hab ein Riesenproblem

M

Msds1

0
Hi, vorab, was ich hier schreibe wird von anderen gelesen und ich hoffe, das der Beitrag durchkommt. Ich bin kein Hacker und habe davon auch keine grosse Ahnung, das würde sicherlich hilfreich sein aber mir fehlen die Ansätze.
Also, jemand hatte mal physischen Zugriff auf meinen Rechner, offensichtlich öfter als mir klar ist..Jetzt folgende Situation:
Seit über 2 Jahren habe ich aus nicht nachvollziehbaren Gründen Leute am Hals, Hacker mit Kenntnissen die meine weit übersteigen (ausserdem sind es mehrere) und ich werde sie nicht los.
Als Anschluss habe ich einen 100mbit Vdsl2 Zugang und eine Fritzbox 7390, mit einer Firmware des isp. Einen normalen Desktop, Amd xII 250, 12Giga und ein Asus oder Asrock MB.
Ich habe in den 2Jahren ca. 200mal diverse Linuxe oder Windows 7 installiert.
Fast alles, ausser OpenBSD/unix.
Jetzt zu dem hacken, eigentlich eher ein fremdadministrieren. Zb. ich installiere Win7. Cd einlegen, durchklicken und automatische Updates. Gegen Ende der Install. werden die Udates "neu konfiguriert" ich ich bekommen eine Netzwerkclient -Installation verpasst, und über die Gruppenrichlinien werden mir willkürlich die Rechte entzogen. Ich habe ein c:\Users\user\AppData\Roaming\ , c:\Users\user\AppData\Local\ und
c:\Users\user\AppData\locallow Verzeichniss. Meine Imap Mailboxen liegen auch auf einem Server. Fakt ist: ich werde über Wlan oder Bluetooth gehackt. Jetzt wirds aber komisch. Auch wenn ich ohne angeschl. Router oder Wlan Device installiere, werde ich ins fremde Netz eingebunden und als erstes meine Firewall manipuliert. Der RPC Dienst muss immer an sein. Meinen Rechner habe ich immer wieder durchsucht aber nichts gefunden!!
Wie geht das??
Mein Bios bootet zwar auch unsichtbar in ein Netz (pxe), aber wenns sein muss, wird wlan genommen. Ich habe auch keine Bluetooth Geräte.
Wenn ich eine Live CD von zb. Gparted nehme läuft immer das wicd Modul.
Root Rechte bekomme ich nicht.
Es ist wirklich wahr. Diese Leute sind in Wlan-Reichweite.
Unter windows 7 hat "system" mit svchost die kontrolle.
Ich habe Loop und aufs Dateisysteme. Meine Festplatten haben verschl. unsichtbare partitionen. Sind die zu retten?
Wie kann das sein, wie geht das? Ich selbst bin unwichtig aber werde wohl manisch gehasst. Habe auch keine Daten, die wichtig wären. Die haben sich alles gekrallt oder gelöscht. Bin kein Kinderpornograph oder krimineller.
Wie komme ich da raus? Kann mir jemand helfen?
g.
 
Zuletzt bearbeitet:
Als Ihr Anwalt empfehle ich Ihnen dringend, das Internet sofort zu verlassen und den (un)Ort nie wieder aufzusuchen.

Aber mal ehrlich. Bei deinem Mainboard könnte es tatsächlich der RAM sein.
 
Ram?

Chromatin hat gesagt.:
Als Ihr Anwalt empfehle ich Ihnen dringend, das Internet sofort zu verlassen und den (un)Ort nie wieder aufzusuchen.

Aber mal ehrlich. Bei deinem Mainboard könnte es tatsächlich der RAM sein.
Zum Vergrößern anklicken....

Natürlich, sollte ich nicht am pc sitzen. Aber er ist Teil meiner Welt und ich zahle pünklich meine Rechnungen. Auf sachen wie online-Banking muss ich schon verzichten.

Wie meinst du das der RAM? Mir fehlt of ein MB im Hauptspeicher oder im Grafikspeicher...
Wie kann das gehen, wenn ich einen neuen Rechner hinstelle?
Das kann doch nicht alles virtuell oder emuliert sein! Wofür gibts angeblich sichere Router, wie die FritzBox 7390? Das kann doch nicht wahr sein.
 
Also 1. reicht ein einziger Thread und zweitens ist mir jetzt noch nicht so wirklich klar, auf was das hier nun wirklich hinauslaufen soll.

Hast du deine FB denn mal zurückgesetzt und dann neu eingestellt? Dann sollte diese schonmal wieder sauber sein, falls die überhaupt "gehackt" worden ist. Ggf. schaltest du dann noch solchen Mist wie UPnP aus, damit sich kein Programm ungewollt Portweiterleitungen einrichten kann.

Zu deinem Rechner:
Wenn die Daten tatsächlich unwichtig sind, dann mache doch einfach mal ALLES platt. Es ist durchaus möglich, dass du einen Schädling hast, der sich auch in deinen gedownloadeten Treibern oder Updates eingenistet hat. Wenn du diese nun nach einer Neuinstallation nicht auch neu lädst sondern die vorhandenen verwendest, würdest du dein System gleich wieder infizieren.

Was ich bisher noch gar nicht verstanden habe ist, dass dein Rechner angeblich ohne Netzwerkanschluss "übernommen" wird. Sollte dem wirklich so sein, muss der Schädling auf deinem System verblieben sein, anders ist das nicht möglich.
 
Also fangen wir mal am Anfang an:
c:\Users\%Username%\AppData\Roaming\
c:\Users\%Username%\AppData\Local\
c:\Users\%Username%\AppData\locallow
sind ganz normale Windows 7 Ordner und die bekommt jeder Benutzer verpasst das ist ganz normal.
Beim Installieren von Windows wird zum Abschluss das Netzwerk eingerichtet ohne eine absolut genaue Meldung behaupte ich mal das es die normale Windows Meldung ist.

Zum Booten in ein unsichtbares Netz, pxe steht für "Preboot Execution Environment" in deiner Bootreihenfolge im BIOS wird dein Rechner wohl beim booten am Anfang nach einem Server suchen der dem Rechner eine IP gibt und ihm Start Optionen übermittelt. Dafür muss aber ein passender Server im Netztwerk sein der ihm diese Informationen auch gibt die angezeigte Meldung dürfte also die gleiche bleiben egal ob ein Netzwerkkabel angeschlossen ist oder nicht.

RPC ist ein Dienst von Windows den es eigentlich in jeder Windows Version gibt.

Sowie ich das ganze jetzt gerade gesehen habe gehört das Modul wicd ganz normal zu gparted und ist nichts ausergewöhnliches.

"Unter windows 7 hat "system" mit svchost die kontrolle." Das ist ein Windows Dienst und der treibt mal mehr mal weniger sein unwesen.

Windows 7 legt eine "versteckte" Startpartition mit 100MB bei der Installation an soweit auch normal.
 
ich habe einen einzelnen Rechner und werde gegen meinen willen in ein lan eingebunden. Das ist doch nicht so schwer!

Meine Dateien habe ich nicht mehr unter Kontrolle, ein "Admin", den ich nicht will, macht damit was er will. Ausserdem wird alles übers Lan gelesen und kontrolliert.
Die Methoden, die angewendet werden um das zu erreichen sind schwer zu erfassen und sehr clever.
Jedenfalls hat man unter win7 als Einzelrechner m.E. kein Roaming verzeichnis, um nur eine Sache mal Dingfest zu machen.
Ich habe mich wohl schlecht ausgedrückt, also werde ich Details liefern und gezielte Fragen stellen - ich denke damit komme ich eher weiter.
Danke trotzdem.
 
Zuletzt bearbeitet:
Du hast einen Rechner und du bist im Internet und du hast eine Fritzbox ergo WIRST du in ein LAN (Local Area Network) eingebunden.

Der Ordner Roaming wird bei einer Installation mit angelegt und das auch bei System die nicht in einem "Firmennetzwerk" sind What is AppData/Roaming and how did it get into my laptop? - Microsoft Community

Seit Windows XP(Home) Variante gibt es einen Administrator der nicht direkt sichtbar ist und der z.b. im Abgesicherten Modus sichtbar ist. bei der Installation von Windows 7 wird man auch gefragt ob man diesem Account ein Passwort geben möchte. Da du aber wie beschrieben immer einfach nur weiter klickst wirst du das wohl überlesen haben.

Solange du nicht gerade eine illegale Windows CD besitzt die du irgendwo aus dem Internet gezogen hast ist alles soweit normal.

Mich würde mehr interessieren ob du einfach nur Paranoia hast oder bsp. weshalb du davon ausgehst das etwas ist.
 
auch wenns schon abgehandelt wurde, hier nochmal etwas ausführlicher:


die verzeichnisse in deinem benutzerprofil sind völlig normal ... die profilstruktur mit roaming etc ist die gleiche wenn du in einer domäne/AD bist, oder wenn es ein einzelner rechner ist ...

dass du einen admin user auf der kiste hast, ist auch völlig normal ... das wird der RID-500 admin sein ... den gibt es seit windows nt, und er wird auf jedem system bei der windowsinstallation angelegt ... er ist identifizierbar durch die RID 500, also den maschinenbezogenen relativen teil der security identifier ... jeder sicherheitsprinzipal (ein benutzer, eine gruppe, ein rechner, etc) hat eine eindeutige nummer ... die beginnt mit der machine SID oder der domain SID und endet auf die RID also die relative ID innerhalb der maschine oder domain ... du wirst also wenn du dein system auseinander nimmst ein konto finden dessen SID ungefähr so aussieht:
S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-500 wobei die XXX für den maschinen spezifischen identifier stehen (eigentlich installations spezifisch)

die trennung von normalen benutzer und admin accounts geschieht aus sicherheitsgründen, damit programme die du beim normalen arbeiten mit der maschine startest nicht an adminrechte gelangen können, ohne dass du das explizit erlaubst ... ohne adminrechte und physischen zugang eine maschine mit windows 7 zu übernehmen ist deutlich schwierieger, als bei den typischen windows xp installationen bei denen jeder user mit admin rechten unterwegs war ...

das passwort dieses accounts wird bei der installation festgelegt ... wenn du immer nur brav weiter gedrückt hast, hat der account kein passwort, und darf sich nichteinmal von aussen anmelden (per default sind accounts ohne kennwort von der netzwerk anmeldung ausgeschlossen)

sollte der account wiedererwartend ein kennwort besitzen dass du nicht kennst, kann man mit recht einfachen mitteln für abhilfe sorgen...

das thema LAN:
du besitzt eine fritzbox ... zwischen deinem rechner und besagter fritzbox liegt ein netzwerk kabel ... oder du verbindest dich mit besagter fritzbox per funk ... diese verbindung wist für den internet zugang deines rechners erforderlich ... gleichzeitig ist sie die kleinstmögliche nicht triviale form eines LANs ... die verbindung von 2 geräten ... ohne dieses LAN, kein inet am pc

deinem pc ist es aber herzlich egal ob da nun 2 geräte in diesem LAN existieren, oder 200 ... es werden standardmäßig gewisse dinge installiert, wenn ein LAN (genauer: ein Netzwerkadapter) erkannt wird ... dies geschieht, da sich die meisten benutzer die ein LAN einrichten schlicht nicht damit auskennen und für 99% von ihnen die gleiche konfiguration völlig ausreichend ist ... würdest du dir einen weiteren pc anschaffen und diesen an die fritzbox klemmen, köme vermutlich früher oder später die frage auf "und wie kriege ich nun daten von pc1 zu pc2?" ... die standardisierung ist in diesem fall so, dass sich beide systeme nach dem anschließen des kabels finden, und schon beinahe soweit sind dass sie miteinander reden können, ohne dass du dich mit den tücken des zugrunde liegenden netzwerks beschäftigen musst ... einstöpseln ... beide geräte in die gleiche "heimnetz" umgebung ... gleiches kennwort vergeben ... fertig ... zumindest bei win7

aus diesem grund hat dein system mit der installation der netzwerkkarten treiber die grundlegenden einstellungen für ein LAN bereits übernommen ... dass du in dem sinne kein LAN mit mehreren PCs hast ist erstmal egal ... das könnte ja noch kommen ... und falls das kommt, ist bereits alles vorbereitet und dem user wachsen keine grauen haare ... soweit der gedanke ...


thema PXE:

preboot execution environment ... "booten per netzwerk" ... dein mainboard kann es, und irgend ein entwickler beim hersteller deiner hauptplatine dachte sich es wäre eine clevere idee das in die standard bootreihenfolge aufzunehmen und vor den eintrag HDD zu legen ...

solange in deinem netzwerk kein passender server vorhanden ist der boottp oder ein ähnliches protokoll anbietet über das ein netwerkboot möglich wäre, ist das lediglich ein bremsklotz beim hochfahren des rechners ...

ganz platt ausgedrückt tut dein rechner folgendes: mhh... ich soll jetzt booten ... mal sehen ... diskettenlaufwerk hab ich nicht ... CD liegt keine drin ... netzwerkkarte hat ein kabel drinn ... mal fragen ob da jemand ist der mir sagt wie ich starten kann ... hallo echo? ... ewig und drei tage auf eine antwort warten ... keiner da ... festplatte ... ahhh ... hier ist ein bootloader ... booten und ab dafür...

sollte aus gründen der zeitersparnis im bios/uefi mal geändert werden auf CD -> HDD ... oder falls du nicht häufiger von CD startest eben nur HDD

pxe bietet sich in unternehmen an, um rechner am arbeitsplatz des benutzers neu installieren zu können ... der pxe server sagt den lieben langen tag zu jeder anfrage nein ... ausser die mac adresse von der die frage kommt steht auf einer liste ... dann liefert er ein install image aus, dass den rechner platt macht und eine unbeaufsichtigte installation durchführt ... hundert mal bequemer als jetzt entweder das büro des mitarbeiters zu belagern, oder die kiste in die gefilde der IT abteilung zu tragen ... findet im heimanwender bereich sogut wie keine anwendung ...

thema RPC:

RPC steht für remote procedure call

es ist ein dienst der zur interprozesskommunikation dient, es also erlaubt dass anwendungen miteinander reden können ... in diesem fall mit ms rpc auch gerne über rechnergrenzen hinweg ... dies aber nicht notwndigerweise ... wird auch gerne genutzt um auf dem eigenen rechner zwischen diensten und desktop anwendungen daten auszutauschen ...

der dienst ist normaler bestandteil von windows ... ohne ihn funktionieren viele programme wie beispielsweise manche virenscanner und personal firewalls, aber auch viele viele andere nicht richtig, oder gar nicht ... der grund: diese anwendungen haben mehr als einen prozess (z.b. einmal den eigentlichen virenscanner als systemdienst, und dann das kontrollzentrum als desktop applikation um ihn zu steuern), und diese prozesse versuchen mittels ms rpc zu kommunizieren ...

thema svchost:

svchost ist ein programm das es auf jedem neueren windows system gibt es ist der Services Host

es dient dazu systemdienste, die üblicherweise als dll vorliegen, zu laden, und innerhalb eines prozesses auszuführen ... dadurch ergibt sich die möglichkeit gemeinsam genutzte resourcen und funktionen nur einmal im speicher haben zu müssen ...

zentraler bestandteil der windows system architektur ... ohne gehts nicht ...

thema "der user SYSTEM":

... der benutzer SYSTEM ist zusammen mit dem user "trusted installer" der benutzer mit den meisten privilegien, auch wenn es sich nicht um benutzerkonnten im eigentlichen sinne handelt

SYSTEM ist der user dem, nunja ... systemprozesse gehören ... der teil des systems der nicht direkt einem user zugeordnet werden kann, gehört dem user SYSTEM ... dieser user hat einige rechte die ein normaler benutzer nicht braucht, und aus sicherheitsgründen auch nicht haben sollte ... SYSTEM hat sogar privilegien, die der RID 500 admin per default nicht hat, und auch nicht haben muss ... diese form der privilegien trennung, dient der sicherheit des systems ... z.B. das privileg "Einsetzen als Teil des Betriebssystems" ... wer dieses privileg hat, darf sich ohne weitere überprüfung als jeder user des systems ausgeben und in dessen namen handeln ... prozesse des betriebssystems müssen derartiges unter umständen tun um benutzer anforderungen gerecht zu werden ... kein normaler benutzer oder admin muss derartiges auf einem windows system dürfen ... daher ist auch niemandem dieses privileg per default zugewiesen ... SYSTEM verfügt implizit über dieses privileg

SYSTEM ist bestandteil der sicherheitsarchitektur von windows ...




bislang habe ich keinen anhaltspunkt gefunden dass mit dem system das du beschreibst etwas nicht stimmt ... aber ich schau mir auch gerne weitere details an ... ich halte es für äusserst unwahrscheinlich dass du hier keine hilfe und/oder antworten auf deine fragen findest ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben