[Windows 10] Rechner nach Beschlagnahmung neu aufsetzen

Jump to last post
Kokser

Kokser

Humanistischer Misanthrop
Registriert
14 Juli 2013
Beiträge
998
Aloha,

ein Kumpel von mir hatte vor kurzem eine Hausdurchsuchung und hat nun seine Hardware wieder bekommen. Nun hat er mich gefragt, ob ich ihm beim Neu Aufsetzen helfe.
Meine Frage daher, reicht es die Platten zu formatieren und Windows neu aufzusetzen um eventuell unerwünschte Software zu beseitigen?
Denke mal ein Hardware-Keylogger wird bei dem Verfahren eher nicht eingesetzt werden (imho war die Hausdurchsuchung eh sehr zweifelhaft, Anwalt ist noch dran, gefunden wurde wohl nix, sonst bekäme er sein Zeug sicher nicht schon nach 3 Monaten wieder).

Wäre dankbar für Hinweise.
 
Kannst mal nach rootkits scannen, da ist das Kaspersky TDSSKiller recht gut in Leistung und Bedienbarkeit:
You do not have permission to view link please Anmelden or Registrieren


Da auf "Desinfektion des Betroffenen Systems" Klicken und da auf "tdsskiller.exe" zum runterladen.

You do not have permission to view link please Anmelden or Registrieren
wird auch hohe Wirksamkeit nachgesagt, aber das ist nicht so user-freundlich was die Bedienung angeht.


Ansonsten sollte ein komplettes Formatieren und neu Installieren ausreichen. WIe du schon erwähnt hast wird das irgendwelche Hardwareseitigen-Mods natürlich nicht behindern, aber da müsste dein Freund schon übler Staatsfeind sein damit die Polizei so einen Aufwand betreiben sollte. Eher unwahrscheinlich.
 
  • Thread Starter Thread Starter
  • #3
Ok Danke schon mal. Allein aus Neugier würde ich die beide mal drüber laufen lassen.
Macht ein Bios Reset Sinn (Batterie kurz raus)? Wobei dann wahrscheinlich auch der Windows 10 OEM Key flöten geht?
 
Joa, kannst du machen, aber mehr als die Einstellungen zurücksetzen wird das nicht... Wie das mit dem OEM-Key ist weiß ich nicht, aber kannst dir ja vorher mal den
You do not have permission to view link please Anmelden or Registrieren
, für alle Fälle.

Ebenso kannst du mal auf der Hersteller des Mainboards schauen obs da nicht ein Update des BIOS gibt, dann lohnt sich die Zurücksetzen-Maßnahme wenigstens. Nach dem Update ist eh alles zurückgesetzt, wenns kein DUAL-BIOS oder sowas ist. - Wenns ein Laptop ist dann auf der Herstellerseite des Laptops nach dem BIOS-Update schauen.
 
Möglichkeiten mit absteigender Wahrscheinlichkeit:
(1) Die haben nicht wirklich was gemacht.
(2) Es wurde ein Standard Software-Trojaner eingesetzt.
(3) Es wurde ein Trojaner in Firmware integriert.
(4) Es wurde ein Hardware Beacon gesetzt.

Mögliche Lösungen, entsprechend zur Nummerierung oben:
(1) Er kann Windows auch so weiternutzen.
(2) Windows muss mindestens neu formatiert werden. Malwarescanner hin oder her, wenn der Virenscanner den Virus nicht kennt, dann findet er ihn auch nicht, da ist egal, welche tolle Software du einsetzt. Zum Thema Virenscanner gibt es hier etliche Diskussionen und auch richtungsweisende Statements von populären Sicherheitsexperten.
(3) Da hilft es dir wenn überhaupt nur, von sämtlichen Hardwarekomponenten die Firmware zu flashen. Formatieren des PCs bringt an dieser Stelle nichts.
(4) Da kannst du einfach in die Schaltpläne des Herstellers schauen und die spezifizierte Funktion der Hardware prüfen sämtliche Hardware austauschen.
 
Kokser schrieb:
Wobei dann wahrscheinlich auch der Windows 10 OEM Key flöten geht?
Zum Vergrößern anklicken....
Äh ja nö .......... der Key wird aber zusätzlich bei MS gespeichert. Er wird anhand bestimmter Merkmale gespeichert zB MAC der Netzwerkkarte, Prozessortyp, Grafikkarte, Mainboard. Windows aktiviert sich selbst bei bestehender I-Netverbindung.
 
  • Thread Starter Thread Starter
  • #7
Haben die Rechner jetzt einfach platt gemacht und neu aufgesetzt. Habe spaßeshalber bei dem Laptop mal GMER durchlaufen lassen, aber das Log liegt noch beim Kumpel. Will da demnächst nochmal fix drüberschauen. Firmware-Trojaner und Hardware Beacon wären bei dem Vergehen recht krass, andererseits war die HD es auch schon. Hoffen wir mal das genügt.
Danke für die Tipps.
 
Nennt mich paranoid, aber ich würde keinem nach einer Beschlagnahmung zurückgegebenen, elektronischen Gerät trauen.

Der Grund für die Durchsuchung würde mich schwer interessieren. Bis auf die Info "nach drei Monaten wieder da" ists noch recht anonym. Weiß nicht, ob Dir, bzw. euch das reicht.
 
