Zur Nicht-Nachahmung: Wie man einen funkt. Computer lahmlegt

Hallo allerseits!

Ih hatte gestern ein eigenartiges Problem, von dem ich hier mal berichten will:

Vorgeschichte (nicht so wichtig):
Ich sollte einen Computer (Windows XP) von einem aufdringlichen Virus befreien. Der Computer war ohne Peripherie, so dass ich ihn (hier) nur abwechselnd mir meinem eigenen Computer betreiben konnte, ne Netzwerkkarte hatte dieser Computer auch nicht.
Nachdem msconfig und Co. nichts brachten, kam mir durch filemon der Verdacht, dass der Virus in %systemroot%/System32 sitzt. (Wäre ja nicht weiter verwunderlich, das ist ja quasi das Homedirectory für solch ärgerliche Sachen...:wink:) Außer der fraglichen Datei löschte ich noch alle anderen zur selben Zeit erstellten Dateien (diese Strategie erweise sich schonmal als erfolgreich).
Leider löschte ich wohl etwas zu viel. Der Computer ließ sich nicht starten.

Das eigentliche Problem:
Dass sich der infizierte Computer nicht starten ließ war nicht weiter schlimm, sollte ja sowieso neu aufgesetzt werden.
Allerdings sollten noch ein paar Datein gerettet werden, daher habe ich dann die Festplatte an meinen eigenen Computer angeschlossen.
Und jetzt kommt es:
Obwohl die neu angeschlossenen Festplatte nur ein secondary Slave war (also wohl HDD3) und die Bootreihenfolge Floppy, CD, HDD0, other device, versuchte mein Computer von der neu angeschlossenen Platte zu booten.
Und mir ist absoluit schleierhaft warum....!
Und jetzt das allerdickste:
Als ich die Platte dann wieder entfernte, ließ sich mein Computer immer noch nicht hochfahren! Es kam die selbe Fehlermeldung wie beim anderen Computer/der anderen Festplatte, nämlich das eine Datei in System32 fehle, was absoluter Unsinn war!

Wirtklich sehr seltsam:
Die durch die neue Festplatte ausgelöste Fehlermeldung wurde also irgendwie auf die erste Festplatte kopiert.. :? :-??

Ich verstehe es wirklich nicht...
Eine Systemreparatur mit fixmbr brachte übrigens auch nichts, war ne echte Neuinstallation fällig. (Was meinen Firefox und Thunderbird Profilen zum Glück gar nichts ausmachte...8))

Wollte ich nur mal warnend und als kleines Rätsel (mit mir unbekannter Lösung) mitteilen...

Gruß,
Bazon

Zitat von Kool_Savas

Du könnst mal folgendes probierst:

Du baust aus deinem Motherboard die Batterien raus (ungefähr 10 Minuten), dann baust du sie wieder ein.

Danke, danke, aber das Problem ist ja wie gesagt bereits (durch eine Neuinstallation...) gelöst.

Zitat von Kool_Savas

Du kannst dir, aber auch im schlimmsten Fall, eine Bootvirus eingefangen haben:

http://de.wikipedia.org/wiki/Bootvirus

Ne, denk ich nicht, das Nicht-booten kam ja durch das Löschen von System32 Dateien erst zustande und die Fehlermeldung sah auch so aus. Was hätte ein Virus davon, sowas nachzuahmen...?

Was mich nur wunderte war, wie der Computer überhaupt dazu kam, von HDD3 zu booten, obwohl das gar nicht vorgesehn war und wieso das Problem nach Entfernung der HDD3 noch fortbestand.

Gruß,
Bazon

Zitat von thebrain

nur noch mal so nachgefragt: Hast Du auch die Jumper richtig gesetzt ?
z.B. (für Archiv) http://service.maxtor.com/rightnow/image…0jumpers_de.htm
bzw. waren die Kabel/Stecker wirklich fest ?

*
Bei der neu angeschlossenen Platte bin ich mir da nicht 100%ig sicher, da war mir nicht ganz klar, wo rechts und wo links ist (gab da widersprüchliche Informationen...)
Beim Rest (Zwei Festplatten und ein CD) bin ich mir absolut sicher, dass die Jumper richtig waren.
Und da die zusätzliche Festplatte als an den zweiten IDE Bus angeschlossen wurde, könnte sie ja schlimmstenfalls "secondary master", als HDD2 werden, aber doch niemals HDD0, von der aus laut BIOS gebootet werden soll...
...und erst recht seltsam bleibt, wie sich die Fehlermeldung von der neu eingebauten Platte auch nach deren Ausbau halten konnte...

Zitat von thebrain

alles andere zu "Boot.ini" etc. wäre reine Spekulation...

Die boot.ini wurde übrigens tatsächlich vorher manipuliert: Es lief der Windows Bootmanager (Auswahl zwischen 98 und XP), bei dem die Wartezeit per Edit auf 3s herabgesetzt wurde. Funktionierte vorher aber einwandfrei...

Zitat von thebrain

nochmal wegen Datensicherung/vor einem Neuaufsetzen
http://www.pc-experience.de/wbb2/thread.php?threadid=2798&sid=
XP-Reparatur-Install natürlich nur zur Datensicherung !
Da hier evtl. die SP´s nicht vorhanden sind oder Progi´s nicht mehr richtig laufen, daher auch keinesfalls rumsurfen...Sicherheit :wink:

Die "Reparieren" Option wurde soweit ich mich erinnere diesmal auch nicht angeboten (habe ich aber auch schonmal gesehen...), sondern es wurde nur gefragt, ob das vorhanden Windows Verzeichnis genutzt werden sollte oder ein neues angelegt.
Hatte aber auch sein gutes:
Booten geht wieder schneller! Nur noch 5 Durchläufe des Startbildschirms!
Davor waren es 9, was ich für einen >2GHz Rechner ziemlich lahm finde...
(..mein 600MHz Rechner braucht 11 Durchgänge)

Und überhaupt, ein frisches Betriebssystem hatauch wirklich sein gutes, meine persönlichen Anpassungen habe ich in 20Minuten wieder hergestellt....:)

Gruß,
Bazon

*PS:
Ich mag kein Maxtor. Wenn in meinem Bekanntenkreis Platten den Geist aufgaben, dann immer Maxtor! Außerdem sind sie laut. Meine persönliche Vorliebe: Samsung Spinpoint

Zitat von thebrain

eben deshalb ja auch die Vermutung, hinsichtlich der Jumper ?
entweder die fremde falsch und die eigenen nicht richtig umgejumpert ...oder beides ?

man tappt eben im Dunkeln, kann man gar nicht alles fragen...

welcher Virus ? (Bereinigung ohne AV ?) zur Löschmethode sage ich lieber nichts

Keine Ahnung, der Rechner war ja ohne Netzwerkzugang (also nur Modem, aber ich hatte kein Kabel...), daher konnte ich das nicht genauer untersuchen. Aber welcher Virus ist ja auch hinsichtlich der eigentlichen Kuriosität - der Zerstörung des Bootvorganges - egal.
Die letztendliche Löschmethode war übrigens ein beherztes formatieren der ganzen Platte. (Ich hatte der betreffenden Dame schon zum Glück vorher nahebringen können, dass die Trennung der System- & Datenpartition sinnvoll ist...)

Zitat von thebrain

fixmbr im fremden PC oder mit Fremdplatte auf dem eigenen ? (obwohl ich das befürchte)

Im eigenen Rechner. Von Win XP CD gebootet, mit "R" zur Systemreperatur, "fixmbr" eingegeben, wurde ohne Murren ausgeführt, nutzte nur nix...(?) [es gab schon eine kleine Änderung beim botten: Nix mehr "Kann die Datei in system32 nicht finden" sondern "no system Disk"...]
Die Platte des Fremdrechners war noch drin, ich hatte bei der Reparaturkonsole die Auswahl, welches Windows ich reparieren will. Aufgrund der Verzeichnisstruktur konnte ich das gewählte Windows eindeutig als "mein" Windows identifizieren. Der MBR sollte doch dann wohl so geschrieben werden, dass das gewählte Windows gebootet wird, oder?

Zitat von thebrain

Bootmanager ? ein eigenes Multi-Boot oder mit dem fremden ? wie aufgeteilt ?

Wie schon erwähnt: Multiboot Win98/WinXP, Auswahlzeit von Hand in der boot.ini auf 3s verkürzt.

Zitat von thebrain

Fehlermeldung Bluescreen welche Datei ?

Nix blue-Screen - "Black-Screen" gleich am Boot-Anfang. Soweit ich mich erinnere wurde die Datei hal.dll im %systemroot%\System32 Verzeichnis vermisst (die ich diletantischerweise löschte - wie gesagt, Systemcrash wurde ja sowieso billigend in Kauf genommen, ich wollte nur vorher versuchen, ob es auch so geht...)

Zitat von thebrain

vom BIOS gar nicht erst anzufangen, z.B. Hardwareerkennung durchgeführt ?

Ich denke, da ist wohl nur die Bootsequenz relevant. Und die war (wie gesagt):
Floppy Disk
CD
HDD0
other Devices

Zitat von thebrain

Bekannt oder Info ? Treiber und Oberflächen - Bootphase

Danke schön! Zum Teil bekannt..

Zitat von thebrain

unter Vorbehalt der ganzen Fragen, hätte ich aber lieber eine (Deiner) Platten abgeklemmt und die fremde dafür per slave angeschlossen. Deine mit OS wäre eben die Master mit der gewohnten Konfiguration (Boot.ini).

So war es ja fast!
Konfiguration vorher:
Primary IDE:
Master: Systemfestplatte
Slave: Datenfestplatte
Secondary IDE:
Master: CD-Laufwerk
Slave: -

Konfiguration nachher:
Primary IDE:
Master: Systemfestplatte
Slave: Datenfestplatte
Secondary IDE:
Master: CD-Laufwerk
Slave: fremde Platte

Neotrix & Ziggy:
Wie oben erwähnt, ich verwendete aus der Wiederherstellungskonsole heraus fixmbr. Wurde ohne Fehlermeldung ausgeführt.

Gruß,
Bazon

PS:
Nochmal sicherheitshalber:
Es geht hier nicht um eine Problemlösung, sondern nur um die Frage "Wie konnte es bloß dazu kommen?". Die Probleme sind alle beseitigt (durch die beiden Neuinstalltionen).

Zitat von thebrain

Fakt ist, die fremde Platte sollte als slave laufen...hat wie oben nicht funktioniert
sie versuchte als master (ungewollt) zu booten...wie oben
es gab Fehlermeldungen...wie oben

Lösung dieses kurzzeitigen Problems ?
Fremdplatte abklemmen, RESET, evtl. im BIOS neue Hardware-Kennung...
sollte ursprüngliche eigene Konfiguration wiederherstellen...im Normalfall !

Habe ich auch so gemacht - außer der Hardware Erkennung im BIOS. Im BIOS-Bootbildschirm wurde zumindest nach Entfernung der Fremdplatte (mit Fremdplatte: weiß nicht mehr....) die IDE - Konfiguration wieder wie zuvor, also richtig, angezeigt.

Zitat von thebrain

der Balken:
Warum Fehlermeldungen ?
die Fremdplatte/System kann m.E. niemals auf Deinem PC booten...
(wäre es nicht die hal.dll, wäre wahrscheinlich danach ein Blue-screen gekommen)
darum o.g. Link Treiber/Oberflächen...Fremdsystem !
http://support.microsoft.com/kb/314082 nochmal z.B., was ich meine...

Sollte ja auch gar nicht von der Fremdplatte booten, deshalb war die ja Secondary Slave... (...oder sollte es gewesen sein).

Zitat von thebrain

Warum hast Du Deinen MBR geändert ? (siehe Ziggy)
darum meine Fragen nach dem Warum ? und die Zwischenschritte ?

Weil auch nach Entfernung der Femdplatte kein Booten möglich war!
Es kam dieselbe Fehlermeldung wie mit der eingebauten Fremdplatte in meinem Rechner und wie auf dem Computer, indem die Fremdplatte eingebaut war, nachdem ich in System32 rumgewütet hatte:
Kann nicht booten, da System32/hal.dll fehlt.
Auf cdm.exe Ebene (aus so nem zu spartanischen Notfall Windows [lag mal in der ct, Beigabe von MS, eigentlich zur Virenreinigung...] heraus...) konnte ich feststellen, dass die hal.dll sehr wohl an ihrem Platz vorhanden war.
Daher vermutete ich, dass der MBR an eine falsche Stelle verweist. Daher fixmbr.
Zwischenschritte habe ich ansonsten in meinem letzten Post schon alle erwähnt.

Verstehe ich Dich richtig, dass Du jetzt doch einen Bootvirus in Verdacht hast?

Gruß,
Bazon