Tipps & Tricks
23.10.2001, 20:00 Uhr
Hilfe! Delwin Bootsektor-Virus
Ich habe in meinem Master Boot Sektor den Virus Delwin1759. Habe versucht, ihn mit F-Prot zu entfernen. Dies funktioniert zwar bei allen EXE-Dateien, aber nicht beim Master Boot Sektor. Hier bekomme ich die Nachricht, dass die Diskette schreibgeschützt sei (Fehlermeldung: «ERROR. Write-protected Disk») und der Virus nicht enfernt werden kann. Gemäss Kummerkasten-Artikel «Wie entferne ich einen Bootsektor-Virus» soll aber die Diskette mit einem Schreibschutz versehen werden. Jetzt habe ich noch folgendes ausprobiert: Ich habe von den Disketten die Dateien in einen Ordner auf C: kopiert, mit der Diskette den PC gebootet und das Programm von C: aus gestartet. Jedoch kam hier wieder die gleiche Fehlermeldung. Frage: Wie kann ich den Virus nun noch entfernen? PS: Der Computer hat folgende Leistungsmerkmale: 486 DX/2 Prozessor, 20 MB RAM, Win95, ca. 400 MB Festplatte.
Um einen Bootbereich-Virus aus der Festplatte zu tilgen, braucht es für gewöhnlich keinen Schreibzugriff auf die Bootdiskette. Könnte es sein, dass die Diskette selber schon angesteckt wurde? Das würde erklären, weshalb F-Prot versuchte, die Diskette zu säubern, was wegen des Schreibschutzes nicht möglich wäre. Mit einer infizierten Diskette sollten Sie nicht arbeiten. Oder ist im BIOS dieses PCs ein Schreibschutz für den Boot-Bereich eingeschaltet? Das würde erklären, weshalb der Bootsektor der Festplatte nicht überschrieben werden kann; allerdings gäbe das neue Rätsel auf: Delwin hätte sich dann schon gar nicht einnisten dürfen.
Unter der Voraussetzung, dass...
- auf Ihrer Festplatte nur ein einziges Betriebssystem ist (Win95)
- diese Partition mit dem gewöhnlichen FDISK angelegt wurde
- kein Diskmanager aktiv ist
..., können Sie auch versuchen, dem Boot-Virus mit IVINIT [1] von Netz Computing zuleibe zu rücken. Sichern Sie aber vorher alle Daten!
Laden Sie IVINIT.EXE auf Ihre Festplatte und speichern Sie die Datei in einen selbst angelegten Ordner, z.B. in C:\IVINIT. Starten Sie Ihr System im reinen DOS-Modus. Diesen erreichen Sie bei Win95, wenn Sie die Funktionstaste F8 genau in dem Moment drücken, wenn beim Starten eine Meldung wie "Starten von Windows 95" erscheint (weisse Schrift auf schwarzem Hintergrund). Wählen Sie dann im Boot-Menü den DOS-Modus aus ("Nur Eingabeaufforderung").
Tippen Sie dies ein, gefolgt von der Enter-Taste, bis der Prompt auf C:\> steht:
cd\
Tippen Sie dies ein, gefolgt von der Enter-Taste, um in den Ordner C:\IVINIT zu wechseln:
cd\ivinit
Tippen Sie dies ein, um IVINIT zu starten:
ivinit
Folgen Sie den (englischen) Anweisungen auf dem Bildschirm, antworten Sie zweimal "Yes" (einmal, um den Virus zu entfernen und ein zweites mal, um den PC neu zu starten).
Jetzt sollte der Bootvirus weg sein. Installieren Sie nun einen guten Virenscanner und aktualisieren Sie ihn. Scannen Sie damit sämtliche Dateien, und anschliessend scannen Sie noch einmal mit dem bereits vorhandenen (ebenfalls aktualisierten) F-Prot. Da der Verdacht besteht, dass eine oder mehrere Ihrer Disketten infiziert sind, sollten Sie sich für einen Virenscanner mit RealTime-Scan (On-Access-Scan) entscheiden. Dieser wird Disketten prüfen, bevor Ihr System darauf zugreift. F-Prot for DOS ist nur ein On-Demand-Scanner ("Scan auf Verlangen"), der keine permanente Überwachung vornimmt.
Kommentare
Es sind keine Kommentare vorhanden.
