Re: antivirus programme

• Previous message: Werner Mollner: "Re: Dieses Board IST eine Sicherheitslücke."
• In reply to: Vladi Segal: "Re: antivirus programme"
• Next in thread: Urs [Ayahuasca] Traenkner: "Re: antivirus programme"
• Reply: Urs [Ayahuasca] Traenkner: "Re: antivirus programme"
• Messages sorted by: [ date ] [ thread ]

Date: Sat, 5 Jun 2004 00:40:08 -0700

Vladi Segal wrote:

> mamais@freesurf.ch schrieb:
>> Mein Proplem ist: Alle Antvirusprogramme die ich
>> installieren will werden abgebrochen. Ohne Kommentar.

> Mein Kommentar: du hast einen aktiven Trojaner an
> deinem PC.

ACK. Ein Trojaner oder ein Virus scheint seine Registry
geaendert zu haben bzw. zu manipulieren.

>> Was kann das für ein Virus sein?

> Es ist IMHO jetzt schon unwichtig, [...]

Nicht unbedingt, laut Beschreibung des OPs:

>> Mein Proplem ist: Alle Antvirusprogramme die ich
>> installieren will werden abgebrochen. Ohne Kommentar.
>> Wenn ich die Installation von zB. Norten Antivirus
>> installieren will, bricht die Installation nach ca.
>> 5 Sekunden ab. und der Tessktop Bildschirm erscheint
>> wieder.
>> Auch im Google, wenn ich eine Antivirusdatei anklicke
>> wird abgebrochen und zurück zum Tesktop-Bilschirm.

... koennte sich hierbei ebenso um einen Bootsektor-
Virus oder auch einen speicherresistenten Virus
handeln. D as bedeutet, alleine mit den ueblichen
Maßnahmen ist die Angelegenheit noch nicht abgetan.

In beidem Falle stellen wir eine widerliche
Absonderung seiner Spezies fest.

Erstere genannte Art Malware flasht (ueberschreibt)
boshafterweise das Bios und ist in der Lage, auf
diese Weise die korrekte Funktionstuechtigkeit außer
Kraft zu setzen.

Ein Vertreter dieses Virus hat von jedem Start des
Rechners weg Kontrolle ueber diesen, indem er sich
zu Beginn stets aus dem Bootsektor der Festplatte
mit in den Speicher laedt. Beispielsweise sind der
"Trojan.Flashkiller", W"95.CIH" sowie der "Klez-Wurm"
bekanntere Repraesentanten dieser Gattung.

Siehe auch:
http://support.microsoft.com/default.aspx?scid=kb;de;D43716

>> Mein Proplem ist: Alle Antvirusprogramme die ich
>> installieren will werden abgebrochen. Ohne Kommentar.
[...]
>> Auch im Google, wenn ich eine Antivirusdatei anklicke
>> wird abgebrochen und zurück zum Tesktop-Bilschirm.

Unter Umstaenden - auf die Ferne stelle ich nur
Vermutungen an - handelt es sich hierbei um den
W95.Spaces.1445 alias PE_Spaces.1633 W95.Spaces.1445.
 
Dieser Virus (ein Windows-95-Exe-Dateivirus) ist
dafuer bekannt, ausfuehrbare Dateien/ *.EXE zu
infizieren.

Welche Win- Version besitzt Du? Auf den Systemen
WinNT/2000/XP ist oben genannter Virus laut Angaben
nicht aktiv. Auf allen frueheren Windows- Systemen
ueberschreibt dieser Virus bei Infektion den MBR
(Master Boot Record) mit einem Sektor, welcher
zwar keinen ausfuehrbaren Code enthaelt, jedoch
eine beschaedigte Partitionstabelle.

Solange bis mbr nicht repariert wurde bzw. die
entsprechenden Maßnahmen eingeleitet wurden, kann
die Festplatte kann nicht mehr ordnungsgemaeß booten
und spezifische Installationsvorgaenge koennen nicht
durchgefuehrt werden, brechen vorzeitig abruppt ab.
Besonders gerne bei seinen "Simple-Fun-Gegnern" a lá
Antiviren- Software.

Es gibt eine Anzahl weiterer Malware, deren Technologie
dazu imstande ist, diese und weitere Effekte mit Vorliebe
durchsetzt. Wie Vladi bereits erwaehnte gibt es den ein
oder anderen Trojaner, der sich auf dieses Handling
spezialisiert hat.

>> Kann man Abhilfe schaffen?

> Ja.

>
http://w3studi.informatik.uni-stuttgart.de/~schrotrf/mpdshfaq/mpdshfaq.html#SECTION000120000000000000000

Ralf ist auf der Uni? Egal. @Mamais: Sollte sich ein
Virus in Deinem BIOS eingenistet haben, ist das akute
Problem aufgrund von Heimtuecke und List des Uebel-
taeters nicht alleine durch Format C zu beheben.
Grund: er befindet sich eben nicht wie andere Viren
nur auf der Festplatte.

Angesichts dieses Sachverhaltes waere eine sinnvolle
Kombination von fdisk und Format C angesagt:

1. Schließe alle laufenden Anwendungen, fahre Deinen
Rechner ordnungsgemaeß herunter und schalte ihn
komplett aus; er ist _in jedem Fall_ umgehend vom
Netz zu trennen.

2. Nachdem der Rechner vor der geplanten Desinfektion
fuer 60 Sek. komplett ausgeschaltet ohne Stromzufuhr
verweilte, sollten die gesamten Daten aus seinem
Speicher getilgt sein (oft wird eine Wartezeit von
10 Sek. empfohlen, rate ich Dir in diesem Falle,
eine volle Minute abzuwarten).

3. Nun zum nechsten Schritt: den Rechner mit einer
schreibgeschuetzten Boot-/Startdiskette mittels Kaltstart
booten. Du musst 100% sicher sein, dass diese Diskette
nicht infiziert ist. Aktuelle Virensignaturen sowie
Diskette mit DOS-Virenscanner sollten fuer Dich Pflicht sein.

[Anmerkung: Falls Du keinerlei Anti-Virenprogramm
starten kannst, benutze einen dos- Virenscanner
in frisch gebootetem Zustand. Beispielsweise f-prot.]
 
 
4. Anschließend DOS-Befehl: "fdisk /mbr" [ohne die ""]
eingeben. Jetzt erstellt Fdisk erstellt einen neuen
Bootsektor. Auf diese Weise loescht sie jeden evtl.
vorhandenen Bootsektorvirus auf Deiner Platte.

-> 5. Nach Eingabe dieses Kommandos hast Du den
Rechner unverzueglich abzuschalten. Andernfalls
besteht das Risiko einer erneuten Infektion in
Form eines eventuell noch im Speicher befindlichen
Virus.

6. Nach 69 Sek. Kannst Du Deinen Rechner erneut in
Betrieb nehmen; diese Aktion ist vorerst als ab-
geschlossen zu bezeichnen.

7. Nachdem Du mit fdisk alles plattgemacht hast,
kannst Du neu partitionieren und anschließend
neu formatieren.

Anmerkung: Gegebenenfalls ist es notwendig, zuvor
auch noch die Startpartition mit dem Kommando:
<sys c:> [ohne die <>] bootfaehig zu machen.

Siehe auch:
http://support.microsoft.com/default.aspx?scid=kb;de;D35501

8. Nachdem Du jetzt den Virus/Trojaner entfernt hast,
empfehle Dir folgende Zeilen:

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\"%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]

@="\"%1\"%*"

zu kopieren und sie anschließend unter "exeRep.reg"
                           wohlgemerkt: ^^^

(defacto nicht unter "exeRep.txt") abzuspeichern.
                                                          
                      
                   

Um nun die default-Eintraege in Deines PCs Registry zu
reaktivieren, setze einen Doppelklick auf diese Datei.
 

Wenngleich etwaige Bootsektor- Viren durch oben
beschriebenen Vorgang eliminiert werden, kann
ich Dich beruhigen - der restliche Festplatten-
inhalt bleibt bei der korrekten Anwendung unberuehrt.

Darf ich davon ausgehen, dass Dein Rechner an kein
LAN angeschlossen ist? Ansonsten melde Dich erneut.

Hinweise:

- Sinnvoll ist, die CMOS-Einstellungen so zu aendern,
dass nicht mehr standardmaeßig von Diskette gebootet
wird. Dadurch reduzierst Du die Ansteckungsgefahr mit
Bootsektor- Viren wie Stoned, Michelangelo, Monkey,
Form etc. (Manche Systeme ermoeglichen gar komplette
Deaktivierung des Diskettenstarts).

- Aktuelle Updates einspielen, Security- News lesen.

- Desweiteren lege ich Dir nahe, stets Backups Deiner
wichtigen Arbeiten/ Dateien zu machen. Das kann ich
nachdruecklich betonen und tue es auch.

Zukunftsperspektiven:

1. http://www.kreideholen.de/v_schutz.htm
2. http://www.ntsvcfg.de/linkblock.html

Jedoch bleibt fuer mich momentan eine Frage offen:
angeblich hilft es nicht bei allen Arten von Boot-
sektor-Viren, den mbr neu zu schreiben ...

Wenngleich diese Form relativ selten vorkommt, also
fuer die konkrete Lage des OP´s u.U. ohne Belang,
wenngleich nicht auszuschließen ist: Welche expliziten
Viren waeren hierbei zu nennen? Und: Wie entfernte man
beispielsweise ein spezifisches Exemplar eines solchen?

> Zwischenzeitlich kannst du noch Spybot S&D ausprobieren

Na klar! Zwischenzeitlich koennte er sogar Tennis spielen
oder Campen fahren...

Roy I. Kobrinsky

--
Hab' ich was auslassen? [Unbekannt]

• Previous message: Werner Mollner: "Re: Dieses Board IST eine Sicherheitslücke."
• In reply to: Vladi Segal: "Re: antivirus programme"
• Next in thread: Urs [Ayahuasca] Traenkner: "Re: antivirus programme"
• Reply: Urs [Ayahuasca] Traenkner: "Re: antivirus programme"
• Messages sorted by: [ date ] [ thread ]