|
Rootkit, Scripts, Falsche Zertifikate, Viren, CoinMiner Guten Tag, ich habe seit einem Jahr massive Probleme nach einem Hack, habe Windows schon unzählige Male per Clean Install neu installiert, leider hat nichts geholfen. Scheinbar ist das Mainboard betroffen, die Grafikkarte, gefühlt alles. Es liegen gefälschte Zertifikate vor, Trojaner, Maleware, DNS Routing, scheinbar alles. Windows Updates werden jedes Mal neu angezeigt, ab und zu funktionieren sie. Es sind verschiedene Partitionen vorhanden die ich nicht löschen kann, Viren werden oft angezeigt, und ich bekomme scheinbar ein falsches Routing. Es kann auch sein das die Ethernet-Adapter betroffen sind. Mein Handy ist auch betroffen, dort sind auch falsche Zertifikate vorhanden, diese gleichen sich mit diesen hier. Damals als das System/Netzwerk infiziert wurde, gingen mir 1 Laptop sowie 2 Handys kaputt. Scheinbar wird hier mit Powershell Scripten gearbeitet, ich habe oft keine Erlaubnis Dateien zu öffnen und es wurden schon mehrmals dubiose Nutzer mit erhöhten Rechten mir übergeordnet. Bis zum letzten Clean Install habe ich Bitdefender Total Security genutzt, nichts hat geholfen. Viele Grüße und schon mal Dankeschön Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 21-11-2020 |
Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21-11-2020Code: Malwarebytes |
:hallo: Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen. Zitat:
Zitat:
Bist du Experte in Sachen Mainboard / Graka / Ethernet und kannst nachweisen, dass diese manipuliert wurden? So eine Malware gibt es nicht. Malware infiziert weder das Mainboard, noch die Graka. Zitat:
Zitat:
Zitat:
Bitdefender hast du aber am 17.11. installiert, daher ist deine Aussage schlichtweg falsch. Hättest du eine saubere Neuinstallation (dabei kannst du auch alle Partitionen löschen lassen) durchgeführt, hätten wir hier ein blankes Windows. Dazu kann man, wenn wirklich das Netzwerk betroffen wäre, den Router zurücksetzen und anschließend die aktuellste Firmware installieren. Zitat:
Die Funde von WD sind hierzu eindeutig: Zitat:
|
Hallo Matthias, ich weiß das hört sich alles weit hergeholt her, aber ich werde dir deine Fragen beantworten und genaueres erläutern. Zitat:
Als ich auf den Bildschirm schaute, war dort Paint geöffnet, mit einer Art Anleitung, ich konnte einen Teil davon lesen, darin stand wie sie die Netzwerkadaptereigenschaften sowie einige andere DNS/Routing bezogene Sachen zu verstellen hätte. Da ich sie mitten im Vorgang erwischte, gelang ihr scheinbar nicht komplett alles, scheinbar wurde versucht dass eine permanente Remote/LRPC Verbindung aufgesetzt wurde. Die Freundin, im selben Haushalt lebend, meinte das sie nichts gemacht hätte, hat aber bewusst schnell den PC über den Netzschalter ausgeschalten. Danach erzählte Sie mir unter Tränen dass Sie gezwungen wurde von einem Ihrer Freunde, der das schon bei mehreren Leuten abgezogen hat. Danach wurde alles immer komischer. Sie hat nach wie vor physischen Zugang zum PC, leugnet jedoch mittlerweile damals den Vorfall. Da ich den PC wirklich unzählige Male bereits per Clean Install neu aufgesetzt habe, war es eigentlich direkt wieder als würde ein Rootkit/Script sich vor dem Bootvorgang schon einschreiben. Zudem kam ein dubioses WLan Netzwerk im Laufe der Zeit hinzu, welches sogar Ihren Namen hatte und über meinen PC lief. Wie ich zur Annahme komme dass das Routing falsch ist, weil ich mit der Telekom bereits in Kontakt war, ich komme seit 1 Jahr IMMER an der selben Adresse raus, wenn ich meine IP Locate (komischerweise nur 2 Häuser entfernt von Ihrer Schwester!) Zitat:
Mir wurden Admin-Rechte entzogen, es gab durchgehend übergeordnete User und ich konnte die meisten Systempfade garnicht aufrufen, da mir das untersagt ist/war. Ich habe im Laufe der Zeit einige Powershell Scripte gefunden, auch auf einem USB-Stick von Ihr sowie auf einer SD-Karte. Deswegen kann ich zu 100% sagen, das eindeutig irgendetwas injected wurde, beim jedem Clean Install habe ich alle Partitonen gelöscht. Problem daran: Es ist auf der SSD Speicherplatz hinterlegt, der nicht! zugreifbar ist und nicht mit gewhiped wurde. Habe noch keinen Weg gefunden zu diesem Speicher auf der SSD zu gelangen. https://i.imgur.com/ooFBR0k.png Zitat:
Die Handys wurden mit Odin geflashed, scheinbar hat Sie ein falsches Custom-ROM verwendet und seitdem steckt es in einem nicht beendbaren Bootloop. Ich möchte dich bitten, mich ernst zu nehmen, ich habe Ahnung, "Experte" kann ich mich aber nicht nennen. Ich kann nur soviel sagen, dass PC schon seit Kindheit mein Leben ist, der PC gerade mal 1 Jahr alt ist und ich ihn selbst zusammengebaut habe, Kosten 2400€+, deswegen würde ich gerne den PC und alles sauber bekommen. Auf die Idee, das mit der Grafikkarte etwas nicht stimmt, kam ich neulich als ich sie zur Reinigung herausnahm und die PCI-E (4 Pin und 3 Pin) abklemmte. Zudem habe ich neue Wärmeleitpaste auf den CPU-Sockel aufgetragen. Nach dem erfolgten säubern, baute ich diese wieder ein, und Wunder ich konnte plötzlich endlich die Gerätesicherheit nutzen! TPM an! Sicherer Start an! Zuvor unmöglich gewesen. Als ich ziemlich am Anfang nach dem Hack den ca 3. Clean Install machte, habe ich versucht es über ein Microsoft-Konto zu machen, statt einem Lokalen. Keinen Restart später, sollte ich statt eines Passworts eine PIN eingeben, welche ich nie vergeben habe. In der Zeit war nur ich am PC. Einige Beispiele die immer wieder nach Clean-Installs auftraten: Druckerwarteschlange war "komisch", als ich den Drucker anmachte, kamen mir 4 Seiten raus, die alle meine Logins aus Firefox beinhalteten. Der erste Hack war die reine Hölle. Ich habe 3 Monate gebraucht, bis ich wieder Zugriff auf all meine Accounts hatte. Alles weg, da ja auch der Laptop sowie Handys angegriffen wurden. Alles per Hand, da bin ich mir sicher, das meine liebe Freundin da mächtig Kacke gebaut hat, wie Sie selbst damals sagte. Zudem schien der PC eine Zeit lang als VM zu laufen, was mich vollkommen schockierte. Ich bin einfach schon abgestumpft und habe gerne über offensichtlich manipulierte Sachen hinweggeschaut. Es lief oder läuft auch, was ich absolut nicht! verstehe, eine Partition mit großem C:// und eine andere!!! mit kleinem c:// Wenn ich etwas gemacht habe, wird/wurde in diversen Ordnern per Log direkt festgehalten was geöffnet, geändert usw wurde. Windows Updates funktionieren fast nie, manchmal habe ich die Vermutung dass der PC eingestellt ist wie Schul-PC´s, bzw Kiosk-Mode. Das der PC infiziert ist kann ich wirklich zu 99.99% garantieren. Zitat:
Selbst nach dem aktuellen Clean-Install, waren (hab sie gelöscht, bringt aber nichts) oder sind (meistens in System-Ordner) genau das Datum des Hacks, ergo 2019 deklariert, indem Ordner sich dann Powershell usw befanden, und das war eigentlich jedes mal so. Zitat:
Zitat:
Hier mal ein kleiner Auszug, damit Sie sehen können was für ein Schwachsinn auf diesem PC geschieht. Zitat:
Dies ist geschehen durch den offiziellen Monero GUI Wallet der einen integrierten Miner hat, der die Option "Im Hintergrund minen" drin hat. Das habe ich wohl nun von einem Testklick. Sorry für den vielen Output, ich versuche wirklich alles um Ihnen die Hilfe zu erleichtern, aber das hier ist eine gigantische Hausnummer, und ich nehme Ihnen die Zweifel nicht übel Eine Frage hab ich noch, was ja meine Theorie mit 2 laufenden OS bzw Logging verstärkt und den unauffindbaren Platz der SSD mit belegen würde Zitat:
Im Abschluss noch einmal wieso ich von Powershell ausgehe, ihr Ex-Freund ist seit Jahrzehnten im Fraud-Buisness etc aktiv, Ellenlange Vorstrafenakte hat der Herr, hat meine Freundin gezwungen damals dies zu tun, jene hat das schlimmste was einer Frau widerfahren kann durchmachen müssen, weswegen Sie von Angst getrieben war, Ihre Erinnerungen sind leider weg, aber das wundert mich nicht, bei einer Morddrohung sowie sex. Missbrauch... Das BKA ermittelt gegen Ihn, irgendwie schafft er es immer wieder aus jeder Sache rauszukommen (bis jetzt zumindest!) Das hier ist leider ein bitterer Beweis, wie böse die Welt sein kann.. Liebe Grüße aus der Oberpfalz PS: Zitat:
Win32/Uwasson.A!ml kam aus dem nichts, scheinbar nutzte jemand die durch das Test-Mining geöffneten Ports, ich hab dafür auch keine andere Erklärung. EDIT: Wollte eben die Antwort abschicken, werde auch als eingeloggt angezeigt, es kommt jedoch: Sie haben für diese Aktion nicht die benötigte Berechtigung. Bitte laden Sie diese Seite erneut und melden Sie sich an, bevor Sie es erneut versuchen. Zeigt mir auch wieder, wie oft schon im Browser Sachen verstellt wurden, Javascript an/aus trotz noscript und in der config deaktiviert... Scheinbar will jemand Verhindern das ich hier Hilfe beziehe Hier AKTUELLE! Screenshots aus C:\Windows\System32 4364 Dateien, die vom Zeitpunkt 2019 sind, aber immernoch auf dem System sind, und das alleine im System32 Ordner... Anmerkung: Hatte zuvor über Firefox den Screenshot aus dem oberen Post auf Imgur hochgeladen, jetzt kommt eine Fehlermeldung und ich kann dort nichts mehr hochladen, also anderen Picture-Host über Edge benutzt https://i.ibb.co/9gZRWhq/image.png https://i.ibb.co/TLjXpd1/image.png https://ibb.co/R6T8D3t Und es nimmt kein Ende. Eben konnte diesen Beitrag nicht mehr editieren und sollte mich an die Administration wenden, Nachricht geht jetzt trotzdem durch |
Und wieder sprichst du von einem "Clean Install", was jedoch nicht das gleiche wie eine saubere Neuinstallation zu sein scheint. Ich werde mich jedoch nicht wiederholen... dazu habe ich in meiner letzten Antwort genug geschrieben. Es ist keine Malware in den Logdateien zu sehen... bis auf diese PUP, die du ja entfernt hast (wie du sagtest). Daher können wir dir leider nicht helfen. Wenn du weiterhin der Meinung bist, dass Malware auf deinem System ist, welche eine echte Neuinstallation überlebt, dann könnte das zwar theoretisch sein (UEFI-Rootkit)... die Wahrscheinlich hierfür geht aber gegen Null. In so einem Fall (UEFI-Rootkit) kannst du deinen Rechner wegschmeißen und dir was Neues besorgen. Und wenn du ganz sicher gehen willst, kaufst du dir auch gleich noch einen neuen Router. Und wenn du dann alle Geräte ausgetauscht hast, kann da drauf keine Malware sein und du bist dein Problem los. :kaffee: Solltest du dann nach der Installation der neuen Hardware auch noch weiter fest davon überzeugt sein, dass du Malware auf deinem System hast, dann gehört das in den Bereich Hysterie / Wahnvorstellungen / Paranoia. In diesem Fall können wir dir leider nicht weiterhelfen. Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema. Jeder andere bitte hier klicken und ein eigenes Thema erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board