coinminer.qf Virus/Trojaner?!

flipsns

Lieutenant
Registriert
Okt. 2004
Beiträge
535
Liebe Community, ich habe keine Ahnung, wie ich mir den eingefangen haben könnte, aber da die CPU bei konstant über 70% läuft gehe ich davon aus, dass ich ihn wirklich habe (Siehe Screeshot!).

Hat hier schon jemand Erfahrung mit dem Virus? Sollte ich jetzt den gesamten PC neu aufsetzen oder ist mit der Chip-Empfehlung "malwarebytes" und anschließend Browser zurücksetzen eventuell genüge getan?

coinminer.jpg
 
Was es ist sollte ja schon aus dem Namen hervorgehen und der Eigenschaft die CPU zu belasten (Grafikkarte solltest du auch checken). Nen Mining-Client. Neben Gedanken wie du den wieder los wirst solltest du dich aber auch fragen, wo du den aufgegabelt hast.
 
Erfahrung, nein.
Wegen einem Miner, der in der Regel nichts böses macht, außer die CPU belasten und dem Verursacher Geld einzubringen, muss man den PC nicht voller Panik neu aufsetzen.
Versuch es mit malwarebyte und Konsorten. Wenn sie das entfernen können, ok. Wenn das Ding immer wieder kommt, ist die Frage ob neu installieren nicht einfach schneller geht.
 
@xdave78 liegt immer am User selbst, fehlende Erfahrung und Naivität führt eigentlich immer zu Malware. Wenn man nicht jeden Rotz runterläd und installiert passiert einem nichts. Egal wie gut der Schutz ist, wenn der User Warnungen ignoriert und auf "Installieren" drückt, bringt das alles nichts... Und wenn man doch einmal Rotz installieren möchte, sollte man das in einer VM tun ;)
 
xdave78 schrieb:
Die Frage ist halt auch wies durch die Security (Firewall/Antivirus) gekommen ist. Ich hatte seit ...ka...2003 keinen Virus mehr.

Dito hier! Das ist seit, gefühlt, weit über 1 Jahrzehnt der erste echte Infekt! Deshalb bin ich ja jetzt so überrascht! Windows Defender immer mit Echtzeitschutz und automatischen Aktualisierungen an.

Zuletzt installiert hatte ich eigentlich nur CCleaner aus der Original-Quelle (https://www.ccleaner.com/).

Aber wer weiß, die hatten es in der Vergangenheit ja schon einmal verbockt:

https://de.wikipedia.org/wiki/CCleaner#Mit_Malware_infizierte_Version_5.33

Jedenfalls ist nach Malwarebytes und Zurücksetzen des Firefox tatsächlich scheinbar alles wieder ok. CPU-Leistung im Normbereich.
Ergänzung ()

majusss schrieb:
@xdave78 liegt immer am User selbst, fehlende Erfahrung und Naivität führt eigentlich immer zu Malware.

Ist auszuschließen. Sonst schafft man kaum Jahrzehnte virenfrei!

majusss schrieb:
@xdave78Wenn man nicht jeden Rotz runterläd und installiert passiert einem nichts.

Tu ich eh nicht. Immer etablierte Software aus den Originalquellen und falls doch mal was Unbekannteres/Neues dabei ist, lasse ich es auf virustotal.com sicherheitshalber auch noch zusätzlich durchlaufen!

Sei´s drum, wird sich wohl nicht wirklich auflösen lassen, wie ich mir den eingefangen habe. Irgendwo/-wie wird er wohl durchgerutscht sein. Möchte aber nicht so arrogant sein und Unaufmerksamkeit meinerseits ausschließen! Who knows.
 
majusss schrieb:
@xdave78 liegt immer am User selbst, fehlende Erfahrung und Naivität führt eigentlich immer zu Malware. Wenn man nicht jeden Rotz runterläd und installiert passiert einem nichts.

Das ist falsch. Z.B. bei Drive-By-Attacken über normalerweise vertrauenswürdige Webseiten. Da es immer 0-Day-Lücken geben wird, wird es auch immer dieses Risiko geben.
 
