Hallo,
habe mir einen "netten" Trojaner eingefangen. Konnte diesen soweit isolieren, dass ich relativ sicher bin dieser sitzt im Speicher meiner Grafikkarte. Hierbei handelt es sich um eine NIVIDIA GFORCE 5500 (128 bit) mit 256 RAM. Besteht die Möglichkeit den Inhalt meiner Karte auszulesen (OS Windows XP)? Wenn ja, wer kann mir einen Tipp geben (Tools, kleiner
Scripte...) - für einige Anregungen wäre ich Euch wirklich dankbar!!!!
Keinesfalls möchte ich diesen löschen... - jedenfalls nicht bevor ich diesen "untersucht" habe.
Vielen Dank
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Wow, ich gestehe, ich wüsste nicht man ansatzweise, wie man einen Trojaner isolieren kann, um rauszufinden, dass dieser im Grafikspeicher sitzt.
Entweder ist das ein Scherz, oder du bist dem Groß der Nickles-Mitglieder um Lichtjahre voraus :)
YMMD
Danke, so einen Blödsinn habe ich heute Abend gebraucht. Auf was für Ideen die Leute doch so kommen...
MOIN user_299357,
nach der Skepsis der ersten Posts hab ich mal ne Frage:
Wie genau (mit welchen Mitteln /Programmen) hast du den Trojaner im Speicher der Grafikkarte lokalisieren können?
Könnte er sich nicht im Treiber der Grafikkarte versteckt haben?
Grüsse
Hellawaits
Hi,
ich bin sicher, wenn der schon in der GPU sitzt dann wird auch bald die CPU und das RAM befallen sein.
Einzige Möglichkeit die Ausbreitung zu verhindern, ist eine sofortige Neuinstallation von XP.
Also sofort runterfahren und von der Windows-CD booten, dann neu installieren.
Gruß
hatterchen45
also für mich klingt das eher so,das sich der virus im netzteil eingenistet hat,wahrscheinlich sogar auch noch im gehäuselüfter.
mal im ernst,welcher virus is so doof und setzt sich in flüchtigem speicher fest?der killt sich doch selber wenn du den rechner vom strom nimmst.
gruß
Nein, da irrst Du Dich leider...- nachdem ich den Registereintrag der CPU geprüft habe (hatterchen45) mit dem Ergebnis, dass wohl der Chip doch sauber ist (sorry, sauber sein muss), alsdann ich feststellen musste, dass die Probleme nach "sofortiger Not-Neu-Installation" (hatterchen45) immer noch vorhanden waren, - nach all dem Blödsinn, den ich so gefragt habe (ABatC), habe ich einen Elektroniker zu Rate gezogen, welcher mir bescheinigte, dass die Kondensatoren auf besagter Karte sehr wohl in der Lage sind einen (kurzfristigen) Spannungsverlust - ohne Informationsverlust zu verkraften und somit aus dem "flüchtigen" Speicher ein "resistenter" Speicher wird. - Sorry für meine Frage, sorry für die Zeit, die ich Dir gestohlen habe - wird nicht wieder vorkommen!
Nun, nach Eurer tatkräftigen Unterstützung bin ich zu der Erkenntnis gelangt, dass mein {$Virus§--> $Steckdose%Papierkorb} Problem gar nicht existent ist...
Seltsam ist nur, dass der Rechner macht "was er will" ----> nicht was er soll......
Es gab eine Zeit, da wurden Fragen beantwortet - nicht verspottet. Oder glaubst Du im Ernst, ich hätte nichts anderes zu tun, als anderen Leuten die Zeit zu stehlen??
Du musst nicht antworten...
Hallo run2,
welche negativen Symptome zeigt denn dein Rechner?
Kannst du einen Hardwarefehler ausschließen?
Falls die Fehler von dem isoliertem "Trojaner" kommen:
Wie hast du den isoliert? Denn wenn du den isoliert hast, weißt du auch die Bezeichnung.
Nenne uns diese bitte.
Welches Antiviren- Tool nutzt du?
Vielleicht kommen wir ja auf dem Weg weiter...
Gruß
knoeppken
Nachtrag:
sorry - ich vergaß. Hardwarefehler kann ich natürlich nicht ausschließen... - aber als einzelne WS funktioniert diese (ohne Netzwerk) tadellos...
trotzdem Danke
Mit Ausnahme von Ati Grafikkarten, bei denen man kurz alte Bildschirminhalte vom vorigen Betriebssystem sieht, (Neustart)
ist mir noch kein permanenter Speicher in einer Grafikkarte je aufgefallen.
-- Der würde auch nichts nützen für irgenwelche aktiven Aktionen von Trojanern.
Gäbe es tatsächlich Trojaner in Grafikkarten, die Internetseiten wären voller Informationen darüber.
Nenne doch mal die logisch oder physikalisch inhaltliche Überlegung,
die dich zu dem Schluß geführt hat:
"Der Trojaner ist im Speicher der Grafikkarte - hab ihn da lokalisiert, weiß aber nicht wie ich den auslesen kann"
Wenn du er Erste bist der solche entdeckt, ja entlarft hast, dann ist dir der virtuelle Nobelpreis -- zumindest die internationale Anerkennung sicher.
ich brauche keine Anerkennung, sondern ein funktionierendes System, eben deswegen habe ich diese Frage (evtl. ungeschickt) gestellt.
Sorry, mal kurz.
Dass der Trojaner nicht in der Grafikkarte steckt, darüber sind wir uns ja nun mittlerweile einig.
Den evtl. vorhandenen Trojaner möchtest Du zusätzlich aber nicht vom System haben, sondern erst mal gründlich untersuchen. Trotzdem ist uns nicht klar, wie Du darauf kommst, dass überhaupt ein Trojaner vorhanden sei. Womit hast Du das festgestellt? Welches Verhalten Deines Rechners lässt Dich darauf schliessen? Was macht der Rechner anders, wenn er im Netz ist, als wenn er Offline ist? Welches Betriebsystem verwendest Du? Welche Servicepacks sind installiert? Wann und wie hast Du diese Servicepacks installiert? Bist Du nach der Neuinstallation des Betriebsystems online gegangen und hast sie Dir dort gezogen und dann nachträglich installiert? Kurzum: Wir brauchen eine viel detailiertere Fehler- und Problembeschreibung um Dir helfen zu können. Ansonsten ist der Tipp von hatterchen erstmal die erste Wahl: Neuinstallation.
ok, und Danke -zumindest wird nun einmal ernsthaft diskutiert.
Ich habe dieses Problem aus einem anderen Netzwerk heraus angesprochen - bin jedoch morgen (10.02.10) wieder vor Ort. Ich bitte alle Beiträge an run2 zu senden (habe schon einige private Nachrichten an @user 299357 erhalten, die ich nicht mehr aufbekomme - da Neuanmeldung, oder wie auch immer).
Um Wiederholungen zu vermeiden (sorry - ich bin nicht der Typ für Plattformen und habe da doch einige Anwenderprobleme ) - kurz das Problem besteht wirklich.
Um auf die Frage zu antworten: Es handelt sich um ein homogenes Netzwerk ( 1 Server, 2 WS + ein Router [FritzBox 7041], installiert wurde Windows XP SP3, NT 5.0, jeweils von den Org.-CD' s, welches aus den aufgeführten Gründen niemals aktiv im Netzbetrieb war, - also kein Datenverlust o.ä.
Nach Installation und Einrichtung spielte das "Netzwerk verrückt" - es wurde (immer nur im Zusammenhang mit der GraKa) gesendet und empfangen, welches von mir auch aufgezeichnet wurde. Weiterhin entstand im WAN - Verkehr ein nicht zu vertretender Verlust an Paketen, welches sich nicht einmal der Provider (Hotline) erklären konnte.
Um den gleich vorzubeugen - das Netzwerk ist korrekt eingerichtet und funktioniert ansonsten problemlos.
weiteres dann morgen, oder auch per Nachricht.
Danke für die Bemühung - (ach Dass der Trojaner nicht in der Grafikkarte steckt, darüber sind wir uns ja nun mittlerweile einig dies sehe ich noch nicht so...) -also vielleicht kommen noch einige Gedanken
Gruß
run2
Dann bist Du nach meinen Wissen, der Erste, der dieses Phänomen feststellt!
Siehe meine Gedanken auch dazu: http://www.nickles.de/thread_cache/538654478.html#_pc
Das solltest Du mal genauer erklären!
Wie äußert sich das "verrückt" spielen des Netzwerkes? Welche Sympthome treten auf?
Wie und womit hast Du den Netzwerkverkehr aufgzeichnet und analysiert.
ggf. das Protokoll mal posten!
Von welchem der 3 Rechner im Netz sollte es nach Deiner Meinung die Graka sein?
Wie ist eigentlich die Topologie genau? Hängen die drei Kisten per Lan, Wlan am Router oder ist noch ein Hub/Switch dazwischen?
Wird Ethernet verwendet oder gibt es ggf. auch Lanfunktionalität per USB?
Siehe auch hier Problembeschreibung
Hallo REP,
Danke das Du Dich mit diesem Problem ernsthaft beschäftigst. Deine Argumentation hinsichtlich des Graka - Speicher ist für mich vollkommen nachvollziehbar! Bis vor wenigen Stunden war ich eben dieser Meinung! Allerdings ist eben nur diese WS (mit besagter Graka), welche die Netzwerkanomalien hervorruft.Das NW selbst verfügt über Switch (Marke muss ich morgen nachsehen) und steht in einem größeren Komplex (HUB) mit anderen Netzwerken. Es wird Ethernet (100 MBit/s) verwendet. LAN per USB besteht nicht. Alle 3 Rechner befinden sich im (per LAN) selben Netzwerk (LAN Verbindung CAT 7) und werden über den Router (FritzBox) ins WAN geroutet.
Das "verrückt spielen" äußert sich vor allem darin, dass Verbindung zum Provider aufgenommen wird, obwohl dies nicht gefordert ist, stellenweise so stark, das andere NW - Teilnehmer nicht mehr ins WAN gelangen (Auslastung der DSL Leitung). Überwacht wird das ganze z.Z. mit Wireshark für Windows, sowie gängige Überwachungstools der Windows - Gruppe.
Du müsstest das mal sehen.... - keiner ist im (frischen!!!) Netzwerk und die WS "schaltet und waltet" wie diese es gerade braucht, wird besagte Graka ausgebaut/gewechselt herrscht normaler (Broadcast) Verkehr... -NUR deswegen war die Graka meine "allerletzte" Überlegung.
Protokoll ist sicher kein Problem...
Gruß run2
Was hat den ein Virusscan auf dieser WS gebracht?
Du müsstest das mal sehen.... - keiner ist im (frischen!!!) Netzwerk und die WS "schaltet und waltet" wie diese es gerade braucht, wird besagte Graka ausgebaut/gewechselt herrscht normaler (Broadcast) Verkehr... -NUR deswegen war die Graka meine "allerletzte" Überlegung.
Ich würde sagen, die Graka hat einfach einen Hardwarefehler.
Entsorge das Teil und baue eine neue ein.
Eventuell hat die Graka oder das Mobo im Zusammenspiel mit der Graka eine Macke und löst daher das eigentümliche Verhalten aus. An einen Schädling in der Graka mag ich nun wirklich nicht glauben.
Dann müste dieser ja im Bios der Karte ggf. schon vom Hersteller eingebaut sein!
Was sagt Dir der "WORM/kido,ih.54"? (autorun.inf)
Ist es möglich, dass verschiedene Treiberdateien (s.a. Grafiktreiber, System...) - alle hübsch auf einem Stick "beieinander - UND jedesmal bei der Installation verwendet... hier eine Rolle spielen kann?
Gruß
run2
Würde mit großer Wahrscheinlichkeit JA sagen!
http://forum.chip.de/viren-trojaner-wuermer/worm-kido-ih-54-meinem-stick-tun-1273889.html
http://www.google.de/search?q=WORM%2Fkido%2Cih.54&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a
habe die Link gelesen...
heute Abend prüfe ich das System (geht im Augenblick nicht da offline); aber verschiedene Beiträge weisen immer wieder in die Richtung (s.o.). Zwar habe ich den Treiber der Graka von der Org.-CD installiert, aber diverse System Dateien (Board, etc.) von besagten Stick - und zwar NACH der Installation der Graka.
und ich bin -wegen dem Problem- extra NICHT online gegangen...
melde mich wieder, vorab vielen Dank REPI
run2
Im RAM der GraKa sitzt er - wenn - sicher nicht. Es wurde aber vor längerer Zeit nachgewiesen (John Heasmann), dass Malware sich im Erweiterungsspeicher von PCI-Karten für Grafik oder Netzwerk einnisten kann. (c't 2/2007; S. 86-89 "Die Super-Trojaner)
Theoretisch ist die Infektion also denkbar - wenn auch sehr selten/unwahrscheinlich (noch?).
Ein Router wird da eher infiziert.
Lieber run2, da der Speicher der Grafikkarte flüchtig ist, sollte ein Trojaner im Grafikkartenspeicher nach jedem Ausschalten des Rechners verloren sein. Falls er aber, nach Deiner Meinung, nach einem Kaltstart wieder im Grafikspeicher sitzt, dann muss er zwangsläufig auf einem nicht flüchtigen Datenträger gespeichert sein, um sich von dort jedesmal wieder neu in den Grafikspeicher laden zu können.
Auch wäre es interessant zu erfahren, wie Du zu der Schlußfolgerung kommst, im Speicher Deiner Grafikkarte hätte sich ein Trojaner breit gemacht?
Hallo,
ich bin genau derselben Ansicht. Ein Virus, Trojaner o.ä. sitzt nicht im Speicher ! Jedenfalls kann ich mir das nicht vorstellen. Aber der Beitrag von run2 -ist wohl das Problemchen?- zeigt, das der Virus sich vom Stick in den Speicher geladen hat, oder?
Also mein Tipp - System neu aufsetzen (ohne Stick), testen und wenn nichts läuft, dann hat wohl unser Mitglied recht, ist es ein Hardwarefehler. Ich glaube Du hast Dich zu sehr in die Vorstellung gesteigert diesen Trojaner, oder was auch immer, zu analysieren - wie willst Du das anstellen?
Trotz alledem möchte ich noch betonen, dass keiner von uns, egal was diesen (anscheinend) qualifiziert, so mit einer Fragestellung umgehen darf! Ich selber beschäftige mich mittlerweile zwanzig Jahre mit Netzwerken und kenne noch ganz andere, viel fiesere Anomalien - da kommt man auf noch ganz andere Ideen. Ich richte meine Kritik vor allem an die Mitglieder trilliput, ABatC und hatterchen45.
Ich habe dieses Posting mit großem Interesse verfolgt und hoffe sehr, daß mir die eben genannten Mitglieder nicht einmal ebenfalls helfen müssen - man getraut sich ja gar nicht mehr eine Frage zu stellen! Und dann - was machen wir dann eigentlich hier?
Hobbyadmin
Hallo, hallo???
Da schreibt einer, er habe einen Trojaner im GraKa-Chip.
Ich antworte, sicher etwas salopp, er solle sich vorsehen damit der Trojaner nicht noch andere Speicher befällt und besser sein System neu aufsetzen.
Dazu stehe ich bei dieser Fragestellung.
Ehrlich gesagt, ich habe schon vieles gehört, aber das sich ein Virus oder Trojaner in einem "flüchtigen" Speicher versteckt, haut mir den Kitt aus der Brille.
"hoffe sehr, daß mir die eben genannten Mitglieder nicht einmal ebenfalls helfen müssen"
Als Hobbyadmin bedarft Du doch sicher nicht der Hilfe dieser unqualifizierten oben genannten, oder?
Gruß
hatterchen45
Sorry,
ich möchte dieses Forum nicht für persönliche Meinungsverschiedenheiten benutzen - auch mir ist hier schon geholfen worden, auch ich habe Hilfe notwendig und bin über jeden Tipp dankbar!
Zumindest weiß ich, dass ich zwar vieles gehört habe - aber noch längst nicht alles weiß! Im übrigen sollte Kritik nicht als Angriff (gar gegen die Person) gewertet werden! Zudem gab es ja noch viel "bessere Hilfe" (cyclops).
Alles andere gerne per Mail
Hobbyadmin
Heh, das ist alles OK.
Meinungsverschiedenheiten, Kritik, das ist alles kein Thema, wir sind alle nicht perfekt und jeder von uns braucht mal Hilfe.
Ich bin halt ein Spassvogel und wer flappsige Fragen stellt bekommt von mir auch flappsige Antworten.
Ob Trojaner in der GraKa oder im Netzteil oder in der Biosbattery, der Spass muss sein..., und es gab ja auch eine gut gemeinte Antwort.
Hätte er geschrieben "meine GraKa spinnt" weil...., hätte die Sache ganz anders ausgesehen.
Nix für ungut, aber auch solche Scharmützel tragen wir hier und öffentlich aus, nicht per Mail.
Gruß
hatterchen45
Hi hatterchen45,
gerne und ich meine es ganz bestimmt nicht böse - aber vielleicht sollten wir uns überlegen WAS er für ein Problem hat... (Biosbattery ist wirklich interessant?!?) - glaube ich aber nun gar nicht!
In einem anderen Forum (Frage jetzt nicht - ich weiß es wirklich nicht mehr) hat einer mal geschrieben, dass seine Graka (s.o.) als ERSTES gestartet ist und Meldungen aus einer anderen BS- Version brachte -kann dies sein? Wenn ja, dann liegt dieses Problem (welcher Art auch immer) evtl. wirklich da???
und ehe Du "schreist" -ich überlege ja auch nur.
Hobbyadmin
Nun die Probleme mag es wirklich geben, weil solche Bauteile ja Chips mit Herstellerinformationen enthalten. Diese Chips sind aber nicht nachträglich veränderbar also ROM, und von daher kann sich dort nichts einnisten. Die beschreibbaren Chips, also das RAM, verliert seine Informationen nach dem Ausschalten. Das bedeutet natürlich nicht, dass diese Bauteile kein "Eigenleben" entwickeln können.
Wir kennen das alle, die Kiste lief bis gestern Abend und heute Morgen spinnt sie total.
Aber, hätten wir die Kiste gestern schon einmal neu gestartet, hätte sie auch gestern schon gesponnen.
"(Biosbattery ist wirklich interessant?!?) - glaube ich aber nun gar nicht!"
Habe ich auch schon erlebt, wenn die Leistung nachlässt kann es (muss aber nicht) zu seltsamen Meldungen oder Problemen kommen, und die finde dann einmal.
So, für mich ist das Thema durch, Dir noch einen schönen Morgen.
hatterchen45
ja klar - ich glaube jeder PC -Besitzer kann davon ein Lied ( was sage ich ein ganzes Album) singen --- O.K. Gute Nacht.
Gruß
Hobbyadmin