|
Zum GMER-log fehlen noch mindestens 10 Teile, aber dann breche ich den mal ab... Ubuntu ist auch vom Bootkit betroffen, wie alle Linuxsysteme, die ich bisher probiert habe. Nur der Zugriff des Clienten läuft über SSH und Samba, auch wenn ich die dazugehörigen Dienste stoppe und Programme deinstalliere. MBRR findet nichts, auch wenn ich den von CD mit Schreibschutz laufen lasse, aber kann ich trotzdem nochmal laufen lassen. Etwas Geduld muss Win10 wieder mal neu installieren... Hier kurz ein etwas älterer: Code: Malwarebytes Anti-Rootkit BETA 1.9.3.1001Code: RogueKiller V11.0.13.0 [Feb 22 2016] (Free) by Adlice Software |
Zitat:
|
Aber das ist doch völlig egal, welches OS du installiert hast, das Rootkit hat - quasi wie im Netzwerk- eine oder mehrere verstecke Partitionen direkt "neben" dir und kann alles beliebig manipulieren. Da hilft auch die Verschlüsselung nichts, wenn du mit dem System hochgefahren bist. Bei mir in Ubuntu werden die Packetlisten manipuliert und sie sie auch schon direkt nach Installation des OS, wenn ich nur einen download starte, dann habe ich automatisch manipulierte Packete installliert....wenn ich keine Packete installierte, werden irgednwann welche versteckt installiert. Und das sind nur Zugangswege des Rootkit, die mir bekannt sind.... Hier auch nochmal eine kleine Gallerie: Rootkit nimmt Kaspersy auseinander, Hooks https://imageshack.com/i/plH73ZWZp So oder ähnlich ist es mit fast alles Anti-Rootkit Tools https://imageshack.com/i/pnwIDn4Bp https://imageshack.com/i/plquSB0fj https://imageshack.com/i/pnqFPbhUp https://imageshack.com/i/pmclX1txj Wenn man sich gegen die Malware wehrt, passiert bei den Security Suiten das: https://imageshack.com/i/poe5pGywp Windows 10: Ein paar Minuten nach der Neuinstallation: Das Rootkit hat schon alles vorbereitet, Win total maipuliert: https://imageshack.com/i/plZKBi0fp https://imageshack.com/i/poBZCsNGp https://imageshack.com/i/poybuz6vp https://imageshack.com/i/pnTxTu5dp Ein weiterer Zugriff ging über eine VOIP-Schwachstelle in der FritzBox, wir hatten nie Telefone eingerichtet, schongar nicht mit Rufumleitung https://imageshack.com/i/pmsY0RPWp Meines Erachtens müssen dies die verstecketen Volumes sein (loop), das Bild zeigt nämlich die Volumes auf der Festplatte; aber es dürfte gar keine geben, weil ich vorher alle Partitionen mit DBAN gelöscht habe. https://imageshack.com/i/pnK3lx4bj @cosinus Ich denke, ich habe auch für Ubuntu ausreichend Belege für eine Infektion, aber konzentrieren wir uns doch -wie gewünscht - zunächst auf Windows. |
Sry aber mir wird das hier ein wenig zu müßig. Du postest da wild ein Screenshot nach dem anderen mit mehr als schwammigen Beschreibungen. Wo Windows zB direkt nach der Installation manipuliert sein woll geht da überhaupt nicht raus. Oder du hast irgendwo was aufgeschnappt und schlussfolgerst aus dem falschen Wissen bzw der falschen Annahme irgendwelchen Lötzinn? Eine einfache Googlesuche nach "loopdevice" oder den besagten S-Usern usw hätte dir ein wenig Panik genommen. Rootkit in dxgkrnl.sys und tm.sys? Die Prüfsummen sind i.O. Rootkit, das in eingebildeter versteckter Partition sein soll, gleichzeitig in Windows und Linux läuft? Also ich glaub du siehst vor lauter Hysterie alles mögliche.... |
Zitat:
|
und btw: Zitat:
|
da ich bisher noch nicht daran glaube, dass es hier was zu bereinigen gibt, werd ich mal in den Diskussionsbereich verschieben. |
Die Frage ist nicht ob es etwas du bereinigen gibt, sondern ob das die geeignete Plattform/ hinreichende Kompetenz für diese komplexe Malware ist. Und das ist weniger eine Kritik an das Board als vielmehr an mir, denn ich hätte viel füher AV-Hersteller direkt kontaktieren müssen. Vor mehr als 6 Monaten als die Infektion deutlich wurde, wollte ich - wie viele andere die darüber informiert sind - das Ausmaß auch nicht wahr haben. Heute sehe ich das anders. PS: Ubuntu, das ich heute neu installiert habe fährt jetzt schon nicht mehr hoch und zeigt Fehlermeldungen, trotz Vollverschlüsselung. Bin wieder mit einem LIVE-OS online. |
Bei sowas wie Viren und Trojaner kann man schnell in Paranoia verfallen. Vor einigen Jahren wurde angeblich ein Super-Biosvirus entdeckt, den letzten Beweis blieb man allerdings schuldig: hxxp://www.chip.de/news/BadBIOS-Potentieller-Supervirus-befaellt-alle-Systeme_65235066.html Ich bin ja Linux-Nutzer, vor einigen Jahren verhielt sich mein System auch merkwürdig. Wenn ich ein Programm startete, zeigte System Monitor immer einen Netzwerkverkehr an. Laut Firestarter sendete mein Notebook Pakete über wlan, obwohl mein Laptop per Kabel und DSL-Modem mit dem Internet verbunden war. Denn Ubuntu-Beitrag finde ich leider nicht wieder. Bis heute weiss ich nicht, was da genau vorgefallen war. Mein Modem konnte jedenfalls kein Wlan. Irgendwann bekam ich einen neuen Router, ich setzte das System auch neu auf, und seitdem scheint Ruhe zu sein. Man muss sich halt vor Augen halten, dass man als normaler Nutzer sich vor einem gewissen Prozentsatz an bösartiger Software schützen kann, aber eben nicht vor jeder. Allerdings sind die Typen mit professioneller Software sind sowieso nicht an normale Nutzer wie du und ich interessiert. |
Zitat:
Fakt jedenfalls ist, dass MBAR nix gefunden hat und aswMBR Standardcode im MBR fand. Also nix Bootkit. Und FRST war auch unauffällig. Also zum letzten Mal, poste die genauen Zeilen aus den Logs, die eine Infektion belegen oder ich bin hier raus. Einfach nur behaupten und sich einreden da sei ne Infektion, weil ja alles was man nicht kennt durch einen Virus kommt, ist nur eine Behauptung, kein Beleg. Zitat:
Was genau soll vor sechs Monaten Passiert sein? Erläuterung fehlt Fehlermeldungen - ja welche denn genau? Weil man deren Ursache nicht kennt ist alles ein Virus oder wie? Was hat eine Vollverschlüsselung mit Schädlingen zu tun? Genau, ziemlich wenig, wenn das System gestartet ist, sind die cryptodevices gemountet und man sieht sie normal als wenn sie unverschlüsselt seien |
Jungs, das Thema ist doch in ein paar Sekunden vom Tisch. Spinnen wir mal etwas rum, und bleiben bei der Theorie: Wenn dieses Bootkit es jemals, jemals, aus dem Labor raus geschafft haben sollte (falls es existiert, auch hier fehlen schlussendlich Fakten) und dann auch noch anstatt große Firmen und Finanzinstitute einen stinknormalen, langweiligen Normalbürger infiziert (nix gegen Dich @TO, aber so Dinger findet ein Normaluser nie im Netz), und sogar schon Festplatten getauscht wurden, ist eine "Bereinigung" nicht möglich. Also ist das Thema schon beendet. Wenn selbst ne neue HDD und alle Tools dieser Welt nix können, bleiben nur 2 Schlussfolgerungen: 1) da war nie was 2) da geht nie was, in Sachen "Bereinigung" fertig. |
Evtl. wäre es sinnvoll wenn ihr interne mal darüber diskutiert, wie hier mit Usern die Hilfe suchen umgegangen wird und ob das angemessen ist. Ich habe mich hier aus meiner Sicht angemeldet um Hilfe zu erhalten und so viel wie möglich Informationen zu liefern, damit das Problem analysiert und evtl. behoben werden kann. Dazu habe ich meine Sicht der Ding zur Infektion ergänzt. Ergbnis: Ich erhalte Beiträge im Wortschatzbereich der Fäkalsprache und werde - so kommt es bei mir an - als Spinner hingestellt, der Aufmerksamkeit sucht. Und dass von den Verantwortlichen hier.. Angemessener wäre z.B. sicher Folgendes Fazit gewesen: "Also anhand der Logs und bisherigen Infos ist nicht anzunehmen, das du infiziert bist, evtl. solltest du das zur Sicherheit nochmal bei XY abklären. Du dafst einige Funde einzelner Tools nicht überinterpretieren" Das wäre vollkommen okay für mich gewesen. Zudem solltest ihr auch dringend klären, wo die Grenzen eurer Hilfe sind. Es kann nicht sein, dass sich User, die hier Hilfe suchen, sich beleidigt fühlen, weil ihr an eurer Kompetenzgrenze angekommen seid oder etwas für unmöglich haltet. |
Zitat:
Hinsichtlich der Kompetenzen sei Dir gesagt, dass wir eng mit AV-Herstellern zusammenarbeiten. Ich habe den Thread nur kurz überflogen - aber Du postest wild und unaufgefordert irgendwelches Zeug. Poste doch mal ein Log von TDSS-Killer. (Scan mit allen Parametern) So wie Schrauber schon sagt, ist es äußerst unwahrscheinlich mit solcher Malware in Kontakt zu kommen. Und zusätzlich ist sie für Win 8 oder 10 auch nicht konzipiert (Secure Boot). |
Zitat:
|
@dennissteins: sagma, ganz ehrlich :D bist du auch als Lazarus Long im Heiseforum bekannt? => Rootkit löschen?!? | Forum - heise online Anfang/MItte Februar 2016 hast du auch was ins Kundenforum von HP gepostet => Bios-Rootkit auf meinem HP280 G1 MT - HP Kundenforum - 394037 Und da hast du ja erwähnt, dass man dich woanders schon als einen "Spinner" bezeichnete... :dummguck: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board