|
Plagegeister aller Art und deren Bekämpfung: Low-Level-Format-resistenter Trojaner ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.01.2003, 18:01 | #1 |
| Low-Level-Format-resistenter Trojaner ? Hallo, Folgendes Problem: Ich vermute seit längerer Zeit schädlichen Code auf mehreren meiner Internet-Rechner, einer davon ohne Internetzugang. Die Internet-Computer arbeiten jeweils als Einzelplatz-Rechner an einer ISDN-Anlage bzw.auch an einem analogen Standard-Telekom-Anschluß,Einwahl über Modem bzw.ISDN-Karte call by call. Einer der Rechner, nach meiner Einschätzung ebenfalls mit dem Problem behaftet, besitzt keinen Internetzugang. Die Computer laufen mit Windows 98 SE, Windows ME, Windows XP Pro mit AMD Duron 1200 bzw.PII, PIII- Prozessoren, RAM 192 bis 256 MB, je eine HDD mit 20 bis 80 GB, je 1 FDD, CD-Rom /DVD- bzw. CD-R/W- Laufwerk. Die ausführliche Problembeschreibung würde den Rahmen dieser Email sicherlich sprengen, deshalb hier ein Auszug aus den wesentlichen Problembestandteilen: Ich hatte vor kurzem 2 Festplatten aus zweien der Rechner ausgebaut und zwecks Kontrolle bzw. 'Säuberung' an 'Ontrack'in Böblingen gesandt. Zuvor durchgeführte Standard-Festplatten- und Low-Level-Formatierungen beseitigten das mir problematisch erscheinende Verhalten der Rechner nicht. Mit 'Problem' meine ich u.a.,daß Daten auf den Festplatten, trotz zwischenzeitlich durchgeführter diverser Formatierungen, auch durch einen Fachmann, nicht beseitigt werden konnten. Ein Beispiel: Ein von mir eingesetztes Dateiverschlüsselungsprogramm beinhaltet einen Email-Client, in den die persönlichen Daten, wie Name, Passwort für das Internet-Postfach usw. eingegeben werden können. Die dort von mir eingegebenen Daten erschienen bei einer Neuinstallation trotz zwischenzeitlich durchgeführter diverser (Low-Level)-Formatierungen wieder in diesem Email-Client ohne mein Zutun. Die Fa.Ontrack teilte mir mit, daß man Dateien mit außergewöhnlich langen Dateinamen, wie 'aaaaaaaaaaaaaaaaaaaaa......' entdeckt habe, bei denen es sich um schädlichen Code handeln könne, bestätigen wollte man dies nicht. Die Festplatten wurden 'gesäubert' an mich zurückgegeben. Nach dem Wiedereinbau und Neuinstallation von 'Win XP Pro' habe ich als erstes nach dieser Datei gesucht und diese auch auf einem Rechner gefunden, leider war zu diesem Zeitpunkt mein CD-Brenner nicht funktionstüchtig, sodaß ich keine Kopie erstellen konnte (angezeigte Dateigröße knapp 2 GIGAByte, GIGA kein Schreibfehler). Bei einem späteren Neustart war die Datei nicht mehr auffindbar. Bemerken möchte ich in diesem Zusammenhang, daß es sich bei den installierten Programmen um Originalsoftware handelt und ich auch sonst keinerlei zweifelhafte Wechselmedien sowie Verbindungen zu anderen Computern oder dem Internet hatte. Die betreffenden Rechner haben seit langen Monaten keinen Zugang zum Internet gehabt. Meine Frage: Ist ein Trojaner bekannt, der einer Low-Level-Formatierung widerstehen kann und sich immer wieder auf die Festplatte zurückschreiben kann ? Vor der Einsendung der Festplatten an Ontrack hatte ich in der Windows-Registrierung im 'Run'-Service von HKLM längeren Programmcode entdeckt, der sich hinter zwei Punkten '..'am rechten Rand des Bildschirms verbarg, möglicherweise 'SubSeven'(ausschließliche Kontaktversuche, die von der Firewall gemeldet wurden). Den Trojaner habe ich gelöscht, was aber nicht der Kern des Problems war, der lautet Wie ist es möglich, daß sich die oben beschriebene und von 'Ontrack' auf der Festplatte gelöschte Datei sich auf die Festplatte zurückschreibt, oder anders gesagt, warum läßt sich die Festplatte nicht 'säubern', oder kann sich Code noch an anderer Stelle verstecken ? Mein Verdacht geht mittlerweile dahin, daß sich Programmcode in einem nichtflüchtigen Speicher oder in einem Bauteil des Computers verbirgt und sich im Rahmen von Neuinstallationen von Computerprogrammen sich im Hintergrund auf den Rechner schreibt. Leider fehlt mir der Sachverstand, dieses einschätzen zu können, wenn jemand das kommentieren könnte, würde ich mich freuen. Bei einer Kontrolle des CD/DVD Laufwerkes mit dem Programm 'CD-Bremse' habe ich vor wenigen Tagen die oben beschriebenen 'aaaaaaa...'-Zeichen möglicherweise dort wiederentdeckt und zwar 107 Zeichen lang in der Form 'AA AA AA AA...'. Aber vielleicht gibt es ja einen guten Grund für das Vorhandensein einer solchen Zeichenkette dort ? Abschließend möchte ich noch bemerken, daß regelmäßige Antivirenscans mit aktualisierten Virensignaturen von verschiedenen Herstellern keinerlei Ergebnisse bringen. Beim Scan der Festplatten mit einem Linux-Kernel auf Boot-CD werden exotische Partitionen angezeigt wie z.B.'Ontrack DM 6 Aux3, PC/IX , PPC PRep Boot, Netware 386 usw., usw', die größte hat eine Kapazität von ca.800 GIGAByte. Diese finden sich in der einen oder anderen Form auf allen Rechnern, sodaß ein Hardware-Defekt wohl eher unwahrscheinlich ist. Beim Beenden des Programms wird jedesmal gemeldet 'md: recovery threat got woken up', kann dies vielleicht in irgeneiner Form mit dem von mir beobachteten 'Rückschreiben' des vermuteten schädlichen Codes zusammenhängen ? Das Programm 'PartED' meldet 'Can't have a partition outside the disk !'. Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. Vielen Dank im voraus für jeden sachlichen Kommentar. Gruß Alex |
30.01.2003, 18:57 | #2 |
Gast | Low-Level-Format-resistenter Trojaner ? Ohh, Ohh,das hört sich ja garnicht gut an.
__________________Aber aufgrund deiner gründlichen Beschreibung kann ich einige Vermutungen anstellen: 1.)Mit einer Formatierung (ich meine jetzt nich Low-Level) können Daten NIE sicher gelöscht werden,sie können immer (mit Spezialtools) wiederhergestellt werden (wär ja Hammer ,wenn ein Virus so etwas eingebaut hätte um sich selbst nach dem Löschen bzw. kompletten Formatieren der HD wiederherzustellen(wenn der Anwender denkt,dass er den Virus endlich los ist). 2.)Wie es scheint ist die Partitionstabelle deiner HD ziemlich zerschossen. Ich hatte dieses problem ebenfalls mal,denn dann helfen selbst Part. Tools wie Part. Magic oder FDisk nicht weiter,die meckern nur um eine "ungültige Partitionstabelle" können den Fehler aber meist auch nicht lösen. Was man dann braucht ist ein Diskeditor,mit dem man die Part.Tabelle direkt beabeiten kann. Hier sollte man dann alle (!) Einträge einfach löschen. 3.)Eine Low-Level Formatierung sollte man eigentlich nachträglich nicht ausführen,habe ich jedenfalls oft gehört. |
30.01.2003, 20:12 | #3 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />
__________________Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. </font>[/QUOTE]das ist normal (bei mir isses immer so *g*) ansonsten hast du imho nix trojaner-ähnliches drauf, sondern einfach nur ein total zerschossenes dateisystem...die komischen daten inna partitionstabelle...die aufeinmal auftauchenden dateinamen...könnte alles auf grund kaputter dateisystemstrukturen sein...aber ist natürlich nur eine vermutung |
03.02.2003, 18:57 | #4 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von janerik: Ohh, Ohh,das hört sich ja garnicht gut an. Aber aufgrund deiner gründlichen Beschreibung kann ich einige Vermutungen anstellen: 1.)Mit einer Formatierung (ich meine jetzt nich Low-Level) können Daten NIE sicher gelöscht werden,sie können immer (mit Spezialtools) wiederhergestellt werden (wär ja Hammer ,wenn ein Virus so etwas eingebaut hätte um sich selbst nach dem Löschen bzw. kompletten Formatieren der HD wiederherzustellen(wenn der Anwender denkt,dass er den Virus endlich los ist). 