|
Plagegeister aller Art und deren Bekämpfung: Low-Level-Format-resistenter Trojaner ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.03.2003, 18:33 | #76 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von AUGUST: Hallo Kato Ganz zu anfang hattest du geschrieben das es alle deine PCs betrifft jedoch das du bei einigen auch nach der neuinstallatin das Problem hättest nun lag mir die vermutung nahe das die PCs miteinander Irgendwie verknüpft sind sei es durch einen Switch oder Router wohlmöglich auch noch wireless nur mal angenommen das irgeneines dieser geräte seine auslagerungsdateien bzw protocolle nicht an die richtige adresse sendet wo sie hingehören wäre ja auch ne möglichkeit allerdings müsste ich dafür ersteinmal erfahren ob solche geräte bei dir im einsatz sind und vor allem um welche es sich handelt es ist shon mal bei allnet switches vorgekommen das sie verschiedene protocolle falsch adressiert hatten und sich dadurch auf einen meiner kunden PCs eine auslagerungsdatei gefunden hat die in etwa der grööse von 2 GB entsprach Mfg AUGUST </font>[/QUOTE]Hallo, Danke für Deinen Hinweis. Nein, bei allen Rechnern handelt es sich um Einzelplatz-Rechner, die in keinerlei Weise miteinander verbunden waren und sind. Das kann u.U.ja ziemlich unangenehm werden, wenn Deine Daten plötzlich bei jemand anderem auftauchen. Interessant zu wissen, daß es dieses Phänomen gibt. Die 2-GB-Marke mag aber vielleicht insofern kein Zufall sein, als sie, wenn ich das richtig in Erinnerung und verstanden habe, eine Grenze bei bestimmten (älteren) Dateisystemen darstellt, vielleicht auch beim BIOS. Mit anderen Worten: größere Dateien können sonst nicht mehr verwaltet werden. Wenn meine Darstellung so richtig ist, könnte ich also im Umkehrschluß vermuten, daß dieses Phänomen bei Dir vielleicht bei Benutzung eines älteren Windows-Betriebssystems o.ä. aufgetreten ist. Aber davon habe ich zuwenig Ahnung. Auf jeden Fall war Dein Hinweis eine Überlegung wert, danke dafür. Gruß Kato |
28.03.2003, 15:50 | #77 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Domino:
__________________Was issn das fürn Mainboard gewesen ? Domino </font>[/QUOTE]**** Hallo, Danke für Deine Anfrage, auf die ich leider erste heute antworten kann. Wenn ich mich nicht vertue, ist dies auch die letzte Antwort, auf die ich noch nicht geantwortet habe. Dieses Thema hier ist wohl auch so ziemlich erschöpft. Ich besitze 4 Einzelplatzrechner der verschiedensten Bauart mit 4 unterschiedlichen Mainboards von ganz alt ('98) bis relativ neu. Da das von mir vermutete Problem, wie gesagt, auf allen Rechnern in der einen oder anderen abgewandelten Form vorhanden zu sein scheint, vermute ich nicht, daß dies auf das Mainboard zurückzuführen ist, aber vielleicht fällt Dir oder jemand anders dazu noch etwas ein ? Bei diesem Punkt denke ich an folgendes Verhalten meines Computers (unter Win XP Pro) : Ich glaube unter 'Computereigenschaften' wird die Computer-ID, die Art des Prozessors und der verfügbare Arbeitsspeicher angezeigt. Zu verschiedenen Zeiten, also jeweils nach Neustart des Computers wird statt der mir geläufigen, 'üblichen' Anzeige 'Pentium III xxx MHZ' angezeigt (aus der Erinnerung heraus, stimmt wahrscheinlich nicht genau) 'x86 Family 6 Stepping 8 .... '. Zwischen diesen unterschiedlichen Anzeigen hatte ich am Computer in Bezug auf Hardware nichts geändert. Ist solch eine sich ändernde Anzeige 'normal'? Ansonsten möchte ich die Gelegenheit nutzen,um mich bei allen, die zu dem dargestellten Problem einen Kommentar abgegeben haben, zu bedanken. Auch wenn ich das Problem hier noch nicht endgültig lösen konnte, so habe ich doch wieder dazu gelernt, und meinem Eindruck nach scheint mir die Sache im Kern auch nichts mit einem Trojaner, Virus o.ä. zu tun zu haben, was sich bei einer professionellen Untersuchung aber noch wird erweisen müssen. Gruß Kato |
28.03.2003, 16:34 | #78 |
| Low-Level-Format-resistenter Trojaner ? @Kato
__________________Falls sich das Rätsel irgendwann einmal lösen sollte, wäre es nett, wenn Du diesen Thread wieder ausgräbst und uns erzählst, was es den nun war. Gruß T_R_G |
28.03.2003, 20:18 | #79 |
Gast | Low-Level-Format-resistenter Trojaner ? @ Kato: Tja,denk immer dran,bei PCs gibt es nichts ,was es nicht gibt. Bei mir steht übrigens auch immer dieses mit Stepping x86 nochwas. Auch ich rate dir,diesen Thread nochmal auszugraben falls es irgendwelche Ergebnisse/besondere Vorkommnisse (das Ganze ist leider schon zu seltsam) gibt. |
04.04.2003, 11:53 | #80 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von janerik: @ Kato: Tja,denk immer dran,bei PCs gibt es nichts ,was es nicht gibt. Bei mir steht übrigens auch immer dieses mit Stepping x86 nochwas. Auch ich rate dir,diesen Thread nochmal auszugraben falls es irgendwelche Ergebnisse/besondere Vorkommnisse (das Ganze ist leider schon zu seltsam) gibt. </font>[/QUOTE]***** Hallo Janerik, Vielen Dank, Na ja, ich weiß jetzt bzw. wußte auch schon im voraus und hab' das ja auch gesagt, daß es eine Menge von Dingen gibt, die ich in Bezug auf den Computer falsch einschätze, aufgrund mangelnder Kenntnisse. Da aber meistens auch jemand hier ist, der das in sachlicher, aber auch weniger sachlicher Form zu erklären bereit ist, ist das nicht so tragisch. Gerade Dir möchte ich besonders nochmal danken für Deine Unterstützung, Du hast immer versucht, mit neuen Ideen und sachdienlichen Hinweisen weiterzuhelfen, das habe ich schon bemerkt. Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato |
05.04.2003, 11:54 | #81 |
Gast | Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato [/QB]</font>[/QUOTE]wie darf man denn diesen satz verstehen...? soll das etwa heissen, daß du nicht genau weisst ob es die 2 gig's grosse datei überhaupt gab...?? |
09.04.2003, 15:48 | #82 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: @Kato Falls sich das Rätsel irgendwann einmal lösen sollte, wäre es nett, wenn Du diesen Thread wieder ausgräbst und uns erzählst, was es den nun war. Gruß T_R_G </font>[/QUOTE]Hallo, Ja,kann noch etwas dauern, aber das mach'ich.Bis dahin... Gruß Kato |
09.04.2003, 16:10 | #83 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von vampire: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato </font>[/QUOTE]wie darf man denn diesen satz verstehen...? soll das etwa heissen, daß du nicht genau weisst ob es die 2 gig's grosse datei überhaupt gab...?? [/QB]</font>[/QUOTE]Hallo, Danke für Deine Nachricht. Nein, die Datei war da. Die Frage ist, ob es dafür eine vernünftige, nachvollziehbare Erklärung gibt. Es wird sich zeigen. Ich möchte nun eigentlich das ganze Thema nicht wieder aufkochen, allerdings ist mir beim Surfen in einem Internet-Cafe aufgefallen, daß die Computer nach jeder Internet-Sitzung neu gestartet und mit einer Software namens 'Winrollback' in den vorherigen Ausgangszustand zurückversetzt werden, quasi vollautomatisch. Soweit mir bekannt ist, gibt es diesen Internet-Schutz als Soft- und Hardwareversion. Mir war nicht bekannt, daß so etwas existiert. Wie ich gelesen habe, soll diese Art von Software, vielleicht nicht speziell diese, auch ein Low-Level-Format verhindern (können). Dieses Verhalten käme zunächst mal, zumindest teilweise, dem von mir festgestellten Verhalten meines Rechners nahe. Das alleine ist es aber meiner Meinung nach auch nicht.Aber vielleicht ein Denkansatz. Die Überlegung: Wenn es jemandem gelänge, ein solches Programm auf einem fremden Rechner zu plazieren, könnte daraus vielleicht das oben beschriebene Verhalten resultieren. Ob das technisch machbar ist, ist eine andere Frage, die ich nicht beantworten kann, aber die Möglichkeit ging mir im Kopf herum, sie mußte heraus. Wie gesagt, möchte ich das aber alles nicht wieder aufwärmen, falls aber speziell zu diesem Punkt jemand etwas einfällt, gerne. Bis demnächst. Gruß Kato ++++++ |
12.07.2003, 20:34 | #84 |
Gast | Low-Level-Format-resistenter Trojaner ? Hallo Kato ! (Diese Antwort kommt leider etwas spät, aber besser spät als nie ) </font><blockquote>Zitat:</font><hr /> Ich möchte nun eigentlich das ganze Thema nicht wieder aufkochen, allerdings ist mir beim Surfen in einem Internet-Cafe aufgefallen, daß die Computer nach jeder Internet-Sitzung neu gestartet und mit einer Software namens 'Winrollback' in den vorherigen Ausgangszustand zurückversetzt werden, quasi vollautomatisch. </font>[/QUOTE]Ja, solche Programme gibt es. Sie werden hauptsächlich für Internet-Cafes und Schulen/Universitäten entwickelt, denn selbst, wenn die Benutzer den Rechner z.B. mit Viren komplett lahmlegen, wird die Ursprungskonfiguration nach dem nächsten Booten widerhergestellt. Die Programme basieren (meines Wissens nach) darauf, dass zuerst (bei der Installation) ein Image bestimmter Partitionen (der mit dem installiertem Betriebssystem) erstellt werden kann. Dies entspricht in etwa der Funktion eines Image-Programms, wie z.B. DriveImage oder Norton Ghost.Diese Image-Datei wird dann jedoch auf einer von dem Programm extra angelegten versteckten Partition gespeichert und zuletzt schreibt sich die Software in den MasterBoot-Sektor, damit sie (wie vorher festgelegt) alle bestimmte Bootvorgänge die gesicherte Partition komplett mit der auf der versteckten Partition angelegten Image-Datei überschreibt. Da du jedoch nicht nur den Inhalt der Betriebssystem-Partitionen gelöscht hast (formatiert), sondern auch eine Low-Level-Formatierung durchgeführt hast, wäre die (versteckte) Partition auf welcher ja die Image-Datei liegen müsste ebenfalls gelöscht. Ebenfalls ist mir nicht bekannt, dass es solche Programme Backdoorartig (ohne das der Anwender es merkt) installieren und zu dem darf man nicht ausser Acht lassen, dass es bestimmt einige Minuten dauert, bis eine Partition komplett wiederhergestellt ist, dies dürfte dem Anwender dann schon sehr deutlich auffallen. Dein Gedankenansatz ist jedoch nicht schlecht, es wurden ja bei einer Untersuchung deines PCs merkwürdige Partitionen entdeckt. Rein theoretisch könnte ein erstelltes Image die Low-Level-Formatierung jedoch nur überleben, wenn es nicht auf der Festplatte, sondern auf einem externem Speichermedium, welches zudem noch bootfähig sein müsste, um sich automatisch wiederherzustellen, gespeichert sein. In die Richtung weiterzuforschen (es muss ja nicht unbedingt ein Image der gesamten Partition erstellt worden sein, eine Kopie des Viruses reicht ja) ist sicher nicht verkehrt, jedoch habe ich noch nie etwas von einer solchen Verbreitungsart gehört. Ich glaube weiterhin, dass jemand dir die Dateien (den schadhaften Code, oder was es auch sein mag) selbst auf den Rechner gespielt hat (physikalischer Zugriff) bzw. da die Sympthome ja auf verschiedenen deiner Rechner auftraten auf möglicherweise magnetische Felder, Strahlungen etc. zurückzuführen sind. Da ich mich in diesem Gebiet jedoch nicht auskenne, solltest du dich da schon an einen Experten wenden. In dieser Hinsicht finde ich das Posting von Cobra an dieser Stelle sehr interessant, vielleicht weiß er ja noch etwas zu meinen Theorien. cu Janerik |
Themen zu Low-Level-Format-resistenter Trojaner ? |
amd, beenden, boot-cd, booten, cd-rom, code, codes, computern, dateien, email, email-client, festplatte, firewall, frage, gelöscht, gigabyte, handel, hintergrund, hängen, immer wieder, mehrere, modem, nicht mehr, passwort, problem, programme, ram, recovery, schreibfehler, tiere, trojaner, verdacht, warum, win xp, windows |