Hallo zusammen,
ich bekomme seit gestern immer wieder Meldungen, dass der Trojan.FakeAV Virus gefunden wurde. Symantec Endpoint Protection öffnet dann in der Minute bis zu 40 Meldungen. Dort steht zum Beispiel, dass die E-Mail nicht versendet werden konnte, weil es eine unerlaubte Attachement enthält. Also es geht hauptsächlich um E-Mail Meldungen. Ich habe keine Ahnung wie ich die wegbekommen soll. Hab mal einen Scan gemacht mit Endpoint Protection, aber sie kamen immer wieder.

Ich hoffe mir kann einer helfen.

PS: Ist hoffentlich das richtige Unterforum :)

Du hast offenbar einen Trojaner, der sich versucht, per Mail weiterzuverbreiten. Das heißt also nicht, dass dieses Problem nur Mailkram betrifft. Dein gesamtes System ist infiziert und du kannst deinem System nicht mehr trauen.
Dass du den Trojaner nicht los wirst, liegt aller Wahrscheinlichkeit daran, dass der Trojaner einen gecrypteten Backup auf deinem System hat, welchen Virenscanner nicht finden, weil es keine eindeutige Signatur davon gibt, weil es bei jedem, oder alle paar Sprünge zu anderen Opfern neu gecryptet wird.
Entfernt dein Virenscanner den Prozess und/oder die Executable des Trojaners, stellt sich der Trojaner einfach selber aus der gecrypteten Datei wieder her.

Deine Möglichkeiten:
- Einen Virenscanner finden, der auch die gecryptete Datei findet und löscht.
- Dein Betriebssystem neu installieren.

Ich persönlich empfehle dringend die letztere Option, weil du deinem System ohnehin nicht länger trauen kannst, da viele Schädlinge weitere Schädlinge ins System holen um so vielleicht ein paar darunter zu haben, die nicht von Virenscannern entdeckt werden, so dass der Controller weiterhin über dein System verfügen kann.


Desweiteren denk unbedingt mal darüber nach, wie das Dingen in dein System gekommen ist und mach dir generell Gedanken darüber wie du dein System präventiv absicherst. Virenscanner bringens da nicht, wie du siehst.

So hab den Spybot Search & Destroy mal drüberlaufen lassen, hab den PC neugestartet und es wird wirklich nichts mehr angezeigt. Hm ist er nun wirklich weg? Ist überhaupt der Symantec Endpoint Protection "gut" oder sollte ich den Virenschutz wechseln?

Tja ich habe gestern mal bei Google Bilder gesucht und zack bei einem Bild muss ein Virus oben gewesen sein. Wie sollte man das erraten können? Geht eigentlich fast garnicht.

Viren in Bildern gehen soweit ich weiss seit XP SP1 nichtmehr. Entweder bei dir wars ein unbekanntes exploit oder eigenverschulden.
Schmeiß jeden Virenscanner der kostet übern Haufen. Im Endeffekt kannst dir genau so gut AVG oder Avira holen. Ein gesunder Menschenverstand ist die einzige effektive Waffe gegen Schadcode.
Ob du den Virus los bist kann man nicht zu 100% sagen, du weisst jetzt nur: alles was gefunden werden _kann_ wurde gefunden, was dein AV nicht findet, kann es auch nicht löschen.

So hab den Spybot Search & Destroy mal drüberlaufen lassen, hab den PC neugestartet und es wird wirklich nichts mehr angezeigt. Hm ist er nun wirklich weg? Ist überhaupt der Symantec Endpoint Protection "gut" oder sollte ich den Virenschutz wechseln?

Tja ich habe gestern mal bei Google Bilder gesucht und zack bei einem Bild muss ein Virus oben gewesen sein. Wie sollte man das erraten können? Geht eigentlich fast garnicht.

Dass ein Exploit in der Jpeg-, Gif-, PNG-Bibliothek vorliegt ist eher unwahrscheinlich. Aber selbst wenn es da einen aktuellen 0-Day-Exploit gibt, hätte auch Nutzerzugangskontrolle Windows' ausgehebelt werden müssen, was es nochmal eine ganze Ecke unwahrscheinlicher macht, das es so ablief.
Wahrscheinlicher ist, dass du
1.: Dein System kaum aktuell hälst.
2.: Dass du Flash/Java/andere Plugins und/oder deinen Browser kaum aktualisierst.
3.: Dass du UAC bei deinem Windows Vista/7 deaktiviert hast, bzw. unter WinXP als Administrator angemeldet bist.
4.: Dass du Software aus vertrauensunwürdiger Quelle runterlädtst und startest.

BTW: Ich persönlich würde dem System nicht wieder trauen. insbesondere nicht, wenn du daran Homebankig, oder sonstige vertrauliche Sachen drauf machst (was eigentlich jeder von uns an seinem Rechner tut).

Welche Version hast du denn von Endpoint Protection? Version 11 ist die aktuelle..

Von welcher Windows Version sprechen wir XP, Vista, 7? Bei XP hilft meist auch die beste Sicherheitslösung nicht mehr denn es enthält gravierende Designfehler, die sich einfach nicht mehr zu patchen lohnen.

Symantec Endpoint Protection - ist eine Unternehmenslösung, ich gehe davon aus das es sich um einen Firmen PC/Laptop handelt?

Spreche am besten mit deinem IT Fritzen.

Ansonsten würde ich auch raten den Rechner platt zu machen.

TroyanfakeAV ist ein Troyaner, der Fake Virenwarnungen ausgibt. Er zeigt also Bedrohungen an, die es gar nicht gibt. Es soll damit der Kauf eines Fake-Virenscanners forciert werden.
1. Von allein kommt der nicht auf die HD. Meist wird man auf Fake-Seiten mit einer Meldung begrüßt "Ihr Computer ist bedroht, 225 Viren wurden gefunden. Kostenloser Check! Hier bitte klicken" Wenn man klickt hat man sich den Troyaner gefangen.
2. Problem, es ist nicht nur ein Troyaner, sondern auch ein Root-Kit. Läßt sich unter Windows nicht entfernen. Selbst Formatieren der HD nutzt in vielen Fällen nicht. Manchmal täuscht er nur ein Formatieren und Neuinstallation vor. In Wirklichkeit bleibt das alte OS unverändert, nur alle Dateien, Programme und alten Mails usw. werden gelöscht. In manchen Fällen speichert er sich auch in einer geschützten kleinen Partition auf der HD ab. Er verkleinert also die HD um ein paar MB. Für Windows ist dann nur die verkleinerte Partition sichtbar. Nach Neuinstallation und Start installiert sich das Kit wieder automatisch.
3. Alle Virenscanner sind machtlos und damit der Einsatz auch zwecklos.
Abhilfe: HD unter LINUX formatieren. Wenn es nicht klappt. Nochmals unter Linux "Brute-Force" formatieren. Ähnlich Low-level format. Dazu muß man aber die Spezifikationen des HD Herstellers haben (Datenblatt)!
Wenn man Glück hat wird die versteckte Partition unter Linux angezeigt. Dann hilft ein einfaches Partitionierungs Prog.!
4. Manchmal hilft auch nur noch eine neue HD zu kaufen. §cry

Welche Version hast du denn von Endpoint Protection? Version 11 ist die aktuelle..

Von welcher Windows Version sprechen wir XP, Vista, 7? Bei XP hilft meist auch die beste Sicherheitslösung nicht mehr denn es enthält gravierende Designfehler, die sich einfach nicht mehr zu patchen lohnen.

Symantec Endpoint Protection - ist eine Unternehmenslösung, ich gehe davon aus das es sich um einen Firmen PC/Laptop handelt?

Spreche am besten mit deinem IT Fritzen.

Ansonsten würde ich auch raten den Rechner platt zu machen.

Irrtum XP Prof. wird immer noch von MS unterstützt. Gilt allerdings nur für Firmen mit ein paar Tausend Lizenzen. Otto Normaluser hat diesen Support natürlich nicht mehr. ;) Glaubst Du das Firmen mit 30.000 und mehr Lizenzen so einfach auf WIN 7 umsteigen? Es werden heute auch noch immer Rechner mit XP Prof. 64 verkauft. :eek:

Auch XP Home wird NOCH mit Updates versorgt. Das ändert aber nichts daran, dass XP, in Sachen Sicherheit, ein Sieb ist, dass man ins Wasser taucht und hofft, dass es drinnen nicht nass wird.

Und auch Firmen müssen sich langsam aber sicher der Wahrheit stellen, dass XP inzwischen 10 Jahre alt ist, und einfach nicht mehr Zeitgemäß ist. Kaum ein anderes Windows wurde derart lange in dieser Verbreitung genutzt. Aber irgendwann ist einfach mal Schluss.

XP wird nur noch mit kritischen updates versorgt und da auch nur sehr zögerlich! An den Designschwächen ändert sich nix. Einen direkten Support gibt es nicht mehr!

Daher sollte man nicht mehr auf XP setzen.

TroyanfakeAV ist ein Troyaner, der Fake Virenwarnungen ausgibt. Er zeigt also Bedrohungen an, die es gar nicht gibt. Es soll damit der Kauf eines Fake-Virenscanners forciert werden.
1. Von allein kommt der nicht auf die HD. Meist wird man auf Fake-Seiten mit einer Meldung begrüßt "Ihr Computer ist bedroht, 225 Viren wurden gefunden. Kostenloser Check! Hier bitte klicken" Wenn man klickt hat man sich den Troyaner gefangen.
2. Problem, es ist nicht nur ein Troyaner, sondern auch ein Root-Kit. Läßt sich unter Windows nicht entfernen. Selbst Formatieren der HD nutzt in vielen Fällen nicht. Manchmal täuscht er nur ein Formatieren und Neuinstallation vor. In Wirklichkeit bleibt das alte OS unverändert, nur alle Dateien, Programme und alten Mails usw. werden gelöscht. In manchen Fällen speichert er sich auch in einer geschützten kleinen Partition auf der HD ab. Er verkleinert also die HD um ein paar MB. Für Windows ist dann nur die verkleinerte Partition sichtbar. Nach Neuinstallation und Start installiert sich das Kit wieder automatisch.
3. Alle Virenscanner sind machtlos und damit der Einsatz auch zwecklos.
Abhilfe: HD unter LINUX formatieren. Wenn es nicht klappt. Nochmals unter Linux "Brute-Force" formatieren. Ähnlich Low-level format. Dazu muß man aber die Spezifikationen des HD Herstellers haben (Datenblatt)!
Wenn man Glück hat wird die versteckte Partition unter Linux angezeigt. Dann hilft ein einfaches Partitionierungs Prog.!
4. Manchmal hilft auch nur noch eine neue HD zu kaufen. §cry

Öhm... und wie genau will sich ein Rootkit davor erwehren, dass man die Platte reformatiert? O_o
Sicherlich. ich hab auch schon von Schädlingen gehört, die sich in die Firmware eine Platte oder gar ins BIOS fressen, allerdings ist das dermaßen extrem selten, dass man sagen kann, dass es nur Theorie ist. Man müsste halt die infizierte Firmware/das BIOS entspr. signieren, oder wattweißich.
Dass man eine Parition unter Linux nicht erkennen kann, ist doch recht unwahrscheinlich. mag sein, dass Linux ein Dateisystem nicht erkennt, aber es erkennt sehr warscheinlich die Partitionstabelle und damit auch die Partitionen. Und selbst wenn das nicht klappt, kann man per dd auch den gesamten Datenträger nullen inkl. MBR und hat damit dann wirklich ALLES entfernt.

ERGO: Dass man eine Festpatte nicht mehr retten kann wegen einer Rootkit-Infektion ist wohl Murks.
Es ist allerdings sicherlich wahr, dass man das wohl nicht vom infizierten Windowssystem aus hinbekommt. Aber dass Windows seine eigene Systempartition formatieren kann im laufenden Betrieb geht AFAIK eh nich. XD

Welche Version hast du denn von Endpoint Protection? Version 11 ist die aktuelle..

Von welcher Windows Version sprechen wir XP, Vista, 7? Bei XP hilft meist auch die beste Sicherheitslösung nicht mehr denn es enthält gravierende Designfehler, die sich einfach nicht mehr zu patchen lohnen.

Symantec Endpoint Protection - ist eine Unternehmenslösung, ich gehe davon aus das es sich um einen Firmen PC/Laptop handelt?

Spreche am besten mit deinem IT Fritzen.

Ansonsten würde ich auch raten den Rechner platt zu machen.

Ja wir sprechen von XP und das mit dem Firmen PC ist auch richtig. Mein Vater weigert sich aber immer noch einen neuen und vorallem aktuelleren PC zu kaufen. Fragt mich nicht bitte wieso. Das Betriebssystem neu zu intstallieren würde also in diesem Fall helfen oder? Das Problem dabei ist, dass ich die XP CD nicht zuhause habe und ich befürchte auch, dass sie in der Firma weggeschmissen wurde (den PC hat mein Dad mitgenommen, da dieser überflüssig war).

Die beste Lösung wäre also ein neuer PC.

Und danke an alle die sich hier miteinbeziehen :)

Was machst du denn mit dem Rechner überhaupt?

Was machst du denn mit dem Rechner überhaupt?

Alles eigentlich. Zocken, Sachen für die Schule erledigen, im I-Net surfen, ....

Alles eigentlich. Zocken, Sachen für die Schule erledigen, im I-Net surfen, ....

Die letzten beiden Sachen könntest du mit einem GNU/Linux wie Ubuntu erledigen.
Ersteres nur bedingt. Es gibt da diverse Games für ein GNU/Linux (MINECRAFT!!!!!111), aber bei weitem nich so viele wie für Windows.

Da Ubuntu kostenlos ist und du es dir innerhalb ein paar Minuten selber runterladen und brennen kannst, könntest du es zumindest für die letzteren beiden Tätigkeiten nutzen, bis du ein Ersatz für dein WinXP oder für den gesamten Rechner gefunden hast.
Vielleicht gefällts dir sogar so gut, dass du dabei bleibst.

Weitere Info's und Hilfe dann wenn du die Option erwägst.

Die letzten beiden Sachen könntest du mit einem GNU/Linux wie Ubuntu erledigen.
Ersteres nur bedingt. Es gibt da diverse Games für ein GNU/Linux (MINECRAFT!!!!!111), aber bei weitem nich so viele wie für Windows.

Da Ubuntu kostenlos ist und du es dir innerhalb ein paar Minuten selber runterladen und brennen kannst, könntest du es zumindest für die letzteren beiden Tätigkeiten nutzen, bis du ein Ersatz für dein WinXP oder für den gesamten Rechner gefunden hast.
Vielleicht gefällts dir sogar so gut, dass du dabei bleibst.

Weitere Info's und Hilfe dann wenn du die Option erwägst.

Ubuntu ist sozusagen ein kostenloses Betriebssystem? Ja könnte ich eigentlich mal probieren. Schaden kanns ja nie. Aber ich bräuchte eine genaue Anleitung, denn in Sachen Betriebssyteme kenn ich mich garnicht aus.

Ubuntu ist sozusagen ein kostenloses Betriebssystem? Ja könnte ich eigentlich mal probieren. Schaden kanns ja nie. Aber ich bräuchte eine genaue Anleitung, denn in Sachen Betriebssyteme kenn ich mich garnicht aus.

Nunja. Nicht nur kostenlos. GNU/Linuxe sind im Allgemeinen kostenlos, ja.
GNU/Linuxe sind zudem auch noch OpenSource und stehen unter einen freien Lizenz.
Das ist wie z.B. mit Firefox und OpenOffice/LibreOffice. Jeder kann sich den Quelltext runterladen, das Programm verändern und ein eigenes Programm draus backen, wenn man mag und kann. Oder man benutzt sie einfach nur und spart sich, im Falle von OpenOffice/LibreOffice hunderte Euronen die man sonst für MS Office ausgegeben hätte. XD
Ein GNU/Linux ist eine große Sammlung solcherlei Programme.


Und wenn dein Rechner GNU/Linux-Kompatibel ist, könnte sich das ggf. installieren und Nutzen von Ubuntu sogar noch als einfacher als Windows für dich erweisen.


Zunächst mal müsstest du die Ubuntu-ISO runterladen:
Da gibts einmal die Variante für 32-Bit-Systeme (sehr alte Rechner und Netbooks):
http://ftp-stud.hs-esslingen.de/pub/Mirrors/releases.ubuntu.com/10.10/ubuntu-10.10-desktop-i386.iso (~700MB)
Und die Variante für 64Bit-Systeme, die sich insbesondere anbietet, wenn du mehr als 4 GB RAM hast:
http://ubuntu.intergenia.de/releases/10.10/ubuntu-10.10-desktop-amd64.iso (~700MB)

Die jeweilige ISO brennst du dann als Image (http://wiki.ubuntuusers.de/Ubuntu-CD) auf einen CD-Rohling. Allerdings nicht schneller als 16-fach, weil sich sonst Fehler einschleichen.

Von dieser CD bootest du dann den Rechner.
Du kannst dann, nach einiger Ladezeit, in einem Menü auswählen, ob du Ubuntu nur ausprobieren oder direkt installieren möchtest.
Probiers ruhig erstmal nur aus. Dadurch kannst du's dir mal unverbindlich anschauen. und wenn du den Rechner runterfährst und die CD wieder rausnimmst, ist alles beim Alten.

Die Installation ist ansich denkbar einfach und selbsterklärend. Da kannst du entweder deine gesamte Festplatte für Ubuntu nutzen, wodurch Windows gelöscht wird. Oder du kannst es neben Windows installieren indem du den Schieberegler nutzt um neben Windows etwas Platz für das Ubuntu zu schaffen (mind. 10 GB sollten es schon sein).


Wenn du keinen CD-Rohling verbraten willst, kannst du Ubuntu auch auf einen USB-Stick packen und deinen Rechner davon booten lassen. Wenn der Rechner nicht all zu alt ist, sollte der das schaffen. Dazu kannst du das Programm UNetbootin (http://unetbootin.sourceforge.net/) benutzen um die Ubuntu-ISO auf einen mind. 1GB USB-Stick zu packen.
Im BIOS deines Rechners musst du allerdings noch einstellen, dass zuerst von USB gebootet werden soll.


Und so ähnlich könnte's dann bei dir aussehen:
http://img858.imageshack.us/img858/3041/bildschirmfotom.th.png (http://img858.imageshack.us/img858/3041/bildschirmfotom.png)

oder auch ganz anders. Jeder fummelt sich da im Allgemeinen recht zügig das Aussehen nach seinem eigenen Geschmack zusammen, weils recht einfach geht. XD

Öhm... und wie genau will sich ein Rootkit davor erwehren, dass man die Platte reformatiert? O_o
Sicherlich. ich hab auch schon von Schädlingen gehört, die sich in die Firmware eine Platte oder gar ins BIOS fressen, allerdings ist das dermaßen extrem selten, dass man sagen kann, dass es nur Theorie ist. Man müsste halt die infizierte Firmware/das BIOS entspr. signieren, oder wattweißich.
Dass man eine Parition unter Linux nicht erkennen kann, ist doch recht unwahrscheinlich. mag sein, dass Linux ein Dateisystem nicht erkennt, aber es erkennt sehr warscheinlich die Partitionstabelle und damit auch die Partitionen. Und selbst wenn das nicht klappt, kann man per dd auch den gesamten Datenträger nullen inkl. MBR und hat damit dann wirklich ALLES entfernt.

ERGO: Dass man eine Festpatte nicht mehr retten kann wegen einer Rootkit-Infektion ist wohl Murks.
Es ist allerdings sicherlich wahr, dass man das wohl nicht vom infizierten Windowssystem aus hinbekommt. Aber dass Windows seine eigene Systempartition formatieren kann im laufenden Betrieb geht AFAIK eh nich. XD

Es ist relativ einfach. Keine HD, die aus dem Werk kommt, ist 100 %ig okay. Jede hat defekte Sektoren, die als unbeschreibbar gekennzeichnet werden. Sie sind dann einfach auf der HD nicht mehr vorhanden. Diesen Umstand machen sich viele Rootkits zu nutzen. Sie kopieren sich in einen Sektor und sperren ihn als unbeschreibbar. (Ich hatte es als Partition beschrieben um es verständlich zu machen.) Kein Betriebssystem formatiert weake Sektoren. Bei einer Sektorengröße von 512 KB passt da schon ein komplettes OS hinein - in Assembler codiert. :D
F-Disk macht auch nichts anderes, wenn Fehler im Dateisystem auftreten. Es kennzeichnet weake Sektoren und kopiert diese Daten woanders hin. Danach ist der Sektor gesperrt und für kaum ein OS mehr vorhanden. Die Festplatte ist eben um ein paar MB kleiner geworden.
Deshalb nützt aus das Ausnullen nix. Wenn kein Sektor vorhanden ist, dann auch keine Nullen!:D
Das von Dir beschriebene Ausnullen geht nur beim Low-Level Formatieren. Dabei werden sämtliche Sektoren - auch die weaken und defekten - überschrieben und die gesamte physikalische Aufteilung der HD "zerstört". Danach folgt wieder die Aufteilung der Festplatte in Sektoren etc., wobei dann gleich wieder die defekten gekennzeichnet werden.
Die meisten HD Hersteller haben eigene Low-Level Progs. Im Handel sind sie nicht erhältlich, weil gefährlich. Es kann die komplette HD zerstört werden. Deshalb ist mein Statement kein Murks. Wenn mit normalen Mitteln das Kit nicht entfernt werden kann, dann eine neue HD kaufen, weil eine große Wahrscheinlichkeit besteht, dass sie beim Low-Level-Format unbrauchbar wird.

Hast du da vielleicht mal einen Artikel auf Wikipedia oder einer Tech-Site?
Weil auch wenn ich dir gerne glauben würde, funktioniert das, nach meinem Verständnis, nicht so wie du es beschreibst, weil die Sektoren inaktiv sind und bleiben, auch wenn ein Rootkit drinhockt. Wer oder was sollte das Rootkit auch aus seinem Sektorenversteck heraus laden? XD
Das Bios bootet nix einfach so aus irgendwelchen Sektoren die als beschädigt markiert sind und noch weniger tuts das OS, wenn im OS selbst nicht bereits eine Infektion vorliegt, die versucht Kram aus gesperrten Sektoren heraus zu starten.

Ich hab hier nur eben den deutschen und englischen Wikipediaartikel zu Rootkits durchgeschmökert, aber in keinem der beiden steht eine Resistenz beschrieben die so funktionieren würde, wie du sie darstelltest.
Und Google spuckt da höchstens Posts von offensichtlich ahnungslosen Schwätzern aus, die augenscheinlich das Überschreiben des MBR mit einer Low-Level-Formatierung gleichsetzen. XD

Es werden u.A. die Firmware-Variante und die Variante bei Wikipedia beschrieben, wo der Bootloader überschrieben wird. Auch gerne eine fiese Kombination aus beiden, wo eine BIOS-Infektion aus dem MBR heraus, bzw. eine MBR-Infektion aus dem BIOS heraus wieder hergestellt wird, wenn man nur eines von beiden versucht zu löschen/flashen. Aber nix vom Verstecken in als beschädigt getarnten Sektoren.

Von daher wärs cool, wenn du eine Quelle nennen könntest.

Also ich kann mir das ganze auch net vorstellen, vor allem weil ein Rootkit unter Windows ganz anders Funktioniert als oben geschildert.

Eine Low-Level-Formatierung bedeutet lediglich das die Platte in Spuren und Sektoren unterteilt wird. Das macht heute immer der Plattenhersteller. Früher konnte man die Low-Level-Formatierung im BIOS selber machen.

Es gibt keine Low-Level Tools weils eben die Hersteller machen und die haben die genauen Daten die man braucht um die Spuren und Sektoren anzulegen. Das die Platte davon kaputt gehen kann ist auch quatsch - die lässt sich dann halt nicht vom Betriebssystem korrekt verwenden. Man muss dann nur das Low-Level-Format mit den für die Platte korrekten Parametern formatieren, dann kann das Betriebssystem auch wieder mit der platte arbeiten.


Bei der Low-Level-Formatierung wird die Festplatte physikalisch in Spuren und Sektoren eingeteilt. Die Low-Level-Formatierung wird heute fast immer vom Hersteller vorgenommen. Die dabei zugrunde gelegten Parameter – etwa für die unterschiedlichen Sektorenzahlen beim Zone Bit Recording – bleiben dem Anwender unbekannt, sodass er keine Low-Level-Formatierung selbst vornehmen sollte. Normalerweise hat jede Festplatte bei der Auslieferung schon einige defekte Sektoren, welche durch den Hersteller ausgeblendet werden. Er speichert in der so genannten P-Liste gewisse Sektoren, die Festplatte nicht verwenden soll.Quelle (http://de.wikipedia.org/wiki/Low-Level-Formatierung)

Zum Rootkit -
Unter Windows bedeutet ein Rootkit lediglich das sich ein Programm ins System einhakt und so Daten manipulieren kann ohne das der Anwender oder die laufenden Programme es mitbekommen.

So kann ein Rootkit sich in E/A Verarbeitung einhaken und so z.B. die Verzeichnisauflistung manipulieren - z.B. Verzeichnisse verstecken (das wird dann einfach aus der zurückgegebenen Verzeichnisliste gelöscht)

Ich kenne kein rootkit das wegen seiner bloßen Existenz auf der Platte aktiv wird. Ein Rootkit ist keine Lebensform sondern nur ein Programm. Es muss also von Windows ausgeführt werden z.B. über den Autorun - der funktioniert aber nur wenn Windows auf die Datei zugreifen kann, was es aber nicht kann wenn der Sektor als beschädigt markiert wurde.


Ich wäre also auch an einer Quellenangabe interessiert - nur aus reiner Neugier:gratz

Quelle werde ich raussuchen! Ist nicht Internet, sondern eine englische Publikation. Muß auf einer CD sein.
CT hat vor ein paar Monaten mal eine CD mit HDD-Tools herausgebracht, auch mit den Low-Level-Format Programmen einiger HDD Hersteller. Eben für solche Zwecke.

@ Gorn

Low-Level Format ging immer nur mit einem Tool - auch früher. In den 80er Jahren mußten beim Formatieren einer HD unter DOS die Hersteller Parameter eingegeben werden, also Cylinder, Sektoren und Spuren. Gemacht wurde das mit dem DOS-eigenen "Format" Befehl und nicht im BIOS. Im BIOS mußte man die Parameter mit denen Formatiert wurde einstellen, damit die HD erkannt wurde.

in den 90'er konnte man das definitiv im BIOS machen, manuelles einstellen der Daten für die Erkennung musste man nur in Ausnahmefällen. Ich selbst habe damals zwei Platten per Low-Level-Format formatieren müssen und habe dafür den Menüpunkt im BIOS genutzt. Wie das bei älteren Rechnern war kann ich nicht sagen - ist vor meiner Zeit ;)

Edit:
Scheint in den 80'er auch üblich gewesen zu sein


!!!
Deshalb habe war ich immer auf der
Suche nach einem
mainboard,
in dem das
low-level-format
für die Festplatte
im BIOS oder
im Steckkarten-BIOS irgend einer
Zusatz-Steckkarten-Hardware für das mainboard eingebaut worden ist.
So wie in den
80`Jahren.
Man konnte einen
Festplatten-Controller kaufen,
dessen Controller-Software auf der
Steckkarte
incl. des
low-level-format-programmes,
eingebaut war.
Quelle (http://www.libe.net/themen/LOW_LEVEL_FORMAT__HDD_formatieren.php) (der letzte Kommentar ganz unten


Und die besagten Tool/auch die die man heute von den Festplattenherstellern bekommt, führen gar keine echte low-level-formatierung aus sondern nullen lediglich die platte aus und markieren dabei beschädigte Sektoren.