Tipps & Tricks 10.05.2001, 01:15 Uhr

Boot-Virus will nicht verschwinden!

Ich habe auf meinem Computer ein Bootsektor-Virus und habe schon auf die verschiedensten Arten versucht, ihn loszuwerden. Ich habe Windows 2000 als Betriebssystem und den McAfee Virusscan 4.5 mit den neusten DAT-Files als Standard Virusscanner. Der Scanner findet einen Bootsektorvirus, weiss jedoch nicht, wie er heisst und kann ihn auch nicht löschen oder entfernen. Ich habe es auch schon mit anderen Virusscannern (Kaspersky, Norton, ...) versucht, aber diese können keinen Virus finden. Auch mit Emergency Boot Disks von McAfee und den anderen Virenscannern habe ich es versucht, aber auch die können keinen Virus finden. Mit den Programmen F-Prot und Inivit.exe, die Sie anderswo als Tipp angeben, habe ich es auch schon versucht. Ich habe die Festplatte mit dem Virus auch schon als Slave Laufwerk an eine andere Festplatte gehängt und von der anderen Festplatte aus einen Virenscan durchgeführt, jedoch auch ohne Erfolg. Auch habe ich die Festplatte mehrmals neu formatiert, partitioniert und neu installiert und auch mit Fdisk /mbr habe ich es versucht. Eine Zeit lang ist der PC trotz Virus ohne Probleme gelaufen, aber gestern erschien beim Aufstarten eine Meldung, dass ich einen Virusscan und Chkdsk ausführen soll (wo finde ich chdksk?) Was kann ich noch tun, um den Virus loszuwerden? Mir macht es auch nichts aus, wenn ich alle Daten verliere, aber ich möchte dann wieder ohne diesen Virus arbeiten können. Ich bin ratlos.
Ihre Anfrage scheint eine echte Knacknuss zu sein. Hier ist es ohne direkten Zugriff auf den PC wirklich schwierig, eine Diagnose zu stellen. Wir können deshalb nur ein paar Tipps geben, leider fast alle in Form von Gegenfragen...
Möglichkeit 1: Falscher Alarm?
Was genau brachte Sie darauf, dass Sie auf Ihrem PC überhaupt einen Bootsektor-Virus haben? Wie lautete die gesamte Viren-Meldung wortwörtlich und wann genau trat oder tritt diese Meldung auf? Sind (ausser der Meldung) noch weitere Probleme mit dem PC aufgetreten? Es könnte sich um einen falschen Alarm handeln, zumal ja drei andere gute Antivirus-Programme (Norton, F-Prot und Kaspersky) keinen Virus fanden (die Sie hoffentlich vor dem Scan aktualisiert haben). Verlassen Sie sich nicht zu sehr auf einen einzigen Virenscanner.
Wie Sie schreiben, hatten Sie die Festplatte auch schon probeweise (zur Virenbeseitigung) in einem anderem PC. Sie schreiben zudem, dass ein Virenscan dort ebenfalls ohne Erfolg war. Heisst "ohne Erfolg", dass der Virenscan keinen Virus fand, oder dass er einen fand und ihn nicht beseitigen konnte? Waren die Antivirus-Programme auch dort auf dem aktuellen Stand? Mit welchen haben Sie es dort geprüft? Kaspersky und F-Prot sind sehr zuverlässige Virenfinder. Dass aktuelle Versionen mit aktuellen Virendefintionen dieser zwei Programme einen Bootsektor-Virus nicht finden, halten wir für eher unwahrscheinlich. Vielleicht kann Ihnen da der McAfee-Support weiterhelfen. Möglicherweise ist Ihre McAfee-Version zu alt, um mit den neuen Virendefinitionen umzugehen?
Möglichkeit 2: Fehl-Interpretation?
Vielleicht stammt die Virenmeldung (deren Wortlaut wir nicht kennen) gar nicht von McAfee, sondern vom PC selber? Es gibt/gab PCs, die einen Chip auf dem Mainboard haben, der so etwas wie einen Bootsektor-Schutz enthält. Sobald ein Programm oder Betriebssystem den Bootsektor verändern möchte, wird diese Operation abgeblockt und es erscheint eine entsprechende Fehlermeldung. Vielleicht wollte ja McAfee oder Windows 2000 selber in den Bootsektor schreiben und wurde von diesem Chip abgeblockt?
Möglichkeit 3: Rück-Infektion?
Sind Sie absolut sicher, dass die Festplatte im anderen PC virenfrei ist und dass eine Diskette, die Sie verwenden, keine Rück-Infektion verursacht? Es wäre theoretisch möglich, dass Sie z.B. eine Diskette verwenden, die selber einen Bootsektor-Virus enthält und die Festplatte laufend wieder ansteckt. Interessant wäre da, ob Sie auf dem zweiten PC die selbe McAfee-Version mit den selben Virendefintionen einsetzen. Wenn ja, hätte diese den Virus zumindest finden müssen.
Möglichkeit 4: Festplatte defekt?
Wie alt ist diese Festplatte? Erschien die Meldung betreffend chkdsk denn beim Starten unter Windows 2000? Das Programm "chkdsk" (Checkdisk) war quasi der Vorläufer von ScanDisk. Vielleicht haben Sie Windows 2000 über ein bestehendes Windows 95/98 installiert (was aber für sich noch keine Virenmeldungen verursachen sollte). Bei Windows 2000 öffnen Sie den Arbeitsplatz, klicken mit der rechten Maustaste auf die Festplatte und wählen Eigenschaften. Wechseln Sie ins Register "Extras" und klicken Sie bei "Fehlerüberprüfung" auf die Schaltfläche "Jetzt prüfen". Das kann eine schöne Weile dauern; ist aber quasi der Nachfolger von Chkdsk.
Ab hier können wir auch nicht mehr viel ausrichten. Versuchen Sie zuerst gewissenhaft, obige Möglichkeiten und Fragen auszuschliessen. Wenn Ihnen dann ein erneutes Partitionieren (mit Datenverlust) nichts ausmacht, versuchen Sie folgendes:
Booten Sie ab Win2000-CD und entfernen Sie vorerst alle Partitionen komplett. Dann fahren Sie den PC herunter bzw. schalten Sie ihn aus. Falls ein Bootvirus im Speicher sitzen würde, müsste er dadurch verschwinden. Dann (nach etwa zwei bis drei Minuten) schalten Sie den PC wieder ein, starten ab Win2000-CD und legen neue Partitionen an.



Kommentare
Es sind keine Kommentare vorhanden.