Ich hatte bis vor kurzem ein pinkes Netbook in Pflege, welches in einer Boot-Schleife festhing. Es handelte sich dabei um ein Acer Aspire One D250. Diese kleinen Zeitgenossen werden ja bekanntlich, wie es heutzutage üblich ist, nur mit einer Recovery-Partition anstatt Installationsmedien ausgeliefert. Bei Netbooks ist dies mangels optischen Laufwerken allerdings auch sinnvoll.
Sei es wie es sei, diese Recovery-Partition macht eine Wiederherstellung nicht unbedingt einfacher, vor allem dann nicht, wenn man sie nicht gestartet bekommt (ALT+F10 ging nicht) und keine Recovery-DVDs gebrannt wurden. Ich fange aber besser mal ganz am Anfang an.
Das Netbook verhielt sich beim Starten so, dass es beim Bootvorgang einen Bluescreen produzierte und danach sofort neu startete. Dies war auf die Standardkonfiguration von Windows zurückzuführen, die das System automatisch neu startet, wenn es ein Problem gibt. Wieso dies die Standardeinstellung ist, ist mir schleierhaft, so kann ein Bluescreen zumindest manchmal einen Anhaltspunkt geben, wo das Problem liegt.
Meine Vermutung war, dass das Netbook mit einem Virus infiziert war, welcher den Fehler verursacht. Also bestand mein erster Versuch darin, mit Desinfec't die Festplatte zu säubern. Dies scheiterte grandios, wobei ich nicht herausgefunden habe, wieso. Ich vermutete irgendwelche Fehler im Dateisystem.
Bei Windows-Systemen hat sich bei mir eine gewisse Routine eingeprägt, mit denen man derartigen Problemen beikommt. Hier wurde die Schwierigkeit allerdings durch die Recovery-Partition und die Anforderung diese zu erhalten, verschärft. Der erste Punkt der Routine sieht vor, zunächst Windows "drüberzubügeln" um solche von mir vermuteten Dateisystemfehler und ähnliches zu beseitigen. Die Recovery-Partition ist für sowas leider nicht geeignet (warum eigentlich nicht?). Aber da sie ja eh nicht startete, musste ich mich einer Windows XP Home CD bedienen, die ich zufällig noch parat hatte. Mit ihrer Hilfe gelang es mir den Prozess des "Drüberbügelns" mehr oder weniger erfolgreich zu beenden. Das System war nicht mehr in einer Boot-Schleife gefangen und startete.
Es lief aber alles andere als stabil und zwei der drei installierten Virenscanner meldeten ständig irgendwelche Funde. Ich habe es daraufhin nochmal mit Desinfec't versucht und war erfolgreich. Die BitDefender-Engine fand über 80(!) infizierte Dateien mit fast genausovielen unterschiedlichen Schädlingen. Bei sowas frage ich mich immer wieder, wie schafft man sowas? Ein Virus, ok, aber so viele. Naja, ich habe dem Programm aufgetragen alle infizierten Dateien zu löschen und das System neu gestartet. Wie ich erwartet hatte, lief es noch instabiler, aber keines der Anti-Viren-Programme meldete noch ein Problem.
Ich ging davon aus, dass ich die Instabilitäten durch ein erneutes "Drüberbügeln" beseitigen kann und habe dies auch versucht. Leider ohne den erhofften Erfolg. Mir blieb nun nichts anderes übrig. Ich wollte den Auslieferungszustand wieder herstellen, indem ich die Recovery-Partition starte oder eine Recovery-DVD auftreibe. Letzteres hat leider nicht geklappt, also habe ich mich auf ersteres konzentriert.
Ein bootfähiger USB-Stick (mit Recovery-Partition) war meine erste Idee, die allerdings grandios scheiterte. Die zweite Idee stammte von einem Freund. Er meinte, ich solle mal versuchen die Partition mit einem externen Boot-Manager zu starten. UBCD gebootet und Super Grub Disk gestartet. Nach ein wenig hin und her hat die Partition dann gestartet und ich konnte die Wiederherstellung des Auslieferungszustandes initiieren. Ich dachte ich hätte den Laptop jetzt endgültig repariert. Aber wie es so oft ist, trog der Schein, aber das ist mir erst nach einer Weile bewusst geworden.
Das erste Anzeichen, bei dem ich stutzig wurde, war die Tatsache, dass Windows-Update nicht funktionierte. Ich schob das zunächst auf die Microsoft-Server und dachte mir nichts weiter dabei. Ich bezog die Updates von anderer Quelle und richtete das Netbook weiter ein. Ich installierte auch Avira Antivir (als einzigen Virenscanner) und damit fingen die richtigen Probleme erst an. Dies hatte aber nichts mit dem Scanner zu tun, sondern mit dem was er fand. Er zeigte mir einen Virus der Alureon-Familie an (die genaue Bezeichnung weiß ich nicht mehr). Dieser befand sich im MBR und konnte von Avira nicht entfernt werden. Das Programm sagte mir nur, dass er dort ist, bot mir aber keinerlei Hilfestellung an.
Nun wusste ich wo ich dran war. Der Schädling hat sich im MBR eingenistet und der Recovery-Vorgang überlebt, da dieser lediglich die Partition C: berührte, nicht aber den MBR (da sollte Acer dringend mal nachbessern). Nach ein wenig herumgegoogle habe ich dann herausgefunden, dass man einen MBR-Virus am besten eliminiert, indem man den MBR überschreibt (da hätte ich auch so drauf kommen können :-) ).
Eine Möglichkeit den MBR zu überschreiben bietet die Rettungskonsole einer XP Installations-CD. Diese habe ich gestartet und mit "fixmbr" den MBR neu geschrieben. Danach habe ich (ohne Windows vorher zu starten) die Recovery-Partition mit Grub gestartet und noch eine Wiederherstellung gemacht.
Danach war Ruhe im Karton. ALT+F10 klappt wieder und Avira funktioniert auch ohne zu Murren und ohne Funde. So ein MBR-Virus ist schon übel, zumindest wenn man nicht damit rechnet. Ich habe mittlerweile sogar herausgefunden, dass Alureon höchstwahrscheinlich für den anfänglichen Bluescreen verantwortlich war (das war die Geschichte mit der veränderten Speicheradresse).
Keine Kommentare:
Kommentar veröffentlichen