Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten
 

/// Gleich als erstes bitte ich um Entschuldigung für eventuelle Formatierungsfehler und fehlende Logs.
Ich versuch mein bestes mich an die Vorgaben zu halten :)
(Sobald ich nach dem Windows neuaufsetzen ins Internet geh, haut der mir nach etwa 10 Minuten alle IP´s durcheinander. Daher schreib ich das jetzt in nem Textdokument vor und habe die Files so gut es geht vorbereitet)
OTL kann ich leider nicht laden. Ich habe es von 3 oder 4 Mirrors probiert, aber alle meine Internetfähigen Geräte steuern wohl einen anderen DNS Server oder so an und verhindern den Download.
Auf einen sauberen Rechner kann ich aber auch nicht, da der USB stick sofort alles infiziert.
Ehrlich gesagt hab ich die ganze Hardware auch fast schon aufgegeben nach dem was ich über "Hardware Backdoors" gelesen habe ( hxxp://www.google.com/url?sa=t&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.extremetech.com%2Fcomputing%2F133773-rakshasa-the-hardware-backdoor-that-china-could-embed-in-every-computer&ei=rT6gUJ-VEomPswbH7oGgDw&usg=AFQjCNHZmHUuiPoh7nand1Aji_K1MnxgPw). Aber vielleicht liege ich ja falsch :) ////


Die "Story":

Offenbar war ich in ein Botnetz eingebunden und habe ein wenig im System geforscht und Prozesse beendet. Fand nen Logfile was rund 2 monate zurück datiert war. wurden also schön alle meine Daten gesammelt und hochgeladen. Na Super.
Hatte Malwarebytes, AVG Free Antivirus und Windows Firewall drauf, aber die waren schon längst unterwandert und zeigten immer schön "alles sauber" an.
Offenbar wurd der Rechner in meiner Abwesenheit auch mal hochgefahren etc.
Ich war auch ein wenig angeschwipst den Abend und anstatt vernünftigerweise den Rechner auszumachen und mich bei euch zu melden, hab ich natürlich die ganze Nacht rumgespielt und versucht rauszufinden was da alles gemacht wird.
Und natürlich auch nix gespeichert von den Logs -.- (DAU halt)

Hab dann im Laufe des Abends die Festplatte formatiert. Vorher war Win7 x64 vom USB Stick drauf , aber ich hatte nur noch ne neue 32bit xp home edition hier (super. den oem-key bin ich dann auch los)
Bei dem ersten Start von Win XP wurden viele Dateien auf meinem Rechner installiert und "neue hardware gefunden". Lauter Ordner im Win Ordner die da sonst eigentlich nicht sein sollten.
Naja mein smartphone war mittlerweile auch ferngesteuert und wurde neu gerootet mit nem manipulierten gingerbread ohne dass ich es mitbekommen hab.


Was ich gemacht hab:

- Dem Log hab ich entnommen, dass Sie anfangs an den Treibern der Soundkarte was gemacht haben. -> Soundkarte ausgebaut
- Hatte manipuliertes BIOS gefunden nachm Neustart -> Neues BIOS raufgeflasht -> Keinen Effekt
- Festplatte formatiert (mehrmals auch übers Repairtool mit fixmbr, fixboot und bootcfg /rebuild) -> Nach jedem Neustart wieder manipulierter Bootsektor
- Soundkarte+festplatte+dvd-laufwerk ausgebaut+bios geflashed. AUch in Kombination mit Strom-aus und cmos reset. Und nachm Neustart war wieder alles beim alten -.-
- regedit+Ereignisprotokolle(Infos sammeln; Einstellungen wurden eh resettet nach Neustart), msconfig , abgesichterter Modus etc.
- Router resettet, Wlan aus, neue Passwörter. Kein PC dran bis alles sauber ist. Deshalb häng ich hier jetzt auch mit UMTS
- hab probiert mit Ubuntu CD zu booten -> wird vom Laufwerk gefressen und Laufwerk verschwindet ausm Explorer

Bin mittlerweile zu dem Schluss gekommen, dass absolut jede Firmware infiziert sein könnte und man jedes einzelne Bauteil/Gerät in sauberer Umgebung neu flashen müsste um dem Herr zu werden.
Sogar die Firmware von meiner Digicam die ich vor nem Monat am USB hatte is neu...

