|
Hacker Angriff und ich weiß nicht weiter Hallo Leute, ich benötige nun leider doch schon wieder eure Hilfe, weil ich einfach nicht weiter komme. Ich hatte im Dez. letzten Jahres bereits ein Hacker Angriff, dieser hat damals einen Root Bereich auf meiner Festplatte angelegt, den ich mit unterschiedlichen Tools schlicht nicht weg bekommen habe. Daraufhin hab ich (da der PC eh schon in die Jahre gekommen war) mir einen vollständig neuen PC aufgebaut. Wo mir Schrauber Anfang des Jahres schon einmal super geholfen hat, dieser war nach langen Tests Vierenfrei, dazu hatte ich auch alle Ratschläge die mir Schrauber zu dem Zeitpunkt gab auch befolgt und umgesetzt. Nun wie komme ich darauf wieder einen Hacker Angriff zu haben. Dafür gibt es mehrere Anzeichen, so war es letzte Woche zum Beispiel so das ich Dienste deaktiviert hatte welche ich meiner Meinung nach nicht mehr brauchte, darauf hin hatte ich nach einem Neustart keine Rechte mehr, es gab einen neuen Benutzer "System" welchen ich nicht sehen konnte, raus bekommen hab ich das nur da dieser bei den Rechtevergaben eingetragen war. Darauf versuchte ich den REchner neu aufzusetzen, sowohl über Image als auch über Windows Neuinstallation, jedoch sofort nach dem ersten Start ist dieser wieder da. Ich lese immer wieder wenn man zb Über CD´s startet von einem Root Nvidia Kernel. Ob der etwas damit zu tun hat, kann ich nicht sagen, dazu fehlt mir das wissen. Dazu habe ich eine Partition auf der Festplatte welcher wohl nicht gelöscht werden kann. Bootet man über CD zb Acronis oder auch GPartet steht hier immer ein Laufwerk Asus (a) in der Bootliste drin, mir kommt es zum Teil so vor, als wenn direkt darüber gebootet wird, denn ich habe dann in einigen Programmen wie zb Acronis bei dem sicheren löschen der Festplatte Punkte die zwar da sind aber ausgegraut, ich kann diese nicht anwählen. So war das auch im Dez damals, erst nach dem Neuaufbau des PC´s waren dann auch die ausgegrauten Punkte hier wieder anwählbar. Der PC ist im Moment vollständig vom Internet getrennt, (aber ich vermute das der angreifer auch zugriff auf das Bios hat, da ich hier zb einige dinge auch nicht mehr machen kann, neuer Bios Chip ist schon bestellt) Der Rechner ist im Moment vollständig leer, kein Windows mehr drauf, da dies meiner Meinung nichts bringt, da der Angreifer wie schon gesagt sofort nach der Neuinstallation wieder da ist. Dies sieht man zum einen an einigen Prozessen die laufen, als auch an den Zugriffen, die ich nun schlicht weg nicht mehr habe, obwohl dies Anfang des Jahres alles noch ging. Dazu kommt das egal welches Vieren Programm man über die Windows Oberfläche laufen lässt nichts findet. Selbst BitDefender welches auf dem Rechner installiert ist, schlägt nicht einmal an. Der normale Defender von Windows hatte neulich bei dem ersten durchlauf, zwar etwas erkannt, aber zum löschen, fehlten mir die Rechte. Ich hoffe einer von euch kann mir Helfen, noch mal einen neuen PC kann ich mir nicht leisten. Grüße Anderline PS. Ich weiß das sich das verrückt anhört, noch dazu ist mir absolut nicht klar was der Hacker will, da ich eine normale Privatperson bin bei der man nun wirklich nichts oder nicht viel holen kann. |
Hi, welche Dienste wurden beendet? User SYSTEM ist HKU\Users\S-1-5-18, der ist immer bei WIndows dabei und völlig normal. |
Hallo Schrauber, danke für deine schnelle Antwort. Beendet wurden lediglich Dienste welche nicht Benötigt werden oder wurden. Wie zb. Fax, und einige Netzerkdienste, welche ich nicht brauche. Wie gesagt der Rechner Bootete danach auch normal nur ändern konnte ich dann nichts mehr. Dazu ist nach einer Neuinstallation der Gerätemanager sofort sauber, kein Treiber wird benötigt. War noch nie so wenn ich neu Installiert habe. Dazu erscheiint wenn ich das Boot Menü aufrufe meine beiden festplatten beide ODD laufwerke und darunter kommt zweimal System, System und darunter Setup. Ich habe jedoch immer über CD Laufwerk gestartet. Zumindest habe ich das ausgewählt. Ich hab auch noch am Samstag gesehen im System (weiß leider nicht mehr wo) Das der Rechner wohl in einer Domäne war. Dazu findet CC Cleaner zwei Reg. Einträge die sich schlicht nicht löschen lassen, hatte ich versucht, hier kommt die Meldung Sie haben leider keine Berechtigung. Ich weiß das man in der Reg. nicht alle Eintäge löschen kann oder darf, aber die beiden sollten ohen weiteres gehen. Laut CC Cleaner werden diese nicht benötigt. Ich weiß das klinkt verrückt, aber wie können sonst nach einem Neustart mit einemmal die Rechte weg sein. Dazu die Hinweise in Programmen wie Acronis beim sichern löschen der HDD oder auch in anderen Programmen. Gestern zeigt mir GPartd zb eines meiner ODD laufwerke auf einmal als Festplatte an, die lies sich auch auswählen ober beim Löschen dann Fehlermeldung. Klar kann ja auch nicht gehen bei einem Laufwerk. |
Zitat:
Zitat:
Zitat:
Zitat:
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo Schrauber, du bist aber heute Streng :-) nein Spaß bei seite. Ich weiß glaube ich schon was ich an Diensten deaktivieren kann und was nicht, das traue ich mir schon noch zu. Das aber nur dazu. Du weist ich verlasse mich da ganz auf Dich als Fachmann. Das mit dem Farbar Recovery Scan wird ein paar Tage dauern, da ich aktuell zum einen auf einen neuen Bios Chip warte und zum anderen der PC im Moment leer ist, muss also erst frisch Installieren. Aus dem Grund bitte nicht wundern wenn ich ein paar Tage nicht Antworte, es könnte durchaus nächste Woche werden mit der Log Datei. Grüße Anderline |
Wenn du den frische Installieren willst werden eh alle Probleme erledigt sein :) |
Davon gehe ich nicht aus. Denn das hab ich am Wochenende schon zweimal gemacht. Und hatte danach immer wieder Probleme. Irgendwie kommt es mir so vor als wenn auf der Festplatte ein geschützter Bereich angelegt ist, aus welchen er sofort wieder zugriff hat. |
Zu viele Science Fiction Filme gesehen :). Nicht möglich. |
nein habe ich nicht. Sag doch bitte nicht möglich. :-) Ich war bis Dezember auch der Meinung nicht möglich. Aber da war es so das sich der Angreifer zugriff zum Bios verschafft hatte, hier waren Einträge im Bios vorhanden, wo selbst der Board Hersteller Asus sagte ist nicht möglich bis ich Bilder rüber geschickt hatte. Damals war es so das er auf der Festplatte vor dem MBR einen neun Bootsector angelegt hatte welcher nicht zu löschen war egal was versucht wurde. Dieser war geschützt. Hier gibt es sogar eine Anzeige drüber, die aktuell noch in Klärung ist. Also bitte nicht sagen das es nicht möglich ist, denn der Meinung war ich bis Dezember auch. Auch wenn es für viele mich bis dato inbegriffen unvorstellbar ist, ich weiß was ich gesehen habe und was mir die Polizei bis dato auch bestätigt hat. Aber wenn Ihr nicht Helfen könnt, muss ich selber schauen wie ich weiter klar komme. |
MBR, Bootsektor, ja, kann man ändern. BIOS flashen is nit, ausser Du sitzt vor der Kiste. Es ist technisch keine Möglichkeit erfunden worden bis dato sämtliche der 100 verschiedenen Bios Sorten im laufenden Windows Betrieb auf Ring 0 zu patchen. Das geht nicht mal im Labor. Vor Jahren gab es mal eine Variante, die konnte lediglich ein einziges BIOS chippen. Es ist nicht möglich. Wenn bei dir was verändert wurde was selbst der Hersteller nicht kennt ist es ein Bug im Flash, dessen Auswirkungen so noch keiner gesehen hat, oder es hatte jemand physisch Zugriff zum Rechner. Welches Betriebssystem benutzt Du? |
Schrauber wie das geht oder der Angreifer es gemacht hat, weiß ich leider selber nicht, dazu fehlt mir einfach das Fachwissen. Fakt war es gab im Bios einen Punkt oben in der Auswahlleiste schon wo Advance, Exit usw steht dort war die Realtek Netzwerkkarte als ein seperater Punkt aufgelistet, wie gesagt Asus sagte damals an der Hotline auch, das ist nicht möglich. Ich solle doch mal ein Bild rüber schicken was ich auch tat, selbst die konnten es sich nicht erklären. Selbst ein Bios Reset hat nicht geholfen. So war es im Dezember. So schlimm scheint es jetzt nicht zu sein, zumindest sehe ich im Bios nichts. Dar war im Dezember selbst auf der Fritz Box drauf, sprich direkt im Heimnetz, das deutete sich folgendermaßen. Einstellungen in der Box konnte ich zwar ändern, aber sobald du einmal raus und wieder rein bist, waren die Einstellungen wieder so wie vorher. Das Zurücksetzen der Box funktionierte weder über das zurücksetzen im Fritz Box Menü selber, noch über die Anmeldeseite. Das einzige was am Ende ging, dank AVM Hilfe war das zurücksetzen über Telefon. Tastencode. Wie gesagt ich glaube das das verrückt klinkt, aber ich weiß auch was ich gesehen habe. Bei dem Asus Board konnte man das Bios Flashen von Außen, Sprich Bios auf einen USB Stick, dann hinten am Gerät eine Taste drücken. Das ganze ging im Dez einmal, danach wurde kein USB Stick mehr erkannt, selbst die die vorher ohne Probleme gingen.Selbst bei der Anzeige der Polizist sagte er hätte sowas noch nie gehört. Der den Fall im Moment bearbeitet, hat mir dies aber soweit zumindest was Festplatte und Bios betrifft auch bestätigt, denn ich hab im Dez. mein Notebook als Beweis abgegeben. Installiert war damals und auch jetzt Windows 7 X64, ich hab letzte Woche dann über Update auf Win 10 X64 das Update gemacht. Und wenn das für dich als Fachmann schon unvorstellbar ist, dann kannst du Dir in etwa denken wie ich mich fühle. Grüße Anderline |
Ich will dir ja auch nix unterstellen. Manche Aussagen können einfach technisch so nicht stimmen. Als Beispiel: Zitat:
Einige dieser "Tatsachen" sind im Labor, unter Laborbedingungen, evtl machbar. NIemals aber über einen Schädling. Nochmal: Es muss jemand vor deinem PC gesessen sein, der ca 400 Jahre IT studiert hat, und ne Million aufm Konto hat um das alles zu bezahlen, was er da braucht. Aber er muss vor dem Gerät sitzen. |
Hallo Schrauber, danke noch mal für deine Antworten bis Dato. Ich glaub Dir das jetzt einfach mal, da bist du der Fachmann. Ich bin jetzt nachdem Bios Baustein getauscht wurde und TPM Modul nachgerüstet wurde soweit das ich wieder neu aufsetzen könnte. Die Frage ist jetzt nur MBR vorher löschen, Reparieren oder denkst du das bringt nichts. Ich möchte lediglich ein sauberes System. Vor dem PC das kann ich Dir mit tausdend Prozentiger Sicherheit sagen, hat keiner gesessen außer mir. Da auch ständig bei uns jemand zuhause ist, kann ich das Ausschließen. |
Zitat:
Boote von Windows DVD oder Linux, schreib den MBR neu, dann formatieren und WIndows drauf. |
Guten morgen Schrauber. Also ganz so erfolgreich und einfach wie du schreibst war mein Wochenende leider nicht. Aber ich hole jetzt mal etwas weiter aus. Ich hatte wie schon geschrieben im Dezember letzten Jahres bereits einen Hacker Angriff, welcher wohl vollständig in meinem Netzwerk war. Ja auch in der Fritz Box. Ich habe daraufhin weil ich nach Tage langen Versuchen und testen mit unterschiedlichen Programmen die Festplatten sauber zu bekommen immer wieder gescheitert bin. Hier waren Partitionen auf der Platte welche sich nicht löschen liesen, egal was ich damals versucht habe. Als ich nach mehr als 6 Wochen einfach nicht weiterkam. Habe ich angefangen und alles ausgetauscht, angefangen über die Fritz Box, sämtliche Hardware im Rechner selber vollständig neu. Als ich Anfang des Jahres den PC neu gemacht habe wurde als aller erstes ein Bios Passwort gesetzt, danach meine Einstellungen gemacht und Windows Installiert. Hier war auch alles noch in Ordnung, vielleicht erinnerst du dich noch an unseren Test Anfang des Jahres, hier war alles sauber. Installiert wurde Anfang des Jahres im UEFI Mod da zwei Platten in dem Gerät sind eine SSD Samsung und eine 3 TB Samsung HDD platte, diese wurden im GPT Partitionsstiel Formatiert. Letzte Woche habe ich dann erste Probleme bemerkt, wie Rechtevergabe nach Neustart geändert und solche Spielchen. Als ich das merkte habe ich den Rechner sofort vom Internet getrennt, dazu muss ich noch sagen, das dieser eh nur mit dem Internet verbunden war wenn ich es brauchte, sonst war der Switch welcher zwischen PC und Router hängt ausgeschalten. Ich habe dann am Donnerstag letzte Woche, sowohl die neuen Bios Bausteine (hatte gleich mehr bestellt) als auch das TPM Modul (welches ich bis dato nie im PC hatte) erhalten. Ich habe daraufhin dann den Bios Baustein gewechselt, Board wieder rein und vor dem ersten Einschalten auch das TPM Modul mit verbaut. Darauf hin bin ich ins Bios des Gerätes, es waren zu dem Zeitpunkt keine Zusatzgeräte angeschlossen, alle Laufwerke, HDD´s wurden getrennt. Angeschlossen war nur Tastatur, Maus, Monitor. Ich bin also als erstes ins Bios, hab das TPM Modul aktiviert und ein Bios Passwort gesetzt. (Was ich vergessen hatte war ein Bios Reset beim wechseln des Bios Bausteines. Diesen hatte ich weder vor dem wechsel noch danach gemacht, was wohl einer meiner Fehler war) Als dann TPM und Passwort gesetzt waren bin ich wieder ins Bios hab meine restlichen Einstellungen gemacht, UEFI Modus aktiviert CSM und Secure Boot aktiviert, eigentlich genau so wie Anfang des Jahres schon. Danach Ein Laufwerk angeschlossen und die SSD. Als erstes hab ich über GParted per CD laufwerk gebootet, SSD Partitionen gelöscht, neu angelegt und die SSD im GPT partitioniert. Neustart und beim Hochfahren sofort F8 um ins Boot Menü zu kommen, hier sah auch alles normal aus, es wurde die SSD erkannt das Laufwerk war zweimal vorhanden einmal mit dem Vorsatz UEFI und einmal normal. Ich wählte also UEFI. Darauf wurde der Bildschirm ganz kurz schwarz, dann kam ein rotes großes Fenster mit dieser Meldung. (Sorry ich kann kein Englisch ich hoffe aber ich hab es richtig abgeschrieben.) „The System found unauthorized changes on the Firmware, operating systems or UEFI drivers. Press [OK] to run the next boot device, or enter directly to Bios Setup if there are noother boot devices installed. Go to Bios Setup > Advange > Boot and change the current boot device into other secured Boot device.“ Darauf hin bin ich wieder ins Bios und habe noch mal geschaut was eingestellt war, Im Bios war CSM aktiviert, Bootgerätecontrolle UEFI and Legacy OProm Netzwerk, externe Datenträger UEFI zuerst und bei PCI-E,PCi auch UEFI zuerst. Secure Boot war aktiviert was ich dann zuerst durch löschen der Schlüssel deaktiviert habe, mit dem selben Ergebnis. Danach bin ich wieder ins Bios Schlüsselverwaltung hier den Punkt Standard Secure Boot Schlüssel laden was ich nur mit Ok bestätigen konnte. Danach bin ich auf den Punkt Secure Boot Schlüssel speichern, hier geht ein neues Fenster auf wo bereits zwei Zeilen drin stehen. Die fangen beide mit Acpi(oo341d0, 0)\PCI(1F)2\Device Path und so weiter. Wähle ich eine dieser Zeilen aus egal welche da etwas anderes nicht geht kommt die Meldung „Error White Writing dbx“ dies kann ich nur mit Ok bestätigen. Da ich hier die Fehlermeldung erhielt, bin ich auf Standard Werte laden. Speichern und raus aus dem Bios. Beim Starten dann sofort wieder ins Boot Menü weil ich endlich hoffte das Problem damit gelöst zu haben, denkste. Boot Menü geht auf hier kommt wieder mein Laufwerk doppelt wie davor auch, vorhin stand jedoch das immer so da: Beispiel P3: Hl-DT-ST DVDRAM usw. siehe Bild UEFI: Hl-DT-ST DVDRAM usw. Nach dem ich nun die Standard werte geladen hatte stand im Bios aber UEFI: (FAT) HL-DT-ST DVDRAM usw. Wobei ich mir erst mal nichts weiter gedacht habe, dies konnte ich dann auch wählen UEFI (FAT) usw er scheint auch von CD zu starten „Beliebige Tasten drücken um von CD zu starten. Danach blinkt das Laufwerk vor sich hin, auf dem Bildschirm steht lediglich das Board Symbol mit The Ultimate Force welches ca 5-10 Minuten so stehen bleibt, danach wird der Bildschirm kurz schwarz, dann kommt der Blaue Ladebildschirm (Win 10) wenn dieser das erste mal erscheint, kommt für den Bruchteil einer Sekunde die Eingabemaske, geht aber sofort wieder zu. Danach kann ich nun normal mit der Installation beginnen. Hier bin ich erst in die Eingabemaske rein um den MBR zu löschen. Wo auch immer die Meldung erscheint Abgeschlossen (sorry den genauen Wortlaut weiß ich nicht mehr) Danach hab ich dann Windows auf der SSD Installiert, dies geht übrigens nur wenn ich vorher zwar über GParted den GPT Partitionsstiel ausgewählt habe aber keine Partition erstellt wurde. Habe ich über GParted eine Partition erstellt muss ich diese bei der Windows Installation erst löschen und neuanlegen (was evt noch normal ist) Hier legt er mir 4 neue Partitionen an. Laufwerk 0 Part. 1 Wiederherstellung 450MB Laufwerk 0 Part. 2 100MB Laufwerk0 Part 3 16,0 MB MSR reserviert Und Laufwerk 0 Partition 4 mit 237,9GB Die Installation läuft auch so weit durch. Wenn Windows 10 so weit drauf ist kommt fast zum Schluss Einstellungen wo ich Express Installation oder angepasste wählen kann, egal was ich hier wähle von beiden. Die läuft auch an, doch mitten bei der Einrichtung wird der Bildschirm schwarz, dann hört man nur noch am Bios Post das er einen Neustart macht und ich lande wieder auf genau den selben Bildschirm. Wo ich wieder wählen kann zwischen Express oder angepasst, bei dem zweiten Anlauf läuft auch dieser punkt durch. Installation wird dann auch abgeschlossen Benutzer angelegt mit Passwort das ist alles so weit normal. Aber hier stimmt was nicht, die Installation war fertig kein Internet oder sonstiges in der Zwischenzeit angeschlossen lediglich Windows drauf nicht mal die Treiber Installiert. Hier zeigt er mir (leider weiß ich nicht mehr genau wo unter Windows 10 ich das gesehen habe) das der PC als Netzwerk PC oder so ähnlich genutzt wird, dies könnte ich ändern geht aber nicht da hier der Hinweis erscheint, Sie haben keine Berechtigung zur Durchführung. Dazu ist der PC im öffentlichen Netzwerk zumindest zeigt er dies so an. Ich habe dann wirklich viel Probiert und geschaut, einfach nur die Einstellungen im Windows durch. Irgendwie kommt man bei der Benutzerkontensteuerung wie weiß ich leider nicht mehr auf einen Ordner Root wo ich die Berechtigungen auch ändern kann. In dem Hauptordner Root gibt es zich unterordner. In wie weit das normal ist weiß ich nicht. Ich habe dann die Samsung Software Samsung Data Migratiion Installiert, weil ich schauen wollte wie es da ausschaut. Hier gibt es den punkt Secure Erase SSD wird mir hier auch angezeigt aber auf Start klicken geht nicht da dies ausgegraut ist. Ich dachte erst gut ist ja normal, da lediglich die SSD im Moment verbaut bzw angeschlossen ist. Ich hatte mir vor ca. 3 Monaten eine dritte HDD zugelegt einfach nur zu testzwecken, auf diese habe ich lediglich eine frühe Windows 10 Version installiert gehabt da ich schauen wollte wie meine Hardware unter 10 Funktioniert, ich habe damals als ich die aufgesetzt habe alle anderen Platten abgezogen gehabt Windows 10 auf der dritten Festplatte installiert ein paar Treiber eingebunden ein wenig getestet und das war es. Danach den Rechner damals wieder aus, die dritte Festplatte wieder getrennt und meine zwei Standard Platten wieder ran und normal mit meinem damals Windows 7 System weiter gearbeitet. Danach hatte ich die dritte HDD nie wieder angeschlossen. Da Secure Erase nun nicht ging, Rechner aus. Die dritte HDD ran und die SSD, Bootmanager aufgerufen und die WD( 3 Festplatte) zum Starten ausgewählt, System fährt hoch bis zur Anmeldung, Bildschirm ganz kurz schwarz kurze zeit darauf Bios Post gerätet startet also wieder neu aha. Wieder bei der Anmeldung angekommen, konnte ich mich normal anmelden. Es wurden in der Datenträgerverwaltung auch zwei Festplatten erkannt, wow alles gut dachte ich. Samsung Software rauf, diese gestartet, die SSD Festplatte gewählt und Secure Erase in der Software auf, der Start Knopf ist sichtbar aber ausgegraut. (Siehe Bilder) Ich hab dann in der Datenträgerverwaltung mir die SSD angeschaut hier konnte man mit rechter Maustaste eine Möglichkeit wählen (Frag mich bitte nicht wie der Punkt hieß) wo mir mehr angezeigt wurde von der Festplatte hier gab es eine UDF oder UDC oder so ähnlich Partition welche ich nicht löschen konnte, es kam immer die Meldung diese Partition ist gesichert. Danach hab ich über unzählige CDs versucht die SSD zu löschen. Ich hatte dann in der Zwischenzeit im Bos die SATA Port als Plug und Play fähig eingestellt, so das ich normal über CD Booten konnte und dann erst wenn das Programm da war die SSD angesteckt. Aber bei GParted zb war es so das ich über Boot Menü normal von CD Laufwerk (ohne Zusatz UEFI ) gestartet hatte. In Gparted wurde das Laufwerk mit einmal als Festplatte angezeigt welche ich auch löschen Formatieren ect konnte, hier kam aber immer eine Meldung in Gpardet mit Ignorieren oder Abbrechen, den genauen Wortlaut weiß ich leider nicht mehr. Für mich sah das so aus als wenn er überhaupt nicht über die CD gestartet hatte. Machte man die Konsole in GParted auf Stand dort immer irgendwas von Root@Debian ect ob das normal ist weiß ich nicht. Ich hatte jedoch egal was ich versuchte zu starten immer das Gefühl als Startet etwas anderes im Hintergrund, ist blöd zu beschreiben ohne das man dies sieht oder gesehen hat. Zum Teil war es auch so das ich das Boot Menü ausgewählt habe, dann zum Beispiel den Bootmanager der SSD gewählt habe und diese mit Enter bestätigt habe, danach ging der Rechner aus, sofort wieder an und er startete. Ich weiß das dies am Anfang als ich den PC im Dezember neu gemacht hatte nicht war. Wenn ich hier im Boot Manager etwas ausgewählt hatte fuhr dieser auch sofort hoch. Ich war weil egal was ich gemacht habe bzw. versucht habe am Ende ich baue und mache meine Rechner seit 23 Jahren allein, aber sowas hab ich mal abgesehen vom Dezember als es fast genau so war nie gesehen oder erlebt. Ich hab dann einfach Windows was für mich auch normal nach Windows Start aussah gestartet um einfach ein wenig zu schauen. Hier steht zb in der Windows Firewall unter dem Punkt Überwachung bei Protokollbeschreibungen Dateiname %systemroot%\system32\LofFiles\Firewall\pfirewall.log Ob das normal ist oder nicht weiß ich nicht. Dazu konnte man sich die Eigenschaften der Laufwerke anschauen, hier war es zum Teil so das die Festplatte nicht als Festplatte sondern als Laufwerk ODD angezeigt wurde und das ODD Laufwerk als Festplatte. Und all so komische Dinge, welche und ich spreche hier nur für mich ich noch nie so gesehen habe. Ich hänge dir mal ein paar Bilder mit an, nicht das du mir wieder schreibst ich schaue zu viele Böse Filme spaß. Noch ein Hinweis zum Abschluss, als das im Dezember das erste mal war und ich alles neu gemacht hatte, habe ich über meinen Arbeitsplatz Rechner, alle alten Zugänge entweder gelöscht wie E-Mail Postfächer, Google Acount, Facebook Acount etc. und andere die ich nicht löschen konnte habe ich sowohl von der E-Mail als auch vom Passwort abgeändert. E-Mail Konten wurden neu angelegt. Bei anderen Anbietern mit völlig anderen Namen. Wenn du mir nun noch sagst wie ich dir das alles noch etwas besser beweisen kann, sag bescheid, ich poste dir auch gern Bilder davon. Ich hab mich schon geärgert das ich so wenig Fotos gemacht hatte. Also mit Bios Baustein wechseln und MBR löschen ist das leider nicht getan. Ich weiß auch leider nicht weiter und ich schwöre an dem PC war nie ein anderer dran, zumindest nicht direkt davor. Noch was evtl. ist das Nützlich weiß ich nicht. Ich habe dann als ich mit dem Stand PC nicht weiterkam und mit diesen auch nicht noch mal an die Fritz Box wollte mir ein Notebook vom Nachbarn kurz geborgt. Mit diesem an die Fritz Box ran, Werkseinstellungen geladen über di e Oberfläche da ich nicht wusste ob da nicht auch schon wieder etwas ist. Die Box das erste mal geöffnet und wollte diese nach dem Reset wieder einrichten, hier ist in der Fritz Box ein Zertifikat hinterlegt, was man normal auch ohne Probleme ändern kann, als ich das tun wollte erhielt ich die Meldung sie haben keine Berechtigung zur Durchführung der Aktion. Ich weiß das auch dies Anfang des Jahres als ich die Box das erste mal ans netz genommen hatte noch ging. Ich habe dann noch mal einen Reset versucht über Telefon und Tastencode, auch hier wird die Box wieder resettet, aber das Zertifikat bleibt erhalten. Ich bekomme auch dies nicht mehr geändert, da hab ich gerade AVM mal angeschrieben zu. Hier ein paar Beispiel Bilder hxxp://img5.fotos-hochladen.net/uploads/d72104765gifoeh8z.jpg hxxp://img5.fotos-hochladen.net/uploads/d721049uxfawp5rkc.jpg hxxp://img5.fotos-hochladen.net/uploads/d721050irx74puy5w.jpg (Das ist Interessant, hier zeigt er mir beim Booten zwei Keyboards, zwei Mäuse und 3Hubs an. Angeschlossen war zu dem Zeitpuntk eine Roccat Tastatur und eine Roccat Maus.) hxxp://img5.fotos-hochladen.net/uploads/d721052at6czgs3hk.jpg hxxp://img5.fotos-hochladen.net/uploads/d721053lghjmtoaqw.jpg |
Zitat:
Zitat:
Zitat:
Bilder bitte direkt im Thema anhängen, diese Uploadseiten sind bei mir gesperrt :) |
Nach der Partion muss ich noch mal schauen, wenn der Rechner wieder läuft. Da bin ich mir im Moment wirklich nicht sicher, ich weiß das auf der SSD eine Partition angelegt war die mit U beginnt. Aber da schaue ich noch mal genau nach. https://support.microsoft.com/en-us/kb/2800988 Bezogen auf The System found unauthorized changes on the Firmware, operating systems or UEFI drivers Warum kann ich dann die Schlüssel nicht Speichern? Und warum stehen dort schon zwei schlüssel drin "Acpi(oo341d0, 0)\PCI(1F)2\Device" Warum wir bei dem Laufwerk mit einmal FAT zwischen UEFI und der Laufwerksbezeichung angezeigt? Warum lässt sich die SSD über Secure Erase nicht lösen usw? Warum bootet das Gerät neu nach Auwahl eines Start mediums? Warum flackert bei der Windows Installation gleich am Angang die CMD für den Bruchteil einer Sekunde auf? Warum wird mitten bei der Windows Installation der Neustart durchgeführt? An einem Punkt wo normal keine Neuinstallation kommt. Zich mal auf Arbeit selbst Installiert ohne Neustart an der Stelle? Ich könnte noch zich fragen so weiter machen. Und einbilden tue ich mir das alles auch nicht. Ich weiß das es für Außenstehende zimlich schwer bzw auch ungläubig klinkt aber wie gesagt ich baue meine Rechner seit 22 Jahren seber. Diese Fehler in der Art und weiße hab ich bis DEzember 2014 nicht gekannt. Die Sache vom Dezember kann ich Dir nicht beweisen, außer durch das Aktenzeicher bei der Polizei. Wie füge ich Dir denn hier Bilder ein was ich gern machen würde. |
As said, Bilder bitte direkt anhängen. Diese Uploader sind bei mir gesperrt :) |
Liste der Anhänge anzeigen (Anzahl: 4) Zitat:
Das die Uploader bei dir gesperrt sind, das sind aber keine Uploads sondern die kann man sich ganz normal über den Browser anschauen. Wenn ich hier oben auf Anhänge gehe, kann ich die Datei in dem Fall das Bild auswählen, dann klicke ich auf Hochladen, danach wird das Fenster weiß und nichts passiert mehr. Egal ob Mozilla oder IE. Wenn du mir also sagen würde wie ich dir Bilder zukommen lassen, dann sehr gerne. Habe es gerade noch map Probiert die Bilder direkt anzuhängen, aber selber Fehelr wie oben geschireben. Oh jetzt scheint es zu gehen. Bilder waren wohl zu groß Schau Dir einfach mal D72_10501 an. Da werden 2 Tastaturen, 2 Mäuse und Hub erkannt. Komsich das ich nur eine Maus und eine Tastatur an dem PC dran habe. Bei dem Partitions Bild bin ich mir nicht sicher ob das Normal ist aber ich galube das mit der Wiederherstellungspartition lese ich auch zum ersten mal. Aber da bin ich wirklich nicht sicher. Ich werde auch in Zukunft von allem Bilder machen was mir auffällt, leider habe ich das bis dato versäumt,weil ich der Meinung war, das mir jemand zumindest das glaubt was ich schreibe. |
Zitat:
Ich muss noch mal auf deinen Link eingehen. In dem Artikel steht das "In diesem Szenario kann Windows nicht mehr gestartet werden, nachdem die Änderungen vorgenommen werden. Sie können Verhaltensweisen wie hängen an einem schwarzen Bildschirm, Windows Absturz mit einem blauen Bildschirm oder BIOS-Fehlermeldungen, um die Einstellungen zu ändern begegnen." Ich wollte aber kein bestehendes System Starten, vielleicht haben wir uns da falsch verstanden. Ich wollte lediglich eine Windows Neuinstallation besser gesagt eine UEFI Neuinstallation starten. Und hierbei erhielt ich diese Meldung. |
Du hast aber doch nach dem Aktivieren von Secure Boot die Konfig geändert/Platten dazu gehängt und Co, oder? |
Secure Boot war bei dem Gerät von Anfang an aktiv. Mit von Anfang an meine ich seit Januar mit dem neuen PC. In diesem waren auch von Januar an, zwei Festplatten verbaut, eine SSD, eine 3TB HDD, dazu zwei normale ODD Laufwerke. Am Donnerstag habe ich dann lediglich den Bios Baustein vom Board getauscht und dazu das TPM Modul dazu gesteckt. Und danach das Bios wieder so eingestellt wie ich es davor auch hatte. Mehr habe ich nicht gemacht. Danach hab ich dann über das Boot Menü gestartet und wollte Windows Neuinstallieren, da die Platten im GPT Pattitionsstiel sind muss ich über UEFI Installieren, wie auch schon im Januar, hier erhielt ich dann erstmals die besagte Fehlermeldung auf roten Hintergrund. Das Gerät wurde von mir im Januar genau auf die selbe Art und weiße schon Installiert, diese ging im Januar auch ohne Probleme. Und dazu