Hilfe-habe mir Virus eingefangen-[b]Danke[/b] - 500 Beiträge pro Seite

Hat einer Tipps für mich
was ich gegen den Virus
PE-CIH
machen kann oder bleibt mir nur
das Formatieren der Festplatte und eine
Neuinstallation aller
Programme übrig?
Danke

mfg

jd

ruhig bleiben!!
was ist das denn für einer?

pe-cih kenne ich nicht

@Olaf

ein Virus den mir ein guter bekannter via e-mail
geschickt hat. er hat irgendwie alle Dateien angefallen.
Ich konnte alle außer sieben Dateien mit
Hilfe von PC-Cillin wieder
"reinigen"
Den Namen der noch infizierten Dateien kann ich gleich mal posten!

mfg

Jd

oder Win95-CIH

w95.cih

http://securityresponse.symantec.com/avcenter/defs.added.htm…

schau mal da nach

w95.cih

So heißt der verfluchte scheiss Virus.

Intel-Chipsatz-kompatibles Leseprogramm für Flash-ROM

Allgemeine Informationen:

W95/CIH ist ein residenter Virus, der Windows-Programme (PE-Dateien) befällt. Er infiziert PE-Dateien derart, daß die Länge infizierter Dateien nicht verändert wird. Anhand der Kenntnisse über unbenutzte Bereiche innerhalb dieser PE-Dateien kann er sich in mehrere Teile aufteilen. W95/CIH enthält destruktive Schadensroutinen: Überschreiben des BIOS im Flash-ROM und Überschreiben aller Festplatten.

Dieser Virus ist in den letzten zwei Wochen verstärkt auch in Deutschland aufgetreten. H+BEDV stellte bereits mit der Version 5.13.1 eine wirksame und leistungsfähige Sucherkennung zu Verfügung. Mit der jetzt freigegebenen Version 5.13.2 ist nun auch die Reparatur dieses Virus möglich. AntiVir geht hier den nicht sonst üblichen Weg, nur den Ladeteil des Virus zu deaktivieren ("Metzgermessermethode"), sondern es erfolgt eine Reparatur nach der "Skalpellmethode". Da W95/CIH sich bei der Infektion einer Datei selbst in verschiedene Teile aufteilt und über verschiedene Sektionen in der zu infizierenden Datei verstreut, müssen bei einer Reparatur alle vom Virus veränderten Sektionen gesondert behandelt werden. Dadurch läuft AntiVir nicht Gefahr, Teile des Virus intakt zu lassen.

Viele andere Antivirenprogramme überschreiben nur die Installationsroutine des Virus oder "reparieren" allein durch Berichtigen des Programmeinsprunges. So verbleiben andere Teile des Virus in der eigentlich immer noch infizierten Datei in ausführbarer Form. Dies bedeutet, daß auch die Schadensroutinen noch in der Datei vorhanden sind und ggf. auch unkontrolliert (z.B. durch Programmabsturz, Fehler im Wirtsprogramm, Doppelinfektion etc.) ausgeführt werden können.

Da AntiVir genaue Kenntnisse sowohl über den Aufbau des Virus als auch den Aufbau der PE-Dateien besitzt, ist es AntiVir möglich, eine Qualitätsreparatur durchzuführen. AntiVir entfernt die einzelnen Teile des Virus in den unterschiedlichen Sektionen und stellt die internen Verwaltungsinformationen der Sektionen wieder her. Hierdurch sind diese Programme nach Reparatur durch AntiVir wieder gefahrlos einsetzbar.

Die Schadensroutinen des Virus variieren je nach Version. Die Version 1.2 versucht am 26. April und die Version 1.3 am 26. Juni eines jeden Jahres das BIOS im Flash-ROM zu überschreiben. Die Version 1.4, sie ist momentan die am häufigsten festgestellte Version, scheint eine Weiterentwicklung zu sein: Sie versucht das Überschreiben des BIOS im Flash-ROM am 26. eines jeden Monats durchzuführen. Allen Versionen gemeinsam ist, daß auch noch alle Festplatten am jeweiligen Auslösedatum durch direkte Zugriffe überschrieben werden. Damit dürften die meisten sog. Notfalldisketten wertlos sein, wenn nicht zusätzlich ein komplettes Backup vorliegt!

Die aktuellen und für diesen Virus angepassten Versionen von AntiVir (DOS, Windows 3.1x, Windows NT, Windows 95, Windows 98, NetWare und Linux) sind ab sofort unter www.antivir.de im Internet verfügbar. Diese Versionen sind Demoversionen, bei bestehenden Kunden mit einem aktuellen Fast Update-Plan bzw. Lizenz werden diese automatisch in Vollversionen umgewandelt.

Da von dieser Art der Schadensroutinen alsbald Nachahmer zu erwarten sind, stellt die H+BEDV allen PC-Anwendern ein Leseprogramm IROMREAD.EXE für Flash-ROM zur Verfügung. Dieses Programm liest den Inhalt eines Flash-ROMs über den jeweiligen Chipsatz aus und speichert die Daten als Datei auf einem Datenträger ab. Im Falle eines Falles bietet die H+BEDV auch den zugehörigen Re-Programmierservice eines gelöschten Flash-ROMs gegen Kostenerstattung an.

Auch dieses Leseprogramm IROMREAD.EXE ist ab sofort kostenfrei unter www.antivir.de im Internet verfügbar.

Technische Informationen:
Persönliche Vorbemerkung: W95/CIH ist nicht unbedingt ein "Killervirus", CIH ist halt ein Virus, der einmal etwas anders, evtl. auch etwas Neues macht. Deswegen geht die Welt nicht unter und es ist auch kein "hardwarezerstörender" Virus (wobei sich aber trefflich über das Bewegen von Atomen in Festplatte/Flash-ROM streiten ließe). Nicht jeder Virus ist gleich so gefährlich, weil aus jeder Pressemitteilung das Blut nur noch so herausläuft. So haben beispielsweise viele englischsprachige Makroviren die angenehme Eigenschaft, auf deutschsprachigen Office-Installationen gar nicht lauffähig zu sein.

W95/CIH ist ein reinrassiger Windows 95/98-Virus und nur unter diesen beiden Plattformen lauffähig. Aufgrund der von ihm überwachten Schnittstelle zum Dateisystem (IFSMGR-Hook) läuft er nicht unter Windows NT bzw. Windows 3.1x. Er infiziert nur die 32bit-Programmdateien (Windows-EXEs, die PE-Dateien). Wird eine infizierte Datei auf einem nicht infizierten Rechnersystem zum ersten Mal gestartet, fordert er über PageAllocate Speicher an und kopiert zuerst einmal seinen (gerade laufenden) "Infektionsteil" dorthin. Anschließend kopiert er seine übrigen Programmbestandteile ebenfalls in diesen Speicher. Vermutlich aufgrund eines Programmierfehlers fordert W95/CIH insgesamt 8KB an Speicher an, 4KB wären ausreichend gewesen. Zuletzt "klinkt" er sich noch in die Schnittstelle zum Dateisystem (IFSMGR-Hook) ein und übergibt die weitere Kontrolle dem eigentlichen Wirtsprogramm. Durch Überwachen der IFSMGR-Hooks bekommt er jedes Öffnen einer Datei mit und kann entsprechend reagieren. Um nun nicht allzutief in jede neue Datei "hineinzusuchen", ob sie noch infiziert werden muß, bedient sich der Virus eines kleines Tricks: Ist das letzte Byte des DOS-Stubs ("Dieses Programm benötigt Microsoft-Windows") ungleich 00h, dann wird nicht mehr infiziert.

Der Virus "springt" direkt vom Ring 3 (Ebene der Applikationsprogramme) zum Ring 0 (Ebene der Systemprogramme). Auf diesem Ring 0 stehen dem Virus alle Systemfunktionen zur Verfügung, hier laufen seine wichtigen Programmteile ab. Der Virus prüft alle EXE-Dateien und infiziert ab der Version 1.4 solche EXE-Dateien nicht, die als Sektionsnamen "nZIP" enthalten (der WinZip-SelfExtractor prüft, ob sein Header und/oder seine komplette Sektion unverändert ist).

Muß infiziert werden, hat der Virus bereits alle wichtigen Informationen parat: Er sucht nach unbenutzten Bereichen ("Löchern") in den einzelnen Sektionen einer PE-Datei. Hierbei ist bis auf die Startsektion, sie muß mindestens 184 Bytes unbelegten Platz frei haben, die Länge des unbelegten Bereiches eigentlich egal. Jede Seite ("Page") belegt unter Windows 95/98 exakt 512 Bytes. Wird vom Wirtsprogramm innerhalb einer Sektion die letzte Page nicht komplett benötigt, bleiben unbenutzte Bereiche übrig. Daß der Virus auch die Verwaltungsinformationen zu diesen einzelnen Sektionen verändert, sei nur am Rande erwähnt.

Nach einer Infektion überprüft der Virus das Datum, ob seine Auslösebedingung erfüllt ist. Danach versucht W95/CIH sowohl das Flash-ROM als auch die Festplatten zu überschreiben. Festplatten werden über direkte Schreibzugriffe (IOS_SendCommand) angesprochen bzw. überschrieben.

Am meisten diskutiert wird momentan die Möglichkeit des Löschens oder Überschreibens des Flash-ROMs. Diese Flash-ROMs sind ab Rechnern der Pentium-Klasse im Einsatz. In der Tat sind im Virus Programmsequenzen enthalten, die das Überschreiben des Flash-ROMs in ganz bestimmten Fällen erlauben, jedoch nicht in allen Fällen. Der Virus wurde vermutlich auf einem Rechnersystem mit einem TX-Chipsatz "getestet". Insgesamt ist das Lesen aus einem bzw. das Schreiben in ein Flash-ROM ein mehrstufiger Prozeß und hardwarespezifisch.

Physikalisch kennt das Rechnersystem bzw. ein Anwendungsprogramm nur Speicheradressen, an die etwas geschrieben bzw. von denen etwas ausgelesen wird. Seit langer Zeit belegt das ROM-BIOS das gesamte F000-Segment im ersten Megabyte Adressraum. In Zeiten von Shadow-ROM müssen aber Daten aus dem "logischen" F000-Segment nicht mehr aus dem "physikalsichen" F000-Segment stammen: Über die Kombination Chipsatz und MMU (Memory Management Unit) kann der komplette ROM-Inhalt schon ins (schnellere) RAM kopiert worden sein. Ein Zugriff auf das F000-Segment wird nun von einer anderen Speicherstelle aus bedient, die irgendwo im Adressraum des Prozessors liegen kann. Darüber hinaus sind die moderneren BIOSse zumeist größer als 64KB, nämlich 128KB, und belegen zusätzlich noch das E000-Segment. Nach dem Booten ist dieser Bereich verschwunden und nicht mehr sichtbar, da der verwendete Programmcode (Setup etc.) nicht mehr benötigt wird. Beim Schreiben auf das Flash-ROM müssen also zuerst wieder "geordnete Verhältnisse" hergestellt werden. Hierzu wird der Chipsatz benötigt, dem über bestimmte Kommandos mitgeteilt werden kann, vom Shadow-ROM bzw. Mapping von Speicherbereichen Abstand zu nehmen. Hat der Chipsatz dies vorgenommen, erst dann kann dem Flash-Writer über geeignete Kommandos mitgeteilt werden, bestimmte Adreßbereiche bzw. Speicherzellen zum Schreiben zu öffnen bzw. vorzubereiten.

Die Chipsatz-spezifischen Kommandos zum Einblenden der "richtigen" Adreßbereiche können unterschiedlich sein, die Befehle zum Programmieren der Flash-ROMs waren sich bei den getesteten LX/HX/TX-Chipsätzen doch sehr ähnlich.
Bisher konnten wir folgende Flash-ROM-Typen (nicht Chipsätze) als gefährdet herausfinden:

Flash-ROM Vpp
AMD 29F010 5V
ATMEL 29C010A 3V
ATMEL 29C010A 5V
INTEL 28F001BX-T 12V
INTEL 28F010 12V
MXIC 28F1000A 12V
MXIC 28F1000AP 12V
SST 28EE010 5V
SST 28EE011 5V
WINBOND 29ee011 5V

Die Angabe der Programmierspannung ist deshalb von Interesse, da sich anhand der Programmierspannung ablesen läßt, ob evtl. noch ein Schreibschutzjumper vorhanden ist oder sein müßte. Generell kann gesagt werden, daß alle Flash-ROMs durch solche Attacken "verwundbar" sind, es sei denn, sie haben einen funktionierenden Schreibschutzjumper bzw. eine funktionierende Boot-Block-Protection. Ist der verwendete Typ aus dem 12V-Lager und der Jumper steht in Stellung schreibgeschützt, dann besteht keine Gefahr und das Flash-ROM kann nicht überschrieben werden. Ist das Flash-ROM ein Mehrbereichstyp (dual voltage flashable), dann ist selbst ein vorhandener Schreibschutzjumper mehr oder weniger wertlos. Lediglich in den Fällen, in denen der Boot-Block des Flash-ROMs als extra geschützt markiert ist, wäre nach dem Flashen noch eine Wiederherstellung mit einfachen Mitteln möglich. Bei einigen Flash-ROMs werden (PCI-)Setup-Informationen dynamisch gespeichert, Flash-ROMs werden hier als willkommener Zwischenspeicher "mißbraucht".

Hat das verwendete Rechnersystem eine zu diesem Virus "kompatible" Chipsatz/Flash-ROM-Kombination, dann versucht der Virus an seinem Auslösedatum Teile des Flash-ROMs mit den Werten 55 und FF zu überschreiben. Stürzt dabei das Rechnersystem mit einem Page Fault ab, wurde vermutlich versucht, in das "nicht umgemappte" E000-Segment zu schreiben bzw. auf den ursprünglichen ("gemappten") Inhalt zuzugreifen.

W95/CIH ist auf den TX-Chipsatz abgestimmt. Es ist jedoch zu erwarten, daß zukünftige Viren sich nicht nur mit einem Chipsatz "begnügen". Besonders problematisch wird dies, wenn man an eingelötete und/oder dauerhaft beschreibbare Flash-ROMs denkt. Diese werden häufig in Notebooks oder Laptops eingesetzt. Hier ist das Einsenden des kompletten Rechners an den Hersteller schon fast unvermeidlich. Aber auch dem normalen Anwender wird vermutlich ein neues Systemboard verkauft werden, wenn sich das alte als kaputt, sprich nicht mehr bootfähig erweist.

Um für den "Fall des Falles" aber noch eine Kopie seines kompletten BIOS zu haben, wurde das Programm IROMREAD geschaffen. Dieses Programm legt bei handelsüblichen Chipsätzen eine Kopie des BIOS als Datei auf Diskette ab. Die H+BEDV stellt dieses Programme als selbstextrahierendes Diskettenimage zur Verfügung. Der Anwender braucht nur noch eine formatierte 1,44MB-Diskette einzulegen und das Imageprogramm aufzurufen.

Kontaktinformationen:
H+BEDV Datentechnik GmbH
Lindauer Str. 21
D-88069 Tettnang

der link
http://www.antivir.de/infos/i-w95cih.htm

hier die Namen der infizierten und nicht
reperablen Dateien
C:PROGRAMMETREND PC_CILLIN 98PCCWIN98.EXE
C:PROGRAMMECREATIVESHARE DLLMEDIADET.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMLEXPPS.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMRNAAPP.EXE

Danke Olaf für deine Mühe!!!

wenn ich höre das jemand ein virus hat dann hekfe ich gerne, denn ich habe das auch schon durch
aber dein virus ist kein guter

am besten ist es dann wohl wenn ich mir
ein Antivirus-Programm aus dem Suppermarkt für
um die 100EUR zulege und hoffe dass es den
"kompletten Reperaturservice von Antivir"
auch bietet.
Ich denke da mal an Norton?

up!!!

oder du lädst es dir von einer hackerseite

@Olaf

meinst du mit Norton könnte ich in diesem Fall
meinenRechner nochmals retten-oder habe ich da was falsch verstanden?

mfg

jd

ich denke schon

was ist billiger/besser??
Antivir oder Norton

@ junkdeluxe

hast du dein problem gelöst?

mfg

@der neuling

denke schon werde mir am Mittwoch mal
ein Antivirenprogramm von Norton kaufen und hoffe
dass dieses Programm alle befallenen
Dateien reparieren kann.
Aber trotzdem Danke!!!!

mfg

jd

@ junkdeluxe

schau mal in deine mail box

mfg

ist Antivir nicht für private User kostenlos?

Meinem Kumpel Mike und Sophos sei
Dank-aber mein Rechner ist wieder absolut clean.

War schon ne Zeitraubende Aktion von etwas mehr als zwei Stunden.