Jedenfalls ist nach Malwarebytes und Zurücksetzen des Firefox tatsächlich scheinbar alles wieder ok. CPU-Leistung im Normbereich.
Kannst ja mal zur Sicherheit dein System zusätzlich überprüfen mit Adwcleaner, Emsisoft Emergency Kit und Eset Online Scanner und zum Abschluß mit einer Antivirus Live CD von meinetwegen Kaspersky oder BitDefender oder so.
 
Ihr erteilt hier schon wieder nicht IT-fachkonforme Ratschläge. Ein kompromittiertes System -- und das ist es hier ganz eindeutig -- ist neu aufzusetzen:

-> https://msdn.microsoft.com/de-de/library/dn151182.aspx
-> http://www.oschad.de/wiki/Kompromittierung

Bitte genau durchlesen und nachvollziehen!


flipsns schrieb:
Hat hier schon jemand Erfahrung mit dem Virus? Sollte ich jetzt den gesamten PC neu aufsetzen oder ist mit der Chip-Empfehlung "malwarebytes" und anschließend Browser zurücksetzen eventuell genüge getan?
Mitnichten ist dem damit Genüge getan. Du hast die Malware nur bemerkt, weil sie sich symptomatisch zeigt. Das ist jedoch nicht bei jeder Malware so. Keylogger z.B. oder Rootkits arbeiten still im Hintergrund, sammeln Daten bzw. lesen sie aus, und versenden sie an ihre Programmierer bzw. Nutznießer.

Da sich nun bereits ganz klar ein Schädling auf Deinem System zeigt, musst Du davon ausgehen, dass Dritte die volle Kontrolle erlangen konnten. Somit kann alles Mögliche an weiterer Malware auf dem System installiert worden sein, auch Schädlinge, die sich nicht so offensichtlich zeigen, wie dieser eine.

Im Weiteren wird Malware heutzutage durchaus mit mehreren Funktionen verbreitet. Malware-Dropper können, z.B. durch Ausnutzen von Sicherheitslücken mittels Exploits Drive-by, gleichzeitig mehrere Malwarekomponenten mit unterschiedlichen Schadfunktionen auf einem System installieren. Was da genau passiert ist, kannst Du nicht nachvollziehen.

Zudem müsste man, wenn man glaubte, mit einem Virenscanner aktive Malware von einem System zuverlässig und somit komplett entfernen zu können, davon ausgehen, dass der oder die Scanner jede Malware erkennen. Diese Voraussetzung jedoch ist weithin utopisch. Es gibt so viele verschiedene und zudem auch noch immer wieder neue Schädlinge, dass dies alleine schon aufgrund der schieren Masse nicht möglich ist.

Abermals verschärft wird das Ganze dadurch, dass vor der Verbreitung der Malware durch deren Nutznießer geprüft wird, inwieweit die Virenscanner das Sample bereits erkennen -- oder eben nicht:
-> https://www.heise.de/security/meldung/Online-Virenscanner-vice-versa-971180.html

Aus all dem folgt, dass es eine fatale Fehlannahme ist, mit einem Virenscanner ein kompromittiertes System sicher bereinigen zu können. Im Gegenteil, so eine Fehlannahme spielt nur einer Gruppe in die Hände: Denjenigen, die die Schädlinge verbreiten, und denjenigen, die finanziell von deren Einsatz profitieren. Weil ein System, von dem der Nutzer glaubt, es sei sauber, es jedoch nicht ist, weil z.B. ein Rootkit nicht erkannt wurde, für die Nutznießer Gold wert ist.


riff schrieb:
Neben Gedanken wie du den wieder los wirst solltest du dich aber auch fragen, wo du den aufgegabelt hast.
Genau so ist es. In Frage kommt im Prinzip die gesamte Bandbreite, auszugsweise:
- Eigenhändige Installation durch Ausführen von Downloads aus unseriösen Quellen (z.B. Cracks/Keygens)
- Eigenhändige Installation durch Ausführen eines E-Mail-Anhangs oder auf anderem Wege (z.B. Messenger) zugesandter Dateien
- Drive-by-Infektion aufgrund veralteter bzw. verwundbarer Software (System, Browser, Plugins, usw.) und/oder schlechter Konfiguration derselben
- Infektion durch Öffnen von Dateien auf einem USB-Stick, der zuvor in anderen Quellen bzw. an anderen Computern Verwendung fand.


Smily schrieb:
Wegen einem Miner, der in der Regel nichts böses macht, außer die CPU belasten und dem Verursacher Geld einzubringen, muss man den PC nicht voller Panik neu aufsetzen.
Das ist ein fachlich ganz schlechter Rat, weil er die wesentlichen, oben genannten Punkte völlig unberücksichtigt lässt. Abgesehen davon ist es äußerst fahrlässig, bei einer Malware vom "guten Willen" des Verbreiters auszugehen und anzunehmen, sie sei ja im Grunde gar nicht wirklich schädlich.

Versuch es mit malwarebyte und Konsorten.
Nein, ganz sicher nicht. Lies bitte:
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools

Wenn sie das entfernen können, ok.
Es ist fatal, nur von der Löschbarkeit einer einzelnen gefundenen Datei auf die Vertrauenswürdigkeit eines Systems zu schließen, wenn man bereits weiß, dass es kompromittiert ist.

Wenn das Ding immer wieder kommt, ist die Frage ob neu installieren nicht einfach schneller geht.
Das hat nichts mit "schneller gehen" zu tun. Das hier einzig relevante Kriterium ist, ob das System wieder vertrauenswürdig ist oder nicht. Und das ist es mit "mal Virenscanner drüberlaufen lassen" ganz sicher nicht.


xdave78 schrieb:
Die Frage ist halt auch wies durch die Security (Firewall/Antivirus) gekommen ist. Ich hatte seit ...ka...2003 keinen Virus mehr.
Ganz einfach: Weder Personal Firewalls noch Virenscanner sorgen für eine zuverlässige Absicherung. Das muss der Nutzer selbst machen, durch das Ergreifen verschiedener Maßnahmen:
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar

Sie sind selbst nur Software und leiden unter prinzipbedingten Schwächen:
-> https://www.ulm.ccc.de/PersonalFirewalls/Versagen

Mehr noch, es wird sogar die Sicherheit verringert:
-> https://www.heise.de/security/meldu...-Hersteller-Finger-weg-von-HTTPS-3620159.html

Ihr setzt viel zu viel Gewichtung auf solche Software, die sie letztlich gar nicht erfüllen kann. Sicherheit auf Mausklick gibt es nicht. Auch wenn sich das manch einer wünscht. Sondern es ist immer ein Konzept, das die entscheidenden Vorteile mit sich bringt:

-> http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#PF
http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#PF schrieb:
Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?
Nein. Ohne ein Konzept, was vor wem geschützt werden soll, ist ein Firewall-System für den Betreiber gefährlich. Ohne tiefgreifendes Verständnis zur Ausarbeitung eines solchen Konzeptes darf kein solches System entworfen und aufgebaut werden.
Zitat Ende.


majusss schrieb:
@xdave78 liegt immer am User selbst, fehlende Erfahrung und Naivität führt eigentlich immer zu Malware.
Insbesondere dann, wenn einerseits diverser Schutzsoftware über die Maßen hinaus vertraut wird, andererseits wirklich wichtige Maßnahmen gleichzeitig nicht umgesetzt werden.

Wenn man nicht jeden Rotz runterläd und installiert passiert einem nichts.
Du darfst Drive-by-Infektionen nicht vergessen. Stichwort Exploit-Kits und z.B. verseuchte Websites via Werbebanner:
-> https://www.heise.de/newsticker/meldung/Vergiftete-Websites-Update-117002.html
-> https://www.heise.de/security/meldu...rteilt-Exploit-Kit-ueber-ebay-de-2853882.html

Egal wie gut der Schutz ist, wenn der User Warnungen ignoriert und auf "Installieren" drückt, bringt das alles nichts...
Bezüglich der Drive-by-Infektionen braucht er jedoch nicht aktiv zu klicken bzw. zu bestätigen. Sondern es werden automatisch Sicherheitslücken ausgenutzt. Diesbezüglich braucht es einen weiteren bzw. anderen Schutz, und der heißt z.B. "Minimierung der Angriffsfläche" (u.a. Verzicht auf bekanntermaßen unsichere Plugins im Browser, Installation nur der wirklich benötigten Anwendungen) und "Härten des Systems" und der Anwendungen.


flipsns schrieb:
Dito hier! Das ist seit, gefühlt, weit über 1 Jahrzehnt der erste echte Infekt! Deshalb bin ich ja jetzt so überrascht!
Die Infektion weist auf jeden Fall auf ein sehr löcheriges Absicherungskonzept bzw. kein vorhandenes Konzept hin.

Windows Defender immer mit Echtzeitschutz und automatischen Aktualisierungen an.
Risikokompensation: Du legst zu viel Last auf die "Schultern" eines Virenscanners.

Zuletzt installiert hatte ich eigentlich nur CCleaner aus der Original-Quelle (https://www.ccleaner.com/).
Unter anderem das meinte ich oben mit der Minimierung der Angriffsfläche. Du erhöhst sie stattdessen, denn so ein Cleaner ist kein wirklich benötigtes Programm. Das bringt auch das Betriebssystem in den wesentlichen Funktionen von Haus aus mit. Je mehr Programme laufen, desto größer das Risiko:
-> https://www.heise.de/security/meldu...ugriff-Update-dringend-empfohlen-3834851.html

Jedenfalls ist nach Malwarebytes und Zurücksetzen des Firefox tatsächlich scheinbar alles wieder ok. CPU-Leistung im Normbereich.
Nächster Fehler: Du gehst erneut alleine aufgrund eines offensichtlichen Symptoms vom Systemzustand aus. Dies ist nicht folgerichtig, aus den Gründen bezüglich Malware, die ich obenstehend erläutert habe.

Tu ich eh nicht. Immer etablierte Software aus den Originalquellen und falls doch mal was Unbekannteres/Neues dabei ist, lasse ich es auf virustotal.com sicherheitshalber auch noch zusätzlich durchlaufen!
Dort wird relativ oft neue Malware von nicht einem einzigen Virenscanner erkannt. Grund unter anderen, siehe oben "vice versa".

Sei´s drum, wird sich wohl nicht wirklich auflösen lassen, wie ich mir den eingefangen habe. Irgendwo/-wie wird er wohl durchgerutscht sein. Möchte aber nicht so arrogant sein und Unaufmerksamkeit meinerseits ausschließen! Who knows.
Du solltest Dir ein Sicherheitskonzept erstellen, das wichtige Rahmenbedingungen vorgibt, die jedoch nicht wie bisher ihren Schwerpunkt im vermeintlichen Schutz durch Virenscanner und Personal "Firewall" haben.

Atkatla schrieb:
Das ist falsch. Z.B. bei Drive-By-Attacken über normalerweise vertrauenswürdige Webseiten. Da es immer 0-Day-Lücken geben wird, wird es auch immer dieses Risiko geben.
Ja, allerdings kann man auch davor einen Schutzeffekt (in Kombination mehrerer Maßnahmen) erzielen, z.B.:
- Werbefilter im Browser
- Scriptblocker im weiteren Sinne
- Verwendung eines aktuellen Betriebssystems mit aktuellsten Sicherheitsfeatures auf der Höhe der Zeit
- Arbeiten mit einem strikt eingeschränkten Benutzerkonto

purzelbär schrieb:
Kannst ja mal zur Sicherheit dein System zusätzlich überprüfen mit Adwcleaner, Emsisoft Emergency Kit und Eset Online Scanner und zum Abschluß mit einer Antivirus Live CD von meinetwegen Kaspersky oder BitDefender oder so.
Nein, das hat mit "zur Sicherheit" absolut gar nichts zu tun. Habe ich Dir schon so oft geschrieben und begründet. Du vermittelst durch solche Formulierungen gerade unerfahrenen Mitlesenden den Eindruck, damit sei eine sichere Wiederherstellung eines vertrauenswürdigen Systemzustands möglich, was jedoch so nicht gegeben ist. Wie ich oben schon in unterschiedlicher Konstellation schrieb: Es ist eine fatale Fehlannahme, dass Virenscanner alle Schädlinge erkennen. Und wenn man sogar sicher weiß(!), dass es ein Schädling aktiv auf ein System schaffte, dann muss man auch konsequent handeln, und das System neu aufsetzen, oder alternativ ein Sicherungsimage einspielen.
 
Zuletzt bearbeitet:
Zurück
Oben