Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

FreeSpace - Virus

2 views
Skip to first unread message

Frank Weirich

unread,
Aug 23, 1998, 3:00:00 AM8/23/98
to
Hallo....
Ich habe heute wie eigentlich jede Woche Sonntags mal wieder den
Afee Virenscanner über meinen Rechner laufen lassen.
Leider musste ich feststellen, daß 208 Files von irgendeinem Freespace
Virus befallen wahren, den ich mir wohl mit irgendeinem Shareware-Programm
aus dem internet eingefangen hab....
Nun sagte mir der Scanner er könne das Teil nicht entfernen, sondern nur
das befallene Programm löschen..... das fing an mit Systray.exe über die
Explorer.exe bis hin zur Taskmon.exe =:((
Klar..... die Programme werden alle gerade von Windows ausgeführt =:((
Ich hab dann ne MS-DOS - Boot Disk eingelegt, und mein System mim
F-Prot für MS-DOS gereinigt.
Jetzt meine Frage.... Was nützen mir Windows Virenkiller, wenn diese doch
nicht in der Lage sind die Viren zu löschen ? =:)))

Axel Pettinger

unread,
Aug 23, 1998, 3:00:00 AM8/23/98
to
Hallo Frank,

> Leider musste ich feststellen, daß 208 Files von irgendeinem Freespace
> Virus befallen wahren, den ich mir wohl mit irgendeinem

Ich nehme an, Du meinst "Spacefiller" ... :)
Genauergesagt meinst Du - schaetzungsweise - W95/CIH.1003 (eine von vier
Varianten) ...

> Nun sagte mir der Scanner er könne das Teil nicht entfernen, sondern
> nur das befallene Programm löschen..... das fing an mit Systray.exe
> über die Explorer.exe bis hin zur Taskmon.exe =:((
> Klar..... die Programme werden alle gerade von Windows ausgeführt =:((

Letzteres ist nicht ganz richtig! Aber, kein AntiVirus-Scanner kann
offene, infizierte Programme desinfizieren. (AVP ist der einzige Windows
Scanner, der das zu umgehen versucht, indem er Kopien der infizierten
Programme erstellt, diese desinfiziert und nach einem Neuboot die
infizierten Dateien (auf DOS-Ebene) ersetzt.)
Um keine infizierten Programme zu oeffnen, womit der Virus aktiviert
wuerde, sollst Du ja - sofort nach Benachrichtigung durch einen Windows
Scanner - das folgende machen ...

> Ich hab dann ne MS-DOS - Boot Disk eingelegt, und mein System mim
> F-Prot für MS-DOS gereinigt.

Bravo! Nun, welche Variante hat F-Prot gemeldet? Wenn's CIH.1019 war,
dann hast Du die Beseitigung ja gerade noch *vor* dem 26. des Monats
geschafft und damit Glueck gehabt ...

> Jetzt meine Frage.... Was nützen mir Windows Virenkiller, wenn diese
> doch nicht in der Lage sind die Viren zu löschen ? =:)))

W95/CIH wurde erst Anfang Juni'98 entdeckt - nachdem er sich schnell
weltweit verbreitet hatte. NAI (frueher McAfee) erkennt den Virus seit
Mitte Juni, hatte ein paar Wochen danach lediglich einen
Standalone-Remover, und hat zumindest in seinen BetaScan-Dateien
(http://beta.nai.com/public/datafiles) nun auch die Moeglichkeit zur
Entfernung des Virus implementiert, und empfiehlt diese zur Beseitigung
des Virus. Meines Wissens nach kann das NAI's *Windows* Scanner noch gar
nicht, sondern kann nur loeschen ...
Aber nicht verzagen, ab Oktober/November wird die "virus finding engine"
von NAI die von Dr Solomon's FindVirus sein, und die ist meiner Meinung
nach viel besser! :)

Generell zu Windows AntiVirus-Scannern ...
- ungeuebten PC-Benutzern faellt eine Bedienung von Windows-Programmen
leichter als die von DOS-Programmen
- Windows-Scanner wie NAI wachen im Hintergrund und koennen den Zugriff
auf bekannte Viren und damit eine Infektion verhindern
- Disketten oder Internet-Downloads koennen meist problemlos mit
Windows Virenscannern auf infizierte Sektoren/Dateien ueberprueft
werden

Natuerlich, wenn der Virus dem Scanner zuvor nicht bekannt ist, dann
nuetzen weder Windows- noch DOS-Scanner etwas ... :(

Solltest Du Informationen zu Deinem Virus suchen ...
http://www.avp.ch/avpve/newexe/win95/cih.stm
http://www.avp.ch/E/faq/cihfaq.htm
http://www.drsolomon.com/vircen/valerts/win32cih.html
http://www.europe.datafellows.com/v-descs/cih.htm
http://www.symantec.com/avcenter/data/cih.html
http://beta.mcafee.com/public/stand_alone/spacefiller411.html


Ciao,
Axel Pettinger

*** Antworten bitte in der Newsgroup!
Fuer direkte Antworten muss die Adresse korrigiert werden. ***

Juergen Stessun

unread,
Aug 24, 1998, 3:00:00 AM8/24/98
to
a...@stud-mailer.uni-marburgVIRUS.de am 23.08.98 in VIRUS:

>(AVP ist der einzige Windows
>Scanner, der das zu umgehen versucht, indem er Kopien der infizierten
>Programme erstellt, diese desinfiziert und nach einem Neuboot die
>infizierten Dateien (auf DOS-Ebene) ersetzt.)

