Tipps: Bug des Monats: MBR-Virus von der Platte entfernen (CHIP 1/2000)

Bug des Monats: MBR-Virus von der Platte entfernen

Problem: »Auf einmal ist mein Floppy-Laufwerk hin«

Treu und brav hat der Pentium 200 von CHIP-Leser Julian Conesa seinen Dienst getan, bis - ja, bis der Rechner plötzlich spinnt: Das Floppy-Drive reagiert nicht mehr, ZIP- und CD-ROM sind aus dem Geräte-Manager verschwunden, Chaos im ganzen System.

Diagnose: Disk-Drive kaputt, übrige Hardware läuft.

Und das ist noch nicht alles: Im CHIP-Testcenter stellt sich beim ersten Check heraus, daß auch noch der Secondary IDE-Port nicht mehr läuft (gelbes Ausrufezeichen im Geräte-Manager von Windows). Außerdem sind zwei Disketten-Laufwerke angezeigt, obwohl im BIOS nur ein FDD-Port aktiviert ist. Am Telefon schwört Leser Conesa Stein und Bein, daß er unschuldig ist.

Also ran an die Fehlersuche durch Eingrenzung: Da Windows glücklicherweise hochfährt, müssen IDE-Port 1 und die Festplatte in Ordnung sein. Mein Unterbewußtsein wispert noch schwach "...oder er hat einen Virus", doch es ist zu spät: Ich habe mich schon auf die Hardware eingeschossen, denn das Floppy-Laufwerk ist tatsächlich hinüber: Auch am CHIP-Testrechner verweigert es jegliche Datenaufnahme. Vielleicht hat's ja den Floppy-Controller geshreddert? Nö, ein neues Laufwerk am Controller liest wie eine Eins, der Controller lebt also.

Lösung: BR-Virus von der Platte entfernen

Allmählich erklimmt der Gedanke an Virenbefall meine nächste Bewußtseinsebene. Doch noch ist das Hardware-Karma stärker: Ich entnehme ZIP-Laufwerk und CD-ROM, stelle fest, daß beide laufen, baue sie wieder ein, merke, daß sie nicht laufen, denke an Viren - schraube aber lieber noch ein wenig am Geräte-Manager. Ohne Erfolg.
Beim fünften Neustart ist Windows so genervt, daß es mir meldet, sein Master Boot Record sei verändert. Das kann selbst der härteste Steckbrücken-Fetischist nicht ignorieren. Ich hole Quickheal aus dem Web, und alles wird klar: Virus NYB sitzt im MBR!

Dieser Virus springt von einer Boot-Diskette über. Er stiftet die bekannte Verwirrung im System - und veranstaltet bei jedem 512. Start ein Schreib-/ Lesekopf-Massaker mit der Floppy. Tja, da hatte es Herrn Conesa wohl gerade erwischt. Ich rufe MBRCLEAN.EXE auf - und der ganze Spuk ist vorüber. Hm, Software ist schon was Komisches.