Massiver, tiefgreifender Angriff

[christerhäberli]

Hallo, vielleicht kann mir von Euch jemand helfen.

Die Notwendigkeit besteht, dass ich Strafanzeige stellen muss. Seit 04.05.2025 ca. 3 Uhr Nachts, wurde ein massiver und tiefgreifender Angriff auf meinen Computer verübt. Ich war dabei mit .docx zu arbeiten, als plötzlich beim öffnen einer .docx mir MS Office mit einer horizontalen gelben Warnlinie gesagt hat, das ist eine .docx aus dem Internet und ich sollte vorsichtig sein. Von da an begannen die Probleme. Eine manipulierte bfsvc.exe, die normalerweise im System32 Ordner ist und 76KB hat, lag plötzlich eine bfsvc.exe mit 100KB im Windows Hauptverzeichnis. Dazu eine manipulierte Core.xml. Der Angreifer hat unbekannte Besitzerkonten erstellt, die den Rechner komplett übernommen haben. Überall Vollzugriff. Besitzer: TrustedInstaller, 2 mal System, 2 mal Admin, Alle Anwendungspakete und Alle eingeschränkten Anwendungspakete. Jeder dieser Besitzer hatte Vollzugriff. Ich als Besitzer war verschwunden. Sie haben Event Viewer.Ink, eventvwr.exe, taskmgr.exe und anderer Werkzeuge gelöscht. Sie haben Starthilfe Ressourcenschutz, Befehl: C:\sfc /scannow /offbootdir :C:\ manipuliert. Dann findet der Ressourcenschutz Intergitätsverletzungen. Dann wurde ein fremder Windows-Ordner erstellt, der irgendwo am 07.05.2022 um 07:17:22, erstellt wurde. Mein original Hauptverzeichnis wurde in den Ordner C:\Windows.old\WINDOWS.~BT verschoben. Ich hatte nirgends mehr Zugriff und Rechte, um diese Manipulation rückgängig zu machen. Nach einer kompletten Neuinstallation von Windows 11 hatte ich nach kurzer Zeit, als das System neu aufgesetzt war und ich Windows Updates laufen ließ, das selbe Problem. Vorher hatte ich massive Sicherheitsvorkehrungen getroffen. Neues BIOS-Passwort, neues Benutzer-Passwort, neues Router und WLAN Passwort. Nur 3 zugelassene MAC-Adressen im Router, Handy, TV und Drucker. Kein Gast-WLAN, neue statische IP-Adressen für PC und Router, aber das alles hat nichts genützt, denn über einen mir unbekannten Weg, gelangen sie immer auf meinen Rechner und verursachen das selbe Problem. Deswegen werde ich morgen Strafanzeige stellen.

Falls jemand von Euch eine Idee hat, wie sie Zugriff auf meinen Computer bekommen, lasst dies mich bitte wissen. Vielen Dank.

 

[homie.sapiens]

Tut mir leid, das zu hören. Leider kann ich dir direkt auch nicht helfen, aber schau noch mal das Bild 100054421.jpg an, sieht so aus, als ob da ggf. deine E-mail Adresse zu sehen ist, würde ich auch noch mal runter nehmen oder unkenntlich machen.

Wie hast du Windows neu installiert? Benutzerdaten behalten? Hast du irgendwelche Backups bzw. Daten von externen Platten eingespielt? Ggf. ist da schon Schadsoftware drauf.
Wie hast du den USB-Stick erstellt? An deinem PC, eigener Laptop oder sowas? Ggf. kommt es sonst auch daher. Sonst noch mal bei einem Freund/Nachbarn neue Boot-Sticks erstellen mit live-Linux kommt man hier vllt weiter, aber da müssten dann wirklich Leute helfen, die besser wissen, was Sie tun als ich.

Drücke dir die Daumen, dass es sich zeitnah lösen lässt.

 

[Ponderosa]

Da ist noch eine vermutlich Windows Installations DVD im Laufwerk, die würde ich mal entfernen

 

[Naesh]

Also für mich sieht das nicht nach einem Angriff aus, sondern nach einem Sterben der SSD. Daher tauchte das auch direkt danach wieder auf .

Tausch mal die SSD aus und setze neu auf.

 

[ZFS]

Guten Morgen, zuerst mal den Rechner vom Netz nehmen. Wenn du Strafanzeige stellen willst, dann brauchst du Beweise. Deswegen musst du Spuren sichern. Ich würde dir da eine Firma für Forensik empfehlen.
Ohne Anzeigeabsicht würde ich von Linux Rettungs-CD / USB-Stick booten, alle Daten retten und PC neu installieren.

 

[QBiT]

Und was soll dir genau bei sowas Strafanzeige bringen? Jetzt mal ernsthaft...Rechner vom Netz nehmen, alles platt machen , damit sollte das meiste getan sein..

 

[KnolleJupp]

Also...
Ich sehe hier überhaupt gar keinen Anhaltspunkt für irgendeine Art von Angriff...!
Einfache Beispiele:

C:\Windows.old\
Ganz normal, wenn ein Feature-Update installiert wird/wurde.
Wenn es um Windows 11 geht, hast du direkt die aktuelle Windows 11 Version 24H2 installiert oder eine ältere?
Ich sehe da eine (vermutlich veraltete) Windows 11 DVD im Laufwerk...

C:\sfc /scannow
Logisch das das nicht funktioniert, denn sfc liegt nicht direkt unter C:\. Das funktioniert bei niemandem so.

Usw.
Sorry, aber vermutlich hast du selber da was verbastelt...

Erstelle dir mit der aktuellen Version des MediaCreationTool https://go.microsoft.com/fwlink/?linkid=2156295 (mediacreationtool.exe)
einen USB-Stick und installiere darüber Windows 11 24H2 sauber neu.

Was sagt CrystalDiskInfo https://crystalmark.info/redirect.php?product=CrystalDiskInfo zu deiner SSD?

Bitte nicht mehr an den Ordner-Berechtigungen herumfummeln. Wenn da du ganz normale Systemdienste (z.B. TrustedInstaller) entfernt hast,
ist es kein Wunder das Windows nun nicht mehr richtig funktioniert. Dann ist eine Neuinstallation sowieso notwendig.

PS: Auf einem der Screenshots ist deine eMail-Adresse sichtbar.

PS2: Strafanzeige? Gegen wen?

 

[Mojo1987]

Ich seh in keinem der Screens einen Hinweis auf einen Angriff auf den ersten Blick.

Die Ordnerstruktur ist Teil eines Windows Feature Upgrade bzw. Inplace Upgrade, welches scheinbar schief gegangen ist. Klingt für mich als wurden bei der Neuinstallation die Platten nicht formatiert.

Warum du in den Sicherheitsinformationen herumfummelst erschließt sich mir nicht. TrustedInstaller ist btw Teil der Installationsdienste von Windows und soweit so normal.

 

[netzwanze]

Guten Morgen,

1 Rechner vom Netz und Boot von einer Live-CD
2 Virenscan und Festplattenscan s.m.a.r.t - um Festplattendefekte auszuschließen (https://www.linux-magazin.de/ausgaben/2011/04/bitparade/)
3 wenn was beim Scan gefunden wurde, sollten alle Dateien (Altdaten) als kompromittiert angesehen werden, da sich auch in z.B. Officedokumenten auch Viren verstecken können
4 bei einer Neuinstallation neu pationieren bzw. eine neue Partitionstabelle erstellen, da sich auch im Bootrecord, Sachen verstecken können
5 alle über deinen Rechner benutzen Zugänge sollten deine Passwörter geändert werden


Deine Strafanzeige wird leider nix bringen. Eventuell auf ein System wechseln, was weniger als Ziel genommen wird - Mac oder Linux

Weitere Vorsorge: uBlock und Adblock bzw. ein Pihole vor dem Rechner Schalten, nicht alles Seiten folgen und Sachen von überall downloaden, Links in Mails nicht blind folgen, ......

 

[ralelelelel]

Stell Strafanzeige gegen deine SSD, die lässt dich nämlich gerade im Stich.

 

[Sebbi]

C:\sfc /scannow
Logisch das das nicht funktioniert, denn sfc lieht nicht direkt unter C:\ Das funktioniert bei niemandem so.

das ist falsch, sfc ist ein Konsolenbefehl er aus jeden Ordner heraus funktioniert

das TE hat den befehl nur völlig falsch geschrieben an der stelle denn mit " C:\ sfc /scannow " auf X:\Sources

.docx mir MS Office mit einer horizontalen gelben Warnlinie gesagt hat, das ist eine .docx aus dem Internet und ich sollte vorsichtig sein

hast du da aktivieren geklickt? wenn ja dann System bitte mit ct Desinfect (an einen sauberen Rechner erstellt ) einmal komplett testen

Hintergrund: da waren wohl schädliche Makros in der Datei.

Der Angreifer hat unbekannte Besitzerkonten erstellt, die den Rechner komplett übernommen haben. Überall Vollzugriff. Besitzer: TrustedInstaller, 2 mal System, 2 mal Admin, Alle Anwendungspakete und Alle eingeschränkten Anwendungspakete. Jeder dieser Besitzer hatte Vollzugriff. Ich als Besitzer war verschwunden.

TrustedInstaller ist ein Systemdienst und ist der Besitzer auf alle Systemordner wie Programme, Windows etc pp.
Das du mit deinen Nutzer da nicht drinne stehst, ist normal. Solltest du die jetzt alle entfernt haben in deiner Eifrigkeit, dann herzlichen Glückwunsch damit hättest du effektiv dein System gekillt und dich selbst ausgesperrt. Denn dann kommt es zu den von dir gezeigten Fehlern.

Eine manipulierte bfsvc.exe, die normalerweise im System32 Ordner ist und 76KB hat, lag plötzlich eine bfsvc.exe mit 100KB im Windows Hauptverzeichnis. Dazu eine manipulierte Core.xml.

nein, die bfsvc.exe ist normalerweise im Ordner C:\Windows und nicht in Ordner System32
und bei mir ist die 92 KB groß.
hier wäre es nötig gewesen, die auf Virus total zu prüfen, ob die ok ist.
Edit: auf Win11 (Build 22631.5189) ist die 116 KB auf meinen Arbeitsrechner


@ alle

ich denke hier hat der TE einfach die Rechte für das System, Trusted Installer und Admistratoren auf Wichtige Systemordner gekillt aufgrund falscher Annahmen und dann die Probleme begannen, weil alles sehr verdreht jetzt ist. Und scheinbar hat er nach der NeuInstallation wieder Rechte geändert und das System verkorkst.

Deswegen werde ich morgen Strafanzeige stellen.

damit solltest du lieder warten, wenn wenn du nach der neuinstallation wieder Datei Rechte geändert hast, hast du wieder alles verdreht aufm Rechner was zu den Problemen führt

 

[fixedwater]

als plötzlich beim öffnen einer .docx mir MS Office mit einer horizontalen gelben Warnlinie gesagt hat, das ist eine .docx aus dem Internet und ich sollte vorsichtig sein

Ein völlig normale Meldung von Office, die erstmal nur eine Information ist und erstmal nicht auf einen "Angriff" hindeutet. Daten sichern, SSD checken/tauschen, neu installieren.

 

[sh.]

Und wo ist jetzt der massive tiefgreifender Angriff?

 

[Skudrinka]

Schau dir deine Platte mit CDI an, diese schaut einfach nur defekt aus bislang.

 

[Raptorlake]

Ein Angriff sieht anders aus ^^ Da hättest du ganz andere Probleme, als jetzt.

Tausche die SSD aus und installiere gleich noch dein Windows neu.

 

[WeisheitsTroll]

Also, für mich ist es entweder eine sterbende SSD oder ein (ziemlich) fehl geschlagenes Windows Upgrade ...

 

[wahli]

Eine manipulierte bfsvc.exe, die normalerweise im System32 Ordner ist und 76KB hat, lag plötzlich eine bfsvc.exe mit 100KB im Windows Hauptverzeichnis.

Bei mir hat die bfsvc.exe im Windows Hauptverzeichnis sogar 124kB. Huch - wurde ich angegriffen?

Wie die anderen geschrieben haben, sieht es eher nach einer sterbenden SSD aus. Oder das SATA-Kabel ist defekt.
Kauf dir eine neue SSD + Kabel oder gleich eine M.2-SSD ohne Kabel und installiere Windows neu. Dafür bitte mit mediacreationtool eine aktuelle Version auf einen Stick erzeugen.

 

[areiland]

das ist falsch, sfc ist ein Konsolenbefehl er aus jeden Ordner heraus funktioniert

Aber nicht, wenn für den Ordner aus dem heraus Sfc ausgeführt werden soll, explizit die Pfadangabe C:\ angegeben wird. Und von X:\ aus ist C:\ ohnehin selten die richtige Angabe für das Systemlaufwerk, weil die Wiederherstellungsumgebung dann auch anderen vorhandenen Partitionen Laufwerksbuchstaben zuweist, die immer in der Reihenfolge ihrer Position auf dem Datenträger vergeben werden. Da bekommt die Windows Partition dann eher D: oder sogar E:.

 

[LuminousVision]

Von da an begannen die Probleme. Eine manipulierte bfsvc.exe, die normalerweise im System32 Ordner ist und 76KB hat, lag plötzlich eine bfsvc.exe mit 100KB im Windows Hauptverzeichnis.

Wie andere schon gesagt haben, liegt diese Datei eben nicht normalerweise in System32.

Aber wie bist du überhaupt darauf gekommen, nach genau dieser Datei und dann auch noch direkt nach der Meldung in Word zu überprüfen?

Wäre nämlich nicht das Erste, was ich gemacht hätte, sondern einen Scan mit dem Windows Defender.

 

[Questionmark]

Übrigens, bei einer korrekten Neuinstallation bleibt kein Ordner Windows.old!