Ursachensuche für Datenverluste

Einige Tips zur Bekämpfung von Viren und anderer Ursachen von schwerwiegenden Datenverlusten und zur Vorbeugung.

Was so alles passieren kann: Eine weitgehend mit Textdateien gefüllte 127 MB-Partition einer 1 GB- SCSI-Festplatte zeigte statt des üblichen Inhaltsverzeichnisses nur ein verstümmeltes, in dem die Namen durch Sonderzeichen ersetzt waren. Außerdem erreichten die Dateilängen riesige Ausmaße. Da ich zunächst einen Virus vermutete, kopierte ich noch die allerwichtigsten Textdateien von den anderen Partitionen und die häufigst benutzten Programme auf getrennte Disketten, erstere, um sie nicht zu verlieren, letztere sozusagen zur Beweissicherung, als Chance für Viren bewußt auf Disks ohne Bootsek- torschutz. Nachdem ich vorher einige z.T. ursprünglich gepackte internationale Public-Domain-Programme ausprobiert hatte, nahm ich an, dass den CD-Herstellern doch einmal ein Virus entgangen war. Da ich alle von mir eingesetzte Software als Original bzw. auf CD-ROM besitze, formatierte und partitionierte ich die ganze Festplatte neu, was sich bei einem zerstörten Inhaltsverzeichnis ohnehin empfiehlt. Dies beseitigt auch Viren 100%ig, falls nicht die Formartierungssoftware oder deren Disk verseucht ist. Letzteres war jedoch ausgeschlossen, da ich bei Disks den Schreibschutz nur selten, nämlich zum Abspeichern von Texten o.ä. und dann nur vorüberge- hend öffne. Bei mechanischen Defekten der Festplatte ist es natürlich sinnvoll, alle noch brauchbaren Partitionen vorher zu sichern (z.B. Streamer oder andere Fest-/Wechselplatten).

Anschließend ging es an die Virensuche. Ich installierte einen kommerziellen Online-Virencheck (nicht den von POISON, da ich dieses Programm nur auf einer CD-ROM ohne Handbuch besitze) und probierte außerdem ein gutes halbes Dutzend verschiedener Virenscanner, ohne dass bei diesen eine Virenwarnung erfolgte. Nur die o.g. Onlineprüfung meldete, eingestellt auf das Unterbinden unbekannter Vektoränderungen, relativ häufig, aber nicht immer, beim Einlesen des Inhaltsverzeichnisses den Versuch, ein paar Vektoren zu verbiegen. Mit POISON stellte ich dann fest, dass diese Vektorverbiegungen nur vorkamen, wenn die o.g. Online-Prüfung aktiv war. Obwohl ich die Disks bewußt ohne Schreibschutz beließ, war also höchstwahrscheinlich kein Virus vorhanden - nur der Wächter warnte vor sich selbst! Um diese Diagnose abzusichern, ging ich zur umständlichsten aber wohl sichersten Virenprüfung über: zeichenweiser Vergleich mit garantiert unverseuchten Originalen. Viren können nämlich beim ATARI mit Disks nur über den Bootsektor (evtl. auch über nicht ausführbare!) oder über durch einen Virus veränderte Programme übertragen werden (Bootsektor- bzw. Linkviren). Makro-Viren spielen bei ATARIs keine Rolle, da es glücklicherweise keinen Software-Marktführer gibt. Den zeichenweisen Vergleich führte ich natürlich nicht "zu Fuß" durch - dieser Beitrag erschiene sonst erst "etwas" später - sondern mit einem klassischen kommerziellen Texteditor (TEMPUS) per automatischem Textvergleich.

Verglichen wurden alle Programme, die sich auf den wenigen zuletzt von mir mit offenem Schreibschutz verwendeten Disks und den Kopien von der "beschädigten" Festplatte befanden. Kein Unterschied zu den Urversionen! Genauso war es mit Bootsektoren. Von dem Fehlalarm-Virensucher besitze ich zwei Exemplare, ein gekauftes und eines auf CD-ROM. Vergleich beider und mit der "meckernden" Arbeitskopie: identisch! Virenalarm abgeblasen! Aufatmen!

Echten Virenkontakt hatte ich nur dreimal in meiner über 10jährigen ATARI-Praxis:

Erstmals beim Kauf meines ersten ATARI (eines gebrauchten 520ST mit 1/2 MB) von einem Schüler, der einen größeren anschaffen wollte. Ich erhielt ich nur wenig Software dazu, aber die hatte es in sich! Keine Disk war schreibgeschützt, und sogar der Bootsektor der Systemdisk enthielt den Ghost-Virus, einen Bootsektorvirus, der gelegentlich die vertikale Bewegungsrichtung der Maus umkehrt. Vermutlich glaubte der Vorbesitzer an einen Hardwarefehler. Den zweiten Kontakt hatte ich bei einer Disk der verblichenen Zeitschrift TOS (GFA- Basic 3.5 einschließlich harmlosem Bootsektor-Virus). Der dritte Kontakt der unangenehmen Art erfolgte, als ich von einem fliegenden Händler auf dem wöchentlichen Flohmarkt eine PD-Disk erwarb. Alle drei Viren waren damals kein Problem dank SAGROTAN - inzwischen durch diverse Nachfolger überholt.

Des Pudels Kern

Aber was war die Quelle der Festplattenstörung? Nach Beratung im ATARI- Bekanntenkreis gab es drei Möglichkeiten, eine vierte fand ich im ATARI- Hardware-Handbuch von Bernhard Reimann:

1. Lockere Verbindung zwischen Computer und Festplatte (ich baue häufig auf und ab, was man schon im Interesse der Lebensdauer der Kontakte nicht machen sollte, und ich ziehe dann auch nicht die Befestigungsschrauben des DMA- Steckers fest).
2. Mögliche Nebenwirkung des Pool-Fehlers (ich verwende TOS 1.6 und hatte das Pool-Fix-Programm nicht im Auto-Ordner, auch nicht Folderxx).
3. Fehler auf der Festplatte. SCSI ersetzt - die beste denkbare Lösung - fehlerhafte Bereiche automatisch durch leere Ersatzsektoren. Was ist jedoch, wenn zufälligerweise die FAT betroffen ist?
4. Ein Spannungsabfall im DMA-Prozessor unter 4.1 Volt (möglicherweise durch Alterung) erzeugt genau den geschilderten Effekt. Abhilfe brächte dann ein Prozessor-Austausch. Es gibt noch einige weitere Kleinbausteine, die schuld sein können.

Ziemlich viele Möglichkeiten. Glücklicherweise kenne ich über einen alten Bekannten einen der wohl besten Hardwarekenner auf unserer Plattform. Möglichkeit 4 war die richtige, also DMA-Chip ersetzen.

Schutzmaßnahmen

Was können Sie und ich zur Verhütung solcher Vorfälle und zur Vermeidung eines derartigen Arbeitsaufwands vorbeugend tun?