stand das Laufwerk im Januar zwar auch doppelt im Bootmanager einmal mit dem Vorsatz UEFI ABER ohne diese (FAT) dazwischen und einmal ohne UEFI davor. Als wir beide dann unsere Tests im Januar (Zwecks Vierenfreiheit) abgeschlossen hatten, habe ich über Acronis lediglich ein Image davon erstellt. In der zeit zwischen Januar und jetzt August hatte ich einmal ein Problem mit dem PC wo ich aber lediglich über Acronis das Image zurückgespielt habe. Ich weiß leider nicht wie ich es Dir noch verdeutlichen soll, das hier etwas nicht stimmt. Ich habe Dir ja am Montag schon ausführlich geschrieben was am letzten Wochenende alles Passiert ist. Übrigens auch das hatte ich Montag schon geschrieben ist doch in der Fritz Box ein Zertifikat hinterlegt welches ich nicht ändern kann. Ich habe heute das erste mal von AVM Antwort dazu erhalten. Wortlaut, dieser Fehler ist uns so bis dato nicht bekannt, ich soll nun Supportdaten der Box übermitteln was ich auch tue. Das einzige was von Januar bis jetzt August sich an der Hardware geändert hat, ist das TPM Modul welches ich letzte Woche Donnerstag dazu gesteckt hatte und den Bios Baustein. |
Mysteriös. Aber egal, wir können da eh nix machen. Wenn es ein lebendes Wesen geschafft haben sollte, diese Art von Malware aus dem Labor zu schaffen, zu dir nach Hause, und dann unbemerkt physisch an deinem Rechner rumgeschraubt hat (anders ist das niemals möglich, 0,00%) dann werden wir das eh nie finden. |
Liste der Anhänge anzeigen (Anzahl: 8) Hallo Schrauber, ich hatte gestern Abend wieder etwas zeit nach dem Rechner zu schauen. Schau Dir mal die Bilder an. Bild 1: Hier war lediglich das ODD Laufwerk angeschlossen und über GPardet gebootet. Er zeigt mir das Laufwerk wohl als Partition an. Bild 2: Zeigt was passiert wenn ich dieses versuche zu Formatieren. Bild 3: Zeigt meine normale 3TB Platte nachdem ich diese im Laufenden Betrieb dazugesteckt habe. (Einfach nur SATA Kabel angeschlossen) Dann in GPardet auf Laufwerke neu einlesen. Für mich sieht die aus wie normal. Bild 4: Zeigt die Festplatte nachdem ich die Partition wieder gelöscht habe. So bin ich dann auch aus Gpardet raus, Partition als nicht zugeteilt stehen lassen lediglich über Laufwerk Partitionstabelle auf GPT umgestellt und danach Gparted heruntergefahren. Bild 5:Zeigt die Konsole in GPardet wenn ich diese öffne. Ich weiß nicht ob der Eintrag in der Konsole mit user@debian usw so richtig ist. Bild 6: Zeigt die beiden Schlüssel die im Bios schon eingetragen siind, wie am Montag schon geschrieben. Bild 7: Hier war ein ODD Laufwerk angeschlossen mit Windows 10 CD drin und dazu die 3 TB platte. wenn ich hier list Disk eingebe zeigt er mir die 3TB Platte normal an, dnach hab ich select Volume 0 eingegeben und mir das Filesystem anzeigen lassen. Weiter wusste ich dann leider nicht, da ich mich mit Diskpart nicht so richtig auskenne. Das Komische hier ist zum einen die größe mit 2048 und der Typ ist UDF. (Ich wusste doch das es etwas mit U war :-) Bild 8 Zeigt das selbe noch mal nur vielleicht etwas besser. Gebe ich dann hier wieder select Volume 0 ein und dann Format, läuft unten der anzeigeweit bis 100% dann kommt aber darunter eine Fehlermeldung. Da muss ich noch mal genau schauen wie die lautet, ich dachte ich hätte davon auch ein Foto gemacht, hab ich wohl doch vergessen. PS Sorry wegen der Qualtität einiger Bilder, aber es war einfach schon zu dunkel um die Kamera lange genug ruhig zu halten. Ich liefer dir die Tage auch noch mehr Bilder. So zeigt er mir die Festplatte auch in der Datenträgerverwaltung an mit UDF Partition, Bilder dazu folgen noch. Will ich diese dann löschen, kommt die Meldung diese Partition ist Schreibgeschützt. Gibt es evt eine Möglichkeit die UDF Partitionen zu löschen oder kann ich den Rechner in die Tonne hauen? Mal wieder. |
Bezüglich Gparted bitte mal im Hardware-Forum fragen. Da kenn ich mich gar nit aus :) |
Mit Gparted kann ich die UDF Partitionen nicht löschen die werden da nicht mal angezeigt. Kennst du einen Weg wie ich UDF Partitionen löschen kann oder an wenn ich mich diesbezüglich einmal wenden kann? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board