Hardcore Trojaner oder dauer Pwn? :pukeface:
 

Schönen guten Abend zusammen,
Also ich hab hier n echt komisches Ding am laufen.
Ich versuche seit Tagen meinen PC und meine Laptop zum laufen zu bekommen.
Aber seit Taaaagen jetzt nur Kacke hier..

Ich habe alles versucht glaubt es mir. Ich habe vor kurzem angefangen mich ein wenig für Hintergrund Wissen in Sachen Netzwerk Sicherheit zu interessieren und da ich n Laptop habe hab ich mir dann mal ein paar Sachen bei YouTube angeschaut wie die da hacken und ich dachte so lerne ich doch bestimmt schnell gutes wissen.
Ja hin gesetzt und einfach mal nach arp spoofing ip hacking und sowas gesucht weil halt in der Vergangenheit oft komische Sachen am PC damals noch ESET gemeldet wurden, unteranderem halt auch ARP Poisoning z.B. Ich danach gesucht mir das angesehen und dadurch dann auf ein tut gestoßen um sein Netz aktiv und Live angezeigt über die Bash zu überwachen. Irgendwann wahr es auch so weit, es meldete sich jemand über gwlogin ein, und ab da gings dann los und ich habe das Live in der Bash und mit meinen Augen verfolgen können.
Ich habe nach und nach ständig immer mehr Rechte verloren.
Konnte nicht mehr in bestimmte Ordner. In die die vorher nicht da waren konnte ich auch nicht rein... Kahm direkt Freude auf, dachte ja nicht das es so abgehen wird.
Laptop völlig überladen und krüppelte nur noch so da rum.

Najaa ich bin ehrlich, ich habe früher auch mal was runtergeladen undso aber ich habe mir jetzt vor nem guten Jahr auch Windows 7 Prof x64 gekauft und zwar als OEM Version.
Jetzt ist aber bis gestern niemals der Fall gewesen das ich Daten und Memory Analyse gemacht habe (was übrigens auch dann gerade mit mehrmaligen formatieren dazwischen verbunden war).
Habe erst die Kali, dann Kubuntu ISO wie halt früher auch bootbar auf meinen stick geschrieben (was komischer weise dann zum Schluss nurnoch über Linux Mint möglich war einen Bootbaren Stick zu erstellen. Den eine davon habe ich jetzt 2 Jahre.

Also zurück...
Habe dann auch wirklich mehrere User gefunden in meinem System. Habe die Netzlaufwerke dann auch mal entdeckt und gemerkt wie schnell das dieses mal jetzt ging. Da habe ich angefangen genauer zu suchen.
Ja mit Anleitungen für Bash Commandos, habe ich auch noch mehr beweise gefunden auch in dem BashShadow.. Reverse gesucht z.B.
Nun wollte ich ja umsteigen auf Linux und dachte mir Whatsuuup... ist das jetzt Zufall hier??
Noch n paar mal probiert aber immer fast im selben Zeitraum die gleichen Faxxen und ich dann mal wirklich wie ich es auch sonst mit meinen Sticks mache bei einer Neuinstallation. Den Boottable dann MBR genullt mit mbrtools von der "UBCD". Spur Null natürlich auch. Mbrtool... Top Ding..:daumenhoc
Ja also da konnte ja nichts mehr sein da ich das vom PC über die "UBCD" gemacht habe.
Ist Standard da bin ich eigen und sehr genau.

Habe dann Windows 7 Prof x64 OEM auf dem PC und auf dem Laptop Linux Mint wegen der Fähigkeit eine bootbaren Stick zu erstellen, da muss man nicht erst ins Netz downloaden, ist direkt dabei und funktioniert auch, installiert...
Ich hatte natürlich keinen LAN Stecker drin. Bluetooth und WLAN nicht Onboard und keinen WLAN oder BT Adapter...
Nach dem Neustart des PC's nach Neuinstallation...
Ihr glaubt es nicht.
Ich habe schon wieder verdächtig Aktionen gefunden. Direkt nach dem aufsetzten, aber wie bloß? Komischerweise ohne irgendeine Verbindung... Sofort kritische System Meldungen in der Verwaltung.
Habe gebootet und habe mir vor dem reboot das Dateisystem von Windows mal, das allererste mal leider n paar Stunden lang gaaanz genau angeschaut auch von den rechten her.
Da war alles gut. Überflüssige User gelöscht und dienste beendet und all das. Aber nachdem Boot nicht mehr!!

Sofort neue Ordner die ich nicht öffnen kann. Neue Gruppe "Administratoren". Hatte ich aber gelöscht. Ich bin Admin von meinem PC habe das auch so eingestellt, und will auch ma wieder weiter Administrieren können. Dachte ich....
Und da war mir alles klar was ablief...

Und es sind Ordner im System die von 2009 sind.. neben denen die ganz normal auf Installationstag gestampt wurden.
Und jetzt platzt mir hier echt gleich was... Ich will wissen was ihr dazu sagt das auf der OEM DVD unterschiedliche Timestamps verzeichnet sind. Wie kann das sein?
Kann da einer mir vllt. Die DVD kopiert haben mit Virus drin (seit kurzem muss ich den Key telefonisch aktivieren, scheint ohl eine der gefälschten Windows 7 Versionen zu sein) und mein Netz hier seit geraumer zeit korrumpiert?
Weil:

Erster Ereignisseintrag für das System ist folgender:
Information, heutiges Datum 13uhr, Eventlog, ID 6011, der NerBIOS Name (hatte meine Onboard LAN Adapter mal aus gestellt -.-) und der DNS-Hostname dieses Computers wurde von... in WIN-HQR4VDblabla geändert. (Ganz anderer Name) Danach noch zwei Eventlog Einträge von dem vor meinen eigenen und plötzlich eine ganze Reihe von Service Control Meldungen... Interessant fand ich das jetzt der Eventlog für Software Shadow auf stop steht. Und da steht auch das wäre am 11.2010 gewesen...
Ehh Halloo was geht denn da?!? Und es befinden sich haufenweise Änderungen von nem: userpnp dazwischen auch ein http event 10 minuten später über IPv6 die ich ja nichtmals einrichten konnte da LAN aus gewesen ist im BIOS!!!!!!!!!!!!

Naja bei der Ühungsrubrick vom Eventlog sind ca. 50 Events von nem anderen user eingetragen bevor dann erst meine kommen die eig.als erstes da zu stehen haben,verdächtigem verhalten..
Wlche ZBlauten es wurde ein Konto angemeldet, ID NULL SID anmelde ID 0x0 system nt-autorität usw.

Ich habe jetzt das Problem das da was ist. Aber ich brauche da spezielle Hilfe fürchte ich. Ich habe den Rechner zwar grad aus gemacht als ich Kippen holen wahr aber das zerstört keine Logs und wenn da was ist bleibt es auch da weil ich sehe keine steckendes LAN Kabel undso wie gesagt.. also wie kann ich das jetzt ganz genau herausfinden was da wann wie womit wodurch passiert ist. All zu viel ja nooch nicht zum Glück. aber genug um was dran zu machen und zu erfahren was oder wer das auslöst. Formatieren hilft ja nichts.
Habt ihr ein paar seiten wo ich mich informieren kann.
Ich kenne google aber hoffe einfach das ihr mir direkter helfen könnt mit ein paar links zu brauchbaren Windowscmd forensik tuts. Cain war am Laptop mit 150.000er Leitung in ca 30min fertig und dann war die ISO nicht mountbar... Schei*** rechte wieser. Jetzt stehen beide Rechner hier offline rum aber mein Handy geht ja ... noch ... das ist auch das einzigste was noch halbwegs Eigenleben besitzt.. Hatte gestern aber auch schon so komische zeitreisen in die Vergangenheit!!
Whatsapp hat mir das verklickert. Wollte nicht verbinden ständig... und akku derbe warm vom rumliefen lol..
Seither auch besser kein WLAN mehr am Handy. Werde sonst entweder bebombt weil einer das so macht oder weil mein Rechner das so anfordert. Ich will einfach Hilfe dabei das geht ja nun jetzt wirklich Jahre schon so sporadisch mal weniger mal öfters musste ich formatieren. Kommt mir manchmal vor alsob jemand das macht so ausgerechnet so mega oft... ca 30mal Formatiert. Paar mal levelNull.. -.- Das dauuert und nervt! Ach und Neulich war auch schon meine horizonbox kaputt. Komischerweise ne...
achjaaa und ich habe mit ein paar linuxtools vor 2-3Tagen ne Zeitlang meinem Router irgendwie mit nem befehlskombo überwacht wer sich mit welcjem protokoll an welchen port einloggt wie gesagt.. zwar abgeschrieben aber egal hats gebracht und es hat sich in der zeit jemand angemeldet über das web Interface. Hatte es geloggt.. Hatte..
Naja der hat das dann wohl auch recht flott mitbekommen... halbe Stund oderso später ging nichts mer. Alle beweise davon leiiider weg. Ip war auch dabei. Dachte merkt der nicht und ich kann an seinem Verhalten was lernen. Ja scheisse auch!
Ja und da bin ich jetzt zur zeit mehr dabei als ich eig. wollte.
Wollte ursprünglich nur n bischen bash lernen eben wegen den ständigen vorkommen und den Möglichkeiten von Linux. Und jetzt muss ich hier richtig mich mit Sachen beschädtigen die ich so tiefgründig noch nicht kenne. Alles zu viel neues aber ich merke es geht voran aber dafür reichts halt nicht. Habe von der windowsshell nicht viel ahnung. Früher bischen DOS das sind meine Kenntnisse.. leider..
aber ich hab keinen plan mehr.
Gibts nicht ne gute Anleitung oder kann mich nicht jemand hier von euch sozusagen fern administrieren hier über das forum???
Ich wäre über Hilfe wirklich dankbar und hoffe mal das hier jemand helfen kann..
Kann man eig. auch Viren in den GraKa RAM, Netzwerk Cntroller oder in den SSD Cortex schreiben? Gibt ja mittlerweile schon sicher besseres als n BIOS Virus oder BootSector Virus. Das is ja nichts mer heute oder sehe ich das falsch?

Ich hab mein Frontpanelkabel vorhin schon durch geschnitten in nem Minimierungsflash so zur Fehlerminimierung..!
Könnte echt ausrasten so langsam...

Hilfe.. Bitte...
Grüße slow

So das wahr der damalige Stand der Sache, mittlerweile haben sich neue Dinge ergeben.
Windows 7 ist wieder drauf, nur zu Info aber schonwieder halbwegs unbrauchbar geworden..
Das gleiche spiel..
Habe auch mehrere andere Sachen gefunden: Virtual Mashine als nicht aktivem user im gmail Konto verzeichnet, also hat sich ohl mal angemeldet, und noch ein Handy das ich
nicht kenne, mit IMEI dabei :)))

VM:
Modellname: virtual machine
Hersteller: GreatFruitOmsk
Mobilfunkanbieter: No carrier
Letzte Aktivität am: 17.08.2014

Habe mit nem BIOS Editor mal mein BIOS angesehen, es sieht sehr komisch aus, kenne mich damit aber nicht gut aus.
BIOS downgrade nicht möglich da höchste Version -.-

Mitbekommen man MUSS SSD's bei virenbefall jeglicher Art dem Sicherheitslöschbefehl des ATA Controllers benutzen, hatte ich nie gemacht zuvor, naja so lernt man...
Aber trotzdem ist es noch sooo! Ich habe jetzt sogar noch alles was RAM besitzt mehrere Stunden vom Mainboard entfernt zur Löschung der Speichers, falls da noch was drin wahr...