• Schrauben Sie alle Anschlüsse fest, die dies vorsehen (CENTRONICS=Drucker, DMA/SCSI=Festplatte, seriell=Modem)!
• Kopieren Sie die im Heft 10/97 beschriebenen und zu Ihrer TOS-Version gehörenden Patch-Programme in Ihren Auto-Ordner, zumindest bei Festplatten! (Falls Sie im Zweifel sind, welche TOS-Version, sehen Sie im Desktop-Menü ganz links nach: TOS 1.0 C 1985, TOS 1.02 C ... 1987, TOS 1.04 C... 1989, TOS 1.6 ebenfalls C ... 1989 nur STE, TOS 2.x nur MegaSTE oder Nachrüstung, TOS 3.x nur TT, TOS 4.x nur Falcon). POOLFIX92 muss ggf. das erste AUTO- Ordnerprogramm sein. (Wenn Sie nicht über modernere Methoden verfügen, notfalls alles im AUTO-Ordner in einen anderen Ordner kopieren, dann alles im AUTO-Ordner befindliche in den Papierkorb und die Programme einzeln zurück in den AUTO-Ordner kopieren. Dann den anderen Ordner wieder löschen.)
• Verwenden Sie bei Festplatten eine kleine Boot-Partition (im allg. Partition C), auf die Sie möglichst nach dem Einrichten nicht mehr schreiben. Dann ist bei einem Defekt (Hard- oder Software) nur die betreffende Partition kaputt und nicht auch alle anderen.
• Verzichten Sie auf eine ständige Online-Virenprüfung nur dann, wenn Ihr Restspeicher für Ihre Anwendungssoftware zu klein wird. Stellen Sie die Prüfung ggf. so ein, dass unbekannte Vektorverbiegungen verhindert werden.
• Schalten Sie Ihre Festplatte nur ein, wenn Sie diese brauchen, keinesfalls zum Ausprobieren irgendwelchen Flohmarktdisks u.ä. Das Ansehen des In- haltsverzeichnisses genügt zur Virenübertragung.
• Verwenden Sie bei allen Ihren Disks einen Schutz-Bootsektor, wie ihn jeder Virenscanner erzeugt (nicht für kommerzielle Spiele u.ä. mit speziellem Bootsektor, sie würden nicht mehr funktionieren). Das Ausbleiben der üblichen Bootmeldung warnt vor Bootvirenbefall.
• Verwenden Sie nur Original-Software oder Shareware/PD aus vertrauenswürdigen Quellen (z.B. Autor, CD-ROM, Produzent einer Serie). Lassen Sie sich bei Gebrauchtkauf die Virenfreiheit bestätigen. Wer Viren hat, merkt es normalerweise! Seien Sie vorsichtig, wenn die Originaldisk nicht schreibgeschützt ist oder Ihnen keine getrennte Arbeitskopie ausgehändigt wird. Virengefahr! Verzichten Sie auf Raubkopien! Diese sind nicht nur unfair und strafbar, sondern auch die wohl häufigste Verbreitungsquelle für Viren. Außerdem ist ATARI-Software doch wirklich preisgünstig! Durch Raubkopien entziehen Sie die Basis für neue Software! Zu 100% ausgeschlossen sind Viren auch bei professionellen Quellen nicht, jedoch sehr unwahrscheinlich.
• Verwenden Sie keine überalterten Virenscanner.
• Die meisten Virenscanner erkennen Viren nicht in gepackten Programmen!
• Gut, aber etwas zeitaufwendiger, sind Prüfprogramme, die eine Prüfsumme (CRC) berechnen und mit der des Originals vergleichen. Dabei wünsche ich mir nur noch sicherheitshalber eine weitere Prüfsumme (bei Banken üblich sind z.B. Verfahren "modulo Primzahl"), denn natürlich könnte ein Virus die vorherige CRC-Prüfsumme simulieren.
• Verwenden Sie im Zweifelsfall mehrere Virensuchprogramme, aber nur ein Online-Programm, da es sonst zu Störungen kommt.
• Der beste Virenschutz ist der Disk-Schreibschutz (Kerbe offen).
• Es gibt nur wenige Festplatten mit Hardware-Schreibschutz (alle sind SCSI). Diese sind jedoch nur in Spezialfällen sinnvoll (Server o.ä.).
• Machen Sie unbedingt regelmäßig Sicherheitskopien/Backups (möglichst 3- Generationen-Prinzip für Wichtiges)! Manchmal gelingt es auch noch, wenn sich ein Defekt ankündigt, jedoch ist es dann normalerweise dafür zu spät. Hilfreich ist es, wenn veränderte Daten auf bestimmten Partitionen konzentriert werden. Dann muss nicht die ganze Festplatte gesichert werden. Versuchen Sie das Kobold beiliegende Programm CORRECT, um eine defekte Partition zu "heilen" (zuerst ohne Schreibzugriffe). Nützt alles nichts, sollte man zumindest die Partition wieder nutzbar machen. Dies gelingt z.B. mit einem Formatierprogramm (z.B. HDX), indem man die Partition prüft/nulit (ZERO), wodurch die ganze Partition mit einem Prüfmuster überschrieben wird. Dann wird alles vom Backup zurückkopiert.
• Wenn Sie sich schon nicht beherrschen können, lassen Sie wenigstens nach dem Ausprobieren obskurer Software den Computer ca. 1/2 Minute ausgeschaltet. Laut renommierten Autoren genügt auch ein für die Hardware weniger belastender Kaltstart über "Alternate + Control + rechts Shift + Delete" (ab TOS 1.04) oder ein entsprechendes Programm (COLDBOOT O.ä.).
• Lesen Sie das Handbuch bzw. README-Dateien zu Ihrem Virenscanner. Dort stehen weitere Tipps.
• Glauben Sie nicht, dass die Gefahren auf anderen Plattformen geringer sind, ganz im Gegenteil. Dort gibt es über 100mal so viele Viren wie beim ATARI, nämlich über 13 000. Wenn ich für jeden 100 Mark bekäme, wäre ich Millionär. Ein in Deutschland auszugsweise veröffentlichter Test einer englischen Zeitschrift zeigte, dass derzeit alle getesteten Virenscanner (mit Ausnahme eines 100%igen, deutschen kommerziellen Programms für über 500,- DM) im besten Fall nur 80-90% aller versuchten Viren erkannten ein zu grobmaschiges Sieb! Dieselben Programme erzielten dann bei anderen PC-Zeitschriften Bestnoten. Übrigens kursiert der Witz, dass das dortige Betriebssystem der meistverbreitete Virus überhaupt sei.

Immer noch richtig ist: Vorbeugen ist besser als Heilen!