|
Plagegeister aller Art und deren Bekämpfung: Low-Level-Format-resistenter Trojaner ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.03.2003, 17:44 | #46 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von vampire: ja, das smiley soll confused bedeuten... warum wundert dich das? das von dir geschilderte problem ist nicht nur einfach confused sondern aus meiner sicht völlig absurd..!!! firmware ist in einen chip gebrannte software und das brennen der software geschieht selbstverständlich maschinell. das heisst alle chips einer serie sind völlig identisch. wie kommst du auf die idee, daß sich da ein virus einschleichen könnte...????? in einen einzelnen chip...???? deine eingangs geäusserte vermutung mit dem trojaner kann man auch ausschliessen. ich beschäftige mich sehr viel mit trojanern und lass dir von mir versichern, es gibt keinen mit dem man mal eben einen virus in ein eprom brennen könnte. fremdzugriff durch einen dritten schliesst du auch aus weil deine wohnung sehr gut gesichert ist. trotzdem befindet sich eine gigabyte grosse datei( nach einer lowlevel formatierung) auf deiner platte...??? jetzt sei mal ehrlich, was soll man davon halten...? welchen schluss soll man ziehen..??</font>[/QUOTE]******** Hallo, danke für Deine Antwort. Ich schließe grundsätzlich nichts aus, es gibt sogar Gründe, die mich darüber spekulieren lassen könnten, ob sich jemand in meiner Abwesenheit an meinen Rechnern zu schaffen gemacht, sprich Hardware ausgetauscht hat, wieso also nicht auch die Firmware. Wenn ich die gebrannte Software aktualisieren kann (Update), kann ich zuvor auch die Software neu schreiben oder verändern, bevor ich sie brenne bzw. die alte überschreibe(zumindest in meiner Überlegung). Es mag vielleicht Gründe geben, die dem entgegenstehen und die ich nicht kenne, aber Du kannst nicht sagen, meine Überlegung ist absurd. Absurd sind Dinge, die sich dem gemeinhin als 'gesunden Menschenverstand' bezeichneten Urteil entziehen und, bei nüchterner Betrachtung, als von der überwiegenden Mehrheit der Urteilenden als abwegig empfunden wird.So jedenfalls meine Definition. Das bedeutet aber noch längst nicht, daß eine Minderheitsmeinung falsch sein muß, auch wenn sie das - wahrscheinlich oder nicht - in diesem Fall vielleicht ist. Ich glaube auch gerne, daß Du dich gut mit Trojanern auskennst, entsprechende Erfahrung hast, und auch andere Leute kennst, die dies mit Dir teilen. Du schreibst 'es gibt keinen (Trojaner) den man mal eben in ein Eprom brennen könnte'. Hier würde ich aus meiner Sicht sagen, es gibt keinen den D u kennst, und das meine ich überhaupt nicht böse, etwa in der Absicht, dein Wissen in Frage zu stellen. Vielleicht geht es technisch nicht oder momentan nicht, vielleicht aber auf einem Umweg, wer weiß. Vielleicht benutzt eine Person, die einen Weg entwickelt hat, dieses Wissen für bestimmte Zwecke und teilt es nicht mit Anderen ? Das mag wenig Wahrscheinlich sein, unmöglich scheint es mir aber auch nicht. Tatsache ist: Ich habe die Festplatte von der Firma Ontrack säubern lassen und diese haben mir schriftlich bestätigt, daß a) dubiose Dateien gefunden wurden, bei denen es sich möglicherweise um schädlichen Code handelt b) die Festplatte in einem jungfräulichen Zustand an mich zurückgegeben wurde. Und als letztes: nach Wiedereinbau dieser Festplatte und anschließendem Aufspielen von Windows XP Pro (Original Kauf-CD) ohne sonstige Software und andere (Netzwerk)-verbindungen zeigte ein erster Suchlauf mit Windows diese Datei (knapp 2 GByte) an, später war sie für lange Zeit