"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Wurde ich gehacked?

Dune- 17.12.2017 - 09:26 10781 38
Posts

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Hallo,

es scheint als wäre mein Rechner angeriffen worden. Das System hat sich seltsam verhalten, der Explorer war im Freeze, dann habe ich einen Neustart im abgesicherten Modus gemacht. Jetzt bin ich im Modus unterwegs, teilweise mit Netzwerktreiber, teilweise ohne.

Jetzt finde ich allerdings nichts Auffälliges. Der Scanner rennt ohne Ergebnis.

Wie kann ich in der Situation am Besten vorgehen? Habe wirklich Panik, der Zeitpunkt wäre delikat unangenehm :(

Installiert ist:
Windows 7 64bit, vollständig aktualisiert
Avira Free, vollständig aktualisiert

Ich bedanke mich jetzt schon für die Antworten :)

eitschpi

alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4363
Systemwiederherstellung?

enjoy

Addicted
Registered: Sep 2000
Location: Tullnerfeld
Posts: 410
könnte es ein Miner (Script über Browser) gewesen sein?

Unter Windows würde ich AdwareCleaner verwenden
https://www.trojaner-board.de/18623...adwcleaner.html

bzw. Farbar's Recovery Scan Tool https://www.trojaner-board.de/14575...-tool-frst.html ist eine Möglichkeit

https://www.trojaner-board.de/anleitungen-faqs-links/ falls du noch andere Möglichkeiten suchst

hier findest du einige "BootCDs" (hmm, muss mich endlich mal aus "Boot-Medium" umgewöhnen) https://www.lifewire.com/free-boota...s-tools-2625785
einen Anbieter auswählen, damit booten und nach Schadsoftware suchen

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4248
Wurde vielleicht ein Update im Hintergrund installiert?

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Neu aufsetzen! Einem kompromitierten System kann man nicht vertrauen

xtrm

social assassin
Avatar
Registered: Jul 2002
Location:
Posts: 11893
Klar gibt es Szenarien, bei denen das erforderlich ist, aber im privaten Bereich muss man da nicht paranoid sein. Lass malwarebytes drüberlaufen und vllt mit einer Kaspersky rescue disc Booten und damit abseits von Windows das System scannen.

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Danke für die hilfreichen Antworten!

Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.

Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.

LTD

frecher fratz
Avatar
Registered: Feb 2001
Location: is where it is
Posts: 6333
Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).

Edit: Kannst du vielleicht die Zugriffe auf deinem Router checken? Ich bin leider kein Experte, aber da müssten doch die Verbindungsprotokolle liegen...

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Ich denke ich kauf W10 am besten einfach neu und mache die gesamte Systemplatte planiert.

Wisst ihr vielleicht warum es teils so günstige Angebote aus Deutschland gibt, aber alles in Österreich gute 50€ mehr kostet?

https://geizhals.at/?fs=windows+10&in=
https://geizhals.eu/microsoft-windo...c-a1326314.html

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Zitat aus einem Post von LTD
Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).

Ist es nicht sehr komisch einen "ganz normalen" Systemabsturz, der sehr selten vor kommt genau dann zu haben, wenn man gerade eine Wallet installiert hat? In der Systemsteuerung ist alles eingefroren. Interessanterweise hing der Prozess aber nicht im Taskmanager und ließ sich dort einfach killen, er wurde als running deklariert.

Snoop

Here to stay
Registered: Jun 2002
Location: Gablitz
Posts: 1075
Wegen einem Freeze würde ich jetzt nicht gleich formatieren :)
mal malwarebytes drüberlaufen lassen und mal mit netstat -a schaun ob ungewöhnlich viele verbindungen nach außen offen sind.

@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).

enjoy

Addicted
Registered: Sep 2000
Location: Tullnerfeld
Posts: 410
Zitat aus einem Post von Dune-
Danke für die hilfreichen Antworten!

Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.

Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.

https://www.heise.de/newsticker/mel...es-3876966.html
bis Jahreswechsel funktioniert das Gratis-Update noch

LTD

frecher fratz
Avatar
Registered: Feb 2001
Location: is where it is
Posts: 6333
Naja, Kausalität != Korrelation. Es ist zwar nicht normal, dass sich ein Systemprozess gleich nach der Installation deines Wallets verabschiedet hat, jedoch ist es unwahrscheinlich, dass ein direkter Zusammenhang besteht.

Dass der Prozess weiter als "running" gekennzeichnet ist, obwohl er nicht mehr reagiert, kommt vor und ist nicht weiter ungewöhnlich.

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Zitat aus einem Post von Snoop
@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).

Verstehe ich nicht ganz, wo ist der Zusammenhang mit meiner Monero-Wallet? Ich hatte eher den Eindruck, dass es das System kurz "gefickt" hat. Der Browser war eigentlich nie im Spiel.

Ich verstehe schon, dass meine Aktion überparanoid ist. Aber mein Rechner hat sehr viele sensible Daten und ist im Crpytobizness eingebunden, da wär es mehr Schlecht als Recht wenn da Verlust entsteht.

Danke für den Windows-Link enjoy!

Es passiert da dann leider das:
click to enlarge

Meine W7 Lizenz habe ich über Rakuten bezogen, es handelt sich um eine ESD.

Edit:
ist der postgres User standard im Windows? Beschreibung "PostgresSQL service account". Blöderweise war mein Hauptuser Admin :(
Bearbeitet von Dune am 17.12.2017, 15:59

Dune

Here to stay
Registered: Jan 2002
Location: Wien
Posts: 9486
Jetzt hatte ich nochmal ein alarmierendes Erlebnis... Wollte vom SafeMode zurück in den Normalen um zu testen ob ich dort Upgrade könnte. Allerdings hat dann die Zwischenablage nicht mehr funktioniert. Ich konnte nichts in den Zwischenspeicher kopieren. Das System war überproportional langsam und hat nichts Aufregendes getan. Es war ein Fenster im Upgrade-Assistent, wo ich aufgefordert wurde mein Admin-PW einzugeben, allerdings war kein Passwort-Eingabefeld vorhanden.

Die Zwischenablage und wahnwitzige Auslastung sind doch typischen Viren Probleme - oder? Es hat im Taskmanager nicht auffällig ausgeschaut, 5-20% CPU und nur 4-6 GBRAM. Trotzdem war es total laggy und lahm.

Da hat's doch was!
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz