Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert
 

Hallo,


wir sind seid mehreren Mobaten mit dem oben genannten Bootkit infiziert.
Betroffen sind 2 Laptops,1 Desktop Rechner iund ein Surface.
Die Malware infiziert sowohl Linux als auch Windows.
Formatierung der Festplatte und Neuinstallation hilft nicht, selbst nach Festplattenaustausch
(durch eine werksneue) ist die Malware noch da. Alle nisheigen Antiroozkit-Tools und Rescure-Disk können das Bootkit nicht entfernen.

Die versteckten Partition kann ich unter Linux mit einigen Tools sichtbar machen, z.b enthält die "Boot:X " einen Ordner "PseudoWindows", löschen lassen sich die "loop"Volumes nicht.

Alle Logs, Screens die ich habe,hänge ich in kürze an.
Die Links unten folgen auch gleich.



PS: Da ich schon in anderen Foren als "Spinner" und ähliches beschimpft wurde, bitte
mit den Links unten und dem Thema "Rootkit in der Hardware" beschäftigen, bevor Stichwörter wie "unmöglich" und ähnliches fallen.

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

gmer log
 

Dann gehts los:

Gmer Teil I

Den Rest des GMMER-Logs füge ich als Text-Datei an, sonst habe ich 50 Beiträge mehr.

Link zum Rest des Logs
https://drive.google.com/open?id=0Bx1u3DoFeTwiNFNodkRBWE1BbDA

Wo soll ich die TXT alternativ hochladen, wenn die Logs zu lang sind?

FRST


FRST Logfile:
--- --- ---


FRST ADDITIONAL

FRST Additions Logfile:
--- --- ---

Bevor es hier weiter geht:

Folgende Antirootkit-Tools habe ich schon X-mal durchklaufen lassen, Sie finden etweder nichts oder das Rootkit bricht den Start sofort ab:

-Antirootkit Tool von Kaspersky TTSS
-Antirootkit Tool Antimalwarebytes und der "normale" Malewarescanner
-Antirootkit Tool von McAffe
-Antirootkit Tool von Bitdefender
-Antirootkit Tool von Sysinternals
-Antirootkit Too von TrendMirco

Außderdem finden fast alle Security-Suiten und AV-Software nichts, die
man als durchschnittsbürger bekommen kann.

Habe fast alles durch, auch schon AV-Rescure Disks und die Antirootkit-Tools nur von CD gestartet.

Ich schlage deshalb vor, das ich erstmal die logs der letzten Wochen poste, die etwas gefunden haben. Anschließend kann ich gerne alle nachreichen, wo noch Bedarf ist bzw. was helfen könnte.

Grundsätzlich zu der Logs:
Das Rootkit debuggt AV-Software und Browser, enweder mit Scripten, VB, Hooks oder der Angreifer selbst mit PowerShell. Die sind quasi zu vernachlässigen. Das ganze Betriebssystem hat ja auch nicht mehr viel mit dem Original Windows10 zu tun. Siehe z.B. Gmer-Log

aswMBR - auch nochmal frisch von heute

Weitere Logs folgen später! Hier einige Links zum Bootkit:

Links zuM Bootkit:
https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html

hxxp://www.golem.de/news/nemesis-bootkit-neue-malware-befaellt-finanzinstitute-1512-117906.html

Und wo genau meinst du jetzt eine Bootkit Infektion zu sehen?

Dann mach ich mal munter weiter (bitte auch den Links zu den gesamten Logs folgen)

Chtchme-Antirrotkit (Vor Sart abgebrochen)
GMER, die zweite (das ist nur das erste Drittel des Logs)

GMER (Mittlerer Teil):

Und jetzt bitte einmal die letzten beiden Registry-Einträge mit diesem Artikel vergleichen https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html

Kannst du mal bitte etwas deutlicher werden?? Wo genau steht in deinen Logs etwas, was genau auf dieses Bootkit hinweist, deiner Meinung nach?

Die anderen Logs über dein Google Drive kann ich nicht sehen (Fehlercode: sec_error_unknown_issuer) also stell sie bitte hier anders zur Verfügung.

Screenshots direkt hier rein, wir haben hier extra IMG-Tags und die restlichen Log-Textfiles direkt in CODE-Tags posten.

Bitte zeig mir jetzt genau die Stelle, die dein Bootkit entlarvt anstatt hier einfach weitere Logs reinzuknallen, nach denen ich nicht gefragt habe.

Ja, gerne, dann dazu als erstes:
GMER log ,erster von oben, hier jetzt komplett ohne Link:

GMER I TEIL-2

]

GMER 1 TEIL 3


TEIL 4

TEIL 5

Poste keine UNIX/Linux Logs mehr. Von Windows nur von dem einen betroffenen Windows-System.

Da bitte MBAR laufen lassen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

TEIL 6

TEIL 7

TEIL 8

Deine Linux-Logs hab ich ausgelagert => http://www.trojaner-board.de/176707-...lware-vbr.html

Was ist jetzt mit MBAR??!

Zum GMER-log fehlen noch mindestens 10 Teile, aber dann breche ich den mal ab...

Ubuntu ist auch vom Bootkit betroffen, wie alle Linuxsysteme, die ich bisher probiert habe. Nur der Zugriff des Clienten läuft über SSH und Samba, auch wenn ich die dazugehörigen Dienste stoppe und Programme deinstalliere.

MBRR findet nichts, auch wenn ich den von CD mit Schreibschutz laufen lasse, aber kann ich trotzdem nochmal laufen lassen. Etwas Geduld muss Win10 wieder mal neu installieren...

Hier kurz ein etwas älterer:

Und weil der aussagekräftig ist noch ein etwas älterer RougeKIller

Aber aktueller AntimalwarebytesAR kommt auch noch.

Wenn du das schon immer wieder erwähnst dann schreib auch bitte endlich mal woran du das im Log festmachst. Ubuntu zu infizieren ist mehr als schon ein Kunststück es sei denn man scheißt auf alle default Sicherheitsmaßnahmen die bei so einer typischen Linux-Distro umgesetzt werden. Deswegen glaub ich an ein Bootkit so nicht.

Aber das ist doch völlig egal, welches OS du installiert hast, das Rootkit hat - quasi wie im Netzwerk- eine oder mehrere verstecke Partitionen direkt "neben" dir und kann alles beliebig manipulieren. Da hilft auch die Verschlüsselung nichts, wenn du mit dem System hochgefahren bist.

Bei mir in Ubuntu werden die Packetlisten manipuliert und sie sie auch schon direkt nach Installation des OS, wenn ich nur einen download starte, dann habe ich automatisch manipulierte Packete installliert....wenn ich keine Packete installierte, werden irgednwann welche versteckt installiert. Und das sind nur Zugangswege des Rootkit, die mir bekannt sind....

Hier auch nochmal eine kleine Gallerie:

Rootkit nimmt Kaspersy auseinander, Hooks

https://imageshack.com/i/plH73ZWZp

So oder ähnlich ist es mit fast alles Anti-Rootkit Tools
https://imageshack.com/i/pnwIDn4Bp

https://imageshack.com/i/plquSB0fj

https://imageshack.com/i/pnqFPbhUp

https://imageshack.com/i/pmclX1txj

Wenn man sich gegen die Malware wehrt, passiert bei den Security Suiten das:
https://imageshack.com/i/poe5pGywp
Windows 10: Ein paar Minuten nach der Neuinstallation:
Das Rootkit hat schon alles vorbereitet, Win total maipuliert:

https://imageshack.com/i/plZKBi0fp

https://imageshack.com/i/poBZCsNGp

https://imageshack.com/i/poybuz6vp

https://imageshack.com/i/pnTxTu5dp


Ein weiterer Zugriff ging über eine VOIP-Schwachstelle in der FritzBox,
wir hatten nie Telefone eingerichtet, schongar nicht mit Rufumleitung

https://imageshack.com/i/pmsY0RPWp

Meines Erachtens müssen dies die verstecketen Volumes sein (loop),
das Bild zeigt nämlich die Volumes auf der Festplatte; aber es dürfte gar keine geben, weil ich vorher
alle Partitionen mit DBAN gelöscht habe.

https://imageshack.com/i/pnK3lx4bj

@cosinus
Ich denke, ich habe auch für Ubuntu ausreichend Belege für eine Infektion, aber konzentrieren wir uns doch -wie gewünscht - zunächst auf Windows.

Sry aber mir wird das hier ein wenig zu müßig. Du postest da wild ein Screenshot nach dem anderen mit mehr als schwammigen Beschreibungen. Wo Windows zB direkt nach der Installation manipuliert sein woll geht da überhaupt nicht raus. Oder du hast irgendwo was aufgeschnappt und schlussfolgerst aus dem falschen Wissen bzw der falschen Annahme irgendwelchen Lötzinn?

Eine einfache Googlesuche nach "loopdevice" oder den besagten S-Usern usw hätte dir ein wenig Panik genommen. Rootkit in dxgkrnl.sys und tm.sys? Die Prüfsummen sind i.O.

Rootkit, das in eingebildeter versteckter Partition sein soll, gleichzeitig in Windows und Linux läuft? Also ich glaub du siehst vor lauter Hysterie alles mögliche....

Wenn du meinst du hast die dann BITTE ausführlich und DEUTLICH und KLAR zusammengefasst in dem Thread im Linuxbereich posten.

und btw:

default code. nix bootkit. Auf GMER kannst du im Übrigen auf W8 und W10 nix mehr geben.

da ich bisher noch nicht daran glaube, dass es hier was zu bereinigen gibt, werd ich mal in den Diskussionsbereich verschieben.

Die Frage ist nicht ob es etwas du bereinigen gibt, sondern ob das die geeignete Plattform/ hinreichende Kompetenz für diese komplexe Malware ist. Und das ist weniger eine Kritik an das Board als vielmehr an mir, denn ich hätte viel füher AV-Hersteller direkt kontaktieren müssen.

Vor mehr als 6 Monaten als die Infektion deutlich wurde, wollte ich - wie viele andere die darüber informiert sind - das Ausmaß auch nicht wahr haben. Heute sehe ich das anders.

PS: Ubuntu, das ich heute neu installiert habe fährt jetzt schon nicht mehr hoch und zeigt Fehlermeldungen, trotz Vollverschlüsselung. Bin wieder mit einem LIVE-OS online.

Bei sowas wie Viren und Trojaner kann man schnell in Paranoia verfallen. Vor einigen Jahren wurde angeblich ein Super-Biosvirus entdeckt, den letzten Beweis blieb man allerdings schuldig:

hxxp://www.chip.de/news/BadBIOS-Potentieller-Supervirus-befaellt-alle-Systeme_65235066.html

Ich bin ja Linux-Nutzer, vor einigen Jahren verhielt sich mein System auch merkwürdig. Wenn ich ein Programm startete, zeigte System Monitor immer einen Netzwerkverkehr an. Laut Firestarter sendete mein Notebook Pakete über wlan, obwohl mein Laptop per Kabel und DSL-Modem mit dem Internet verbunden war. Denn Ubuntu-Beitrag finde ich leider nicht wieder. Bis heute weiss ich nicht, was da genau vorgefallen war. Mein Modem konnte jedenfalls kein Wlan. Irgendwann bekam ich einen neuen Router, ich setzte das System auch neu auf, und seitdem scheint Ruhe zu sein.

Man muss sich halt vor Augen halten, dass man als normaler Nutzer sich vor einem gewissen Prozentsatz an bösartiger Software schützen kann, aber eben nicht vor jeder. Allerdings sind die Typen mit professioneller Software sind sowieso nicht an normale Nutzer wie du und ich interessiert.

Du haust da wieder einfach ne Behauptung einer "Supermalware" raus, weil dein Linux und Windows "herumspinnt" (was auch immer das genau heißen soll). Und weil GMER irgendeinen Blödsinn angezeigt. Kommentar dazu gab es. Es ist auch nicht verwunderlich, dass Anti-Rootkit-Tools gerade über Einträge von Kaspersky oder anderen AVs stolpern.

Fakt jedenfalls ist, dass MBAR nix gefunden hat und aswMBR Standardcode im MBR fand. Also nix Bootkit. Und FRST war auch unauffällig.

Also zum letzten Mal, poste die genauen Zeilen aus den Logs, die eine Infektion belegen oder ich bin hier raus. Einfach nur behaupten und sich einreden da sei ne Infektion, weil ja alles was man nicht kennt durch einen Virus kommt, ist nur eine Behauptung, kein Beleg.


Das ist doch total schwammiger Dünnschiss...

Was genau soll vor sechs Monaten Passiert sein? Erläuterung fehlt
Fehlermeldungen - ja welche denn genau? Weil man deren Ursache nicht kennt ist alles ein Virus oder wie?
Was hat eine Vollverschlüsselung mit Schädlingen zu tun? Genau, ziemlich wenig, wenn das System gestartet ist, sind die cryptodevices gemountet und man sieht sie normal als wenn sie unverschlüsselt seien

Jungs, das Thema ist doch in ein paar Sekunden vom Tisch.

Spinnen wir mal etwas rum, und bleiben bei der Theorie:

Wenn dieses Bootkit es jemals, jemals, aus dem Labor raus geschafft haben sollte (falls es existiert, auch hier fehlen schlussendlich Fakten) und dann auch noch anstatt große Firmen und Finanzinstitute einen stinknormalen, langweiligen Normalbürger infiziert (nix gegen Dich @TO, aber so Dinger findet ein Normaluser nie im Netz), und sogar schon Festplatten getauscht wurden, ist eine "Bereinigung" nicht möglich.

Also ist das Thema schon beendet. Wenn selbst ne neue HDD und alle Tools dieser Welt nix können, bleiben nur 2 Schlussfolgerungen:

1) da war nie was
2) da geht nie was, in Sachen "Bereinigung"

fertig.

Evtl. wäre es sinnvoll wenn ihr interne mal darüber diskutiert, wie hier mit Usern die Hilfe suchen umgegangen wird und ob das angemessen ist.
Ich habe mich hier aus meiner Sicht angemeldet um Hilfe zu erhalten und so viel wie möglich Informationen zu liefern, damit das Problem analysiert und evtl. behoben werden kann. Dazu habe ich meine Sicht der Ding zur Infektion ergänzt.

Ergbnis: Ich erhalte Beiträge im Wortschatzbereich der Fäkalsprache und werde - so kommt es bei mir an - als Spinner hingestellt, der Aufmerksamkeit sucht. Und dass von den Verantwortlichen hier..

Angemessener wäre z.B. sicher Folgendes Fazit gewesen:

"Also anhand der Logs und bisherigen Infos ist nicht anzunehmen, das du infiziert bist, evtl. solltest du das zur Sicherheit nochmal bei XY abklären. Du dafst einige Funde einzelner Tools nicht überinterpretieren"
Das wäre vollkommen okay für mich gewesen.

Zudem solltest ihr auch dringend klären, wo die Grenzen eurer Hilfe sind. Es kann nicht sein, dass sich User, die hier Hilfe suchen, sich beleidigt fühlen, weil ihr an eurer Kompetenzgrenze angekommen seid oder etwas für unmöglich haltet.

Ob das angemessen ist oder nicht, kann jeder im Thread hier nachlesen. Es scheint, dass die User ganz zufrieden sind mit unserer Arbeit.

Hinsichtlich der Kompetenzen sei Dir gesagt, dass wir eng mit AV-Herstellern zusammenarbeiten.
Ich habe den Thread nur kurz überflogen - aber Du postest wild und unaufgefordert irgendwelches Zeug.

Poste doch mal ein Log von TDSS-Killer. (Scan mit allen Parametern)

So wie Schrauber schon sagt, ist es äußerst unwahrscheinlich mit solcher Malware in Kontakt zu kommen. Und zusätzlich ist sie für Win 8 oder 10 auch nicht konzipiert (Secure Boot).

Wie deeprybka auch schon bemerkt: du postest wild irgendwelche Screenshots, die null Informationen hinsichtlich deines "Problems" bringen. Antworten auf meine Fragen, die uns viel eher hier weiterbringen können, postest du einfach nicht. Stattdessen erklärst du einfach, wir hätten eine Kompetenzgrenze. Wenn du hier nach mehrfach wiederholten Aufforderungen einfach nicht mitarbeiten willst, solltest du dir vllt mal besser überlegen warum meine Postings so verfasst sind...

@dennissteins: sagma, ganz ehrlich :D bist du auch als Lazarus Long im Heiseforum bekannt? => Rootkit löschen?!? | Forum - heise online

Anfang/MItte Februar 2016 hast du auch was ins Kundenforum von HP gepostet => Bios-Rootkit auf meinem HP280 G1 MT - HP Kundenforum - 394037
Und da hast du ja erwähnt, dass man dich woanders schon als einen "Spinner" bezeichnete... :dummguck:

Ich für meinen Teil hab bis jetzt noch jedem geholfen, und das ehrenamtlich, schnell, und freundlich. Ich hab sogar Dinger bereinigt wo mich andere angeschaut haben und sagten "gehts noch? wird nie was".

Aber wie wäre es wenn Du auch mal über die von Dir geposteten Fakten nachdenkst, bevor Du sowas ablässt?

All unsere Tools, all unsere Kompetenzen auf diesem Gebiet, alles was via Forum möglich ist, das alles hat eines gemeinsam:

Es findet auf deiner Festplatte statt!

Diese wurde erneuert. Also bliebt nur irgend ein Chip auf dem Board oder der Graka, oder, da is gar nix ;)

Im Heise-Forum bin ich nicht angemeldet, der Thread im HP-Forum ist von mir.

Mag sein, das die geposteten Logs und Screens unübersichtlich sind und einige meiner Schlussfolgerungen unzureichend belegt sind. Auch sehr wahrscheinlich, dass es nicht Nemesis ist, was ich vor einer Woche noch vermutet hätte.

Aber: Meine Verlobte und ich bilden uns seid ca. 6 Monaten sicher nicht ein, dass wir Abbuchung vom PayPal-Konto nach Osteuropa hatten, ungerechtigte Zugriffe auf Onlinebanking, Bestellungen in diversen OnlineShops wo wir angemeldet waren, Portfreigaben auf der FritzBox, meine externe Festplatte mit beruflichen Daten verschlüsselt wurde und vieles mehr.

Und mit Blick auf die bisherigen von mir geposteten Infos: da lässt sich sicher -rein fachlich - das Ein oder Andere entkräften, aber in der Summe sind das ziemlich viele Zufälle/Ausnahmen.

Wer in Berlin wohnt kann sich gerne bei mir per PM melden und kann gerne vorbeikommen und sich alles ansehen. Das wäre kein Problem.

GDATA findet viele unbekannte Serveranwendungen. Auf Anfrage lässt GDATA das zunächst -bis auf "sehr ungewöhnlich" - unkommentiert und bittet um weitere Logs.
Einige werden jetzt sicher wieder behaupten man kann das Programm auch in die Tonne kloppen (legales registriertes Jahresabo Vollversion) oder GDATA war schon immer buggy.



Dritte Bild von links ist ein anderes Programm. Gucke ich noch nach, welches das war.
Setzte die später noch vergrößert rein, aber "nebenbei" auch noch einen Beruf.

Versucht man als Außenstehender die Sache sachlich anzugehen bleiben für mich zwei Punkte:

1) Eine neue Festplatte ist sauber, da kann nichts drauf sein.

2) Vor kurzem gab es einen Einbruch bei (Ubuntu)Mint mit Manipulation der Distri. So gesehen wäre es vielleicht möglich, daß Dir eine manipulierte Ubuntuversion untergeschoben wurde, wie wahrscheinlich das ist, kann ich nicht beurteilen. Um aber auch diese Möglichkeit auszuschließen solltest Du Dir noch einmal eine Version aus einer sicheren Quelle herunterladen, etwa von hier: Ubuntuuser DE

Auf DVD brennen, anschließend das System plattmachen indem die Festplatte neu formatiert wird, neu partitionieren, und dann das "neue" Ubuntu installieren.

Ersatzweise kannst Du das Ganze ja auch mal statt mit Ubuntu, mit SuSE probieren; jetzt bin ich bei @Cosinus endgültig in Ungnade gefallen. :pfeiff: :zunge: :blabla:
openSUSE

Wenn das Alles nichts bringt, schmeiß den Rechner auf den (Sonder)Müll, und versuch´s mal hiermit: Akkordeonunterricht Berlin - Willkommen :Boogie: :taenzer:

Wenn Du dieser Meinung bist, warum fragst Du hier nach. Trage Deinen Rechner in die Werkstatt Deines Vertrauens:glaskugel:

dennissteins schreibt ja das sowohl Windows als auch Linux Rechner betroffen sind und das er eine Fritzbox verwendet. Vielleicht müsste er da ansetzen und die Fritzbox mal aktualisieren bzw überprüfen auf ein neues Firmware hin zumal die Fritzboxen vor nicht allzu langer Zeit Sicherheitslücken hatten die Angriffe mit Root Rechten zuliessen: http://www.computerbase.de/forum/showthread.php?t=1548786

https://photos-1.dropbox.com/t/2/AAB...&size=1280x960


https://photos-1.dropbox.com/t/2/AAC...size=2048x1536

https://photos-1.dropbox.com/t/2/AAB...size=2048x1536


https://photos-2.dropbox.com/t/2/AAD...size=2048x1536

https://photos-4.dropbox.com/t/2/AAB...size=2048x1536

https://photos-1.dropbox.com/t/2/AAA...&size=1280x960

Das gesamte Netzwerk war bereits bei zwei unterschiedlichen "Experten", die konnten auch nicht weiter helfen.

Neben der Fritzbox mit immer aktuellster Firmware, haben wir schon einen Speedport und einen ZyXel-Hardware-Firewall ausprobiert. Bringt aber nicht, da der Angriff von Innen kommen muss

Und da es sich ja jetzt um einen Diskussionsthread handelt, darf ich sicher weiter wild irgendetwas posten.
Netstat unter Ubuntu

Was haben diese "Experten" denn gesprochen?

Wieviele Personen haben denn Zugriff auf die Geräte?

Solange es nicht gegen die Forenregeln verstößst, kannst du posten, was du willst. Erhoffe dir aber, wenns weitergeht, wie begonnen, nicht allzuviel Teilnahme an der "Diskussion".

letzter Post; dritte Screen von oben ist übrigens "AVZ Antiviral Toolkit".

Zugriff auf die Geräte haben physisch nur meine Verlobte und ich.
Die selbsternannten Experten kann ich dir PM schicken, beide Unternehmen aus Berlin, Privatkundenbereich und über 10 Jahre im Geschäft.
Aber unprofessionell..

Von den sechs Screenshots sehe ich genau einen ;)

Die Frage war nicht, wer die Experten sind, sondern was deren Meinung zu den Problemen war.

Links checke ich gleich nochmal.

Gerade nochmal chkrootkit laufen lassen und den log gekürzt:
-->Packete die ich nicht installiert habe
-->Possible Linux/Ebury
--> SNIFFER

_sTaNlEy_
Das erste Unternehmen hatte nur einen Desktop-PC, das war im Okt/Nov 2015, die fanden "Auffälligkeiten",
und nannten hohe CPU-Auslasung, vor allem durch svchost.exe . Da deren Scanner nichts fand, stuften sie den Rechner als sauber ein.
Als ich den PC abgeholt und abgeschlossen habe, stürtzte der von denen installierte Bitdefender nach 30 Min Online-Zeit permanent ab und Updates schlugen fehl. Gemacht haben die dann auf Rückfrage nichts mehr, es kam nur die Aussage: "Dann müssen Sie einen Verteiler in der Nähe haben".

Das zweite Unternehmen hat nach Absprache 3 Rechner und 2 Mobiltelefone von uns mitgenommen und ich habe alles was als Infektionsquelle in Frage kommen könnte weggeschmissen, z.B. USB-Sticks usw. Alles Systeme wurden überprüft, aber mehr als "Auffälligkeiten" gab es dort auch nicht.
Als der Techniker dann zur Routerkonfiguration und zur Rückbringung der Rechner kam, fiel Ihm der Fremdzugriff auch auf, er wusste dann aber auch nicht weiter: "Mehr können wir da auch nicht machen".

Ergänzung: fehlende Screens von oben

http://fs5.directupload.net/images/160312/4u9mn6h4.jpg

http://fs5.directupload.net/images/160312/itdnoufg.jpg

http://www.directupload.net/file/d/4...3sdily_jpg.htm

AVZ Funde
http://fs5.directupload.net/images/160312/fko2mdy2.jpg

Router IP Freigabe

http://fs5.directupload.net/images/160312/fsrjn5zd.jpg

http://fs5.directupload.net/images/160312/o98q7ktt.jpg

Mal ein paar Gedanken/Theorien zu der Thematik:

Du hattest vor 6 Monaten diverse „Probleme“. U.a. Missbrauch PayPal, Onlinebanking und Onlineshops.

Möglichkeiten, wie es dazu kommen konnte, gibt es viele. Ein kompromittiertes System ist nur eine davon. Treten in diese Richtung noch Probleme auf?

Wahrscheinlich suchst du seit diesen Ereignissen fleißig nach Sicherheitslücken sowie schadhaften Prozessen und bist allem gegenüber sehr skeptisch, was du nicht kennst bzw. vermutest direkt das schlimmste.

Um das Suchen einfacher zu machen, nutzt zu Tools, die evtl. aus zweifelhaften Quellen stammen und fängst dir genau hierbei immer wieder etwas ein. Das kann sein, muss aber nicht sein.

Zweifelsohne hast du aber einfach nicht genug Wissen, um Logfiles und ähnliches sinnvoll auswerten und vor allem bewerten zu können. Als Laie nutzt du weiter irgendwelche Tools und gehst davon aus, dass alles, was bei 3 nicht auf dem Baum ist (und damit als ‚sicher‘ bewertet), bösartig sein muss.

Hast du schon mal recherchiert, welche Qualität die von dir eingesetzten Tools haben bzw. wie man diese zielgerichtet einsetzt?

Eventuell hast du dir nach diversen Neuinstallationen und Festplattentausch wieder und wieder etwas eingefangen. Hier hast du eine gute Plattform (qualitativ wohl die einzige ihrer Art in Deutschland), bei der du Hilfe finden kannst.

Daher meine Empfehlung, wenn du weiterhin davon ausgehst, dass du deinen „Blinden Passagier“ hast: Eröffne für ein System einen Thread im entsprechenden Sub-Forum und mache genau das, was dir mitgeteilt wird. Nur so führt es zu etwas.

Zu dem Screenshot der Fritzbox: Hier findest du Aufrufe, die von der Fritzbox „dokumentiert“ wurden. Das kann dadurch passieren, dass bei deinem Modell ein Filter aktiv ist, der direkte Zugriffe auf IP-Adressen nicht zulässt und dann eben aufzeichnet, damit im Bedarfsfall eine Freigabe erfolgen kann. Eine der beiden IP-Adressen ist von Google. Nachdem nicht erkennbar ist, von wann diese beiden Einträge sind, könnte das natürlich von irgendeiner Schadsoftware sein, die direkt über eine IP-Adresse weitere Dateien (vergeblich) nachladen wollte und daraufhin zur Prüfung einer bestehenden und funktionsfähigen Internetverbindung bspw. einen Ping an die Google-IP ausgelöst hat, was aber ebenfalls nicht funktioniert hat. Oder es war eine ganz normale (nicht bösartige) Anwendung.

Geschrieben hattest du, dass du eine Hardwarefirewall hast. Hast du denn Erfahrung im Umgang mit Firewalls? Falls ja, dann richte sie dir doch mal so ein, dass alles gesperrt ist und jeder Zugriffsversuch nach außen und von außen protokolliert wird. Im Anschluss schaltest du im Netzwerk die Geräte für genau das frei, was tatsächlich benötigt wird.

AVZ
AVZ zweiter Versuch

Später mehr...!

Hmmmm
 

Ich habe schon einiges gesehen und ich habe vor 20 Jahren Malware gesehen, die Faehigkeiten hatte, die heute noch nicht oder kaum in freier Wildbahn auftreten.

Aber das hier klingt schon ein wenig seltsam. Aber gehen wir mal vom Schlimmsten aus.

Fassen wir einmal zusammen, die vermutete Malware befaellt Linux und Windows als Bootkit und soll noch Netzwerkfunktionalitaet bieten. Sowas passt nicht mal schnell so in den Speicher der Tastatur, selbst wenn es maszgeschneidert waere.

Also muesste es verteilt im System stecken und dort auch ansprechbar bleiben. Theoretisch machbar, wenn die genaue Hardware bekannt und die Malware angepasst wurde. Praktisch hiesse das aber, dass jemand mit besonderem Interesse und Zugang am Werke waere.

In dem Fall stimme ich Schrauber zu, wer auch immer das Zeug hat, sich derartigen Zugang zu verschaffen, wird es wieder tun. Eine Behebung auf Dauer waere unwahrscheinlich.
Dann waere eine Infizierung ueber den Festplattencontroller/SSDController am wahrscheinlichsten und bei einer Neulieferung vermutlich schon eingebaut.

Reden wir ueber ein "Bootkit von der Stange", dann muss es irgendwo leben und sich benoetigte Komponenten nachladen. In dem Fall waere die vollstaendige Isolation eines der Geraete plus Festplattentausch ein Anfang. Ohne Netzugriff koennen keine Komponenten geladen werden und in den intern verfuegbaren Speichern ist nicht genug Platz fuer Alles.
Dann sollte die Neuinstallation auch nur von einem Originaldatentraeger erfolgen.

Ein gelegentliches Nachladen von Virusdefinitionen zum Beispiel ueber den Umweg einer auf einem sauberen System gebrannten Live-CD muesste ja dann irgendwann zur Erkennung fuehren.

Aber generell betrachtet ist dieses Forum nicht geeignet fuer derartige Aufgaben, da waere ein Kontakt zu einem oder mehreren AV-Anbietern geeigneter. Speziell Kaspersky bezeugt immer wieder Interesse an ausgefallenen Sachen.

Fuer eine solche Malware muessten mindestens drei Spezialisten zusammenarbeiten um diese zu erstellen. Sehr unwahrscheinlich, dass es zu einer solchen Zusammenarbeit kommt, ohne dass nicht mindestens Einer abgeworben wird. Das Ganze waere auch recht langwierig und von irgend etwas muessen die Coder ja leben in der Zwischenzeit. Ganz zu schweigen von der zum groessten Teil kostenpflichtigen Informationsbeschaffung. Beziehungsweise der Unmoeglichkeit, solche Informationen ueberhaupt zu bekommen.
Pervers: Einer der preiswertesten Wege war und bleibt wohl die Analyse und Wiederverwertung von professionellen Kopierschutzmasznahmen.

Dieser Aufwand wird in aller Regel nur betrieben, wenn es sich direkt lohnt oder jemand dafuer die Rechnung freiwillig bezahlt. Fuer ein paar Kroeten von einem Paypalkonto kriegt man meist noch nicht mal ein einziges Whitepaper mit relevantem Inhalt.

Wenn der Threadersteller da tiefer eintauchen will, wuerde ich empfehlen, einen kleinen Ausflug in die Prozessormodi von x86 bzw besser x64 Prozessoren zu machen. Wenn ein Bootkit sich komplett verstecken will, muss es sich schuetzen. Aber der Schadcode muss deswegen trotzdem lesbar bleiben, es sei denn, der wird bei jedem Start ganz normal im Speicher abgelegt. Dann waere er aber auch bei jedem Start deaktivierbar und das System wuerde bei Updates eventuell(mehr im englischen Wortsinn) instabil. Ja, ein solches Bootkit benoetigt auch noch konstante Pflege und Anpassung.
Die Arbeitsweise eines Hypervisors kommt so einem vermuteten Bootkit in Teilen nahe.

Vielleicht aber ist ja voerst die Installation von EMET in der aktuellen Version schon hilfreich, da diverse Schutzmechanismen ein allzueinfaches Kapern erschwert und EMET neuerdings auch gerne mal mault, wenn tatsaechlich irgendetwas im Busch ist. Ansonsten ist im Normalbetrieb eine einzige AV-Loesung nicht nur ausreichend sondern meist zielfuehrender als ein Wust von DiesUndDas-Blockern die sich gegenseitig checken und auch noch Warnmeldungen ueber den jeweils Anderen bringen.

Was das Netzwerk angeht, da wuerde ich empfehlen, den Verkehr extern zu loggen und auf Auffaelligkeiten zu untersuchen. Viele Malware klinkt sich heutzutage in bestehende Prozesse (wenn moeglich -> EMET) und verschluesselt/verschleiert, so dass eher zeitliche Auffaelligkeiten interessant sind. Oder zum Beispiel IPv6 Verkehr trotz Deaktivierung von IPv6 im Adapter.

Noch einmal zum Punkt, zu einer Analyse wuerde ich die Originalplatte im Safe lagern und mit einer neuen, im Laden gekauften Platte und einer gepressten Original-DVD starten und dann das Betriebssystem auf das allernotwendigste verschlanken und dann mal gucken, was uebrigbleibt und wo Auffaelligkeiten bestehen. Keine Geraete anschliessen, die sich vorher im System befanden.
Eventuell einen Hypervisor installieren und das OS in eine VM. Sollte tatsaechlich ein Bootkit herumlungern, waere zu erwarten, dass es dann zu Komplikationen kommt.
Ausserdem kann man die VM relativ leicht auf Veraenderungen checken bzw zuruecksetzen.

Oder nochmal zu Schraubers Aussage zurueck, ist der benoetigte Aufwand es wert oder kann man mit preiswerten Mitteln (dediziertes Tablet?, ich schwoere nach wie vor auf das Playbook) bestimmte sicherheitsrelevante Aufgaben einfach erledigen? Absolute Sicherheit gibt es nicht und wenn firmenrelevante Daten vermutlich kompromittiert sind, dann ist auch noch die Haftung des Betriebes ein Problem. Dann sollte eine moeglichst strikte Trennung der IT in "Privat" und "Geschaeftlich" stattfinden. Unter anderem auch, weil es dann auch steuerrechtlich klarer definiert ist. Wie ueblich, erst das Konzept.

Oder nochmal ganz kurz, erstmal Nachdenken ueber die Wahrscheinlichkeit einer derartigen Attacke und danach ueber eventuelle Masznahmen (Kosten/Nutzen).

korrekt. Niemals, wirklich niemals, wird eine Privatperson die so ziemlich jeden Mitbürger auf dieser Kugel (außer Familie und Freunde) so ziemlich total egal ist, von so einer Malware befallen.

Viel zu viel Aufwand, eventuell nötiger physischer Zugriff auf das Gerät, und das alles nur um einen Einzelnen zu ärgern.

Never.

Danke für die Antworten, werde noch auf alle eingehen.

Einige Screens, v.a. mit ObjectExplorer und ProcessExlorer sowie uVS v3.87.
Werde die noch zu gegebener Zeit noch einzeln kommentieren.

http://fs5.directupload.net/images/160329/qqebhrwo.png
http://fs5.directupload.net/images/160329/7jf3j9x8.jpg
http://fs5.directupload.net/images/160329/5ah383fd.png
http://fs5.directupload.net/images/160329/xr6rib83.png
http://fs5.directupload.net/images/160329/gdpeualm.png
http://fs5.directupload.net/images/160329/9no5vflc.png
http://fs5.directupload.net/images/160329/b242jewh.png

http://fs5.directupload.net/images/160329/9i3ritzp.png

hmmm
 

Mal abgesehen von der Gefahr, dass durch eine zufaellige Entdeckung die Arbeit von Monaten/Jahren an einer solchen Malware inclusive der notwendigen enthaltenen Zero Day Exploit Sammlung (da Multi-OS) ploetzlich in falsche Haende geriete.

Damit waere eine Verwendung bei besser geschuetzten Zielen unmoeglich bzw. koennte sich dieses Wissen dann noch gegen den Urheber richten.

Das Normalbuerger-Windows hat genuegend potentiell ausnutzbare Luecken um ohne den Einsatz von spezialisierter Software zum Ziel zu kommen bzw. waere die Verwendung von Stock-Software wesentlich effektiver, geeigneter, kostenguenstiger und vor allem kann man hinterher die Hand heben und sagen, dass sich das Opfer dieses ja ueberall geholt haben koennte.

Und ich behaupte mal, dass es mit dem Normalbuerger-Linux auch nicht viel besser bestellt ist. Es braucht schon einen guten Admin um ein System halbwegs wasserdicht zu bekommen. Und ein guter Win-Admin ist nicht automatisch ein guter Linux-Admin und umgekehrt.

Mal abgesehen von der zwanghaften Neigung einiger Vieler, immer den Rechner als Admin nutzen zu muessen und wenn das normale Benutzerkonto noch so komfortabel eingerichtet ist. Sobald der Normalnutzer das Adminpasswort kennt, wird er es zwanghaft benutzen statt mal Rechte fuer Anwendung/Benutzerkonto anzupassen.

Sprich: da ist sehr oft eine erhebliche Sicherheitsluecke am GUI zu finden.

http://fs5.directupload.net/images/160329/ylerdwjf.png

Evtl. ist es schon einigen aufgefallen:
die neuren Scrrens und Logs sind nicht vom infizierten HP-Desktop, sondern vom Surface 3 Pro! Und: Windows 10 nach diskpart und clean immer neu aufgesetzt.

Also diese Aussage kann ich nicht nachvollziehen. Man braucht schon lange kein eingefleischter Linux-Admin mehr zu sein um Linux zu installieren und sicher betreiben zu können. Das ist für jeden Neuling definitiv einfacher als ein Windows abzusichern wo man nach der Installation erstmal 1000 Updates benötigt, ebensowenig gibt es unter Linux die Notwendigkeit sich Software aus irgendeiner ergoogelten Quelle oder so zu ziehen.

und er postet weiter wild Screenshots ohne Funde in Übergröße, dass es jeden Bildschirm sprengt.....

Dann noch die ergänzende Info:

Ich hatte mit mbar bisher nie Funde (seid mehr als 6 Monaten) nicht! Meine Vermutung ist, dass durch die Installation von "Malwarebytes Anti-Exploit" VOR den Download der AV-Tools deren Manipulation verhindert wurde.

Sicherheit
 

Um ehrlich zu sein, halte ich ich die Veroeffentlichung von Benutzerkonten, deren Rechten, IDs, Lokalitaeten etc. bei einem vermuteten Angriff fuer wenig zielfuehrend.

Von dem was ich sehen kann sind die Daten der alten Platte einfach kopiert worden oder aber das Betriebssystem/Registry wurde knallhart ueberschrieben. Damit duerfte auch ein eventuell vorhandener Normalschaedling mitgewandert sein koennen.

Wobei ich mir die Zeit noch nicht genommen habe, diesen Wust mal anzuschauen. Mehr Info fuehrt nicht unbedingt zu mehr Wissen. Im Gegenteil, es ist eine bekannte Abwehrtechnik, den Analysten in einem Haufen von nichtrelevanten Informationen einfach absaufen zu lassen.

Man braucht auch schon lange kein eingefleischter Windows-Admin zu sein um Windows installieren und betreiben zu koennen. Und trotzdem verdient der Durchschnitts-MS-Admin immer noch besser als der Linux-Admin. Das koennte daran liegen, dass er trotzdem noch gebraucht wird fuer Irgendetwas.

Kannst du jetzt deine Behauptung untermauern oder nicht?

Du hast einfach nur reingesülzt, dass es beim "Normalbürger-Linux" (was auch immer du darunter genau verstehst) nicht besser aussieht als unter Windows. Und das ist so einfach totaler Unfug. Was ein Admin hier oder da verdient hat mit der Untermauerung deiner Behauptung auch rein garnix zu tun.

Also für die AV-Nachwuchs-Jäger ist mbar doch die ultima ratio /nonplus-ultra, und der Logs von mir zeigt mehrer Funde, oder bilde ich mir das jetzt wieder ein?
Oder interpretiere ich den Log falsch oder ist das ein Fehler vom Tool, weil es ja Windows-Datein sind und die ja - nach meinung vieler hier - nicht manipuliert werden können?

Und die Sceens von mehreren unbekannten Benutzers sind auch ganz normal und bei jedem System zu finden?

Zudem ist mir der Argumentationsgang nicht nach verständlich: Einerseits ist eine solcher Angriff möglich (aber nicht bei uns, weil wir Privatpersonen sind), andererseits soll /muss ich hier eindeutige Infektionsvektoren oder infizierte Datein aufzeigen, obwohl jedem klar ist, was das Hauptziel eines Rootkits/Bootskits ist.

Nochmal zur Klarstellung:
Ich poste hier so viel - und auch teilweise ist definitiv auch unnützes Zeug- weil die Malware nicht direkt zu identifizieren ist! Jediglich die Summe der "Auffälligkeiten" lässt eine Infektion vermuten/nachweisen.Zudem verfügt die Malware über Abwehrmechnismen um nicht erkannt zu werden, z.B. spamt die Malware die Festplatte mit "harmloser" Malware zu, wenn mal ein AR-Tool starten und der Scan läuft...