nicht wieder auffindbar. Diese Datei mit dem Namen 'aaaa...' war bereits vor Einsendung an Ontrack auf der Festplatte vorhanden. Die Säuberung der Festplatte wurde mit dem Werkzeug 'Data Eraser' durchgeführt, ich nehme an, es handelt sich dabei um einen Disk-Editor. Ich habe Vertrauen in die durchgeführte Arbeit, zur Überprüfung fehlten mir die Möglichkeiten. Soweit die Fakten. Die Low-Level-Formatierung hatte ich bereits geraume Zeit vor Einsendung der Festplatte durchgeführt. Diese wurde ohne Fehlermeldung abgeschlossen, da ich aber keinerlei Erfahrung hiermit besitze, ist es auch möglich, daß ich Fehler gemacht habe. Ich habe mich an dieses Forum gewandt, um bei der Lösung meines Problems weiterzukommen, ich will mich auch keinesfalls auf die Idee mit der Firmware versteifen und sich ausweitende Abhandlungen schreiben.Das war nur ein Gesichtspunkt. Mir jedenfalls scheint, daß das Problem außerhalb der Festplatte zu suchen ist. Meine Absicht war, ausgehend von dem oben beschriebenen tatsächlichen Sachverhalt Anregungen zu erhalten, in welcher Richtung ein sachverständiger Techniker suchen müßte, um das Problem zu beseitigen. Die von mir ziemlich ausführlich beschriebenen Vorgänge auf meinen Rechnern lassen sich möglicherweise in der Abfolge meiner Beiträge schwer nachvollziehen, vielleicht ließt sich auch meine Beschreibung konfus. Das Problem als solches aber besteht, da habe ich keinen Zweifel. Du mußt meine Ansicht auch nicht teilen, aber respektieren wäre schön. Letzendlich ist das doch der Sinn eines Forums, so sehe ich es jedenfalls. Wenn jemand meint, ich hätte eine fixe Idee oder bin dabei, eine zu entwickeln, steht jedem ein Kommentar zu. Ob man den damit verbinden muß, daß Urteilsvermögen des Hilfe suchenden in Zweifel zu stellen ist aber eine andere Frage. Wenn es tatsächlich so sein sollte, daß sich mal jemand 'verrannt' hat,erübrigt sich das 'Problem' meiner Ansicht nach letzlich ohnehin dadurch, daß die Leser das Interesse verlieren und keine Kommentare mehr schicken. Gruß Kato P.S.: Ich habe gestern einen Virenscanner namens 'Kaspersky Lite', der einer Computerzeitschrift beilag, unter Windows 98 SE installiert, dieser zeigte mir jetzt zum ersten Mal im Log zwischen 7-28 'infizierte Objekte an'. Die Anzeige läßt sich durch wiederholte Scans an verschiedenen Tagen reproduzieren, ein Reparaturversuch des Scanners endet erfolglos ohne Rückmeldung. |
07.03.2003, 19:34 | #47 |
| Low-Level-Format-resistenter Trojaner ? @Kato:
__________________Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra
__________________ |
07.03.2003, 19:46 | #48 |
| Low-Level-Format-resistenter Trojaner ? Also du sagtest dass diese 2GB-Datei erst da war, es sich vielleicht um schädlichen Code handle (so der Sachverständige) und nach kurzer Zeit nicht auffindbar sei. Dazu mal ein paar Fragen:
__________________1. Wie ist man darauf gekommen, dass es schädlicher Code sein könnte? Angenommen es ist keiner (würde ich ausschließen, weil was sollen 2GB schädlicher Code?) => 2. Die Beizeichnung kommt mir ein wenig spanisch vor. Könnte es irgendwas mit elektromagnetischen Feldern oder so zutun haben? Viele a-Buchstaben hintereinander, das könnte dadurch entstanden sein, dass (durch zufall vielleicht) irgendwelche Stromimpulse ausgelöst wurden (die vielleicht gebunden an genau diese eine Festplatte sind). Da dise einen bestimten Takt oder eine bestimmte Frequenz haben, entsteht so ein langer Dateiname mit immer dem selben Buchstaben und die Datei wird entsprechend gefüllt? 3. Könnte es sich irgendwie, in irgendeinster weise um eine Auslagerungsdatei handeln (wie die auch immer zustandegekommen sein mag? Ich persönlich sehe in 2. die Ursache für das Problem am ehesten. Wir haben heute in der Schule Speichermedien behandelt, und soweit ich weis handelt es sich bei Festplatten um magnetische. Könnte also passen, oder??? ciao [ 07. März 2003, 19:48: Beitrag editiert von: CyberFred ]
__________________ |
07.03.2003, 20:39 | #49 |
| Low-Level-Format-resistenter Trojaner ? Gar nicht dumm, der Gedanke. Schaun wir mal: Das Magnetfeld, um ein Bit auf einer Festplatte zu schalten, beträgt etwa 1 mT. Wenn ich mich recht erinnere, beträgt die magnetische Feldstärke eines stromdurchflossenen Drahts bei der Stromstärke I im Abstand r B = µ*I/(2 pi r), wobei µ = 4*pi*1e-7 Tm/A die magnetische Permeabilität ist. Um 1 mT zu erreichen, benötigt man also entweder 0.5 A im Abstand von 1 mm, oder 500 A im Abstand von 1 m, oder 500 000 A im Abstand von 1 km. Deiner Theorie gemäß hat also Kato bei all seinen betroffenen Rechnern ein USB-Kabel quer über die Harddisc gezogen (was möglich ist), oder alle seine Rechner an einer Wand mit einem Starkstromkabel stehen (was auch möglich ist), oder in seiner Nähe steht eine Basisstation für Alien-Handys (was zumindest nicht unmöglich ist). In jedem Fall würde ein solches Kabel die Harddisc komplett mit sinnfreien Daten "beschreiben". Mit einem Permanentmagneten kann man diesen Versuch leicht nachvollziehen (NICHT an den Monitor halten!) Cobra |
07.03.2003, 20:46 | #50 |
Gast | Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Und als letztes: nach Wiedereinbau dieser Festplatte und anschließendem Aufspielen von Windows XP Pro (Original Kauf-CD) ohne sonstige Software und andere (Netzwerk)-verbindungen zeigte ein erster Suchlauf mit Windows diese Datei (knapp 2 GByte) an, später war sie für lange zeit nicht wieder auffindbar [/QB]</font>[/QUOTE]genau solche schilderungen irritieren doch sehr stark... musst du zugeben. 2 gigabyte grosse dateien verschwinden nicht einfach nach lust und laune...!!! ich kann mir vorstellen, daß bei der installation von WinXP einer beliebigen .tmp datei ein bit geknickt wird und sie nun ihr eigenleben führt. sie wächst, indem sie aaa's auf die platte schreibt, zu gigabyte grösse an. mit viel fantasie und gutem willen will ich auch noch akzeptieren, daß die installation trotzdem erfolgreich verläuft und du diese datei nun findest. das ist schon sehr heftig, aber ok, mit gutem willen...!! was ich nicht mehr akzeptieren kann ist, daß die datei sich nun wieder verflüchtigt um dann wochen später wieder aufzutauchen. das ganze selbstverständlich ohne den alltagsbetrieb deines rechners/netzes zu stören... eine vernünftige, mit den üblichen methoden herzustellende lösung deines problems sehe ich nicht. irgendein physikalisches phänomen elkromagnetischer natur, wie von cyber fred angesprochen...( es gab tatsächlich fälle von radiosendern die in einer amalgan zahnfüllung empfangen wurden... kein witz)...liegt da schon näher. trotzdem, mir scheint das ein fall für nen wünschelrutengänger oder mulder und scully zu sein, nicht böse sein, gruss, vampire ps:der scanbericht vom KAV würde mich auch interessieren, auch wenn der win98se stammt... |
07.03.2003, 20:52 | #51 |
Gast | Low-Level-Format-resistenter Trojaner ? loooooool, cool wirklich cool, looooool @cobra... [img]graemlins/huepp.gif[/img] |
07.03.2003, 23:46 | #52 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Ein von mir beauftragter Fachmann hatte auf einem (HP) meiner drei Rechner festgestellt, daß ein Teil der Festplatte per Software abgetrennt war (gestacked / gestackert ?).</font>[/QUOTE]Schau mal in der Datenträgerverwaltung von XP nach, ob du am Anfang der Festplatte eine "EISA-Konfiguration" oder "HP-HIPA" genannte Partition findest. Benutzt du eine oder 2 Windows-CDs von Hewlett-Packard zum installieren? Hast du eine spezielle BIOS-Version, resp. meldet sich dein BIOS mit einem ungewöhnlichen Bild ("HP Invent")? Hat es dir schon mal eine Meldung wie "HP e-Diag Tools missing" oder ähnlich präsentiert? docprantl
__________________ Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten [Ambrose Bierce, "Des Teufels Wörterbuch"] |
08.03.2003, 15:37 | #53 |
Gast | Low-Level-Format-resistenter Trojaner ? Wie wärs, wenn du mal deine komplette Platte mit Nullen überschreiben würdest? Mit Linux und dem Befehl dd geht das. Hierzu musst du deinen PC mit z.B. der Knoppix-CD starten. Dann in der Shell folgendes eingeben: dd if=/dev/zero of=/dev/hda bs=65536 hda musst du entsprechend dein Festplattenkonfiguration anpassen:hda ist der Master am 1.IDE-Kanal,hdb Slave am 1.IDE-Kanal,hdc Master am 2.IDE-Kanal und hdd Slave am 2.IDE-Kanal. Wenn du SCSI-Laufwerke hast,musst du das h durch ein s ersetzen (also sda,sdb...) ACHTUNG: Es gibt keine Sicherheitsrückfrage!!!! Das Programm gibt während seiner Arbeit auch keinerlei Statusmeldungen aus. Außerdem dauert es recht lange (2Std.) Nachher ist deine Platte nur eins: leer. In der Ct wurden Methoden zum sicherem Löschen von Dateien getetestet. Nach dem o.b. Befehl konnten auch professionelle Datenrettungslabore wie Ontrack und Vogon die Testdateien nicht wiederherstellen. Wenn also der Virus/Trojaner von der Festplatte kommt,ist er hinterher weg (was er nach einer Low-Level-Formatierung auch sein sollte.) |
08.03.2003, 17:02 | #54 |
| Low-Level-Format-resistenter Trojaner ? @janerik: Was macht bs=65536? Ich hab mal in einer HowTo zur Installation von Gentoo "dd if=/dev/zero of=/dev/hda bs=1k count=1" ciao
__________________ Mail-Header verstehen ~~~~~~~~~~~~~~ Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid) |
10.03.2003, 02:02 | #55 |
| Low-Level-Format-resistenter Trojaner ? @CyberFred </font><blockquote>Zitat:</font><hr /> Was macht bs=65536? </font>[/QUOTE]blocksize von 64KB benutzen... </font><blockquote>Zitat:</font><hr /> "dd if=/dev/zero of=/dev/hda bs=1k count=1" </font>[/QUOTE]Die ersten 2 Sektoren der Platte werden hier mit Nullen überschrieben... |
10.03.2003, 14:13 | #56 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Cobra: "Insbesondere bei den Postings von Kato lassen sich merkwürdige, scharfumrissene, farbige Strukturen erkennen." Die von Kato berichteten Probleme sind ein Konglomerat aus häufigen Hard- und Softwarefehlern. Daß sie auf mehreren Rechnern gleichzeitig erscheinen, ist jenseits der Unwahrscheinlichkeit. Das dachte ich schon beim Lesen seines initiierenden Posts. Dazu kommen eigentümliche Inkonsistenzen bei seinen eigenen Aussagen: oft scheint er durchaus zu wissen, wovon er redet, trotz gegenteiliger Beteuerungen, manchmal scheint er erschreckend kenntnislos. Zwei Möglichkeiten: (1) eine geradezu pathologische Paranoia, (2) ein Troll auf subtilem Niveau. Ich habe allerdings schon subtilere erlebt. Und stimme damit MTT und vampire zu. Cobra</font>[/QUOTE]******** Hallo, danke für Deine Meinung, aber Deinem Stil nach zu urteilen bist du, glaube ich, sicher kein Arzt und sicher auch nicht kompetent, per Internet eine Ferndiagnose zu meinem Geisteszustand abzugeben. Ich könnte Dich im Gegenzug fragen, ob Du streitsüchtig und profilneurotisch bist, wenn Du versuchst, bei anderen Stimmung gegen mich zu erzeugen, ohne mich dabei direkt anzusprechen. Ob Du sonst kompetent bist, kann ich nicht beurteilen, denn zur Sache bzw. zum Problem sagst Du ja nichts Substantielles, was weiterhelfen könnte. Na ja, 'Hard- und Softwarefehler', die 3 Firmen, die meine Rechner untersucht haben, habe ich ja auch in Verdacht, daß sie irgendetwas übersehen haben ... Stattdessen polemisierendes Rezitieren meiner gemutmaßten Fehlerbeschreibung als Aufhänger Deines Beitrags, um mich lächerlich zu machen. Ich meine, erschreckend ist weniger meine Kenntnislosigkeit (wen sollte das warum erschrecken ?) als Deine schlafwandlerische Sicherheit, oder treffender noch, Deine unglaubliche Arroganz, mit der Du meinst, ein Urteil über mich abgeben zu dürfen, obwohl Du mich gar nicht kennst. Hoffentlich gehst Du mit Deinem inquisitorischen Urteilsvermögen nicht bei jedem Hilfesuchenden in diesem Forum so zu Werke. Wenn Du meinen 'Fehlerbeschreibungen' keinen Glauben schenken willst, ist das Deine Sache. Ich kann Dir jedenfalls versichern, daß ich mir keine Geschichten ausdenke, nur um in diesem Forum meine Zeit totzuschlagen und über nicht existente Probleme zu fabulieren. Ich bin weiterhin nur an sachlichen Mitteilungen /Lösungen interessiert, was aber nicht bedeutet, daß ich keinen Spaß verstehe. Wer seinen Unmut loswerden möchte, möge das bitte in angemessener, zivilisierter Form tun bzw. sich ein anderes Thema suchen. Auch noch so viele Bewertungssterne helfen einem letzendlich nicht, ein besserer Mensch zu werden. Gruß Kato |
10.03.2003, 15:17 | #57 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Cassandra: @Kato: Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra</font>[/QUOTE]****** Hallo und danke für Deine Antwort. Werde ich in den nächsten Tagen machen, ergänzend kann ich noch anfügen, daß einige bis sehr viele 'E/A-Fehlermeldungen' angezeigt werden. Immer dabei ist die Datei 'Win386.swp' (wenn ich das richtig im Gedächtnis habe), wobei es sich meiner Kenntnis nach um die Windows-Auslagerungsdatei handelt. Ansonsten habe ich meine HDD in diverse Laufwerke aufgeteilt, das Antivirenprogramm protokolliert in der Logdatei des öfteren 'Lesezugriff verweigert, E/A-Fehler', in einem Fall weit über 100 dieser Meldungen (auch nach Formatierung der Festplatte und unter Windows XP Pro sind diese Meldungen reproduzierbar, nicht exakt identisch,aber vom Wesen her). Obwohl der Scanner beim Systemstart gem. Konfiguration automatisch als erstes aktiv sein müßte (zumindest meiner Vorstellung nach), wird im Systray ein 'inaktiv'-Icon angezeigt, bis alles andere geladen ist. Wenn alle Anwendungen gestartet sind ,erscheint eine Fenstermeldung bzw.-abfrage, daß die Virendefinitionen veraltet sind, und ob man diese (per Internet) aktualisieren will (Ja/Nein).Erst durch Quittieren dieser Abfrage oder durch direktes Starten des Programms am Speicherort 'schaltet' das Programmicon im Tray auf 'aktiv'. Gruß Kato |
10.03.2003, 17:02 | #58 |
Gast | Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Werde ich in den nächsten Tagen machen, ergänzend kann ich noch anfügen, daß einige bis sehr viele 'E/A-Fehlermeldungen' angezeigt werden. Immer dabei ist die Datei 'Win386.swp' (wenn ich das richtig im Gedächtnis habe), wobei es sich meiner Kenntnis nach um die Windows-Auslagerungsdatei handelt. [/QB]</font>[/QUOTE]Win386.swp ist die auslagerungsdatei von win98se. aus eigener erfahrung kann ich bestätigen, daß sie schon mal den zufriff auf sich verweigert... also meiner meinung kommt ein firmware fehler aus den schon beschriebenen gründen nicht in frage. an deiner stelle würde ich erneut eine low-level formatierung durchführen lassen und dann nicht deine original software auf spielen sondern die eines freundes oder bekannten... sollte die datei dann immer noch auftauchen bleibt dir nichts anderes übrig als deine hardware komplett auszutauschen... ich hoffe für dich, daß das nicht nötig ist... gruss, vampire |
10.03.2003, 17:05 | #59 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: Also du sagtest dass diese 2GB-Datei erst da war, es sich vielleicht um schädlichen Code handle (so der Sachverständige) und nach kurzer Zeit nicht auffindbar sei. Dazu mal ein paar Fragen: 1. Wie ist man darauf gekommen, dass es schädlicher Code sein könnte? Angenommen es ist keiner (würde ich ausschließen, weil was sollen 2GB schädlicher Code?) => 2. Die Beizeichnung kommt mir ein wenig spanisch vor. Könnte es irgendwas mit elektromagnetischen Feldern oder so zutun haben? Viele a-Buchstaben hintereinander, das könnte dadurch entstanden sein, dass (durch zufall vielleicht) irgendwelche Stromimpulse ausgelöst wurden (die vielleicht gebunden an genau diese eine Festplatte sind). Da dise einen bestimten Takt oder eine bestimmte Frequenz haben, entsteht so ein langer Dateiname mit immer dem selben Buchstaben und die Datei wird entsprechend gefüllt? 3. Könnte es sich irgendwie, in irgendeinster weise um eine Auslagerungsdatei handeln (wie die auch immer zustandegekommen sein mag? Ich persönlich sehe in 2. die Ursache für das Problem am ehesten. Wir haben heute in der Schule Speichermedien behandelt, und soweit ich weis handelt es sich bei Festplatten um magnetische. Könnte also passen, oder??? ciao</font>[/QUOTE]***** Hallo, danke für Deine Meinung. Ich fange mal mit Punkt 2 an: Ich habe diesen Begriff gewählt, weil er meiner Meinung nach allgemein gehalten ist, und ich zwar vermuten kann aber nicht genau weiß, was der Zweck des vermuteten Programmcodes ist. Schädlich, weil er Eigenschaften der Software/ des Computers für eigene Zwecke, in für den Benutzer negativer oder ungewollter Weise beeinflußt, Code als Kurzform für programmierte Befehlssequenzen, die das eigentliche Programm darstellen, das die Schädlichkeit herbeiführt. Ein Virus soll vielleicht vornehmlich zerstören, ein Trojaner ausspionieren usw.(vielleicht gibt es auch andere, ist aber nicht wichtig hier). Es ist eine Vermutung von mir, daß dies eine Schädlingsdatei sein könnte, Gewißheit besteht hier nicht. Diese Vermutung besteht, weil diese Datei vor der Säuberung der Festplatte durch 'Ontrack' bereits auf dem Rechner war, und unmittelbar nach Installation von 'Win XP Pro' sowohl bei Einsatz der gesäuberten, als auch einer nagelneuen Festplatte durch einen Windows-Suchlauf beim ersten Mal dort wieder auftauchte, wofür ich nur die Erklärung finde, daß das Problem nicht von der Festplatte ausgeht (wie diverse Male gesagt: bei Windows-Neuinstallation keine andere Software, keine anderen (Netzwerk)-verbindungen zum Computer). Seitens 'Ontrack' wollte man mir nur bestätigen, daß man einige zweifelhafte Dateien mit zum Teil sehr langen Dateinamen bei Säuberung der Festplatte gefunden hatte, die 'durchaus gut sein können für schädlichen Code'. Bestätigen wollte man das nicht, weil es Zeit und Geld gekostet hätte, das zu untersuchen, und diese Säuberung hat man freundlicherweise für mich kostenlos durchgeführt. 2. Jemand hat mir mitgeteilt, daß mit Datenschreddern gelöschte Dateien häufig zB. mit dem Buchstaben 'a' überschrieben werden, um ein nachträgliches Lesen oder Wiederherstellen unmöglich zu machen. Ich habe einige Schredder ausprobiert und bei der Löschfunktion von PGP dieses Phänomen beobachten können, was auch nur von Fall zu Fall auftrat.Zunächst schien das eine plausible Erklärung, dann habe ich aber wieder Zweifel bekommen, als ich dies auch das eine oder andere Mal beim 'Löschen'-Kommando im Kontextmenü der Maus (Papierkorb) feststellen mußte. Und der Papierkorb arbeitet meines Wissens ja nicht als Schredder. Zweifelhaft erscheint mir auch, ob dann zu erwarten wäre, daß sich dieses Überschreiben auch in der plötzlichen Änderung des Dateinamens zeigt. In der Praxis passiert nämlich folgendes (PGP): Nach dem Starten des 'Wipe'-Befehls wird die zu löschende Datei angezeigt und der Löschvorgang per Dialog gestartet. Dann ändert sich der urprüngliche Dateiname in 'aaaaaa....' und die Datei ist kurz danach verschwunden. Ich kann nicht sagen, ob es theoretisch möglich ist, daß irgendwelche Dateien durch elektromagnetische Induktion zu erzeugen sind, dazu fehlen mir die technischen Kenntnisse. Wenn diese Datei überhaupt etwas mit den Merkwürdigkeiten auf dem Computer zu tun hat, und wenn dies elektromagnetisch induziert sein sollte, müßten, da ich diese Datei auf allen 4 Einzelplatzrechnern gefunden habe, die alle in verschiedenen Räumen stehen, an allen Standorten nahezu identische Umgebungsbedingungen in Computernähe bestehen, die so etwas produzieren könnten. Vorstellen kann ich mir ungewöhnliches Verhalten der Festplatte beim Einsatz eines Magneten in der Nähe der Festplatte. Dies wäre eine technische Beeinflussung von außerhalb, die wohl unkontrollierbar und deshalb zufällig und nicht zu steuern wäre. Diese Dateien erwecken nicht den Eindruck zufällig entstanden zu sein, und es wäre wohl kaum nachvollziehbar, wenn sich zufällig eine voll funktionstüchtige Programmdatei durch elektromagnetischen Einfluß bilden könnte. Nein, ich meine, bei allem Respekt für Deine ungewöhnliche Idee: das ist zu weit hergeholt und erscheint mir in diesem Zusammenhang nicht denkbar. Nach allen vorausgegangenen 'Vorfällen' erscheint mir eine gezielte Beeinflussung des Rechners die Wahrscheinliche Variante zu sein. Nebenbei bemerkt:Ich selbst bin nicht empfänglich für Wellen, von anderen nicht wahrnehmbare Nachrichten oder Botschaften, werde (hoffentlich) und fühle mich auch nicht verfolgt. Zu 3.) Mir ist als Auslagerungsdatei Win386.swp (oder ähnlich) bekannt, ich könnte nicht einmal sagen, ob es nur eine Auslagerungsdatei im Windows-System gibt. Ich nehme aber an, daß sich jemand mit einem wissenden Kommentar hier im Forum schon vorher gemeldet hätte, wenn es so wäre. Danke für Deine Unterstützung. Gruß Kato |
13.03.2003, 15:05 | #60 |
Gast | Low-Level-Format-resistenter Trojaner ? Hallo! Also die win396.swp ist die Swap-Datei von Windows,bei mir ist sie im Verzeichnis C:\. Ihre Laufwerkszuornung kann man (bei Win 98) einfach festlegen,bei Win XP weiß ich nicht. Man kann sie auch komplett deaktivieren (nur bei genug RAM anzuraten) Eigentlich sollte sie nur einmal existieren. Es kann sein,dass sie bei Win 2000/XP einen anderen Dateinamen hat. |
Themen zu Low-Level-Format-resistenter Trojaner ? |
amd, beenden, boot-cd, booten, cd-rom, code, codes, computern, dateien, email, email-client, festplatte, firewall, frage, gelöscht, gigabyte, handel, hintergrund, hängen, immer wieder, mehrere, modem, nicht mehr, passwort, problem, programme, ram, recovery, schreibfehler, tiere, trojaner, verdacht, warum, win xp, windows |