Zitat:

Zitat von cosinus

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Ja, den md5check bei virustotal werde ich definitiv beibehalten, bevor ich das nächste mal aktiv werde.

Es war zum Glück keine Panik, sondern eher ein "ach schon wieder? hmm.. na gut dann neu aufsetzen" Hatte bis auf ein paar gespeicherte logins keine wichtigen Kreditkarteninfos auf dem Gerät.

Leider hat auch meine erste Suche heute Mittag im Netz nach Signaturcheck not passed in Zusammenhang mit FRST ect. auch gar kein befriedigendes Ergebnis geliefert.


Aber zum Glück gibts ja euch <3



Eine Frage hätte ich noch.

Dieser Absatz hier in euren Tutorials hatte mich verunsichert und dazu gebracht dieses Thema zu eröffnen:

Zitat:

SigCheck
FRST überprüft eine Reihe von wichtigen Systemdateien. Dateien, die keine korrekte digitale Signatur besitzen, oder Dateien, die fehlen, werden aufgelistet. Außerhalb der Wiederherstellungsumgebung nutze diese Sektion eine Whitelist, wenn es keine Probleme mit den Dateien gibt.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Servus,


du musst lernen, genau zu lesen:

Zitat:

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

In der Wiederherstellungsumgebung kann die Signatur nicht überprüft werden, stattdessen werden bekannte MD5 Prüfsummen als "legit" klassifiziert, unbekannte MD5 Prüfsummen werden aufgelistet, Datei mit unbekannte Prüfsumme inklusive Firmenname:
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6

Zitat:

Zitat von KimNi

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Wenn man sich mit FRST nicht auskennt, sollte man davon die Finger lassen.

Nimm stattdessen in der Kommandozeile folgenden Befehl:

Zitat:

SFC /scannow

Nochmal... nicht mit Tools selber rumspielen, wenn man nur Halbwissen hat.

In FRST sind zwar verschiedene "Schutzmechanismen" eingebaut, aber Farbar (=Entwickler von FRST) kann nicht jede unbedarfte Aktion von Nutzern vorhersehen, die mit seinem Tool "rumspielen"

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Zitat:

Zitat von M-K-D-B

Das oben zitierte Beispiel (Hijacker.DNS.Hosts) ist vielleicht eher schlecht gewählt fürs Tutorial... ich frag mal bei Farbar nach, ob man da was anderes ins Tutorial packen kann.

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Zitat:

Zitat von KimNi

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Es ist ja in Ordnung wachsam zu bleiben. Aber in dieser Form ist das Unsinn.
Was ist denn überhaupt der Anlass, dass du deine Windows-Installation so sehr unter die Lupe nimmst? Wenn du Microsoft nicht traust gibt es eigentlich nur eine Konsequenz.

Ach, ich hatte da eigt nur noch einmal FRST laufen lassen, weil ich mir erhofft habe aus dem Vergleich zwischen dem alten und dem neuen Log von dem Rechner schlau zu werden.

Die Unterschiede hätten mich interessiert. Aber ins detailierte durchforsten bin ich dann bis jetzt garnicht mehr gekommen weil die unwissenden Augen gleich groß wurden bei den signaturen - zu unrecht wie ich nun weiß

Bis auf Datensammlerei unterstelle ich Microsoft auch erstmal nichts, dachte eher die Signatur könnte evtl. gefälscht sein..da fehlte mir die Erfahrung und das Beispiel hat mich verwirrt.

Aber mit der Konsequenz hast du recht. Linux läuft nebenbei seit einiger Zeit, leider bin ich aus Softwaregründen noch an MS gebunden.

Zitat:

Zitat von KimNi

Aber mit der Konsequenz hast du recht. Linux läuft nebenbei seit einiger Zeit, leider bin ich aus Softwaregründen noch an MS gebunden.

Willkommen im Club.
Ich verdiene aber mit beiden Schienen meine Brötchen Ich muss mich in meinem Betrieb mit Windows und Linux herumschlagen.

Zitat:

Zitat von KimNi

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Alles gut, getriggert hast du hier niemanden.


Eine kleine Korrektur, hab da im letzten Post einen Fehler reingepackt (sorry dafür... muss immer aufpassen, dass ich signer und company nicht verwechsle):
FRST kann in der Wiederherstellungsumgebung keine Signatur überprüfen. Es nutzt bekannte MD5 Prüfsummen und gibt dann "legit" zurück oder es listet unbekannte Dateien mit Firmenname und MD5 auf.
Nur im normalen/abgesicherten Modus kann die Signatur überprüft werden.

Laut Farbar sollte man FRST nur dann in der Wiederherstellungsumgebung ausführen, wenn der normale und der abgesicherte Modus nicht funktionieren.
Wenn du FRST im normalen Modus ausgeführt hättest, dann hätte FRST keine Systemdatei angezeigt (weil alle legitim sind) und es wäre auch zu keiner Verwirrung gekommen. Folglich hättest du dir auch die Neuinstallation vermutlich sparen können.

FRST das nächste Mal bitte im normalen Modus ausführen und hier im Forum fragen, wenn es Probleme geben sollte.

Die von dir genannten MD5 Prüfsummen wurden überprüft und in die Datenbank von FRST aufgenommen.
Vielen Dank.

Zitat:

Zitat von M-K-D-B

Laut Farbar sollte man FRST nur dann in der Wiederherstellungsumgebung ausführen, wenn der normale und der abgesicherte Modus nicht funktionieren.
Wenn du FRST im normalen Modus ausgeführt hättest, dann hätte FRST keine Systemdatei angezeigt (weil alle legitim sind) und es wäre auch zu keiner Verwirrung gekommen. Folglich hättest du dir auch die Neuinstallation vermutlich sparen können.

Danke für die Erklärung! Jetzt ergibt es Sinn, dass dort nie Einträge zu sehen sind in den Logs wenn man es normal startet.

Nur in der Wiederherstellungsumgebung gibt es für jede Systemdatei einen Eintrag.
Entweder mit legit (wenn ihr den md5 Wert vorher schon in der Datenbank habt) oder halt mit neuer md5 Prüfsumme.

Es freut mich, dass wir das verständlich machen konnten.