Windows Dateien sigcheck not passed. - Hijacker.DNS.Hosts Befall ?
 

Hallo erstmal in die Runde,
ich glaub ich benötige eure Hilfe.:pfeiff:


Ich habe vor ein paar Tagen meinen Laptop mit FRST gescannt und mich dann entschieden ihn neu zu formatieren aufgrund mehrerer Windows Dateien die den Sigcheck nicht bestanden haben.


Jetzt habe ich den FRST nach einer frischen Windows 10 22H2 Installation nochmal laufen lassen und folgenden log bekommen :heulen:


Es sind immer noch viele Windows Systemdateien kompromitiert..
Was kann ich da tun? Wie kann das sein?

Mein Weltbild wankt gerade etwas, ich dachte immer nach ner formatierten Festplatte und frischen Neuinstallation wäre man sicher was Viren oder Trojaner angeht..



ich poste im Startpost erstmal nur den Anfang und das Ende weil der log 600000 Zeichen enthält.

Und das Ende vom log.:


Vielen Dank im Voraus, falls da mal jemand drüberschauen mag poste ich gerne den Rest des Logs.

Liebe Grüße,
Kim

:hallo:




Und wieso fragst du nicht hier nach, bevor du neu installierst?



Alle Dateien haben als Firmenname Microsoft, ein Beispiel:

Also sieht es schon mal nicht schlecht aus.


Eine Kontrolle der MD5 bei VirusTotal sagt auch, dass alles gut ist, siehe hier.

FRST hat diese MD5s halt nicht in der Datenbank, was aber nicht bedeutet, dass sie bösartig sind.


Das Ganze lässt vermuten, dass du aus Unwissenheit dein System umsonst neu installiert hast. ;)

Ich habe dein Thema in den Diskussionsbereich verschoben.

Das ist doch ein Muster, das man hier viel zu oft beobachtet. Man versteht etwas nicht, also kann es nur der fieseste Virus ever sein, der im BIOS und Netzteil steckt und alle Systemdateien manipuliert ;)

Hey vielen Dank für die schnellen Rückmeldungen!


Ich habe mich die letzten Tage wieder ein wenig mit dem Thema beschäftigt und dann auf mehreren Geräten FRST durchlaufen lassen.
Bis auf den Lappy bekam ich immer die MD5 legit meldung bei allen Dateien.

Und ja ihr habts richtig erkannt, bei mir ist bis jetzt nur Halbwissen und jahrelange "zur Not plattmachen" Mentalität vorhanden gewesen.
War immer der Ansprechpartner für Freunde und Familie und damit gut zurecht gekommen Daten zu retten und neu zu formatieren.
Auf dem Lappy war nicht viel vorhanden, deshalb wollte ich hier niemanden belästigen damit.

Nun fand ich das Thema aber doch beängstigend und spannend zugleich, weshalb ich mich doch mal angemeldet habe. Dachte wirklich jetzt kommt der fieseste trojaner zum Vorschein.. aber habe dennoch etwas gelernt!

Schönen Sonntag euch zwei :)

Angst und Panik sind sehr schlechte Ratgeber. Mal ein Tipp für die Zukunft: immer gegenchecken und sich nicht auf eine Quelle verlassen. Man kann auch in einem Forum nach Abgleich der Prüfsummen fragen bevor man grundlos als niederformatiert.

Erstmal bedeutet eine andere Prüfsumme nur, dass das eine andere Datei ist. Aber nicht, was für Änderungen da drin sind, über die Art der Änderungen kann eine Prüfsumme allein keinen Aufschluss geben. Esei denn es handelt sich um eine bekannte Malwaredatei mit bekannter Prüfsumme.

Ja, den md5check bei virustotal werde ich definitiv beibehalten, bevor ich das nächste mal aktiv werde.

Es war zum Glück keine Panik, sondern eher ein "ach schon wieder? hmm.. na gut dann neu aufsetzen" Hatte bis auf ein paar gespeicherte logins keine wichtigen Kreditkarteninfos auf dem Gerät.

Leider hat auch meine erste Suche heute Mittag im Netz nach Signaturcheck not passed in Zusammenhang mit FRST ect. auch gar kein befriedigendes Ergebnis geliefert.


Aber zum Glück gibts ja euch <3

:dankeschoen:

Eine Frage hätte ich noch.

Dieser Absatz hier in euren Tutorials hatte mich verunsichert und dazu gebracht dieses Thema zu eröffnen:

Wie funktioniert dieser Befehl und würdet ihr mir empfehlen, den zu machen?

Worüber haben wir eben gerade gesprochen?
Trotzdem fängst du schon wieder an mit den Dateien ersetzen, die eine unbekanne Signatur haben.

Servus,


du musst lernen, genau zu lesen:
In der Wiederherstellungsumgebung kann die Signatur nicht überprüft werden, stattdessen werden bekannte MD5 Prüfsummen als "legit" klassifiziert, unbekannte MD5 Prüfsummen werden aufgelistet, Datei mit unbekannte Prüfsumme inklusive Firmenname:
[2024-02-25 11:50] - [2024-02-25 11:50] - 000906240 _____ (Microsoft Corporation) 519C6AB40D0CEBBD558935D10A3950C6




Wenn man sich mit FRST nicht auskennt, sollte man davon die Finger lassen.

Nimm stattdessen in der Kommandozeile folgenden Befehl:


Nochmal... nicht mit Tools selber rumspielen, wenn man nur Halbwissen hat.

In FRST sind zwar verschiedene "Schutzmechanismen" eingebaut, aber Farbar (=Entwickler von FRST) kann nicht jede unbedarfte Aktion von Nutzern vorhersehen, die mit seinem Tool "rumspielen"

Danke sehr. Genau das Beispiel hat mich dazu gebracht dem Eintrag (Microsoft Windows corp.) nicht vertrauen zu können.

Tut mir leid, falls ich euch getriggert hab.

Ich wollte nicht "rumspielen" sondern es halt verstehen was die Einträge in meinem Log bedeuten.
Für euch mag das alles klar sein, für mich ist das Neuland. Ich finde das dennoch ein sehr wichtiges Thema und möchte gerne verstehen was in meinen Maschinen abläuft, oder die mir vor die Nase gesetzt werden.

Und wenn das Beispiel genau meine Zeilen mit microsoft corp ect. in der Signaur enthält rechne ich halt 1+1 zusammen. ergo: ich kann der signatur nicht vertrauen-da muss legit stehen.

Deinen Hinweis auf checksum bei Virustotal habe ich verstanden. Check ich ab sofort dort.

Die Fragen haben sich jetzt auch aufgeklärt.
Danke für eure Zeit bis hierhin, ich nehme euren Input mit und werde mich im Stillen weiterbilden.

Es ist ja in Ordnung wachsam zu bleiben. Aber in dieser Form ist das Unsinn.
Was ist denn überhaupt der Anlass, dass du deine Windows-Installation so sehr unter die Lupe nimmst? Wenn du Microsoft nicht traust gibt es eigentlich nur eine Konsequenz.

Ach, ich hatte da eigt nur noch einmal FRST laufen lassen, weil ich mir erhofft habe aus dem Vergleich zwischen dem alten und dem neuen Log von dem Rechner schlau zu werden.

Die Unterschiede hätten mich interessiert. Aber ins detailierte durchforsten bin ich dann bis jetzt garnicht mehr gekommen weil die unwissenden Augen gleich groß wurden bei den signaturen - zu unrecht wie ich nun weiß :pfeiff:

Bis auf Datensammlerei unterstelle ich Microsoft auch erstmal nichts, dachte eher die Signatur könnte evtl. gefälscht sein..da fehlte mir die Erfahrung und das Beispiel hat mich verwirrt.

Aber mit der Konsequenz hast du recht. Linux läuft nebenbei seit einiger Zeit, leider bin ich aus Softwaregründen noch an MS gebunden.

Willkommen im Club.
Ich verdiene aber mit beiden Schienen meine Brötchen Ich muss mich in meinem Betrieb mit Windows und Linux herumschlagen.

Alles gut, getriggert hast du hier niemanden. :)


Eine kleine Korrektur, hab da im letzten Post einen Fehler reingepackt (sorry dafür... muss immer aufpassen, dass ich signer und company nicht verwechsle):
FRST kann in der Wiederherstellungsumgebung keine Signatur überprüfen. Es nutzt bekannte MD5 Prüfsummen und gibt dann "legit" zurück oder es listet unbekannte Dateien mit Firmenname und MD5 auf.
Nur im normalen/abgesicherten Modus kann die Signatur überprüft werden.

Laut Farbar sollte man FRST nur dann in der Wiederherstellungsumgebung ausführen, wenn der normale und der abgesicherte Modus nicht funktionieren.
Wenn du FRST im normalen Modus ausgeführt hättest, dann hätte FRST keine Systemdatei angezeigt (weil alle legitim sind) und es wäre auch zu keiner Verwirrung gekommen. Folglich hättest du dir auch die Neuinstallation vermutlich sparen können.

FRST das nächste Mal bitte im normalen Modus ausführen und hier im Forum fragen, wenn es Probleme geben sollte. ;)

Die von dir genannten MD5 Prüfsummen wurden überprüft und in die Datenbank von FRST aufgenommen.
Vielen Dank.

Danke für die Erklärung! Jetzt ergibt es Sinn, dass dort nie Einträge zu sehen sind in den Logs wenn man es normal startet.

Nur in der Wiederherstellungsumgebung gibt es für jede Systemdatei einen Eintrag.
Entweder mit legit (wenn ihr den md5 Wert vorher schon in der Datenbank habt) oder halt mit neuer md5 Prüfsumme. :huepp: