zur�ck zur Hauptseite
english version  english version
letzte Meldungen
 Praktische Anleitung zum PC-Eigenbau
 Diskussionsforum rund um den PC!
 Tests, Infos und W�rterb�cher!
Tips & Trick f�r Microsoft Produkte!
 Editoriales - interessante Berichte im Bereich der IT
 Viren: Prophylaxe, Erkennung und Entfernung
 Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!


 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
Hier klicken!
 Testberichte 
H�ttest Du's gewu�t?
Tastenkombinationen zur schnelleren Arbeit
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD

Gefahr

    

 Verbreitung 

    

Name des Virus

 CIH

Typ

Sonstige

befallene Betriebssysteme

alle Windowsversionen

Varianten

CIH.1003, CIH.1010, CIH.1019

Infizierung:
Der CIH-Virus stammt aus Taiwan. Er ist unter DOS, Windows3.x und Windows NT nicht funktionsfähig. Unter Windows 95/98 hingegen kann er verheerende Schäden anrichten. Hier ist der Virus immer aktiv im Speicher und schreibt sich in jede geöffnete Programmdatei. Hierbei geht er so "schlau" vor, daß er in den EXE-Dateien in den "Hohlräumen" verkriecht. Daher ändert sich die Dateigröße nicht und der Virus ist von daher schwer zu erkennen.

Schadensroutine:
Der Virus wird entweder am 26. Tag eines jeden Monats aktiv oder nur am 26.Tag bestimmter Monate (April, Juni). Er versucht Teile des Flash-BIOS auf dem Motherboard zu überschreiben und macht dadurch das BIOS unbrauchbar). Obwohl am BIOS-Chip selbst physikalisch nichts passiert, so muß dieser dann dennoch ausgetauscht oder neu beschrieben werden. Neben dem Versuch das BIOS zu überschreiben, zerstört der Virus alle lokalen Festplatten. Er überschreibt die ersten Megabyte einer Platte, in denen beispielsweise Partitionsdaten stehen. Die Platte ist danach unbrauchbar und muß praktisch neu partitioniert und formatiert werden. Alle Daten gehen verloren.

Schutz & Entfernung:

  1. Hat ihr BIOS einen Schreibschutz-Jumper, so sollten Sie diesen aktivieren. Dies bietet allerdings keinen umfangreichen Schutz, da es vom Hersteller abhängt, ob das Schreibschutz-Signal wirklich ausgewertet wird.
  2. Auch wenn Sie im Hintergrund Virenscanner laufen haben, so sollten Sie nach jeder Installation die Festplatte manuell scannen. Auch hier gilt: Der Virus setzt sich im Speicher fest. Sind Sie sich nicht sicher, daß Ihr Virenscanner den Virus im Speicher entfernt, empfiehlt es sich den Rechner im DOS-Modus zu starten (nicht im DOS-Fenster unter Windows). Unter DOS ist der Virus nicht aktiv und kann dann mit Virenscannern entfernt werden.
  3. Laden Sie sich ein aktuelles Virenscanner herunter. Es empfiehlt sich der Scanner von Dr. Solomon.
Erste Hilfe für die Festplatte
Wird nur die Festplatte zerstört, so kann man seinen PC folgendermaßen wieder flott machen:
  • Starten sie den PC mittels einer Startdiskette und geben sie im DOS-Fenster den Befehl FDISK /MBR ein. Dieser schreibt den Masterbootrecord auf der Festplatte neu. Danach kann die Festplatte über FDISK neu partitioniert werden. Starten Sie den PC danach neu.
  • Jetzt kann die Festplatte formatiert werden und danach muß das Betriebssystem und die restliche Software installiert werden. Die Daten auf Ihrer Festplatte können nicht gerettet werden. Deshalb: Immer Sicherheitskopien der wichtigen Daten erstellen.

Erste Hilfe fürs BIOS
Wird das BIOS zerstört, so ist die Heilung des PC schwieriger. Es gibt mehrere Möglichkeiten:

  • Die einfachste, aber wohl in den meisten Fällen aufgrund Hardwaremangels nicht durchzuführende Variante ist diese:
    Man benötigt ein zweites baugleiches Motherboard. Dieses wird normal hochgefahren und danach wird bei eingeschaltetem Rechner der BIOS-Chip ausgehebelt. Benutzen Sie hierzu isoliertes Werkzeug um Kurzschlüsse zu vermeiden. Setzen Sie jetzt den zerstörten BIOS-Chip in das System ein und starten eine BIOS-Update-Software (ist auf der Internetseite ihres Motherboardherstellers erhältlich). Das BIOS ist nun geheilt und kann in den alten Rechner wieder eingesetzt werden. Dieses Vorgehen funktioniert, weil der BIOS-Inhalt bei laufendem PC im RAM liegt.
  • Verfügt das BIOS über einen Flash-Baustein "Not-BIOS", so ermöglicht dies einen Minimalbetrieb. Dann kann z.B. noch auf das Diskettenlaufwerk zugegriffen werden und von dort eine funktionsfähige BIOS-Version aufgespielt werden.
  • Sind obige Möglichkeiten nicht vorhanden, so hilft nur das Einsetzen eines neuen, frischgebrannten BIOS-Chips.

Bemerkungen:
Alle gängigen Virenscanner sollten den CIH-Virus und seine Varianten erkennen. Der Virus kann problemlos auf der Festplatte nachgewiesen werden. Probleme gibt es nur bei der Beseitigung. Das Problem liegt darin, daß sich der Virus unter Windows in privilegiert Systembereiche ("Ring 0") festsetzt und dort nur schwer erkannt werden kann. Hierzu ist nicht jeder Virenscanner in der Lage. Der Virus ist erst dann von Ihrem Rechner verschwunden, wenn Sie ihn auch aus dem Speicher entfernt haben. Ansonsten nistet er sich wiederum in jede gestartete EXE-Datei ein und infiziert diese. Haben Sie einen DOS-Scanner zur Hand, so gibt es eine Lösungsmöglichkeit, wenn Sie sich nicht sicher sind, ob der Virus auch aus dem Speicher entfernt wurde. Starten Sie den Rechner im DOS-Modus, allerdings nicht unter Windows im DOS-Fenster arbeiten. Hier ist der Virus nicht aktiv und kann problemlos mit dem Virenscanner gefunden und entfernt werden.

 Zurück 
 Zur Virenübersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.