Hat auch gut funktioniert, 3 Stunden dann ging die Scheisse wieder von vorne los..
Mag wohl auch an den sicherheitseinstellungen in den Gruppenrichtlinien zu liegen das irgendwelche Ports oder hintertüren angesprochen werden können, oder aber es sitzt wirklich irgendwo in irgendeiner Firmware von LAN Controller oder halt im BIOS oder alles zusammen (badBIOS) <--- Was ist damit? Wurde der eig. bestätigt... Habe erst vorgestern die Artikel von 2013 vo Drago oder Dragan gelesen... is ja heftig!!!
Gestern nacht, ich gehe pennen springt meine Horizon Box, also der Kühler was hies sie war aktiv die Nacht, war sie auch, steht im Log, aber ko0mischerweise soll ich das gewesen sein, mein PC wahr aber mit dem netzschalter aus, mache ich halt so! Kann also garnicht sein, IP's habe ich getraced, aber meine hat gestern wohl wer anders benutzt, und jetzt reicht mir ich hab die Fresse voll.

Ichlass jetzt nochmal alles durchlaufen, und dann lade ich die Logs hoch.
Ich hoffe ihr findet etwas, also Bitdefender hat tgerade schon ein paar Infizierte Cookies rausgehämmert...

Es wird Interessant :)

Sorry, viel zu viel unübersichtlicher Text.

Was ich bis jezt rauslesen und verstehen konnte:

Du hast formatiert und neuaufgesetzt. Daraus ergibt soch folgende Schlussfolgerung: Dein System ist sauber. Formatieren überlebt nix. BIOS Viren gibt es in the wild nicht.

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Woher hast du die Win7 Scheibe?

Oh Hi Schrauber, danke für die Antwort, ja ich weiß das ist wirklich viel text aber vielleicht hilft es ja weiter... Habs so ausfühlich wie möglich beschrieben.
Die GMER Logfile kommt jetzt.

Moment, ich schaue kurz in dem Beleg nach.

AOT-Software.de hieß der Laden.

Mein Gott war das viel^^

Ich hoffe es bringt was und wir können anfangen zu cleanen.

MfG slow

hi,

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Danke für die Antwort schrauber,
Habe mbar geupdated, durchlaufen lassen aber es wurde nichts gefunden.

Hier die Log file:

TDSSKiller hat auch nichts gefunden... Komisch was geht denn da ab.... o.O

"Zur Info"

Habe grade mal versucht Chipsatz Treiber und Soundtreiber zu installieren, geht nicht ehhh wiso nicht? -.- Ich raste gleiich auus ohne Scheiss!!

Wenn ich formatiere habe ich ja die gleiche Scheis*** wieder da was soll ich denn jetzt eig.? Rechner wegwerfen oder watt?

Hab mir inzwischen ein neues Windows 8.1 bestellt, im laufe der Woche wird es wohl bei mir ankommen. Ich will sehen ob dann auch nach der Neuinstallation dann wieder solche Benutzer ihr Unwesen auf meinem Rechner treiben ohne Internetzugang.

Also brauchen wir nicht weiter machen?

Naja klar doch, gerne sogar, ich würde schon gerne wissen was da jetzt ist...
Es wurde ja nichts gefunden laut den Logs oder hast du noch was entdeckt?
Weil ich kann mein Windows ja nicht benutzen, nicht mals Soundtreiber kann ich installieren, Grafik auch nicht.
Deswegen wäre ich schon froh wenn wir weiter machen würden..

Grüße

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Würde ich ja nach Anweisung ausführen, aber BitDefender lässt sich nicht deaktivieren.
Soll ich an lassen oder im abgesicherten Modus versuchen zu beenden und zu scannen?