Robotrontechnik-Forum
Registrieren || Einloggen || Hilfe/FAQ || Suche || Mitglieder || Home || Statistik || Kalender || Admins Willkommen Gast! RSS

Robotrontechnik-Forum » Sonstiges » DOS-Virus: ONE_HALF.3544 entdeckt !!! » Themenansicht

Autor Thread - Seiten: -1-
000
12.06.2012, 12:06 Uhr
ADDERLY



 Habe leider gestern Abend noch eine Schrecksekunde gehabt:
Mir ist zufaellig die F-PROT Anti-Viren-Bootdiskette von 1998 in die Haende gefallen.
Hab die dann mal eingelegt, und nach dem Boot kam gleich die Meldung:
Virus Variante#3544 HALF_ONE resident in Memory found !.
Toll, dachte ich, gleich bei www.Symantec.com in der Virenliste gestoebert,
Ich kann nur sagen ein boeses Ding.
Der Virus ist einer der vergessenen Arten, die mitte der 90-er aufgetaucht sind, moeglicherweise den Ursprung in Oesterreich haben.
Er befaellt den MBR der FAT16 Partition von HD's und FAT12 der Disketten, belegt dann dort 404 Byte und befaellt so ziemlich alle .COM und .EXE Dateien die er kriegen kann, zu mindest alle die ausgefuehrt werden.
Leider hab ich den moeglicherweise schon laenger auf Disketten hin und her geschoben, dabei auch auf die robotron Rechner A7150 und EC 1834 uebertragen.
Hauptsaechlich alle Disketten Archive sind betroffen und mein Kopierrechner mit dem ich Programme von 1.44 Floppy auf 5.25" Disk kopiere.
Ein 386 der mit FAT16 laeuft.
So weit ich das gelesen habe, befaellt er nur Festplatten unterhalb 2GB, wegen der Partitionsgroaesse.
FAT32 und NTFS (Non DOS) mag er nicht, da er die Bereiche nicht schreiben kann, so wie ich das gelesen habe.
Das gemeine er verschluesselt nach und nach die Festplatten und Disketten, sobald er das geschafft hat,(Kann sogar mehrere Monate Dauern) abhaengig wie oft ein Rechner gebootet wird, Erscheint kurz vor dem Boot die Meldung:
"Did is One_Half.."
"...press any Key..." oder so aehnlich, dann wirds gemein, viel Spass beim wiederherstellen.
Ladet euch mal die alte DOS Version von F-PROT aus dem Netz und checkt das mal...
Ich kann jetzt nach und nach wieder mal seit Jahren, alle Rechner und Disketten ueberpruefen, mit anderen Worten "Arsch-Karte", Sorry.
DCP ist auch betroffen.
So ein Mist.
--
Gruss Frank

"Lieber Gott,: Bitte schmeiss Hirn vom Himmel; ...oder Steine, Hauptsache Du triffst Jemanden !..."
...und 'ne Tuete Schweineohr'n
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
001
12.06.2012, 22:14 Uhr
Alex



 Was ich mir bereits einmal vor einiger Zeit überlegt habe, ist, ob solche Vieren noch von einem aktuellen Virenscanner erkannt würden*
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
002
12.06.2012, 22:49 Uhr
ADDERLY



 Soweit ich das testen konnte ,Ja.
Antivir auf jeden Fall. F-Prot/DOS/Windows, geht,
Norton Antivirus, auch.
Noch ne schoene Sache auf meinen alten IBM: Parity_BooT_B Virus.
Macht nach einiger Zeit waehrend des Betriebes oben die Meldung im CGA Text ModusLinks oben am Bildschirmrand)
PARITY CHECK
Ist aber kein Fehler des Speichers, sondern eine nette Nachricht vom Virus, der sich auch im MBR versteckt hat., und alle nett Gruesst :-(
sauerei,
Konnte aber entfernt werden.
In manchen Faellen ist aber die HD nicht mehr Bootbar.(Nach dem Entfernen)
--
Gruss Frank

"Lieber Gott,: Bitte schmeiss Hirn vom Himmel; ...oder Steine, Hauptsache Du triffst Jemanden !..."
...und 'ne Tuete Schweineohr'n
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
003
12.06.2012, 23:20 Uhr
Xaar

Avatar von Xaar

Ich habe auch erst kürzlich die Begegnung mit einem Virus auf meinem Soemtron machen dürfen. Leider wird das F-Prot ja nicht mehr aktualisiert, aber immerhin kanns recht gut mit den alten DOS-Viren umgehen. Auf meinem 486er, den ich als Disketten-Schreiberling nutze (MS-DOS 6.20 und Windows für Workgroups 3.11) warn auch zwei Dateien mit einem Alten bekannten von mir (Kaczor.B Dropper) infiziert, aber glücklicherweise nicht mehr. Den Virus hat auch mein Norton 2012 erkannt (durch das bin ich auch erst auf die Idee mit dem F-Prot-Scan gekommen).

Den Parity Boot hat das Norton auch bei einer infizierten Boot-Diskette erkannt und konnte ihn entfernen.
--
Keyes: Mit Ihrer Handlungsweise riskieren Sie den Untergang der gesamten Menschheit!
Sline: Um den "American way of life" zu erhalten, will ich sehr gerne dieses Risikio auf mich nehmen.
(Aus: Spione wie wir)
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
004
12.06.2012, 23:34 Uhr
ADDERLY



 Ja,
Die letzte F-Prot Version die ich habe ist Version 3.16F fuer DOS
Lt Datum 2006 Aktualisiert.
Kleines Manko:
Man muss bevor man das Programm startet das Systemdatum auf 10-01-2006 stellen.
Ansonsten startet es nicht, wegen der Aktualisierungsaufforderung.
Die VIRUS.DEF Datei ist 5 MB gross, also stark erweitert, im Vergleich zur alten mit knapp 600KB.
--
Gruss Frank

"Lieber Gott,: Bitte schmeiss Hirn vom Himmel; ...oder Steine, Hauptsache Du triffst Jemanden !..."
...und 'ne Tuete Schweineohr'n
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
005
12.06.2012, 23:38 Uhr
Xaar

Avatar von Xaar

Probiers mal mit:

F-PROT /OLD

;D Hab ich aber auch erst durch den Link von einem Bekannten erfahren:

https://forum.f-prot.com/index.php?topic=1901.0
--
Keyes: Mit Ihrer Handlungsweise riskieren Sie den Untergang der gesamten Menschheit!
Sline: Um den "American way of life" zu erhalten, will ich sehr gerne dieses Risikio auf mich nehmen.
(Aus: Spione wie wir)
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
006
13.06.2012, 17:26 Uhr
ADDERLY



 Aha,
Danke Xaar fuer die Info,
Switch /OLD,
Klar macht alles einfacher.
...man lernt doch nie aus.
--
Gruss Frank

"Lieber Gott,: Bitte schmeiss Hirn vom Himmel; ...oder Steine, Hauptsache Du triffst Jemanden !..."
...und 'ne Tuete Schweineohr'n
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
Seiten: -1-     [ Sonstiges ]  



Robotrontechnik-Forum

powered by ThWboard 3 Beta 2.84-php5
© by Paul Baecher & Felix Gonschorek