Hoffentlich krieg ich wenigstens mein Handy wieder hin (vielleicht weiß jemand wo ich damit am besten hingehen kann? Selber machen würd ich eher ungern. Hab weder einen sauberen PC noch Ahnung vom "rooten").
Wenn ich das an Samsung schick werden die mich auch auslachen^^


Was noch fraglich ist:
- Ist der W-lan router auch infiziert? Hab schon öfter von manipulierter Firmware gehört wo man dann Vollzugriff auf die Einstellungen kriegen kann und auch DNS server ändern kann usw.
Da an dem W-Lan auch noch andere PC´s hingen oder von Besuch etc. befürchte ich dass da jetzt nen Botnet ordentlich zuwachs bekommen hat...
- Was sollte ich tun wenn ich mit einem neuen Gerät wieder ins Internet will und den nicht auch gleich anstecken will?
- Wo war die Schwachstelle? Aber ich denk mal allein durchs Smartphone hatten sie schon genug Angriffsfläche. Kann gut sein, mal ne falsche App angeklickt zu haben die mir auf den Desktop kopiert wurde :(
- Welche Geräte sind noch brauchbar? Also ich glaub selbst ne Maus hat ein BIOS oder?
- Andere noch nicht formatierte Festplatten sind auch verseucht. Backup am besten alles ins Internet hochladen und dann mit dem sauberen PC wieder runterladen oder?


Die Logs sind vom Win XP mit treibern für grafikkarte, soundkarte und Lan.
Muessen noch kurz warten inet zu langsam. sorry alles in einem ordner jetzt.
lg

Hallo und :hallo:

Wie bitte willst du das rausgefunden haben?
Ein kompromittiertes BIOS ist zwar nicht unmöglich aber äußerst unwahrscheinlich und selten

Jedes Mal ein erneut verseuchter MBR wäre ein Argument für die Anwesenheit von zB mebromi => Die Rückkehr des BIOS-Trojaners | heise Security
Vorausgesetzt du hast auch wirklich alles richtig gemacht beim Überschreiben des MBR, wo ich noch ein wenig meine Zweifel habe

Nebenkriegsschauplatz? :wtf:
Dem Router ist es egal was für Kisten an ihm hängen
Das ist kein Booten von CD was du da beschreibst! Wenn man von der CD booten will, dann startet man eben nicht Windows und klickt auf das CDROM-Laufwerk! Siehe => http://www.trojaner-board.de/81857-c...cd-booten.html

Quatsch :D
Sieh erstmal zu, dass du den Rechner von Ubuntu oder einem anderen Live-OS gestartet bekommst. Dann kann man mal sehen ob der MBR noch infiziert ist und ob ein Überschreiben des MBR unter Ubuntu etwas bringt sprich der MBR nicht bei jedem neuen Hochfahren re-infiziert wird.

Ich hoffe diesmal hab ich mehr hilfreiche Infos im Wall of Text versteckt als im Startpost, Danke schonmal für die schnelle Antwort :)

Jetzt mal ein ganz frisches Windows und nicht den Fehler gemacht den Internetexplorer zu starten.
Die Startseite vom Internetexplorer startet eine dll datei die das internet umkonfiguriert^^ (hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome).
Jetzt kann ich auch n vernünftigen Post machen.

Die Anhänge (optional):

- gmer Der Einfachheit halber mal das gmer-log am Ende des Posts (log von voriger Installation nachdem Grafik- Sound- und Netzwerktreiber installiert waren. Mit frischem Win XP keine Funde gemeldet.)

- Systemdateien auf Speichermedien.zip (Bootdateien die das windows auf andere Medien installiert. ->infoquelle)

- Screenshots (vielleicht findet man da ja was verdächtiges. "pagefile.sys" 2gb groß?) Anhang 46236Anhang 46235

- msinfo32.nfo - Zip

- hab auch noch logdateien, scripte etc von einigen der Programme, wenn Bedarf besteht. Wüsste zu gerne womit ich es überhaupt zu tun habe, bevor ichs platt mach, aber will jetzt nicht alles mit logs zuspammen ihr wollt hier eh andere sehen und wenns doch nur n langweiliges rootkit ist, hält sich das interesse dann eh in Grenzen :(

Neben einer Kurierung des Systems hätte ich mittlerweile auch durchaus Interesse an gefundenen Spuren die Hinterlassen wurden. Son madiges scriptpaket gehört verbannt^^


Zu deinen Punkten:
Das mit dem BIOS war bei mir recht offensichtlich (Es fehlten sehr viele der Einstellungen die ich gewohnt war. Im Gegenzug dazu kamen paar neue dazu (z.B.: "boot from vga"). Desweiteren kam nach dem ersten BIOS-flash mit "ASUS EZflash 2" per USB Stick die Meldung, dass mein USB Stick jetzt mit Fat formatiert wäre (mit smiley:aufsmaul:) Unter der Windows den Stick angeguckt dann war da nen papierkorb mit ner .pxr datei drin.
Alle Änderungen der BIOS optionen sind in der Registry zu sehen (Anhang: logs)

Mein Mainboard hat außerdem das "Asus Express Gate". quasi ein preboot OS welches ich ausgeschaltet hatte aber neuerdings mit einer Fehlermeldung lud. (Die Fehlermeldung war nach meinem ersten bios flash-versuch weg). Asus Express Gate im Bios deaktivieren bleibt ohne Effekt.
Außerdem wurde meine Hardware teiwleise garnicht mehr erkannt. Dafür lauter PCI Adapter.
Naja ich denk mal die Logdateien sind da recht aufschlussreich.

Der Rechner behält Strom. (vermutlich um malware im ram zu behalten):
Netzteil aus, zieht er immernoch Strom aus der cmos Batterie. Nehm ich die CMOS batterie raus, blinkt die grüne lampe immernoch. Strom vom Monitorkabel? Erst nach entfernen vom DVI kabel ist der Rechner wirklich aus. Danach hat er beim ersten Start VOR der Anzeige vom BIOS ca 4 sekunden n blackscreen gehabt und paar Geräusche ausm PC. "Klick-Klack" (festplatte?) Und dann ist wieder das manipulierte bios bzw fake bios drauf.

Ich hab auch schon alle Geräte die er nicht zum Hochfahren braucht entfernt und dann das Bios geflashed (mir fällt grad ein, vielleicht war der USB stick bereits infiziert und hat das gefaked? Oder der Stick wurde beim Einstecken vom manipulierten Bios/Express Gate direkt unterwandert?)

Danach n zweiter Versuch mit Kompletten Strom weg als er gerade fertig war mitm Bios flashen bevor er neustarten konnte.
Wieder CMOS Batterie mit raus. Und wieder startet er mit dem falschen BIOS. Also wo steckt der Wurm oder was auch immer?

Daher ist es doch auch recht egal ob ich die Festplatte jetzt richtig gereinigt hab oder nicht, da der RAM, das BIOS und die Physikalischen Datenträger wohl nicht die einzigen Malware-Backups im System sind?!
Hoffentlich hab ich Unrecht.

Ja bin da auch nicht mehr so ganz sicher :D war son 5 schritte guide gegen mbr rootkits, aber wohl nicht ausreichend
Ich dachte allerdings auch zuerst an nen mebroot rootkit o.ä.

Wenn er jetzt manipulierte windows treiber hat und ich Ubuntu installier sollte er doch eigentlich garnix machen können ohne Internet oder? Also klar, halt wieder recoverykonsole fixmbr deviceharddisk0 um den bootsektor zu fixen oder mal eines der andere Programme ausprobieren. OTL und mbr such ich gleich mal.


Das Ubuntu hab ich natürlich beim Booten installieren wollen (von DVD) und dort hing er sich auf. Unter WIndows die selbe Geräuschsymptomatik bis zur ewigen Stille. Aber wie ich mittlerweile in den logs gesehen hab ist das Laufwerk treiberseitig nur als CD Laufwerk installiert/nutzbar?!


Hab Ubuntu leider nicht auf Stick und ich kenn niemanden der einen meiner Sticks bei sich reinstecken lassen würde :D
Beim booten sieht man auch, dass das Primäre Bootlaufwerk "Disk" heißt mit der Schnittstelle "Port". Im BIOS ui gibts nur einen Hinweis dass nicht alle bootmedien angezeigt werden können.

Ich
Ich brauch im Prinzip irgendwas, das noch vor dem express gate bootet, bzw n express gate mit rootkit detection. Aber davon hab ich noch nie gehört^^

Hm, das werden zuviele Themen auf einmal und durcheinander, fangen wir mal sauber nur mit wenigen Punkten an

Das ist schon malw recht durcheinander, enn du von der DVD bootest ist das völlig egal als was das installierte Windows meint, das optische Laufwerk erkennen zu müssen
Wohl aber können merkwürdige Geräusche sowohl beim Booten als auch bei der Nutzung des opt. Laufwerkes unter Windows auf einen Defekt hindeuten
Einfach mal ein anderes optisches Laufwerk einbauen

Wenn da tatsächlich auch der MBR ständig infiziert ist!
Normalerweise zeigt GMER einen verdächtigen MBR an (rootkit-like behaviour) aber ich seh da nichts


1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Die Logs bitte NICHT anhängen!!

Sie müssen nur dann in den Anhang (als eine ZIP-Datei mit allen Logdateien), wenn sie zu groß sind um direkt gepostet zu werden!

Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher, übersichtlicher und man spart sich ne Menge Rumklickerei!

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

ich hab mir zwischenzeitlich ordentlich Malware eingefangen mit meinem jungfräulichen xp und hab dann "Comodo Internet Security" installiert. Das Programm hat auch ne anti rootkit Funktion oder sowas ähnliches und hat sich selber als rootkit installiert.
hat mir dann das ganze Windows zerhauen und ich konnte nichtmal mehr im abgesicherten Modus Dateien verschieben o. ä.

hab also jetzt neu installiert. srware iron drauf, paar Treiber und dann direkt die ganzen diagnose tools durchlaufen lassen.
Ich möchte die gerne nochmal posten der vollständigkeit halber. Einfach nochmal von vorne anfangen :) aber das wären dann 3 Posts allein für die logs "Der Text, den Sie eingegeben haben, besteht aus 388687 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 120000 Zeichen." :D die logs waren eh alle leider ohne Funde :(

Es ist mir einfach ein Rätsel wieso das system auf einmal "sauber" ist (solange ich nicht auf die eingestellte startseite vom internetexplorer klick)

Selbst wenn es durch eine glückliche Fügung so sein sollte bleibt weiterhin die sache mit dem sich zurückflashenden BIOS, den PCI Controllern, der manipulierten registry deren Einträge sich nach einem Neustart wiederherstellen etc.

Bei den Systemtreibern hab ich jetzt u. a. ksecdd und RDPCDD gefunden. was hab ich denn noch alles? (nfo file im startpost)

Nochmal kleines Update:
ich hab das asus express gate neuinstalliert und kann es nun nutzen. remotezugriff per app -.-
ich frag mich ob meine daten sicher sind wenn ich übers express gate surfe? das ist ja in einem flashspeicher installiert, aber n keylogger oder so könnte ja auch da mit drin sein und während meiner sitzung hochladen oder?

Erstmal:

Soviel zum Thema infizierter MBR. aswMBR meldet nichts, TDSS-Killer meldet nichts

Was machst du mit einem noch frischen System im Netz? Ohne Absicherung? Ohne Updates?
Fehlen dir jegliche Grundkenntnisse? :confused:

Und was soll eine kontraproduktiv-schwachsinnige PFW bringen? Die Windows-Firewall ab SP2 macht einen Klasse-Job, mehr braucht man nun wirklich nicht und Zaubern kann comodo erst recht nicht....

Lies mal was ExpreassGate aka Splashtop ist => Splashtop

ja ok ich bin das teil immernoch nicht los. das ist echt fies. unten hab ich mal das startsetup von der namenlosen malware reinkopiert.

bitte sag mir dass noch hoffung besteht solange man hochfahren kann ;)
hülfe :(

klar dass ich keine falschen mbr dateien finde wenn meine festplatte nur ne partitionen auf seiner ramdisk ist.
sämtliche dateien die man einspielt kopiert er sich sofort in den ram konfiguriert sie um und spielt sie verändert wieder zurück (verlinkt) und vergrößert sein riesiges backup und kann sofort jegliche hilfssoftware ausschalten und neue malware mit in sein repertoire aufnehmen.
wenn ich mit der windows cd in die recoverykonsole gehe greift der nichtmal auf die cd zu :D
und die konsole geht erst auf wenn er sich die ganze cd in den ram geladen hat.
hab auch schon nen speicherriegel rausgenommen gehabt, aber fürs windows braucht der ja nicht viel. dem bios kann ich entnehmen, dass er rund 700mb irgendwo im system verstecken kann. "reallocate memory to pci" das bios läd er vom marvell ide controller und bootet von der grafikkarte. zusätzlich nutzt der wohl noch den lvl 3cache vom Prozessor und virtualisiert ne maschine mit intel VM. selbst die besten rescue sticks helfen nix. generell deaktiviert der alle files solange bis er sie ausgetauscht hat. wenn man ihn lässt macht der aus jedem stick n bootfähiges malware windows :D
unter windows kann man das zwar unterbinden, mit netten programmen wie rkiller und dann mwbam aber ist ja alles nur fassade.
wenn ich durch strom-aus sämtliche flashspeicher geleert und die festplatte formatiert habe (natürlich auch nur pseudo formatierung), dann hat der ohne anschluss der festplatte immernoch genug speicher im system/bios. für nen bootfähiges image. selbst auf der soundkarte war aktivität. über die sind die ja auch reingekommen^^

selbst combofix wird für dumm verkauft. ich dachte den damit schon weg zu haben, aber dann hat er sich beim neustart wiederhergestellt.
richtig toll wirds wenn er dann auch n dns changer auf meinen rechner schickt der das telefon an meinem router anruft und mir dann zbot und son mist raufholt nach jeder neuinstallation
mittlerweile hab ich den router wieder sauber und hab den einigermaßen wieder unter kontrolle solange ich ihn hochladen lasse. selbst den post hier loggt der mit und macht schon n päckchen fertig
achja smartcards sind auch noch drauf mit remote keys auf meinen pc für verschiedenste "Kunden". wenn ich das häkchen da raus mach und abgelaufene smartcards zulasse hab ich richtig party aufm rechner^^
(hab windows auf das jahr 2025 gestellt, damit ich wenigstens länger als ne stunde aufm desktop bleiben kann, sonst laufen da 2 dutzend anwendungen)


so hier das gekürzte log

Ich weiß nicht wovon du redest
Nochmal: die Logs von aswMBR und tdsskiller oben sind sauber!
Mit welchen Funden willst du deine These des verseuchten eigentlich untermauern?!

Hallo?! Eine RAM-Disk ist eine RAM-Disk und eine Festplatte eine Festplatte! Hier mal aus aswMBR

Disk 0 Vendor: WDC_WD4000AAKS-00A7B0 01.03B01 Size: 381554MB BusType: 3

Das kann ja wohl schlecht eine RAM-Disk sein!

Zudem wird der Strang hier immer schwieriger, ich hab den Eindruck du verzettelst dich in dutzenden Themen und Vermutungen, bringst hier und da was durcheinaner und folgst dann einem völlig falschen Weg, deswegen gehe ich auf den anderen Text erstmal nicht näher ein

okay. hast ja recht :)

hab jetzt geschafft n Windows 7 x64 zu installieren, jetzt hab ich wenigstens halbwegs aktuelle updates nach der Neuinstallation.
Leider hab ich hier schon ein paar Programme und Treiber installiert. Ich dachte schon ich hab endlich Ruhe und nach 15min ging es dann wieder los :/

Verallgemeinert könnte man sagen:
- viel zu hohe CPU Auslastung und Festplattenaktivität.
- Langsame Internetverbindung mit disconnects.
- Das Bios hat stark veränderte Optionen
- Registryeinstellungen setzen sich nach Neustart oder sogar Betriebssystemwechsel wieder zurück
- Treiber stürzen ab
- Ich habe auf einmal ganz viele PCI Geräte.
- Virenscanner und Rootkit scanner finden nichts.
- Doppelte Ordner und Dateien erstellen sich, ohne Zugriffsrechte auf diese zu haben und nach ner Zeit wieder verschwinden

und naja. hier nochmal n aktuelles otl log. ich weiß echt nicht wie ich das wieder loswerde ohne n neues mainboard oder pc zu kaufen.

was ich gerade noch gesehen hab. das menu vom router hat sich geändert mit neuer firmware drauf. O2 interface anstatt alice. macht der von alleine ja eher nicht oder? ipv6 steht da jetzt auch drin und die WAN Ip hat sich geändert?! naja vielleicht fehlalarm

Zu unkonkret

Verbindung unter Live-Linux testen, ggf auch an einem anderen Rechner

Zu unkonkret
Zu unkonkret - welche genau sollen das sein, WARUM willst du genau welche Keys/Values ändern?

Zu unkonkret
Wie soll sich das bitte bemerkbar machen?

Zu unkonkret
Zu unkonkret

Warum hast du eine Windows Ultimate Edition? Aus welcher Quelle?

da ich nicht genau verstanden hab wie ich das weiter konkretisieren soll denke ich mal dass screenshots ok sind. alles im leerlauf
Anhang 46589Anhang 46590Anhang 46591
Noch konkreter kann ich halt dazu sagen dass es daran liegt, dass er sämtliche Daten spiegelt. aber das hab ich ja alles schon erzählt
siehe hier:
Anhang 46592Anhang 46593

ich habe mir mal rausgeschrieben was mir aufgefallen ist:
Ich habs auch abfotografiert falls erwünscht. Vielleicht siehst du auch so schon was. Der Bildnerordner is nämlich recht groß.
- "Einstellungen für PCIPnP" sind neu
- "Intel Virtualisation Tech" ist angeschaltet
- "Memory Remap Feature" ist neu und angeschaltet
"PCI MMIO Allocation 4GB to 3328MB"
- "Memory Hole" ist neu und deaktiviert
- "Initiate Graphic Adapter" [PEG/PCI]
- BIOS EHCI Handoff ist aktiviert
- advanced pci/pnp settings - Plug and Play OS ist deaktiviert und auch neu
- ACPI APIC Support ist neu und aktiviert
- Addon ROM Display Mode [Force BIOS]

Abbild der registry hab ich bereits gepostet gehabt.
Ich will da nicht groß was ändern, dafür weiß ich da zu wenig. es ist mir nur aufgefallen dass fehlerkorrekturenn durch z.b. AVG nach einem Neustart wieder rückgängig gemacht sind.

das gerät wird nicht mehr erkannt und windows will nach treibern suchen. oder der Ton geht aus. oder grafikkartentreiber pdouziert fehler am laufenden band, welches vorher nicht vorkam.

Anhang 46594

ich habe meinem chef davon erzählt, dass ich gehacked wurde und nun sämtliche IT nicht mehr richtig funktioniert oder ferngesteuert wird. Ich bat ihn um irgendein OS das er da hatte damit ich wenigstens wieder ins internet komm um mir linux o. ä laden zu können

Ich hoffe das ist was du hören wolltest. wenn nicht, dann bitte spezifischer die AUfgaben an mich verteilen. ich werd mich ab sofort strikt daran halten und nicht mehr selbstinterpretieren, da ich sehr an einer problemlösung oder wenigstens problemidentifizierung interessiert bin.

Ich glaube du siehst Gespenster und interpretierst vieles einfach hysterisch falsch.

Diese BIOS-Optionen sind völlig normal. Nur weil die dir vorher nicht aufgefallen sind ist das kein Grund zur Annahme eine Kompromittierung!

An der Registry fummelt man auch nicht rum und wenn man keine Ahnung von bestimmten Registry-Zweigen hat ist auch ebenfalls merkwürdig da eine Kompromittierung herbeizureden
Ich kenn auch nicht alle Registry-Keys und Values, aber nur weil ich etwas nicht kenne bzw. mir nur weil mir ein bestimmtes Verhalten nicht bekannt ist gehe ich nicht gleich von einer Kompromittierung aus

So, welche Geräte wären das denn genau?
Du hast nicht irgendwelche buggy Treiber benutzt?
Dein System ist auch sonst nicht verhunzt unda damit meine ich zB übertaktet ??

Siehe oben beim BIOS, da kann man exakt das gleiche schreiben, denn auch diese Auflistungen find ich nicht ungewöhnlich

Was ist denn jetzt mit Linux??