Guten Abend liebe Leute ,

ich bin die Jana und IT Studentin an einer TU .

Ich weiss ganz sicher das ich mir ein Rootkit eingefangen habe.

Höchstwahrscheinlich über eine jpg pdf drive by attake oder einfach durch einen gezielten Hackerangriff.

An unserer Universität gibt es einige gute Computer Schüler .

Manchetesten auch einfach andere aus . Jetzt möchte ich auch mal etwas dagegen unternehmen .

In meinen Bekanntenkreis ist durchgesickert das mir jemand von denen ein Rootkit drauf gespielt hat.

und was ich an den letzten Abenden an meinen Computer und im Netz gemacht habe.

Jetzt will ich natürlich gegenmaßnahmen ergreifen und das Rootkit zweifelsfrei finden , ohne den PC neu Aufsetzen zu müssen.

Ich hoffe Jemand kann mir hier dabei helfen . Ich revanchiere mich auch gerne dafür

Ich habe bereits mit Malewarebytes TDSS Killer und anderen Tools danach gesucht .

Nichts wurde gefunden , auch kein Wunder bei einen Rootkit .

Jetzt habe ich noch mit GMER einen Scan gemacht und Auffälligkeiten festgestellt.

Gmer zeigt mir die Log Datei :

Code: Alles auswählenAufklappen

ATTFilter

---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                   fffff80002cf9682 1 byte [21]

---- Registry - GMER 2.2 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\402cf4d80747                      
Reg    HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\402cf4d80747 (not active ControlSet)  

---- EOF - GMER 2.2 ----


Bei geöffneten Firefox Browser sogar noch mehr :

GMER 2.2.19882 - hxxp://www.gmer.net
Rootkit scan 2021-06-14 21:35:02
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 INTEL_SSDSA2BW160G3H rev.4PC10365 149,05GB
Running: swf5n4yz.exe; Driver: C:\Users\Privat\AppData\Local\Temp\ugdiapob.sys


---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                                       fffff80002cf9682 1 byte [21]

---- User code sections - GMER 2.2 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!SetUnhandledExceptionFilter      0000000077428bc0 13 bytes {MOV R11, 0x7feefc711e4; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\USER32.dll!GetWindowInfo                      0000000077548a24 13 bytes {MOV R11, 0x7feef978fd0; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread              0000000077699870 7 bytes [48, B8, 0C, B9, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8          0000000077699878 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                   00000000776999e0 3 bytes [48, B8, 64]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 4               00000000776999e4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                       0000000077699a00 7 bytes [48, B8, E0, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                   0000000077699a08 7 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                0000000077699a10 3 bytes [48, B8, E0]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 4            0000000077699a14 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                 0000000077699a90 3 bytes [48, B8, 88]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 4             0000000077699a94 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                0000000077699aa0 3 bytes [48, B8, 1C]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 4            0000000077699aa4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                          0000000077699ad0 7 bytes [48, B8, 70, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                      0000000077699ad8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile               0000000077699b70 3 bytes [48, B8, B8]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 4           0000000077699b74 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                        0000000077699cf0 7 bytes [48, B8, 34, B6, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                    0000000077699cf8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                  000000007769a760 3 bytes [48, B8, 04]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 4              000000007769a764 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                        000000007769a7b0 3 bytes [48, B8, 40]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 4                    000000007769a7b4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile           000000007769a900 3 bytes [48, B8, CC]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 4       000000007769a904 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsFree + 8                      00000000774205d8 13 bytes {MOV R11, 0x7feeffb89e8; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsAlloc + 8                     0000000077426148 13 bytes {MOV R11, 0x7feeffb899c; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}

---- Registry - GMER 2.2 ----


DIE KERNELDATEI : C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978
         

kommt mir sehr verdächtig vor welche auch GMER anzeigt . Es soll auch Rootkits geben die nur bei geöffneten Browser (wie bei mir Firefox) aktiv sind .


Wer kann mir da bitte fachkundigen Rat geben und mir helfen den Übeltäter auf die Schkiche zu kommen .

Ganz Liebe Grüße Jana Bella

Zitat:

ohne den PC neu Aufsetzen zu müssen.

Ist nicht drin. Windows 7 wird nicht mehr bereinigt. Dass du das immer noch nutzt ist schon extrem naiv und verantwortungslos, du kannst auch nicht erzählen, dass du das Supportende nicht mitbekommen hast. Spätestens schon Dezember 2019 hätte Windows 7 durch Windows 10 oder ein aktuelles Linux ersetzt werden müssen.

Da nicht bereinigt wird, verschiebe ich nach Diskussion.

Ich nutze WIn7 weil ich es einfach Datenschutz freundlicher finde als Win 10.

Außerdem sind alle Updates von mir manuell eingespielt wurden .

Außerdem finde ich Win 7 einfach Benutzerfreundlicher und brauche das auch für meine Arbeiten.

Warum dann gleich auf ein Linuxsystem oder WIn 10 umstellen ?!

Kann man mir trotzdem Helfen bitte.

Es sind zu viele wichtige Programme in Vollversion von mir drauf als das ich jetzt alles neu machen möchte.

Zitat:

Zitat von Jana Bella

Ich nutze WIn7 weil ich es einfach Datenschutz freundlicher finde als Win 10.

Das ist kompletter Blödsinn. Microsoft hat bei Windows 7 schon vor Jahren die Telemetrie nachgerüstet.

Zitat:

Zitat von Jana Bella

Außerdem sind alle Updates von mir manuell eingespielt wurden

Du kannst gar keine aktuellen Updates installieren. Seit Januar 2020 gibt es diese nicht mehr für Windows 7!

Zitat:

Zitat von Jana Bella

Kann man mir trotzdem Helfen bitte.

Ja. Datensicherung, dann Neuinstallation von Windows 10 oder Linux.

Zitat:

Zitat von Jana Bella

Es sind zu viele wichtige Programme in Vollversion von mir drauf als das ich jetzt alles neu machen möchte.

Tut nichts zur Sache. Windows 7 bereinigen wir nicht.

Du wirst hier keine Hilfe bekommen. Zu Recht. Update Asketen gefährden sich und andere.

Die Bedingung, dass das Windows aktuell sein muss, hättest du auch vorher schon wissen müssen. Siehe Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Es werden grundsätzlich nur Betriebssysteme bereinigt, die noch eine offizielle Unterstützung von Microsoft erhalten.
Dies gilt aktuell für Windows 8.1 sowie Windows 10 v2004 oder neuer.

Mal etwas dazu .

Zitat:

Zitat von cosinus

Das ist kompletter Blödsinn. Microsoft hat bei Windows 7 schon vor Jahren die Telemetrie nachgerüstet.

DIE TELEMETRY lässt sich ganz einfach über die registry abschalten !


Du kannst gar keine aktuellen Updates installieren. Seit Januar 2020 gibt es diese nicht mehr für Windows 7!

Es gab die letzten aktuellen Updates zum manuellen Download !


Ja. Datensicherung, dann Neuinstallation von Windows 10 oder Linux.


WER SETZT SCHON EIN RECHNER NEU AUF WENN ALLE VOLLVERSIONEN VORHANDEN SIND , auf ein anderes System


Tut nichts zur Sache. Windows 7 bereinigen wir nicht.

Zitat:

Zitat von Jana Bella

WER SETZT SCHON EIN RECHNER NEU AUF WENN ALLE VOLLVERSIONEN VORHANDEN SIND , auf ein anderes System

Na, du natürlich
Weil wir Windows 7 nicht bereinigen. Und es interessiert uns auch nicht, dass du keine Lust hast, alle Programme neu zu installieren. Das hast du selbst verbockt.

@ cosinus

DU BIST EIN RECHT KOMISCHER KAUTZ MIT EINER ECHT FRECHEN GRO?EN KLAPPE !

IM WAHREN LEBEN NICHTS DAHINTER UND HIER DAS MÄULCHEN ERHEBEN.

HO DIR LIEBER NOCH EIN STÜCK PIZZA UND SPRECH MIT DEN KIDDIS SO

@ Jana Bella

hast du dir eigentlich mal das Profil von cosinus angesehen?

angemeldet seit 2004 und über 180 000 Postings

Wo warst du denn 2004? in der Grundschule?

So, wir haben jetzt genug gelacht Jana, jetzt hat es sich aber ausgetrollt.

Da fang -->