Hallo erstmal in die Runde,
ich glaub ich benötige eure Hilfe.


Ich habe vor ein paar Tagen meinen Laptop mit FRST gescannt und mich dann entschieden ihn neu zu formatieren aufgrund mehrerer Windows Dateien die den Sigcheck nicht bestanden haben.


Jetzt habe ich den FRST nach einer frischen Windows 10 22H2 Installation nochmal laufen lassen und folgenden log bekommen


Es sind immer noch viele Windows Systemdateien kompromitiert..
Was kann ich da tun? Wie kann das sein?

Mein Weltbild wankt gerade etwas, ich dachte immer nach ner formatierten Festplatte und frischen Neuinstallation wäre man sicher was Viren oder Trojaner angeht..



ich poste im Startpost erstmal nur den Anfang und das Ende weil der log 600000 Zeichen enthält.

Zitat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 23.02.2024
Ran by SYSTEM on MININT-NJ4I2O5 (25-02-2024 12:36:56)
Running from h:\\FRST64.exe
Platform: Windows 10 Home Version 22H2 19045.4046 (X64) Language: Deutsch (Deutschland) -> Deutsch (Deutschland)
Boot Mode: Recovery
Default: ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.

Und das Ende vom log.:

Zitat:

==================== SigCheck ============================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe
[2024-02-25 11:49] - [2024-02-25 11:49] - 005577144 _____ (Microsoft Corporation) 90F012A88EAA904F0A62A86141BE4C2B

C:\Windows\SysWOW64\explorer.exe
[2024-02-25 11:51] - [2024-02-25 11:51] - 004909880 _____ (Microsoft Corporation) CAD2D8D2F34B38A1F912FA36B99C2A6B

C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll
[2024-02-25 11:50] - [2024-02-25 11:50] - 001698904 _____ (Microsoft Corporation) 9C97D5400DF844FB7E920AEE07A5FE58

C:\Windows\SysWOW64\User32.dll
[2024-02-25 11:51] - [2024-02-25 11:51] - 001683400 _____ (Microsoft Corporation) 8CC3839D55AB79F060F09093E561780B

C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\dnsapi.dll
[2024-02-25 11:50] - [2024-02-25 11:50] - 000827048 _____ (Microsoft Corporation) DE67B43CCFF4861AA8D4951974C9BFDC

C:\Windows\SysWOW64\dnsapi.dll
[2024-02-25 11:51] - [2024-02-25 11:51] - 000587920 _____ (Microsoft Corporation) C94BF70DEBB894C69AAA358E39E062A4

C:\Windows\System32\dllhost.exe => MD5 is legit
C:\Windows\SysWOW64\dllhost.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Association (Whitelisted) =============


==================== Restore Points =========================

Restore point date: 2024-02-25 12:26
Restore point date: 2024-02-25 12:26

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 8173.21 MB
Available physical RAM: 7028.35 MB
Total Virtual: 8173.21 MB
Available Virtual: 7083.71 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:367.01 GB) (Free:336.51 GB) (Model: INTENSO SSD) NTFS
Drive d: (Volume) (Fixed) (Total:97.66 GB) (Free:48.69 GB) (Model: INTENSO SSD) NTFS
Drive f: () (Fixed) (Total:0.53 GB) (Free:0.08 GB) (Model: INTENSO SSD) NTFS
Drive h: (K) (Removable) (Total:0.95 GB) (Free:0.95 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.49 GB) (Free:0.49 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.05 GB) (Free:0.02 GB) (Model: INTENSO SSD) NTFS ==>[system with boot components (obtained from drive)]


==================== MBR & Partition Table ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 72E19441)
Partition 1: (Active) - (Size=50 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=367 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=546 MB) - (Type=27)
Partition 4: (Not Active) - (Size=97.7 GB) - (Type=0F Extended)

==========================================================
Disk: 1 (Size: 981 MB) (Disk ID: 0217934C)
Partition 1: (Active) - (Size=981 MB) - (Type=FAT32)
ErrorUnloadSoftware: 5
==================== End of FRST.txt ========================

Vielen Dank im Voraus, falls da mal jemand drüberschauen mag poste ich gerne den Rest des Logs.

Liebe Grüße,
Kim

Zitat:

Ich habe vor ein paar Tagen meinen Laptop mit FRST gescannt und mich dann entschieden ihn neu zu formatieren aufgrund mehrerer Windows Dateien die den Sigcheck nicht bestanden haben.

Und wieso fragst du nicht hier nach, bevor du neu installierst?



Alle Dateien haben als Firmenname Microsoft, ein Beispiel:

Zitat:

C:\Windows\System32\winlogon.exe
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

Also sieht es schon mal nicht schlecht aus.


Eine Kontrolle der MD5 bei VirusTotal sagt auch, dass alles gut ist, siehe hier.

FRST hat diese MD5s halt nicht in der Datenbank, was aber nicht bedeutet, dass sie bösartig sind.


Das Ganze lässt vermuten, dass du aus Unwissenheit dein System umsonst neu installiert hast.

Ich habe dein Thema in den Diskussionsbereich verschoben.

Das ist doch ein Muster, das man hier viel zu oft beobachtet. Man versteht etwas nicht, also kann es nur der fieseste Virus ever sein, der im BIOS und Netzteil steckt und alle Systemdateien manipuliert

Hey vielen Dank für die schnellen Rückmeldungen!


Ich habe mich die letzten Tage wieder ein wenig mit dem Thema beschäftigt und dann auf mehreren Geräten FRST durchlaufen lassen.
Bis auf den Lappy bekam ich immer die MD5 legit meldung bei allen Dateien.

Und ja ihr habts richtig erkannt, bei mir ist bis jetzt nur Halbwissen und jahrelange "zur Not plattmachen" Mentalität vorhanden gewesen.
War immer der Ansprechpartner für Freunde und Familie und damit gut zurecht gekommen Daten zu retten und neu zu formatieren.
Auf dem Lappy war nicht viel vorhanden, deshalb wollte ich hier niemanden belästigen damit.

Nun fand ich das Thema aber doch beängstigend und spannend zugleich, weshalb ich mich doch mal angemeldet habe. Dachte wirklich jetzt kommt der fieseste trojaner zum Vorschein.. aber habe dennoch etwas gelernt!

Schönen Sonntag euch zwei

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Zitat:

Zitat von cosinus

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Ja, den md5check bei virustotal werde ich definitiv beibehalten, bevor ich das nächste mal aktiv werde.

Es war zum Glück keine Panik, sondern eher ein "ach schon wieder? hmm.. na gut dann neu aufsetzen" Hatte bis auf ein paar gespeicherte logins keine wichtigen Kreditkarteninfos auf dem Gerät.

Leider hat auch meine erste Suche heute Mittag im Netz nach Signaturcheck not passed in Zusammenhang mit FRST ect. auch gar kein befriedigendes Ergebnis geliefert.


Aber zum Glück gibts ja euch <3



Eine Frage hätte ich noch.

Dieser Absatz hier in euren Tutorials hatte mich verunsichert und dazu gebracht dieses Thema zu eröffnen:

Zitat:

SigCheck
FRST überprüft eine Reihe von wichtigen Systemdateien. Dateien, die keine korrekte digitale Signatur besitzen, oder Dateien, die fehlen, werden aufgelistet. Außerhalb der Wiederherstellungsumgebung nutze diese Sektion eine Whitelist, wenn es keine Probleme mit den Dateien gibt.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Servus,


du musst lernen, genau zu lesen:

Zitat:

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

In der Wiederherstellungsumgebung kann die Signatur nicht überprüft werden, stattdessen werden bekannte MD5 Prüfsummen als "legit" klassifiziert, unbekannte MD5 Prüfsummen werden aufgelistet, Datei mit unbekannte Prüfsumme inklusive Firmenname:
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

Zitat:

Zitat von KimNi

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Wenn man sich mit FRST nicht auskennt, sollte man davon die Finger lassen.

Nimm stattdessen in der Kommandozeile folgenden Befehl:

Zitat:

SFC /scannow

Nochmal... nicht mit Tools selber rumspielen, wenn man nur Halbwissen hat.

In FRST sind zwar verschiedene "Schutzmechanismen" eingebaut, aber Farbar (=Entwickler von FRST) kann nicht jede unbedarfte Aktion von Nutzern vorhersehen, die mit seinem Tool "rumspielen"

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Zitat:

Zitat von M-K-D-B

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Worüber haben wir eben gerade gesprochen?
Trotzdem fängst du schon wieder an mit den Dateien ersetzen, die eine unbekanne Signatur haben.