Tipps & Tricks 30.04.2001, 23:45 Uhr

Es geschah am 26. April

Am 26.04.2001 habe ich meine drei Rechner nacheinander im Netzwerk gestartet. Erst beim Laden von Windows 98 trat eine Schutzverletzung auf. Nach dem Neustart erschien die Meldung: «Insert boot disk». Es sieht so aus, als ob bei allen Rechnern die Festplatte C: nicht vorhanden wäre. Ist es möglich, dass sich ein gemeiner Virus eingeschlichen hat, der die Bootsektoren gelöscht hat? Und kann man die Sektoren mit der fehlenden Partition wieder einrichten, ohne neu formatieren zu müssen? Auf einer Platte sind beispielsweise alle Fotos unserer 7monatigen Tochter. Und ich habe - obwohl ich es besser wissen müsste - noch keine Datensicherung durchgeführt.
Es ist aufgrund Ihrer Beschreibung wirklich möglich, dass Ihre PCs infiziert sind. Viren können sich über viele verschiedene Wege verbreiten, möglicherweise in Ihrem Fall entweder über eine infizierte Diskette, über Netzwerk-Freigaben oder über infizierte Dateien, die Sie an die anderen PCs weitergereicht haben. Ob es sich um einen Virus handelt, kann Ihnen normalerweise nur eine Antivirus-Software sagen.
Zuerst eine kurze Checkliste:
- Sie haben keine BIOS-Einstellungen geändert?
- Sie haben nicht die internen Verbindungskabel ausgesteckt?
- Sie haben keine Disketten in den Laufwerken vergessen?
Etwas gibt uns sehr zu denken: Das Datum des 26.04.2001! Wenn alle drei PCs an diesem Tag nicht mehr starten wollten und Sie obige Dinge ausschliessen können, dann handelt es sich möglicherweise um den CIH-Virus [1]. Dieser wartet auf infizierten Systemen jeweils exakt bis zum 26. April: an diesem Tag schlägt er zu und überschreibt das erste Megabyte der Festplatte (inkl. Partitions-Informationen). Auf manchen PCs killt er auch noch das Flash-BIOS.
Aber keine Panik: Noch ist nicht alles verloren. Erstellen Sie auf einem virenfreien PC, der Windows 98 und einen Webzugang hat, folgende Disketten. Vielleicht können Sie dies im Büro, bei einem Bekannten oder in einem PC-Laden tun. Nehmen Sie dafür vier neue (natürlich virenfreie) Disketten:
1. Eine Windows-Startdiskette:
Gehen Sie zu diesem Menü und folgen Sie dort den Anweisungen, eine Windows-Startdiskette zu erstellen:
Start/Einstellungen/Systemsteuerung/Software/Startdiskette
Diese Diskette gehört ohnehin in jeden Notfall-Koffer, auch falls Sie Ihr System neu installieren müssen. Schreiben Sie sie mit "Windows 98 Startdiskette" an und versehen Sie sie mit dem Schreibschutz (per Schieber am Diskettenrand).
2. Startdiskette mit FIX-CIH
Legen Sie die zweite leere Diskette ein. Öffnen Sie unter Start/Programme die MS-DOS-Eingabeaufforderung (Alternative: Start/Ausführen und COMMAND eintippen). Geben Sie am DOS-Prompt nun folgendes ein, was bewirkt, dass die Diskette formatiert und mit den nötigsten Boot-Dateien versehen wird (am Ende ENTER-Taste drücken):
FORMAT A: /S
Es gibt ein Tool namens FIX-CIH.EXE von Gibson Research, welches versucht, die vom CIH-Virus überschriebenen Teile der Festplatte wiederherzustellen. In vielen Fällen hat dieses Tool den Festplatten-Inhalt retten können. Laden Sie die Datei FIX-CIH.EXE von GRC.COM [2] herunter und speichern Sie sie auf die selbe Diskette.
Schreiben Sie die Diskette jetzt mit "Startdiskette Fix-CIH" an und versehen Sie sie mit dem Schreibschutz.
------- Zwischenschritt: F-PROT bereitlegen ------
Damit Sie die Disketten 3 und 4 erstellen können, müssen Sie noch ein paar Dinge herunterladen und entzippen. Erstellen Sie auf dem PC einen Ordner namens FPROT, damit Sie die folgenden Dateien dorthin entpacken können. Laden Sie sich bei Frisk Software das Programm F-PROT für DOS [3] herunter und entzippen es in den vorhin erstellten FPROT-Ordner. Jetzt laden Sie dazu die Virendefinitionen [4] herunter und entzippen diese ebenfalls in den FPROT-Ordner. Lassen Sie dabei die bestehenden Dateien von diesen überschreiben, denn diese Virendefinitionen sind neuer als jene, die beim F-PROT-Programm mitkommen. Laden Sie jetzt auch noch die Datei NOMACRO.DEF [5] herunter und speichern sie in den selben Ordner.
-------------
3. F-Prot Antivirus-Disk 1
Legen Sie die dritte leere Diskette ein und formatieren Sie sie (wie schon bei Diskette 2) ebenfalls mit: FORMAT A: /S
Jetzt kopieren Sie aus dem Ordner FPROT diese zwei Dateien auf die Diskette:
f-prot.exe
english.tx0
Schreiben Sie diese Diskette mit "F-PROT Antivirus Disk 1" an (ev. Datum hinzuschreiben) und denken Sie auch an den Schreibschutz.
4. F-Prot Antivirus-Disk 2
Legen Sie die vierte leere Diskette ein. Wenn sie neu war, ist diese wahrscheinlich schon richtig formatiert, deshalb kopieren Sie nun aus dem Ordner FPROT diese Dateien dort drauf:
sign.def
sign2.def
nomacro.def
Wichtig: benennen Sie jetzt auf der Diskette die Datei nomacro.def in "macro.def" um. (Begründung: Ohne eine Datei mit Makrovirus-Definitionen wird F-PROT nicht funktionieren. Da aber die Original-Datei namens macro.def zu gross für die Diskette wäre, nimmt man hier eine stark verkleinerte Version davon, eben diese umgetaufte Datei nomacro.def. Nach Makroviren muss zu diesem Zeitpunkt nicht gescannt werden.)
Schreiben Sie die Diskette mit "F-PROT Antivirus Disk 2" an (plus Datum) und machen auch diese schreibgeschützt.
Mit diesen vier Disketten bewaffnet gehen Sie zu einem Ihrer drei PCs. Nehmen Sie sich am besten zuerst mal (quasi zum Üben) jenen PC vor, der die wenigsten wichtigen Daten enthält. Überprüfen Sie nochmals, dass die vier Disketten schreibgeschützt sind (man kann durchs quadratische Löchlein in der Ecke sehen).
Schritt 1: "Versuchen Sie die Reparatur"
Legen Sie die "Startdiskette Fix-CIH" ein. Schalten Sie den PC ein. Nun startet er ab der FIX-CIH-Diskette. Wenn Sie den DOS-Prompt sehen (A:\>) tippen Sie folgendes ein und drücken dann Enter: FIX-CIH
(Achtung: hier gilt im Moment die amerikanische Tastatur: Der Bindestrich liegt rechts neben der Null, oberhalb des P)
Das Programm FIX-CIH startet. Drücken Sie einmal eine beliebige Taste (z.B. die Leertaste). Nun wird Ihnen FIX-CIH in Englisch erklären, was es tun kann, und was nicht. Blättern Sie diese Informationen ruhig mal per "Pfeil-abwärts"-Taste durch. Info: Wenn Ihre Festplatte mit dem Dateisystem FAT32 partitioniert war (Laufwerke meist grösser als 2 Gigabytes), dann sollte es diese wiederherstellen können. Falls die Partition mit FAT16 (Laufwerke meist kleiner als 2 Gigabytes) erstellt wurde, kann Ihr Laufwerk C: vielleicht nicht wiederhergestellt werden, aber dafür andere Partitionen auf der selben Festplatte, auf denen vielleicht Ihre Daten liegen.
Drücken Sie nun die Tastenkombination SHIFT-ENTER. Nun werden Ihre Festplatten angezeigt. Sollte eine CIH-Zerstörung vorliegen, müsste die Festplatte entsprechend gekennzeichnet sein. Drücken Sie auf dem Nummernblock die entsprechende Zahl (1, 2 oder 3) des zu reparierenden Laufwerks. Nun wird FIX-CIH versuchen, das Laufwerk wiederherzustellen. Lesen Sie auch die Texte am Bildschirm und folgen Sie allenfalls weiteren Anweisungen. FIX-CIH hat nun (so gut es eben ging) die durch den Virus verursachten Schäden repariert. Den Virus selber sind Sie jetzt aber noch nicht los, sondern wirklich nur die Schäden!
Schritt 2: "Virus loswerden"
Ist der Schritt 1 abgeschlossen und sind Sie wieder am DOS-Prompt (A:\>), nehmen Sie die Diskette heraus und legen die Diskette "F-PROT Antivirus Disk 1" ein. Schalten Sie den PC aus, warten Sie 30 Sekunden und schalten Sie ihn wieder ein. Nun startet der PC ab der F-PROT Antivirus Disk 1. Tippen Sie folgendes ein, gefolgt von der ENTER-Taste:
F-PROT /LOADDEF /HARD /DISINF
Beachten Sie, dass Ihr PC auch hier die amerikanischen Tastaturtreiber geladen hat, deshalb finden Sie den Bindestrich (-) gleich rechts neben der Null (oberhalb des P) und den Slash (/) dort, wo sonst der Bindestrich sitzt (unterhalb des Ö).
Sobald F-PROT die Definitionen verlangt, legen Sie die Diskette "F-PROT Antivirus Disk 2" ein und drücken eine beliebige Taste (z.B. Leertaste). Nun wird F-PROT Ihre Festplatte nach Viren scannen und versuchen, die infizierten Dateien zu reinigen.
Sollte dies funktioniert haben, könnte Ihr PC im Idealfall nun bereits wieder ohne Diskette starten. Wenn nicht, müssen Sie vielleicht Windows drüber installieren. Hierfür hätten Sie nötigenfalls schon die passende "Windows 98 Startdiskette" bereit, die Ihnen Zugriff aufs CD-Laufwerk erlaubt. Gehen Sie im Erfolgsfall bei den anderen PCs genau gleich vor.
Achtung:
1. Wir können nicht garantieren, dass es funktioniert. Falls bei den obigen Schritten beim ersten PC schon etwas schiefgeht, basteln Sie nicht an den anderen zwei PCs herum. Suchen Sie sich stattdessen einen kompetenten PC-Doktor, der sich die PCs persönlich anschaut und informieren Sie ihn über den CIH-Virus.
2. Wenn es nicht funktioniert, z.B. weil das Flash-BIOS durch den Virus ebenfalls zerstört wurde, besteht noch die Möglichkeit, die Festplatte in einen anderen PC zu hängen. Von dort aus könnten die Daten per FIX-CIH vielleicht doch noch gerettet werden.
3. Im Erfolgsfall oder falls Sie alle Platten formatieren mussten, installieren Sie auf jedem PC ein Antivirus-Programm und scannen Sie damit noch einmal alle vorhandenen Partitionen. Wir empfehlen Ihnen zumindest für diesen Notfall Kaspersky Antivirus, welches Sie in einer 30-Tage-Test-Version herunterladen können [6]. Dieses ist sensitiv genug, um allfällige Reste des Virus aufzuspüren. Sollte Kaspersky Antivirus noch Viren-Reste in Dateien finden, ersetzen Sie diese Dateien durch Original-Versionen ab CD-ROM. Dateien, die einmal infiziert und danach gereinigt wurden, können später noch einige Probleme verursachen, weil sie trotz einer so genannten "Desinfektion" nicht dem Original-Zustand entsprechen.
4. Wenn dieser "Viren-GAU" vorbei ist, legen wir Ihnen ans Herz, fortan auf allen drei PCs eine Antiviren-Software einzusetzen. Falls Ihnen drei Lizenzen (z.B. von Kaspersky Antivirus) zu teuer sind, können Sie auch auf kostenlose Programme ausweichen, z.B. auf InoculateIT Personal Edition [7]. Pflegen Sie ab diesem Zeitpunkt Ihre Antivirus-Software durch regelmässige (wöchentliche) Updates, und Ihre Daten durch regelmässige Backups. Schärfen Sie zudem allen Familienmitgliedern ein: Jede Datei, die per Mail ankommt, ist solange verdächtig, bis sich das Gegenteil herausstellt.



Kommentare
Es sind keine Kommentare vorhanden.