ComputerBase Menü
Aktuelles

Kontrolle der Programme die in den MBR schreiben

W

Wolfgang359

Ensign
Registriert
Nov. 2008
Beiträge
167
Hallo,
ich habe ein Problem mit einem Programm, welches anscheinend seine Spuren außerhalb der Systempartition hinterläßt. Ich nehme an, dass das Programm noch wo anders hinschreibt wie etwa den MBR. Oder gibt es noch weitere Möglichkeiten?

Ich würde das in Zukunft gerne überwachen oder vergleichen. MBR vorher und nachher.
Sodass ich diese Unruhestifter wieder vollständig eliminieren kann.

Kann mir jemand sagen wie ich sehen kann wo das Programm hinschreib? MBR oder Bootsektor der Platten, etc.
Oder welche Möglichkeiten hat ein Prgramm überhaupt? Gibt es noch etwas anderes als den MBR?
Die Systrempartition habe ich aus einem Image zurückgesichert, dort sollte also alles den alten Stand haben.
Ich möchte die Stelle finden die das Programm außerdem noch geändert hat.
Danke für jede Unterstützung!
Wolfgang
 
Hallo Wolfgang,

erzähl uns doch erstmal, wieso du glaubst, dass ein Programm "außerhalb der Systempartition" Daten ändert, und welches Programm du im Verdacht hast.

Selbst wenn du den MBR auf Änderungen überprüfst wird dir das keine Hinweise auf den Verursacher geben.
Überwachen kann man Prozesse am besten mit den Sysinternals (Process Monitor/Process Explorer/Handle) von MS, die gibts im TechNet.
 
Ich habe mir auf einen neuen PC ein neues WinXP Prof aufgesetzt und die fertige saubere funktionierende Partition dann als Image gesichert (mit Symantec Ghost).
Mache ich seit Jahren so, da man dann bei Problemen ein sauberes System rücksichern kann.
Danach habe ich weiter gearbeitet.
Ich habe unter anderem für eine Audiosoftware PlugIns (Waves5) installiert. Verwende ich seit Jahren. Auf dem neuen PC lies sich das nicht installieren. Die Tipps auf der Herstellerseite haben nicht geholfen. Auf einer englischen Seite habe ich nach stundenlangem suchen gefunden, dass ich das Programm ilok (Interlok) von Pace installieren muss, damit ich danach Waves5 installieren kann. ilok überwacht die Lizenzierung glaube ich. Hat dann alles gut geklappt und ich konnte eine Weile arbeiten.
Ich installierte im Laufe der Zeit weitere Software und gelegentlich Demoversionen.
Da ich dann einige Dinge nicht mehr brauchte gehe ich manchmal den sauberen Weg und mache keine Deinstallation, sondern ghoste das saubere Image zurück auf die Systempartition um den ganzen Mist wiedere weg zu haben.
Ich arbeite seit Jahren so, auch mit hunderten PCs im Netzwerk. Immer virenfreie saubere Systeme. (nur nebenbei bemerkt; ich war 10 Jahre Datenbankentwickler und Systemadmin unter Unix, bin also EDV-gängig und weiß, wenn ich was tue, was ich da mache)
Also Partitionsimage zurückgesichert und neu gestartet. Klapt alles einwandfrei.
Das was ich seit der Imagesicherung geändert hatte mußte ich jetzt nachholen.
Also einige Änderungen nachgeholt um wieder auf dem letzten Stand zu sein und Waves PlugIn mußte ich auch noch nachinstallieren. Diesmal funktionierte es aber mit der ilok Installation nicht mehr. Was ich auch mache, Waves läßt sich nicht mehr installieren.
Ich vermute das ilok sich irgendwo eingenistet hat und meine Waves Installation als ungültig ansieht. Daher müßte ich es vollständig löschen. Beim Hersteller bekomme ich auch keine Infomation, ich könnte nur auf die nächste Version updaten.
Vorher möchte ich aber noch versuchen das System bzw. das Plug In wieder in Gang zu bringen.
Ich habe auch den MBR neu geschrieben, hat nichts geholfen.
Es ist auch bekannt, dass manche Programme aus Angst vor unerlaubter Verwendung Daten in Bootspuren und sonst wo hin schreiben.
Da ich mich aber mit derartigen Dingen noch nicht tief beschäftigt habe frage ich mal hier nach.
Es gibt ja Gurus, die diesbezüglich aus dem Nähkästchen plaudern können.
Also meine Aufgabe besteht jetzt darin all das was ilok auf meinem PC angerichtet hat ungeschehen zu machen. Daher meine Frage, wo können Programme überall auf dem PC etwas verstecken und wie kann man die Dinge bereinigen.
Danke für eure Unterstützung!
Als letzten Ausweg gibt es nur das Upgrade. Nachdem ich mit Version 5 aber zufrieden bin scheue ich noch die Kosten für ein Upgrade das ich derzeit nicht benötige.
Wolfgang

Edit: Zur Not setze ich auf eine neue Platte Windows auf und schalte eine Überwachung dazwischen bevor ich ilok installiere um genau zu sehen was das macht. Gibt es solche Überwachungsprogramme?
 
Zuletzt bearbeitet:
Ich kenne zwar das Vorgehen speziell von Ilok nicht, aber das wahrscheinlichste ist, dass ein Cluster als beschädigt markiert und in diesem Daten hinterlegt werden. Diese Vorgehensweise ist mir von Siemens XP (stark angepasstes Windows XP for embedded systems) bekannt, die so Betriebssystem und Hardware aufeinander branden.

Es scheint also folgendes passiert zu sein:
Du hast Ilok installiert, das Programm generiert einen Schlüssel, den es bei sich und in einem "defekten" Cluster speichert. --> Schlüssel und Cluster stimmen überein --> Programm funktioniert.
Du spielst das Image ein. Ghost überschreibt NICHT den Cluster, da Ghost nur die Dateien wiederherstellt (wie aus einer ZIP-Datei entpacken), aber nicht eine Partition clusterweise klont. --> Ilok ist noch nicht installiert, der def. Cluster ist aber noch da.
Du installierst Ilok --> Neuer Schlüssel und alter Schlüssel in def. Cluster stimmen nicht überein --> Ilok verweigert den Dienst.

Um dein Problem zu beheben, hast du 2 Möglichkeiten, die wohl gleich viel zeit in Anspruch nehmen:
Entweder du besorgst dir ein Programm, das dir den Zugriff von Ilok auf der Festplatte dokumentiert, allerdings kommt es darauf an, woher Überwachungsprogramme wie die von MS oder Ashampoo ihre Daten beziehen, ob sie eine Aktion mit einem defekten Sektor aufzeichnen.
Oder du führst einen Mid-Level-Format (bzw. Pseudo-Low-Level-Format) durch, was Windows seit Vista bei einer Standard-Formatierung automatisch macht, allerdings besteht die Möglichkeit, dass eben jener Sektor dann ausgelassen wird.

Danach kannst du das alte Image wieder aufspielen und Ilok erneut installieren. Ich nehme an, dein Image stammt noch von vor der Installation von Ilok.
Das beste wäre es wohl, das alte Image aufzuspielen, Ilok zu installieren und dann ein Image mit der Option "fro(Force Cloning) = Y" zu machen und beim Einspielen "crcignore(CRC Ignore) = Y" zu setzen.
Dann sollte der Sektor inkl. Schlüssel mitkopiert werden.
 
@jodd
Danke, ich habe Ashampoo getestet mit Installation von Pace / InterLok.
ilok ist ein Anti Piraterie Tool und manche Programme arbeiten bezüglich Lizenzierung mit ilok. Man muss ilok installiert haben damit man ein betreffendes Programm installieren kann.
Nachdem ich Probleme habe, seit ich ilok installiert habe, mötchte ich wissen was es macht.
Also mit Ashampoo angeschaut.
Ergebnis: Ashampoo hat sich nach dem Neustart der ilok-Installation aufgehängt. Musste gekillt werden, danach System tot. (Reset)
Neuerlicher Neustart, dann hat Ashampoo wohl den Vergleich (vorher-nachher) machen können.
Ich denke aber, das liegt an Ilok und nicht an Ashampoo, denn es hängen auch andere Programme wenn sie in der reg etwas zu tun haben.
Ashampoo zeigt auch an, dass ilok in der reg bei Kaspersky sowie bei Ashampoo etwas ändert. ilok schreibt auch auf andere Systempartitionen und nicht nur in die jeweils gestartete.
Das ist doch eine Schweinerei, dass das legal sein soll, den PC des Kunden zu zerstören.
Keine Ahnung was das Ding macht, jedenfalls zerstört es mir den PC auch in anderen Bootpartitionen.
Ich mache ein LowLevelFormat, schaue mir die Sektoren der HDD an und versuche sie factory-mäßig herzustellen, dann ghoste ich die ganzen Partitionen zurück und hoffe, dass ilok weg ist. Meine Images sind zum Glück vor der ersten ilok-Installation auf dem PC.
Von der PlugIn Software Waves mache ich jetzt kein Upgrade. Denn so eine Art Vernichtungsfeldzug zur aus Angst man könnte eine Raubkopie haben treibt die Kunden weg.
Es gibt mittlerweile andere tolle PlugIns die problemlos laufen und auch spitze sind.
Ich kann nur sagen Finger weg von ilok bzw. Pace InterLok, der macht mehr kaputt und später weiß man nicht mehr wo die Probleme herkommen.
Wolfgang
Ergänzung ()

@b03ch7
Danke für deine Info.
Kannst du mir ein Tool sagen wo ich die Sektoren der HD prüfen kann.
Ich möchte ein LL-Format machen wo ich dann sicher bin dass alles weg ist.
Danke!
Wolfgang
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
TestDisk kann keine Partitionen / neuen MBR schreiben
2
Antworten
20
Aufrufe
5.276
mauley
M
L
Wie speziellen MBR schreiben?
Antworten
15
Aufrufe
2.704
Ernst@at
E

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz