Wurde ich gehacked?
URL: https://www.overclockers.at/windows/wurde-ich-gehacked_250337/page_1 - zur Vollversion wechseln!
Dune schrieb am 17.12.2017 um 09:26
Hallo,
es scheint als wäre mein Rechner angeriffen worden. Das System hat sich seltsam verhalten, der Explorer war im Freeze, dann habe ich einen Neustart im abgesicherten Modus gemacht. Jetzt bin ich im Modus unterwegs, teilweise mit Netzwerktreiber, teilweise ohne.
Jetzt finde ich allerdings nichts Auffälliges. Der Scanner rennt ohne Ergebnis.
Wie kann ich in der Situation am Besten vorgehen? Habe wirklich Panik, der Zeitpunkt wäre delikat unangenehm 
Installiert ist:
Windows 7 64bit, vollständig aktualisiert
Avira Free, vollständig aktualisiert
Ich bedanke mich jetzt schon für die Antworten 
eitschpi schrieb am 17.12.2017 um 09:46
Systemwiederherstellung?
enjoy schrieb am 17.12.2017 um 09:58
könnte es ein Miner (Script über Browser) gewesen sein?
Unter Windows würde ich AdwareCleaner verwenden
https://www.trojaner-board.de/18623...adwcleaner.html
bzw. Farbar's Recovery Scan Tool https://www.trojaner-board.de/14575...-tool-frst.html ist eine Möglichkeit
https://www.trojaner-board.de/anleitungen-faqs-links/ falls du noch andere Möglichkeiten suchst
hier findest du einige "BootCDs" (hmm, muss mich endlich mal aus "Boot-Medium" umgewöhnen) https://www.lifewire.com/free-boota...s-tools-2625785
einen Anbieter auswählen, damit booten und nach Schadsoftware suchen
kleinerChemiker schrieb am 17.12.2017 um 10:27
Wurde vielleicht ein Update im Hintergrund installiert?
Viper780 schrieb am 17.12.2017 um 13:08
Neu aufsetzen! Einem kompromitierten System kann man nicht vertrauen
xtrm schrieb am 17.12.2017 um 13:39
Klar gibt es Szenarien, bei denen das erforderlich ist, aber im privaten Bereich muss man da nicht paranoid sein. Lass malwarebytes drüberlaufen und vllt mit einer Kaspersky rescue disc Booten und damit abseits von Windows das System scannen.
Dune schrieb am 17.12.2017 um 13:39
Danke für die hilfreichen Antworten!
Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.
Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.
LTD schrieb am 17.12.2017 um 13:52
Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).
Edit: Kannst du vielleicht die Zugriffe auf deinem Router checken? Ich bin leider kein Experte, aber da müssten doch die Verbindungsprotokolle liegen...
Dune schrieb am 17.12.2017 um 13:52
Ich denke ich kauf W10 am besten einfach neu und mache die gesamte Systemplatte planiert.
Wisst ihr vielleicht warum es teils so günstige Angebote aus Deutschland gibt, aber alles in Österreich gute 50€ mehr kostet?
https://geizhals.at/?fs=windows+10&in=
https://geizhals.eu/microsoft-windo...c-a1326314.html
Dune schrieb am 17.12.2017 um 13:54
Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).
Ist es nicht sehr komisch einen "ganz normalen" Systemabsturz, der sehr selten vor kommt genau dann zu haben, wenn man gerade eine Wallet installiert hat? In der Systemsteuerung ist alles eingefroren. Interessanterweise hing der Prozess aber nicht im Taskmanager und ließ sich dort einfach killen, er wurde als running deklariert.
Snoop schrieb am 17.12.2017 um 14:39
Wegen einem Freeze würde ich jetzt nicht gleich formatieren
mal malwarebytes drüberlaufen lassen und mal mit netstat -a schaun ob ungewöhnlich viele verbindungen nach außen offen sind.
@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).
enjoy schrieb am 17.12.2017 um 14:41
Danke für die hilfreichen Antworten!
Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.
Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.
https://www.heise.de/newsticker/mel...es-3876966.html
bis Jahreswechsel funktioniert das Gratis-Update noch
LTD schrieb am 17.12.2017 um 14:43
Naja, Kausalität != Korrelation. Es ist zwar nicht normal, dass sich ein Systemprozess gleich nach der Installation deines Wallets verabschiedet hat, jedoch ist es unwahrscheinlich, dass ein direkter Zusammenhang besteht.
Dass der Prozess weiter als "running" gekennzeichnet ist, obwohl er nicht mehr reagiert, kommt vor und ist nicht weiter ungewöhnlich.
Dune schrieb am 17.12.2017 um 15:41
@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).
Verstehe ich nicht ganz, wo ist der Zusammenhang mit meiner Monero-Wallet? Ich hatte eher den Eindruck, dass es das System kurz "gefickt" hat. Der Browser war eigentlich nie im Spiel.
Ich verstehe schon, dass meine Aktion überparanoid ist. Aber mein Rechner hat sehr viele sensible Daten und ist im Crpytobizness eingebunden, da wär es mehr Schlecht als Recht wenn da Verlust entsteht.
Danke für den Windows-Link enjoy!
Es passiert da dann leider das:
Meine W7 Lizenz habe ich über Rakuten bezogen, es handelt sich um eine ESD.
Edit:
ist der postgres User standard im Windows? Beschreibung "PostgresSQL service account". Blöderweise war mein Hauptuser Admin
Dune schrieb am 17.12.2017 um 16:36
Jetzt hatte ich nochmal ein alarmierendes Erlebnis... Wollte vom SafeMode zurück in den Normalen um zu testen ob ich dort Upgrade könnte. Allerdings hat dann die Zwischenablage nicht mehr funktioniert. Ich konnte nichts in den Zwischenspeicher kopieren. Das System war überproportional langsam und hat nichts Aufregendes getan. Es war ein Fenster im Upgrade-Assistent, wo ich aufgefordert wurde mein Admin-PW einzugeben, allerdings war kein Passwort-Eingabefeld vorhanden.
Die Zwischenablage und wahnwitzige Auslastung sind doch typischen Viren Probleme - oder? Es hat im Taskmanager nicht auffällig ausgeschaut, 5-20% CPU und nur 4-6 GBRAM. Trotzdem war es total laggy und lahm.
Da hat's doch was!
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024