Hallo,

in der beiliegenden Datei "Addition.txt" ist der nachstehende Eintrag enthalten:

Eine anonyme Sitzung mit hergestellter Verbindung von DESKTOP-BSAKOGQ hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen. Der Versuch wurde mit STATUS_ACCESS_DENIED zurückgewiesen, um die Verbreitung von sicherheitssensitiven Informationen an einen anonymen Anrufer zu verhindern.

Muss ich jetzt davon ausgehen, dass mein PC angegriffen wurde? Unklar ist mir, mit welchem Dienst bzw. Programm ist das möglich? Und mit welcher administrativen Konfiguration kann ich mich davor schützen? Kann ich evtl. die IP-Adresse des Angreifers aus vorhandenen Protokollen ermitteln?

Vielen Dank im Voraus!

Zitat:

ine anonyme Sitzung mit hergestellter Verbindung von DESKTOP-BSAKOGQ hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen.

Das weißt du bitte woher?

diesen Satz "anonyme Verbindung...." habe ich dem Protokoll Addition.txt unter dem Abschnitt Systemfehler entnommen.

Das beantwortet leider keine Frage.
"Suche nach alles" ist auch bei der Polizei selten von Erfolg gekrönt.

sorry, vielleicht sollte ich beschreiben, welchen Ablauf ich am infizierten PC durchgeführt hatte:

- PC mit der win10 CD gestartet und Reperatur gewählt
- diskpart über Eingabeaufforderung aufgerufen und Platte formatiert
- win10 installiert
- cleanmgr und anschließend sfc /scannow gestartet. hier hat windows gemeldet, dass Dateien repariert werden mussten. Ich gehe davon aus, dass die win10-CD keinen Trojaner hat, weil die Installation auch schon mal fehlerlos lief.
- danach unter Einstellungen und Auswahl "Datenschutz" den Funk deaktiviert
- und win10 gehaertet nach der Anleitung "uni ulm".

Frage: welche Protokolle sollte ich jetzt prüfen, um gezieltere Informationen zu erhalten?

Irgendwie verstehe ich euch User da draußen nicht mehr - woher weißt du denn bitte, dass der PC infiziert ist?

Wenn das nur eine Vermutung ist, dann sag es auch so, aber stell es dann nicht als einen Fakt dar.

Welchen Anlass genau hattest du jetzt für FRST?

Der Security Task Manager hat in den letzten 2 bis 3 Wochen gelegentlich die Meldung gebracht "unbekanntes Programm lauscht oder sendet Daten". Laut Beschreibung ist dies ein Hinweis, dass ein Trojaner vorhanden ist. Da ich die Bilder auf den SD-Karten meiner Wildkameras am PC ansehe, hatte ich den Verdacht, dass auf diesem Weg ein Trojaner eingeschleust wurde.
Ein weiterer Hinweis auf einen Trojaner waren zeitgleich zu den o.g STM-Meldungen die Störungen bei Telefongesprächen auf dem Festnetz. Erst nach Rücksetzen der Fritzbox auf die Werkseinstellungen war das Problem beseitigt.
Dadurch sensibilisiert, sehe ich Protokolle lieber öfters an und habe jetzt an meinem neuen, 14 Tage alten PC diese merkwürdige Meldung "Eine anonyme Sitzung mit hergestellter Verbindung von DESKTOP-BSAKOGQ hat versucht, einen LSA-Richtlinienhandle auf diesem Computer zu öffnen" vorgefunden. Als normaler User verstehe ich diese Meldung erst mal nicht und vermute eher einen Trojaner, zumal ich den Desktop BSAKOGQ nicht kenne.
Jetzt stellt sich für mich die Frage, was kann ich prüfen um Gewissheit zu bekommen ob alles o.k ist oder eben nicht?

Das ist dein Rechner selber! Steht auch im FRST-Log:

Zitat:

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 06-04-2023
durchgeführt von Dell (Administrator) auf DESKTOP-BSAKOGQ (Dell Inc. OptiPlex 3050) (08-04-2023 18:39:11)

Da das Ganze nichts mit Schädlingen zu tun hat, verschiebe ich jetzt nach Diskussion.

Zitat:

- PC mit der win10 CD gestartet und Reperatur gewählt
- diskpart über Eingabeaufforderung aufgerufen und Platte formatiert
- win10 installiert
- cleanmgr und anschließend sfc /scannow gestartet. hier hat windows gemeldet, dass Dateien repariert werden mussten. Ich gehe davon aus, dass die win10-CD keinen Trojaner hat, weil die Installation auch schon mal fehlerlos lief.
- danach unter Einstellungen und Auswahl "Datenschutz" den Funk deaktiviert
- und win10 gehaertet nach der Anleitung "uni ulm".

Da hätte ich an deiner Stelle aber eine Windows 10 Neuinstallation gewählt ohne deine genannten Schritte und wenn du mit dem Windows 10 Installationsmedium beim Setup die Partitionen löschen lässt, dann ist da garantiert auch nichts mehr.

vielen Dank für die gute Nachhilfe! Da habe ich mal wieder nicht richtig funktioniert.

Zitat:

Zitat von gege444

- PC mit der win10 CD gestartet und Reperatur gewählt
- diskpart über Eingabeaufforderung aufgerufen und Platte formatiert
- win10 installiert
- cleanmgr und anschließend sfc /scannow gestartet. hier hat windows gemeldet, dass Dateien repariert werden mussten. Ich gehe davon aus, dass die win10-CD keinen Trojaner hat, weil die Installation auch schon mal fehlerlos lief.
- danach unter Einstellungen und Auswahl "Datenschutz" den Funk deaktiviert
- und win10 gehaertet nach der Anleitung "uni ulm".

Vor allem frage ich mich, wie man überhaupt auf dieses Vorgehen kommt!? Und was genau soll das für eine Anleitung der Uni Ulm sein? Ist diese überhaupt aktuell?

Zitat:

Zitat von gege444

vielen Dank für die gute Nachhilfe! Da habe ich mal wieder nicht richtig funktioniert.

Mach einfach eine Windows 10 Neuinstallation die ja hier im Forum verlinkt ist. Und dann wenn das gemacht ist und du Windows 10 komplett eingerichtet hast inkl. Programme installieren usw, dann installiere dir ein Image/Backup Programm mit dem du Windows Partitionen, Partitionen und Festplatten sichern kannst und mache damit eine Windowssicherung oder Festplattensicherung auf eine externe USB Festplatte und wiederhole das in kurzen Abständen, also nicht erst mal alle 6 Monate solche Sicherungen machen. Ich mache es zum Beispiel ungefähr alle 2 Wochen oder auch mal innerhalb einer Woche.

Zitat:

Zitat von Yatagan

Und was genau soll das für eine Anleitung der Uni Ulm sein? Ist diese überhaupt aktuell?

Vermute dass es das ist
https://www.uni-ulm.de/einrichtungen...en-windows-10/