NortonAnti Virus 2002 und Bios Viren?

Dieses Thema im Forum "Sicherheit" wurde erstellt von ede, 31. Mai 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ede

    ede Kbyte

    Registriert seit:
    18. April 2000
    Beiträge:
    296
    Hi!
    Mir hat ein Virus einen Rechner zerschossen,nun habe ich mir NAV 2002 zugelegt nun meine Frage.Erkennt NAV auch Bios Viren?Denn ich habe nicht gesehen das er auch im Bios scannt.
    Kann mir jemand Bitte helfen?

    Dank im voraus
    Michael
     
  2. tpf

    tpf Halbes Megabyte

    Registriert seit:
    28. Januar 2002
    Beiträge:
    958
    Das die Geschichte mit dem BIOS-Crash nur gelegentlich
    passiert, hatte ich mir auch schon gedacht.

    Viel lästiger an dem Virus ist, das er sich in Windeseile verbreitet.
    Jede ausführbare Datei (ich geh mal davon aus, das er neben EXE-Dateien auch COM-Dateien anfällt, aber egal wenn nicht) ist hinterher nicht mehr zu starten. "Prüfsummenfehler" etc. sind
    dann die Folge.

    Die Dateiintegrität wird also angegriffen. Ich hatte am Anfang auch
    so ziemlich an alles gedacht, nur nicht an einen Virus. Ich dachte
    am Anfang gar, das meine Festplatte bald den Geist aufgibt.

    Ein Virenscanner verschaffte hinterher aber Klarheit.

    Ich meine mal gelesen zu haben, das CIH mit den zu den am weitesten verbreiteten Viren überhaupt gehört. (neben den "Parity_B"-Varianten)

    Da ist es natürlich wahrscheinlich, das man sich da irgendwann mal einen einhandelt. Bei mir versteckte sich das Teil auf einer CD-R
    bei einem Trainer von AOE 2. Naja. Einmal starten reicht ja bekanntlich. Und das Problem macht sich ja am Anfang nur spärlich bemerkbar. Aber je länger man weiterarbeitet, desto
    schlimmer wirds. (Ich war in dem Fall wohl selbst schuld, weil ich eine uralte Viren-Regel nicht beachtet hatte: Fremde Datenträger erst auf Viren zu scannen ist Pflicht. Aber auch im Internet kann man sich einiges einfangen, wenn man die bekannten Pfade verlässt.)

    Hinterher ist man ja immer schlauer. 20 GB an Daten hat mich
    das gekostet. War auch viel nützliches Zeug aus meinen Internet-Streifzügen und eine aktuelle Zusammenstellung "meiner" Tooldisk.
    (alle wichtigen Progs die man so braucht waren da drauf vereint)

    Natürlich blöd, wenn man wieder da von vorne anfangen muß.

    Lästige Zeitgenossen stellen auch "Datei-Bomben" dar. Die killen entweder sofort die Platte, oder schreiben in die Autoexec-bat eine Nette wie "format c:". Das bemerkt man (auch mit Virenscanner) schon schlechter.

    Backups sind verdammt wichtig. Ohne Firewall, Virenscanner, Add-Blocker und Download-Manager braucht man ja heute nicht mehr
    ins Netz zu gehen.

    Gruß
    Robert
    [Diese Nachricht wurde von tpf am 13.06.2002 | 11:20 geändert.]
     
  3. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Hallo Robert,

    der CIH Virus nistet sich nicht im BIOS ein, sondern befällt erst malEXE Dateien und alle bekannten Versionen können nur die schon genannten Boards (und da auch nicht alle) am Tag X Total zerstören. Wie aber schon ein Stückchen weiter oben geschrieben , zerstört er auch die Festplattendaten und da ist es natürlich egal ob man einen Intel VX oder einen VIA KT333 hat.
     
  4. tpf

    tpf Halbes Megabyte

    Registriert seit:
    28. Januar 2002
    Beiträge:
    958
    Hi Rene.

    Noch mal ich. Was ich meinte ist, das dies mit dem Sockel 7
    evtl. deswegen nicht stimmt, weil es mir am 26.4.00 auf
    einem P3-667 mit VIA-Chipsatz passiert ist. (ALDI-Rechner,
    habe ich inzwischen nicht mehr)

    Der Rechner lief aber wieder nach einer Säuberung. Mögliche
    Überreste im BIOS habe ich evtl. hinterher auch durch 2 spätere
    Updates des BIOS entgültig getilgt.

    Das hatte ich eben noch vergessen zu erwähnen. Sorry!

    Gruß
    Robert
     
  5. tpf

    tpf Halbes Megabyte

    Registriert seit:
    28. Januar 2002
    Beiträge:
    958
    Das mit den älteren Intel-Boards (insbesondere Sockel 7)
    stimmt wohl nicht.

    CIH hat bei mir mal am 26.4.2000 (Beachtet das Datum "26.")
    zugeschlagen, und dort die MBR-Infos meiner Festplatte gekillt.
    Damit waren dann natürlich auch alle Partitionsdaten der Platte
    weg. Sicherheitskopien hatte ich davon jedenfalls keine.

    Ärgerlich sowas. Das es das BIOS angreift, habe ich erst
    später mal gelesen. Kann man den Virus nicht evtl. auch
    dadurch loswerden, indem man einfach noch mal eine
    aktuelle saubere Revision des Mainbaord-BIOS aufspielt ?

    Wie bei einem "normalen" Update also ? Oder manifestiert
    sich der Virus-Code von CIH so in den Flash-Chip, das man hinterher nicht mehr mit Standard-Mitteln ausbessern kann ?

    Das ist sowieso eine Frage, die mir schon länger auf den Nägeln
    brennt. Oder hat sich die ganze Geschichte evtl. schon dadurch
    erledigt, das aktiver Code nicht im BIOS enthalten sein kann ?

    Gruß
    Robert
     
  6. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Hallo Michael,

    danke für den Tip. Ich habs in meinem Award gefunden und deaktiviert.

    Gruß
    frederic
     
  7. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Nicht ganz. Er löscht ja auch die Festplatte und das kann er natürlich auch machen wenn man keinen Intel VX bzw. HX Chipsatz hat.

    Die zerhackte Anzeige hat sich mittlerweile erledigt, mir ist später eingefallen das es von Outpost eine neue Version gab, die per Onlineupdate installiert wurde und das Problem erst danach auftrat.
     
  8. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Das heißt also, moderne Boards sind gegen den CIH sicher? Ein ungutes Gefühl hab ich trotzdem, denn es ist schon ein Unterschied ob nur ein paar Dateien infiziert werden oder der ganze Rechner ausfällt (auch wenn der materielle und immaterielle Schaden durch Dateiinfektion letzlich doch größer sein kann). Außerdem, mit einem ActivX zB. müßte der Vorgang doch auch jederzeit auslösbar sein.

    Eine zerhackte Anzeige des Forums hatte ich noch nicht. Bei mir werden nur gelegentlich die Schriftbalken/Buttons (zB. Forumssuche/Schreiben) etwas unkenntlich dargestellt, was aber wohl am Werbeblocker liegt und nicht wirklich stört.

    Gruß
    frederic
     
  9. tpf

    tpf Halbes Megabyte

    Registriert seit:
    28. Januar 2002
    Beiträge:
    958
    Hi DIDDL MAus !

    Schxxx natürlich, das mit dem Virus.

    "BIOS"-Viren im eigentlichen Sinne gibt es nicht. Wohl aber solche
    die es versuchen zu löschen oder sonstwie zu verändern oder zu
    beschädigen. "CIH" ist (z. B.) so ein Kandidat der u.a. immer
    am 26. eines jeden Monats zuschlägt. (War das vielleicht der Fall bei Dir ?! Solange ist der 26. nämlich noch nicht her :-) )

    Generell müßte es in modernen BIOS-Varianten aber so etwas
    wie einen Flash-Sicherung geben, ohne das ein Programm/Virus nichts in den BIOS-Bereich schreiben kann. (Flash Protect o.ä.)
    Schau mal bei Dir nach, und setz das auf "Yes" oder "Enabled"...

    GigaBytes Mainboard haben (von Modell zu Modell unterschiedlich)
    einen BootBlock-Schutz oder ein Dual-BIOS. (auch beides ist zusammen möglich)

    Damit könntest Du für die Zukunft vorsorgen. Auch andere Hersteller wie ASUS oder MSI sollten so etwas ähnliches haben.

    Generell ist es aber immer gut, wenn Du eine aktuelle Revision
    deines BIOS irgendwo auf Diskette zwischenspeicherst. Dann
    kannst Du das mit Hilfe der Rettungsfunktionen auf manchen
    Mainboards bei Bedarf leicht zurückspielen, und somit praktisch
    sofort weiterarbeiten.

    Gruß
    Robert
     
  10. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo frederic,

    also sorry, daß ich nicht die ganze Diskussion mitverfolgt habe, aber hier mal meine grundsätzliche Meinung:

    Es ist doch jeder selbst schuld, wenn er glaubt, daß das www. alles nur "Freide , Freude , Eierkuchen" ist...

    wie auch im realem Leben, schützt man sich am besten mit normaler Vorsicht.... und gesundem Menschenverstand...

    nur seltsamerweise wird das im WEB meistens außer acht gelassen... da wird vielfach einfach blind vertraut....

    fragt mich aber nicht warum... darauf habe ich auch keine Antwort.

    Denn wenn ich mich mit Vernunft im www bewege... dann kann ich die Virengefahr um ein beträchtliches reduzieren...

    mfg ghostrider
     
  11. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Mein Board (SockelA mit KT266A Chipsatz) hat noch so einen Jumper.
    Aber der einzige bekannte "Hardwarevirus" ist der CIH und der wird egal welche Version nur bei einigen älteren Boards (Sockel 7) mit Intelchipsätzen aktiv.

    Gruß René

    PS: Mal was ganz anderes. Wird bei Dir das Forum auch so zerhackt angezeigt?
     
  12. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Hi Michael,

    zur Diskussion nur noch eine Anmerkung:

    Als die flashbaren Bios aufkamen, gabs auf den Platinen meist noch Jumper, mit denen man die Spannung zum Flashen unterbrechen konnte; trotz Virus blíeb einem dann das schlimmste erspart. Leider sind diese Jumper inzwischen eingespart worden, und ohne genaue technische Unterlagen den Anschluß raussuchen und kappen ist wohl riskanter als die Virengefahr selbst. Technisch wärs allerdings wahrscheinlich nach wie vor zu machen, denn das Prinzip der EEPROMS hat sich nicht verändert.

    Wer Ahnung hat, kann sich ja mal bei mir melden.

    Gruß
    frederic
     
  13. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Heee bring die Virenprogrammierer nicht auf dumme Ideen :-)

    Zum Glück sind heutzutage die allermeisten Virenprogrammierer irgendwelche Dumpfbacken die mit Ach und Krach sich ein paar Schnipsel VB-Code zusammenschustern. Einen Übertakter, der auch noch den Überhitzungsschutz deaktiviert, würden die nicht hinbekommen.
     
  14. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Die Maschinen lagen im Bereich P3-450 - P3-800, im Schnitt 256 MB Ram, OS NT4. Normale Büroalltagsrechner eben.
    Faktor 30 muß es jetzt nicht unbedingt gewesen sein, aber Faktor 10 ist ziemlich nah an er Realität. Hat sich ja vielleicht mit NAV 2002 gebessert (war ne ältere Version), jedenfalls kommt keine NAV-Version mehr auf einen Rechner, den ich administriere.
    Wenn ein Laie durch einen einfachen Klick einen Email-Virus aktivieren kann, hat der Admin einen Fehler gemacht.
    Das mit der Post-Diskette ist natürlich derbe :-). Dummanwendern kann man natürlich noch das Diskettenlaufwerk ausbauen... aber wenn A: in der Bootreihenfolge hinten steht sollte da auch nichts anbrennen.
     
  15. ede

    ede Kbyte

    Registriert seit:
    18. April 2000
    Beiträge:
    296
    auf welcher maschine läuft das? auf \'nem 486? :)

    also wir haben nav auf 5 verschiedenen rechnern laufen und das problem definitiv nicht!

    > Ob man 30 Sekunden oder 1 wartet...
    das wäre faktor 30, wenn ich noch rechnen kann und das halte ich für übertrieben.
    aber ich habe schon gehört, dass sich leute über performance-verlust beim nav beklagen nur kann man es einfach nicht pauschalisieren!
    nav hat uns definitiv schon vor mehreren e-mail-viren geschützt! diese kommen auch in txt-mails mit getarnten anhängen. ein falscher klick von einem laien und der schaden ist da!
    im übrigen bekamen wir mal von der post ag eine diskette mit einer demo-software und einem boot-sektor-virus :-(
    also wir sind mit dem nav _sehr_ zufrieden.

    cu ede
    [Diese Nachricht wurde von ede am 31.05.2002 | 16:04 geändert.]
     
  16. DIDDL Maus

    DIDDL Maus Byte

    Registriert seit:
    12. Mai 2002
    Beiträge:
    32
    Die Festplatte ist nicht defekt habe sie in meinem anderen rechner eingebaut und da läufft sie.Natürlich mit NAV erstmal gecheckt keine viren mehr drauf.Habe aber trotzdem Angst sie dauernd im anderen rechner zu lassen.
    Hatte auch schon probiert ohne Festplatte lauffen zu lassen aber das gleiche problem.GraKa in einem anderen Rechner getestet und voll funktionfähig.
    Was zum Geier ist da kaputt ich bin am verzweifeln.
     
  17. ede

    ede Kbyte

    Registriert seit:
    18. April 2000
    Beiträge:
    296
    dann gibt es auf dem mobo noch einen jumper um die biosdaten zu reseten oder wenn nicht, die pufferbatterie ausbauen und rechner über nacht mit ausgebauter batterie stehen lassen.
    dann verliert das mobo die einstellungen und startet beim nächsten start (batterie vorher wieder einbauen) mit den default-einstellungen.
    geht das auch nicht, dann kann man noch den bios-baustein vom mobo-hersteller ordern (vorausgesetzt es ist ein entnehmbarer).

    sonst tippe ich wirklich auf hardware-fehler.
    hatte solche spässchen mal mit ner defekten gaka, aber auch bei defekter festplatte kann es solche probleme geben.

    mal ide-kabel und strom von festplatte abziehen.
    startversuch nur mit: graka und diskettenlaufwerk.

    wenn dann noch immer kein erfolg, eventuell von freund graka ausleihen und mit anderer graka noch mal probieren.

    viel glück, ede.
     
  18. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Vielleicht mag dich NAV nicht. Kenne einen der hat ein Netzwerk zu Hause (mit 4 Rechner), hat die Rechner natürlich auch mal aufgerüstet bzw. musste durch Totalschaden (Spannungspitze) neue Rechner kaufen. Bis jetzt hat er auf keinen dieser vielen Rechner Nero Burning ROM zum laufen überreden können, entweder lief Nero selbst nicht oder Windows war nach der Installation Tod.
     
  19. DIDDL Maus

    DIDDL Maus Byte

    Registriert seit:
    12. Mai 2002
    Beiträge:
    32
    Bis zur Diskette bzw CD kommt der gar nicht mehr.
    siehe antwort bei Ede
     
  20. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Da hast Du sicher recht. Das NAV-Problem hatte ich allerdings schon in verschiedenen LANs mit unterschiedlichen Soft/Hardwarekombinationen.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen