In einer Virtuellen Maschine gehackt worden - Auswirkungen?

[Wilhelm14]

Die .doc und die Bilder stammen von meinem NAS Laufwerk

Okay, dann weißt du also nicht, was er alles hat, aber wenn er dir ein paar Daten zeigt, die ausschließlich vom NAS kommen können, könnte er noch mehr haben. Ärgerlich. Ich hätte Panik.

Ich bin kein Rechtsberater. Jetzt musst du selber abwägen, ob zur Polizei oder nicht. Am ehesten könnte ich mir vorstellen, dass man eventuellen Identitätsdiebstahl etwas eindämmen kann. Wenn dein Perso missbraucht wird, kannst du immerhin sagen, dass du das angezeigt hast. Vergleichsweise Geldabhebungen nach Kartensperre.
Mich würde aber nicht wundern, wenn die Polizei nichts macht (machen kann). Mir kam mal mein Portemonnaie abhanden und ich bin zur Polizei. Die fragten, was ich wolle und ich bat um Ratschläge. Anzeige, wozu hieß es? Alles sperrbare sperren lassen, Perso, Führerschein neu beantragen, beim Fundbüro nachfragen. (Glücklicherweise hat jemand mein Portemonnaie beim Schneeschieben gefunden und mir komplett zurück gegeben.) Zumindest war der Kontakt mit der Polizei ernüchternd.

 

[Eishunter]

Ich nutze mein NAS halt als klassichen Netzwerkspeicher.

dann erstelle dir eine debian oder ubuntu - oder was auch immer VM mit nem Samba-Speicher, dann hast du auch immer ein netzwerk-NAS

 

[Tryptoff]

Und dadurch ist es genauso angreifbar wie deine im PC verbaute Festplatte und Backups gehören auf eine Offline USB Festplatte oder Offline NAS sonst sind die nicht geschützt vor zum Beispiel Ransomware Trojaner die Dateien der User verschlüsseln und Lösegeld forden. Haste verstanden worauf ich aus bin?

Natürlich habe ich das verstanden. Ich habe ja auch Backups meiner wichtigsten Daten auf 2 externe Festplatten die nur angesteckt werden wenn eben Backups gemacht werden. Daher auch mein Kommentar, dass ich das NAS als reinen Netzspeicher verwende und nicht für Backups etc.

 

[purzelbär]

Okay, aber ich glaube, du erwähnst das jetzt das erste Mal das du noch 2 externe Festplatten für Backups nutzt die offline sind

 

[Tryptoff]

Okay, dann weißt du also nicht, was er alles hat, aber wenn er dir ein paar Daten zeigt, die ausschließlich vom NAS kommen können, könnte er noch mehr haben. Ärgerlich. Ich hätte Panik.

Ich bin kein Rechtsberater. Jetzt musst du selber abwägen, ob zur Polizei oder nicht. Am ehesten könnte ich mir vorstellen, dass man eventuellen Identitätsdiebstahl etwas eindämmen kann. Wenn dein Perso missbraucht wird, kannst du immerhin sagen, dass du das angezeigt hast. Vergleichsweise Geldabhebungen nach Kartensperre.
Mich würde aber nicht wundern, wenn die Polizei nichts macht (machen kann). Mir kam mal mein Portemonnaie abhanden und ich bin zur Polizei. Die fragten, was ich wolle und ich bat um Ratschläge. Anzeige, wozu hieß es? Alles sperrbare sperren lassen, Perso, Führerschein neu beantragen, beim Fundbüro nachfragen. (Glücklicherweise hat jemand mein Portemonnaie beim Schneeschieben gefunden und mir komplett zurück gegeben.) Zumindest war der Kontakt mit der Polizei ernüchternd.

So siehts aus und genau das ist mein Problem. Ich weiß nicht was er noch alles hat. Die von ihm bisher gezeigten Dateien stammen von einem der beiden Netzlaufwerke. Die etwas sensibleren befanden sich halt auf dem anderen. Wenn ich nur wüsste ob er auch im anderen Laufwerk war... Man ist das ärgerlich!
Ich reche leider auch damit, dass die Polizei nicht viel machen kann/wird.

Und ja, hab das vorher nicht erwähnt. Dachte die Info, dass überhaupt Dateien entwendet wurden reicht. Bin etwas durch heute, sorry...

 

[Wilhelm14]

Bin etwas durch heute, sorry...

Glaub ich dir. Mir war richtig schlecht, als mein Portemonnaie ein paar Tage weg war. Ich dachte echt, dass irgendein Hallodri sich mit meinen Karten als mich ausgibt und meine Reputation den Bach runter geht.

 

[purzelbär]

Bin etwas durch heute, sorry...

Macht nichts du bist logischerweise geschockt und durch den Wind durch diese Sache und wir Alle und Du sind nur Menschen mit Emotionen

 

[Tryptoff]

Danke fürs Verständnis! Auch deswegen habe ich dieses Thema hier eröffnet. Meinungen von noch zu 100% logisch denkenden Menschen können sehr beruhigend wirken

Ich schätze mal ich mache mir zu viele schlimme Gedanken. Hätte der Typ wirklich meine Perso-Daten, Adressen oder Bankdaten gehabt, hätte er diese wohl auch direkt in der Mail erwähnt. Zumindest wäre das für mich so logisch. Vielleicht macht der das auch bei hunderten Leuten und hofft nur auf schnelles Geld... Diese Ungewissheit nervt trotzdem. Das nervt mich schon mehr als meine eigene Dummheit es überhaupt so weit kommen zu lassen.

Ich werde jetzt erstmal über Nacht meinen kompletten Datenbestand scannen lassen und morgen zur Polizei gehen. Danach dann Windows und NAS platt machen... Hilft ja alles nix, dann ist immerhin alles mögliche getan.

 

[purzelbär]

Warum hast du hier nicht erwähnt, das du mit deinem Fall auch ins Trojaner Board: https://www.trojaner-board.de/19805...-gehackt-worden-auswirkungen.html#post1730815 bist? Ich will dir keinen Moaralpostel machen, aber das nennt sich Crossposting und wird in Foren nicht so gerne gesehen.

Ich werde jetzt erstmal über Nacht meinen kompletten Datenbestand scannen lassen

Mach das mit 2 verschiedenen OnDemand Scannern, ich hab welche in meiner Signatur verlinkt: Malwarebytes Free und Emsisoft Emergency Kit.

 

[Tryptoff]

Ich weiß, hatte so gehofft mehr Hilfe zu bekommen. Das war kurz nachdem ich die Mail gelesen habe, da war ich noch etwas mehr in Panik. Hab dann gemerkt, dass dort kaum Leute aktiv sind und binn dann hier rüber. Kein guter Move ich weiß, tut mir leid

Malwarebytes läuft schon, der Emisoft ist anschließend dran. Das wird aber bis morgen dauern, sind ein paar TB zum scannen.

 

[purzelbär]

Ist jetzt auch kein Weltuntergang, wird aber halt nicht gerne gesehen das Crossposting denn stelle dir nur mal als Beispiel vor die User und Helfer im Trojaner Board würden dir ganz andere Vorschläge geben als die User hier.

 

[purzelbär]

Beschäftigst du dich eigentlich auch damit bzw machst du solche Sicherungen auch? wenn nein, mach das zukünftig. Und nimm dafü bitte nicht das Imagetool unter Windows 10 denn das wird nicht weiterentwickelt. Alternativ zu Aomei gibt es solche Programme auch noch von Acronis(wäre mir zu teuer), Paragon, Easeus und Macrium die allesamt auch eine Free Version haben die für Normaluser ausreicht.
https://www.ubackup.com/de/help/system-backup.html
https://www.ubackup.com/de/help/disk-backup.html
https://www.ubackup.com/de/help/partition-and-volume-backup.html
Ich mache zum Beispiel von meiner Windows Partition C öfters die Systemsicherung und für meine anderen 2 Partitionen D und E auf der Festplatte die
Partitions- und Volumensicherung jeweils für D und E.

 

[Tryptoff]

Ich mache viele Sicherungen von meinen wichtigen Daten auf externe Laufwerke. Aber komplette Spiegelungen von meinem Windows bisher nicht. Es ist ja bekanntlich nie zu spät für etwas, danke für die Tips!

Hier noch der Log von Malwarebytes von meinem Hauptsystem:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 25.02.20
Scan-Zeit: 09:47
Protokolldatei: 735b68f2-57ab-11ea-8b64-005056c00001.json

-Softwaredaten-
Version: 4.0.4.49
Komponentenversion: 1.0.823
Version des Aktualisierungspakets: 1.0.19790
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 18362.592)
CPU: x64
Dateisystem: NTFS
Benutzer: MaxiHaupt\Maxi Spiele

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 336706
Erkannte Bedrohungen: 27
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 1 Min., 2 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 2
PUP.Optional.StartFenster, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\djhangopedggnlnicpbjklghlckmndge, Keine Aktion durch Benutzer, 477, 354303, 1.0.19790, , ame, 
PUP.Optional.VLCUpdaterDE, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VLC Updater, Keine Aktion durch Benutzer, 1690, 353751, , , , 

Registrierungswert: 1
PUP.Optional.StartFenster, HKU\S-1-5-21-3786605020-2589180797-2780905471-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|DJHANGOPEDGGNLNICPBJKLGHLCKMNDGE, Keine Aktion durch Benutzer, 477, 354303, , , , 

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 4
PUP.Optional.VLCUpdaterDE, C:\USERS\MAXI SPIELE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VLC UPDATER, Keine Aktion durch Benutzer, 1690, 353749, 1.0.19790, , ame, 
PUP.Optional.VLCUpdaterDE, C:\PROGRAM FILES (X86)\VLC UPDATER, Keine Aktion durch Benutzer, 1690, 353751, 1.0.19790, , ame, 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Keine Aktion durch Benutzer, 477, 455286, , , , 

Datei: 20
PUP.Optional.StartPage24, C:\USERS\MAXI SPIELE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\6JTCAAYF.DEFAULT\EXTENSIONS\FFEXT_BASICVIDEOEXT@STARTPAGE24.XPI, Keine Aktion durch Benutzer, 4617, 186354, 1.0.19790, , ame, 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Keine Aktion durch Benutzer, 477, 354303, , , , 
PUP.Optional.VLCUpdaterDE, C:\USERS\MAXI SPIELE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VLC UPDATER\SOFTWARE DEINSTALLIEREN.LNK, Keine Aktion durch Benutzer, 1690, 353749, 1.0.19790, , ame, 
PUP.Optional.VLCUpdaterDE, C:\PROGRAM FILES (X86)\VLC UPDATER\SETUP.ICO, Keine Aktion durch Benutzer, 1690, 353751, 1.0.19790, , ame, 
PUP.Optional.VLCUpdaterDE, C:\Program Files (x86)\VLC Updater\uninstall.exe, Keine Aktion durch Benutzer, 1690, 353751, , , , 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\ROAMING\MOZILLA\EXTENSIONS\startfensterde-0.0.1-an+fx-linux.xpi, Keine Aktion durch Benutzer, 477, 354302, 1.0.19790, , ame, 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\STARTFENSTER SYMBOL.LNK, Keine Aktion durch Benutzer, 477, 350108, 1.0.19790, , ame, 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\011255.ldb, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\011257.ldb, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\011259.ldb, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\011260.log, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\011261.ldb, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\Users\Maxi Spiele\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Keine Aktion durch Benutzer, 477, 455286, , , , 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Keine Aktion durch Benutzer, 477, 455286, 1.0.19790, , ame, 
PUP.Optional.StartFenster, C:\USERS\MAXI SPIELE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Keine Aktion durch Benutzer, 477, 455286, 1.0.19790, , ame, 

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Das sieht für mich nach keinen Bedrohungen aus, nur "Potenziell" unerwünschte Sachen. Was sagen die Experten? Und nochmal vielen Dank für eure Hilfe!

 

[purzelbär]

Ja das waren "nur" PUP die von Malwearebytes in Quarantäne gelöscht wurden. Dort in Quarantäne kannst du die jetzt bedenkenlos endgültig löschen. Jetzt noch Adwcleaner über dein System laufen lassen auch wenn du es neu aufsetzt und wenn du willst, deine externen Datenträger auch mal mit Eset Online Scanner prüfen. Anleitung für Eset Online Scanner: https://wiki.botfrei.de/ESET_Online_Scanner

Aber komplette Spiegelungen von meinem Windows bisher nicht. Es ist ja bekanntlich nie zu spät für etwas, danke für die Tips!

Deshalb habe ich es dir ja geschrieben und dazu etwas von Aomei Backupper verlinkt damit du weißt, was in den jeweiligen "Modi" gesichert wird und dabei wird nicht 1:1 gespiegelt oder geklont, sondern die Daten auf den jeweiligen Laufwerken die gesichert werden, werden komprimiert so das die Sicherung von zum Beispiel C bei 84 GB belegter Speicher auf C nur etwas halb so groß wird. Spielt man nun so eine Sicherung zurück, werden die komprimierten Daten wieder entkrompimiert und nach Abschluß ist dann Windows 10 inkl. Programe, Einstellungen usw. wieder so auf der Systempartition C wie zu dem Zeitpunkt als diese Sicherung gemacht wurde. Hättest du solche Systembackups von C gehabt die deutlich vor dem Zeitpunkt des Angriffs gemacht wurden, bräuchtest du jetzt Windows 10 nicht komplett neu aufspielen inkl. Programme und Einstellungen einrichten, sondern könntest mit dem Boot Medium des Backup Programms eine Windows 10 Sicherung/Backup aufspielen was viel schneller ginge. Mein Tipp: hole dir Aomei Backupper Pro für 1 Jahr kostenlos: https://www.deskmodder.de/blog/2019/12/23/aomei-backupper-pro-kostenlos-fuer-euch/

 

[purzelbär]

@Tryptoff
Du kannst ruhig auch mal hier Rückmeldung geben und nicht nur im TB

 

[IT-T0bi]

Mich würde auch mal interessieren was daraus geworden ist. Was hat die Polizei dazu gesagt?

Übrigens nächstes Mal den VLC von der offiziellen Herstellerseite (videolan.org) oder einer seriösen Quellen herunterladen (z.B. heise.de). Zur Not noch die Checksum vergleichen. Das geht wunderbar mit certutil.exe

Tatsächlich ist der erste Eintrag bei Google nicht der Richtige

 

[Eishunter]

gibt es auch eine Rückmeldung ? by the way !

 

[Tryptoff]

Hi, sorry für die späte Antwort hier, es kamen heute noch enige Sachen dazwischen.
Wie gesagt habe ich jetzt alles neu installiert und eingerichtet und damit ist die Sache für mich jetzt auch gegessen. Positiver Nebeneffekt war hierbei, dass ich mein Windows, welches seit Windows 8 existierte und geupgraded wurde, ziemlich gut ausmisten konnte Mit den Sicherungen werde ich mich am Wochenende beschäftigen, da brauche ich einige ruhige Stunden für.

Bei der Polizei lief es genau so ab wie erwartet. Anzeige gegen Unbekannt wurde aufgenommen inkl. der "Beweise" (Email etc). Man konnte mir zwar nicht garantieren, dass die Anzeige erfolgreich wird, aber immerhin wurde auch nicht direkt abgewiesen. Bin gespannt, mal abwarten.