Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Trojaner KillCMOS

oldie5 / 12 Antworten / Baumansicht Nickles

Hallo und schönen guten Morgen,
trotz Router, Windows Firewall und ständig laufendem AVAST habe ich
zufällig beim Experemtieren mit Bart PE und ClamVir die Meldung bekommen, "pagefile.sys Troj.KillCMOS", mir also wohl so ein Ding eingefangen habe.
Nach Neustart von XP und einem Scan mit AVAST, läuft AVAST ohne Fehlermeldung durch.

Was nun ? Habe ich eine Trojaner oder nicht ? Und vor allen Dingen wie werde ich ihn wieder los ?

Freue mich über jede Hilfe.

Schönen Tag noch - oldie5

bei Antwort benachrichtigen
fbe oldie5 „Trojaner KillCMOS“
Optionen

http://www.hijackthis.de/de
http://www.safer-networking.org/
Nach format neu installieren.
fbe

bei Antwort benachrichtigen
oldie5 fbe „Trojaner KillCMOS“
Optionen

Hallo, vielen Dank für die schnelle Antwort. Habe aber dazu noch eine Frage.

Besitze ein Norton Ghost Image des Systems vom 1.Januar. Würde es Sinn machen, dieses ersteinmal vor einer
Neuinstallation zurückzuspielen ? Und müßte auch in diesem Falle die Systemplatte neu formatiert werden.
Wäre vielleicht weniger aufwändig als eine komplette Neuisntallation mit allen Programmen.

Schon mal vielen Dank
oldie5

bei Antwort benachrichtigen
Max Payne oldie5 „Hallo, vielen Dank für die schnelle Antwort. Habe aber dazu noch eine Frage....“
Optionen

Klar - ein Image zurückzuspielen ist immer schneller als eine Neuinstallation. Alle Änderungen, die nach Erstellung des Images vorgenommen wurden sind natürlich futsch, daher ggf. neue bzw. geänderte Dokumente, Mails und Bookmarks vor der Wiederherstellung des Images sichern.

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Zupfi oldie5 „Trojaner KillCMOS“
Optionen

Hallo

Lies mal hier

http://bios-info.de/download/dlprgs.htm

Mit der Suchfunktion KILLCMOS.EXE oder COM suchen, und löschen.

Gruß
Zupfi

bei Antwort benachrichtigen
holger47 oldie5 „Trojaner KillCMOS“
Optionen

Die Kollegen schießen mal wieder mit Kanonen auf Spatzen. Der Trojaner KillCMOS überschreibt, wieder Name schon andeutet, unter Umständen Bereiche deines COMS-Speichers. Das ist der Bereich, in dem relevante Daten, die für das BIOS essentiell sind, gespeichert werden. Also Datum, Uhrzeit, Bootreihenfolge, installierte Laufwerke usw. Diese Daten sind für jeden, der lesen und schreiben kann problemlos wieder herzustellen, und danach läuft der PC auch wieder.

Dieses Schadprogramm ist aber schon so alt, das selbst völlig veraltete Virenscanner dieses Programm erkennen und beseitigen können.

Dein Scanner ClamVir ist übrigens einer der schlechtesten auf dem Markt und beweist die Gültigkeit der Aussage: Was nix kostet, taugt auch nix. Schlechte Scanner sind nicht nur deswegen schlecht, weil sie eine niedrige Erkennungsrate haben, sondern weil gerne ein Fehlalarm ausgegeben wird. Letztlich erst geschehen bei dem auch kostenlosen Avira (http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/87638&words=Avira&T=avira). Jetzt stell dir mal vor, du hättest auf irgendwelche angeblichen Experten gehört, alles neu aufgesetzt - und völlig umsonst.

Nachdem du offenbar mit einem zweiten, etwas besseren Scanner, geprüft hast, und der nichts gefunden hat, würde ich mal von einem Fehlalarm ausgehen. Ansonsten hättest du schon etwas gemerkt. Wenn du ganz sicher gehen willst: Viele Hersteller von Antiviren-Software bieten einen kostenlosen Onlinescan an, so zum Beispiel Mcaffee und Trendmicro

bei Antwort benachrichtigen
GarfTermy holger47 „Die Kollegen schießen mal wieder mit Kanonen auf Spatzen. Der Trojaner KillCMOS...“
Optionen

"...Dein Scanner ClamVir ist übrigens einer der schlechtesten auf dem Markt und beweist die Gültigkeit der Aussage: Was nix kostet, taugt auch nix...."

holger - deine behauptung stützt sich auf welchen beweis?

"...Jetzt stell dir mal vor, du hättest auf irgendwelche angeblichen Experten gehört, alles neu aufgesetzt - und völlig umsonst...."

ja was hätte er denn da als ergebnis erzielt?

ein definitiv sauberes system.

was daran schlecht ist vermag ich nicht zu erkennen. denn im zweifel ist genau das der richtige weg.

"...Nachdem du offenbar mit einem zweiten, etwas besseren Scanner, geprüft hast..."

holger - auch dir sollte bekannt sein, dass man dem ergebnis eines virenscanners auf einem kompromittierten rechner nicht vertrauen kann. von diesem standpunkt aus ist deine aussage - sorry - technischer schwachsinn.

"...Wenn du ganz sicher gehen willst: Viele Hersteller von Antiviren-Software bieten einen kostenlosen Onlinescan an, so zum Beispiel Mcaffee und Trendmicro ..."

...und wenn die im zweifel einen - theoretisch - ganz neuen virus mangels geeigneter definition nicht erkennen? dann würdest du jetzt entwarnung geben und der kollege würde mit einer netten wurmschleuder durchs netz surfen.

holger - ich sehe die logik in deiner aussage nicht.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
ausgekotzt holger47 „Die Kollegen schießen mal wieder mit Kanonen auf Spatzen. Der Trojaner KillCMOS...“
Optionen

"Der Trojaner KillCMOS überschreibt, wieder Name schon andeutet, unter Umständen Bereiche deines COMS-Speichers. Das ist der Bereich, in dem relevante Daten, die für das BIOS essentiell sind, gespeichert werden. Also Datum, Uhrzeit, Bootreihenfolge, installierte Laufwerke usw. "

ja, das ist nen gaaanz fieser, der druckt sich nachts selber aus, öffnet deinen rechner und klaut dir die cmos batterie!
es gibt auch schon ne ganz fiese neue version die klaut dir gleich den ganzen baustein und versteckt ihn hinterm schrank!


aber das die kollegen hier mit kanonen auf spatze schiessen stimmt.
lieber nur die .exe löschen damit die .dll in ruhe weitere viren aus dem internet nachladen kann!
dann hat man endlich einen voll ausgelasteten pc der den ganzen tag viren lädt und für irgendeinen hacker den bot spielt.
stimmt doch holli?

holli findet nämlich das dass besser ist als den prozessor mit seinen plöden 64bit nur so vor sich hin dümpeln zu lassen, denn vista, win xp 64, und alle linux distris die unter 64 bit laufen sind in wirklichkeit sachen die wir alle nicht brauchen, uns aber untergejubelt werden, weil die illuminaten in den zusätzlichen ram den wir dann beutzen können eine "gedankenaussaugschnittstelle" einbauen um uns als futter für die delphine zu benutzen.
holli weiß das alles!

und bitte großer holger, bleib friedlich. du weißt, wir müssen den pazifismus mit waffengewalt durchsetzen!

bei Antwort benachrichtigen
Max Payne ausgekotzt „holger 47 for president! lang lebe unser großmeister holger!“
Optionen
The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
oldie5 Max Payne „OT: Wieso "großmeister" und nicht "grossadministrator"? (k.w.T)“
Optionen

Hallo,
möchte ich mich hier stellvertretend für die vielen Beiträge bei Euch bedanken und das Erfreuliche ist, das KILLCMOS unauffindbar von meinem Rechner verschwunden zu sein scheint.
Wahrscheinlich hat holger47 recht, daß CLAMWIN einen Fehlalarm ausgelöst hat. Eine Prüfung mit AVAST (kostet zwar auch nix, ist aber so schlecht scheinbar nicht) brachte auf dem System keine Fehlermeldung.

Habe dann den Onlinetest mit Sysmantec gestartet. Auch deren Scanner fand weder einen Virus noch einen Trojaner und der Sicherheitstest sagte mir, daß das System sicher (was immer auch darunter zu verstehen ist ) sei bis auf PORT 21, den ich schließen sollte (wie schließt man einen PORT ?)

Nochmals vielen Dank. Alle Vorschläge hatten etwas für sich, wie die Neuinstallation mit dem verbundenen Aufwand, dem dafür dann aber sauberen System. So war es aber am wenigsten zeitaufwändig und ich hoffe, Symantec hat mich nicht belogen und KILLCMOS wirklich garnicht vorhanden war oder ist.

Verwundert hat mich schon die teilweise Emotionalität der Diskussion, ist aber vielleicht das Salz in der Suppe.
Mit besten Grüßen
oldie5

bei Antwort benachrichtigen
xafford oldie5 „Hallo, möchte ich mich hier stellvertretend für die vielen Beiträge bei Euch...“
Optionen
der Sicherheitstest sagte mir, daß das System sicher (was immer auch darunter zu verstehen ist ) sei bis auf PORT 21, den ich schließen sollte

Ahja... sicher... Mal als kleiner Hinweis: Anscheinend läuft auf deinem System ein FTP-Server. Falls Du den nicht selbst bewusst eingerichtet hast, wovon ich mal nicht ausgehe anhand deines Postings, ist dein System wirklich sicher.. nämlich ganz sicher nicht als sicher zu bezeichnen aus welchem Grund auch immer.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
GarfTermy oldie5 „Hallo, möchte ich mich hier stellvertretend für die vielen Beiträge bei Euch...“
Optionen

"...Wahrscheinlich hat holger47 recht, ..."

hast du das aus der berühmten kristallkugel, oder aus´m kaffeesatz?

dein system ist nicht sicher.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
winnigorny1 GarfTermy „ ...Wahrscheinlich hat holger47 recht, ... hast du das aus der berühmten...“
Optionen

Lustig hier!

Gibt halt immer Leutz, die meinen, dass man nen kompromittierten Rechner wieder problemlos sauber kriegt. Was soll der Geiz, wenn ein Image vorliegt, zurückspielen und die Tüte ist dicht. - Ganz sicher ist der betroffene Rechner ein Bot und ne Viren-Schleuder! Der Mist ist einfach, dass davon nicht nur die Leute betroffen sind, die so nen Rechner weiter fahren, sondern dass die den Mist eben weiter verbreiten. Das nenne ich verantwortungslos.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen