M
manfred
Jungspund
Hallo Leute,
Ihr habt mir hier schon ein paar mal geholfen, nun grüble ich schon wieder über ein mysteriöses Phänomen:
hab 2 verschiedene Maschienen, die als Multiboot-Geräte eingerichtet sind.
auf jedem hab ich 3 bootbare Hauptpartitionen, linux und 2x windows,
von denen immer die XP-Partition (Fat32 typ 0c) Unterschiede zwischen Bootblock und Kopie des Bootblocks haben (fsck).
Für mich stellt sich nun die Frage, wie kann das passieren, daß im verwendeten Bootblock etwas anderes steht, als in dessen Kopie. Eigentlich klingeln da die Virusglocken ?
Kann mir das aber nicht wirklich vorstellen, da der dritte Rechner, der am meißten im Internet ist, jedoch kein XP sondern nur W98SE hat, keinen Virus hat.
Beide betroffenen Maschinen lassen sich auf alle 3 bootsysteme booten, scheinbar keine Probleme damit.
==> hat jemand das gleiche Phänomen bei sich? kann mir jemand sagen, wo sowas herkommt?
Hier die Details dazu, genaue Daten des ersten Rechners beispielhaft:
die Fehlermeldung von fsck auf /dev/hda3:
Die Systeme werden mit grub im MasterBootSector gestartet.
Ach ja, noch n Hinweis: auf der zweiten Maschine (zu neu für W98 ) sind Ubuntu, WinXPpro und WinXPhome installiert, auf der Home-Partition tritt dieses Phänomen nicht auf.
Die XP-Prof-Installation stammt jeweils von einer vor 2 Monaten grad noch gekriegten neuen Originalen XP-Prof-CD, denke mal, alle Patches etc drin.
Die Installationsreihenfolge beim Aufsetzen war immer:
Win-Fdisk Hdd partitionieren
mit Linux Partitionen verfeinern
WinXP installieren
Ubuntu installieren
grub einrichten
Hoffe, jemand kann bestätigen, daß XP-Prof sowas verursacht und nicht irgend ein Virus
Danke im voraus
Manfred
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Hallo nochmal alle,
hab selber mal weiter recherchiert :-)
Wenn man sich die Fehlermeldung von Fsck genauer ansieht fällt auf, daß die Hex-Werte für Original und Kopie fast immer Werte haben, die auf Buchstaben und nicht Sonderzeichen in der ASCII-Tabelle zeigen.
Kurzerhand die Werte in einen Hexeditor eingegeben, siehe da, man kann einiges davon lesen :-)
Dabei ergibt für den Originalen-Bootsector:
und für die Kopie mit anderem Inhalt:
Vermute mal ins blaue, daß im Original ein upgedateter
XP-Prof-Bootblock steht, der bei Fehlern auf eine fehlende
NTLDR-Datei hinweist, in der Kopie steht noch der alte
XP-Bootloader, der nur von Medienfehler gesprochen
hatte.
Wobei die Boot-Befehle absolut gleich sein müssen,
fsck zeigt ja alle gefundenen Unterschiede, und diese
gefundenen Unterschiede sind nur
die zwei verschiedenen Texte oben.
Kann jemand das so bestätigen? Kennt jemand die
einzelnen Fehlermeldungen des XP-Prof-Bootloaders?
Jedenfalls scheint dies hier nicht von Viren verursacht
zu sein sondern von einem Microsoft-Patch.
hoffe es hilft jemandem
manfred
Ihr habt mir hier schon ein paar mal geholfen, nun grüble ich schon wieder über ein mysteriöses Phänomen:
hab 2 verschiedene Maschienen, die als Multiboot-Geräte eingerichtet sind.
auf jedem hab ich 3 bootbare Hauptpartitionen, linux und 2x windows,
von denen immer die XP-Partition (Fat32 typ 0c) Unterschiede zwischen Bootblock und Kopie des Bootblocks haben (fsck).
Für mich stellt sich nun die Frage, wie kann das passieren, daß im verwendeten Bootblock etwas anderes steht, als in dessen Kopie. Eigentlich klingeln da die Virusglocken ?
Kann mir das aber nicht wirklich vorstellen, da der dritte Rechner, der am meißten im Internet ist, jedoch kein XP sondern nur W98SE hat, keinen Virus hat.
Beide betroffenen Maschinen lassen sich auf alle 3 bootsysteme booten, scheinbar keine Probleme damit.
==> hat jemand das gleiche Phänomen bei sich? kann mir jemand sagen, wo sowas herkommt?
Hier die Details dazu, genaue Daten des ersten Rechners beispielhaft:
Code:
PARTITIONSTABELLE:
Disk /dev/hda: 20.4 GB, 20491075584 bytes
255 heads, 63 sectors/track, 2491 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/hda1 1 261 2096451 83 Linux
/dev/hda2 * 262 914 5245222+ b W95 FAT32
/dev/hda3 915 1436 4192965 1c Hidden W95 FAT32 (LBA)
/dev/hda4 1437 2491 8474287+ f W95 Ext'd (LBA)
/dev/hda5 1437 1640 1638598+ c W95 FAT32 (LBA)
/dev/hda6 1641 1831 1534176 c W95 FAT32 (LBA)
/dev/hda7 1832 1847 128488+ 82 Linux swap / Solaris
/dev/hda8 1848 2491 5172898+ c W95 FAT32 (LBA)
die Fehlermeldung von fsck auf /dev/hda3:
Code:
fsck 1.40-WIP (14-Nov-2006)
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
There are differences between boot sector and its backup.
Differences: (offset:original/backup)
430:4e/44, 431:54/61, 432:4c/74, 433:44/65, 434:52/6e, 435:20/74, 436:66/72
, 437:65/84, 438:68/67, 439:6c/65, 440:74/72, 441:ff/20, 442:0d/65
, 443:0a/6e, 444:4d/74, 445:65/66, 446:64/65, 447:69/72, 448:65/6e
, 449:6e/65, 450:66/6e, 451:65/ff, 452:68/0d, 453:6c/0a, 454:65/4d
, 455:72/65, 456:ff/64, 457:0d/69, 458:0a/65, 459:4e/6e, 460:65/66
, 461:75/65, 462:73/68, 463:74/6c, 464:61/65, 466:74/ff, 467:3a/0d
, 468:20/0a, 469:54/4e, 470:61/65, 471:73/75, 472:74/73, 473:65/74
, 474:20/61, 475:64/72, 476:72/74, 477:81/3a, 478:63/20, 479:6b/54
, 480:65/61, 481:6e/73, 482:0d/74, 483:0a/65, 484:00/20, 485:74/64
, 486:0d/72, 487:0a/81, 488:00/63, 489:00/6b, 490:00/65, 491:00/6e
, 492:00/0d, 493:00/0a, 506:ba/c4, 507:c9/d3
1) Copy original to backup
2) Copy backup to original
3) No action
?
P.S: erst mal 3 eingegeben ;-)
Die Systeme werden mit grub im MasterBootSector gestartet.
Ach ja, noch n Hinweis: auf der zweiten Maschine (zu neu für W98 ) sind Ubuntu, WinXPpro und WinXPhome installiert, auf der Home-Partition tritt dieses Phänomen nicht auf.
Die XP-Prof-Installation stammt jeweils von einer vor 2 Monaten grad noch gekriegten neuen Originalen XP-Prof-CD, denke mal, alle Patches etc drin.
Die Installationsreihenfolge beim Aufsetzen war immer:
Win-Fdisk Hdd partitionieren
mit Linux Partitionen verfeinern
WinXP installieren
Ubuntu installieren
grub einrichten
Hoffe, jemand kann bestätigen, daß XP-Prof sowas verursacht und nicht irgend ein Virus
Danke im voraus
Manfred
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Hallo nochmal alle,
hab selber mal weiter recherchiert :-)
Wenn man sich die Fehlermeldung von Fsck genauer ansieht fällt auf, daß die Hex-Werte für Original und Kopie fast immer Werte haben, die auf Buchstaben und nicht Sonderzeichen in der ASCII-Tabelle zeigen.
Kurzerhand die Werte in einen Hexeditor eingegeben, siehe da, man kann einiges davon lesen :-)
Dabei ergibt für den Originalen-Bootsector:
Code:
NTLDR fehlt
Medienfehler
Neustart: Taste drücken
und für die Kopie mit anderem Inhalt:
Code:
Datenträger entfernen
Medienfehle
Neustart: Taste drücken
XP-Prof-Bootblock steht, der bei Fehlern auf eine fehlende
NTLDR-Datei hinweist, in der Kopie steht noch der alte
XP-Bootloader, der nur von Medienfehler gesprochen
hatte.
Wobei die Boot-Befehle absolut gleich sein müssen,
fsck zeigt ja alle gefundenen Unterschiede, und diese
gefundenen Unterschiede sind nur
die zwei verschiedenen Texte oben.
Kann jemand das so bestätigen? Kennt jemand die
einzelnen Fehlermeldungen des XP-Prof-Bootloaders?
Jedenfalls scheint dies hier nicht von Viren verursacht
zu sein sondern von einem Microsoft-Patch.
hoffe es hilft jemandem
manfred
Zuletzt bearbeitet: