Hacker hat meinen PC ferngesteuert!

[Sarah2022]

Hallo zusammen! Ich kam heute nach Hause und sah auf meinem PC wie irgendjemand die Kontrolle über meinen PC übernommen hat und die Maus bewegt hat und im Browser etwas gesucht hat. Ich war extrem geschockt und habe sofort die Internetverbindung getrennt.
Dann sah ich das die Person eine Datei namens Webbrowserpassview gedownloaded hat. Ich habe danach gegoogelt und damit kann man wohl die Passwörter aus dem Browser auslesen. Ich habe diese Datei dann gelöscht und auch alle gespeicherten Passwörter und Cookies von meinem PC gelöscht.
Danach fand ich ein Programm das Remote Utilites heißt und das der Hacker wohl auch installiert hat. Dieses Programm habe ich ebenfalls deinstalliert.
Ich habe dann mit Malwarebytes einen Scan gemacht, da ich dachte das ich mir wohl einen Trojaner eingefangen habe (hatte ich früher schon mal), aber Malwarebytes fand nichts außer einem Installer von Chip.de. Das ist aber kein Trojaner, sondern nur eine Software die zusätzliche Software mit installiert, die man meistens nicht haben möchte.
Ich habe ebenfalls einen Scan mit AVG Antivirus gemacht, dabei wurde nichts gefunden.
Jetzt frage ich mich wie der Hacker auf meinen PC zugreifen konnte. Wie konnte er in mein System eindringen wenn ich keinen Trojaner auf dem PC habe? Kann mir jemand vielleicht helfen? Das wäre sehr nett!

 

[ghecko]

und auch alle gespeicherten Passwörter und Cookies von meinem PC gelöscht.

Das bringt dir jetzt nichts mehr. Ändere alle Passwörter der Plattformen, auf die du mit deinem Browser (oder insgesamt dem PC) zugegriffen und das Passwort gespeichert hattest. Und mach das mit einem anderen Rechner. Den jetzigen würde ich platt machen und zuvor mit Linux die wichtigen Dateien von der Platte sichern. Und benutze sichere Passwörter, nicht "123passwort".

Remotedesktopanwendungen sind übrigens nicht zwangsweise ein Virus -> https://de.wikipedia.org/wiki/Remote-Desktop
Wie sich derjenige Zugriff zu deinem Rechner verschafft hat um so etwas einzurichten ist fraglich, aber das kann dir vllt jemand anderes erklären, der sich in Windows besser auskennt.

 

[AB´solut SiD]

Stimme @ghecko vollumfänglich bei der Vorgehensweise zu.
So dilettantisch wie es ausgeführt wurde, tippe ich eher auf jmd mit physischem Zugriff auf den PC (verprellte Verehrer)? Frage deshalb weil auch andere Geräte auf die Zugriff bestand dann kompromittiert sein könnten. Alles natürlich eine Vermutung aber bei der geschilderten Vorgehensweise durchaus denkbar. Windows ist schnell wieder aufgesetzt heutzutage und ein Telefon flux zurückgesetzt.

 

[ZuseZ3]

Du hast offensichtlich nicht genug Ahnung um das selbst rauszufinden, aus der Ferne wird das schwer.
Ich behaupte mal du wirst auch nicht wissen welches Passwort du auf dem PC jemals genutzt hast also mach es dir einfach und vergebe alle Passwörter neu. 2FA ansehen und nutzen.
Das System ist kompromittiert, du sollst es damit komplett platt machen und windows neu installieren.
Am besten auch keine Daten sichern, dafür gibt es backups, da du dir den virus sonst erneut einfängst.

Ich stimme obigen Leuten zu, an sich ist ein RD Programm kein Virus, vlt. wurde die Verbindung aber über nen Virus geöffnet. Kann aber genausogut jemand aus deinem Umfeld sein, also einfach PC sperren, wenn du nicht dran bist. Ist eigentlich auch müßig drüber zu rätseln, meine Glaskugel ist zumindest gerade in der Reparatur.

 

[catch 22]

Den jetzigen würde ich platt machen und zuvor mit Linux die wichtigen Dateien von der Platte sichern. Und benutze sichere Passwörter, nicht "123passwort".

Beim Rechner platt machen würde ich doch widersprechen. Sondern Anzeige gegen Unbekannt stellen. Es wird wahrscheinlich im Sand verlaufen, aber falls mit deinen Daten Schabernack getrieben wird, kann die Existenz der Anzeige dir wiederum helfen, unbeschadeter aus der Sache rauszukommen, da so dann protokolliert ist, dass da was war.

