Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.12.2015, 09:30   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



Dann würde ich nicht mehr lange rumfummeln und mal testen wie eine verbreitete Linux-Distro läuft. Vllt hast du ja auch ein Hardwareproblem.

Die Funde in MBAR kurz nach einer Neuinstallation lässt eigentlich nur den Schluss zu, dass du irgendein verseuchtes Zeug nach der Neuinstallation ausgeführt hast.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.12.2015, 11:49   #17
lilchilla
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



Das habe ich definitiv nicht, denn Windows aktiviert sich ja jetzt sowieso von selbst. Wenn Du meinst da wurde irgendwas verseuchtes ausgeführt, dann kann es nur die Installations-CD selbst sein - was aber sehr unwahrscheinlich ist, da frisch runtergeladen.
Ich habe eher das Gefühl, dass ich hier gezielt angegriffen werde...Hab ja tw. wochenlang dieselbe IP...
Klar, Linux lläuft sowieso schon die ganze Zeit mit, diverse Distros, u.a. Kali, Kubuntu und Suse...
Aber irgendwie kann es doch nicht sein dass ich ein nagelneues Windows 10 nicht abgesichert kriege??!
Ich konnte ja zum glück kostenlos upgraden, aber was würde ich machen, wenn ich 300 Euro für die Pro Version bezahlt hätte...
Kann es sein, dass sich der Dreck mit auf die CD schreiben lässt?
Dann könnte ich ja theoretisch nochmal irgendwo eine "garantiert" saubere besorgen...
Irgendwie bin ich mit der Lösung "dann nimm halt Linux" nicht wirklich glücklich...
__________________


Alt 16.12.2015, 15:44   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



Zitat:
Zitat von lilchilla Beitrag anzeigen
Das habe ich definitiv nicht, denn Windows aktiviert sich ja jetzt sowieso von selbst.
Was hat das eine mit dem anderen zu tun???
Die Schädlinge kommen nicht "einfach so" rauf und von außen gehackt halte ich jetzt mal für praktisch ausgeschlossen. Window-Firewall, Router - oder hast du alles deaktiviert, alle Türen sperrangelweit aufgemacht?

Zitat:
Zitat von lilchilla Beitrag anzeigen
Irgendwie bin ich mit der Lösung "dann nimm halt Linux" nicht wirklich glücklich...
Dass du es nur zum Testen installieren solltest, hast du überlesen.
__________________
__________________

Alt 16.12.2015, 20:00   #19
lilchilla
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



[QUOTE][Was hat das eine mit dem anderen zu tun???[QUOTE]
Naja, Du hättest mich initial gefragt, woher ich das Installationsmedium habe, daher dachte ich Du Spielst auf irgendeinen illegalen Aktivierungs-Patch an.

[QUOTE] Die Schädlinge kommen nicht "einfach so" rauf und von außen gehackt halte ich jetzt mal für praktisch ausgeschlossen. Window-Firewall, Router - oder hast du alles deaktiviert, alle Türen sperrangelweit aufgemacht?
/QUOTE]
Das ist mir auch klar, aber offensichtlich hast Du ja auch nicht wirklich gelesen, was ich geschrieben habe. Ich installiere doch keine Routerkaskade, um dann tausend Ports zu forwarden. Im Gegenteil, ich habe sogar geschrieben, dass ich die Windows Firewall extra Aggro eingestellt habe, zum Beispiel no inbound or outbound connections whatsoever, zumindest im Domain und Public Profil.
Deswegen ist es für mich auch am naheliegensten, dass sich der Kram IN meinem Netzwerk schon so ausgebreitet hat, dass es vielleicht sogar auf ISO Datenträger rutscht. Immerhin war ja eine andere Platte noch angeschlossen. Eben habe ich mit ClamAV nur C: gescannt und hatte 900 Treffer!
Pdfs, Docs, dlls, exes, von allem war was dabei. Sogar mein Tablet war infiziert.
Aber offensichtlich hältst Du das für ausgeschlossen, dabei hätte mich Deine Meinung dazu wirklich interessiert.
Außerdem habe ich auch von einer gezielten Attacke gesprochen. Du solltest mal mein Routerlog sehen. Da macht einer mit der 192.192.192.168 seit vier Wochen alle 60 Sekunden Requests quer über alle 65000 Ports, und es hört einfach nicht auf.
Gestern habe ich ein Wireshark Log nach IPs gefiltert und die allesamt mit Nmap gescannt, was dabei grafisch rauskam waren ca. 30 Rechner, die wie ne Wolke zusammenkleben, und zwei oder drei C2s, die ganz woanders hocken.
Ein Botnet eben, bei dem ich mittendrin Sitze, wahrscheinlich weil ich ne 200Mbit Leitung hab, wasweissich.
Zitat:
[Dass du es nur zum Testen installieren solltest, hast du überlesenDass du es nur zum Testen installieren solltest, hast du überlesen.
Auf meiner zweiten SSD laufen schon ewig Kali und Xubuntu, steht auch im ersten Post, hast Du wahrscheinlich überlesen
Unter Linux hab ich auch keine Probleme. Da hab ich meine Admin Shell und gut is.
Aber meine Freundin kommt mit Linux nicht klar, und ich will das ganze nicht einfach so hinnehmen. Also lese ich jetzt mal was über die Geheimnisse von cmd.exe...

Edit: Sorry wenn das patzig war, aber ich bin halt echt mit meinem Latein am Ende, und das Allerletzte was ich nach nem Neuaufsetzen im Moment machen würde wäre, sketchy shit zu installieren.
Ich hab auch noch andere Sachen zu tun, aber bisher bestand mein Dezember aus Windows neuinstallieren und danach dabei zugucken, wie es mit ARP- und DNS Spoofs wieder zerlegt wurde.
Deswegen bin ich ja über haupt nach so vielen Jahren wieder hier. Das überstteigt einfach meine Kompetenz, und das kommt wirklich nicht oft vor dass ich bei ner Windows Maschine mal sage " ich hab keine Ahnung, was ich noch machen soll"
Immerhin sind das die gleichen Vögel, die alle meine Accounts gehackt haben, und ich krieg die nicht mehr aus meinem Netz raus.

Geändert von lilchilla (16.12.2015 um 20:12 Uhr)

Alt 16.12.2015, 21:32   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



Zitat:
Zitat von lilchilla Beitrag anzeigen
Naja, Du hättest mich initial gefragt, woher ich das Installationsmedium habe, daher dachte ich Du Spielst auf irgendeinen illegalen Aktivierungs-Patch an.
Nee, ich hab da eher schon an die ganzen Programme gedacht, die man so nach und nach nach einer Neuinstallation aufspielt.


Zitat:
Zitat von lilchilla Beitrag anzeigen
Das ist mir auch klar, aber offensichtlich hast Du ja auch nicht wirklich gelesen, was ich geschrieben habe. Ich installiere doch keine Routerkaskade, um dann tausend Ports zu forwarden.
Eben. Und wenn du auch schon noch Kaskaden aufbaust ist es erst recht fraglich, wie da was von außen reinkommen soll wenn das schon mit mit einem Router und/oder Windows-Firewall extrem unwahrscheinlich ist.


Zitat:
Zitat von lilchilla Beitrag anzeigen
Deswegen ist es für mich auch am naheliegensten, dass sich der Kram IN meinem Netzwerk schon so ausgebreitet hat, dass es vielleicht sogar auf ISO Datenträger rutscht. Immerhin war ja eine andere Platte noch angeschlossen. Eben habe ich mit ClamAV nur C: gescannt und hatte 900 Treffer!
Ergebnisse von ClamAV haben fast keine Aussagekraft. Das Teil hat ne extrem schlechte Erkennungsrate und ne sehr hohe Fehlalarmquote.


Zitat:
Zitat von lilchilla Beitrag anzeigen
Außerdem habe ich auch von einer gezielten Attacke gesprochen. Du solltest mal mein Routerlog sehen. Da macht einer mit der 192.192.192.168 seit vier Wochen alle 60 Sekunden Requests quer über alle 65000 Ports, und es hört einfach nicht auf.
Nun, wenn du das meinst dann muss es ja Schwachstellen in deinem Router geben. Aber das erklärt trotzdem nicht wie eine saubere Windows Installation ohne dein Zutun kompromittiert wird.


Zitat:
Zitat von lilchilla Beitrag anzeigen
Ich hab auch noch andere Sachen zu tun, aber bisher bestand mein Dezember aus Windows neuinstallieren und danach dabei zugucken, wie es mit ARP- und DNS Spoofs wieder zerlegt wurde.
Firmware des Routers war aktuell? Geräte auf ein Werkszustand wiederhergestellt?
Ich glaub ja eher, dass du irgendwo einen systematischen Fehler immer und wieder bei der Installation machst, diesen aber vor lauter Beiwerk mit Portscans hier und da am Router, Wireshark etc. nicht wahrnimmst.

Was gabs außer MBAR denn noch an Rootkitfunden?

Zitat:
Database version: v2013.10.02.12
Davon mal ab, hast du mit extrem alten Signaturen gescannt. Das seh ich ja jetzt erst richtig
Ich wette, dass mit aktuellen Signaturen MBAR garnix gefunden hätte.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.12.2015, 22:31   #21
lilchilla
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



Oh, das ist natürlich übel, stimmt!
Aber was anderes, kann es sein dass Du glaubst dass ich eine kleine Rootkitphobie habe? Dann seid Ihr schon zwei, meine Freundin sagt das auch...
Und bald sind wir zu dritt
Ich meine, eines Tages habe ich mir abgewöhnt, in die Eventlogs zu schauen, weil die nach wenigen Stunden schon aussehen können als würde die Kiste gleich in Flammen aufgehen...
Wenn ich mir dann so vorstelle wieviele von den Dubiosen Verbindungen, die ich mit 'netstat -anop tcip sehe eigentlich zum Google Drive oder zum Hotmail account gehen, dann ergibt sich gleich ein ganz anderes Bild... Nichtsdestotrotz habe ich vorhin mit ner ct Desinfect mal offline gescannt und schon noch ein paar Treffer gehabt...
Ein Tr\Encr..,XY war dabei, außerdem stimmt mit der Datei "skypehost.exe" oder so Ähnlich was nicht, das muss ich mir nachher mal in IDA Pro anschauen.
Habe jetzt manuell in der Registry noch ein paar Sachen rausgenommen und scanne gerade nochmal offline, und danach poste ich nochmal logs.
Die meisten der Funde vorhin hatten ubrigens die Dateiendung .vir, auch komisch...

Alt 16.12.2015, 22:33   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Standard

Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...



An der Rootkitparanoia könnte was dran sein
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...
administrator, antivir, avira, besitzer, bestimmte seiten, defender, explorer, festplatte, firefox, helper, langsam, mozilla, nvidia, opera, pdf, prozesse, realtek, registry, rootkit, rundll, scan, seiten, software, spyware, system, temp, windows, windows 10 pro



Ähnliche Themen: Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion...


  1. Seit Windows 8.1, Trojaner am laufendem Band
    Plagegeister aller Art und deren Bekämpfung - 27.11.2014 (3)
  2. Windows: August-Patches wieder vollzählig
    Nachrichten - 03.09.2014 (0)
  3. Infektion mit TR/Rootkit.Gen und TR/Crypt.EPACK.4696 - Windows Update und Avira Echtzeitscan funktionieren nicht mehr
    Log-Analyse und Auswertung - 27.05.2014 (4)
  4. AVG meldet Anti-Rootkit infektion unknown NtMapViewOfSection...
    Plagegeister aller Art und deren Bekämpfung - 04.05.2014 (14)
  5. Adware DomaIQ, ClickPotato, Malware.Trace und andere üble Gesellen (Windows XP)
    Log-Analyse und Auswertung - 22.04.2014 (10)
  6. gvu trojanar auf pc (WIN7ultimate)
    Log-Analyse und Auswertung - 06.09.2013 (3)
  7. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  8. Rootkit-Infektion
    Log-Analyse und Auswertung - 03.02.2013 (1)
  9. unbekannte trojaner /rootkit Infektion
    Log-Analyse und Auswertung - 20.07.2012 (4)
  10. Rootkit-Infektion?
    Log-Analyse und Auswertung - 18.06.2012 (1)
  11. Hab Rootkit.0Access.H auf dem Rechner. Wie entfern ich den richtig?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (11)
  12. Avast Fehler 10050 - Infektion mit Rootkit.Zeroaccess?
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (19)
  13. Rootkit und JavaAgent Infektion
    Plagegeister aller Art und deren Bekämpfung - 05.08.2011 (8)
  14. Rootkit gefunden, Malware Infektion?
    Log-Analyse und Auswertung - 15.06.2011 (27)
  15. Spyware infektion
    Log-Analyse und Auswertung - 01.02.2009 (5)
  16. Infektion mit Spyware-Secure
    Log-Analyse und Auswertung - 14.08.2008 (7)
  17. Spyware Infektion -- Werbe Pop-Ups
    Plagegeister aller Art und deren Bekämpfung - 09.11.2005 (2)

Zum Thema Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... - Dann würde ich nicht mehr lange rumfummeln und mal testen wie eine verbreitete Linux-Distro läuft. Vllt hast du ja auch ein Hardwareproblem. Die Funde in MBAR kurz nach einer Neuinstallation - Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion......
Archiv
Du betrachtest: Windows 10 im August aus laufendem Win7Ultimate geupdatet, danach richtig üble Rootkit + Spyware Infektion... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.