Linux statt als autodetect RAID an, mit fdisk geändert.
mit fdisk von dos oder von linux die Linux-Partition wiederhergestellt ?
3. Zettel mit Zylindergrößen ALLER Partitionen schreiben Jau! Wird auch im Suse-Handbuch wärmstens empfohlen (+ fstab)
Ich habe vor laengerer Zeit mal Rechner mit Parity Boot B Viren "gesaeubert", indem ich mit einer sauberen DOS-Bootdiskette startete und von einer zweiten sauberen Diskette aus ein McAfee-Programm startete.
Warum es von Linux aus nicht klappt, weiss ich nicht.
Soweit ich weiss schreibt lilo nur soviel bits und bytes in den mbr wie absolut notwendig. Das bleibt der virus wohl verschont. fdisk /mbr von DOS macht tabula rasa wie bei M$ üblich: DOS glaubt sich alleine auf der Welt ... Gibt es da noch ein "hartes" Überschreiben des mbr der das, was linux/lilo nicht brauchen, einfach mal überschreibt ? Übrigens: für das Entfernen von bootviren reicht eigentlich ========== fdisk /mbr von DOS aus (lilo muss halt neu installiert werden -> suse-bootdisk -> /dev/xyz booten, dann lilo) Jedoch machen die meisten den Fehler, dass die von einer DOS-Diskette booten und an a: a:\>fdisk /mbr !! FALSCH !! eingeben. Damit wird der mbr der DISKETTE neu geschrieben ;-)) Auch nicht falsch wenn der mbr der Diskette einen Virus enthält. Richtig ist: a:\> c: (Wechsel auf irgendeine DOS-Part.) c:\> a:\fdisk /mbr Jetzt wird erst der mbr der FESTPLATTE überbügelt! ================================================== (ähm .. was ich mache, wenn keine DOS-Part vorhanden weiss ich nicht .. hmm .. dann kann eigentlich auch NIE ein parity-virus drauf gekommen sein, oder ? - Klar, wenn jemand früher mal DOS hatte und jetzt nicht mehr und das Ding ist seit DOS-gedenken drauf - das meine ich aber nicht. Ich meine wenn die Festplatte noch nie DOS gesehen hatte oder vollständig mit fdisk von linux partitioniert ist.) Gruss Ekkard --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Ekkard,
mit fdisk von dos oder von linux die Linux-Partition wiederhergestellt ?
Linux.
(ähm .. was ich mache, wenn keine DOS-Part vorhanden weiss ich nicht .. hmm .. dann kann eigentlich auch NIE ein parity-virus drauf gekommen sein, oder ?
:-) Genau das war das Problem: reiner Linux-Rechner. und jetzt finde mal heute noch einen DOS-Virenscanner, der auf eine Diskette passt... Die Viren kommen wahrscheinlich daher, dass zwei (hda, hdc) der Platten mal unter DOS gelaufen sind. Wie sich der Rest infiziert hat, weiss ich allerdings auch nicht, da ich zwei Platten (hdb, hdd) definitiv NIE mit DOS bearbeitet habe. Das ganze sieht bei mir so aus: hda: 2GB-Platte, gebraucht hdb: 16 GB IBM, neu hdc: 2GB-Platte, gebraucht hdd: 16 GB IBM, neu Das lustige ist auch, dass die zwei großen Platten, obwohl genau der gleiche Typ, unter fdisk verschiedene Geometrien (1869 <-> 1027 Cylinder) anzeigen. Blöd für RAID1. Ich vermute mal, dass eine davon schonmal formatiert war. Ich hab's dann mit dem Experten-Menü von fdisk hingebogen (obwohl sie heute noch verschieden angezeigt werden :-( -- Viele Grüße vom Bodensee, Ralf Steck - Die Textwerkstatt mailto:rsteck@die-textwerkstatt.de http://www.die-textwerkstatt.de Privat: http://www.ralfsteck.de vcard: http://www.die-textwerkstatt.de/RalfSteck.vcf ----- Diese Mail wurde Ihnen von einem Linux-Server zugestellt - Nr. 69290 weltweit. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Ralf Steck schrieb in 1,6K (52 Zeilen):
(ähm .. was ich mache, wenn keine DOS-Part vorhanden weiss ich nicht .. hmm .. dann kann eigentlich auch NIE ein parity-virus drauf gekommen sein, oder ?
Nein, PBB (ParityBoot.b) ist ein Bootsektorvirus und vollkommen OS-unabhaengig. Er geht nur in den MBR.
:-) Genau das war das Problem: reiner Linux-Rechner. und jetzt finde mal heute noch einen DOS-Virenscanner, der auf eine Diskette passt...
fdisk? Aber PBB sollte jeder Scanner beseitigen koennen. Selbst ein fdisk /mbr (bzw. lilo) sollte reichen. Backup der Partitionstabelle nicht vergessen!
Das lustige ist auch, dass die zwei großen Platten, obwohl genau der gleiche Typ, unter fdisk verschiedene Geometrien (1869 <-> 1027 Cylinder) anzeigen. Blöd für RAID1.
Nein, egal. Linux sieht die Platten als lineare Anordnung von Sektoren. Cylinder und Koepfe sind irrelevant. Zudem sind diese Geometrien eh alle virtuell! Du kannst sogar Raid1 ueber verschieden grosse Partitionen machen. Dann verlierst du ein bischen Geschwindigkeit, kannst aber den ganzen Platz nutzen. Wenn deine Platten IDE sind, willst du aber eh 4 IDE-Controller, ein Master-Slave Paar bremst sich boese aus, gerade beim Lesen. IDE kann heute noch kein disconnect, auch wenn das in den Specs angedacht und machbar ist. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (7)
-
dhebenstreit@rios.de
-
fr@prokscha.de
-
moser@egu.schule.ulm.de
-
rsteck@die-textwerkstatt.de
-
SPS_Gerlach@online.de
-
Stefan.Onken@difi.de
-
weissel@ph-cip.uni-koeln.de