Kann das ein Virus sein?

    Hi

    Hab grad Probleme mit meinem Laptop.
    Ich beschreibe mal, was so alles passiert ist bzw. was ich gemacht hab...

    Vorgestern stoppte der Laptop beim Bootvorgang einmal im Dual-Boot-Menü (WinXP & Win7)
    und dann noch einmal während des Ladebalkens beim Starten von XP.
    Das kam mir zwar etwas seltsam vor, hab mir aber noch nichts ernstes dabei gedacht.

    Heute morgen verabschiedete sich WinXP mit einem Bluescreen.
    Ich hab dann mal das Netzwerkkabel abgezogen und neu gestartet.
    Antivir startete im "deaktivierten Modus" und Comodo Firewall meldete einen Fehler

    Ich wollte mit HiJackThis einen Scan machen -> Bluescreen!

    Glücklicherweise hab ich von den Systempartitionen von XP und Win7 Images, welche ich via Norton Ghost raufgespielt hab.
    Beim neuerlichen booten starteten AntiVir und Comodo wieder normal - allerdings hatte ich bald wieder einen Bluescreen!
    Ich dachte in diesem Moment an einen Hardwaredefekt, denn auch Win7 verabschiedete sich beim Starten...
    Nochmals XP booten - Antivir manuell updaten (Update auf einem anderen Rechner runtergeladen) - AntiVir meldet, dass irgendein Modul geändert wurde, möglicherweise ein Virus...

    Nun hab ich zuerst das Bios neu geflasht, dann die beiden Images wieder raufgezogen - jetzt scheint wieder alles gut zu laufen...
    Momentan mache ich einen kompletten Scan mit einem geupdateten Antivir

    Wenn es ein Virus war, dann konnte der doch nur im Bios sitzen!?
    Denn beim Imageraufspielen wird doch die ganze Partition überschrieben, incl. Bootsektoren, oder?
    Kann ein Virus überhaupt vom Bios aus agieren, bzw. wie geht das?

    Befindet sich der Schadcode vielleicht auf einer "freien" Stelle meiner Festplatte, welche auch von Norton Ghost nicht überschrieben wird?

    Ich hoffe, dass mein System jetzt wieder einwandfrei läuft!

    thx
    E

    Morgen, also es können eine Reihe von Faktoren einen BlueScreen hervorrufen .. eine Möglichkeit dies einzugrenzen wäre mit einem BootLinux oder Recovery Bootfähigem XP (CD Boot) den PC zu starten und mal auf die SystemProtokolle zuzugreifen und auszulesen welche Fehler das System vor bzw während des BlueScreens anzeigt.. meist steht in der Ereignissanzeige um welche Art von Problem es sich handelt mit einem Fehlercode nachdem man dann suchen kann..
    Von einem Virus der sich im BIOS implementiert habe ich bis dato noch nicht gehoert.. Bios Updates (Firemware Flashes) sind meist nur sehr nahe zur Hardware möglich und nicht aus dem OS herraus, bios updates bzw Firmware Flashes werden meist mithilfe einer Diskette installiert direkt nach dem Eigentlichen Hardware Check des Rechners.
    Beim zurückspielen eines Full Backups werden im Normalfall die Existierenden Partitionen gelöscht und die zuvor gebackupte Partition wieder aufgespielt, somit wird alles was zuvor sich innerhalb der gelöschten Partition befindet unzugänglich gemacht (beinhaltet auch den eventuellen Schadcode), wie aber die meisten wissen wir beim (Nur Partitionslöschen) die Daten nicht wirklich gelöscht sondern nur die Verweise zu ihnen, dass man nicht mehr ohne weiteres auf sie zugreifen kann.. naja dass ist aber ein anderes Thema..
    Back to the Thread, nach deinem aufspielen des alten Backups sollten somit deine Probleme behoben sein, wenn es nicht Hardware bedingt ist :)

    Gruß Marvin

    Zitat von Protex


    Von einem Virus der sich im BIOS implementiert habe ich bis dato noch nicht gehoert.. Bios Updates (Firemware Flashes) sind meist nur sehr nahe zur Hardware möglich und nicht aus dem OS herraus, bios updates bzw Firmware Flashes werden meist mithilfe einer Diskette installiert direkt nach dem Eigentlichen Hardware Check des Rechners.

    Große Wissenslücke ;). Siehe meine Post über deinem. Des weitern kannst du bei fast jedem Motherboard direkt aus Windows herraus ein Biosupdate durchführen.

    Andy hat mir ein Schnitzel gebacken aber da war ein Raupi drauf und bevor Oscar das Bugfixen konnte kam Alina und gab mir ein AspirinJunkie.

    Einmal editiert, zuletzt von chip (11. November 2011 um 09:41)

    Einer der beiden Ram Module ist fehlerhaft! Das erklärt mal die Bluescreens und evtl. das fehlerhafte starten von Comodo Firewall.

    Dass Antivir jedoch "deaktiviert" startete und sich auch nicht aktivieren ließ, und bei einem Update meldete, dass ein CRC-Check eines Modules nicht passt und es möglicherweise von einem Virus verändert wurde, könnte tatsächlich von einem Virus verursacht worden sein - welcher auch nach dem ersten ReImage weg war.

    Waren halt dummerweise 2 Sachen gleichzeitig, also Ramspeicher defekt und ein "normaler" Virus... - hoffentlich ;)

    @ Chip: hab mich eben mal informiert , aber in meiner Umgebung (Fachinformatiker Sys) in der Verwaltung ist es noch nie vorgekommen dass sich ein Rootkit oder ähnliches sich im BIOS einnisten konnte, wenn es wirkloich ein BIOS virus ist ist das ja wie ein 6er im Lotto 8| und über die Herkömmlichen Wege (zb Browser) kann ich mir kaum vorstellen wie sich so ein Sheelcode in dein BIOS implementieren sollte mit einem gescheiten antivirus Prog sollte diese Möglichkeit eigneltich verwehrt bleiben..
    hab eben bei heisse auch einen sehr interessanten Thread gefunden http://www.heise.de/security/meldu…IOS-209207.html , so ein Virus ist natürlich sehr fies ^^ :P

    eukalyptus : ja RAM Riegel defekt kommt öfter mal vor hast ja schon getestet und weißt jetzt welcher Riegel es ist, raus mit dem und damit sollte das Hauptproblem ja erst mal gelöst sein :)
    Gru0 Marvin

    Zitat von Protex

    @ Chip: hab mich eben mal informiert , aber in meiner Umgebung (Fachinformatiker Sys) in der Verwaltung ist es noch nie vorgekommen dass sich ein Rootkit oder ähnliches sich im BIOS einnisten konnte, wenn es wirkloich ein BIOS virus ist ist das ja wie ein 6er im Lotto 8|

    Richtig es ist wie ein Sechser im Lotto weil sie kaum jemand die Mühe macht nur für ein bestimmtes Bios einen zu schreiben. Aber sie existieren und werden auch nach wie vor gezielt eingesetzt. Btw. dir ist bewusst was ein Rootkit macht oder? Ein Rootkit verhinder das der Trojaner/Virus entdeckt wird. Von daher ist die Aussage "es noch nie vorgekommen" so nicht haltbar. Richtig wäre eher "es ist nicht bekannt".

    Andy hat mir ein Schnitzel gebacken aber da war ein Raupi drauf und bevor Oscar das Bugfixen konnte kam Alina und gab mir ein AspirinJunkie.

    Zitat von eukalyptus

    Dass Antivir jedoch "deaktiviert" startete und sich auch nicht aktivieren ließ, und bei einem Update meldete, dass ein CRC-Check eines Modules nicht passt und es möglicherweise von einem Virus verändert wurde, könnte tatsächlich von einem Virus verursacht worden sein - welcher auch nach dem ersten ReImage weg war.

    Wundert dich das? Mit AntiVir habe ich schon ganz andere Erfahrungen gemacht. Aus meiner Sicht ist AntiVir der letzte Schrott. :thumbdown:
    Lieber zahle ich 30 Euro im Jahr und brauche mich dafür mit nix rumzuärgern.

    Hi eukalytus,

    als erstes schmeisse die Comodo Firewall raus.
    Nicht nur dass diese grottenschlecht ist, die Windows Firewall reicht vollkommen aus.
    Ich hatte auch mal die Comodo Firewall genutzt und mir ein Ding nach dem anderen eingefangen.

    Außerdem nerven diese ständigen, nichtssagenden Meldungen, wer alles ins Internet will.
    Wenn Du den ausgehenden Verkehr der Windows Firewall kontrollieren möchtest, dann installiere Dir
    Windows 7 Firewall Control 1.0.
    Läuft auch auf XP.

    Lasse am besten Dein(e) System(e) mit Desinfec't auf Schädlinge prüfen.
    Kannst Du nachbestellen: c't kompakt 03/11 Security oder c't 8/2011.

    Außerdem empfehle ich Dir in einen kommerziellen Virenwächter mit Echtzeitschutz zu investieren oder zumindest zusätzlich zu Virenscannern ohne Echtzeitschutz ThreatFire 4.7.0.


    Gruß
    Greenhorn


    @ Greenhorn, ich bin mir nicht sicher aus was für einem Grund du dich so Negativ über die Comodoo Produkte auslässt, ich selber verwende den Security Suite von Comodoo und bin eigentlich sehr zufrieden mit den Ergebnissen ich bin mir nicht sicher wieso du die Meldungen der Firewall als volkommenen schwachsinn abstempelst, eventuell liegt es auch an einer falschen bedienung... aber das lassen wir mal so in den Raum gestellt.. sobald man die Firewall und ggf den Antivirus Client ordentlich Konfiguriert hat funktioniert dieser aus meiner Sicht einwandfrei..

    Gruß Marvin

    Hi,

    ganz einfach: Die Comodo Firewall benutzt eine Black/Whitelist und für Schadprogramme ist es ein leichtes sich in die Whitelist einzutragen. Das habe ich selbst erlebt.
    Außerdem habe ich mich gewundert, dass die Comodo-Produkte nie bei den AV-Tests in den gängigen PC-Zeitschriften auftauchten. Als die c't sich die Produkte einmal ansah wusste ich warum. ;)
    In der Chip wurde wurde einmal die Firewall eine Zeit lang angepriesen, aber wie gesagt, Versuch macht Kluch ...

    Wenn man die AV-Tests der c't verfolgt, dann wird auch dort immer wieder darauf hingewiesen, dass Firewalls von Drittanbietern mehr Löcher in das System reissen, als sie stopfen.

    Hinzu kommt noch, dass die meisten Haushalte ihre PCs hinter einem Router sitzen haben, das macht den Einsatz einer Desktop-Firewall mehr oder weniger überflüssig.


    Gruß
    Greenhorn


    Einmal editiert, zuletzt von Greenhorn (11. November 2011 um 20:50)