|
Vermute Trojaner: netbios-ns zu verschiedenen IP-Adressen im Router-LOG Hallo, ich hab seit längerem ein Problem mit einem Trojaner, der mir hier meiner Meinung nach einiges kaputt gemacht hat: - Mein Drucker wollte nicht mehr als 1 Dokument drucken, nach einem Neustart jedoch hat er die restlichen Dokumente ohne Probleme zu veranstalten gedruckt. (Lexmark) - Meine alte TV-Karte konnte plötzlich kein DVB-C empfangen, geschweige Teletext korrekt anzeigen etc. , es ging nur analog-TV (Hauppauge) -- sobald ich meine TV-Karte eingesteckt hatte und das Betriebsystem gestartet hatte, ging die Auslast nach oben und der RAM stieg...und stieg... --- dabei hab ich ein frisches Windows 7 x64 mit allen Updates installiert und dann erst die Karte eingebaut (ohne Treiber, ohne Netzwerkanschluss) ---- kann ich bei Gelegenheit mit einem Test-PC reproduzieren und Screenshots anhängen bei Interesse Zwar ist der Drucker nicht mehr da, die TV-Karte draußen und das Betriebsystem komplett neuaufgesetzt, d.h.: Bootsektor mit "dd urandom" überschrieben, Partitiontabelle angelegt, formatiert und installiert. Habe, ebenfalls ziemlich viele unnötige Windows Dienste deaktiviert, wie z.B.: IPsec, IPv6 etc. Da die Dienste damals am Anfang der Infizierung gestartet waren (Als Info: da liefen dann ca. 14-16 svchost.exe Prozesse). :killpc: Ich dachte, dass mein System nun nicht mehr infiziert wäre. Jedoch hat mir ein Blick auf den Router-Log schon wieder etwas Panik gemacht: man hat eindeutig gesehen, dass der Rechner zu verschiedenen IP-Adressen eine Verbindung aufbaut über das netbios-ns Protokoll. In Wireshark konnte ich feststellen, dass es sich um das exakt gleiche Datenpaket handelt. Das aller Beste (Ironie) ist, dass diese Verbindung im Taskmanager vom Prozess System hergestellt wird. Und ja, das kann verdammt viel sein... Was noch erwähnenswert ist: - Als die TV-Karte noch drin war hat mein Bildschirm nach einem Neustart immer genau einmal geflackert (oben links: war auch immer ein Riss und dieses schwarz weiß flackern (=ameisenhaufen?)), ebenso der Laptop -- mittlerweile ist die TV-Karte draußen und es nicht mehr zu beobachten - Leider war auch ein zweites Flackern zu beobachten, nach dem die TV-Karte draußen war -- anfangs habe mir nichts dabei gedacht: is vielleicht die Grafikkarte -- dann sah ich den Router-Log, daraufhin habe ich netbios beim Netzwerkadapter deaktiviert --- mittlerweile is auch dieses flackern weg (bei diesem flackern hat sich für ne Sekunde der Bildschirm nach oben verschoben) ---- das flackern ist doch noch da... Jetzt stellt mir sich die Frage ist mein Rechner überhaupt sauber, bzw. mach ich i-was bei der Neuinstallation falsch oder bin ich mittlerweile so :balla: ... . Brauche auf jedenfall jetzt Unterstützung, da ich einfach nicht mehr weiter weiß :killpc: ... PS: Ich werde evtl. mit der Antwort etwas brauchen, da ich momentan "nebenbei" studiere und nicht all zu viel Zeit habe, danke für euer Verständnis. |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo, die Logs musste ich als Archiv anhängen, Text ist zu lang. Was merkwürdig ist, mein Hauptrechner, hatte gestern einen unerwarteten BSOD. Dann musste ich leider feststellen, dass sobald ein Rechner im Netz ist, sehe Drops von fünf verschiedenen IP-Adressen auf unterschiedlichen Ports und es läuft im Hintergrund kein emule client o.ä.. Aber was mich noch mehr verunsichert ist, dass keiner der Rechner einen aktuellen Microcode enthält. Auch ein Versuch über ein Linuxsystem den Microcode des Prozessor zu updaten scheitert, in dem zwar im Log steht das ein Update durchgeführt wird, jedoch nach jedem Neustart nichts geändert hat (im BIOS ändert sich die Version auch). Auch nicht wenn ich es manuell durchführe. :killpc: |
Hi, Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen. Ich kann auf Arbeit keine Anhänge öffnen, danke.  So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Addition: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 21-05-2014 |
FRST Teil 1: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-05-2014 |
FRST Teil 2: Code: 2014-05-13 18:22 - 2012-08-23 16:10 - 00019456 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpvideominiport.sysG-Data Firewall hat kurz gemeldet, dass ich "abgetastet" werde (vermute nmap?). Und nach einigen Meldungen ging die CPU Auslastung ins unermessliche...ich weiß langsam nicht mehr weiter (bin auch schon wieder an der Neuinstallation meines Rechners). Jetzt besteht dieses Problem schon ziemlich lange, obwohl ich immer wieder die Festplatten mit Zufallsdaten überschrieben habe. Was mich auf die Idee gebracht hat, ob evtl. das BIOS, Firmware oder ähnliches bei mir manipuliert worden ist. Da ich gelesen hatte, dass der Mikrocode der CPU überschrieben werden kann. Mittlerweile halte ich für alles mögliche und wenn ich über meine alten Bekanntschaften nachdenke (Ausbildung etc.), wo ich viele linux-freaks, Programmierer und angebliche "nicht mehr"-Hacker (angeblich nicht gegen Privatpersonen vorgegangen sei)... Was ich noch machen werde ist: - Bei meinem Internetanbieter nachfragen, ob sie evtl. wissen warum diese 5 IP-Adressen (die zu ihrem Netzwerk ebenfalls gehören) mich andauernd attackieren (bzw. ich DROPs auf meiner Firewall/Router sehe). - Ich werde auf eine neue externe IP warten und mit meinem Handy beobachten, ob diese Drops kommen, wenn kein Rechner läuft. -- getestet habe ich sowas schon nur, werde ich das diesmal über einen längeren Zeitraum, denn ich habe es schon mal getestet: auf dem Handy war nix zu sehen (hab aber auch nur maximal 10min gewartet), leider kurz nach dem ich das Notebook an hatte kamen die Drops wieder... Router-Log: Code: 10.119.0.1 UDP bootpc DroppedDanke für die Unterstützung...:balla: PS: das mit dem CODE habe schon vorhin gewusst, nur nach dem posten stand, dass der Text zu lang ist und man das als zip anhängen sollte.. |
Viel zuviel Text :D Du bist also am Neuaufsetzen? Sprich um den Rechner brauchen wir uns nicht kümmern? Du wirst warscheinlich nur gespooft. Setz mal den Router auf WErkseinstellungen zurück. |
Ja, ich werde gespooft, aber bei jedem windows-Start kam genau ein drop. Nun auch egal hab mir das Tutorial zum neu aufsetzen durch gelesen, was mir gezeigt hat welchen Fehler ich beim x-ten mal falsch gemacht. Denke bis spätestens Mitte nächste Woche kann ich Rückmeldung geben, dass alles sauber ist. Kann eine *.jpg Datei infiziert sein da ich viele Bilder zum sichern habe? Danke! |
Wenn es wirklich ne jpg ist, also keine versteckte andere DAteiendung, dann nein. Denk an den ROuter. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board