Das mach der Norton AV ebenso. Ich hatte gleiches Problem nämlich bei
W95.CIH.1075 - Virus und bin ihn jetzt los. Mcafee will einfach nur löschen..

Jürgen

PS: JETZT Scannen, bald ist wieder der 26. des Monats!!!

Jan Wippermann

unread,
Aug 24, 1998, 3:00:00 AM8/24/98
to
a...@stud-mailer.uni-marburgVIRUS.de meinte am 23.08.98
zum Thema "Re: FreeSpace - Virus":

> Bravo! Nun, welche Variante hat F-Prot gemeldet? Wenn's CIH.1019 war,
> dann hast Du die Beseitigung ja gerade noch *vor* dem 26. des Monats
> geschafft und damit Glueck gehabt ...

Was richtet den die Variante CIH.1075 an?

Bis denn

Jan

Axel Pettinger

unread,
Aug 25, 1998, 3:00:00 AM8/25/98
to
Juergen Stessun wrote:
>
> a...@stud-mailer.uni-marburgVIRUS.de am 23.08.98 in VIRUS:
>
> >(AVP ist der einzige Windows
> >Scanner, der das zu umgehen versucht, indem er Kopien der infizierten
> >Programme erstellt, diese desinfiziert und nach einem Neuboot die
> >infizierten Dateien (auf DOS-Ebene) ersetzt.)
> Das mach der Norton AV ebenso. Ich hatte gleiches Problem nämlich bei

Bist Du sicher? Auf ihrer Web-Seite schlagen sie einen voellig anderen
Desinfektionsweg ueber NAVC10 und unter DOS bzw. von Bootdisk vor, was
nicht noetig waere, wenn sie unter Windows die aktiven, infizierten
Programme kopieren, desinfizieren und nach Reboot ersetzten koennten ...

> W95.CIH.1075 - Virus und bin ihn jetzt los. Mcafee will einfach nur löschen..

Nichts gegen NAV, meiner Meinung nach ist es ein guter aber langsamer
(was die Aufnahme neuer Viren anbelangt) Scanner, aber die Groesse 1.075
Byte fuer CIH sticht ins Auge. Es gibt keinen CIH.1075, und NAV benutzt
diesen Namen fuer alle CIH-Varianten, obwohl diese unterschiedliche
Groessen von 1.003 bis 1.019 Byte haben. Das ist schlichtweg
irritierend, auch weil nur *eine* der Varianten an jedem 26. eines
Monats aktiv wird. Von CIH Betroffene werden im Dunkeln ueber die
Variante gelassen, und Panik wird damit nur geschuert ... :(

NAI (frueher McAfee), falls Du's nicht gelesen hast, hatte lange einen
speziellen CIH-Entferner, und kann ab Scan v3.2.0 CIH regulaer erkennen
und entfernen ...



> Jürgen
>
> PS: JETZT Scannen, bald ist wieder der 26. des Monats!!!

Und ...? CIH v1.4 ist nicht die haeufigste Variante, sondern CIH v1.2,
und der schlaegt erst im April naechsten Jahres wieder zu ...

Ciao,
Axel

Axel Pettinger

unread,
Aug 26, 1998, 3:00:00 AM8/26/98
to
Hi Jan,

> Was richtet den die Variante CIH.1075 an?

Schwer zu sagen weil das keine exakte Bezeichnung fuer eine der vier
bekannten CIH-Varianten ist. Es ist Norton's Name fuer alle vier
Varianten ... :(
Mach einfach mal eine infizierte Datei mit einem Editor (Notepad oder
MS-DOS-Editor) auf und suche nach "CIH", rechts daneben steht die
Versionsnummer von CIH (vgl. unten).
Sicher ist nur, alle vier Varianten werden zu einem festgesetzten
Zeitpunkt destruktiv!

W95/CIH.1003 (v1.2) am 26.April (haeufigste Variante)
W95/CIH.1010a (v1.3) am 26.April
W95/CIH.1010b (v1.3) am 26.Juni
W95/CIH.1019 (v1.4) am 26. eines jeden Monats

Version 1.2 hat einen Bug, beschaedigt selbstextrahierende
WinZip-Archive beim Infizieren, faellt dadurch auf ...
Alle vier versuchen zum festgesetzten Zeitpunkt das BIOS mit "Muell" zu
ueberschreiben (gelingt oder misslingt je nach BIOS) und zusaetzlich
werden auch noch die ersten Sektoren der Festplatte ueberschrieben
(darunter die Bootsektoren) ..., so oder so wird der Computer danach
ausfallen. CIH infiziert ausschliesslich PE-EXE-Dateien ("echte"
W9x-Programme) und ist nur unter W9x aktiv.

Ciao,
Axel Pettinger

0 new messages