hallo

nachdem ich nun schon hilfe von 2 usern bez. system absichern und netzwerkverkehr auslesen bekommen habe steh ich jedoch nach wie vor alleine vor dem problem.

antortwen wurden nach einer gewissen zeit einfach nichtmehr gegeben und so sitz ich nun da.... -.-


also kurze einführung
seit etlichen zeiten werde ich in online games gestalkt beleidigt oder bekomme highping und gamecrashes.

die namen der user sind eig immer sehr ähnlich und ich hab ne vermutung wers sein könnte.... bla bla bla -.-*

jedenfalls hab ich mir dann win7 64bit zugelegt das nach ner anleitung hier im forum augesetzt, zusammen mit chrome und emsisoft anti maleware noch Sandboxie installiert und nach anleitung installiert. btw, festplatte wurde vorher vollständig formatiert (mit linux) sowie das bios resettet.


nachdem ich heut mittag mal wieder bf3 gezockt hab schaltete ich den pc aus und war außer haus bis gerade eben.

ich schalte also den pc an und bekomme bei dem starten von windows kein monitor signal mehr.
-restart
nach etlichem warten erscheint dann die maus aber zu meinem entsetzen werde ich sofort auf den desktop geleitet und das anmeldungsmenu wird übersprungen. normalerweise nutze ich ein pw für das eingeschränkte konto mit dem ich immer angemeldet bin.

als aller erstes wird mit von emsisoft ein scan ausgeführt und angezeigt das origin.exe im hintergrund schädliche dateien runterläd. (wtf? um es zu starten muss ich meine id+pw angeben) also inne taskleiste geschaut und siehe da das programm ist an oO
als ich dann mit der maus drauf klicke schließt es sich von selbst.

nun ist auch der scan von emsisoft fertig und hat nichts gefunden.
klassische ladezeiten des systems bei virenbefall treten auf und iwi scheint alles so vor sich hin zu schleichen....


naja was soll ich dazu noch mehr schreiben, solche sachen ereignen sich bei mir eig täglich und ich kann einfach nix gegen machen -.-* eig dachte ich das ich nun abgesichert wäre, aber nix da...
router hab ich extra nochmal überprüft und eig alle ports die ich nicht unbedingt bruache gesperrt.

dazu kommen merkwürdige verbindungen von Localhost zu as3.facebook.com oder zu iwelchem japanischen servern ...



da mir sowieso keiner dabei helfen kann wie ich leider feststellen musste, da das alles anscheinend ohne jegliche schadsoftware (zumindest welche die erkannt wird) abläuft, würde ich einfach nur mal gerne wissen :

was kann ich dagegen unternehmen?
wo sind die schwachstellen am komplett abgesicherten system + SEHR vorsichtigem surfverhalten usw usf ?!

irgend eine lücke muss ja da sein sonst würde es nicht jedesmal nach dem Neuaufsetzen des bs auftreten.
in wie fern ist es möglich nen pc zu karpern ohne iwelche schadsoftware einzuschleusen wenn man zb die nutzernamen der person kennt usw.

und um das mal vorweg zu nehmen, ich bin kein trottel der absolut kp hat was er am pc macht auch wenn ich in manchen dingen keine ahnung hab.

hab kb das nochmal durchzuarbeiten also verzeiht mir die fehler und fehlenden angeben welche ich im laufe meiner agression vergessen habe!

Zitat:

irgend eine lücke muss ja da sein sonst würde es nicht jedesmal nach dem Neuaufsetzen des bs auftreten.

Was für Software auswelchen Quellen wurde denn bisher immer instalilert auf dem frischen System?
Du hast an alle Updates für Windows gedacht?
Dein Rechner hängt hinter einem Router oder direkt im Internet?!

musste jetzt von der linux cd booten da mein browser nichtmehr das macht was er will, ich hab alle dienste und die benutzersteuerung + internetsicherheit überprüft jedoch ist dort alles normal.
jedenfalls komme ich erst nach 4-5 versuchen zu der seite die ich will. die vorhergegangenen versuche enden bei der t-online navigationshilfe da angeblich die hompage nicht gefunden werden konnte.

werde jetzt das system wohl oder über erneut aufsetzen müssen, schaue zwichendurch mal hier via linux vorbei.


normalerweise gehe ich bei der software installation wie folgt vor:

1. formatieren, windows mit empfohlenen einstellungen installieren
2. fw anpassen und updates laden
3. antivirus installieren und updaten (von cd oder von der herstellerseite(zuvor die sicherheit des browsers angepasst)
3. treiber installieren, mb treiber von der cd und grafiktreiber von der herstellerseite
4. evtl anderer browser installieren und dort die sicherheitsrichtlinien anpassen.
5. andere programme installieren


ich lade grundsätzlich alle updates für windows über das windows update runter.

mein pc hängt hinter einem router an dem noch 2 andere pcs hängen (heimnetzwerk) allerdings stufe ich das netz , welches wir intern benutzen auch als öffentlich (in der firewall) ein, um somit noch mehr abgeschirmt zu sein.

Zitat:

5. andere programme installieren

Schön und gut, aus welcher Quelle die so stammen hast du nicht erwähnt

tut mir leid hab ich übersehen.
ich sauge so ziemlich alles über chip.de was ich an programmen brauche.


das system ist jetzt aufgespielt, browsersettings eingestellt, unnötige dienste beendet, programme aus sicheren quellen installiert, updates geladen (erfolgreich) , sandboxie und emsisoft installiert.

- allerdings hab ich während des windwosbetriebes 2 popups bekommen welche nach nem fund von emsisoft aussahen.
leider verschwanden die popups sofort wieder so das ich es nicht richtig erkennen konnte. - im protokoll des programmes ist nichts gelistet und beim scan wird auch nichts gefunden. ich denke das die popups eine andere ursache hatten, vlt nichtmal eine kritische.



folgende warnungen standen im erweiterten log der firewall nach dem isntallieren des os , leider kann ich damit nicht viel anfangen. internetverbindung war zu der zeit keine vorhanden:

Zitat:

"Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist."


"Volumeschattenkopie-Dienst: Der Schreibzugriff unter dem Namen "BITS Writer" und der ID "{4969d978-be47-48b0-b100-f328f07ac1e0}" hat versucht, ein Abonnement während Setup zu erstellen."

-vermutlich die autoupdates?!



"Der Sicherungsmoduldienst auf Blockebene wurde beendet." id 754 quelle backup

desweiteren startet der IE nach wie vor 2 mal und desweiteren hab ich 2x taskhost.exe am laufen , hab die jetz mal rausgeworfen.

Schließ mal alles externen Datenträgern an; dann routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

werde mich mal gleich an die arbeit machen, wobei ich nicht unbedingt logs ins netz stellen will die für immer lesbar sein werden... naja
achja : mein system ist 2 tage alt , kann mir kaum vorstellen das mb da anschlägt.


also jedenfalls fand emsisoft hijackfree folgendes unter "sonstiges/aktiveX":

- "wpcnotificationsmonitor" "C:windows\syswow64\wpcumi.dll"
- "wpcnotificationsmigration" "C:windows\syswow64\wpcmig.dll"

mehr informationen konnte ich daraus nicht gewinnen.

nach googeln hab ich rausgefunden das es unter windows 7 eig nichtmehr vorhanden sein sollte. allerdings auch, das es sich dabei um parental control, oder wie auch immer sich das nennt, handeln könnte. ^^
das nur mal so am rande, ist mir grande angezeigt worden durch die analyse.

Zitat:

wobei ich nicht unbedingt logs ins netz stellen will die für immer lesbar sein werden... naja

Deswegen werden ja auch persönliche Infos (wie zB Vor- und Nachname falls das denn auftaucht) im Log unkenntlich gemacht

also malewarebytes hat nichts gefunden, nichtmals auf ner alten cd auf jener alles mögliche an progs war, bei der ich mir sicher war das sie infiziert ist...
somit vermute ich das auch eset nichts finden wird, ich lass es dennoch mal über nach durchlaufen und poste dann morgen den log.

- bitte lies dir den ganzen beitrag einmal durch und gehe auf die fragen ein.


hier trotzdem mal der mb log:

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
PC :: Name [limitiert]

Schutz: Aktiviert

19.01.2012 02:13:34
mbam-log-2012-01-19 (02-13-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212400
Laufzeit: 35 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

btw, dashier finde ich sehr interessant; muss aber vorher sagen das es für das programm gänzlich normal ist als spyware erkannt zu werden und das erlauben dieser aktivitäten hab ich auch bestätigt(und zugleich ne regel erstellt). also es ist sehr sehr unwarscheinlich das origin infiziert ist oder was auch immer.


ausschnitt aus dem protokoll von emsisoft:

Zitat:

19.01.2012 22:46:39 608 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.DirectDiskAccess
19.01.2012 22:45:50 608 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 22:45:40 1596 C:\Program Files (x86)\Origin\Origin.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 22:45:39 3272 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess


19.01.2012 15:12:21 2668 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.DirectDiskAccess
19.01.2012 15:11:42 2668 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 15:11:31 2892 C:\Program Files (x86)\Origin\Origin.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 15:11:30 2604 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess

wie schon gesagt finde ich nicht die aktivitäten dieses programmes eigenartig.
wenn man sich die uhrzeit genauer ansieht, fällt auf, dass die aktionen meist doppelt ablaufen bzw ca 10 sec später erfolgt nochmal das selbe.
außerdem endet der log einfach nach 0.13Uhr obwohl ich bis gerade eben online war und auch mit origin unterwegs. seit ca 0 uhr hatte ich wieder die besagten proble auf den servern.


ich möchte hier eig keine virussuchaktion starten, dafür wäre es doch bestimmt auch das falsche forum ^^
vielmehr interessiert mich die beschaffenheit von windows und wie schon im 1. post geschrieben in wie fern es möglich ist einen pc zu karpern ohne diesen zu infizieren.


was ich in betracht ziehe sind ex-member bzw leute welche zb bei 1337-crew aktiv waren. (aus meinem direkten umfeld) und laut deren aussage , hätten sie sich auch schon zugriff auf kontos von diversen firmen verschafft usw. dazu kommen dann gehackte accounts für plattformen wie Steam oder Origin usw.

also wie erwähnt, wenn es die leute sind die ich in betracht ziehe, wissen sie mit sicherheit was genau sie da tun.
die andere möglichkeit wäre mich hat das alles so "mitgenommen" das ich mittlerweile schon fast paranoid diesbezüglich bin.


also zusammengefasst:

ich denke nicht das es was bringt nach trojanern zu suchen, da anscheinend keine vorhanden sind?!
da ich glaube das dieses "gestalke" auf personen aus meinem umfeld zurückzuführen ist , und diese personen auch bei der besagten hackercommunity aktiv waren, könnte es durch aus sein das sie andere wege finden - nur welche?


ich kann es nachvollziehen wenn ihr es leid seid andauernd auf die selben fragen zu antworten , zumal ihr das hier alles frewillig macht , - aber die oben beschriebene tatsache, geht mir ziemlich an die substanz ich kann zb nicht mal mehr am pc normal arbeiten oder bekomme einfach absolut keinen klaren kopf für die prüfungen welche bald vor der tür stehen. was mich im endeffeckt noch mehr dazu veranlasst dieses problem in den griff bekommen zu wollen

also nach den infos welche ich dir jetz gegeben habe usw , meinst du ich steigere mich in die sache zu sehr rein, oder hällst du es durchaus für möglich , dass ich recht habe - die ursache jedoch sonstwo liegt?

Zitat:

ich möchte hier eig keine virussuchaktion starten, dafür wäre es doch bestimmt auch das falsche forum

Ich versuch hier aber eine Ursache zu finden. Wenn du wirklich alles richtig gemacht hast bei der Windows Neuinstallation muss es irgendwas geben, was eine Schwachstelle hat oder du führst irgendwas aus, was mit Backdoors oder anderer Malware bestückt ist.
Wie soll ich sonst Anhaltspunkte sammeln wenn du keine Suchaktion starten willst?

Das mit Origin halte ich auch für unauffällig. Origin ist zwar eine vielfach kritisierte Kopierschutztechnik, aber ich glaube nicht, dass die Schwachstelle da drin sitzt.

Zitat:

was ich in betracht ziehe sind ex-member bzw leute welche zb bei 1337-crew aktiv waren. (aus meinem direkten umfeld) und laut deren aussage , hätten sie sich auch schon zugriff auf kontos von diversen firmen verschafft usw. dazu kommen dann gehackte accounts für plattformen wie Steam oder Origin usw.

Was hat das damit zu tun? Versteh ich nicht.
Was haben diese Leute mit deinem Rechner zu tun? Hast du Kontakt zu solchen Leuten und v.a. hast du nach der Installation eines originalen Windows irgendwelche dubiosen Programme aus dunklen Ecken ausgeführt?

In ein frisch aufgesetztes originales und aktuelles Windows kannst du so nicht einbrechen, bei dir weicht irgendwas ab oder du hast dir die Schädlinge selbst installiert. Von allein kann sowas nicht wirklich passieren.

Du könntest einfach mal eine frische Windows-Installation machen und dann nur das nötige installieren. Vllt auch mal sehen ob nacktes Windows vorher schon wieder unter Kontrolle genommen wird.

Zitat:

also kurze einführung
seit etlichen zeiten werde ich in online games gestalkt beleidigt oder bekomme highping und gamecrashes.

Hm wenn ich das lese, dann könnte es sein, dass irgendwer (warum auch immer) es auf dich abgesehen hat. Hast du dich vllt mal in irgendeiner Form unbeliebt gemacht?
Ich steck in diesen Onlinespielen nicht wirklich drin und weiß nicht welche Möglichkeiten es da gibt einen bestimmten User gezielt "anzugreifen" aber wenn es sowas gibt dann liegt es wohl daran, dass du das Onlinespiel auf hast bzw. mit deinem für den Angreifer wiederkennbaren Profil/Usernamen aktiv bist...

Huhu,

Sorry Arne wenn ich dir eben dazwischenfunke.

Kann es möglich sein das du (Threadersteller) vielleicht irgendwelche Servertools (Roottools) oder auch Hacks für dieses Spiel verwendest?

Die sogenannten Roottools, womit du Gameserver steuerst, öffnen gerne mal den ein oder anderen Port sowie Sicherheitslücken im ganzen Netzwerk, da sie die Firewall (Hardware und Software) ungemerkt deaktivieren.

Kenne da so einige die damit auf den Hintern gefallen sind.

P.S.: Soll keine Anschuldigung oder ähnliches sein, nur ne Möglichkeit da ja anscheinend die BF3.exe so einige aktivitäten vornimmt, ist bei mir nicht der Fall^^

Hi!

Ich weiß nicht, ob das zu Leihenhaft ist, aber ich hab nichts davon gelesen, dass du deine PW`s mal geändert hast (oder hab ich das überlesen?)...

Zitat:

Zitat von cosinus

Du könntest einfach mal eine frische Windows-Installation machen und dann nur das nötige installieren. Vllt auch mal sehen ob nacktes Windows vorher schon wieder unter Kontrolle genommen wird.

Wenn nichts passiert, dann kannst du es ja mal ans I-Net stecken und schauen, es muss ja von irgendwoher kommen...

LG
Jaimy

Also ich weiß nicht, ob es sich da wirklich überhaupt um etwas handelt.
Das jemand dauernd "gehackt" wird ist ja noch unwahrscheinlicher, als dass es einem einmal passiert.
Malware kann man sich immer auf den Rechner holen. Aber wenn man vorsichtig vorgeht , erscheint mir eine andauernde Infektion als sehr unwahrscheinlich. Du bestätigtst ja, dass da nichts von ominöser Quelle installierst. Außer vllt 1000 Sicherheitsprogramme.

Des Weiteren scheinen mir einige Schlüsse, die du ziehst hanebüchen.
Battlefield 3 spielst du, hast daher auch Origin am Rechner. Origin.exe macht irgendwas im Hintergrund. Muß es wohl auch tun, wenn man BF3 spielen will. Und weil irgendein Feld- und Wiesenprogramm wie Emisoft sagt, da wird was schlechtes runtergeladen machst du dir über sowas Gedanken?
Emisoft beschwert sich wohl einfach über Origin. Aber das ist ein anderes Thema.

Anderes Bsp. : Du schreibst etwas davon, dass du die taskhost.exe 2 mal am laufen hast und eine (oder beide?) rausgeworfen hast. Auch das sind normale Windowsprozesse und die können auch mehrere male auftreten. 2 mal ist nicht unnormal. Eine Google-Suche hilft weiter.
Wenn du aber einfach so Prozesse killst, die dir nichts sagen ist es mir klar, dass du ein instabiles System hast.

Wegen der Verbindungen. Mach halt mal Facebook zu.

Da sind noch mehr Punkte, auf die habe ich aber jetzt keine Lust einzugehen.

Mein Fazit: Infizierung unwahrscheinlich, viel nutzlose rumdokterei am System, wo nichts rumzudoktern ist. Und was du in anderen Foren treibst geht mich nix an.

nein der router wurde nochnicht zurückgesetzt, aber ich wüsst auch nciht wozu. der router hat soweit ich weiß an sich keine möglichkeit infiziert zu werden. und selbst wenn der jenige iwas an den ports eingestellt hatte, bräuchte er halt trotzdem irgendwelche infos um zu meinem router zu finde.

pws ändern würd nichts bringen, es geht ja nicht darum das meine accounts gehackt werden sondern, dass ich auf gameservern permanent auf die gleiche art und weise von leuten gestalkt bzw belästigt werde, die sich dem anschein nach an der annonymität erfreuen.

Zitat:

Wegen der Verbindungen. Mach halt mal Facebook zu.

ich nutze kein facebook, sofern du mit der aussage auf die verbindungen welche ich angesprochen habe abzielst, kann ich leider nur sagend as ich absolut keine ahnung habe woher diese kommen.


aber wie schon erwähnt frage ich mich mittlerweile auch , ob ich nicht schon zusehr darauf achte , das es sich schon fast als paranoia auslebt.

fakt ist jedoch das ich bis vor 1-2 jahren mehrmals monatlich das system neu aufstetzen musste weil iwer mich immer im visier hatte, ordner löschte oder umbenannt, sicherheitseinstellungen deaktivierte usw.
nur ob das nun immernoch der fall ist weiß ich nicht >.<

Zitat:

Du könntest einfach mal eine frische Windows-Installation machen und dann nur das nötige installieren. Vllt auch mal sehen ob nacktes Windows vorher schon wieder unter Kontrolle genommen wird.

darüber hab ich auch schonmal nachgedacht.
würde ich mal meinen eigenen schweinehund überwinden und mein pc komplett ungesichert ans netz hängen und damit online gehen und nicht auf iwelche dubiosen seiten zugreifen würde, oder von dort progamme installieren würde, müsste es sich doch sehr schnell zeigen ob das problem besteht.
ich denke mal, dass wenn das system nicht abgesichert ist , dies nahezu eine einladung ist um schadcode ins sys zu schleusen darstellt.
vlt muss ich mir dann im endeffeckt neue keys für die accoutns zulegen aber eigentlich ist das auch nur das geringere übel.

da anscheinend keiner ne lösung/ursache findet, wie ihr bereits erwähnt hattet, lohnt es sich wohl auch nicht noch weiter danach zu suchen.

ich werde mal demnächst win ohne iwelche absicherung nutzen und abwarten.
wenn jmd noch was hinzufügen möchte, dann bitte.
ansonsten ist das thema somit erledigt und ich bedanke mich bei allen für ihre hilfe und geduld

Zitat:

Zitat von Mfkr

fakt ist jedoch das ich bis vor 1-2 jahren mehrmals monatlich das system neu aufstetzen musste weil iwer mich immer im visier hatte, ordner löschte oder umbenannt, sicherheitseinstellungen deaktivierte usw.

Das ist dann aber kein Fall fürs TB sondern eher für ne Anzeige!

Zitat:

ich werde mal demnächst win ohne iwelche absicherung nutzen und abwarten.

Hat dir das echt jemand empfohlen?
Komm mal wieder auf den Boden!