|
Hallo, Folgendes Problem: Ich vermute seit längerer Zeit schädlichen Code auf mehreren meiner Internet-Rechner, einer davon ohne Internetzugang. Die Internet-Computer arbeiten jeweils als Einzelplatz-Rechner an einer ISDN-Anlage bzw.auch an einem analogen Standard-Telekom-Anschluß,Einwahl über Modem bzw.ISDN-Karte call by call. Einer der Rechner, nach meiner Einschätzung ebenfalls mit dem Problem behaftet, besitzt keinen Internetzugang. Die Computer laufen mit Windows 98 SE, Windows ME, Windows XP Pro mit AMD Duron 1200 bzw.PII, PIII- Prozessoren, RAM 192 bis 256 MB, je eine HDD mit 20 bis 80 GB, je 1 FDD, CD-Rom /DVD- bzw. CD-R/W- Laufwerk. Die ausführliche Problembeschreibung würde den Rahmen dieser Email sicherlich sprengen, deshalb hier ein Auszug aus den wesentlichen Problembestandteilen: Ich hatte vor kurzem 2 Festplatten aus zweien der Rechner ausgebaut und zwecks Kontrolle bzw. 'Säuberung' an 'Ontrack'in Böblingen gesandt. Zuvor durchgeführte Standard-Festplatten- und Low-Level-Formatierungen beseitigten das mir problematisch erscheinende Verhalten der Rechner nicht. Mit 'Problem' meine ich u.a.,daß Daten auf den Festplatten, trotz zwischenzeitlich durchgeführter diverser Formatierungen, auch durch einen Fachmann, nicht beseitigt werden konnten. Ein Beispiel: Ein von mir eingesetztes Dateiverschlüsselungsprogramm beinhaltet einen Email-Client, in den die persönlichen Daten, wie Name, Passwort für das Internet-Postfach usw. eingegeben werden können. Die dort von mir eingegebenen Daten erschienen bei einer Neuinstallation trotz zwischenzeitlich durchgeführter diverser (Low-Level)-Formatierungen wieder in diesem Email-Client ohne mein Zutun. Die Fa.Ontrack teilte mir mit, daß man Dateien mit außergewöhnlich langen Dateinamen, wie 'aaaaaaaaaaaaaaaaaaaaa......' entdeckt habe, bei denen es sich um schädlichen Code handeln könne, bestätigen wollte man dies nicht. Die Festplatten wurden 'gesäubert' an mich zurückgegeben. Nach dem Wiedereinbau und Neuinstallation von 'Win XP Pro' habe ich als erstes nach dieser Datei gesucht und diese auch auf einem Rechner gefunden, leider war zu diesem Zeitpunkt mein CD-Brenner nicht funktionstüchtig, sodaß ich keine Kopie erstellen konnte (angezeigte Dateigröße knapp 2 GIGAByte, GIGA kein Schreibfehler). Bei einem späteren Neustart war die Datei nicht mehr auffindbar. Bemerken möchte ich in diesem Zusammenhang, daß es sich bei den installierten Programmen um Originalsoftware handelt und ich auch sonst keinerlei zweifelhafte Wechselmedien sowie Verbindungen zu anderen Computern oder dem Internet hatte. Die betreffenden Rechner haben seit langen Monaten keinen Zugang zum Internet gehabt. Meine Frage: Ist ein Trojaner bekannt, der einer Low-Level-Formatierung widerstehen kann und sich immer wieder auf die Festplatte zurückschreiben kann ? Vor der Einsendung der Festplatten an Ontrack hatte ich in der Windows-Registrierung im 'Run'-Service von HKLM längeren Programmcode entdeckt, der sich hinter zwei Punkten '..'am rechten Rand des Bildschirms verbarg, möglicherweise 'SubSeven'(ausschließliche Kontaktversuche, die von der Firewall gemeldet wurden). Den Trojaner habe ich gelöscht, was aber nicht der Kern des Problems war, der lautet Wie ist es möglich, daß sich die oben beschriebene und von 'Ontrack' auf der Festplatte gelöschte Datei sich auf die Festplatte zurückschreibt, oder anders gesagt, warum läßt sich die Festplatte nicht 'säubern', oder kann sich Code noch an anderer Stelle verstecken ? Mein Verdacht geht mittlerweile dahin, daß sich Programmcode in einem nichtflüchtigen Speicher oder in einem Bauteil des Computers verbirgt und sich im Rahmen von Neuinstallationen von Computerprogrammen sich im Hintergrund auf den Rechner schreibt. Leider fehlt mir der Sachverstand, dieses einschätzen zu können, wenn jemand das kommentieren könnte, würde ich mich freuen. Bei einer Kontrolle des CD/DVD Laufwerkes mit dem Programm 'CD-Bremse' habe ich vor wenigen Tagen die oben beschriebenen 'aaaaaaa...'-Zeichen möglicherweise dort wiederentdeckt und zwar 107 Zeichen lang in der Form 'AA AA AA AA...'. Aber vielleicht gibt es ja einen guten Grund für das Vorhandensein einer solchen Zeichenkette dort ? Abschließend möchte ich noch bemerken, daß regelmäßige Antivirenscans mit aktualisierten Virensignaturen von verschiedenen Herstellern keinerlei Ergebnisse bringen. Beim Scan der Festplatten mit einem Linux-Kernel auf Boot-CD werden exotische Partitionen angezeigt wie z.B.'Ontrack DM 6 Aux3, PC/IX , PPC PRep Boot, Netware 386 usw., usw', die größte hat eine Kapazität von ca.800 GIGAByte. Diese finden sich in der einen oder anderen Form auf allen Rechnern, sodaß ein Hardware-Defekt wohl eher unwahrscheinlich ist. Beim Beenden des Programms wird jedesmal gemeldet 'md: recovery threat got woken up', kann dies vielleicht in irgeneiner Form mit dem von mir beobachteten 'Rückschreiben' des vermuteten schädlichen Codes zusammenhängen ? Das Programm 'PartED' meldet 'Can't have a partition outside the disk !'. Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. Vielen Dank im voraus für jeden sachlichen Kommentar. Gruß Alex |
Ohh, Ohh,das hört sich ja garnicht gut an. Aber aufgrund deiner gründlichen Beschreibung kann ich einige Vermutungen anstellen: 1.)Mit einer Formatierung (ich meine jetzt nich Low-Level) können Daten NIE sicher gelöscht werden,sie können immer (mit Spezialtools) wiederhergestellt werden (wär ja Hammer ,wenn ein Virus so etwas eingebaut hätte um sich selbst nach dem Löschen bzw. kompletten Formatieren der HD wiederherzustellen(wenn der Anwender denkt,dass er den Virus endlich los ist). 2.)Wie es scheint ist die Partitionstabelle deiner HD ziemlich zerschossen. Ich hatte dieses problem ebenfalls mal,denn dann helfen selbst Part. Tools wie Part. Magic oder FDisk nicht weiter,die meckern nur um eine "ungültige Partitionstabelle" können den Fehler aber meist auch nicht lösen. Was man dann braucht ist ein Diskeditor,mit dem man die Part.Tabelle direkt beabeiten kann. Hier sollte man dann alle (!) Einträge einfach löschen. 3.)Eine Low-Level Formatierung sollte man eigentlich nachträglich nicht ausführen,habe ich jedenfalls oft gehört. |
</font><blockquote>Zitat:</font><hr /> Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. </font>[/QUOTE]das ist normal (bei mir isses immer so *g*) ansonsten hast du imho nix trojaner-ähnliches drauf, sondern einfach nur ein total zerschossenes dateisystem...die komischen daten inna partitionstabelle...die aufeinmal auftauchenden dateinamen...könnte alles auf grund kaputter dateisystemstrukturen sein...aber ist natürlich nur eine vermutung |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: Ohh, Ohh,das hört sich ja garnicht gut an. Aber aufgrund deiner gründlichen Beschreibung kann ich einige Vermutungen anstellen: 1.)Mit einer Formatierung (ich meine jetzt nich Low-Level) können Daten NIE sicher gelöscht werden,sie können immer (mit Spezialtools) wiederhergestellt werden (wär ja Hammer ,wenn ein Virus so etwas eingebaut hätte um sich selbst nach dem Löschen bzw. kompletten Formatieren der HD wiederherzustellen(wenn der Anwender denkt,dass er den Virus endlich los ist). 2.)Wie es scheint ist die Partitionstabelle deiner HD ziemlich zerschossen. Ich hatte dieses problem ebenfalls mal,denn dann helfen selbst Part. Tools wie Part. Magic oder FDisk nicht weiter,die meckern nur um eine "ungültige Partitionstabelle" können den Fehler aber meist auch nicht lösen. Was man dann braucht ist ein Diskeditor,mit dem man die Part.Tabelle direkt beabeiten kann. Hier sollte man dann alle (!) Einträge einfach löschen. 3.)Eine Low-Level Formatierung sollte man eigentlich nachträglich nicht ausführen,habe ich jedenfalls oft gehört.</font>[/QUOTE]++++++ Hallo, Vielen Dank für Deine Nachricht. Ich gehe momentan nur von öffentlichen Rechnern in's Internet, was naturgemäß immer mit einem gewissen Aufwand verbunden ist, daher bitte ich um Nachsicht für meine verzögerte Antwort. 1.) Es scheint tatsächlich eine Wiederherstellungsroutine auf den Rechnern (plural)zu geben. Ein Scan mit 'Isolinux-Boot-CD' und einigen darauf befindlichen Festplatten-Managern bzw. Diagnose- und Editierwerkzeugen meldet bei jedem Herunterfahren des Rechners sinngemäß in etwa 'md: Recovery-Thread got woken up ..... finished'. Genau dies ist ja das eigentliche Problem, so wie es sich mir darstellt: Eine Formatierung beseitigt, die zumindest mir merkwürdig erscheinenden Eigenschaften des Betriebssystems, die ich im Detail noch gar nicht beschrieben habe,nicht. Wahrscheinlich ist ein großer Teil der 'Merkwürdigkeiten' auf meine Unkenntnis zurückzuführen. Allerdings gibt es, so meine ich jedenfalls, handfeste Indizien, daß hier tatsächlich schädlicher Code am Werke ist. Ein Beispiel hierfür möchte ich dennoch kurz nennen: Ich habe zeitweise mit den Büro-Programmen Staroffice bzw. OpenOffice Kalkulationstabellen erstellt. Bei einer Gelegenheit stellte ich fest, daß im Ordner 'Eigene Dateien' 3 identische Kopien einer Tabellenkalkulation ohne Programm-Icon auftauchten. Das Löschen der Dateiendung (ich meine .sxc)in den 'Ordneroptionen' führte dazu, daß statt meines ursprünglich vergebenen Dateinamens nun einer mit dem Namen 'Berend_Peter_Illko_Tom' erschien. Auch als weitgehender Computer-Laie erscheint es mir schwierig hierin einen Windows-, Software- oder Hardwarefehler zu erblicken. Jedenfalls: Was immer ich bisher unternommen habe, die 'Merkwürdigkeiten' tauchen immer wieder auf, selbst nachdem ich eine nagelneue Festplatte in einen der Rechner eingebaut hatte. Bei der Fa. Ontrack darf man wohl mit Fug und Recht behaupten,daß es sich um ein kompetentes Unternehmen handelt. Ich bin auch davon überzeugt, daß die dort vorgenommene Säuberung meiner 2 Festplatten vollständig und wirksam durchgeführt wurde. Wie läßt sich dann noch erklären, daß sich eine zuvor auf der Festpl.festgestellte Datei namens 'aaaaaaaaaaaaaa..'(teilweise bis über 30 Zeichen lang) nach dem Wiedereinbau der 'gereinigten' Festplatte dort wieder auftaucht? Ich hatte hierbei keine externe Verbindung zu anderen Geräten, Netzen oder Computern hergestellt, und ausschließlich 'Win XP Pro' (Original Kauf-CD von bekanntem Händler) installiert. In einem anderen Internet-Forum hat mir vor einiger Zeit mal jemand geschrieben, daß es Festplatten-Controller gibt, die das System automatisch wiederherstellen. Das würde aber wohl einen physischen Eingriff in den jeweiligen Rechner vorraussetzen, nehme ich an ? Ich stelle eine Verbindung zwischen der von mir beschriebenen 'aaa...' Datei auf der Festplatte mit der im CD-R/W und DVD-Rom-Laufwerk, welches ich mit dem Programm 'CD-Bremse' untersucht habe, her. Dabei habe ich einen 107 Zeichen langen Eintrag der Form 'AA AA AA AA ...' entdeckt, der mir suspekt erscheint, und wie schon ursprünglich beschrieben, mich an die oben beschriebene Datei 'aaaa...'denken läßt.Außerdem gibt es einen 2. Firmware-Eintrag im CD-R/W-Lw., der vom Format völlig verschieden vom ersten ist.Ich habe nie ein Firmware-Update eingespielt.Ist es denkbar, daß sich Programm-Code in der aktualisierten Firmware verstecken könnte ? Den Disk-Editor werde ich nochmal ausprobieren, dies habe ich bereits einmal durch einen Fachmann machen lassen, leider ohne Erfolg. Ich nehme an, daß auch die Fa. Ontrack dies entsprechend durchgeführt hat. Der Bearbeiter sagte mir, es befände sich nach der Säuberung nur noch eine Windows-NT Systempartition mit 512 MB auf dem Rechner. Tatsächlich war die Partition etwa 532 MB groß und es erschien ein MS-Dos Prompt mit der Bezeichnung Dos 6.22. 3.)Eine von mir (versuchsweise) durchgeführte Low-Level-Formatierung von Diskette wurde möglicherweise ohnehin nicht korrekt durchgeführt, es wurden offenbar nicht alle Sektoren in die Formatierung mit einbezogen, laut Anzeige. ******* Ich glaube, das Problem ist derart komplex, daß es sich kaum in diesem Rahmen lösen läßt, und mir scheint, wenn ein Virus im Spiel ist, wird dieser nur zum Ausführen der Schadfunktion benötigt, der eigentliche, wesentliche Code scheint sich ursprünglich nicht auf der Festplatte zu befinden, und schreibt sich deshalb anscheinend nach jeder Neuinstallation des Betriebssystems dorthin zurück. Während des Verlaufs meiner Beobachtungen sind z.B. quasi aus dem Nichts ohne mein Zutun Programme aufgetaucht, die meines Wissens nicht zu einer SB-Version von Win XP Pro gehören, wie etwa Plus! etc. (trotz vorheriger HDD-Formatierung). Jetzt habe ich schon fast wieder einen Brief geschrieben, aber anders läßt sich das Problem, zumindest ansatzweise, leider nicht beschreiben. Die eigentliche Problem ist, ein Unternehmen oder eine Person zu finden, die einen Rechner einmal physisch untersuchen könnte. Ich hatte einen Computer bereits zu 3 verschiedenen Service-Unternehmen gebracht, die aber nur eine Standard-Festplatten-Formatierung durchgeführt haben, was ja nicht hilfreich war und ist. Ich interpretiere Deine Email in der Weise, daß Dir kein Low-Level-resistenter Virus bekannt ist ? Vielen Dank und Gruß Kato ++++++ |
@kato: wenn du von der meldung </font><blockquote>Zitat:</font><hr />md: Recovery-Thread got woken up ..... finished</font>[/QUOTE]auf eine globale recovery-routine schliesst, dann muss ich dich enttäuschen... md ist unter linux die bezeichnung für ein raid-device (raid-festplatte)... unter linux werden ide-festplatten als hd* und scsi-platten als sd* angesehen (wobei * durch einen buchstaben zu ersetzen ist), so wird md als raid-verbund angesehen... und die meldung heisst ja nur, dass die wiederherstellungsroutine des raids aufgewacht ist... ;) das bedeutet nur: in der von dir verwendeten linux-distro ist eine raid-unterstützung eingebaut... [img]graemlins/teufel3.gif[/img] |
Kann es sein, dass sich auf Deiner Festplatte eine versteckte Partition befindet? Ich weiß nicht, ob diese bei einem Low-Level-Format auch formatiert wird. Andererseits hätte die Firma, an die Du die Festplatte gesandt hast, diese Partition finden müssen. Oder hast Du mal ein Programm wie HDGuard oder ähnliches benutzt oder eine "Wächterkarte" (wird oft bei Schulrechner benutzt) eingebaut? Wächterkarte: http://www.su.shuttle.de/su/kasch/pc_waechter.html HDGuard: http://www.trinet.de/produkte/hdd-guard/info.htm Gruß T_R_G |
Also bei einer Low-Level Formatierung, wird die gesamte Festplatte auf "urzustand" zurück gesetzt. Soll heißen alles ist weg. Komplett alles. Auch Partitionen. |
Dann fällt mir als "fast Laie" nur noch ein, dass die Daten vielleicht auf dem Mainboard oder dem CD-ROM/CD-RW in ein EPROM gebrannt wurden (ich will nicht sagen das es ein Virus ist, vielleicht ein technischer defekt). Wenn das Bios neu aufgespielt wird oder die Firmware des CD-ROM neu eingespielt wird, müsste doch ein eventueller Fehler im EPROM überschrieben werden oder irre ich mich da? Gruß T_R_G [ 03. Februar 2003, 19:59: Beitrag editiert von: The_Real_Gummibärchen ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla: </font><blockquote>Zitat:</font><hr /> Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen. </font>[/QUOTE]das ist normal (bei mir isses immer so *g*) ansonsten hast du imho nix trojaner-ähnliches drauf, sondern einfach nur ein total zerschossenes dateisystem...die komischen daten inna partitionstabelle...die aufeinmal auftauchenden dateinamen...könnte alles auf grund kaputter dateisystemstrukturen sein...aber ist natürlich nur eine vermutung</font>[/QUOTE]******** Hallo und vielen Dank für Deine Nachricht. Ich bitte um Nachsicht, wenn ich etwas spät antworte. Ich reagiere aber auf jeden Beitrag in der Reihenfolge des Eingangs, auch wenn es sich mitunter etwas schwieriger gestaltet, da ich mich momentan nur von öffentl.zugänglichen Rechnern melde. Für andere Leser:Ich bin ansonsten auch für jede gutgemeinte Vermutung zum Problem dankbar, letzlich kann man bei schwierigen Sachverhalten eher durch das Sammeln von geeigneten und weniger geeigneten Meinungen zur Problemlösung kommen. 1.Ich unterstelle, daß Du mit Deinem Kommentar zu den von mir beschriebenen farbigen Strukturen beim Booten das Windows Logo meinst. Nicht schlecht, die Idee, aber das ist es nicht. Diese Strukturen erwecken den Anschein, als würden sie eine Art Mikro-Schrift enthalten, ich hatte sogar einmal den Eindruck, als habe ich für einen kurzen Augenblick die Landkarte von einem PC-Spiel gesehen, da das aber nicht wieder aufgetreten ist, habe ich mir das wohl eingebildet. Ich führe das Sichtbarwerden dieser Strukturen in 'VMWare Workstation' darauf zurück, daß der von mir für diesen Emulator einzustellende, nutzbare Arbeitsspeicher niedrig bemessen worden ist, und daher Boot- und andere Arbeitsvorgänge, im Gegensatz zu einer normalen Installation, verzögert ablaufen, und sonst deshalb vielleicht nicht zu sehen sind. Überlegt habe ich allerdings, ob das Problem mit folgendem in Zusammenhang stehen könnte. Bereits vor dem eigentlichen Bootvorgang, noch bevor das installierte BIOS angezeigt wird, erscheint eine Anzeige zu einer Grafikkarte und, soweit ich mich erinnere, zu einem VGA-BIOS.Dies ist aus meiner Erinnerung heraus bei zweien der Rechner so, und diese haben auch tatsächlich eine solche Karte. Allerdings tauchte diese Anzeige früher nicht auf. Ich frage mich, ob dies in Verbindung zu dem Problem stehen könnte. 2. Wie Du schreibst, 'könnte alles auf grund kaputter dateisystemstrukturen sein...'. Das ist möglicherweise ein Ansatzpunkt. Wenn ich aber in Rechnung stelle, daß das von mir kurz skizzierte, merkwürdige Verhalten sich auf 4 Computern findet, bei denen ich auf zweien auch noch vor kurzem neue Festplatten eingebaut habe, dann meine ich, ist es mit dem gesunden Menschenverstand schwer vereinbar, daß zufällig alle Rechner (verschiedenster Bauart, PII, PIII, AMD) über einen gleichen Hard- und/oder Softwaredefekt verfügen sollen. Nicht unmöglich, zugegeben, aber eher unwahrscheinlich, meine ich. Vielen Dank noch mal für Deinen Beitrag, auch wenn Du die von mir aufgeworfene Frage nicht beantworten kannst (geht auch über eine Trojaner- Problem hinaus), vielleicht kann dann ein anderer Leser hierzu einen Kommentar abgeben. Verrat' mir doch bitte noch, was denn 'imho' bedeutet. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force: @kato: wenn du von der meldung </font><blockquote>Zitat:</font><hr />md: Recovery-Thread got woken up ..... finished</font>[/QUOTE]auf eine globale recovery-routine schliesst, dann muss ich dich enttäuschen... md ist unter linux die bezeichnung für ein raid-device (raid-festplatte)... unter linux werden ide-festplatten als hd* und scsi-platten als sd* angesehen (wobei * durch einen buchstaben zu ersetzen ist), so wird md als raid-verbund angesehen... und die meldung heisst ja nur, dass die wiederherstellungsroutine des raids aufgewacht ist... ;) das bedeutet nur: in der von dir verwendeten linux-distro ist eine raid-unterstützung eingebaut... [img]graemlins/teufel3.gif[/img] </font>[/QUOTE]******** Hallo, danke für Deine Anmerkung. Ich erwarte natürlich nicht, daß mir jemand Erklärungen zu Funktionsweisen von Computerbauteilen gibt. Ich weiß leider nicht, was ein Raid-System ist, und welche Aufgabe es hat. Als Laie frage ich mich als erstes, was muß warum automatisch und offenbar ohne Einflussmöglichkeit(?) wiederhergestellt werden ? 2. Frage: Wenn ich unterstelle, daß schädlicher Code sich in irgendeinem nichtflüchtigen Speicher z.B. eines Bauteils des jeweiligen Computers befindet, besteht dann nicht vielleicht trotzdem noch die Möglichkeit, daß eine wie Du es formuliert hast 'globale Wiederherstellungsroutine' sich trotzdem noch auf dem Rechner befindet bzw. dieses Raid-System für eine solche sorgen könnte ? Wenn dies nichts mit dem Raid-System zu tun hat, wonach und wie müßte man suchen, wenn man eine solche Routine - irgendwo versteckt - vermutet ? Vielen Dank. Gruß Kato |
</font><blockquote>Zitat:</font><hr /> Wahrscheinlich ist ein großer Teil der 'Merkwürdigkeiten' auf meine Unkenntnis zurückzuführen </font>[/QUOTE]Davon würde ich nciht sprechen,aufgrund deiner Beschreibungen etc. halte ich dich auf gar keinen Fall mehr für einen PC-Laien! </font><blockquote>Zitat:</font><hr /> Wenn das Bios neu aufgespielt wird oder die Firmware des CD-ROM neu eingespielt wird </font>[/QUOTE]Bitte tu dies nicht ! Bei dem BIOS ist es z.B. so,dass es auf dem MoBo einen Jumper gibt,mit dem man das BIOS auf "read-only" stellen kann,was Standart ist.Durch fehlerhafte Flash-Vorgänge bekommst du wahrscheinlich noch mehr Probleme mit deiner Hardware. Zudem ist mir wirklich kein Schadprogramm bekannt,welches seinen Code im BIOS verewigt. </font><blockquote>Zitat:</font><hr /> Ich interpretiere Deine Email in der Weise, daß Dir kein Low-Level-resistenter Virus bekannt ist </font>[/QUOTE]Ganz genau so ist es! Ich rate dir nocheinmal,(falls sich mitlerweile keinerlei wichtige Daten auf der Platte befinde sollten) die Partitionen mit einem Diskeditor alle (!) zu löschen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: Kann es sein, dass sich auf Deiner Festplatte eine versteckte Partition befindet? Ich weiß nicht, ob diese bei einem Low-Level-Format auch formatiert wird. Andererseits hätte die Firma, an die Du die Festplatte gesandt hast, diese Partition finden müssen. Oder hast Du mal ein Programm wie HDGuard oder ähnliches benutzt oder eine "Wächterkarte" (wird oft bei Schulrechner benutzt) eingebaut? Wächterkarte: http://www.su.shuttle.de/su/kasch/pc_waechter.html HDGuard: http://www.trinet.de/produkte/hdd-guard/info.htm Gruß T_R_G</font>[/QUOTE]******* Hallo The_Real_Gummibärchen (sind das die von Haribo ?), Diese Frage nach der versteckten Partition habe ich mir auch schon gestellt, was aber den Kern des Problems meiner Meinung nach nicht berührt. Denn ich glaube, daß die Fa.Ontrack die Festplatten ordentlich gesäubert hat, und daß diese anschließend wieder jungfräulich waren, was man mir auch bestätigt hat. Auch versteckte Partitionen wären demzufolge der Reinigung zum Opfer gefallen. Wenn das aber so ist, wirft sich wieder die Frage auf, wie ist es möglich, daß sich diese merkwürdige 'aaaa...'-Datei auf diese gesäuberte Festplatte zurückschreibt ? Gestern habe ich diese Datei auf einem Rechner entdeckt, bei dem ich vor kurzem eine neue Festplatte eingebaut hatte, der Dateiname bestand aus, geschätzt, vielleicht 200 'a'. Ich habe die Datei auf CD gebrannt und möchte sie an das Virus-Testcenter senden, ich meine auch,eine Verbindung zu der im CD/DVD-Laufwerk vorhandenen Zeichenfolge 'AA AA AA ...' herstellen zu können. Ich kann nicht beurteilen, ob es denkbar erscheint, daß sich schädlicher Code dort (in der Firmware ?) verbirgt. Ein von Dir angesprochenes Wächterprogramm für Festplatten habe ich nie eingesetzt, allerdings habe ich danach bereits früher gesucht und, so glaube ich, auch gefunden (Name war 'Guard Dog', ich bin mir nicht sicher, ob dies ein solches Programm ist, was vorgenommene Änderungen rückgängig macht,jedenfalls existierte dies damals auf meiner Windows ME-Installation). Der Mitarbeiter der Online-Unbterstützung von Symantec kannte dieses Programm nicht. Meinem damaligen Kenntnisstand entsprechend glaubte ich zumindest, daß eine Festplattenformatierung auch dieses Programm beseitigen müsse. ++++++ Eine ganz andere Frage, die aber auch mit dem geschilderten Problem indirekt zusammenhängt aber mehr wieder den Aspekt des Trojaners berührt: Mitte vergangenen Jahres hatte ich einen neuen Computer bei einem bekannten Händler gekauft und mit Windows XP Pro (Originalsoftware natürlich) bespielt, anschließend Firewall konfiguriert und in's Internet eingewählt. Ich möchte nicht in Details gehen, jedenfalls richtete sich einige Tage später ohne mein Zutun eine LAN-Verbindung in den Netzwerkeinstellungen unter der Überschrift 'Video/TV-Verbindung' ein, die ich weder beenden noch löschen konnte (nach Formatierung der Festplatte war diese verschwunden).Obwohl ein Kontakt zur angewählten Internet-Seite im Browser angezeigt wurde, blieb der Inhalt des Browser-Fensters weiß. Bei späterer, intensiver Kontrolle des Computers stellte ich fest, daß die Logdateien der Firewall gelöscht worden waren und im Ordner 'Eigene Dateien' hatten sich Kopien von einer StarOffice-Tabellenkalkulation gebildet die ich Tage zuvor erstellt hatte. Nach dem schon beschriebenen Löschen der Dateiendung in den Ordneroptionen erschien anstelle des von mir ursrünglich gewählten Speichernamens 'Berend_Peter_Illko_Tom', also ein Verhalten, was ich schon auf einem anderen Internet-Rechner Monate zuvor festgestellt hatte. Die Einwahl erfolgte über ein USB-Modem an einer separaten Telefonbuchse, die ihrerseits Verbindung mit der ISDN-Telefonanlage hat. Ich schließe hieraus auf eine mögliche Trojaner-Infektion über die ISDN-Anlage, d.h. der Trojaner mußte sich irgendwo in der Anlage verstecken. Ich muß annehmen, daß es sich in beiden Fällen um die gleiche Person / Personen handelt, die gezielt Zugriff auf meinen Rechner suchen, anders ist die Übereinstimmung des Speichernamens der Tabellenkalkulation meiner Meinung nach kaum zu interpretieren. Der Telefonanlagenhersteller, den ich nach der möglichen Implementierung des Trojaners in der Telefonanlage gefragt hatte, meinte, das sei nicht möglich, ich habe Zweifel. Fällt Dir oder einem anderen Leser in diesem Zusammenhang etwas ein, oder, wenn das Problem nicht in der ISDN-Anlage zu suchen ist, wäre eine Veränderung der Einwahleigenschaften des Modems (ich meine nicht des Treibers) physisch (vielleicht durch 'flashen') denkbar ? Eine anderweitige 'Infektion', und davon gehe ich hier aus, durch Wechselmedien oder Verbindung zu anderen Rechnern schließe ich aus. Ich hoffe, ich mache heute nicht den Alleinunterhalter in dieser Rubrik, nach dem Motto 'Ach, der schon wieder', und meine letzte Frage wäre eigentlich schon wieder ein neues Thema gewesen, aber vielleicht fällt irgendeinem Leser dazu etwas ein. Gruß Kato |
@Cato: Ich kann jetzt nicht den ganzen Thread abarbeiten, aber für ein paar Infos reicht es: 1. Nach einer sog. low-level-Formatierung befinden sich auf einer Festplatte definitiv keine Schadroutinen mehr. In der Regel lassen sich aber neuere Festplatten nur vom Hersteller in dieser Weise formatieren. Mehr Infos hier. 2. Schadroutinen wie z. B. Viren, RATs, Trojaner usw. können sich nicht in Hardware verstecken, außer die Hardware ist speziell dafür vorgesehen. Einfacher gesagt: Wenn Du in einen PC eine neue und leere Festplatte einbaust (und keine andere Festplatte vorhanden ist), gibt es drei Möglichkeiten, wie schädliche Programme auf Deinen PC kommen: Nummer 1: Bei der Software, die Du installierst, hat sich ein solches Programm verborgen. Wenn Du nur Original-CDs verwendest, ist das eher unwahrscheinlich. Nummer 2: Die Schadroutine wird über das Netzwerk übertragen; das kann sowohl via LAN sein (von einem schon eingerichteten PC) als auch via Internet (wenn Du auf eine bestimmte Site/Mail zugreifst. Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Ansonsten kann diverses Fehlverhalten auch darauf zurückzuführen sein, dass irgendwelche Hardware mit irgendwelcher Software nicht harmoniert, insbesondere ISDN- und Telefonieprogramme sind da eine Quelle von Ärgernissen. Lass Dich nicht verrückt machen, gehe die Sache systematisch an und führe am besten ein Protokoll, was Du jeweils ausprobiert hast. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank |
Eigentlich ist mir das hier alles zu hoch hier :D , aber könnte es sein das sich da jemand vielleicht einen Tunnel oder dergleichen zu ihm gebaut hat (nur mal so theoretisch)... Gruss [img]smile.gif[/img] |
@mysteria: Nein, denn ein "Tunnel" muß auf vorhandene Software aufsetzen ...; ich nehme jetzt mal an, dass Du nicht an einen Vorgang mit Hacke und Spaten gedacht hast ;) MTT |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank[/QB]</font>[/QUOTE]@kato, dem möchte ich mich anschliessen, dein schon fast unheimliches problem lässt keine andere lösung zu. ich empfehle dir einen keylogger zu installieren der alle vorgänge an deinen pc's mit protokolliert. es gibt sehr gute kommerzielle produkte, leider kann ich jetzt keinen link posten, aber ich erinnere mich an eine seite die sich "iopus" oder so ähnlich nannte. mit google wirst du sicher fündig... |
@Kato Noch eine Verständnisfrage: Die Größe der Datei, die immer wieder vorhanden ist, und die restliche Größe der Festplatte, entsprechen diese in Gigabyte dem Wert, den die Platte haben soll? Gruß T_R_G |
@kato: eigentlich hab ich gedacht, da du ja auch mit linux rumhantierst, dass der begriff raid klar sein müsste (und google ist schliesslich auch da ;) )... info betreffend raid (und die verschiedenen raid-stufen): http://www.tecchannel.de/hardware/708/ warum raid in den kernel der von dir verwendeten distro reinkompiliert wurde: keine ahnung (vielleicht weil platz war *g*) wenn die distro ein rettungssystem sein soll, dann wird wahrscheinlich das ganze allgemein gehalten sein, und darum wird raid reinkompiliert worden sein... und die meldung sagt nur, dass die routine angesprungen ist (und das finished, dass sie schon abgearbeitet wurde - eben weil kein md-gerät bzw. keine raidtab gefunden wurde) ;) [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von [TB]Lucky: Also bei einer Low-Level Formatierung, wird die gesamte Festplatte auf "urzustand" zurück gesetzt. Soll heißen alles ist weg. Komplett alles. Auch Partitionen.</font>[/QUOTE]****** Hallo und vielen Dank für Deine Nachricht. So habe ich bisher auch gedacht und so ist es wohl auch. Tatsache ist jedenfalls, daß sich trotzdem eine schon vorher vorhandene Datei, deren Entstehung mir unklar ist, sich anschließend wieder auf der Festplatte befand. Ich schließe daraus, daß sich der von mir vermutete, schädliche Code offenbar gar nicht auf der Festplatte befindet. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: </font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank</font>[/QUOTE]@kato, dem möchte ich mich anschliessen, dein schon fast unheimliches problem lässt keine andere lösung zu. ich empfehle dir einen keylogger zu installieren der alle vorgänge an deinen pc's mit protokolliert. es gibt sehr gute kommerzielle produkte, leider kann ich jetzt keinen link posten, aber ich erinnere mich an eine seite die sich "iopus" oder so ähnlich nannte. mit google wirst du sicher fündig...[/QB]</font>[/QUOTE]************** Hallo und danke für Euren Beitrag, Für den physischen Zugriff gibt es möglicherweise einen Anhaltspunkt und ich habe auch darüber natürlich nachgedacht. Dagegen spricht, daß ich zwei meiner vier Rechner fest an einem anderen Ort betreibe, hier schließe ich einen physischen Zugriff durch andere Personen aus. Hinzu kommt, daß einer dieser Rechner völlig isoliert ist (bis auf Einsatz eigener Disketten, ausschließl. Dateikopien von meinen anderen Rechnern) und keinen Zugang zum Internet hat. Trotzdem besitzen a l l e Rechner das von mir bereits beschriebene merkwürdige Verhalten, was der Überlegung nach vielleicht wieder eher für einen Virus spricht. Völlig ausschließen kann ich den physischen Zugriff deshalb nicht, weil ich alle an verschiedene Personen/Unternehmen zur Begutachtung übergeben hatte, allerdings traten die Phänomene ja schon vorher auf. Einen Anhaltspunkt zum physischen Zugriff gibt folgender Sachverhalt: Ein von mir beauftragter Fachmann hatte auf einem (HP) meiner drei Rechner festgestellt, daß ein Teil der Festplatte per Software abgetrennt war (gestacked / gestackert ?). Durch erheblichen Aufwand hatte er die passende Software im Internet gefunden und den reservierten Teil 'freigeschaltet'. Außerdem befand sich ein Bauteil auf dem Mainboard mit einer Typenbezeichnung, für die es auf der Internetseite des Herstellers keine Referenz gab, mit anderen Worten das Teil existierte dort nicht. Nach der Säuberung der Festplatte sollte sich nach seiner Aussage nur noch eine Windows-NT Systempartition befinden mit 512 MB , die er aufgespielt hatte. Beim Start des Rechners waren allerdings etwa 532 MB o.ä. auf dem Rechner. Nach dem Löschen der Partition und Neustart erschien dann an der Eingabeaufforderung der Hinweis 'DOS 6.22'. Meine Überlegung geht in folgende Richtung: Das von mir jeweils installierte Betriebssystem, sei es ein älteres Windows oder Win XP Pro 'hängt' nach der Installation als 'Subsystem' an einem DOS oder Windows 3.1 -System. Mir gelingt es beispielweise grundsätzlich nicht, meine Rechte als Administrator (Win XP Pro) durchzusetzen (Meldungen wie 'Zugriff' verweigert oder 'überprüfen sie, ob Sie ausreichende Rechte besitzen ....' als angemeldeter Administrator). Dazu müßte sich eine solche Partition natürlich irgendwo verstecken, die Frage ist wo. Merkwürdig in diesem Zusammenhang erscheint mir, daß die Programm-Icons sich nach dem Windows-Start mit einer gewissen Verzögerung auf die darunter befindlichen (alten DOS oder Windows-Icons) 'legen'.Mir ist unklar, ob das 'normal' ist. Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ? Ich habe verschiedentlich festgestellt, daß im Hintergrund Scripte laufen, einmal wurden sogar meine Tastatureingaben, während ich auf die Tasten hämmerte, zweimal hintereinander vor meinen Augen gelöscht bzw. rückgängig gemacht. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: @Kato Noch eine Verständnisfrage: Die Größe der Datei, die immer wieder vorhanden ist, und die restliche Größe der Festplatte, entsprechen diese in Gigabyte dem Wert, den die Platte haben soll? Gruß T_R_G</font>[/QUOTE]****** Hallo, Danke für Deine Nachfrage. Ich habe die von mir beschriebene Datei bisher nur dreimal wahrgenommen. Einmal (unbewußt) bevor ich meine Festplatten an die Firma Ontrack zwecks 'Säuberung' gesandt hatte, dann nachdem ich die HDD zurückerhalten und mir Ontrack mitgeteilt hatte, daß sich 'dubiose'Dateien auf den Festplatten befunden hätten. Nach dem Wiedereinbau einer gereinigten Platte und Neuinstallation von Win XP Pro habe ich sofort danach gesucht und diese auch direkt gefunden (Dateigröße knapp unter 2 GB). Seit einem Neustart des Rechners habe ich diese Datei auf diesem Computer seitdem nicht mehr auffinden können.Gesamt-HDD-Kapazität: 40 GB. Auf einem zweiten Rechner habe ich eine völlig neue Festplatte eingebaut, Win XP Pro aufgespielt und die besagte Datei jetzt nach mehreren Wochen Suche dort entdeckt, Dateigröße hier allerdings ca.19 MB.Gesamt-HDD-Kapazität: 80 GB. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ?</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred |
Ich hatte an dieses Tool gedacht, auf das ich zufällig gestoßen bin: http://www.giga.de/dbout/reporter5/f...es/nr8746.html Ich habe mit diesem Tool keine Erfahrung, kennt sich zufällig jemand damit aus? Gruß T_R_G |
Nochmal zum Mitdenken: 1. Eine tatsächlich lowlevel formatierte Festplatte ist definitiv leer. Ganz leer!!! 2. Alles, was auf eine solche Festplatte raufgebracht wird, kommt von außen. 3. Alles, was von außen kommt, ist prinzipiell fakultativ gefährlich. Folglich sind entsprechende Vorsichtsmaßnahmen zu treffen: Überwachung der installierten Programme + Überwachung des Zugangs zu den IT-Anlagen. Ich tippe nach wie vor auf einen Fremdzugriff durch Dritte. Vorschlag: Setze das System neu auf. Wenn alles läuft, klemme die CD/DVD-Laufwerke und das Disketten-Laufwerk ab, ggf. für USB entsprechend, und mache eine Kennzeichnung an das Gehäuse, das Dir einen Fremdeingriff anzeigt. Passiert dann nichts mehr, hat sich der Verdacht bestätigt. Dann benötigst Du ein Zugriffsüberwachungstool. Da musst Du bitte im WEB selbst suchen, da ich solche Tools nicht bewerben möchte. Achja: check bitte sorgfältigst Deine Installationsdisketten/-CDs!! Gruß! MyTHinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von Mysteria: Eigentlich ist mir das hier alles zu hoch hier :D , aber könnte es sein das sich da jemand vielleicht einen Tunnel oder dergleichen zu ihm gebaut hat (nur mal so theoretisch)... Gruss [img]smile.gif[/img] </font>[/QUOTE]Hallo und vielen Dank für Deine Information, Offen gesagt habe ich im ersten Moment gelacht, was ich bei diesem Thema leider etwas verlernt habe.Ich habe Deine Mail zunächst wörtlich genommen. Dann ist mir aber eingefallen, was Du vielleicht meinst.Und das ist auch ein Eindruck, den ich bei diesen ganzen Vorkommnissen auf meinen Rechnern nach und nach gewonnen habe: Daß nämlich scheinbar die von mir installierte Software-Firewall keinen wirksamen Schutz gebracht hat, und möglicherweise daran vorbei Zugriff auf meine Internet-Rechner genommen wurde. Ich habe, da ich mich mit der Problematik nach und nach immer mehr beschäftigt habe, über Virtuelle Private Netzwerke (VPN) gelesen. Ich vermute, daß Du hieran oder an etwas Ähnliches gedacht hast. Ich meine allerdings, daß das Wissen hierum, wenn es denn einen solchen Tunnel gäbe, wahrscheinlich bei der Problemlösung und beim Kernproblem nicht sehr viel weiterhelfen wird. Und das lautet für mich, wenn ich das noch einmal in Erinnerung rufen darf: Wie gelangt schädlicher Code trotz HDD-Formatierung immer wieder auf die Festplatte (Infektion durch infizierte Wechselmedien, andere Netzwerkverbindungen etc. auszuschließen)? Ich finde es gut, wenn man bei Problemen auch mal abseits des Wahrscheinlichen denkt, danke für Deine Unterstützung. Gruß Kato |
@kato: wer _oder_ was sagt dir, dass schädlicher code vorhanden sei? ich spreche hier nicht von einer linux-cd (denn selbst die kann das nicht), sondern von virenscannern/trojanerscannern... [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: @Cato: Ich kann jetzt nicht den ganzen Thread abarbeiten, aber für ein paar Infos reicht es: 1. Nach einer sog. low-level-Formatierung befinden sich auf einer Festplatte definitiv keine Schadroutinen mehr. In der Regel lassen sich aber neuere Festplatten nur vom Hersteller in dieser Weise formatieren. Mehr Infos hier. 2. Schadroutinen wie z. B. Viren, RATs, Trojaner usw. können sich nicht in Hardware verstecken, außer die Hardware ist speziell dafür vorgesehen. Einfacher gesagt: Wenn Du in einen PC eine neue und leere Festplatte einbaust (und keine andere Festplatte vorhanden ist), gibt es drei Möglichkeiten, wie schädliche Programme auf Deinen PC kommen: Nummer 1: Bei der Software, die Du installierst, hat sich ein solches Programm verborgen. Wenn Du nur Original-CDs verwendest, ist das eher unwahrscheinlich. Nummer 2: Die Schadroutine wird über das Netzwerk übertragen; das kann sowohl via LAN sein (von einem schon eingerichteten PC) als auch via Internet (wenn Du auf eine bestimmte Site/Mail zugreifst. Nummer 3: Ein Anderer nimmt Zugriff auf Deinen PC, indem er sich einfach da vor setzt, wenn Du nicht da bist. Kannst Du das definitiv ausschließen ??? Mir scheint in Deinem Fall Nummer 3 nicht unwahrscheinlich. Ansonsten kann diverses Fehlverhalten auch darauf zurückzuführen sein, dass irgendwelche Hardware mit irgendwelcher Software nicht harmoniert, insbesondere ISDN- und Telefonieprogramme sind da eine Quelle von Ärgernissen. Lass Dich nicht verrückt machen, gehe die Sache systematisch an und führe am besten ein Protokoll, was Du jeweils ausprobiert hast. Überwache den Zugang zu Deinen PCs!. Gruß! MyThinkTank</font>[/QUOTE]**************** Hallo, Danke für Deine Information. Nr.3 Deiner Aufstellung habe ich auch als nicht unmöglich in Betracht gezogen, das würde allerdings bei mir bedeuten, daß jemand während meiner Abwesenheit in meine Wohnung eingedrungen wäre und den Rechner manipuliert hat. Ich bin die einzige Person mit physischem Zugang zu den Rechnern (Ausnahme: durchgeführter Computerservice, aber Problematik bestand da ja schon). Gründe, zu vermuten, ich hätte wichtige Informationen auf meinem Computer gäbe es zwar, aber so etwas würde ich nicht in meiner Wohnung, geschweige denn auf einem Computer aufbewahren. Diese Variante ist momentan die Unwahrscheinlichste für mich, wahrscheinlicher scheint mir ein noch unerklärlicher Internetangriff. Ich kann noch anfügen, daß ich in den vergangenen Tagen meine 4 Einzelplatzrechner mit dem Programm 'CD-Bremse' geprüft habe. Hiermit lassen sich auch die CD-Laufwerksdaten und Firmware-Informationen auslesen. Ich habe auf allen Rechnern einen Eintrag unter 'Inquiry' gefunden namens 'AAAAAAAAAA...' (geschätzt 100 Zeichen), dessen Bedeutung mir zweifelhaft erscheint und möglicherweise eine Verbindung zu der von mir auf der Festplatte festgestellten Datei gleichen Namens darstellt. Diese Datei werde ich kommende Woche an das Virus Test Center senden. Da einer meiner Rechner auch über die beschriebenen Phänomene, aber nicht über einen Internetzugang verfügt, spricht einiges auch für ein Virus. Ich könnte mir vorstellen, daß Du oder auch ein anderer Leser das Programm 'CD-Bremse'kennt (www.cd-bremse.de). Falls es jemand installiert hat, würde ich mich freuen, wenn diese Person einmal überprüfen könnte, ob sich solch ein Eintrag auch in den Laufwerken seines/r Rechner befindet und sich somit möglicherweise eine harmlose Erklärung für diesen Eintrag finden läßt. Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'. Ich würde mich freuen, wenn jemand eine Rückmeldung geben könnte. Vielen Dank für Deine Unterstützung. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'.</font>[/QUOTE]Ich hab mir das Programm jetzt mal runtergeladen, aber konnte nirgends ein Protokoll davon finden. ciao |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Der Tip mit dem Keylogger scheint mir gut zu sein, das werde ich ausprobieren, erfaßt der eigentlich auch Scripte, die auf dem Rechner ausgeführt werden, z.B. von einem Visual-Basic-Modul ?</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred</font>[/QUOTE]Da kann ich dir Starr empfehlen. Das Programm bietet neben dem Keylogger u.a. die Möglichkeit im Minutentakt einen Screenshot zu machen. CyberFred ******* Hallo, Danke für Deinen Tip, ich werde zunächst die Analyse der von mir verdächtigten Datei abwarten, und dann gerne Deinen Hinweis aufnehmen. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Dieser findet sich in einer der obersten Zeilen des Protokolls, welches das Programm nach dem Start erzeugt in der Zeile 'Inquiry'.</font>[/QUOTE]Ich hab mir das Programm jetzt mal runtergeladen, aber konnte nirgends ein Protokoll davon finden. ciao</font>[/QUOTE]********* Hallo, das ist nett, daß Du dir die Mühe gemacht hast. Ich hätte das etwas näher beschreiben sollen. Nach der Installation und Start des Programms setzt sich dieses in's Tray, Programmicon dort durch rechte oder linke (?) Maustaste Menü aktivieren und 'Laufwerksinfo' anklicken, es erscheint anschl. ein Fenster, welches mit 'Start' das Protokoll aufzeichnet, welches sich auch speichern läßt. Gruß Kato P.S. Ich werde spätestens am Montag auf noch nicht von mir beantwortete Mails reagieren. |
Inquiry bedeutet, soviel ich mich erinnern kann, im technischen Bereich Anfrage oder Abfrage. Bei meinem CD-RW sieht der Eintrag unter Inquiry folgendermaßen aus: Inquiry: 05 80 00 21 1F 00 00 00 41 54 41 50 49 20 20 20 43 44 2D 52 2F 52 57 20 33 32 58 31 30 20 20 20 54 2E 4B 41 20 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Inquiry: __ __ __ __ __ __ __ __ A T A P I C D - R / R W 3 2 X 1 0 T . K A __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ Gruß T_R_G |
</font><blockquote>Zitat:</font><hr /> Ich tippe nach wie vor auf einen Fremdzugriff durch Dritte. Vorschlag: Setze das System neu auf. Wenn alles läuft, klemme die CD/DVD-Laufwerke und das Disketten-Laufwerk ab, ggf. für USB entsprechend, und mache eine Kennzeichnung an das Gehäuse, das Dir einen Fremdeingriff anzeigt. Passiert dann nichts mehr, hat sich der Verdacht bestätigt. Dann benötigst Du ein Zugriffsüberwachungstool. Da musst Du bitte im WEB selbst suchen, da ich solche Tools nicht bewerben möchte. Achja: check bitte sorgfältigst Deine Installationsdisketten/-CDs!! </font>[/QUOTE]OK: Dann die Hardware-Methode: Du überprüfts deine Windows-CD (bitte erstmal nur ein OS,um sicher zu gehen,dass es nur daran liegne kann)ob sie original/das Siegel original aussieht (ich meine diese Glitzerschicht) Vorher kannst du die Platte zur zusätzlichen Sicherheit Low-Level formatieren,wie gesagt besteht jedoch die Möglichkeit einer Beschädigung. !!!!Vorher natürlich alle wichtigen Daten sichern !!!!!!!!!!!!!!!!! Dann installierst du dein OS. (vorher Netzwerk und ISDN,Modem Karten rausnehmen, bzw. vom PC abschließen. Auch andere Peripherie (bis auf Maus und Tastatur) solltest du vom PC abstecken. Es sollten nur die nötigsten Treiber installiert sein. Ausserdem sollte keinerlei Software installiert werden. Dann baust du Dikettenlaufwerk sowie alle CD-Laufwerke aus,bzw. deaktivierst sie im BIOS. Hier vergibst du dann ein Passwort,damit Niemand sie wieder aktivieren kann. Nun sollte es nicht mehr möglich sein Daten auf den PC zu schreiben,das einzige Input-Mittel bleiben Maus und Tastatur. Wenn jetzt ebenfalls wieder die Probleme auftauchen sollten,bin ich mit meinem Latein wirklich am Ende. Ach übrigens, hattest du auf allen PCs CD-Bremse installiert???? Dann liegt der Fehler mölicherweise da bzw. bei einem Programm welches du auf allen PCs nutzt. |
</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force: @kato: wer _oder_ was sagt dir, dass schädlicher code vorhanden sei? ich spreche hier nicht von einer linux-cd (denn selbst die kann das nicht), sondern von virenscannern/trojanerscannern... [img]graemlins/teufel3.gif[/img] </font>[/QUOTE]Hallo, Nachweisen konnte ich das bisher nicht, aber es spricht meiner Einschätzung einiges dafür. Ich möchte als Beispiel noch einmal meine Schilderung in Bezug auf die StarOffice-Datei in einem früheren Beitrag nennen. Als mit dem Computer im wesentlichen unerfahrener Benutzer ist es für mich schwer vorstellbar, daß sich ein von mir ursprünglich vergebener Dateiname nach dem Löschen der Dateiendung in den Ordneroptionen dann in 'Berend_Peter_Illko_Tom' ändert, und das dieses Verhalten auf einen wie auch immer gearteten Software- oder Hardwarefehler zurückzuführen sein soll. Und ich kann noch eine Menge anderer 'Vorfälle' beschreiben, die meiner Einschätzung nach zumindest verdächtig erscheinen, aber, glaube ich, den Rahmen hier sprengen würden. Ich habe schon zu Beginn meines Beitrages gesagt, daß ein großer, vielleicht der größte Teil meiner 'Beobachtungen' möglicherweise nichts weiter als ein Fehlverhalten von Windows oder sonstige Systeminstabilitäten sind, dies hängt eben damit zusammen, daß ich mich mehr schlecht als recht auskenne. Bei dem oben beschriebenen und weiteren, von mir nicht genannten Beispielen, erscheint mir eine andere Schlußfolgerung als 'schädlicher Code' nicht plausibel, aber ich lasse mich auch vom Gegenteil überzeugen. Aus diesem Grund bin ich hier im Forum und erhoffe mir den einen oder anderen Hinweis und letzendlich auch eine Bestätigung, ob es Indizien für meine Vermutung gibt, die ich selbst vielleicht nicht sehe. Ich habe mich auch in der Vergangenheit immer wieder gefragt,ob ich mir etwas einbilde, was nicht existiert. Danke für Deinen Beitrag. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: Inquiry bedeutet, soviel ich mich erinnern kann, im technischen Bereich Anfrage oder Abfrage. Bei meinem CD-RW sieht der Eintrag unter Inquiry folgendermaßen aus: Inquiry: 05 80 00 21 1F 00 00 00 41 54 41 50 49 20 20 20 43 44 2D 52 2F 52 57 20 33 32 58 31 30 20 20 20 54 2E 4B 41 20 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Inquiry: __ __ __ __ __ __ __ __ A T A P I C D - R / R W 3 2 X 1 0 T . K A __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ __ Gruß T_R_G</font>[/QUOTE]Hallo, vielen Dank, daß Du dir die Mühe gemacht hast, mir die Daten zu übermitteln. Dort, wo neben dem ersten 'Inquiry' die Nullen stehen, befinden sich bei mir auf allen 4 Rechnern 'AA AA AA AA ....' mindestens 100 Zeichen und mehr). Ich finde außerdem bei Durchsicht der ausgelesenen Daten immer wieder Meldungen wie 'illegal operation command code' und anschließend einenBinärcode oder Speicheradresse(?) wie etwa [70 05 ........]. Das mag nun ein Hinweis sein, den ich näher in's Auge fassen kann, mehr im Moment sicher nicht, da ich die Bedeutung dieses Eintrags nicht verstehe. Ich werde mich mal an den Autor des Programms wenden, vielleicht kann er mir weiterhelfen. Ich kann in diesem Zusammenhang noch erwähnen, daß ich meinen HP-Rechner mal vor mehr als einem Jahr zum Service eingeschickt hatte, eben wegen des merkwürdigen Verhaltens, Grafik- und Soundkarte wurden ausgetauscht, meiner Meinung nach ohne Erfolg. Der Mann an der Hotline dort hatte mir zum Schluß mitgeteilt, daß es vorgekommen ist, daß sich Viren im CD-Laufwerk festsetzen und diese sich beim Versuch, sie zu entfernen, 'wehren' und das Laufwerk unter bestimmten Umständen dadurch unbrauchbar werden kann. Ein Virus dort wäre also nicht undenkbar. Danke für Deine Unterstützung. Gruß Kato |
Sollte es wirklich solche "Viren" geben, wie der Techniker behauptet (obwohl ich davon noch nichts gehört habe), bleibt meiner Meinung nach nur die Möglichkeit, die ich schon genannt habe, zu Versuchen die Originalfirmware neu einzuspielen oder CD-Laufwerk und CD-RW zu erneuern. Ich kann mir dieses aber nciht vorstellen. Das einzige, was meiner Meinung nach in Frage kommt, wäre ein möglicher Fehler in der Firmware. Gruß T_R_G |
Viren in CD-Laufwerken...also wirklich! LOL. Was für'n Zeug RAUCHEN diese Techniker denn bloß? Ich sehe das so: Entweder Fehler in der Firmware oder das Zusammentreffen mehrerer Hard-u. Softwareunverträglichkeiten. |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: </font><blockquote>Zitat:</font><hr /> Ich tippe nach wie vor auf einen Fremdzugriff durch Dritte. Vorschlag: Setze das System neu auf. Wenn alles läuft, klemme die CD/DVD-Laufwerke und das Disketten-Laufwerk ab, ggf. für USB entsprechend, und mache eine Kennzeichnung an das Gehäuse, das Dir einen Fremdeingriff anzeigt. Passiert dann nichts mehr, hat sich der Verdacht bestätigt. Dann benötigst Du ein Zugriffsüberwachungstool. Da musst Du bitte im WEB selbst suchen, da ich solche Tools nicht bewerben möchte. Achja: check bitte sorgfältigst Deine Installationsdisketten/-CDs!! </font>[/QUOTE]OK: Dann die Hardware-Methode: Du überprüfts deine Windows-CD (bitte erstmal nur ein OS,um sicher zu gehen,dass es nur daran liegne kann)ob sie original/das Siegel original aussieht (ich meine diese Glitzerschicht) Vorher kannst du die Platte zur zusätzlichen Sicherheit Low-Level formatieren,wie gesagt besteht jedoch die Möglichkeit einer Beschädigung. !!!!Vorher natürlich alle wichtigen Daten sichern !!!!!!!!!!!!!!!!! Dann installierst du dein OS. (vorher Netzwerk und ISDN,Modem Karten rausnehmen, bzw. vom PC abschließen. Auch andere Peripherie (bis auf Maus und Tastatur) solltest du vom PC abstecken. Es sollten nur die nötigsten Treiber installiert sein. Ausserdem sollte keinerlei Software installiert werden. Dann baust du Dikettenlaufwerk sowie alle CD-Laufwerke aus,bzw. deaktivierst sie im BIOS. Hier vergibst du dann ein Passwort,damit Niemand sie wieder aktivieren kann. Nun sollte es nicht mehr möglich sein Daten auf den PC zu schreiben,das einzige Input-Mittel bleiben Maus und Tastatur. Wenn jetzt ebenfalls wieder die Probleme auftauchen sollten,bin ich mit meinem Latein wirklich am Ende. Ach übrigens, hattest du auf allen PCs CD-Bremse installiert???? Dann liegt der Fehler mölicherweise da bzw. bei einem Programm welches du auf allen PCs nutzt.</font>[/QUOTE]Hallo Janerik, Danke für Deinen Kommentar. Das Programm 'CD-Bremse' hatte ich ursprünglich auf einem meiner Internet-Rechner installiert, weil ich meinte, die urspürnglich 'normale' Drehzahl des Lüfters habe sich dermaßen gesteigert, daß es von der Laustärke unerträglich wurde (ich vermute, das es der Lüfter und nicht das Laufwerk ist).Nur um das Vorhandensein dieser dubiosen 'AA AA ...' zu verifizieren habe ich das Programm auch auf den anderen Rechnern kurz installiert. Offen gesagt, ich glaube nicht, daß ich das Problem lösen kann, ich benötige einen Fachmann, der sich die Sache mal persönlich ansieht. Das Problem ist nur, wo findet man den.Nachdem ich bereits 3 Unternehmen ausprobiert hatte und diese meinem Eindruck nach lediglich eine Standard-Festplattenformatierung durchgeführt haben, bin ich skeptisch. Ich will auch nicht sagen, daß die Leute ihr Handwerk nicht verstehen, ich nehme einfach an, eine Problematik wird einfach nach einem festgelegten Schema abgearbeitet, und dieses Problem befindet sich abseits davon. Ich habe die ganzen Vorgänge nun lange genug beobachtet und auch eine ganze Menge Screenshots auf CD gesammelt, die ich jetzt an das Virus-Test-Center hier in Hamburg schicken werde, mal sehen was daraus wird. Mein Verdacht ist, daß alle Laufwerke in irgendeiner Form in dieses merkwürdige Computerverhalten eingebunden sind, d.h. z.B. auch das Diskettenlaufwerk. Ich habe das probeweise mal mit einem Scanner geprüft, nachdem ich zuvor alle mir bekannten aktiven Programme deaktiviert hatte (Virenscanner etc.). Dabei wurden fortlaufend Werte zurückgegeben, obwohl keine Diskette eingelegt war und auch sonst keine Aktion am Computer durchgeführt wurde. Angezeigt wurden Sektoren von 0 bis 6 und Zahlen, wie z.B. 717 830. Möglicherweise läßt sich das aber ja erklären. Insgesamt möchte ich das Thema aber auch im Wesentlichen nicht weiter ausbreiten, Deinen Vorschlag mit dem Abklemmen finde ich gut, das werde ich probeweise einmal versuchen. Zum Schluß fällt mir noch folgendes ein: Gestern habe ich Windows 98 SE auf einem Rechner installiert und dabei festgestellt, daß nach dem Systemstart ein Eintrag sichtbar wird wie 'MSCDEX' V.2.25. Das 'EX' könnte möglicherweise Extension, also Erweiterung des CD-Laufwerkes bedeuten. Falls jemand dazu etwas sagen kann, würde ich mich freuen. Wenn ich die Abkürzung richtig deute, so ist diese Erweiterung von mir jedenfalls nicht installiert worden. So, nun soll es auch gut sein. Ich danke allen Kommentatoren und hoffe, daß ich keinen Beitrag unbeantwortet gelassen habe. Eingehende Meinungen und Mitteilungen beantworte ich selbstverständlich jederzeit,anschließend möchte ich mich dann aus diesem Forum verabschieden. Falls mir jemand persönlich schreiben möchte: alex.sellers@gmx.de Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Der Mann an der Hotline dort hatte mir zum Schluß mitgeteilt, daß es vorgekommen ist, daß sich Viren im CD-Laufwerk festsetzen und diese sich beim Versuch, sie zu entfernen, 'wehren' und das Laufwerk unter bestimmten Umständen dadurch unbrauchbar werden kann. Ein Virus dort wäre also nicht undenkbar. </font>[/QUOTE]das würde ich wirklich in den bereich "märchen&fabeln aus der it-welt" verbannen. ich halte das nicht für eine kompetente aussage. die ursache könnte in defekter firmware liegen. oder es ging schon am anfang was schief beim low level formatieren. ich würd mal eine nagelneue harddisk probieren und dann schritt für schritt protokollieren, was beim aufsetzen, hinzufügen der komponenten bis hin zum ins netz gehenpassiert und mit der anderen harddisk vergleichen. |
</font><blockquote>Zitat:</font><hr />Kato schrieb: ... und dabei festgestellt, daß nach dem Systemstart ein Eintrag sichtbar wird wie 'MSCDEX' V.2.25. Das 'EX' könnte möglicherweise Extension, also Erweiterung des CD-Laufwerkes bedeuten. </font>[/QUOTE]"mscdex" ist der der windowseigene Treiber, mit dem das CD-ROM-Laufwerk angesprochen wird. @all: Mir will sich hier ein Verdacht aufdrängen, der sonst meist von IRON zuerst ausgesprochen wird: ein Troll :confused: MyThinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Viren in CD-Laufwerken...also wirklich! LOL. Was für'n Zeug RAUCHEN diese Techniker denn bloß? Ich sehe das so: Entweder Fehler in der Firmware oder das Zusammentreffen mehrerer Hard-u. Softwareunverträglichkeiten.</font>[/QUOTE]****** Danke für Deine Meinung. Das hat mir übrigens kein Techniker mitgeteilt, sondern ein Mitarbeiter der Telefon-Unterstützung. Ich gebe das so weiter, wie er es mir gesagt hat, vielleicht wollte er mich ja abwimmeln. Da ich aber nach Erklärungen für das von mir beschriebene Verhalten suche, versuche ich, das zumindest theoretisch als Möglichkeit in Betracht zu ziehen. Deshalb folgende Überlegung: Firmware ist Software, Programmcode, der von einem Programmierer geschrieben wird, um ein bestimmtes Verhalten des Laufwerkes zu erreichen und eine Kommunikation, also einen Informationsaustausch mit dem Betriebssystem zu gewährleisten. Programmcode kann verändert werden und die Firmware läßt sich aktualisieren bzw. austauschen, möglicherweise erweitern. Wenn also jemand auf die Idee käme, eine Aktualisierung der Firmware durchzuführen und dabei die vorhandene Version durch ein kleines Programm, welches vielleicht Schadroutinen enthält zu erweitern, so könnte man das von der Definition her vielleicht schon als Virus bezeichnen. Ob das in der Praxis durchführbar wäre, ist natürlich eine andere Sache und sicher gibt es da Barrieren die sowas verhindern sollen. Du kennst dich da ja anscheinend auch aus. Falls es Deine Zeit erlaubt, vielleicht kannst Du mir gelegentlich einen Tip geben, warum das überhaupt ausgeschlossen ist. Aber andererseits: In allen Bereichen, in denen Software läuft, hat es immer wieder die unglaublichsten Vorfälle gegeben, als Beispiel möchte ich nur mal Linux auf der X-Box nennen. Ich wette mit Dir, Microsoft hätte sich so etwas niemals träumen lassen. Wo Software im Spiel ist, ist auch immer der menschliche Erfindergeist dabei. Es gibt keine absolute Sicherheit in diesem Bereich, vielleicht wenn die Hardware ein unüberwidnliches Hindernis darstellt. Die Tatsache, daß in diesem Sektor in der Vergangenheit nichts aufgetreten oder bekannt geworden ist, bedeutet nichts. Wieviele Rechner mögen wohl im Internet existieren, bei denen die Administratoren glauben, die Rechner sind abgesichert, die aber tatsächlich vor langer Zeit durch Angriffe infiltriert worden sind, deren Muster erst viel später bekannt geworden sind. Entschuldige, wenn sich das jetzt alles etwas dozentenhaft anhört, das ist nicht meine Absicht, zumal ich von der Materie ja viel zu wenig verstehe. Aber, ich meine, man sollte solch eine Überlegung nicht so einfach abtun. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: </font><blockquote>Zitat:</font><hr />Kato schrieb: ... und dabei festgestellt, daß nach dem Systemstart ein Eintrag sichtbar wird wie 'MSCDEX' V.2.25. Das 'EX' könnte möglicherweise Extension, also Erweiterung des CD-Laufwerkes bedeuten. </font>[/QUOTE]"mscdex" ist der der windowseigene Treiber, mit dem das CD-ROM-Laufwerk angesprochen wird. @all: Mir will sich hier ein Verdacht aufdrängen, der sonst meist von IRON zuerst ausgesprochen wird: ein Troll :confused: MyThinkTank</font>[/QUOTE]***** Hallo, Dein Emoticon soll wohl 'confused' bedeuten, und ich nehme an, daß das wohl eher negativ gemeint ist. Wenn das so zu verstehen ist, weiß ich allerdings nicht so recht, was Du sagen willst: Das mein Hilfeersuchen hier in diesem Forum konfus ist ? Ich muß Deine Nachricht leider interpretieren, da mir Deine Absicht nicht klar ist, vielleicht meinst Du es aber ja anders, lass es mich bitte wissen. Der Vorteil an einem Forum ist in jedem Fall, daß man Beiträge, die einem nicht gefallen auch nicht lesen muß. Gruß Kato |
ja, das smiley soll confused bedeuten... warum wundert dich das? das von dir geschilderte problem ist nicht nur einfach confused sondern aus meiner sicht völlig absurd..!!! firmware ist in einen chip gebrannte software und das brennen der software geschieht selbstverständlich maschinell. das heisst alle chips einer serie sind völlig identisch. wie kommst du auf die idee, daß sich da ein virus einschleichen könnte...????? in einen einzelnen chip...???? deine eingangs geäusserte vermutung mit dem trojaner kann man auch ausschliessen. ich beschäftige mich sehr viel mit trojanern und lass dir von mir versichern, es gibt keinen mit dem man mal eben einen virus in ein eprom brennen könnte. fremdzugriff durch einen dritten schliesst du auch aus weil deine wohnung sehr gut gesichert ist. trotzdem befindet sich eine gigabyte grosse datei( nach einer lowlevel formatierung) auf deiner platte...??? jetzt sei mal ehrlich, was soll man davon halten...? welchen schluss soll man ziehen..?? |
:confused: :confused: :confused: ähem... MyThinkThank? ... was is'n "troll"??? :confused: :confused: :confused: <edit> smiley bedeutet: 3 mal mehr confused als sonst, aber nicht nur, weil ich nicht weiß, was'n "troll" is... </edit> [ 05. März 2003, 22:56: Beitrag editiert von: leo.pold ] |
"Insbesondere bei den Postings von Kato lassen sich merkwürdige, scharfumrissene, farbige Strukturen erkennen." Die von Kato berichteten Probleme sind ein Konglomerat aus häufigen Hard- und Softwarefehlern. Daß sie auf mehreren Rechnern gleichzeitig erscheinen, ist jenseits der Unwahrscheinlichkeit. Das dachte ich schon beim Lesen seines initiierenden Posts. Dazu kommen eigentümliche Inkonsistenzen bei seinen eigenen Aussagen: oft scheint er durchaus zu wissen, wovon er redet, trotz gegenteiliger Beteuerungen, manchmal scheint er erschreckend kenntnislos. Zwei Möglichkeiten: (1) eine geradezu pathologische Paranoia, (2) ein Troll auf subtilem Niveau. Ich habe allerdings schon subtilere erlebt. Und stimme damit MTT und vampire zu. Cobra [ 05. März 2003, 23:32: Beitrag editiert von: Cobra ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra: ....Daß sie auf mehreren Rechnern gleichzeitig erscheinen, ist jenseits der Unwahrscheinlichkeit.....</font>[/QUOTE]Na, da müssen wir wohl gleich nochmal editieren ;) . Diesseits der Sinnfreiheit [img]tongue.gif[/img] , stichelnderweise ;) , Gruß, Cassandra |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: ja, das smiley soll confused bedeuten... warum wundert dich das? das von dir geschilderte problem ist nicht nur einfach confused sondern aus meiner sicht völlig absurd..!!! firmware ist in einen chip gebrannte software und das brennen der software geschieht selbstverständlich maschinell. das heisst alle chips einer serie sind völlig identisch. wie kommst du auf die idee, daß sich da ein virus einschleichen könnte...????? in einen einzelnen chip...???? deine eingangs geäusserte vermutung mit dem trojaner kann man auch ausschliessen. ich beschäftige mich sehr viel mit trojanern und lass dir von mir versichern, es gibt keinen mit dem man mal eben einen virus in ein eprom brennen könnte. fremdzugriff durch einen dritten schliesst du auch aus weil deine wohnung sehr gut gesichert ist. trotzdem befindet sich eine gigabyte grosse datei( nach einer lowlevel formatierung) auf deiner platte...??? jetzt sei mal ehrlich, was soll man davon halten...? welchen schluss soll man ziehen..??</font>[/QUOTE]******** Hallo, danke für Deine Antwort. Ich schließe grundsätzlich nichts aus, es gibt sogar Gründe, die mich darüber spekulieren lassen könnten, ob sich jemand in meiner Abwesenheit an meinen Rechnern zu schaffen gemacht, sprich Hardware ausgetauscht hat, wieso also nicht auch die Firmware. Wenn ich die gebrannte Software aktualisieren kann (Update), kann ich zuvor auch die Software neu schreiben oder verändern, bevor ich sie brenne bzw. die alte überschreibe(zumindest in meiner Überlegung). Es mag vielleicht Gründe geben, die dem entgegenstehen und die ich nicht kenne, aber Du kannst nicht sagen, meine Überlegung ist absurd. Absurd sind Dinge, die sich dem gemeinhin als 'gesunden Menschenverstand' bezeichneten Urteil entziehen und, bei nüchterner Betrachtung, als von der überwiegenden Mehrheit der Urteilenden als abwegig empfunden wird.So jedenfalls meine Definition. Das bedeutet aber noch längst nicht, daß eine Minderheitsmeinung falsch sein muß, auch wenn sie das - wahrscheinlich oder nicht - in diesem Fall vielleicht ist. Ich glaube auch gerne, daß Du dich gut mit Trojanern auskennst, entsprechende Erfahrung hast, und auch andere Leute kennst, die dies mit Dir teilen. Du schreibst 'es gibt keinen (Trojaner) den man mal eben in ein Eprom brennen könnte'. Hier würde ich aus meiner Sicht sagen, es gibt keinen den D u kennst, und das meine ich überhaupt nicht böse, etwa in der Absicht, dein Wissen in Frage zu stellen. Vielleicht geht es technisch nicht oder momentan nicht, vielleicht aber auf einem Umweg, wer weiß. Vielleicht benutzt eine Person, die einen Weg entwickelt hat, dieses Wissen für bestimmte Zwecke und teilt es nicht mit Anderen ? Das mag wenig Wahrscheinlich sein, unmöglich scheint es mir aber auch nicht. Tatsache ist: Ich habe die Festplatte von der Firma Ontrack säubern lassen und diese haben mir schriftlich bestätigt, daß a) dubiose Dateien gefunden wurden, bei denen es sich möglicherweise um schädlichen Code handelt b) die Festplatte in einem jungfräulichen Zustand an mich zurückgegeben wurde. Und als letztes: nach Wiedereinbau dieser Festplatte und anschließendem Aufspielen von Windows XP Pro (Original Kauf-CD) ohne sonstige Software und andere (Netzwerk)-verbindungen zeigte ein erster Suchlauf mit Windows diese Datei (knapp 2 GByte) an, später war sie für lange Zeit nicht wieder auffindbar. Diese Datei mit dem Namen 'aaaa...' war bereits vor Einsendung an Ontrack auf der Festplatte vorhanden. Die Säuberung der Festplatte wurde mit dem Werkzeug 'Data Eraser' durchgeführt, ich nehme an, es handelt sich dabei um einen Disk-Editor. Ich habe Vertrauen in die durchgeführte Arbeit, zur Überprüfung fehlten mir die Möglichkeiten. Soweit die Fakten. Die Low-Level-Formatierung hatte ich bereits geraume Zeit vor Einsendung der Festplatte durchgeführt. Diese wurde ohne Fehlermeldung abgeschlossen, da ich aber keinerlei Erfahrung hiermit besitze, ist es auch möglich, daß ich Fehler gemacht habe. Ich habe mich an dieses Forum gewandt, um bei der Lösung meines Problems weiterzukommen, ich will mich auch keinesfalls auf die Idee mit der Firmware versteifen und sich ausweitende Abhandlungen schreiben.Das war nur ein Gesichtspunkt. Mir jedenfalls scheint, daß das Problem außerhalb der Festplatte zu suchen ist. Meine Absicht war, ausgehend von dem oben beschriebenen tatsächlichen Sachverhalt Anregungen zu erhalten, in welcher Richtung ein sachverständiger Techniker suchen müßte, um das Problem zu beseitigen. Die von mir ziemlich ausführlich beschriebenen Vorgänge auf meinen Rechnern lassen sich möglicherweise in der Abfolge meiner Beiträge schwer nachvollziehen, vielleicht ließt sich auch meine Beschreibung konfus. Das Problem als solches aber besteht, da habe ich keinen Zweifel. Du mußt meine Ansicht auch nicht teilen, aber respektieren wäre schön. Letzendlich ist das doch der Sinn eines Forums, so sehe ich es jedenfalls. Wenn jemand meint, ich hätte eine fixe Idee oder bin dabei, eine zu entwickeln, steht jedem ein Kommentar zu. Ob man den damit verbinden muß, daß Urteilsvermögen des Hilfe suchenden in Zweifel zu stellen ist aber eine andere Frage. Wenn es tatsächlich so sein sollte, daß sich mal jemand 'verrannt' hat,erübrigt sich das 'Problem' meiner Ansicht nach letzlich ohnehin dadurch, daß die Leser das Interesse verlieren und keine Kommentare mehr schicken. Gruß Kato P.S.: Ich habe gestern einen Virenscanner namens 'Kaspersky Lite', der einer Computerzeitschrift beilag, unter Windows 98 SE installiert, dieser zeigte mir jetzt zum ersten Mal im Log zwischen 7-28 'infizierte Objekte an'. Die Anzeige läßt sich durch wiederholte Scans an verschiedenen Tagen reproduzieren, ein Reparaturversuch des Scanners endet erfolglos ohne Rückmeldung. |
@Kato: Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra |
Also du sagtest dass diese 2GB-Datei erst da war, es sich vielleicht um schädlichen Code handle (so der Sachverständige) und nach kurzer Zeit nicht auffindbar sei. Dazu mal ein paar Fragen: 1. Wie ist man darauf gekommen, dass es schädlicher Code sein könnte? Angenommen es ist keiner (würde ich ausschließen, weil was sollen 2GB schädlicher Code?) => 2. Die Beizeichnung kommt mir ein wenig spanisch vor. Könnte es irgendwas mit elektromagnetischen Feldern oder so zutun haben? Viele a-Buchstaben hintereinander, das könnte dadurch entstanden sein, dass (durch zufall vielleicht) irgendwelche Stromimpulse ausgelöst wurden (die vielleicht gebunden an genau diese eine Festplatte sind). Da dise einen bestimten Takt oder eine bestimmte Frequenz haben, entsteht so ein langer Dateiname mit immer dem selben Buchstaben und die Datei wird entsprechend gefüllt? 3. Könnte es sich irgendwie, in irgendeinster weise um eine Auslagerungsdatei handeln (wie die auch immer zustandegekommen sein mag? Ich persönlich sehe in 2. die Ursache für das Problem am ehesten. Wir haben heute in der Schule Speichermedien behandelt, und soweit ich weis handelt es sich bei Festplatten um magnetische. Könnte also passen, oder??? ciao [ 07. März 2003, 19:48: Beitrag editiert von: CyberFred ] |
Gar nicht dumm, der Gedanke. Schaun wir mal: Das Magnetfeld, um ein Bit auf einer Festplatte zu schalten, beträgt etwa 1 mT. Wenn ich mich recht erinnere, beträgt die magnetische Feldstärke eines stromdurchflossenen Drahts bei der Stromstärke I im Abstand r B = µ*I/(2 pi r), wobei µ = 4*pi*1e-7 Tm/A die magnetische Permeabilität ist. Um 1 mT zu erreichen, benötigt man also entweder 0.5 A im Abstand von 1 mm, oder 500 A im Abstand von 1 m, oder 500 000 A im Abstand von 1 km. Deiner Theorie gemäß hat also Kato bei all seinen betroffenen Rechnern ein USB-Kabel quer über die Harddisc gezogen (was möglich ist), oder alle seine Rechner an einer Wand mit einem Starkstromkabel stehen (was auch möglich ist), oder in seiner Nähe steht eine Basisstation für Alien-Handys (was zumindest nicht unmöglich ist). In jedem Fall würde ein solches Kabel die Harddisc komplett mit sinnfreien Daten "beschreiben". Mit einem Permanentmagneten kann man diesen Versuch leicht nachvollziehen (NICHT an den Monitor halten!) :D Cobra |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Und als letztes: nach Wiedereinbau dieser Festplatte und anschließendem Aufspielen von Windows XP Pro (Original Kauf-CD) ohne sonstige Software und andere (Netzwerk)-verbindungen zeigte ein erster Suchlauf mit Windows diese Datei (knapp 2 GByte) an, später war sie für lange zeit nicht wieder auffindbar [/QB]</font>[/QUOTE]genau solche schilderungen irritieren doch sehr stark... musst du zugeben. 2 gigabyte grosse dateien verschwinden nicht einfach nach lust und laune...!!! ich kann mir vorstellen, daß bei der installation von WinXP einer beliebigen .tmp datei ein bit geknickt wird und sie nun ihr eigenleben führt. sie wächst, indem sie aaa's auf die platte schreibt, zu gigabyte grösse an. mit viel fantasie und gutem willen will ich auch noch akzeptieren, daß die installation trotzdem erfolgreich verläuft und du diese datei nun findest. das ist schon sehr heftig, aber ok, mit gutem willen...!! was ich nicht mehr akzeptieren kann ist, daß die datei sich nun wieder verflüchtigt um dann wochen später wieder aufzutauchen. das ganze selbstverständlich ohne den alltagsbetrieb deines rechners/netzes zu stören... eine vernünftige, mit den üblichen methoden herzustellende lösung deines problems sehe ich nicht. irgendein physikalisches phänomen elkromagnetischer natur, wie von cyber fred angesprochen...( es gab tatsächlich fälle von radiosendern die in einer amalgan zahnfüllung empfangen wurden... kein witz)...liegt da schon näher. trotzdem, mir scheint das ein fall für nen wünschelrutengänger oder mulder und scully zu sein, nicht böse sein, gruss, vampire ;) ps:der scanbericht vom KAV würde mich auch interessieren, auch wenn der win98se stammt... |
loooooool, cool wirklich cool, looooool @cobra... [img]graemlins/huepp.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Ein von mir beauftragter Fachmann hatte auf einem (HP) meiner drei Rechner festgestellt, daß ein Teil der Festplatte per Software abgetrennt war (gestacked / gestackert ?).</font>[/QUOTE]Schau mal in der Datenträgerverwaltung von XP nach, ob du am Anfang der Festplatte eine "EISA-Konfiguration" oder "HP-HIPA" genannte Partition findest. Benutzt du eine oder 2 Windows-CDs von Hewlett-Packard zum installieren? Hast du eine spezielle BIOS-Version, resp. meldet sich dein BIOS mit einem ungewöhnlichen Bild ("HP Invent")? Hat es dir schon mal eine Meldung wie "HP e-Diag Tools missing" oder ähnlich präsentiert? docprantl |
Wie wärs, wenn du mal deine komplette Platte mit Nullen überschreiben würdest? Mit Linux und dem Befehl dd geht das. Hierzu musst du deinen PC mit z.B. der Knoppix-CD starten. Dann in der Shell folgendes eingeben: dd if=/dev/zero of=/dev/hda bs=65536 hda musst du entsprechend dein Festplattenkonfiguration anpassen:hda ist der Master am 1.IDE-Kanal,hdb Slave am 1.IDE-Kanal,hdc Master am 2.IDE-Kanal und hdd Slave am 2.IDE-Kanal. Wenn du SCSI-Laufwerke hast,musst du das h durch ein s ersetzen (also sda,sdb...) ACHTUNG: Es gibt keine Sicherheitsrückfrage!!!! Das Programm gibt während seiner Arbeit auch keinerlei Statusmeldungen aus. Außerdem dauert es recht lange (2Std.) Nachher ist deine Platte nur eins: leer. In der Ct wurden Methoden zum sicherem Löschen von Dateien getetestet. Nach dem o.b. Befehl konnten auch professionelle Datenrettungslabore wie Ontrack und Vogon die Testdateien nicht wiederherstellen. Wenn also der Virus/Trojaner von der Festplatte kommt,ist er hinterher weg (was er nach einer Low-Level-Formatierung auch sein sollte.) |
@janerik: Was macht bs=65536? Ich hab mal in einer HowTo zur Installation von Gentoo "dd if=/dev/zero of=/dev/hda bs=1k count=1" ciao |
@CyberFred </font><blockquote>Zitat:</font><hr /> Was macht bs=65536? </font>[/QUOTE]blocksize von 64KB benutzen... </font><blockquote>Zitat:</font><hr /> "dd if=/dev/zero of=/dev/hda bs=1k count=1" </font>[/QUOTE]Die ersten 2 Sektoren der Platte werden hier mit Nullen überschrieben... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra: "Insbesondere bei den Postings von Kato lassen sich merkwürdige, scharfumrissene, farbige Strukturen erkennen." Die von Kato berichteten Probleme sind ein Konglomerat aus häufigen Hard- und Softwarefehlern. Daß sie auf mehreren Rechnern gleichzeitig erscheinen, ist jenseits der Unwahrscheinlichkeit. Das dachte ich schon beim Lesen seines initiierenden Posts. Dazu kommen eigentümliche Inkonsistenzen bei seinen eigenen Aussagen: oft scheint er durchaus zu wissen, wovon er redet, trotz gegenteiliger Beteuerungen, manchmal scheint er erschreckend kenntnislos. Zwei Möglichkeiten: (1) eine geradezu pathologische Paranoia, (2) ein Troll auf subtilem Niveau. Ich habe allerdings schon subtilere erlebt. Und stimme damit MTT und vampire zu. Cobra</font>[/QUOTE]******** Hallo, danke für Deine Meinung, aber Deinem Stil nach zu urteilen bist du, glaube ich, sicher kein Arzt und sicher auch nicht kompetent, per Internet eine Ferndiagnose zu meinem Geisteszustand abzugeben. Ich könnte Dich im Gegenzug fragen, ob Du streitsüchtig und profilneurotisch bist, wenn Du versuchst, bei anderen Stimmung gegen mich zu erzeugen, ohne mich dabei direkt anzusprechen. Ob Du sonst kompetent bist, kann ich nicht beurteilen, denn zur Sache bzw. zum Problem sagst Du ja nichts Substantielles, was weiterhelfen könnte. Na ja, 'Hard- und Softwarefehler', die 3 Firmen, die meine Rechner untersucht haben, habe ich ja auch in Verdacht, daß sie irgendetwas übersehen haben ... Stattdessen polemisierendes Rezitieren meiner gemutmaßten Fehlerbeschreibung als Aufhänger Deines Beitrags, um mich lächerlich zu machen. Ich meine, erschreckend ist weniger meine Kenntnislosigkeit (wen sollte das warum erschrecken ?) als Deine schlafwandlerische Sicherheit, oder treffender noch, Deine unglaubliche Arroganz, mit der Du meinst, ein Urteil über mich abgeben zu dürfen, obwohl Du mich gar nicht kennst. Hoffentlich gehst Du mit Deinem inquisitorischen Urteilsvermögen nicht bei jedem Hilfesuchenden in diesem Forum so zu Werke. Wenn Du meinen 'Fehlerbeschreibungen' keinen Glauben schenken willst, ist das Deine Sache. Ich kann Dir jedenfalls versichern, daß ich mir keine Geschichten ausdenke, nur um in diesem Forum meine Zeit totzuschlagen und über nicht existente Probleme zu fabulieren. Ich bin weiterhin nur an sachlichen Mitteilungen /Lösungen interessiert, was aber nicht bedeutet, daß ich keinen Spaß verstehe. Wer seinen Unmut loswerden möchte, möge das bitte in angemessener, zivilisierter Form tun bzw. sich ein anderes Thema suchen. Auch noch so viele Bewertungssterne helfen einem letzendlich nicht, ein besserer Mensch zu werden. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Cassandra: @Kato: Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra</font>[/QUOTE]****** Hallo und danke für Deine Antwort. Werde ich in den nächsten Tagen machen, ergänzend kann ich noch anfügen, daß einige bis sehr viele 'E/A-Fehlermeldungen' angezeigt werden. Immer dabei ist die Datei 'Win386.swp' (wenn ich das richtig im Gedächtnis habe), wobei es sich meiner Kenntnis nach um die Windows-Auslagerungsdatei handelt. Ansonsten habe ich meine HDD in diverse Laufwerke aufgeteilt, das Antivirenprogramm protokolliert in der Logdatei des öfteren 'Lesezugriff verweigert, E/A-Fehler', in einem Fall weit über 100 dieser Meldungen (auch nach Formatierung der Festplatte und unter Windows XP Pro sind diese Meldungen reproduzierbar, nicht exakt identisch,aber vom Wesen her). Obwohl der Scanner beim Systemstart gem. Konfiguration automatisch als erstes aktiv sein müßte (zumindest meiner Vorstellung nach), wird im Systray ein 'inaktiv'-Icon angezeigt, bis alles andere geladen ist. Wenn alle Anwendungen gestartet sind ,erscheint eine Fenstermeldung bzw.-abfrage, daß die Virendefinitionen veraltet sind, und ob man diese (per Internet) aktualisieren will (Ja/Nein).Erst durch Quittieren dieser Abfrage oder durch direktes Starten des Programms am Speicherort 'schaltet' das Programmicon im Tray auf 'aktiv'. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Werde ich in den nächsten Tagen machen, ergänzend kann ich noch anfügen, daß einige bis sehr viele 'E/A-Fehlermeldungen' angezeigt werden. Immer dabei ist die Datei 'Win386.swp' (wenn ich das richtig im Gedächtnis habe), wobei es sich meiner Kenntnis nach um die Windows-Auslagerungsdatei handelt. [/QB]</font>[/QUOTE]Win386.swp ist die auslagerungsdatei von win98se. aus eigener erfahrung kann ich bestätigen, daß sie schon mal den zufriff auf sich verweigert... also meiner meinung kommt ein firmware fehler aus den schon beschriebenen gründen nicht in frage. an deiner stelle würde ich erneut eine low-level formatierung durchführen lassen und dann nicht deine original software auf spielen sondern die eines freundes oder bekannten... sollte die datei dann immer noch auftauchen bleibt dir nichts anderes übrig als deine hardware komplett auszutauschen... ich hoffe für dich, daß das nicht nötig ist... gruss, vampire |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: Also du sagtest dass diese 2GB-Datei erst da war, es sich vielleicht um schädlichen Code handle (so der Sachverständige) und nach kurzer Zeit nicht auffindbar sei. Dazu mal ein paar Fragen: 1. Wie ist man darauf gekommen, dass es schädlicher Code sein könnte? Angenommen es ist keiner (würde ich ausschließen, weil was sollen 2GB schädlicher Code?) => 2. Die Beizeichnung kommt mir ein wenig spanisch vor. Könnte es irgendwas mit elektromagnetischen Feldern oder so zutun haben? Viele a-Buchstaben hintereinander, das könnte dadurch entstanden sein, dass (durch zufall vielleicht) irgendwelche Stromimpulse ausgelöst wurden (die vielleicht gebunden an genau diese eine Festplatte sind). Da dise einen bestimten Takt oder eine bestimmte Frequenz haben, entsteht so ein langer Dateiname mit immer dem selben Buchstaben und die Datei wird entsprechend gefüllt? 3. Könnte es sich irgendwie, in irgendeinster weise um eine Auslagerungsdatei handeln (wie die auch immer zustandegekommen sein mag? Ich persönlich sehe in 2. die Ursache für das Problem am ehesten. Wir haben heute in der Schule Speichermedien behandelt, und soweit ich weis handelt es sich bei Festplatten um magnetische. Könnte also passen, oder??? ciao</font>[/QUOTE]***** Hallo, danke für Deine Meinung. Ich fange mal mit Punkt 2 an: Ich habe diesen Begriff gewählt, weil er meiner Meinung nach allgemein gehalten ist, und ich zwar vermuten kann aber nicht genau weiß, was der Zweck des vermuteten Programmcodes ist. Schädlich, weil er Eigenschaften der Software/ des Computers für eigene Zwecke, in für den Benutzer negativer oder ungewollter Weise beeinflußt, Code als Kurzform für programmierte Befehlssequenzen, die das eigentliche Programm darstellen, das die Schädlichkeit herbeiführt. Ein Virus soll vielleicht vornehmlich zerstören, ein Trojaner ausspionieren usw.(vielleicht gibt es auch andere, ist aber nicht wichtig hier). Es ist eine Vermutung von mir, daß dies eine Schädlingsdatei sein könnte, Gewißheit besteht hier nicht. Diese Vermutung besteht, weil diese Datei vor der Säuberung der Festplatte durch 'Ontrack' bereits auf dem Rechner war, und unmittelbar nach Installation von 'Win XP Pro' sowohl bei Einsatz der gesäuberten, als auch einer nagelneuen Festplatte durch einen Windows-Suchlauf beim ersten Mal dort wieder auftauchte, wofür ich nur die Erklärung finde, daß das Problem nicht von der Festplatte ausgeht (wie diverse Male gesagt: bei Windows-Neuinstallation keine andere Software, keine anderen (Netzwerk)-verbindungen zum Computer). Seitens 'Ontrack' wollte man mir nur bestätigen, daß man einige zweifelhafte Dateien mit zum Teil sehr langen Dateinamen bei Säuberung der Festplatte gefunden hatte, die 'durchaus gut sein können für schädlichen Code'. Bestätigen wollte man das nicht, weil es Zeit und Geld gekostet hätte, das zu untersuchen, und diese Säuberung hat man freundlicherweise für mich kostenlos durchgeführt. 2. Jemand hat mir mitgeteilt, daß mit Datenschreddern gelöschte Dateien häufig zB. mit dem Buchstaben 'a' überschrieben werden, um ein nachträgliches Lesen oder Wiederherstellen unmöglich zu machen. Ich habe einige Schredder ausprobiert und bei der Löschfunktion von PGP dieses Phänomen beobachten können, was auch nur von Fall zu Fall auftrat.Zunächst schien das eine plausible Erklärung, dann habe ich aber wieder Zweifel bekommen, als ich dies auch das eine oder andere Mal beim 'Löschen'-Kommando im Kontextmenü der Maus (Papierkorb) feststellen mußte. Und der Papierkorb arbeitet meines Wissens ja nicht als Schredder. Zweifelhaft erscheint mir auch, ob dann zu erwarten wäre, daß sich dieses Überschreiben auch in der plötzlichen Änderung des Dateinamens zeigt. In der Praxis passiert nämlich folgendes (PGP): Nach dem Starten des 'Wipe'-Befehls wird die zu löschende Datei angezeigt und der Löschvorgang per Dialog gestartet. Dann ändert sich der urprüngliche Dateiname in 'aaaaaa....' und die Datei ist kurz danach verschwunden. Ich kann nicht sagen, ob es theoretisch möglich ist, daß irgendwelche Dateien durch elektromagnetische Induktion zu erzeugen sind, dazu fehlen mir die technischen Kenntnisse. Wenn diese Datei überhaupt etwas mit den Merkwürdigkeiten auf dem Computer zu tun hat, und wenn dies elektromagnetisch induziert sein sollte, müßten, da ich diese Datei auf allen 4 Einzelplatzrechnern gefunden habe, die alle in verschiedenen Räumen stehen, an allen Standorten nahezu identische Umgebungsbedingungen in Computernähe bestehen, die so etwas produzieren könnten. Vorstellen kann ich mir ungewöhnliches Verhalten der Festplatte beim Einsatz eines Magneten in der Nähe der Festplatte. Dies wäre eine technische Beeinflussung von außerhalb, die wohl unkontrollierbar und deshalb zufällig und nicht zu steuern wäre. Diese Dateien erwecken nicht den Eindruck zufällig entstanden zu sein, und es wäre wohl kaum nachvollziehbar, wenn sich zufällig eine voll funktionstüchtige Programmdatei durch elektromagnetischen Einfluß bilden könnte. Nein, ich meine, bei allem Respekt für Deine ungewöhnliche Idee: das ist zu weit hergeholt und erscheint mir in diesem Zusammenhang nicht denkbar. Nach allen vorausgegangenen 'Vorfällen' erscheint mir eine gezielte Beeinflussung des Rechners die Wahrscheinliche Variante zu sein. Nebenbei bemerkt:Ich selbst bin nicht empfänglich für Wellen, von anderen nicht wahrnehmbare Nachrichten oder Botschaften, werde (hoffentlich) und fühle mich auch nicht verfolgt. Zu 3.) Mir ist als Auslagerungsdatei Win386.swp (oder ähnlich) bekannt, ich könnte nicht einmal sagen, ob es nur eine Auslagerungsdatei im Windows-System gibt. Ich nehme aber an, daß sich jemand mit einem wissenden Kommentar hier im Forum schon vorher gemeldet hätte, wenn es so wäre. Danke für Deine Unterstützung. Gruß Kato |
Hallo! Also die win396.swp ist die Swap-Datei von Windows,bei mir ist sie im Verzeichnis C:\. Ihre Laufwerkszuornung kann man (bei Win 98) einfach festlegen,bei Win XP weiß ich nicht. Man kann sie auch komplett deaktivieren (nur bei genug RAM anzuraten) Eigentlich sollte sie nur einmal existieren. Es kann sein,dass sie bei Win 2000/XP einen anderen Dateinamen hat. |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: Es kann sein,dass sie bei Win 2000/XP einen anderen Dateinamen hat.</font>[/QUOTE]Jo, da heißt sie pagefile.sys. |
Ich hatte auch schon mal so etwas und ich glaube auch dass es resistente Viren gibt. Eventuell Master Boot Sektor Virus oder BIOS Virus. Bios mal neu flashen, könnte sein, dass das Ding sich aus dem Bios bei jeder Neuformattierung ins System frißt. [ 15. März 2003, 16:50: Beitrag editiert von: MAGICMASTER2003 ] |
soso, magicmaster, es gibt also low-level formatierungs resistente viren und trojaner, sehr interessant , dann nenn mir doch mal einen... ..hätte mich auch gewundert wenn du das problem nicht auch schonmal gehabt hättest... [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MAGICMASTER2003: Bios mal neu flashen, könnte sein, dass das Ding sich aus dem Bios bei jeder Neuformattierung ins System frißt.</font>[/QUOTE]öhh da gibts aber keinen der das macht. Bzw. weiß garnicht ob das geht. Der CIH hat das Bios "überschrieben" aber sich nicht da "reingeschrieben".... Ist hoffentlich verständlich, was ich sagen will. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky: </font><blockquote>Zitat:</font><hr />Original erstellt von MAGICMASTER2003: Bios mal neu flashen, könnte sein, dass das Ding sich aus dem Bios bei jeder Neuformattierung ins System frißt.</font>[/QUOTE]öhh da gibts aber keinen der das macht. Bzw. weiß garnicht ob das geht. Der CIH hat das Bios "überschrieben" aber sich nicht da "reingeschrieben".... Ist hoffentlich verständlich, was ich sagen will.</font>[/QUOTE]Nein! :D Viele Grüße Bilbo |
Also,ich hab noch einmal einen Tip für Kato: In der Ct 24/2002 steht auf Seite 203 ,wie man Dateien auf Veränderungen überwachen kann,und feststellen kann,von welchem Programm diese Veränderungen kommen. Das Tool heißt File-Mon und ist bei Sysinternals zu finden (www.sysinternals.com ,glaub ich) Wenn du deine immer größer werdene "aaaaaa...-Datei" also damit überwachst,könntest du feststellen,von welchem Programm/Prozess diese aaas kommen... |
Kann es vieleicht an falschen Einstellungen im BIOS liegen, das du diese Probleme hast...? |
</font><blockquote>Zitat:</font><hr />Original erstellt von Cassandra: @Kato: Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra </font>[/QUOTE]**** Hallo, </font><blockquote>Zitat:</font><hr />Original erstellt von Cassandra: @Kato: Dann wäre es vielleicht mal ganz interessant, wenn Du den Scanbericht hier posten würdest.... Gruß, Cassandra </font>[/QUOTE]****** Hallo, Nachfolgend die wesentlichsten Daten des KAV-Scanners (Windows 98 SE) von heute: <200.10c00.10101.2.103> OK Warnung Verdacht Infiziert <200.904.1204.1304.404> Desinfiziert Gelöscht Umbenannt Wird nach dem Neustart gelöscht <299.b04.d04.c04.1b04> Wird nach dem Neustart umbenannt Desinfektion erfolglos komprimiert Archiv <200.1a04.a04.1004.1104> Verschlüsselt Beschädigt Unbekanntes Format Durch Passwort geschützt <200.f04.704.1404.804> Durch einen anderen Prozess blockiert Lesezugriff verweigert Zu wenig Platz auf der Festplatte E/A-Fehler <200.304.504.604.404> Kernel-Fehler Interface-Fehler <200.204.104> Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010> Es folgen die gescannten Dateien mit dem Zusatz 'Archiv' oder 'Beschädigt', zum Schluß eine Zusammenfassung des Scans: Gescannt: Sektoren: 0 Dateien : 6435 Gefunden: Archive : 175 komprimierte Dateien: 23 Virus-Körper: 0 Desinfiziert von Virus: 0 Gelöscht: 0 Ähnlichkeit mit Virusvariante: 0 Verdacht auf Virustyp: 0 Infizierte Objekte: 7 Fehler: 3 Dateien werden durch einen anderen Prozeß blockiert. Der KAV-Scanner ist eine 'Lite'-Version, also sind sicher einige Sachen eingeschränkt. Merkwürdig finde ich trotzdem, daß ich die Scaneinstellungen nicht auf alle Dateien ausdehnen kann. In Protokoll-Datei der Scaneinstellungen werden Archive als 'nicht zu scannen' protokolliert und ich finde nirgends eine Einstellmöglichkeit am Scanner selber, um dies zu ändern. 1. Fehler : C:\Windows\Windows\Win386.swp E/A-Fehler 2.+3.Fehler: Laufwerk D:\ und E:\ (DVD-Rom/CD-RW)- laufwerke: Lesezugriff verweigert. Der durchgeführte Scan einer Diskette in Lw A: wird gar nicht protokolliert. Die als beschädigt protokollierten Dateien bestehen zusätzlich auch immer mit einer unbeschädigten Version, Beispiel: C:\Programme\OpenOffice.org1.0\program\classes\db.jar Archiv <ce0000.0.11> Es besteht dann noch ein identischer Pfadeintrag in der KAV-Logdatei darunter, anstelle von 'Archiv' findet sich dann der Vermerk 'Beschädigt' und der nachfolgende Binärcode <d00000.0.7>. D.h. für jede beschädigte Datei gibt es immer auch eine Originaldatei mit gleichem Namen und Pfad. Unter Win Xp Pro habe ich das im Detail noch nicht untersucht, aber es werden auch dort bis zu 28 infizierte Objekte angezeigt, wobei ich nicht weiß was unter 'Objekt' zu verstehen ist. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Ein von mir beauftragter Fachmann hatte auf einem (HP) meiner drei Rechner festgestellt, daß ein Teil der Festplatte per Software abgetrennt war (gestacked / gestackert ?).</font>[/QUOTE]Schau mal in der Datenträgerverwaltung von XP nach, ob du am Anfang der Festplatte eine "EISA-Konfiguration" oder "HP-HIPA" genannte Partition findest. Benutzt du eine oder 2 Windows-CDs von Hewlett-Packard zum installieren? Hast du eine spezielle BIOS-Version, resp. meldet sich dein BIOS mit einem ungewöhnlichen Bild ("HP Invent")? Hat es dir schon mal eine Meldung wie "HP e-Diag Tools missing" oder ähnlich präsentiert? docprantl </font>[/QUOTE]******* Hallo, Vielen Dank für deine Nachricht. Der Rechner meldet sich mit einem 'HP Invent' Bildschirm direkt nach dem Einschalten des Rechners. Es gab wohl auch eine Service-Partion auf der Festplatte zum 'Retten' der Daten, die ich aber im Laufe diverser Festplattenformatierungen gelöscht habe. Die Installation des Betriebssystems WinME erfolgte von einer HP-CD (OEM). Ich habe darüber nachgedacht, ob diese Partition vielleicht durch zusätzliche Hardware derart verankert ist, daß ich die Partition gar nicht beseitigen kann, ich weiß nicht ob so etwas möglich oder üblich ist bei Distributionen von Computerfirmen.Die Anzeige 'HP e-Diag Tools missing' habe ich zu keiner Zeit gesehen. Mittlerweile habe ich allerdings eine nagelneue Festplatte eingebaut. Der 'HP-Invent'-Bildschirm war eine gewisse Zeit bevor ich die Original-Festplatte zum Säubern an die Fa. Ontrack geschickt hatte verschwunden. Das BIOS wird als Award 6.0 PG oder ähnlich bezeichnet (aus dem Gedächtnis) und ich habe es zwischenzeitlich vor etwa 3 Monaten durch einen Fachmann aktualisieren lassen. Nach dem Einbau der neuen Festplatte ist nun auch das 'HP-Invent'-Logo wieder da. Nach der 'HP-HIPA' bzw. 'EISA-Konfiguration' werde ich noch mal schauen,aus dem Gedächtnis heraus habe ich dies dort nicht bemerkt. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Und als letztes: nach Wiedereinbau dieser Festplatte und anschließendem Aufspielen von Windows XP Pro (Original Kauf-CD) ohne sonstige Software und andere (Netzwerk)-verbindungen zeigte ein erster Suchlauf mit Windows diese Datei (knapp 2 GByte) an, später war sie für lange zeit nicht wieder auffindbar </font>[/QUOTE]genau solche schilderungen irritieren doch sehr stark... musst du zugeben. 2 gigabyte grosse dateien verschwinden nicht einfach nach lust und laune...!!! ich kann mir vorstellen, daß bei der installation von WinXP einer beliebigen .tmp datei ein bit geknickt wird und sie nun ihr eigenleben führt. sie wächst, indem sie aaa's auf die platte schreibt, zu gigabyte grösse an. mit viel fantasie und gutem willen will ich auch noch akzeptieren, daß die installation trotzdem erfolgreich verläuft und du diese datei nun findest. das ist schon sehr heftig, aber ok, mit gutem willen...!! was ich nicht mehr akzeptieren kann ist, daß die datei sich nun wieder verflüchtigt um dann wochen später wieder aufzutauchen. das ganze selbstverständlich ohne den alltagsbetrieb deines rechners/netzes zu stören... eine vernünftige, mit den üblichen methoden herzustellende lösung deines problems sehe ich nicht. irgendein physikalisches phänomen elkromagnetischer natur, wie von cyber fred angesprochen...( es gab tatsächlich fälle von radiosendern die in einer amalgan zahnfüllung empfangen wurden... kein witz)...liegt da schon näher. trotzdem, mir scheint das ein fall für nen wünschelrutengänger oder mulder und scully zu sein, nicht böse sein, gruss, vampire ;) ps:der scanbericht vom KAV würde mich auch interessieren, auch wenn der win98se stammt... [/QB]</font>[/QUOTE]**** Hallo, Danke für Deine Nachricht. Ich beschreibe hier das, was ich auch festgestellt habe. Wie das zu erklären ist, versuche ich heraus zu finden. Ich bin auch sicher, daß es dafür eine nachvollziehbare Erklärung gibt. Deinem Gedankenansatz nach kannst Du nicht akzeptieren, daß die Datei sich 'verflüchtigt'.Ich kann dem nur entgegenhalten, daß ich es so erlebt habe. Indem Du es nicht akzeptieren kannst, ist es Dir mit dieser Methode auch nicht möglich, daß Problem (z.B. im Ausschlußverfahren) zu lösen. Ich glaube schon an eine Lösung. Aber die wird nichts mit irgendwelchen paranormalen Dingen zu tun haben. Wenn man Dinge nach und nach ausschließen kann, kommt man irgendwann auch zu einem Ergebnis. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: Wie wärs, wenn du mal deine komplette Platte mit Nullen überschreiben würdest? Mit Linux und dem Befehl dd geht das. Hierzu musst du deinen PC mit z.B. der Knoppix-CD starten. Dann in der Shell folgendes eingeben: dd if=/dev/zero of=/dev/hda bs=65536 hda musst du entsprechend dein Festplattenkonfiguration anpassen:hda ist der Master am 1.IDE-Kanal,hdb Slave am 1.IDE-Kanal,hdc Master am 2.IDE-Kanal und hdd Slave am 2.IDE-Kanal. Wenn du SCSI-Laufwerke hast,musst du das h durch ein s ersetzen (also sda,sdb...) ACHTUNG: Es gibt keine Sicherheitsrückfrage!!!! Das Programm gibt während seiner Arbeit auch keinerlei Statusmeldungen aus. Außerdem dauert es recht lange (2Std.) Nachher ist deine Platte nur eins: leer. In der Ct wurden Methoden zum sicherem Löschen von Dateien getetestet. Nach dem o.b. Befehl konnten auch professionelle Datenrettungslabore wie Ontrack und Vogon die Testdateien nicht wiederherstellen. Wenn also der Virus/Trojaner von der Festplatte kommt,ist er hinterher weg (was er nach einer Low-Level-Formatierung auch sein sollte.) </font>[/QUOTE]****** Hallo, Danke für Deinen Beitrag. Inzwischen bin ich für mich zu dem Schluß gekommen, daß das ganze Problem weniger durch eine Viren-Infektion bestimmt wird. Wenn Viren vorhanden sind, dienen diese vielleicht nur einem bestimmten Zweck, vielleicht Daten abzuschöpfen o.ä.Das eigentliche Problem scheint mir nicht auf der Festplatte zu liegen. Wenn ich eine neue Festplatte einbaue, und sich 'schädlicher Code' auf dieser Platte ausbreitet, und ich eine Infektion durch andere Wechselmedien oder (Netzwerk-)Verbindungen zum Rechner ausschließen kann, indem keine installiert worden sind bzw. fehlen, welche Möglichkeiten der Infektion bleiben dann ? 1. Das BIOS ? 2. andere Hardware oder emulierte Hardware z.B. ein 2. Diskettenlaufwerk, welches den Virenscanner abblockt, und worin sich vielleicht schädlicher Code befindet ? Folge ich dieser Überlegung, hilft auch jede Formatierung / Säuberung der Festplatte nicht, da der schädliche Code sich demnach ja woanders befinden müßte.Ob das richtig sein kann wird sich noch zeigen. Ich habe am vergangenen Wochenende SuSe Linux 8.1 und die Probierversion des 'Acronis Disk Editor Deluxe' installiert. Der Festplatten Editierer zeigte mit anschließend unter 'Windows 98SE' folgendes an: eine Olivetti Service Partition 0AAh AIX Boot 08h 'unknown' 0B2h Linux Swap, Solaris 082h Linux Native /DR-DOS 043h NTFS/HPFS 07h 'unknown' 0F6h Die Binärzeichen entsprechen den offiziellen Partitions-IDs. Gibt es eine Erklärung für eine Olivetti-Service Partition in diesem Zusammenhang ? Die letzten 3 Partitionen waren als unzugeordneter Speicherplatz angezeigt. Die Namen der Partitionen sind durch Sonderzeichen (anderer Zeichensatz?) belegt, die mit der normalen Tastatur nicht darstellbar sind. Einige Cluster der Festplatte besitzen Schreibschutz bzw. 'versteckt'-Attribute. Unter SuSe Linux Einstellungen/ Information/Available Hardware werden mir Einträge unter '? Unbekannt' angezeigt, unter anderem auch ein nicht näher spezifiziertes BIOS. Aber das mag ja erklärlich sein, vielleicht kannst Du oder jemand anderes dazu etwas sagen. Trotzdem danke für Deinen Hinweis, werde ich bei Gelegenheit auf jeden Fall ausprobieren. Gruß Kato |
Hallo Kato Ganz zu anfang hattest du geschrieben das es alle deine PCs betrifft jedoch das du bei einigen auch nach der neuinstallatin das Problem hättest nun lag mir die vermutung nahe das die PCs miteinander Irgendwie verknüpft sind sei es durch einen Switch oder Router wohlmöglich auch noch wireless nur mal angenommen das irgeneines dieser geräte seine auslagerungsdateien bzw protocolle nicht an die richtige adresse sendet wo sie hingehören wäre ja auch ne möglichkeit allerdings müsste ich dafür ersteinmal erfahren ob solche geräte bei dir im einsatz sind und vor allem um welche es sich handelt es ist shon mal bei allnet switches vorgekommen das sie verschiedene protocolle falsch adressiert hatten und sich dadurch auf einen meiner kunden PCs eine auslagerungsdatei gefunden hat die in etwa der grööse von 2 GB entsprach Mfg AUGUST |
</font><blockquote>Zitat:</font><hr />Original erstellt von MAGICMASTER2003: Ich hatte auch schon mal so etwas und ich glaube auch dass es resistente Viren gibt. Eventuell Master Boot Sektor Virus oder BIOS Virus. Bios mal neu flashen, könnte sein, dass das Ding sich aus dem Bios bei jeder Neuformattierung ins System frißt. </font>[/QUOTE]****** Hallo, Danke für Deine Meinung. Das BIOS hatte ich schon einmal durch einen Fachmann 'erneuern' lassen. Vielleicht ist Deine Vermutung aber gar nicht so weit vom Problem entfernt, auch wenn mir die Zusammenhänge überhaupt nicht klar sind. Auffällig beim Scan mit verschiedenen Virenscannern in der Vergangenheit erschien mir, daß MBR und die Bootsektoren in der Logdatei immer mit '0' (als nicht gescannt) angezeigt wurden. Dies ist wohl auch so in dem gestern von mir geschickten 'KAV-Lite'-Report. Der MBR hätte meiner Kenntnis nach allerdings spätestens auch bei der Säuberung der Festplatte durch 'Ontrack' mit zerstört werden müssen. Wenn es nun aber ein zweites BIOS auf dem Rechner gäbe (als 'Gerät', wie gestern von mir aufgegeben ?), sieht die Sache vielleicht anders aus. Mir ist zwar bekannt, daß es 'Dual-Bios'-Rechner auf dem Markt gibt, meine gehören aber von der Konstruktion her nicht dazu. Ich weiß auch nicht, ob das technisch möglich wäre ein zweites BIOS auf einem nicht dafür vorgesehenen Rechner zu installieren. Solch eine Aktion wäre vielleicht auch nur sinnvoll in Kombination mit anderem verstecktem Code, der vom BIOS angesprochen wird ? Auf einem meiner Rechner habe ich zum Zeitpunkt der letzten Interneteinwahl (vor etwa einem Jahr) folgendes festgestellt: Am Tag nach dem Internetausflug fing der Bildschirm einige Minuten nach dem Starten von Windows 2000 in rosafarbenem bis violettem Licht an zu flackern, was nach einigen Minuten dann aufhörte. Meines Wissens könnte ein Virus wie CIH hierfür verantwortlich sein, ich habe anschließend auch einen Virenscan durchgeführt, allerdings ohne Ergebnis. Daß alleine scheint mir aber das Gesamtproblem auch nicht auszumachen.Wie wäre es z.B. zu erklären, daß sich ohne meine Veranlassung das Microsoft-Produkt 'Plus!'im Startmenü findet (allerdings schon ein halbes Jahr her, nicht wieder aufgetaucht seitdem). Meines Wissens ist dies ein kostenpflichtiges Zusatzprodukt was dem Windows Betriebssystem nicht kostenlos beigefügt ist, aber vielleicht täusche ich mich hier, Kommentare gerne erbeten. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: Also,ich hab noch einmal einen Tip für Kato: In der Ct 24/2002 steht auf Seite 203 ,wie man Dateien auf Veränderungen überwachen kann,und feststellen kann,von welchem Programm diese Veränderungen kommen. Das Tool heißt File-Mon und ist bei Sysinternals zu finden (www.sysinternals.com ,glaub ich) Wenn du deine immer größer werdene "aaaaaa...-Datei" also damit überwachst,könntest du feststellen,von welchem Programm/Prozess diese aaas kommen... </font>[/QUOTE]******* Hallo, danke für Deinen Tip, das ist noch mal eine Maßnahme. Ich glaube, ich besitze dieses Werkzeug sogar. Ich werde in den nächsten Tagen mal versuchen, ob ich damit klar komme. Gruß Kato |
Was issn das fürn Mainboard gewesen ? Domino |
</font><blockquote>Zitat:</font><hr />Original erstellt von AUGUST: Hallo Kato Ganz zu anfang hattest du geschrieben das es alle deine PCs betrifft jedoch das du bei einigen auch nach der neuinstallatin das Problem hättest nun lag mir die vermutung nahe das die PCs miteinander Irgendwie verknüpft sind sei es durch einen Switch oder Router wohlmöglich auch noch wireless nur mal angenommen das irgeneines dieser geräte seine auslagerungsdateien bzw protocolle nicht an die richtige adresse sendet wo sie hingehören wäre ja auch ne möglichkeit allerdings müsste ich dafür ersteinmal erfahren ob solche geräte bei dir im einsatz sind und vor allem um welche es sich handelt es ist shon mal bei allnet switches vorgekommen das sie verschiedene protocolle falsch adressiert hatten und sich dadurch auf einen meiner kunden PCs eine auslagerungsdatei gefunden hat die in etwa der grööse von 2 GB entsprach Mfg AUGUST </font>[/QUOTE]Hallo, Danke für Deinen Hinweis. Nein, bei allen Rechnern handelt es sich um Einzelplatz-Rechner, die in keinerlei Weise miteinander verbunden waren und sind. Das kann u.U.ja ziemlich unangenehm werden, wenn Deine Daten plötzlich bei jemand anderem auftauchen. Interessant zu wissen, daß es dieses Phänomen gibt. Die 2-GB-Marke mag aber vielleicht insofern kein Zufall sein, als sie, wenn ich das richtig in Erinnerung und verstanden habe, eine Grenze bei bestimmten (älteren) Dateisystemen darstellt, vielleicht auch beim BIOS. Mit anderen Worten: größere Dateien können sonst nicht mehr verwaltet werden. Wenn meine Darstellung so richtig ist, könnte ich also im Umkehrschluß vermuten, daß dieses Phänomen bei Dir vielleicht bei Benutzung eines älteren Windows-Betriebssystems o.ä. aufgetreten ist. Aber davon habe ich zuwenig Ahnung. Auf jeden Fall war Dein Hinweis eine Überlegung wert, danke dafür. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Domino: Was issn das fürn Mainboard gewesen ? Domino </font>[/QUOTE]**** Hallo, Danke für Deine Anfrage, auf die ich leider erste heute antworten kann. Wenn ich mich nicht vertue, ist dies auch die letzte Antwort, auf die ich noch nicht geantwortet habe. Dieses Thema hier ist wohl auch so ziemlich erschöpft. Ich besitze 4 Einzelplatzrechner der verschiedensten Bauart mit 4 unterschiedlichen Mainboards von ganz alt ('98) bis relativ neu. Da das von mir vermutete Problem, wie gesagt, auf allen Rechnern in der einen oder anderen abgewandelten Form vorhanden zu sein scheint, vermute ich nicht, daß dies auf das Mainboard zurückzuführen ist, aber vielleicht fällt Dir oder jemand anders dazu noch etwas ein ? Bei diesem Punkt denke ich an folgendes Verhalten meines Computers (unter Win XP Pro) : Ich glaube unter 'Computereigenschaften' wird die Computer-ID, die Art des Prozessors und der verfügbare Arbeitsspeicher angezeigt. Zu verschiedenen Zeiten, also jeweils nach Neustart des Computers wird statt der mir geläufigen, 'üblichen' Anzeige 'Pentium III xxx MHZ' angezeigt (aus der Erinnerung heraus, stimmt wahrscheinlich nicht genau) 'x86 Family 6 Stepping 8 .... '. Zwischen diesen unterschiedlichen Anzeigen hatte ich am Computer in Bezug auf Hardware nichts geändert. Ist solch eine sich ändernde Anzeige 'normal'? Ansonsten möchte ich die Gelegenheit nutzen,um mich bei allen, die zu dem dargestellten Problem einen Kommentar abgegeben haben, zu bedanken. Auch wenn ich das Problem hier noch nicht endgültig lösen konnte, so habe ich doch wieder dazu gelernt, und meinem Eindruck nach scheint mir die Sache im Kern auch nichts mit einem Trojaner, Virus o.ä. zu tun zu haben, was sich bei einer professionellen Untersuchung aber noch wird erweisen müssen. Gruß Kato |
@Kato Falls sich das Rätsel irgendwann einmal lösen sollte, wäre es nett, wenn Du diesen Thread wieder ausgräbst und uns erzählst, was es den nun war. Gruß T_R_G |
@ Kato: Tja,denk immer dran,bei PCs gibt es nichts ,was es nicht gibt. Bei mir steht übrigens auch immer dieses mit Stepping x86 nochwas. Auch ich rate dir,diesen Thread nochmal auszugraben falls es irgendwelche Ergebnisse/besondere Vorkommnisse (das Ganze ist leider schon zu seltsam) gibt. |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: @ Kato: Tja,denk immer dran,bei PCs gibt es nichts ,was es nicht gibt. Bei mir steht übrigens auch immer dieses mit Stepping x86 nochwas. Auch ich rate dir,diesen Thread nochmal auszugraben falls es irgendwelche Ergebnisse/besondere Vorkommnisse (das Ganze ist leider schon zu seltsam) gibt. </font>[/QUOTE]***** Hallo Janerik, Vielen Dank, Na ja, ich weiß jetzt bzw. wußte auch schon im voraus und hab' das ja auch gesagt, daß es eine Menge von Dingen gibt, die ich in Bezug auf den Computer falsch einschätze, aufgrund mangelnder Kenntnisse. Da aber meistens auch jemand hier ist, der das in sachlicher, aber auch weniger sachlicher Form zu erklären bereit ist, ist das nicht so tragisch. Gerade Dir möchte ich besonders nochmal danken für Deine Unterstützung, Du hast immer versucht, mit neuen Ideen und sachdienlichen Hinweisen weiterzuhelfen, das habe ich schon bemerkt. Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato [/QB]</font>[/QUOTE]wie darf man denn diesen satz verstehen...? soll das etwa heissen, daß du nicht genau weisst ob es die 2 gig's grosse datei überhaupt gab...?? |
</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: @Kato Falls sich das Rätsel irgendwann einmal lösen sollte, wäre es nett, wenn Du diesen Thread wieder ausgräbst und uns erzählst, was es den nun war. Gruß T_R_G </font>[/QUOTE]Hallo, Ja,kann noch etwas dauern, aber das mach'ich.Bis dahin... Gruß Kato |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: </font><blockquote>Zitat:</font><hr />Original erstellt von Kato: Sobald ich den Rechner habe untersuchen lassen, sag' ich Dir kurz Bescheid, ob ich mir was eingebildet habe oder nicht. Bis dann. Gruß Kato </font>[/QUOTE]wie darf man denn diesen satz verstehen...? soll das etwa heissen, daß du nicht genau weisst ob es die 2 gig's grosse datei überhaupt gab...?? [/QB]</font>[/QUOTE]Hallo, Danke für Deine Nachricht. Nein, die Datei war da. Die Frage ist, ob es dafür eine vernünftige, nachvollziehbare Erklärung gibt. Es wird sich zeigen. Ich möchte nun eigentlich das ganze Thema nicht wieder aufkochen, allerdings ist mir beim Surfen in einem Internet-Cafe aufgefallen, daß die Computer nach jeder Internet-Sitzung neu gestartet und mit einer Software namens 'Winrollback' in den vorherigen Ausgangszustand zurückversetzt werden, quasi vollautomatisch. Soweit mir bekannt ist, gibt es diesen Internet-Schutz als Soft- und Hardwareversion. Mir war nicht bekannt, daß so etwas existiert. Wie ich gelesen habe, soll diese Art von Software, vielleicht nicht speziell diese, auch ein Low-Level-Format verhindern (können). Dieses Verhalten käme zunächst mal, zumindest teilweise, dem von mir festgestellten Verhalten meines Rechners nahe. Das alleine ist es aber meiner Meinung nach auch nicht.Aber vielleicht ein Denkansatz. Die Überlegung: Wenn es jemandem gelänge, ein solches Programm auf einem fremden Rechner zu plazieren, könnte daraus vielleicht das oben beschriebene Verhalten resultieren. Ob das technisch machbar ist, ist eine andere Frage, die ich nicht beantworten kann, aber die Möglichkeit ging mir im Kopf herum, sie mußte heraus. Wie gesagt, möchte ich das aber alles nicht wieder aufwärmen, falls aber speziell zu diesem Punkt jemand etwas einfällt, gerne. Bis demnächst. Gruß Kato ++++++ |
Hallo Kato ! (Diese Antwort kommt leider etwas spät, aber besser spät als nie ;) ) </font><blockquote>Zitat:</font><hr /> Ich möchte nun eigentlich das ganze Thema nicht wieder aufkochen, allerdings ist mir beim Surfen in einem Internet-Cafe aufgefallen, daß die Computer nach jeder Internet-Sitzung neu gestartet und mit einer Software namens 'Winrollback' in den vorherigen Ausgangszustand zurückversetzt werden, quasi vollautomatisch. </font>[/QUOTE]Ja, solche Programme gibt es. Sie werden hauptsächlich für Internet-Cafes und Schulen/Universitäten entwickelt, denn selbst, wenn die Benutzer den Rechner z.B. mit Viren komplett lahmlegen, wird die Ursprungskonfiguration nach dem nächsten Booten widerhergestellt. Die Programme basieren (meines Wissens nach) darauf, dass zuerst (bei der Installation) ein Image bestimmter Partitionen (der mit dem installiertem Betriebssystem) erstellt werden kann. Dies entspricht in etwa der Funktion eines Image-Programms, wie z.B. DriveImage oder Norton Ghost.Diese Image-Datei wird dann jedoch auf einer von dem Programm extra angelegten versteckten Partition gespeichert und zuletzt schreibt sich die Software in den MasterBoot-Sektor, damit sie (wie vorher festgelegt) alle bestimmte Bootvorgänge die gesicherte Partition komplett mit der auf der versteckten Partition angelegten Image-Datei überschreibt. Da du jedoch nicht nur den Inhalt der Betriebssystem-Partitionen gelöscht hast (formatiert), sondern auch eine Low-Level-Formatierung durchgeführt hast, wäre die (versteckte) Partition auf welcher ja die Image-Datei liegen müsste ebenfalls gelöscht. Ebenfalls ist mir nicht bekannt, dass es solche Programme Backdoorartig (ohne das der Anwender es merkt) installieren und zu dem darf man nicht ausser Acht lassen, dass es bestimmt einige Minuten dauert, bis eine Partition komplett wiederhergestellt ist, dies dürfte dem Anwender dann schon sehr deutlich auffallen. Dein Gedankenansatz ist jedoch nicht schlecht, es wurden ja bei einer Untersuchung deines PCs merkwürdige Partitionen entdeckt. Rein theoretisch könnte ein erstelltes Image die Low-Level-Formatierung jedoch nur überleben, wenn es nicht auf der Festplatte, sondern auf einem externem Speichermedium, welches zudem noch bootfähig sein müsste, um sich automatisch wiederherzustellen, gespeichert sein. In die Richtung weiterzuforschen (es muss ja nicht unbedingt ein Image der gesamten Partition erstellt worden sein, eine Kopie des Viruses reicht ja) ist sicher nicht verkehrt, jedoch habe ich noch nie etwas von einer solchen Verbreitungsart gehört. Ich glaube weiterhin, dass jemand dir die Dateien (den schadhaften Code, oder was es auch sein mag) selbst auf den Rechner gespielt hat (physikalischer Zugriff) bzw. da die Sympthome ja auf verschiedenen deiner Rechner auftraten auf möglicherweise magnetische Felder, Strahlungen etc. zurückzuführen sind. Da ich mich in diesem Gebiet jedoch nicht auskenne, solltest du dich da schon an einen Experten wenden. In dieser Hinsicht finde ich das Posting von Cobra an dieser Stelle sehr interessant, vielleicht weiß er ja noch etwas zu meinen Theorien. cu Janerik |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board