|
Plagegeister aller Art und deren Bekämpfung: Low-Level-Format-resistenter Trojaner ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.02.2003, 16:28 | #16 |
Gast | Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank[/QB]</font>[/QUOTE]@kato, dem möchte ich mich anschliessen, dein schon fast unheimliches problem lässt keine andere lösung zu. ich empfehle dir einen keylogger zu installieren der alle vorgänge an deinen pc's mit protokolliert. es gibt sehr gute kommerzielle produkte, leider kann ich jetzt keinen link posten, aber ich erinnere mich an eine seite die sich "iopus" oder so ähnlich nannte. mit google wirst du sicher fündig... |
05.02.2003, 17:16 | #17 |
| Low-Level-Format-resistenter Trojaner ? @Kato
__________________Noch eine Verständnisfrage: Die Größe der Datei, die immer wieder vorhanden ist, und die restliche Größe der Festplatte, entsprechen diese in Gigabyte dem Wert, den die Platte haben soll? Gruß T_R_G |
05.02.2003, 20:52 | #18 |
Gast | Low-Level-Format-resistenter Trojaner ? @kato:
__________________eigentlich hab ich gedacht, da du ja auch mit linux rumhantierst, dass der begriff raid klar sein müsste (und google ist schliesslich auch da )... info betreffend raid (und die verschiedenen raid-stufen): http://www.tecchannel.de/hardware/708/ warum raid in den kernel der von dir verwendeten distro reinkompiliert wurde: keine ahnung (vielleicht weil platz war *g*) wenn die distro ein rettungssystem sein soll, dann wird wahrscheinlich das ganze allgemein gehalten sein, und darum wird raid reinkompiliert worden sein... und die meldung sagt nur, dass die routine angesprungen ist (und das finished, dass sie schon abgearbeitet wurde - eben weil kein md-gerät bzw. keine raidtab gefunden wurde) [img]graemlins/teufel3.gif[/img] |
12.02.2003, 14:33 | #19 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von [TB]Lucky: Also bei einer Low-Level Formatierung, wird die gesamte Festplatte auf "urzustand" zurück gesetzt. Soll heißen alles ist weg. Komplett alles. Auch Partitionen.</font>[/QUOTE]****** Hallo und vielen Dank für Deine Nachricht. So habe ich bisher auch gedacht und so ist es wohl auch. Tatsache ist jedenfalls, daß sich trotzdem eine schon vorher vorhandene Datei, deren Entstehung mir unklar ist, sich anschließend wieder auf der Festplatte befand. Ich schließe daraus, daß sich der von mir vermutete, schädliche Code offenbar gar nicht auf der Festplatte befindet. Gruß Kato |
12.02.2003, 15:53 | #20 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von vampire: </font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank</font>[/QUOTE]@kato, dem möchte ich mich anschliessen, dein schon fast unheimliches problem lässt keine andere lösung zu. ich empfehle dir einen keylogger zu installieren der alle vorgänge an deinen pc's mit protokolliert. es gibt sehr gute kommerzielle produkte, leider kann ich jetzt keinen link posten, aber ich erinnere mich an eine seite die sich "iopus" oder so ähnlich nannte. mit google wirst du sicher fündig...[/QB]</font>[/QUOTE]************** Hallo und danke für Euren Beitrag, Für den physischen Zugriff gibt es möglicherweise einen Anhaltspunkt und ich habe auch darüber natürlich nachgedacht. Dagegen spricht, daß ich zwei meiner vier Rechner fest an einem anderen Ort betreibe, hier schließe ich einen physischen Zugriff durch andere Personen aus. Hinzu kommt, daß einer dieser Rechner völlig isoliert ist (bis auf Einsatz eigener Disketten, ausschließl. Dateikopien von meinen anderen Rechnern) und keinen Zugang zum Internet hat. Trotzdem besitzen a l l e Rechner das von mir bereits beschriebene merkwürdige Verhalten, was der Überlegung nach vielleicht wieder eher für einen Virus spricht. Völlig ausschließen kann ich den physischen Zugriff deshalb nicht, weil ich alle an verschiedene Personen/Unternehmen zur Begutachtung übergeben hatte, allerdings traten die Phänomene ja schon vorher auf. Einen Anhaltspunkt zum physischen Zugriff gibt folgender Sachverhalt: Ein von mir beauftragter Fachmann hatte auf einem (HP) meiner drei Rechner festgestellt, daß ein Teil der Festplatte per Software abgetrennt war (gestacked / gestackert ?). Durch erheblichen Aufwand hatte er die passende Software im Internet gefunden und den reservierten Teil 'freigeschaltet'. Außerdem befand sich ein Bauteil auf dem Mainboard mit einer Typenbezeichnung, für die es auf der Internetseite des Herstellers keine Referenz gab, mit anderen Worten das Teil existierte dort nicht. Nach der Säuberung der Festplatte sollte sich nach seiner Aussage nur noch eine Windows-NT Systempartition befinden mit 512 MB , die er aufgespielt hatte. Beim Start des Rechners waren allerdings etwa 532 MB o.ä. auf dem Rechner. Nach dem Löschen der Partition und Neustart erschien dann an der Eingabeaufforderung der Hinweis 'DOS 6.22'. Meine Überlegung geht in folgende Richtung: Das von mir jeweils installierte Betriebssystem, sei es ein älteres Windows oder Win XP Pro 'hängt' nach der Installation als 'Subsystem' an einem DOS oder Windows 3.1 -System. Mir gelingt es beispielweise grundsätzlich nicht, meine Rechte als Administrator (Win XP Pro) durchzusetzen (Meldungen wie 'Zugriff' verweigert oder 'überprüfen sie, ob Sie ausreichende Rechte besitzen ....' als angemeldeter Administrator). Dazu müßte sich eine solche Partition natürlich irgendwo verstecken, die Frage ist wo. Merkwürdig in diesem Zusammenhang erscheint mir, daß die Programm-Icons sich nach dem Windows-Start mit einer gewissen Verzögerung auf die darunter befindlichen (alten DOS oder Windows-Icons) 'legen'.Mir ist unklar, ob das 'normal' ist. Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ? Ich habe verschiedentlich festgestellt, daß im Hintergrund Scripte laufen, einmal wurden sogar meine Tastatureingaben, während ich auf die Tasten hämmerte, zweimal hintereinander vor meinen Augen gelöscht bzw. rückgängig gemacht. Gruß Kato |
12.02.2003, 16:11 | #21 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: @Kato Noch eine Verständnisfrage: Die Größe der Datei, die immer wieder vorhanden ist, und die restliche Größe der Festplatte, entsprechen diese in Gigabyte dem Wert, den die Platte haben soll? Gruß T_R_G</font>[/QUOTE]****** Hallo, Danke für Deine Nachfrage. Ich habe die von mir beschriebene Datei bisher nur dreimal wahrgenommen. Einmal (unbewußt) bevor ich meine Festplatten an die Firma Ontrack zwecks 'Säuberung' gesandt hatte, dann nachdem ich die HDD zurückerhalten und mir Ontrack mitgeteilt hatte, daß sich 'dubiose'Dateien auf den Festplatten befunden hätten. Nach dem Wiedereinbau einer gereinigten Platte und Neuinstallation von Win XP Pro habe ich sofort danach gesucht und diese auch direkt gefunden (Dateigröße knapp unter 2 GB). Seit einem Neustart des Rechners habe ich diese Datei auf diesem Computer seitdem nicht mehr auffinden können.Gesamt-HDD-Kapazität: 40 GB. Auf einem zweiten Rechner habe ich eine völlig neue Festplatte eingebaut, Win XP Pro aufgespielt und die besagte Datei jetzt nach mehreren Wochen Suche dort entdeckt, Dateigröße hier allerdings ca.19 MB.Gesamt-HDD-Kapazität: 80 GB. Gruß Kato |
12.02.2003, 16:23 | #22 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ?</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred
__________________ Mail-Header verstehen ~~~~~~~~~~~~~~ Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid) |
12.02.2003, 19:38 | #23 |
| Low-Level-Format-resistenter Trojaner ? Ich hatte an dieses Tool gedacht, auf das ich zufällig gestoßen bin: http://www.giga.de/dbout/reporter5/f...es/nr8746.html Ich habe mit diesem Tool keine Erfahrung, kennt sich zufällig jemand damit aus? Gruß T_R_G |
12.02.2003, 23:06 | #24 |
| Low-Level-Format-resistenter Trojaner ? Nochmal zum Mitdenken: 1. Eine tatsächlich lowlevel formatierte Festplatte ist definitiv leer. Ganz leer!!! 2. Alles, was auf eine solche Festplatte raufgebracht wird, kommt von außen. 3. Alles, was von außen kommt, ist prinzipiell fakultativ gefährlich. Folglich sind entsprechende Vorsichtsmaßnahmen zu treffen: Überwachung der installierten Programme + Überwachung des Zugangs zu den IT-Anlagen. Ich tippe nach wie vor auf einen Fremdzugriff durch Dritte. Vorschlag: Setze das System neu auf. Wenn alles läuft, klemme die CD/DVD-Laufwerke und das Disketten-Laufwerk ab, ggf. für USB entsprechend, und mache eine Kennzeichnung an das Gehäuse, das Dir einen Fremdeingriff anzeigt. Passiert dann nichts mehr, hat sich der Verdacht bestätigt. Dann benötigst Du ein Zugriffsüberwachungstool. Da musst Du bitte im WEB selbst suchen, da ich solche Tools nicht bewerben möchte. Achja: check bitte sorgfältigst Deine Installationsdisketten/-CDs!! Gruß! MyTHinkTank
__________________ MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB) |
20.02.2003, 17:21 | #25 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Mysteria: Eigentlich ist mir das hier alles zu hoch hier , aber könnte es sein das sich da jemand vielleicht einen Tunnel oder dergleichen zu ihm gebaut hat (nur mal so theoretisch)... Gruss [img]smile.gif[/img] </font>[/QUOTE]Hallo und vielen Dank für Deine Information, Offen gesagt habe ich im ersten Moment gelacht, was ich bei diesem Thema leider etwas verlernt habe.Ich habe Deine Mail zunächst wörtlich genommen. Dann ist mir aber eingefallen, was Du vielleicht meinst.Und das ist auch ein Eindruck, den ich bei diesen ganzen Vorkommnissen auf meinen Rechnern nach und nach gewonnen habe: Daß nämlich scheinbar die von mir installierte Software-Firewall keinen wirksamen Schutz gebracht hat, und möglicherweise daran vorbei Zugriff auf meine Internet-Rechner genommen wurde. Ich habe, da ich mich mit der Problematik nach und nach immer mehr beschäftigt habe, über Virtuelle Private Netzwerke (VPN) gelesen. Ich vermute, daß Du hieran oder an etwas Ähnliches gedacht hast. Ich meine allerdings, daß das Wissen hierum, wenn es denn einen solchen Tunnel gäbe, wahrscheinlich bei der Problemlösung und beim Kernproblem nicht sehr viel weiterhelfen wird. Und das lautet für mich, wenn ich das noch einmal in Erinnerung rufen darf: Wie gelangt schädlicher Code trotz HDD-Formatierung immer wieder auf die Festplatte (Infektion durch infizierte Wechselmedien, andere Netzwerkverbindungen etc. auszuschließen)? Ich finde es gut, wenn man bei Problemen auch mal abseits des Wahrscheinlichen denkt, danke für Deine Unterstützung. Gruß Kato |
20.02.2003, 17:34 | #26 |
Gast | Low-Level-Format-resistenter Trojaner ? @kato: wer _oder_ was sagt dir, dass schädlicher code vorhanden sei? ich spreche hier nicht von einer linux-cd (denn selbst die kann das nicht), sondern von virenscannern/trojanerscannern... [img]graemlins/teufel3.gif[/img] |
20.02.2003, 18:21 | #27 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: @Cato: Ich kann jetzt nicht den ganzen Thread abarbeiten, aber für ein paar Infos reicht es: 1. Nach einer sog. low-level-Formatierung befinden sich auf einer Festplatte definitiv keine Schadroutinen mehr. In der Regel lassen sich aber neuere Festplatten nur vom Hersteller in dieser Weise formatieren. Mehr Infos hier. 2. Schadroutinen wie z. B. Viren, RATs, Trojaner usw. können sich nicht in Hardware verstecken, außer die Hardware ist speziell dafür vorgesehen. Einfacher gesagt: Wenn Du in einen PC eine neue und leere Festplatte einbaust (und keine andere Festplatte vorhanden ist), gibt es drei Möglichkeiten, wie schädliche Programme auf Deinen PC kommen: Nummer 1: Bei der Software, die Du installierst, hat sich ein solches Programm verborgen. Wenn Du nur Original-CDs verwendest, ist das eher unwahrscheinlich. Nummer 2: Die Schadroutine wird über das Netzwerk übertragen; das kann sowohl via LAN sein (von einem schon eingerichteten PC) als auch via Internet (wenn Du auf eine bestimmte Site/Mail zugreifst. Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Ansonsten kann diverses Fehlverhalten auch darauf zurückzuführen sein, dass irgendwelche Hardware mit irgendwelcher Software nicht harmoniert, insbesondere ISDN- und Telefonieprogramme sind da eine Quelle von Ärgernissen. Lass Dich nicht verrückt machen, gehe die Sache systematisch an und führe am besten ein Protokoll, was Du jeweils ausprobiert hast. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank</font>[/QUOTE]**************** Hallo, Danke für Deine Information. Nr.3 Deiner Aufstellung habe ich auch als nicht unmöglich in Betracht gezogen, das würde allerdings bei mir bedeuten, daß jemand während meiner Abwesenheit in meine Wohnung eingedrungen wäre und den Rechner manipuliert hat. Ich bin die einzige Person mit physischem Zugang zu den Rechnern (Ausnahme: durchgeführter Computerservice, aber Problematik bestand da ja schon). Gründe, zu vermuten, ich hätte wichtige Informationen auf meinem Computer gäbe es zwar, aber so etwas würde ich nicht in meiner Wohnung, geschweige denn auf einem Computer aufbewahren. Diese Variante ist momentan die Unwahrscheinlichste für mich, wahrscheinlicher scheint mir ein noch unerklärlicher Internetangriff. Ich kann noch anfügen, daß ich in den vergangenen Tagen meine 4 Einzelplatzrechner mit dem Programm 'CD-Bremse' geprüft habe. Hiermit lassen sich auch die CD-Laufwerksdaten und Firmware-Informationen auslesen. Ich habe auf allen Rechnern einen Eintrag unter 'Inquiry' gefunden namens 'AAAAAAAAAA...' (geschätzt 100 Zeichen), dessen Bedeutung mir zweifelhaft erscheint und möglicherweise eine Verbindung zu der von mir auf der Festplatte festgestellten Datei gleichen Namens darstellt. Diese Datei werde ich kommende Woche an das Virus Test Center senden. Da einer meiner Rechner auch über die beschriebenen Phänomene, aber nicht über einen Internetzugang verfügt, spricht einiges auch für ein Virus. Ich könnte mir vorstellen, daß Du oder auch ein anderer Leser das Programm 'CD-Bremse'kennt (www.cd-bremse.de). Falls es jemand installiert hat, würde ich mich freuen, wenn diese Person einmal überprüfen könnte, ob sich solch ein Eintrag auch in den Laufwerken seines/r Rechner befindet und sich somit möglicherweise eine harmlose Erklärung für diesen Eintrag finden läßt. Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'. Ich würde mich freuen, wenn jemand eine Rückmeldung geben könnte. Vielen Dank für Deine Unterstützung. Gruß Kato |
20.02.2003, 18:40 | #28 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'.</font>[/QUOTE]Ich hab mir das Programm jetzt mal runtergeladen, aber konnte nirgends ein Protokoll davon finden. ciao
__________________ Mail-Header verstehen ~~~~~~~~~~~~~~ Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid) |
20.02.2003, 18:41 | #29 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ?</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred ******* Hallo, Danke für Deinen Tip, ich werde zunächst die Analyse der von mir verdächtigten Datei abwarten, und dann gerne Deinen Hinweis aufnehmen. Gruß Kato |
20.02.2003, 18:59 | #30 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'.</font>[/QUOTE]Ich hab mir das Programm jetzt mal runtergeladen, aber konnte nirgends ein Protokoll davon finden. ciao</font>[/QUOTE]********* Hallo, das ist nett, daß Du dir die Mühe gemacht hast. Ich hätte das etwas näher beschreiben sollen. Nach der Installation und Start des Programms setzt sich dieses in's Tray, Programmicon dort durch rechte oder linke (?) Maustaste Menü aktivieren und 'Laufwerksinfo' anklicken, es erscheint anschl. ein Fenster, welches mit 'Start' das Protokoll aufzeichnet, welches sich auch speichern läßt. Gruß Kato P.S. Ich werde spätestens am Montag auf noch nicht von mir beantwortete Mails reagieren. |
Themen zu Low-Level-Format-resistenter Trojaner ? |
amd, beenden, boot-cd, booten, cd-rom, code, codes, computern, dateien, email, email-client, festplatte, firewall, frage, gelöscht, gigabyte, handel, hintergrund, hängen, immer wieder, mehrere, modem, nicht mehr, passwort, problem, programme, ram, recovery, schreibfehler, tiere, trojaner, verdacht, warum, win xp, windows |