Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: OTL-Log, Verdacht auf Infizierung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.06.2011, 09:27   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Zitat:
hat versucht auf einem Rechner 2 OS parallel am laufen zu halten
Und welche sind das? Win7 64-Bit und welches noch?

Zitat:
damit das geht musste bei der Installation der OS bereits einige Grundfunktionen erweitert werden.
Was meinst du mit Grundfunktionen?
Zitat:
Alle Funktionen die man löschen konnte wurden am ende des experiments gelöscht, die anderen sind unantastbar, eine veränderung würde das system einfach abstürtzen lassen, sicherheits CD, orginal zustand... quasi unangreifbar.
Macht irgendwie keinen Sinn oder ich versteh diesen Satz überhaupt nicht.
Wenn du ein anderes Betriebssystem wie Linux parallel installiert hättest, würde sich der MBR natürlich bei der Installation ändern, der der Bootloader GRUB von Linux sich in den MBR schreibt. Dann kann man beim Starten eben Windows oder Linux auswählen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.06.2011, 13:14   #17
DasDa
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Also sein experiment hatte 2 Stufen:

1. Durch eine einfache Taste wurde der Arbeitsspeicher auf die Festplatte kopiert, das System wurde neu gestartet und das jeweils andere OS (Linux oder Win 7) wurde automatisch ausgewählt, der auf die Platte kopierte Inhalt des Arbeitsspeicher (vom nun aktuellen OS natürlich) wurde wieder in diesen überschrieben.

Also eine erweiterung des Schlaf/StandBy-Modus, so das man nicht alles abspeichern beenden und dann alles neustarten muss.



Der 2. Schritt war dann den Inhalt des Arbeitsspeicher über den Systemneustart hinaus zu erhalten, da es sonst unpraktisch lange dauert.

Dadurch musste ein 'Wächter' wie er es nannte von anfang an und wärend beiden Systemen dafür sorgen, dass wärend des Bootens z.B. nur Riegel 3 verwendet wird und wärend das System läuft der riegel mit dem jeweils anderen systemdaten unangetastet bleibt.


Und schwups (*Monatelange Arbeit) konnte man innerhalb von 10-20s von win7 auf Linux umschalten (aber nicht anderstrum). Das System lief nie länger als 30min Stabil, aber er hat bewiesen das es geht und wenn er irgendwann mal die Mittel für ein Programierer Team hat (er hat ja alles alleine gemacht) möchte er das ganze Marktreif machen.


So ich weiß nun nicht ob das für einen experten sinn macht, aber ich bin keiner (Weiß ja noch nicht mal was ein MBR alles macht), und deswegen hat er mir es so erklärt und er meinte wenn man an dem MBR rumspielt wird Win 7 (abstürtzen oder kann nicht mehr starten - eins von beiden), so das ich von der CD aus ihn wiederherstellen müsste.
__________________


Alt 03.06.2011, 14:56   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Zitat:
1. Durch eine einfache Taste wurde der Arbeitsspeicher auf die Festplatte kopiert,
Du meinst sowas wie den Ruhezustand? Hibernation?

Zitat:
Der 2. Schritt war dann den Inhalt des Arbeitsspeicher über den Systemneustart hinaus zu erhalten, da es sonst unpraktisch lange dauert.
Dadurch musste ein 'Wächter' wie er es nannte von anfang an und wärend beiden Systemen dafür sorgen, dass wärend des Bootens z.B. nur Riegel 3 verwendet wird und wärend das System läuft der riegel mit dem jeweils anderen systemdaten unangetastet bleibt.
Du ein Virenscanner hat Schädlinge in der Hibernationdatei (hiberfil.sys) gefunden?
Wie kommst du auf die Idee, dass nur ein bestimter Riegel verwendet wird, das ist völlig egal welcher genutzt wird. Ich kann deine Ausführungen da manchmal nicht nachvollziehen.

Zitat:
Das System lief nie länger als 30min Stabil, aber er hat bewiesen das es geht und wenn er irgendwann mal die Mittel für ein Programierer Team hat (er hat ja alles alleine gemacht) möchte er das ganze Marktreif machen.
Ich weiß ja nicht was er für ein eigenes tolles Tool da "programmiert" hat, aber Ruhezustand ist schon lange nichts neues mehr. Hat doch fast jedes Betriebssystem, wozu hat er das Rad neu erfunden?
Und ja wenn man den Ruhezustand nutzt, sollte die Kiste schneller aus dem Ruhezustand zurück sein, als ein normaler Bootvorgang dauert (je nach Konfig)
Inwiefern das Sinn macht in 10-20s von Windows auf Linux zu wechseln ist ne andere Sache. Aus deiner Beschreibung werd ich nicht so recht schlau ob das einfach nur per hibernation passiert oder ob da noch was anderes im Spiel ist. Und wenn man will könnte man Windows und Linux gleichzeitig laufen lassen, einfach eine virtuelle Maschine einrichten.

Zitat:
So ich weiß nun nicht ob das für einen experten sinn macht, aber ich bin keiner (Weiß ja noch nicht mal was ein MBR alles macht), und deswegen hat er mir es so erklärt und er meinte wenn man an dem MBR rumspielt wird Win 7 (abstürtzen oder kann nicht mehr starten - eins von beiden), so das ich von der CD aus ihn wiederherstellen müsste.
Ja der MBR ist wichtig, aber der wurde offensichtlich bei dir manipuliert. Ob nun ein Linux bei dir immer noch parallel installiert ist und du es auch noch brauchst, hab ich jetzt aber nicht so richtig herausgelesen
__________________
__________________

Alt 03.06.2011, 15:49   #19
DasDa
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Er entwickelt Code der auf Windows und Linux laufen soll, hat auch 2 zeitgleich laufende computer und als mittelloser Student kam er eben auf die idee den ruhezustand zu beschleunigen damit 1 PC ausreicht.

Weshalb er unter Linux nicht einfach ein Virtuelles Windows oder so nutzt weiß ich nicht, soll irgendie andere ergebnisse liefern.


Aber sowohl Win als auch Linux hat die im arbeitsspeicher enthaltenen Daten nicht erkannt, oder gar nicht drauf geachtet ob noch was drin ist, sondern haben einfach überschrieben, deswegen hat er verhindert, das z.B. Win7 Riegel 2 erkennt und benutzt - sollte noch eleganter gelößt werden. diese "Grundfunktion" des systems Hardware automatisch zu erkennen und zu nutzen wurde z.B. von ihm teilweise verändert, ist inzwischen aber wieder im Orginalzustand.

Linux wurde inzwischen auch entfernt, ich nutze Ubuntu Life System wenn ich es mal brauche, aber der von ihm geschriebene MBR, der unbekannte MBR, der eben das wechseln zwischen den systemen automatisieren soll ist immer noch da. Da Linux fehlt startet er eben einfach nur Windows.

Alt 03.06.2011, 19:09   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Ok - Rechner wieder im Lot?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.06.2011, 20:33   #21
DasDa
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Zitat:
Ok - Rechner wieder im Lot?
Er Funktioniert wurderbar - ohne Zonealarm sogar noch besser xD
Nochmals danke für deine mühe, ich hoffe doch für die Arbeit hier werdet ihr wenigstends bezahlt^^

Alt 06.06.2011, 20:43   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
OTL-Log, Verdacht auf Infizierung - Standard

OTL-Log, Verdacht auf Infizierung



Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu OTL-Log, Verdacht auf Infizierung
adobe, akamai, alert, alternate, antivir, avira, bho, black, c:\windows\system32\rundll32.exe, checkpoint, conduit, eraser, error, explorer, firefox, flash player, format, hijack, hijackthis, install.exe, internet, jdownloader, lightning, logfile, mozilla, nexus, object, oldtimer, otl-log, otl-scan, plug-in, realtek, registry, rundll, safer networking, security, shortcut, software, sptd.sys, start menu, system, syswow64, teamspeak, webcheck, weiße seite, windows




Ähnliche Themen: OTL-Log, Verdacht auf Infizierung


  1. QONE8 Infizierung
    Plagegeister aller Art und deren Bekämpfung - 16.06.2014 (25)
  2. Windows 7/Verdacht auf Infizierung mit BKA-Trojaner u.a.
    Log-Analyse und Auswertung - 23.12.2013 (2)
  3. snap.do Infizierung
    Plagegeister aller Art und deren Bekämpfung - 19.04.2013 (3)
  4. BKA-Infizierung
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (14)
  5. Infizierung mit Sirefef.AH
    Log-Analyse und Auswertung - 17.01.2013 (17)
  6. Infizierung deo0_sar.exe
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (2)
  7. verdacht von spyeye infizierung
    Log-Analyse und Auswertung - 27.07.2012 (34)
  8. Infizierung in der Registry
    Log-Analyse und Auswertung - 16.10.2011 (57)
  9. Verdacht auf Infizierung
    Log-Analyse und Auswertung - 29.04.2011 (4)
  10. Auswertung - Log File (Verdacht auf Infizierung besteht nicht!)
    Log-Analyse und Auswertung - 26.09.2010 (0)
  11. Infizierung mit SSHNAS ?
    Log-Analyse und Auswertung - 22.09.2010 (11)
  12. Infizierung mit malware-gen
    Log-Analyse und Auswertung - 17.02.2010 (16)
  13. Infizierung mit TR/ATRAPS.gen ?
    Log-Analyse und Auswertung - 14.11.2009 (12)
  14. Verdacht auf Infizierung [Bitte Logfile analysieren]
    Log-Analyse und Auswertung - 10.09.2008 (5)
  15. Wie gehe ich mit der infizierung um?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2008 (8)
  16. TR/PSW.LineaX.X Infizierung
    Plagegeister aller Art und deren Bekämpfung - 26.01.2006 (9)
  17. Hotbar Infizierung
    Plagegeister aller Art und deren Bekämpfung - 01.11.2005 (4)

Zum Thema OTL-Log, Verdacht auf Infizierung - Zitat: hat versucht auf einem Rechner 2 OS parallel am laufen zu halten Und welche sind das? Win7 64-Bit und welches noch? Zitat: damit das geht musste bei der Installation - OTL-Log, Verdacht auf Infizierung...
Archiv
Du betrachtest: OTL-Log, Verdacht auf Infizierung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.