Hinweise zu Ad/Malware Threads (bitte offen lassen)

cosinus · 07.10.2022, 22:57

Zitat:

Zitat von _698

https://www.trojaner-board.de/205287-windows-10-zeigt-weisses-fenster-hacker-instruktionen-statt-login.html
Interessante Kiste mit der Absolute Backdoor.

Ärgerlich für Helfer ist dieser offenbar übersehene pico_activator_xyz-Eintrag:
2022-09-24 09:27 - 2020-02-25 00:31 - 000003206 _____ C:\Users\Public\Desktop\R@1n.txt

r@in erinnert mich eher an irgendwelche Cracks/Keygens bzw die Auswirkungen davon.

Danke für den Hinweis. MKDB wird entsprechend reagieren.

Diese Kiste ist eh nicht zu retten. Gebrauchtgerät, nicht neu installiert. Wer weiß ob die Angaben überhaupt alle richtig sind.

_698 · 07.10.2022, 23:12

Zitat:

Zitat von cosinus

r@in erinnert mich eher an irgendwelche Cracks/Keygens

Das ist die Windows/Office-Geschichte.

Zitat:

Zitat von cosinus

Danke für den Hinweis.

Gerne.

M-K-D-B · 08.10.2022, 09:23

Zitat:

Zitat von _698

Ärgerlich für Helfer ist dieser offenbar übersehene pico_activator_xyz-Eintrag:
2022-09-24 09:27 - 2020-02-25 00:31 - 000003206 _____ C:\Users\Public\Desktop\R@1n.txt

Den Eintrag hatte ich nur ganz kurz zur Kenntnis genommen... quasi überflogen.
Wusste anfangs allerdings nicht, ob Absolute vom Nutzer installiert wurde oder nicht, das Thema hat mich neugieirg gemacht.

Habe mir in der Zwischenzeit ein paar Beiträge zu "Absolute Backdoor" durchgelesen.
Allerdings steht dort u. a. dass es sich dabei um UEFI-Modifikationen handelt, die nicht so einfach zu entfernen sind (Firmware Update bzw. von Absolute entfernen lassen).
Folglich ist wohl auch eine Neuinstallation von Windows nicht zielführend, verstehe ich das richtig?
https://www.youtube.com/watch?v=AKmNf-JmjKQ
https://threatpost.com/millions-of-p...door-2/107700/

Zitat:

Zitat von cosinus

r@in erinnert mich eher an irgendwelche Cracks/Keygens bzw die Auswirkungen davon.

Danke für den Hinweis. MKDB wird entsprechend reagieren.

Diese Kiste ist eh nicht zu retten. Gebrauchtgerät, nicht neu installiert. Wer weiß ob die Angaben überhaupt alle richtig sind.

Will noch einen kurzen Blick auf das System im normalen Modus erhaschen.

cosinus · 08.10.2022, 16:30

Zitat:

Zitat von M-K-D-B

Habe mir in der Zwischenzeit ein paar Beiträge zu "Absolute Backdoor" durchgelesen.
Allerdings steht dort u. a. dass es sich dabei um UEFI-Modifikationen handelt, die nicht so einfach zu entfernen sind (Firmware Update bzw. von Absolute entfernen lassen))

Was für Modifikationen werden denn da vorgenommen? Den Artikel und das Video find ich etwas zu lag grade

_698 · 09.10.2022, 21:36

Zitat:

Zitat von M-K-D-B

Habe mir in der Zwischenzeit ein paar Beiträge zu "Absolute Backdoor" durchgelesen.
Allerdings steht dort u. a. dass es sich dabei um UEFI-Modifikationen handelt, die nicht so einfach zu entfernen sind (Firmware Update bzw. von Absolute entfernen lassen).

Auf jeden Fall Absolute Software kontaktieren und als Workaround den guten alten Dummy-Trick versuchen.

Zitat:

the most reliable way to disable unauthorized or erroneously activated persistence is to kill Computrace processes,
make zero-sized files rpcnetp.exe, rpcnetp.dll in System32 and SysWOW64, and set System file attributes.
You can reboot and remove the rest of Computrace files (see Appendix A for full file list).

https://www.blackhat.com/docs/us-14/materials/us-14-Kamluk-Computrace-Backdoor-Revisited-WP.pdf

Zitat:

Zitat von M-K-D-B

Folglich ist wohl auch eine Neuinstallation von Windows nicht zielführend, verstehe ich das richtig?

Ja.