Maleware, WindowsApps, TrustedInstaller, RouterHack, System Shutdown

[critter3286]

Hallo Zusammen! Ich brauche bitte Hilfe!
Ausversehen wurde eine fehlerhafte/schadhafte FlashPlayer Datei installiert. Bemerkbar hat sich das sofort gemacht, dadurch dass der WLAN adapter nicht mehr funktionierte. (Wollte neues update, war aber auf dem Neuesten Stand). Die vermeindliche Download Datei befand sich nicht im Download Ordner. Dafür haben wir "zuletzte Änderungen" in dem WindowsApps Ordner festgestellt. Ein WindowsApps Ordner wurde unter C/Programme + C/Programme(x86) erstellt und dort Änderungen vorgenommen. Zu diesem Zeitpunkt konnten wir diesen Ordner noch öffnen. Wir konnten sehen, dass Änderungen u.a. am TrustedInstaller vorgenommen worden sind. Die CPU Auslastung lag vom TrustedInstaller (Taskmanager) bei 100%. Nach einigen Sekunden verschwand diese aus der Anzeige.
Wir hatten keine Möglichkeiten die Zugriffsrechte für den WindowsApps zu bekommen. -alle versuche + hilfe von google sind gescheitert. Eine Netzwerkanalyse hat ergeben, dass 6 zusätzliche unbekannte geräte auf den router zugegriffen haben zuerst haben wir den router vom Netzwerk getrennt..Diese unbekannten geräte haben wir gesperrt. Zuerst versuchten wir eine Systemwiederherstellung ohne Erfolg, dann haben wir eine WindowsRecovery versucht auch ohne Erfolg, da das Passwort nicht akzeptiert wurde (es war korrekt). Mithilfe eines Usb sticks haben wir den Laptop neu aufgesetzt und alle Partitionen formatiert und gelöscht und den Router mithilfe eines separaten laptops der vorher nicht an dem netzwerk hing auf werkseinstellung zurückgesetzt und alle Kennwörter geändert. Der infizierte Laptop schien zunächst ok. Jedoch war windowsapp immernoch/wieder in dem Programm ordner, diesen können wir jetzt gar nicht mehr öffnen, da zugriffsrechte fehlen. Die erste Überprüfung des Routers schien in ordnung. Wir konnten uns sowohl mit dem nicht infizierten als auch dem infiziertem auf dem Router anmelden und fanden auch keine unbekannten geräte. Als wir etwa eine stunde später nochmals versuchten uns auf dem Router anzumelden, war das Passwort falsch und wir hatten keinen Zugriff mehr auf dem Router. Der Laptop hat eine CPU Auslastung von knapp 100% nach dem Start. Wir sind keine Profis und benötigen bitte Hilfe beim Analysieren und Problem lösen und eine Risikoeinschätzung, was andere Geräte, die mit dem Netzwerk verbunden waren (handys, smart tv) betrifft. Aktuell ist die Internetverbindung gekappt, der Router vom Strom und der Laptop aus. Vielen Dank im Voraus!!

 

[Sebbi]

bitte holt euch hilfe vor Ort, am besten in einen Computerladen mit guten Leumund. Fragt ggf beim MediaMarkt / Saturn, ob die euch helfen könnten oder euch jemanden empfehlen können.

Wenn ihr denoch nicht weiterkommt, könnt ihr sogar bei der Polizei anfragen, ob die euch da weiterhelfen können. Die sind meistens da sehr freundlich und geben auch gerne Tipps.

Nur soviel:

Bei euch muss das ganze Netzwerk geprüft und gesäubert werden. Das heißt, komplette Formatierung der Datenträger vom Laptop etc.
Router muss neu aufgesetzt werden mit einen RecoveryImage, welches alles überschreibt da.
SmartTV ist so eine Sache, muss man sehen wie der sich verhält, aber da diese geräte oft nicht geplegt werden, würde ich den genau wie Smartphone als potenziell infiziert betrachten.

Außerdem müssen dringend von einen sauberen Geräte wieder alle Passwörter geändert werden, vorallem wenn ihr für die Windowsanmeldung den Microsoft Online Account genutzt habt.

Und noch was ganz wichtiges, auf den Sauberen gerät NICHT in Windows mit den Online Account am Windows anmelden !!!! der muss erst geprüft werden auf Veränderung und natürlich ein Passwort Wechsel erfolgen.

 

[Tunguska]

Gleich einmal vorweg:

Die Besonderheiten mit dem WindowsApp-Ordner sind von Microsoft so gewollt und noch kein Hinweis auf eine Infektion! Trotzdem ist eine Infektion nicht auszuschliessen.

Der Teil mit dem Router (unbekannte Verbindungen, Passwort etc.) ist schwer zu bewerten, da die unbekannten Verbindungen vielleicht schon länger bestehen (aber unbemerkt geblieben sind) und das Passwort vielleicht auch nur aus Panik nicht korrekt eingegeben wurde.

Ausversehen wurde eine fehlerhafte/schadhafte FlashPlayer Datei installiert.

Woher stammt die schadhafte Datei?

Ein WindowsApps Ordner wurde unter C/Programme + C/Programme(x86) erstellt und dort Änderungen vorgenommen. Zu diesem Zeitpunkt konnten wir diesen Ordner noch öffnen.

Der WindowsApps Ordner in C:\Programme ist Bestandteil des Windows 10 Betriebssytems und ist somit immer vorhanden. Das Datum zeigt die letzte Änderung an, die vorgenommen wurde und nicht das Erstellungsdatum.

Vom WindowsApps Ordner unter C:\Programme(x86) bitte einen Screenshot.

Den WindowsApps Ordner kann man im Normalfall weder sehen noch öffnen, da er zum Einen versteckt ist und zum Anderen schreibgeschützt (was auch eure späteren, gescheiterten Zugriffsbemühungen erklären würde).

Wir konnten sehen, dass Änderungen u.a. am TrustedInstaller vorgenommen worden sind.

Und das habt ihr "wie" gesehen?

Wir hatten keine Möglichkeiten die Zugriffsrechte für den WindowsApps zu bekommen. -alle versuche + hilfe von google sind gescheitert.

Was genau habt ihr denn versucht? Im Grunde ist es gar nicht so kompliziert (Anleitung)

Der infizierte Laptop schien zunächst ok. Jedoch war windowsapp immernoch/wieder in dem Programm ordner, diesen können wir jetzt gar nicht mehr öffnen, da zugriffsrechte fehlen.

Wie oben schon erwähnt: Der Ordner gehört zu Windows 10 wie der Desktop oder der Papierkorb. Zugriff siehe Anleitung. Aber aufgepasst: Wer darin rumpfuscht und sein Windows sabotiert, darf es selbst wieder neu aufsetzen!

 

[Darlis]

Eine Netzwerkanalyse hat ergeben, dass 6 zusätzliche unbekannte geräte auf den router zugegriffen haben

Was für eine Analyse? Welcher Router? Sicher, dass das nicht etwa Smartphones (auch von Besuchern) oder sonstige IoT-Geräte sind? Wenn es ein Virus auf dem Laptop war, würde sich dieser auch als Laptop melden und nicht 6 neue Geräte aus dem Nichts erschaffen.
Ist die Remoteverwaltung aus dem Internet abgeschaltet? Ist die Firmware aktuell?

 

[chrigu]

Router auf werkauslieferung zurückstellen. Festplatte des lappi ausbauen, live Linux von einem nicht infizierten pc auf ein neugekauften Sick installieren. Stick am laptop ohne Festplatte Starten, mit einem usb-pcie Adapter die infizierte Festplatte anschliessen und mit dban komplett überschreiben(geht je nach Grösse der Platte ein paar stunden). Platte wieder einbauen. Mit einem frisch mit Microsoft creation Tool gemachte Windows installieren.... dban mit jeder Festplatte/usb Stick durchführen, die ab diesen Tag irgendwie mit dem pc verbunden wurde.

 

[purzelbär]

Das computerbase Forum hier reicht ihm wohl nicht aus als Anlaufstelle für Hilfe und er versucht sein Glück auch im TB: https://www.trojaner-board.de/19988...ete-netzwerk-system-shutdown.html#post1740119 ohne etwas vom Crossposting hier oder dort zu erwähnen.

 

[Jed1234]

Hallo zusammen, vielen Dank schon mal für die vielen sachlichen Rückmeldungen. Die Frage hat ursprünglich meine Freundin gepostet - sie bekommt aber keinen Zugang mehr über ihr Handy, deswegen die Antworten von mir.

sorry, mir war nicht bewusst das posten in zwei Foren nicht gerne gesehen wird.

zu den Fragen:

es war ein unbedachter Klick auf einer unsicheren Website, um Flash content abzuspielen. Was es im Endeffekt für eine Datei war kann ich nicht sagen, sie war aus dem Download Ordner raus.

Die Änderungen an den Ordnern / Dateien konnten wir anhand der letzten Änderungszeit sehen.

die netzwerkanalyse lief über avast.

danach direkt in die Fritzbox 7590 eingewählt und es im mash gesehen.

alle Anleitungen um die Zugriffsrechte zu erhalten, die wir bei Google finden konnten, haben nicht funktioniert.

es waren keineBesucher bei uns im Netzwerk. Wir haben einen Smart tv, wifi Drucker und ps5... aber die unbekannten Geräte waren zusätzlich zu unseren Geräten.

wie es aussieht werden wir nicht drum rum kommen uns professionelle Hilfe zu holen.

das formatieren der Festplatten, usb-neu Installation und das zurücksetzen des routers auf Werkseinstellungen ist ungefähr so weit, wie unsere Fähigkeiten gehen...

Ergänzung (13. September 2020)

Noch eine Frage, wie schätzt ihr die Gefährdungen für unsere Handys ein? Ein Android-gerät und ein iPhone...

zu den internetfähigen Geräten...als wir den Laptop neu aufgesetzt haben und den Router zurück gesetzt haben, waren diese Geräte vom Netz getrennt.

 

[chrigu]

iPhone 1% Gefährdung
Android zwischen 1-70% Gefährdung

 

[Darlis]

danach direkt in die Fritzbox 7590 eingewählt und es im mash gesehen.

Da sind mit 99% Wahrscheinlichkeit physische Geräte, d.h. dein Hacker ist in WLAN Reichweite. Software kann keine Hardwaregeräte simulieren (ich gehe mal nicht davon aus, dass du Virtualisierung nutzt). Werden die Geräte auch im WLAN oder LAN angezeigt?
Firmware aktuell? Sicheres Router- und WLAN-Passwort vergeben? Internetzugriff und UPNP deaktiviert?

Das hat auch mit deinem Download, von dem immer noch keiner weiß woher der kommt zu tun, sondern hat dich erst mal panisch werden lassen und normales Windows-Verhalten (App-Ordner, Trusted Installer) als schädlich einzustufen. Hat Avast eigentlich was dazu gesagt oder nur über diese Netzwerkanalyse?

Das ein Virus oder Hacker den WLAN-Adapter lahmlegt ist sehr ungewöhnlich. Auch fragt der nicht selbst nach einem Update. Entweder war der Dialog von einer Schadsoftware oder dem Tool vom <Laptophersteller>.

Was ist jetzt nach der Neuinstallation passiert? Funktioniert der WLAN-Adapter wieder? Ggf. müssen diese Treiber nachinstalliert werden, wenn die nicht im Windows-Setup enthalten sind.

Wenn du dir Hilfe holen willst, dann buche auch gleich eine Schulung über Windows und Netzwerk.

 

[Jed1234]

Außerdem müssen dringend von einen sauberen Geräte wieder alle Passwörter geändert werden, vorallem wenn ihr für die Windowsanmeldung den Microsoft Online Account genutzt habt.

Und noch was ganz wichtiges, auf den Sauberen gerät NICHT in Windows mit den Online Account am Windows anmelden !!!! der muss erst geprüft werden auf Veränderung und natürlich ein Passwort Wechsel erfolgen.

@Sebbi - vielen Dank für deine schnelle Rückmeldung.

wir haben unsere Passwörter alles geändert. Bis auf den Windows Account. Mit dem Account war auch nichts verknüpft. Alles scheint soweit ok. Was sollen wir mit dem Windows Account machen? Wie können wir den auf Veränderungen prüfen?

Grüße C & J

 

[Sebbi]

Was sollen wir mit dem Windows Account machen?

auf jeden fall erstmal da, von einen Sauberen rechner aus das passwort ändern. Denn wenn der Cracker eine RDP Lücke, ggf auch dauerhaft in den Router geschossen hat (darum ein Rücksetzen der FritzBox mit Werksimage, http://download.avm.de/fritzbox/fritzbox-7590/deutschland/recover/FRITZ.Box_7590-07.20-recover.exe downloaden und den Anweisungen folgen), dann könnte der, wenn ihr ein Online Konto vom MS nehmt, immer wieder per RDP auf den Rechner zugreifen.

 

[brianmolko]

Das computerbase Forum hier reicht ihm wohl nicht aus als Anlaufstelle für Hilfe und er versucht sein Glück auch im TB: https://www.trojaner-board.de/19988...ete-netzwerk-system-shutdown.html#post1740119 ohne etwas vom Crossposting hier oder dort zu erwähnen.

OT On

Bei dir kann man einfach nur den Kopf schütteln.
Selbst ständig darauf verweisen, man könne sich ja mit derart Problemen auch mal ans Trojaner-Board wenden, aber hier den großen Aufpasser spielen.
Selten so eine Arroganz erlebt.

OT Off