Also zaubern die können die von der Polizei wohl auch nicht.... die kochen auch mit Wasser :p - Daher ists quatsch so "paranoid" zu sein. Klar wäre es gut die Systeme zu bereinigen in jedem Fall, aber dafür braucht man keinen Krisenplan aufstellen. :o

Außerdem dürften die gar nicht einfach so eine Überwachung "ausführen" - nicht ohne Grund jedenfalls... und ich glaube der Aufwand bei jedem "Sepp" den Staatstrojaner zu installieren, damit man was mitloggen kann, ist übertrieben groß.... :)
Kommt natürlich auf das Vergehen an, aber so lange sein Kumpel nicht wegen Cybercrime dran war.... ;) - eher sehr unwahrscheinlich.

Und bei Handy und Co - Firmware flashen... fertig. Factory Reset.
 
  • Thread Starter Thread Starter
  • #10
@MSX: Da die Ermittlungen noch laufen, will ich ungern genauer ins Detail gehen, zumal gerade noch erwogen wird auf Schadensersatz zu klagen. Ging jedenfalls nicht um Cyberkriminalität. Neue Hardware ist beim Kumpel finanziell nicht drin.
 
@Split: Klar, das sind auch nur Menschen, aber so eine Veränderung an der Hardware erkennt vermutlich in der Regel kein normaler Mensch. Und bei dem, was die schon an übertriebener Überwachung und Spionage wegen sonstwas für Fliegenschiss abgezogen haben, da trau ich denen diesbezüglich nicht mehr wirklich.

@Kokser: Ok, passt. Wäre vermutlich eh nicht schlau, noch mehr an Infos zu bringen, weils dann in Kombination eher rückverfolgbar wäre. Wer weiß...

Scheiße natürlich, wenn grad kein Geld für nen neuen Rechner da ist.
 
Als Krimineller wird dein Freund doch sicher schnell an Asche kommen, oder? *scnr*

Du kannst den entsprechenden Rechner auch mal aufmachen und auf dem PCB des Mainboards schauen, ob irgendwas verändert wurde.
 
phre4k schrieb:
Du kannst den entsprechenden Rechner auch mal aufmachen und auf dem PCB des Mainboards schauen, ob irgendwas verändert wurde.
Zum Vergrößern anklicken....
Als Freek würdest du wissen, daß das PCB nicht verändert wird, sondern eher der gesockelte 64MB-Chip. Bleibt also nur noch der Kriminelle als Job übrig.:p
 
Es ist analog eines Virenbefalls zu werten: 100% Sicherheit gibt es nicht, einmal kompromittiert heißt potentiell immer unsicher. Je nachdem, was Dein Bekannter treibt (soll heißen: abhängig von potentiell zu würdigenden Straftaten, die künftig über den Rechner begangen werden), ist eine weitere Verwendung der gesamten Hardware ausgeschlossen.

Auch wenn gmer und botfrei.de ein guter erster Schritt sind (TDSSKiller bezieht sich nur auf ein bestimmtes Rootkit, TDSS halt), bieten beide nicht die Sicherheit, dass die Kiste sauber ist - die gibt es nicht.

In der Praxis wird aber nichts eingebaut worden sein, sofern Dein Bekannter sich nicht im Bereich Terrorismus, Menschenhandel, CP oder allgemein OK bewegt hat, weder Hardware, noch Software.
 
Jan_de_Marten schrieb:
Als Freek würdest du wissen, daß das PCB nicht verändert wird, sondern eher der gesockelte 64MB-Chip. Bleibt also nur noch der Kriminelle als Job übrig.:p
Zum Vergrößern anklicken....

Ja, aber der Chip ist ja *auf* dem PCB und da sieht man ja, wenn was nicht industriell in nem Mainboard-Fertigungsprozess aufgelötet wurde, oder? Habe keine Ahnung, wie die Dinger hergestellt werden und ob ein Roboter zum Löten billiger ist als ein kleiner Chinese…
 
Es gibt durchaus Boards wo die Bioschips verlötet werden, aber bei meinen letzten dreien aktiven Boards ist er gesockelt.
Für 9€ plus Versand gibt es ja neue.
You do not have permission to view link please Anmelden or Registrieren
 
MSX schrieb:
Nennt mich paranoid, aber ich würde keinem nach einer Beschlagnahmung zurückgegebenen, elektronischen Gerät trauen.

Der Grund für die Durchsuchung würde mich schwer interessieren. Bis auf die Info "nach drei Monaten wieder da" ists noch recht anonym. Weiß nicht, ob Dir, bzw. euch das reicht.
Zum Vergrößern anklicken....


Genau, ich hätte die Kiste da gelassen wo sie stand und mir bei den Preisen eine neue besorgt. Oder
ich hätte sie zurück genommen und auf dem Flohmarkt gebracht.
 
Auf eBay verkaufen reicht. Den Sticker mit "Beschlagnahmung / Gefahrenabwehr" bekommt man übrigens mit Isopropanol ganz gut ab.
 
Wie ich schon sagte, von Maßnahmen wie Hardware-Beacons gehe ich nicht aus.
Ob die Hardware weniger vertrauenswürdig ist, weil sie in DE beschlagnahmt wurde, ist dann auch noch so eine Frage.
In China produziert, eventuell einmal durch US Händler gerutscht, bis dahin kann jede Spyware "von Haus aus" integriert sein.

Dennoch würde ich persönlich die Hardware nicht mehr nutzen.
 
Was muss man denn anstellen damit die HW manipuliert wird?

Vorstellen könnte ich mir aber schlimmstenfalls sowas wie diverse Trojaner der Equation Group, die sich in HDDs bzw deren Firmware einnisten.

Damit es realistisch möglich ist, muss die Manipulation per Software erfolgen können - die stellen da niemanden hin der auf MBs rumlöten kann, außer vielleicht man hat sich mit einem Geheimdienst angelegt und wird von diesem auch ernst genommen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben