Hallo erstmal in die Runde,
ich glaub ich benötige eure Hilfe.


Ich habe vor ein paar Tagen meinen Laptop mit FRST gescannt und mich dann entschieden ihn neu zu formatieren aufgrund mehrerer Windows Dateien die den Sigcheck nicht bestanden haben.


Jetzt habe ich den FRST nach einer frischen Windows 10 22H2 Installation nochmal laufen lassen und folgenden log bekommen


Es sind immer noch viele Windows Systemdateien kompromitiert..
Was kann ich da tun? Wie kann das sein?

Mein Weltbild wankt gerade etwas, ich dachte immer nach ner formatierten Festplatte und frischen Neuinstallation wäre man sicher was Viren oder Trojaner angeht..



ich poste im Startpost erstmal nur den Anfang und das Ende weil der log 600000 Zeichen enthält.

Zitat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 23.02.2024
Ran by SYSTEM on MININT-NJ4I2O5 (25-02-2024 12:36:56)
Running from h:\\FRST64.exe
Platform: Windows 10 Home Version 22H2 19045.4046 (X64) Language: Deutsch (Deutschland) -> Deutsch (Deutschland)
Boot Mode: Recovery
Default: ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.

Und das Ende vom log.:

Zitat:

==================== SigCheck ============================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe
[2024-02-25 11:49] - [2024-02-25 11:49] - 005577144 _____ (Microsoft Corporation) 90F012A88EAA904F0A62A86141BE4C2B

C:\Windows\SysWOW64\explorer.exe
[2024-02-25 11:51] - [2024-02-25 11:51] - 004909880 _____ (Microsoft Corporation) CAD2D8D2F34B38A1F912FA36B99C2A6B

C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll
[2024-02-25 11:50] - [2024-02-25 11:50] - 001698904 _____ (Microsoft Corporation) 9C97D5400DF844FB7E920AEE07A5FE58

C:\Windows\SysWOW64\User32.dll
[2024-02-25 11:51] - [2024-02-25 11:51] - 001683400 _____ (Microsoft Corporation) 8CC3839D55AB79F060F09093E561780B

C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\dnsapi.dll
[2024-02-25 11:50] - [2024-02-25 11:50] - 000827048 _____ (Microsoft Corporation) DE67B43CCFF4861AA8D4951974C9BFDC

C:\Windows\SysWOW64\dnsapi.dll
[2024-02-25 11:51] - [2024-02-25 11:51] - 000587920 _____ (Microsoft Corporation) C94BF70DEBB894C69AAA358E39E062A4

C:\Windows\System32\dllhost.exe => MD5 is legit
C:\Windows\SysWOW64\dllhost.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Association (Whitelisted) =============


==================== Restore Points =========================

Restore point date: 2024-02-25 12:26
Restore point date: 2024-02-25 12:26

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 8173.21 MB
Available physical RAM: 7028.35 MB
Total Virtual: 8173.21 MB
Available Virtual: 7083.71 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:367.01 GB) (Free:336.51 GB) (Model: INTENSO SSD) NTFS
Drive d: (Volume) (Fixed) (Total:97.66 GB) (Free:48.69 GB) (Model: INTENSO SSD) NTFS
Drive f: () (Fixed) (Total:0.53 GB) (Free:0.08 GB) (Model: INTENSO SSD) NTFS
Drive h: (K) (Removable) (Total:0.95 GB) (Free:0.95 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.49 GB) (Free:0.49 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.05 GB) (Free:0.02 GB) (Model: INTENSO SSD) NTFS ==>[system with boot components (obtained from drive)]


==================== MBR & Partition Table ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 72E19441)
Partition 1: (Active) - (Size=50 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=367 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=546 MB) - (Type=27)
Partition 4: (Not Active) - (Size=97.7 GB) - (Type=0F Extended)

==========================================================
Disk: 1 (Size: 981 MB) (Disk ID: 0217934C)
Partition 1: (Active) - (Size=981 MB) - (Type=FAT32)
ErrorUnloadSoftware: 5
==================== End of FRST.txt ========================

Vielen Dank im Voraus, falls da mal jemand drüberschauen mag poste ich gerne den Rest des Logs.

Liebe Grüße,
Kim

Zitat:

Ich habe vor ein paar Tagen meinen Laptop mit FRST gescannt und mich dann entschieden ihn neu zu formatieren aufgrund mehrerer Windows Dateien die den Sigcheck nicht bestanden haben.

Und wieso fragst du nicht hier nach, bevor du neu installierst?



Alle Dateien haben als Firmenname Microsoft, ein Beispiel:

Zitat:

C:\Windows\System32\winlogon.exe
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

Also sieht es schon mal nicht schlecht aus.


Eine Kontrolle der MD5 bei VirusTotal sagt auch, dass alles gut ist, siehe hier.

FRST hat diese MD5s halt nicht in der Datenbank, was aber nicht bedeutet, dass sie bösartig sind.


Das Ganze lässt vermuten, dass du aus Unwissenheit dein System umsonst neu installiert hast.

Ich habe dein Thema in den Diskussionsbereich verschoben.

Das ist doch ein Muster, das man hier viel zu oft beobachtet. Man versteht etwas nicht, also kann es nur der fieseste Virus ever sein, der im BIOS und Netzteil steckt und alle Systemdateien manipuliert

Hey vielen Dank für die schnellen Rückmeldungen!


Ich habe mich die letzten Tage wieder ein wenig mit dem Thema beschäftigt und dann auf mehreren Geräten FRST durchlaufen lassen.
Bis auf den Lappy bekam ich immer die MD5 legit meldung bei allen Dateien.

Und ja ihr habts richtig erkannt, bei mir ist bis jetzt nur Halbwissen und jahrelange "zur Not plattmachen" Mentalität vorhanden gewesen.
War immer der Ansprechpartner für Freunde und Familie und damit gut zurecht gekommen Daten zu retten und neu zu formatieren.
Auf dem Lappy war nicht viel vorhanden, deshalb wollte ich hier niemanden belästigen damit.

Nun fand ich das Thema aber doch beängstigend und spannend zugleich, weshalb ich mich doch mal angemeldet habe. Dachte wirklich jetzt kommt der fieseste trojaner zum Vorschein.. aber habe dennoch etwas gelernt!

Schönen Sonntag euch zwei

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Zitat:

Zitat von cosinus

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Ja, den md5check bei virustotal werde ich definitiv beibehalten, bevor ich das nächste mal aktiv werde.

Es war zum Glück keine Panik, sondern eher ein "ach schon wieder? hmm.. na gut dann neu aufsetzen" Hatte bis auf ein paar gespeicherte logins keine wichtigen Kreditkarteninfos auf dem Gerät.

Leider hat auch meine erste Suche heute Mittag im Netz nach Signaturcheck not passed in Zusammenhang mit FRST ect. auch gar kein befriedigendes Ergebnis geliefert.


Aber zum Glück gibts ja euch <3



Eine Frage hätte ich noch.

Dieser Absatz hier in euren Tutorials hatte mich verunsichert und dazu gebracht dieses Thema zu eröffnen:

Zitat:

SigCheck
FRST überprüft eine Reihe von wichtigen Systemdateien. Dateien, die keine korrekte digitale Signatur besitzen, oder Dateien, die fehlen, werden aufgelistet. Außerhalb der Wiederherstellungsumgebung nutze diese Sektion eine Whitelist, wenn es keine Probleme mit den Dateien gibt.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Worüber haben wir eben gerade gesprochen?
Trotzdem fängst du schon wieder an mit den Dateien ersetzen, die eine unbekanne Signatur haben.

Servus,


du musst lernen, genau zu lesen:

Zitat:

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

In der Wiederherstellungsumgebung kann die Signatur nicht überprüft werden, stattdessen werden bekannte MD5 Prüfsummen als "legit" klassifiziert, unbekannte MD5 Prüfsummen werden aufgelistet, Datei mit unbekannte Prüfsumme inklusive Firmenname:
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

Zitat:

Zitat von KimNi

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Wenn man sich mit FRST nicht auskennt, sollte man davon die Finger lassen.

Nimm stattdessen in der Kommandozeile folgenden Befehl:

Zitat:

SFC /scannow

Nochmal... nicht mit Tools selber rumspielen, wenn man nur Halbwissen hat.

In FRST sind zwar verschiedene "Schutzmechanismen" eingebaut, aber Farbar (=Entwickler von FRST) kann nicht jede unbedarfte Aktion von Nutzern vorhersehen, die mit seinem Tool "rumspielen"

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Zitat:

Zitat von M-K-D-B

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Zitat:

Zitat von KimNi

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Es ist ja in Ordnung wachsam zu bleiben. Aber in dieser Form ist das Unsinn.
Was ist denn überhaupt der Anlass, dass du deine Windows-Installation so sehr unter die Lupe nimmst? Wenn du Microsoft nicht traust gibt es eigentlich nur eine Konsequenz.

Ach, ich hatte da eigt nur noch einmal FRST laufen lassen, weil ich mir erhofft habe aus dem Vergleich zwischen dem alten und dem neuen Log von dem Rechner schlau zu werden.

Die Unterschiede hätten mich interessiert. Aber ins detailierte durchforsten bin ich dann bis jetzt garnicht mehr gekommen weil die unwissenden Augen gleich groß wurden bei den signaturen - zu unrecht wie ich nun weiß

Bis auf Datensammlerei unterstelle ich Microsoft auch erstmal nichts, dachte eher die Signatur könnte evtl. gefälscht sein..da fehlte mir die Erfahrung und das Beispiel hat mich verwirrt.

Aber mit der Konsequenz hast du recht. Linux läuft nebenbei seit einiger Zeit, leider bin ich aus Softwaregründen noch an MS gebunden.

Zitat:

Zitat von KimNi

Aber mit der Konsequenz hast du recht. Linux läuft nebenbei seit einiger Zeit, leider bin ich aus Softwaregründen noch an MS gebunden.

Willkommen im Club.
Ich verdiene aber mit beiden Schienen meine Brötchen Ich muss mich in meinem Betrieb mit Windows und Linux herumschlagen.

Zitat:

Zitat von KimNi

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Alles gut, getriggert hast du hier niemanden.


Eine kleine Korrektur, hab da im letzten Post einen Fehler reingepackt (sorry dafür... muss immer aufpassen, dass ich signer und company nicht verwechsle):
FRST kann in der Wiederherstellungsumgebung keine Signatur überprüfen. Es nutzt bekannte MD5 Prüfsummen und gibt dann "legit" zurück oder es listet unbekannte Dateien mit Firmenname und MD5 auf.
Nur im normalen/abgesicherten Modus kann die Signatur überprüft werden.

Laut Farbar sollte man FRST nur dann in der Wiederherstellungsumgebung ausführen, wenn der normale und der abgesicherte Modus nicht funktionieren.
Wenn du FRST im normalen Modus ausgeführt hättest, dann hätte FRST keine Systemdatei angezeigt (weil alle legitim sind) und es wäre auch zu keiner Verwirrung gekommen. Folglich hättest du dir auch die Neuinstallation vermutlich sparen können.

FRST das nächste Mal bitte im normalen Modus ausführen und hier im Forum fragen, wenn es Probleme geben sollte.

Die von dir genannten MD5 Prüfsummen wurden überprüft und in die Datenbank von FRST aufgenommen.
Vielen Dank.

Zitat:

Zitat von M-K-D-B

Laut Farbar sollte man FRST nur dann in der Wiederherstellungsumgebung ausführen, wenn der normale und der abgesicherte Modus nicht funktionieren.
Wenn du FRST im normalen Modus ausgeführt hättest, dann hätte FRST keine Systemdatei angezeigt (weil alle legitim sind) und es wäre auch zu keiner Verwirrung gekommen. Folglich hättest du dir auch die Neuinstallation vermutlich sparen können.

Danke für die Erklärung! Jetzt ergibt es Sinn, dass dort nie Einträge zu sehen sind in den Logs wenn man es normal startet.

Nur in der Wiederherstellungsumgebung gibt es für jede Systemdatei einen Eintrag.
Entweder mit legit (wenn ihr den md5 Wert vorher schon in der Datenbank habt) oder halt mit neuer md5 Prüfsumme.