2.)Wie es scheint ist die Partitionstabelle deiner HD ziemlich zerschossen. Ich hatte dieses problem ebenfalls mal,denn dann helfen selbst Part. Tools wie Part. Magic oder FDisk nicht weiter,die meckern nur um eine "ungültige Partitionstabelle" können den Fehler aber meist auch nicht lösen. Was man dann braucht ist ein Diskeditor,mit dem man die Part.Tabelle direkt beabeiten kann. Hier sollte man dann alle (!) Einträge einfach löschen. 3.)Eine Low-Level Formatierung sollte man eigentlich nachträglich nicht ausführen,habe ich jedenfalls oft gehört.</font>[/QUOTE]++++++ Hallo, Vielen Dank für Deine Nachricht. Ich gehe momentan nur von öffentlichen Rechnern in's Internet, was naturgemäß immer mit einem gewissen Aufwand verbunden ist, daher bitte ich um Nachsicht für meine verzögerte Antwort. 1.) Es scheint tatsächlich eine Wiederherstellungsroutine auf den Rechnern (plural)zu geben. Ein Scan mit 'Isolinux-Boot-CD' und einigen darauf befindlichen Festplatten-Managern bzw. Diagnose- und Editierwerkzeugen meldet bei jedem Herunterfahren des Rechners sinngemäß in etwa 'md: Recovery-Thread got woken up ..... finished'. Genau dies ist ja das eigentliche Problem, so wie es sich mir darstellt: Eine Formatierung beseitigt, die zumindest mir merkwürdig erscheinenden Eigenschaften des Betriebssystems, die ich im Detail noch gar nicht beschrieben habe,nicht. Wahrscheinlich ist ein großer Teil der 'Merkwürdigkeiten' auf meine Unkenntnis zurückzuführen. Allerdings gibt es, so meine ich jedenfalls, handfeste Indizien, daß hier tatsächlich schädlicher Code am Werke ist. Ein Beispiel hierfür möchte ich dennoch kurz nennen: Ich habe zeitweise mit den Büro-Programmen Staroffice bzw. OpenOffice Kalkulationstabellen erstellt. Bei einer Gelegenheit stellte ich fest, daß im Ordner 'Eigene Dateien' 3 identische Kopien einer Tabellenkalkulation ohne Programm-Icon auftauchten. Das Löschen der Dateiendung (ich meine .sxc)in den 'Ordneroptionen' führte dazu, daß statt meines ursprünglich vergebenen Dateinamens nun einer mit dem Namen 'Berend_Peter_Illko_Tom' erschien. Auch als weitgehender Computer-Laie erscheint es mir schwierig hierin einen Windows-, Software- oder Hardwarefehler zu erblicken. Jedenfalls: Was immer ich bisher unternommen habe, die 'Merkwürdigkeiten' tauchen immer wieder auf, selbst nachdem ich eine nagelneue Festplatte in einen der Rechner eingebaut hatte. Bei der Fa. Ontrack darf man wohl mit Fug und Recht behaupten,daß es sich um ein kompetentes Unternehmen handelt. Ich bin auch davon überzeugt, daß die dort vorgenommene Säuberung meiner 2 Festplatten vollständig und wirksam durchgeführt wurde. Wie läßt sich dann noch erklären, daß sich eine zuvor auf der Festpl.festgestellte Datei namens 'aaaaaaaaaaaaaa..'(teilweise bis über 30 Zeichen lang) nach dem Wiedereinbau der 'gereinigten' Festplatte dort wieder auftaucht? Ich hatte hierbei keine externe Verbindung zu anderen Geräten, Netzen oder Computern hergestellt, und ausschließlich 'Win XP Pro' (Original Kauf-CD von bekanntem Händler) installiert. In einem anderen Internet-Forum hat mir vor einiger Zeit mal jemand geschrieben, daß es Festplatten-Controller gibt, die das System automatisch wiederherstellen. Das würde aber wohl einen physischen Eingriff in den jeweiligen Rechner vorraussetzen, nehme ich an ? Ich stelle eine Verbindung zwischen der von mir beschriebenen 'aaa...' Datei auf der Festplatte mit der im CD-R/W und DVD-Rom-Laufwerk, welches ich mit dem Programm 'CD-Bremse' untersucht habe, her. Dabei habe ich einen 107 Zeichen langen Eintrag der Form 'AA AA AA AA ...' entdeckt, der mir suspekt erscheint, und wie schon ursprünglich beschrieben, mich an die oben beschriebene Datei 'aaaa...'denken läßt.Außerdem gibt es einen 2. Firmware-Eintrag im CD-R/W-Lw., der vom Format völlig verschieden vom ersten ist.Ich habe nie ein Firmware-Update eingespielt.Ist es denkbar, daß sich Programm-Code in der aktualisierten Firmware verstecken könnte ? Den Disk-Editor werde ich nochmal ausprobieren, dies habe ich bereits einmal durch einen Fachmann machen lassen, leider ohne Erfolg. Ich nehme an, daß auch die Fa. Ontrack dies entsprechend durchgeführt hat. Der Bearbeiter sagte mir, es befände sich nach der Säuberung nur noch eine Windows-NT Systempartition mit 512 MB auf dem Rechner. Tatsächlich war die Partition etwa 532 MB groß und es erschien ein MS-Dos Prompt mit der Bezeichnung Dos 6.22. 3.)Eine von mir (versuchsweise) durchgeführte Low-Level-Formatierung von Diskette wurde möglicherweise ohnehin nicht korrekt durchgeführt, es wurden offenbar nicht alle Sektoren in die Formatierung mit einbezogen, laut Anzeige. ******* Ich glaube, das Problem ist derart komplex, daß es sich kaum in diesem Rahmen lösen läßt, und mir scheint, wenn ein Virus im Spiel ist, wird dieser nur zum Ausführen der Schadfunktion benötigt, der eigentliche, wesentliche Code scheint sich ursprünglich nicht auf der Festplatte zu befinden, und schreibt sich deshalb anscheinend nach jeder Neuinstallation des Betriebssystems dorthin zurück. Während des Verlaufs meiner Beobachtungen sind z.B. quasi aus dem Nichts ohne mein Zutun Programme aufgetaucht, die meines Wissens nicht zu einer SB-Version von Win XP Pro gehören, wie etwa Plus! etc. (trotz vorheriger HDD-Formatierung). Jetzt habe ich schon fast wieder einen Brief geschrieben, aber anders läßt sich das Problem, zumindest ansatzweise, leider nicht beschreiben. Die eigentliche Problem ist, ein Unternehmen oder eine Person zu finden, die einen Rechner einmal physisch untersuchen könnte. Ich hatte einen Computer bereits zu 3 verschiedenen Service-Unternehmen gebracht, die aber nur eine Standard-Festplatten-Formatierung durchgeführt haben, was ja nicht hilfreich war und ist. Ich interpretiere Deine Email in der Weise, daß Dir kein Low-Level-resistenter Virus bekannt ist ? Vielen Dank und Gruß Kato ++++++ |
03.02.2003, 19:26 | #5 |
Gast | Low-Level-Format-resistenter Trojaner ? @kato: wenn du von der meldung </font><blockquote>Zitat:</font><hr />md: Recovery-Thread got woken up ..... finished</font>[/QUOTE]auf eine globale recovery-routine schliesst, dann muss ich dich enttäuschen... md ist unter linux die bezeichnung für ein raid-device (raid-festplatte)... unter linux werden ide-festplatten als hd* und scsi-platten als sd* angesehen (wobei * durch einen buchstaben zu ersetzen ist), so wird md als raid-verbund angesehen... und die meldung heisst ja nur, dass die wiederherstellungsroutine des raids aufgewacht ist... das bedeutet nur: in der von dir verwendeten linux-distro ist eine raid-unterstützung eingebaut... [img]graemlins/teufel3.gif[/img] |
03.02.2003, 19:36 | #6 |
| Low-Level-Format-resistenter Trojaner ? Kann es sein, dass sich auf Deiner Festplatte eine versteckte Partition befindet? Ich weiß nicht, ob diese bei einem Low-Level-Format auch formatiert wird. Andererseits hätte die Firma, an die Du die Festplatte gesandt hast, diese Partition finden müssen. Oder hast Du mal ein Programm wie HDGuard oder ähnliches benutzt oder eine "Wächterkarte" (wird oft bei Schulrechner benutzt) eingebaut? Wächterkarte: http://www.su.shuttle.de/su/kasch/pc_waechter.html HDGuard: http://www.trinet.de/produkte/hdd-guard/info.htm Gruß T_R_G |
03.02.2003, 19:44 | #7 |
/// Helfer-Team | Low-Level-Format-resistenter Trojaner ? Also bei einer Low-Level Formatierung, wird die gesamte Festplatte auf "urzustand" zurück gesetzt. Soll heißen alles ist weg. Komplett alles. Auch Partitionen.
__________________ Kein Support per PM! |
03.02.2003, 19:58 | #8 |
| Low-Level-Format-resistenter Trojaner ? Dann fällt mir als "fast Laie" nur noch ein, dass die Daten vielleicht auf dem Mainboard oder dem CD-ROM/CD-RW in ein EPROM gebrannt wurden (ich will nicht sagen das es ein Virus ist, vielleicht ein technischer defekt). Wenn das Bios neu aufgespielt wird oder die Firmware des CD-ROM neu eingespielt wird, müsste doch ein eventueller Fehler im EPROM überschrieben werden oder irre ich mich da? Gruß T_R_G [ 03. Februar 2003, 19:59: Beitrag editiert von: The_Real_Gummibärchen ] |
05.02.2003, 13:09 | #9 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von blablabla: </font><blockquote>Zitat:</font><hr /> Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. </font>[/QUOTE]das ist normal (bei mir isses immer so *g*) ansonsten hast du imho nix trojaner-ähnliches drauf, sondern einfach nur ein total zerschossenes dateisystem...die komischen daten inna partitionstabelle...die aufeinmal auftauchenden dateinamen...könnte alles auf grund kaputter dateisystemstrukturen sein...aber ist natürlich nur eine vermutung</font>[/QUOTE]******** Hallo und vielen Dank für Deine Nachricht. Ich bitte um Nachsicht, wenn ich etwas spät antworte. Ich reagiere aber auf jeden Beitrag in der Reihenfolge des Eingangs, auch wenn es sich mitunter etwas schwieriger gestaltet, da ich mich momentan nur von öffentl.zugänglichen Rechnern melde. Für andere Leser:Ich bin ansonsten auch für jede gutgemeinte Vermutung zum Problem dankbar, letzlich kann man bei schwierigen Sachverhalten eher durch das Sammeln von geeigneten und weniger geeigneten Meinungen zur Problemlösung kommen. 1.Ich unterstelle, daß Du mit Deinem Kommentar zu den von mir beschriebenen farbigen Strukturen beim Booten das Windows Logo meinst. Nicht schlecht, die Idee, aber das ist es nicht. Diese Strukturen erwecken den Anschein, als würden sie eine Art Mikro-Schrift enthalten, ich hatte sogar einmal den Eindruck, als habe ich für einen kurzen Augenblick die Landkarte von einem PC-Spiel gesehen, da das aber nicht wieder aufgetreten ist, habe ich mir das wohl eingebildet. Ich führe das Sichtbarwerden dieser Strukturen in 'VMWare Workstation' darauf zurück, daß der von mir für diesen Emulator einzustellende, nutzbare Arbeitsspeicher niedrig bemessen worden ist, und daher Boot- und andere Arbeitsvorgänge, im Gegensatz zu einer normalen Installation, verzögert ablaufen, und sonst deshalb vielleicht nicht zu sehen sind. Überlegt habe ich allerdings, ob das Problem mit folgendem in Zusammenhang stehen könnte. Bereits vor dem eigentlichen Bootvorgang, noch bevor das installierte BIOS angezeigt wird, erscheint eine Anzeige zu einer Grafikkarte und, soweit ich mich erinnere, zu einem VGA-BIOS.Dies ist aus meiner Erinnerung heraus bei zweien der Rechner so, und diese haben auch tatsächlich eine solche Karte. Allerdings tauchte diese Anzeige früher nicht auf. Ich frage mich, ob dies in Verbindung zu dem Problem stehen könnte. 2. Wie Du schreibst, 'könnte alles auf grund kaputter dateisystemstrukturen sein...'. Das ist möglicherweise ein Ansatzpunkt. Wenn ich aber in Rechnung stelle, daß das von mir kurz skizzierte, merkwürdige Verhalten sich auf 4 Computern findet, bei denen ich auf zweien auch noch vor kurzem neue Festplatten eingebaut habe, dann meine ich, ist es mit dem gesunden Menschenverstand schwer vereinbar, daß zufällig alle Rechner (verschiedenster Bauart, PII, PIII, AMD) über einen gleichen Hard- und/oder Softwaredefekt verfügen sollen. Nicht unmöglich, zugegeben, aber eher unwahrscheinlich, meine ich. Vielen Dank noch mal für Deinen Beitrag, auch wenn Du die von mir aufgeworfene Frage nicht beantworten kannst (geht auch über eine Trojaner- Problem hinaus), vielleicht kann dann ein anderer Leser hierzu einen Kommentar abgeben. Verrat' mir doch bitte noch, was denn 'imho' bedeutet. Gruß Kato |
05.02.2003, 13:34 | #10 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force: @kato: wenn du von der meldung </font><blockquote>Zitat:</font><hr />md: Recovery-Thread got woken up ..... finished</font>[/QUOTE]auf eine globale recovery-routine schliesst, dann muss ich dich enttäuschen... md ist unter linux die bezeichnung für ein raid-device (raid-festplatte)... unter linux werden ide-festplatten als hd* und scsi-platten als sd* angesehen (wobei * durch einen buchstaben zu ersetzen ist), so wird md als raid-verbund angesehen... und die meldung heisst ja nur, dass die wiederherstellungsroutine des raids aufgewacht ist... das bedeutet nur: in der von dir verwendeten linux-distro ist eine raid-unterstützung eingebaut... [img]graemlins/teufel3.gif[/img] </font>[/QUOTE]******** Hallo, danke für Deine Anmerkung. Ich erwarte natürlich nicht, daß mir jemand Erklärungen zu Funktionsweisen von Computerbauteilen gibt. Ich weiß leider nicht, was ein Raid-System ist, und welche Aufgabe es hat. Als Laie frage ich mich als erstes, was muß warum automatisch und offenbar ohne Einflussmöglichkeit(?) wiederhergestellt werden ? 2. Frage: Wenn ich unterstelle, daß schädlicher Code sich in irgendeinem nichtflüchtigen Speicher z.B. eines Bauteils des jeweiligen Computers befindet, besteht dann nicht vielleicht trotzdem noch die Möglichkeit, daß eine wie Du es formuliert hast 'globale Wiederherstellungsroutine' sich trotzdem noch auf dem Rechner befindet bzw. dieses Raid-System für eine solche sorgen könnte ? Wenn dies nichts mit dem Raid-System zu tun hat, wonach und wie müßte man suchen, wenn man eine solche Routine - irgendwo versteckt - vermutet ? Vielen Dank. Gruß Kato |
05.02.2003, 13:39 | #11 |
Gast | Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr /> Wahrscheinlich ist ein großer Teil der 'Merkwürdigkeiten' auf meine Unkenntnis zurückzuführen </font>[/QUOTE]Davon würde ich nciht sprechen,aufgrund deiner Beschreibungen etc. halte ich dich auf gar keinen Fall mehr für einen PC-Laien! </font><blockquote>Zitat:</font><hr /> Wenn das Bios neu aufgespielt wird oder die Firmware des CD-ROM neu eingespielt wird </font>[/QUOTE]Bitte tu dies nicht ! Bei dem BIOS ist es z.B. so,dass es auf dem MoBo einen Jumper gibt,mit dem man das BIOS auf "read-only" stellen kann,was Standart ist.Durch fehlerhafte Flash-Vorgänge bekommst du wahrscheinlich noch mehr Probleme mit deiner Hardware. Zudem ist mir wirklich kein Schadprogramm bekannt,welches seinen Code im BIOS verewigt. </font><blockquote>Zitat:</font><hr /> Ich interpretiere Deine Email in der Weise, daß Dir kein Low-Level-resistenter Virus bekannt ist </font>[/QUOTE]Ganz genau so ist es! Ich rate dir nocheinmal,(falls sich mitlerweile keinerlei wichtige Daten auf der Platte befinde sollten) die Partitionen mit einem Diskeditor alle (!) zu löschen. |
05.02.2003, 14:45 | #12 |
| Low-Level-Format-resistenter Trojaner ? </font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: Kann es sein, dass sich auf Deiner Festplatte eine versteckte Partition befindet? Ich weiß nicht, ob diese bei einem Low-Level-Format auch formatiert wird. Andererseits hätte die Firma, an die Du die Festplatte gesandt hast, diese Partition finden müssen. Oder hast Du mal ein Programm wie HDGuard oder ähnliches benutzt oder eine "Wächterkarte" (wird oft bei Schulrechner benutzt) eingebaut? Wächterkarte: http://www.su.shuttle.de/su/kasch/pc_waechter.html HDGuard: http://www.trinet.de/produkte/hdd-guard/info.htm Gruß T_R_G</font>[/QUOTE]******* Hallo The_Real_Gummibärchen (sind das die von Haribo ?), Diese Frage nach der versteckten Partition habe ich mir auch schon gestellt, was aber den Kern des Problems meiner Meinung nach nicht berührt. Denn ich glaube, daß die Fa.Ontrack die Festplatten ordentlich gesäubert hat, und daß diese anschließend wieder jungfräulich waren, was man mir auch bestätigt hat. Auch versteckte Partitionen wären demzufolge der Reinigung zum Opfer gefallen. Wenn das aber so ist, wirft sich wieder die Frage auf, wie ist es möglich, daß sich diese merkwürdige 'aaaa...'-Datei auf diese gesäuberte Festplatte zurückschreibt ? Gestern habe ich diese Datei auf einem Rechner entdeckt, bei dem ich vor kurzem eine neue Festplatte eingebaut hatte, der Dateiname bestand aus, geschätzt, vielleicht 200 'a'. Ich habe die Datei auf CD gebrannt und möchte sie an das Virus-Testcenter senden, ich meine auch,eine Verbindung zu der im CD/DVD-Laufwerk vorhandenen Zeichenfolge 'AA AA AA ...' herstellen zu können. Ich kann nicht beurteilen, ob es denkbar erscheint, daß sich schädlicher Code dort (in der Firmware ?) verbirgt. Ein von Dir angesprochenes Wächterprogramm für Festplatten habe ich nie eingesetzt, allerdings habe ich danach bereits früher gesucht und, so glaube ich, auch gefunden (Name war 'Guard Dog', ich bin mir nicht sicher, ob dies ein solches Programm ist, was vorgenommene Änderungen rückgängig macht,jedenfalls existierte dies damals auf meiner Windows ME-Installation). Der Mitarbeiter der Online-Unbterstützung von Symantec kannte dieses Programm nicht. Meinem damaligen Kenntnisstand entsprechend glaubte ich zumindest, daß eine Festplattenformatierung auch dieses Programm beseitigen müsse. ++++++ Eine ganz andere Frage, die aber auch mit dem geschilderten Problem indirekt zusammenhängt aber mehr wieder den Aspekt des Trojaners berührt: Mitte vergangenen Jahres hatte ich einen neuen Computer bei einem bekannten Händler gekauft und mit Windows XP Pro (Originalsoftware natürlich) bespielt, anschließend Firewall konfiguriert und in's Internet eingewählt. Ich möchte nicht in Details gehen, jedenfalls richtete sich einige Tage später ohne mein Zutun eine LAN-Verbindung in den Netzwerkeinstellungen unter der Überschrift 'Video/TV-Verbindung' ein, die ich weder beenden noch löschen konnte (nach Formatierung der Festplatte war diese verschwunden).Obwohl ein Kontakt zur angewählten Internet-Seite im Browser angezeigt wurde, blieb der Inhalt des Browser-Fensters weiß. Bei späterer, intensiver Kontrolle des Computers stellte ich fest, daß die Logdateien der Firewall gelöscht worden waren und im Ordner 'Eigene Dateien' hatten sich Kopien von einer StarOffice-Tabellenkalkulation gebildet die ich Tage zuvor erstellt hatte. Nach dem schon beschriebenen Löschen der Dateiendung in den Ordneroptionen erschien anstelle des von mir ursrünglich gewählten Speichernamens 'Berend_Peter_Illko_Tom', also ein Verhalten, was ich schon auf einem anderen Internet-Rechner Monate zuvor festgestellt hatte. Die Einwahl erfolgte über ein USB-Modem an einer separaten Telefonbuchse, die ihrerseits Verbindung mit der ISDN-Telefonanlage hat. Ich schließe hieraus auf eine mögliche Trojaner-Infektion über die ISDN-Anlage, d.h. der Trojaner mußte sich irgendwo in der Anlage verstecken. Ich muß annehmen, daß es sich in beiden Fällen um die gleiche Person / Personen handelt, die gezielt Zugriff auf meinen Rechner suchen, anders ist die Übereinstimmung des Speichernamens der Tabellenkalkulation meiner Meinung nach kaum zu interpretieren. Der Telefonanlagenhersteller, den ich nach der möglichen Implementierung des Trojaners in der Telefonanlage gefragt hatte, meinte, das sei nicht möglich, ich habe Zweifel. Fällt Dir oder einem anderen Leser in diesem Zusammenhang etwas ein, oder, wenn das Problem nicht in der ISDN-Anlage zu suchen ist, wäre eine Veränderung der Einwahleigenschaften des Modems (ich meine nicht des Treibers) physisch (vielleicht durch 'flashen') denkbar ? Eine anderweitige 'Infektion', und davon gehe ich hier aus, durch Wechselmedien oder Verbindung zu anderen Rechnern schließe ich aus. Ich hoffe, ich mache heute nicht den Alleinunterhalter in dieser Rubrik, nach dem Motto 'Ach, der schon wieder', und meine letzte Frage wäre eigentlich schon wieder ein neues Thema gewesen, aber vielleicht fällt irgendeinem Leser dazu etwas ein. Gruß Kato |
05.02.2003, 15:44 | #13 |
| Low-Level-Format-resistenter Trojaner ? @Cato: Ich kann jetzt nicht den ganzen Thread abarbeiten, aber für ein paar Infos reicht es: 1. Nach einer sog. low-level-Formatierung befinden sich auf einer Festplatte definitiv keine Schadroutinen mehr. In der Regel lassen sich aber neuere Festplatten nur vom Hersteller in dieser Weise formatieren. Mehr Infos hier. 2. Schadroutinen wie z. B. Viren, RATs, Trojaner usw. können sich nicht in Hardware verstecken, außer die Hardware ist speziell dafür vorgesehen. Einfacher gesagt: Wenn Du in einen PC eine neue und leere Festplatte einbaust (und keine andere Festplatte vorhanden ist), gibt es drei Möglichkeiten, wie schädliche Programme auf Deinen PC kommen: Nummer 1: Bei der Software, die Du installierst, hat sich ein solches Programm verborgen. Wenn Du nur Original-CDs verwendest, ist das eher unwahrscheinlich. Nummer 2: Die Schadroutine wird über das Netzwerk übertragen; das kann sowohl via LAN sein (von einem schon eingerichteten PC) als auch via Internet (wenn Du auf eine bestimmte Site/Mail zugreifst. Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Ansonsten kann diverses Fehlverhalten auch darauf zurückzuführen sein, dass irgendwelche Hardware mit irgendwelcher Software nicht harmoniert, insbesondere ISDN- und Telefonieprogramme sind da eine Quelle von Ärgernissen. Lass Dich nicht verrückt machen, gehe die Sache systematisch an und führe am besten ein Protokoll, was Du jeweils ausprobiert hast. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank
__________________ MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB) |
05.02.2003, 16:03 | #14 |
| Low-Level-Format-resistenter Trojaner ? Eigentlich ist mir das hier alles zu hoch hier , aber könnte es sein das sich da jemand vielleicht einen Tunnel oder dergleichen zu ihm gebaut hat (nur mal so theoretisch)... Gruss [img]smile.gif[/img]
__________________ Inesse quin etiam sanctum aliquid et providum putant - Sie glauben sogar, daß (ihr) etwas Heiliges und Voraussehendes innewohnt |
05.02.2003, 16:16 | #15 |
| Low-Level-Format-resistenter Trojaner ? @mysteria: Nein, denn ein "Tunnel" muß auf vorhandene Software aufsetzen ...; ich nehme jetzt mal an, dass Du nicht an einen Vorgang mit Hacke und Spaten gedacht hast MTT
__________________ MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB) |
Themen zu Low-Level-Format-resistenter Trojaner ? |
amd, beenden, boot-cd, booten, cd-rom, code, codes, computern, dateien, email, email-client, festplatte, firewall, frage, gelöscht, gigabyte, handel, hintergrund, hängen, immer wieder, mehrere, modem, nicht mehr, passwort, problem, programme, ram, recovery, schreibfehler, tiere, trojaner, verdacht, warum, win xp, windows |