In dem Sinne, wenn man sieht, dass am Rechner sowas abgeht:

• Rechner vom Internet trennen und runterfahren (in dem Fall sogar gerne auch einfach ausschalten)
• alle Kennwörter zu Online Zugängen die man hat, selbst wenn man meint, dass das Kennwort auf dem betroffenem Rechner neu vergeben und dabei wirklich vollständig neuartige Kennwörter verwenden (nicht nach dem alten Muster, wenn man denn leider eines nutzen sollte)
• Anzeige gegen Unbekannt erstellen
• Den Rechner ohne Netzwerkanbindung mit einer Linux Boot CD hochfahren und Daten sichern, vor allem aber auch keine Daten löschen / oder verändern

 

[ghecko]

Sondern Anzeige gegen Unbekannt stellen.

Gut, das ist ein Argument. In dem Fall ist der Rechner ein Beweismittel.

 

[Golgorod]

Ich denke es ist wider ein profane Geschichte. Wenn du hinter einem brauchbaren Router sitzt, mit dich mit Augenmaß im Internet bewegst, dann kommt der "Hacker" eher aus deinem eigenen Netz. Warum sollte man das über eine Remote Desktop Verbindung tun? Also bitte, dafür gibt es nun andere Wege.
Rechner erst einmal von Netzwerk trennen und grundlegend die Sicherheit des internen Netzes überprüfen. Welches Gerät stellt deine Internetverbindung her? Wurden von da Ports auf deinen Rechner geleitet?
Hatte jemand physikalischen Zugriff auf deinen Rechner, dass ist eher wahrscheinlich. Wenn jemand für so einen "hack" Remote Desktop Tools benutzt, wird dieser jemand die auch manuell installiert haben....
Wir wissen zu wenig und können nur mutmaßen.

 

[foo_1337]

Ich denke es ist wider ein profane Geschichte. Wenn du hinter einem brauchbaren Router sitzt, mit dich mit Augenmaß im Internet bewegst

NAT ist keine Firewall! Solange http/https nach außen möglich ist, ist dies völlig ausreichend.

 

[ergibt Sinn]

Welchen Browser benutzt du denn und hätte der Jeinge nicht einfach im Browser selbst nachsehen können anstatt eine Datei namens Webbrowserpassview zu nutzen ?

Hast du, bevor du das Programm Remote Utilites deinstalliert hast, darauf geachtet wann es installiert wurde ?

Mir klingt das ganze nach physischen Zugriff.

 

[Schlaflos]

Du lässt also die ganze Zeit deinen PC an? Oder wie soll man das verstehen mit "Ich kam heute nach Hause und sah auf meinem PC wie irgendjemand die Kontrolle über meinen PC übernommen"

Der Chip Installer ist PUA und gehört auf keinen PC meiner Meinung. Der wird auch gar nicht benötigt um Software von deren Webseite herunterzuladen und zu installieren.

Dann ist es so, wenn ein User per Remote auf deinen Rechner zugegriffen hat, wäre ein Tool um Passwörter aus dem Browser auszulesen gar nicht nötig. Der User könnte diese sich doch einfach anzeigen lassen. Extra - Einstellungen usw.

Dann stimme ich voll zu, ändere überall deine Passwörter. Aber nicht von diesem PC aus. Dein PC ist kompromittiert.

AVG Antivirus sollte du auch deinstallieren. Die haben in der Vergangenheit Nutzer ausgespäht. Das ist ein No-Go für einen AV-Software Hersteller.

Falls du ein Backup hast oder auf dem PC keine wichtigen Daten vorliegen. OS neu aufsetzen. Die Zeit die man bräuchte um sicher zu stellen, dass der PC clean ist würde länger sein, als eine Neuinstallation.

Wenn du das gemacht hast. Lege zwei Benutzerkonten an. Eines mit und eines ohne Administrationsrechten. Im Alltag nutzt du dann das Benutzerkonto ohne Administrationsrechte. Als AV nutzt du dann den Windows Defender.

Das mit der Beweissicherung und der Anzeige ist ein guter Punkt. Muss man abwägen.

 

[foo_1337]

Welchen Browser benutzt du denn und hätte der Jeinge nicht einfach im Browser selbst nachsehen können anstatt eine Datei namens Webbrowserpassview zu nutzen

Weil es deutlich schneller geht?

 

[Garack]

alles im netzwerk "könnte" auch betroffen sein, router, grade wenn nicht ausreichend geschützt oder password auch im browser gespeichert ist. smartphones (schwer bei android einfacher als ios) , drucker, andere rechner (je nach konfiguration wohl auch nicht sooo einfach)

Ergänzung (2. Dezember 2020)

Weil es deutlich schneller geht?

chrome nimmt das windows login mittlerweile um die PW anzuzeigen, der neue edge auch, Firefox nicht wenn kein master Passwort, ob das nirsoft tool das umgeht weiss nicht nicht.

 

[foo_1337]

Ne, kann es nicht, weil die Chromium passwörter Verschlüsselt da liegen und man eben das Login PW dafür benötigt. Aber zumindest FFox default und IE (wird ja leider nicht genug benutzt) hat man schnell. Nur wenn er das user PW kennen sollte bzw es geändert hat, kriegst du dann mit dem tool auch schnell alle chromium Passwörter.

 

[Golgorod]

NAT ist keine Firewall! Solange http/https nach außen möglich ist, ist dies völlig ausreichend.

Das ist vollkommen richtig aber nach etlichen Fällen dieser Art, kann ich dir sagen, dass jemand, der in der Lage wäre von Remote eine Installation eines solchen Tools anzustoßen andere Möglichkeiten hat deine Passwörter zu bekommen, zumal Remote Utilites ein Client-Server basiertes System ist. Heißt, die Tools gehen (ähnlich wie Teamviewer) über einen zentralen Server, wo der "Hacker" identifizierbar ist. Total sicher für den "Hacker".
Schaut doch mal in den technischen FAQ.

Meine Vermutung, jemand hat das vor Ort installiert, den Rechner in die Fernwartungsgruppe bei Remote Utilites gestopft und sich deine Passwörter geholt. Der Schaden ist dennoch angerichtet. Alle Passwörter schnellstmöglich ändern. 2 Faktor bei allen Diensten scharfschalten.

 

[foo_1337]

Früher(tm) wurden Netbus, BO & Co über "getarnte" Spiele via ICQ versendet
Aber zu der Zeit sah man auch via ICQ die IP und incoming connections waren kein Problem. Die Software so zu "verteilen" ist aber sicher nach wie vor möglich. Sieht man ja auch immer wieder in Unternehmensnetzen, wo Social Engineering eine gern genommene Methode ist.

 

[mr hyde]

Im besten Fall weiß chip.de gar nicht so genau, was für Schund (mit Backdoors?) Drittfirmen da in der Adware dieses "chipinstallers" verstecken. Den schlechtesten Fall formuliere ich lieber nicht aus.

Ich habe vor Jahren drei Mal die PCs meiner Eltern vor allerlei Trojanern "reinigen" müssen, zweimal wurde massenhaft Spam über die Emailclients verschickt. Jedes Mal konnte ich den Beginn der Probleme zeitlich mit der Installation des chip-Installers in Verbindung bringen (auch wenn das kein forensischer Beweis ist). Mittlerweile habe ich meinen Eltern den Besuch der Seite nachhaltig abgewöhnt.

Ich halte es deshalb gar nicht für so unwahrscheinlich, dass der auch hier den Startpunkt gesetzt hat.

 

[ergibt Sinn]

Weil es deutlich schneller geht?

Vielleicht missverstehe ich ja etwas, daher bitte um Aufklärung.
Im Browser Passwörter anzeigen zu lassen dauert doch nur wenige Sekunden.

 

[foo_1337]

Anzeigen lassen (jedes einzelne!? und in jedem Browser) und abschreiben/screenshotten/copypasten ist "etwas" mehr aufwand als ein Tool auszuführen und das Textfile, was generiert wird zu transferieren.
Edit: Gilt nicht für Chrome, denn da gibt es eine Export Funktion. Aber das ist halt nur einer von potentiell mehreren Browsern auf dem System

 

[Schaby]

Ich sags mal kurz. Mal wieder Chip.de. Es gibt keine Seite die so offensichtlich Schadsoftware installiert wie von Chip. Und Chip.de wissen genau was sie da machen. Wenn mal etwas mitinstalliert wird, aber in allen Downloads ist das Zeug drin und da fließt bestimmt ne menge Geld an Chip.de.

 

[ergibt Sinn]

@foo_1337

Verstehe, da hast du Recht.