Hallo zusammen, ich bin froh, dass ich dieses Forum gefunden habe, ich kämpfe seit Tagen - ohne einen Schlachtplan zu haben... Was ist passiert?

WinXP SP3 + Avira Free + Win Firewall, über Jahre erhalten, etwas zugemüllt . Von Rechner zu Rechner übernommen, bisher gab es nie "aussergewöhnliche Probleme", ab und an mal ein verirrter Gast, der kam allein, hing irgendwo dran und wurde dann von z.B. Avira oder manuell entsorgt. Bis dann vor kurzem das Motherboard abrauchte, also SSD + Motherboard bestellt, Daten + Partition C auf ne andere Platte (HDD) gesichert.

Alles da, alles zusammengebaut, bin auf der Suche nach Treibern und natürlich als Admin online, nur kurz... Beim Downloaden der neuen Treiber surfte ich mit Firefox, 2-3 Seiten offen, auf einer ".de" Domain, eine Seite über Forex, ich bin nicht 100% sicher, woher die Infektion kam, jedenfalls haben die da Shockwave Elemente drin, mein Plugin war veraltet (später festgestellt), die Quittung folgte sofort.

Es öffnete sich kurz die Java Console, im selbe Moment meldete sich Avira, mit einem Ruck kamen mehrere Meldungen. avira meldete zwar, konnte aber die Ausführung des Codes nicht stoppen!!!! Atraps und Siri/Sirifi oder so ähnlich, sorry ich war durch "Entfernen" drücken im Streß . LAN trennen, Rechtsklick -> deaktivieren, ging nicht, komische Meldung. Ich kontrollierte die Firewall, die war auf einmal AUS, einschalten ging nicht, keine Rechte oder so war die Meldung. Also Kabel aus der Fritzbox und erstmal schauen.

Habe dann einige Tage "versucht" mittels Rescue/Linux-CDs einen Überblick über diesen Angriff zu bekommen, habs dann aber aufgegeben. So etwas habe ich zuvor noch nicht erlebt, jedenfalls nicht in diesem Ausmaß. Das kuriose war, ich habe jede Menge neue, verdächtige Dateien gefunden, Google kennt die Namen der dll/sys nicht oder es waren nur wenige Ergebnisse, die meisten "normalen" Scanner (Avira, Avast, Malwarebytes) sagten aber dazu nichts, 0 Funde oder nur inaktive in älteren Backups oder Dateileichen. Was auch immer mir verdächtig war, war im Netz zu finden aber nur wenige Ergebnisse. Die Avira Rescue CD blieb bei Achivbomben hängen, als ich diese dann "schlauerweise" in meiner Trotteligkeit erased habe um scannen zu können, hat der Eraser die Partionstabelle zerschossen, Testdisk konnte die Daten aber komplett wieder herstellen.

Habe nach dem "Cleaning" mal zum Testen die Comodo Firewall installiert und alle Standardregeln und genehmigten Prozesse entfernt, also alle, auch svchost.exe (name ok und korrekt im c\windows\system32) und explorer.exe(c\windows) usw. mussten fragen, um telefonieren zu können. Und das wollten sie, nicht nur DNS Abfragen ohne Ende sondern auch Versuche auf allen möglichen anderen IPs/Ports nach draussen. Es sah so aus, als wenn die Eindringlinge über die windowseigenen Ausgänge senden, die scheinen die orginale signierte svchost zu nutzen, was bedeuten würde, die Windows-Firewall läßt sie durch oder?

Der Svchost Analyzer (kann man dem trauen?) meldete 1 verdächtige von 6-7 svchost.exe Prozessen, obwohl ich Admin war, hatte ich kein Zugriff auf diese in dem Programm, rote Kennzeichnung - angeblich keine Rechte. Habe mittels Prozess Explorer über die PID rausfinden können, dass es die svchost ist, die für RPC also Remote Prozeduraufrufe (siehe hxxp://home.arcor.de/xellx/Ablage/svchost.html) zuständig ist, konnte sie nur leider nicht mehr zu ihren Zielen connecten lassen, weil ich ja nicht weiß, welche Befehle/Daten als nächste noch rein/rausgehen würden. Netzwerkfreigaben + NETBIOS war aus, die svchost lauschte auf 135 (siehe hxxp://www.drwindows.de/windows-7-allgemein/34089-geloest-offener-port-135-muss-mir-sorgen.html#post285187) und wartete auf neue Befehle, system ohne prozessname auf lauschte 445.

Ich versuchte OTL zu laden, da kam aber die letzten 2-3 Tage lang immer eine 403 Fehlerseite, war die nicht erreichbar...? Ich war mir unsicher ob die DNS umgeleitet wurde, tracert war normal, kurios war, ich war mit einer Boot CD online, reg dns change geht also nicht, es sei denn die können die Fritzbox fernsteuern...? Klingt paranoid, bis ich dazu Infos gefunden habe, angeblich kann man die Fritzbox von extern/LAN über Fernwartung und zusätzlich dazu über ein Protokoll/Schnittstelle names Tuxo64 (heißt so ähnlich) oder so ähnlich steuern, dazu gibts in der Fritzbox auch eine Option die auf default eingeschaltet ist, Programme aus dem LAN dürfen die Einstellungen verändern usw... Änderungen über UPnP war aber aus, das meine ich nicht damit!

Also habe ich mit allen möglichen Tools gesucht, Stinger, Malwarebytes, aswMbr usw... Kurioserweise meldete das eine Programm die Datei, ein anderes fand darin gar nichts, ich vermutete schon das ich Antiviren-Signaturen lade, die evtl. von manipulierten Serven stammen??? Klingt noch paranioder, aber so würde ein guter Man-in-the-middle-Angriff wohl ablaufen, nur wofür der Aufwand bei einem Normalo Anschluss oder ist sowas schon Standard bei den russischen/ukrainischen Freunden?

Habe gefühlte 10000 Dateien bei virustotal hochgeladen, nur was macht man wenn 2-4 sagen "infiziert mit XY" und der Rest sagt die Datei ist ok? Zwischenzeitlich hatte ich den Eindruck, die Eindringlinge verbreiten sich im LAN über die Freigaben auf den anderen PC, machen die das oder eher nicht?

Also Daten + C sichern, die SSD mit Secure Erase gelöscht, neu aufsetzen, Win7 64bit +SP1 offline installiert, eingeschränkten User eingerichtet, Avast installiert. Ich habe von dem Backup nichts gestartet, nicht mal eine *.txt geöffnet. Und ins Internet, Avast updaten, auf einmal der erste Freeze... Neustart, Panik, alles mit Avira, MWB, Avast Prüfung bei Neustart aktiviert, gescannt und gesucht und nichts gefunden. Liegts an Win7, Hardwareprobleme oder oder oder, man ist echt verunsichert und weiß gar nicht womit man suchen soll, wenn man nicht weiß, wonach man sucht. Atraps ist ja leider (wenn kein false-positive) ein Sammelbegriff für diese Gruppe von Malware ;(... Sitzen die evtl. noch im Bios, MBR oder einem "Alternate Data Stream" einer Platte?

Ich bräuchte also mal bitte Eure Unterstützung bei der Nachkontrolle, hoffentlich habe ich jetzt nicht zuviel geschrieben, ich dachte der exakte Ablauf hilft dabei, die Suche zu vereinfachen. Mittlerweile kam ich nun wieder an das Fritzboxpasswort, das war auf dem Rechner gespeichert, zwar im KEEPASS aber wenn da ein Trojaner aktiv war, dürfte die das auch auslesen können wenn man die Datenbank gerade offen hat.

Ja was soll ich sagen, die Einstellungen der Fritzbox waren alle ok, nur die Logdateien sind weg. Habe heute um 16 Uhr erstmals seit 3 Tagen nen Login auf der FB gemacht, um 14.36 Uhr ist der erste Einwahl+Syncro Eintrag im Log, von davor ist nichts zu sehen...??? Nur warum sind die Logs weg, ich habe die Box nicht zurückgesetzt, dann wären die Einwahldaten weg.

Das waren mir irgendwie zuviele komische Zufälle, deswegen schildere ich alles auch so ausführlich, verzeiht mir ... Ich setze das komplette System sowieso noch mal neu auf, ich würde nur gern wissen, wie ich sicherstellen kann, das die gesicherten Dateien nicht infiziert sind, wie und womit scannen wir das, um sicher zu sein?

Kam der Angriff wirklich vom PC zur Fritzbox oder evtl. sogar andersrum? Fritzbox von aussen Bruteforce auf die Schnittstelle und wer da drin ist, ist im LAN und hat Zugriff auf die Freigaben, kann Dateien hochladen auf die Rechner usw. oder?

Vielen Dank vorab für Eure Hilfe, bin echt am Ende

Ok hab mir beim Schreiben des Textes oben Gedanken gemacht wie/ was da passiert sein könnte. Denke ich habe eine mögliche Erklärung, mal sehen was Ihr sagt.

Interview mit einem Botnet Operator, er "verwaltet" mehr als 10.000 infizierte Pcs
overview for throwaway236236
IAmA a malware coder and botnet operator, AMA : IAmA

Also wenn ich alles verstanden habe, setzen die aufm Server für den DrivebyDownload Ihren Wurm, der User kommt mit fehlerhaften Plugin, die starten das Plugin, setzen ihre exe auf den Rechner, hängen die mit alternativen Datenströmen beim nächsten Autostart an eine andere, bereits vorhandene unauffälige exe und löschen ihr Orginal.

Nun hängt der Wurm im unsichtbaren alternativen NTFS Datenstrom, wir normalen User sehen nichts im Explorer, auch im Dos ist keine Datei zu sehen, der Wurm mit 100kb kann an eine 8kb Datei *.exe, *.sys oder *.dll gepackt sein, die Datei hat trotzdem nur 8kb. Danke Microsoft für diese wunderbare Technik, die Hackern Haustür und Hoftor öffnet, wie kann man so ein Mist verzapfen?

Darum finden auch manche Scanner nichts, manche finden ADS Würmer nur beim Zugriff, die anderen auch beim Suchlauf und viele gar nicht. Wenn die das per ADS an die svchost hängen, hat die im Explorer ihre normale Grösse und ist trotzdem mit allen Zusatzfunktionen des wurm.exe ausgestattet. Da nun noch alle möglichen Firewalls in den default Rules keine Windows Prozesse blocken, kann die svchost.exe mit der wurm.exe im alternativen Datenstrom Anhang munter rein und raus telefonieren, weil sie das ja eh macht - merkts keiner...

Und der Botnet Betreiber sitzt hinter dem Tor Netzwerk und lacht sich ins Fäustchen, siehe folgendes Bild. So sieht ein Botnet aus in dem unsere infizierten Rechner dem Chef dienen. Wir sind wie immer nur Zahlen im System, das beruhigt. Achtet bitte unten auf die Liste, der Botnet Betreiber sieht fein säuberlich welches Antivirenprogramm ihr gerade "austestet" (sein Wurm oder Trojaner sendet ihm die Info LIVE von EUREM PC) und auf die schöne Suchmaske mit der er Aufrufe bei Paypal gezielt filtern kann

hxxp://i.imgur.com/yxMDx.jpg

Meine Tracerts, Pings und Versuche in alle Richtungen scheiterten am Tor Netzwerk, die Jungs sind natürlich nicht blöd und sitzen hinter mehreren Servern die alles umleiten. Schöne neue Welt.

Ich krieg echt das würgen, wie soll man sich denn davor wirksam schützen? Jede ausführbare Datei kann so etwas an eine andere hängen, beliebig viele und beliebig gross (hdd max). UAC nützt wenig, wenn man nicht weiß, was man gerade wirklich erlaubt

Wenn der auf dem Zielrechner ne interessante Datei findet z.b. desktop/paypal_passwt_zip.exe, was meint ihr, führt der die aus??? Und was für ein OS wird so jemand nutzen, wohl kaum Windows oder? Wir sind doch mit ihnen verbunden, gibts denn keine Möglichkeit den Tunnel in die andere Richtung zu nutzen, lahmzulegen zu blokieren? Nicht die saugen, wir senden sinnlose Dateien an das Botnet und legen ihm damit die Bandbreite lahm.

Isolieren, analysieren und angreifen , nicht passiv 100 Würmer am Tag löschen sondern beim ersten Kontakt sofort voll zurückschlagen, es kann nicht sein, dass Lücken nur auf unserer Seite vorliegen . Cooles Thema auf jeden Fall, so kann man Infos und Wissen aus so einem Mist ziehen, ich freue mich auf die Profis von hier und Euren Input !!

Ok wieder zum Thema, ich hoffe ihr könnt mir erstmal beim desinfizieren helfen ;(...

Ähm mal ehrlich, wer soll sich denn diesen Roman durchlesen?!
Kannst du die Problembeschreibung nicht auf das nötigste reduzieren?