Linux-Bitdefender-Kurz-Howto-NTFS Einstellungen

[SkeeveDCD]

Piet, selbst mit den Original-Dateien von MS ist es nicht garantiert das der Schreibzugriff 100% funktioniert. So lange ist der Test von Andreas Marx nicht her, also kann man doch davon ausgehen das schon das System mit dem Einbinden der Original-Dateien verwendet wurde. Und trotzdem hat die Reinigung nicht funktioniert und es wurden Daten auf der Platte zerstört.

Wenn man Originaldateien hat wäre es dann nicht sinnvoller gleich eine PE BART-CD zu erstellen?

[Gast_piet_*]

Ich will es zumindest versuchen. Wenn es nicht funktioniert werde ich es hier kundtun.

piet

[SkeeveDCD]

Ich hoffe du nimmst auch mal nen File Infector für den Test und machst MD5-Prüfsummen über alle Dateien auf der Festplatte und vergleichst die nach der Reinigung.

[Gast_piet_*]

ok....alles nochmal. Ist einfacher als gedacht wenn man ein paar Sachen halt weiß.

1. Wir benötigen ntfs.sys und ntoskrnl.exe eines WindowsXP
2. Am besten die beiden Files auf Diskette oder CD bannen.

Hier verwendet:

ntfs.sys - MS Windows XP Service Pack 1/1a Free Build 5.1.2600.1106 NTFS
ntoskrnl.exe - MS Windows XP Service Pack 1/1a Free Build German 5.1.2600.1106 Kernel

Hier beide auf die Partition C:/ (Fat32) in einen Ordner namens "Treiber" kopiert, da kein DiskettenLW am Notebook und ein Rohling war mir zu schade dafür.

In einem Ordner auf D:/ (NTFS) ist ein Ordner "Test" mit 2 Versionen des Sub7-Trojaners. Die *zip-Files sowie entpackt.

http://mitglied.lycos.de/piet74/lsltr.txt

Verzeichnissinhalt: ls -ltR /mnt/hda5/Test vor dem Scannen.

Von CD booten. Mit rechter Maustaste HDA1 anklicken und per MOUNT einhängen. Wie gesagt, von CD bzw Diskette ist das einbinden auch möglich.

"Install NTFS Write Drivers" starten.

Mit "Forward" den Scan starten. jetzt findet er auf /mnt/hda1 die 2 Dateien. Sind die Dateien erkannt worden sieht das ganze so

http://mitglied.lycos.de/piet74/snapshot1.png

aus.

Jetzt die NTFS-Partition mounten. Rechte Maustaste->Mount auf das entsprechende Icon, hier HDA5 also D:/. Die Partition wird jetzt Read/Write gemountet.

den Scanner starten, Einstellungen...Scannen.

http://mitglied.lycos.de/piet74/snapshot3.png

Verzeichnissinhalt: ls -ltR /mnt/hda5/Test nach dem Scannen.

http://mitglied.lycos.de/piet74/lsltr2.txt

Der Schreibzugriff funktioniert. Ich weiß nicht was A.Marx falsch gemacht hat, aber irgendwas muss er nicht beachtet haben.

piet

[Gast_piet_*]

Ich hoffe du nimmst auch mal nen File Infector für den Test und machst MD5-Prüfsummen über alle Dateien auf der Festplatte und vergleichst die nach der Reinigung.

Da hast Du falsch gehofft. Wie wäre es wenn Du ebenfalls mal was produktives beiträgst als nur kluge Ratschläge zu geben.

piet

[SkeeveDCD]

Ich bin sehr produktiv und habe heute an der Scan Engine eines gewissen Antiviren-Programmes gearbeitet. Im Gegesatz zu dir, der Tipps gibt wie man möglicherweise seine NTFS-Partition röstet.

Und dein Test sagt absolut nichts aus solange du nicht wirklich feststellen kannst was genau verändert wurde. Und ich denke auch mal das Andreas Marx da etwas mehr Erfahrung hat als du und weiss was er da getestet hat. Sonst hättest du ein AV-Testcenter und nicht er?

Du solltest vielleicht mal nach Windows booten und schauen ob die Dateien wirklich weg sind. Das war naemlich das was Andreas Marx festgestellt hat. Nur unter Linux wurden sie als gelöscht angezeigt.

Und NTFS ist nicht gleich NTFS, da gibt es Unterschiede, z.B. Windows Server etc.. Oder was meinst du warum Firmen mit langjähriger Erfahrung wie die Hersteller von Ghost, Partition Magic oder z.B. bei Acronis das nicht selber hingekriegt haben.

[Gast_piet_*]

OhOh....vergeßt Bitdefender mit NTFS-Support. Die Dateien sind in der Tat nach einen Windowsstart immer noch vorhanden. Also vergeßt Diese Anleitung...es funktioniert nicht. Sorry A.Marx.

Die Partition funktioniert allerdings noch.

Nichts für Ungut...der Sticky ist somit wohl überflüßig.

piet

[Gast_piet_*]

Nochmal ein Nachtrag:

Auf

http://www.computerbase.de/news/software/b...bzugriff_linux/

wird geschrieben das die Dateien aus englischen Betriebssystemen stammen müssen.

Sobald mir diese Dateien vorliegen werde ich es nochmal probieren.

piet

[Gast_piet_*]

Mit den englischen Versionen der ntfs.sys und der ntoskrnl.exe funktioniert der Schreibzugriff wiedererwarten doch.

Und zwar hab ich ihn die Files aus der XPSP1A_EN_X86_CHK extrahieren lassen.

http://download.microsoft.com/download/9/7..._en_x86_CHK.exe

hier noch mal die Dateien nach dem Scan:

http://mitglied.lycos.de/piet74/dateien.txt

die zwei *.zip nochmal entpackt. Also den ursprünglichen Test-Ordner wieder hergestellt (wie vor dem Scan).

http://mitglied.lycos.de/piet74/dateien2.txt

diesmal beides unter Win mit dir *.* /s > text.txt in die Dateien geschrieben.

Bis auf sub7.exe hat er alle anderen *.exe gelöscht. Inwieweit das nun einer sauberen Entfernung entspricht müssen andere Leute beantworten.

piet

[VanTom]

hm, wo finde ich die Datei : ntoskrnl.exe in dem File? Eine direkte Suche in dem entpackten Verzeichnis scheint sie nicht zu finden. Stexkt die vielleicht in einer anderen Datei oder so?

bis denn

VanTom

[Gast_piet_*]

also hier ist ntoskrnl.ex_ (1.242.123 Bytes) in dem ServicePack enthalten. Falls Du sie dennoch nicht findest...Mail oder PM.

piet

[@thehop]

Hallo beisammen ...

Danke für das HowTo - lade gerade BitDefender Rescue System Version 2008.

DL: ftp://ftp.bitdefender.com/pub/rescue_cd (bitdefender_2008_RescueCD_v2.iso | 488 MB)


FRAGE: Hat die Anleitung nach immerhin 4 Jahren noch Gültigkeit? (die Links scheinen ja "outdated" zu sein.)


EDIT: Seh gerade, das es da noch LinuxDefender Live! und Security CD gab/gibt ?
Die sind aber von 2004 -> http://archive.bitdefender.com/bd/site/mirrors.php

salü
@thehop



suchen finden :::> hophop live-cd antiviren live cd antivirus-cd rescue-cd

Der Beitrag wurde von @thehop bearbeitet: 11.01.2008, 11:31

[DonQuijano]

Der kernel ist veraltet.
(Die Anleitung von piet ist super.)