Dann würde ich nicht mehr lange rumfummeln und mal testen wie eine verbreitete Linux-Distro läuft. Vllt hast du ja auch ein Hardwareproblem.

Die Funde in MBAR kurz nach einer Neuinstallation lässt eigentlich nur den Schluss zu, dass du irgendein verseuchtes Zeug nach der Neuinstallation ausgeführt hast.

Das habe ich definitiv nicht, denn Windows aktiviert sich ja jetzt sowieso von selbst. Wenn Du meinst da wurde irgendwas verseuchtes ausgeführt, dann kann es nur die Installations-CD selbst sein - was aber sehr unwahrscheinlich ist, da frisch runtergeladen.
Ich habe eher das Gefühl, dass ich hier gezielt angegriffen werde...Hab ja tw. wochenlang dieselbe IP...
Klar, Linux lläuft sowieso schon die ganze Zeit mit, diverse Distros, u.a. Kali, Kubuntu und Suse...
Aber irgendwie kann es doch nicht sein dass ich ein nagelneues Windows 10 nicht abgesichert kriege??!
Ich konnte ja zum glück kostenlos upgraden, aber was würde ich machen, wenn ich 300 Euro für die Pro Version bezahlt hätte...
Kann es sein, dass sich der Dreck mit auf die CD schreiben lässt?
Dann könnte ich ja theoretisch nochmal irgendwo eine "garantiert" saubere besorgen...
Irgendwie bin ich mit der Lösung "dann nimm halt Linux" nicht wirklich glücklich...

Zitat:

Zitat von lilchilla

Das habe ich definitiv nicht, denn Windows aktiviert sich ja jetzt sowieso von selbst.

Was hat das eine mit dem anderen zu tun???
Die Schädlinge kommen nicht "einfach so" rauf und von außen gehackt halte ich jetzt mal für praktisch ausgeschlossen. Window-Firewall, Router - oder hast du alles deaktiviert, alle Türen sperrangelweit aufgemacht?

Zitat:

Zitat von lilchilla

Irgendwie bin ich mit der Lösung "dann nimm halt Linux" nicht wirklich glücklich...

Dass du es nur zum Testen installieren solltest, hast du überlesen.

[QUOTE][Was hat das eine mit dem anderen zu tun???[QUOTE]
Naja, Du hättest mich initial gefragt, woher ich das Installationsmedium habe, daher dachte ich Du Spielst auf irgendeinen illegalen Aktivierungs-Patch an.

[QUOTE] Die Schädlinge kommen nicht "einfach so" rauf und von außen gehackt halte ich jetzt mal für praktisch ausgeschlossen. Window-Firewall, Router - oder hast du alles deaktiviert, alle Türen sperrangelweit aufgemacht?
/QUOTE]
Das ist mir auch klar, aber offensichtlich hast Du ja auch nicht wirklich gelesen, was ich geschrieben habe. Ich installiere doch keine Routerkaskade, um dann tausend Ports zu forwarden. Im Gegenteil, ich habe sogar geschrieben, dass ich die Windows Firewall extra Aggro eingestellt habe, zum Beispiel no inbound or outbound connections whatsoever, zumindest im Domain und Public Profil.
Deswegen ist es für mich auch am naheliegensten, dass sich der Kram IN meinem Netzwerk schon so ausgebreitet hat, dass es vielleicht sogar auf ISO Datenträger rutscht. Immerhin war ja eine andere Platte noch angeschlossen. Eben habe ich mit ClamAV nur C: gescannt und hatte 900 Treffer!
Pdfs, Docs, dlls, exes, von allem war was dabei. Sogar mein Tablet war infiziert.
Aber offensichtlich hältst Du das für ausgeschlossen, dabei hätte mich Deine Meinung dazu wirklich interessiert.
Außerdem habe ich auch von einer gezielten Attacke gesprochen. Du solltest mal mein Routerlog sehen. Da macht einer mit der 192.192.192.168 seit vier Wochen alle 60 Sekunden Requests quer über alle 65000 Ports, und es hört einfach nicht auf.
Gestern habe ich ein Wireshark Log nach IPs gefiltert und die allesamt mit Nmap gescannt, was dabei grafisch rauskam waren ca. 30 Rechner, die wie ne Wolke zusammenkleben, und zwei oder drei C2s, die ganz woanders hocken.
Ein Botnet eben, bei dem ich mittendrin Sitze, wahrscheinlich weil ich ne 200Mbit Leitung hab, wasweissich.

Zitat:

[Dass du es nur zum Testen installieren solltest, hast du überlesenDass du es nur zum Testen installieren solltest, hast du überlesen.

Auf meiner zweiten SSD laufen schon ewig Kali und Xubuntu, steht auch im ersten Post, hast Du wahrscheinlich überlesen
Unter Linux hab ich auch keine Probleme. Da hab ich meine Admin Shell und gut is.
Aber meine Freundin kommt mit Linux nicht klar, und ich will das ganze nicht einfach so hinnehmen. Also lese ich jetzt mal was über die Geheimnisse von cmd.exe...

Edit: Sorry wenn das patzig war, aber ich bin halt echt mit meinem Latein am Ende, und das Allerletzte was ich nach nem Neuaufsetzen im Moment machen würde wäre, sketchy shit zu installieren.
Ich hab auch noch andere Sachen zu tun, aber bisher bestand mein Dezember aus Windows neuinstallieren und danach dabei zugucken, wie es mit ARP- und DNS Spoofs wieder zerlegt wurde.
Deswegen bin ich ja über haupt nach so vielen Jahren wieder hier. Das überstteigt einfach meine Kompetenz, und das kommt wirklich nicht oft vor dass ich bei ner Windows Maschine mal sage " ich hab keine Ahnung, was ich noch machen soll"
Immerhin sind das die gleichen Vögel, die alle meine Accounts gehackt haben, und ich krieg die nicht mehr aus meinem Netz raus.

Zitat:

Zitat von lilchilla

Naja, Du hättest mich initial gefragt, woher ich das Installationsmedium habe, daher dachte ich Du Spielst auf irgendeinen illegalen Aktivierungs-Patch an.

Nee, ich hab da eher schon an die ganzen Programme gedacht, die man so nach und nach nach einer Neuinstallation aufspielt.

Zitat:

Zitat von lilchilla

Das ist mir auch klar, aber offensichtlich hast Du ja auch nicht wirklich gelesen, was ich geschrieben habe. Ich installiere doch keine Routerkaskade, um dann tausend Ports zu forwarden.

Eben. Und wenn du auch schon noch Kaskaden aufbaust ist es erst recht fraglich, wie da was von außen reinkommen soll wenn das schon mit mit einem Router und/oder Windows-Firewall extrem unwahrscheinlich ist.

Zitat:

Zitat von lilchilla

Deswegen ist es für mich auch am naheliegensten, dass sich der Kram IN meinem Netzwerk schon so ausgebreitet hat, dass es vielleicht sogar auf ISO Datenträger rutscht. Immerhin war ja eine andere Platte noch angeschlossen. Eben habe ich mit ClamAV nur C: gescannt und hatte 900 Treffer!

Ergebnisse von ClamAV haben fast keine Aussagekraft. Das Teil hat ne extrem schlechte Erkennungsrate und ne sehr hohe Fehlalarmquote.

Zitat:

Zitat von lilchilla

Außerdem habe ich auch von einer gezielten Attacke gesprochen. Du solltest mal mein Routerlog sehen. Da macht einer mit der 192.192.192.168 seit vier Wochen alle 60 Sekunden Requests quer über alle 65000 Ports, und es hört einfach nicht auf.

Nun, wenn du das meinst dann muss es ja Schwachstellen in deinem Router geben. Aber das erklärt trotzdem nicht wie eine saubere Windows Installation ohne dein Zutun kompromittiert wird.

Zitat:

Zitat von lilchilla

Ich hab auch noch andere Sachen zu tun, aber bisher bestand mein Dezember aus Windows neuinstallieren und danach dabei zugucken, wie es mit ARP- und DNS Spoofs wieder zerlegt wurde.

Firmware des Routers war aktuell? Geräte auf ein Werkszustand wiederhergestellt?
Ich glaub ja eher, dass du irgendwo einen systematischen Fehler immer und wieder bei der Installation machst, diesen aber vor lauter Beiwerk mit Portscans hier und da am Router, Wireshark etc. nicht wahrnimmst.

Was gabs außer MBAR denn noch an Rootkitfunden?

Zitat:

Database version: v2013.10.02.12

Davon mal ab, hast du mit extrem alten Signaturen gescannt. Das seh ich ja jetzt erst richtig
Ich wette, dass mit aktuellen Signaturen MBAR garnix gefunden hätte.

Oh, das ist natürlich übel, stimmt!
Aber was anderes, kann es sein dass Du glaubst dass ich eine kleine Rootkitphobie habe? Dann seid Ihr schon zwei, meine Freundin sagt das auch...
Und bald sind wir zu dritt
Ich meine, eines Tages habe ich mir abgewöhnt, in die Eventlogs zu schauen, weil die nach wenigen Stunden schon aussehen können als würde die Kiste gleich in Flammen aufgehen...
Wenn ich mir dann so vorstelle wieviele von den Dubiosen Verbindungen, die ich mit 'netstat -anop tcip sehe eigentlich zum Google Drive oder zum Hotmail account gehen, dann ergibt sich gleich ein ganz anderes Bild... Nichtsdestotrotz habe ich vorhin mit ner ct Desinfect mal offline gescannt und schon noch ein paar Treffer gehabt...
Ein Tr\Encr..,XY war dabei, außerdem stimmt mit der Datei "skypehost.exe" oder so Ähnlich was nicht, das muss ich mir nachher mal in IDA Pro anschauen.
Habe jetzt manuell in der Registry noch ein paar Sachen rausgenommen und scanne gerade nochmal offline, und danach poste ich nochmal logs.
Die meisten der Funde vorhin hatten ubrigens die Dateiendung .vir, auch komisch...

An der Rootkitparanoia könnte was dran sein