ComputerBase Menü
Aktuelles

Opfer von Microsoft-Viren-Masche! Was ist zu tun?

ThunderBörd

ThunderBörd

Lieutenant
Registriert
Juni 2008
Beiträge
598
Guten Tag,

ich versuche mich kurz zu fassen:

Wohne in einer WG. Meiner Mitbewohnerin hat eben wohl mit "Microsoft" telefoniert und ihr wurde eingeredet sie hat ein Virus auf dem PC. Sie hat denen dann über Fernzugriff Zugang zum Rechner gegeben und es wurde irgendwas gemacht.

Das ist eine bekannte Masche und nachdem ich das mitbekommen habe, hab ich gesagt Sie soll sofort auflegen und alle Fenster schließen.

Was ist jetzt zu tun? Es wurde wohl eine Spähsoftware im Hintergrund installiert. Meine PC Kenntnisse reichen leider nicht aus um das alles zu 100% zu entfernen. Gibt es da irgendwo Anleitungen? Zur Not sollte formatieren?

Sind andere PCs im W-LAN in Gefahr? Wir sind hier zu 3.

Ihren PC haben wir sofort vom Internet getrennt, die anderen noch nicht.

Bitte helft uns/mir! Vielen Dank schonmal):) Grüße
Ergänzung ()

Habe jetzt Ihren PC auf den Stand von vor 4 Tagen zurückgesetzt. Noch irgendetwas nötig?

Mir ist vor allem wichtig, ob und wie sich so eine SW auf andere PCs im Netzwerk auswirken kann.
 
Sicher, dass die irgendwas installiert haben?

Die, die ich kenne, haben nur per Remotezugriff draufzugegriffen und haben die Leute von dem "Virus" überzeugt...
 
Solange du nicht weißt was da installiert wurde ist es eher schwierig zu entfernen. Am sichersten ist neu installieren.
 
wäre es mein System, ich würde der Rücksetzung nicht trauen. Ich würde die Kiste von einer Linux-Live-CD/DVD aus voll durchformatieren (keine Schnellformatierung) und dann wieder neu aufsetzen. Solange man nicht weiß, was genau gelaufen ist, ist oberste Vorsicht im Grunde Mindestvoraussetzung. Die zu sichernden eigenen Dateien (auch mit Linux-Live-CD/DVD erledigen) sollten durch einen oder mehrere VirenScanner gejagt werden und ich meine VirenScanner, keine Regenschirme.
Die Auswirkung auf Netzwerkrechner sind ja auch nicht absehbar. Sollten alle Rechner im gleichen Heimnetz unterwegs sein, Freigaben existieren, dann kann der Fremdzutritt auf auf diese Rechner bereits erfolgt sein. KANN, nicht muss.
 
Je nachdem was da genau installiert wurde, reicht ein Zurücksetzen nicht (es sei denn du meinst anhand eines externen Backups, aber das liest sich nicht so).

Die einzige sichere Lösung ist plattmachen und neu aufsetzen.

Die Software kann sich theoretisch schon auf andere PCs im Netzwerk auswirken, aber ohne mehr Details ist das alles Spekulation (und ehrlich gesagt eher unwahrscheinlich).
 
Windows komplett neuinstallieren. Alle Passwörter ändern.

Um andere Rechner würde ich mir keine großen Gedanken machen, da die Masche meist auf Bank/PayPal Daten abzielt oder irgendein teures Abo verkauft werden soll.
 
Mur zum Verständnis: Die haben bei euch angerufen, sich als Microsoft ausgegeben und dann -vermutlich- irgendwas mithilfe deiner Bekannten installiert?!?
 
ThunderBörd schrieb:
Was ist jetzt zu tun? Es wurde wohl eine Spähsoftware im Hintergrund installiert.
Zum Vergrößern anklicken....
Zunächst wird in der Regel erstmal eine Fernadministrationssoftware installiert. Was dies jedoch genau war, kann man nicht 100%ig wissen. Und sobald nicht vertrauenswürdige Software installiert wurde, ist damit auch der Systemzustand nicht mehr vertrauenswürdig.

Meine PC Kenntnisse reichen leider nicht aus um das alles zu 100% zu entfernen. Gibt es da irgendwo Anleitungen? Zur Not sollte formatieren?
Zum Vergrößern anklicken....
Nicht "zur Not", sondern bei Kompromittierung immer, bzw. durch Zurückspielen eines sauberen Images aus der Vergangenheit. Liegt so ein angefertigtes, extern gespeichertes Sicherungsimage vor?

Sind andere PCs im W-LAN in Gefahr? Wir sind hier zu 3.
Zum Vergrößern anklicken....
Ja, wenn sie im gleichen Netzwerk hängen. Auch der Router prinzipiell. War dessen Konfigurationsoberfläche bisher mit einem sicheren, individuell vergebenen Passwort gesichert?

Ihren PC haben wir sofort vom Internet getrennt, die anderen noch nicht.
Zum Vergrößern anklicken....
Nur vom Internet, oder auch vom internen Netzwerk?

Ergänzung ()

Habe jetzt Ihren PC auf den Stand von vor 4 Tagen zurückgesetzt. Noch irgendetwas nötig?
Zum Vergrößern anklicken....
Das ist in so einem Fall weder eine geeignete noch eine hinreichende Maßnahme.

Mir ist vor allem wichtig, ob und wie sich so eine SW auf andere PCs im Netzwerk auswirken kann.
Zum Vergrößern anklicken....
Ja, das kann sie. Daher muss sowohl jeder einzelne PC im Netzwerk, als auch z.B. der verwendete Router, passend abgesichert sein.

Wischbob schrieb:
Mur zum Verständnis: Die haben bei euch angerufen, sich als Microsoft ausgegeben und dann -vermutlich- irgendwas mithilfe deiner Bekannten installiert?!?
Zum Vergrößern anklicken....
Ja, genau so läuft das ab.
 
WLAN habe ich bei mir dann sofort deaktiviert, also wurde die Verbindung zu intern/extern getrennt.

Mittlerweile - nachdem ihr PC zurückgesetzt wurde und ich meinen per Virenscan geprüft habe - wurde wieder alles aktiviert.

Wir haben nur ein reguläres PW für das Wifi... bei dem Router direkt weis ich es gerade nicht.

Ein geläufiger Virenscan sollten Spähsoftware ja eigentlich erkennen oder nicht? Vor allem wenn das ein Programm einer so verbreiteten Masche ist..? Die Virenprogramme werden ja fast täglich geupdatet.

Ihr PC ist erst ein paar Wochen alt. Sie hat sich darüber wohl noch nie an einem Ihrer Onlinekonten angemeldet. (Bank, amazon usw.)

Wir haben die Windows - Funktion für das Wiederherstellen auf den Zeitpunkt direkt nach dem Kauf genutzt. Das bezieht sich auf C - sprich die Schadsoftware sollte (falls auf C installiert) auf jeden Fall weg sein oder nicht?
 
Zuletzt bearbeitet:
ThunderBörd schrieb:
WLAN habe ich bei mir dann sofort deaktiviert, also wurde die Verbindung zu intern/extern getrennt.
Zum Vergrößern anklicken....
Das ist allerdings nicht die Antwort auf die Frage, ob ihr PC nicht nur vom Web, sondern auch sofort vom internen Netzwerk getrennt wurde.

Mittlerweile - nachdem ihr PC zurückgesetzt wurde und ich meinen per Virenscan geprüft habe - wurde wieder alles aktiviert.
Zum Vergrößern anklicken....
Ganz schlechte Entscheidung. Was macht Ihr da? Wieso denn wieder angeschlossen?

Wir haben nur ein reguläres PW für das Wifi... bei dem Router direkt weis ich es gerade nicht.
Zum Vergrößern anklicken....
Was heißt "reguläres Passwort"?

Bezüglich Router / Passwort zur Konfig-Oberfläche: Dann muss das jetzt geprüft werden.

Ein geläufiger Virenscan sollten Spähsoftware ja eigentlich erkennen oder nicht?
Zum Vergrößern anklicken....
Nein. Das ist keine zuverlässige Maßnahme auf einem kompromittierten System. Auch hier wieder die erhebliche Überschätzung der Leistungsfähigkeit eines Virenscanners...

Vor allem wenn das ein Programm einer so verbreiteten Masche ist..?
Zum Vergrößern anklicken....
Nein. Nur weil eine Masche weit verbreitet ist, heißt das ja nicht, dass Kriminelle immer die gleiche Software nehmen.

Die Virenprogramme werden ja fast täglich geupdatet.
Zum Vergrößern anklicken....
Irrelevant bezüglich dieses Vorgangs. Außerdem sind es Anti-Viren-Programme, die Du meinst. "Virenprogramme" wären Schädlinge selber.

Ihr PC ist erst ein paar Wochen alt. Sie hat sich darüber wohl noch nie an einem Ihrer Onlinekonten angemeldet. (Bank, amazon usw.)
Zum Vergrößern anklicken....
1.) "Wohl" ist keine sichere Einschätzung, alleine schon von der Wortwahl her.
2.) Ist das unerheblich bezüglich der notwendigen Neuinstallation. Denn sie wird das sicher zukünftig machen, und dann braucht man als Basis ein vertrauenswürdiges System, und kein kompromittiertes.

Wir haben die Windows - Funktion für das Wiederherstellen auf den Zeitpunkt direkt nach dem Kauf genutzt. Das bezieht sich auf C - sprich die Schadsoftware sollte (falls auf C installiert) auf jeden Fall weg sein oder nicht?
Zum Vergrößern anklicken....
Nein. Das hatte ich doch oben bereits geschrieben.
 
Hilft alles nix, nachdem keiner weiß was installiert wurde bzw. überhaupt passiert ist kannst nur plattmachen um sicher zu gehen.
 
Macht mit einer Linux CD eine Datensicherung der persönlichen Daten wie Fotos, Dokumente usw die nicht verloren gehen sollen, löscht die Partitionen, formatiert die Festplatte, dann erstellt wieder neue Partitionen, installiert Windows auf die Partition C, richtet alles neu ein und zuletzt spielt ihr die gesicherten Daten wie Fotos, Dokumente usw auf nachdem ihr die mit mindestens 2 OnDemand Scanner überprüft habt. Zum Router: ich würde den reseten, das Gerätepasswort ändern und auch das Passwort für das W-LAN ändern. Ist der betroffene PC eingerichtet, USB Festplatte anschliessen, Backup/Image Programm wie zum Beispiel Aomei Backupper Standard, Macrium Reflect Free oder Paragon Backup & Recovery Free installieren, dann mit dem Programm ein Backup/Image der gesamten Festplatte des PC's machen und als Speicherort dafür die USB Festplatte wählen. Nicht vergessen: mit dem Assistenten des Backup/Image Programms das Rettungsmedium des Backup/Image Programms erstellen wofür eine leere CD oder ein leerer USB Stick gebraucht wird.
 
Das ist allerdings nicht die Antwort auf die Frage, ob ihr PC nicht nur vom Web, sondern auch sofort vom internen Netzwerk getrennt wurde.
Zum Vergrößern anklicken....

Bei ihr wurde genauso die Verbindung zum WLAN getrennt.

Trotzdem habe ich jetzt das Router-Gerätepasswort geändert.

Zudem habe ich ihr nahegelegt, statt der Systemwiederherstellung eine komplette Neuinstallation des Systems zu machen. Das wird aber heute Abend nichts mehr, da Sie nicht mal ihren Produktkey hat.

An den Microsoft-Support habe ich mich auch gewendet, die haben für genau diese Fälle ein Kontaktformular und es werden Ratschläge und Hilfe angeboten.


Nochmal Hand aufs Herz: Wie hoch schätzt ihr die Gefahr ein, dass sich eine solche Spähsoftware auf andere PCs im WLAN ausbreitet und dort Schaden anrichtet? Dazwischen liegt zumindest die Firewall vom Router und meinem PC + Virenprogramm. Bisher habe ich bei mir nur PWs vom OnlineBanking geändert und den Virenscan gemacht. Jetzt zu formatieren ist echt doof und mit nem riesen Aufwand verbunden :( Rein theoretisch müssten wir dann auch unsere Smartphones neu installieren? Auch der Drucker ist im WLAN:D
Ergänzung ()

Hier nochmal im Wortlaut wie das laut meiner Mitbewohnerin ablief:

[21:48, 22.10.2017] Mo: Ich hab die angerufen.
Dann hab ich die Windows taste und r gedrückt.
Dadurch offnet sich ein fester mit dem man das Programm zur Fernsteuerung aufrufen kann.
Das hab ich gemacht. Darauf hin wird dir eine ID und ein Passwort angezeigt.
Das hab ich der Frau dummer weise beides gesagt. Damit hatte die dann Zugang zu meinem PC.
[21:49, 22.10.2017] Mo: Daraufhin hat sie verschiedene Fenster geöffnet welche Fehlermeldungen angezeigt haben in denen stand, dass ich einen 95% Trojaner hätte.
[21:50, 22.10.2017] Mo: Sie meine ich müsste da jetzt schnell handeln weil mit dem Trojaner anderen Menschen auf meine Daten zugreifen können.
Dann wollte sie mich an einen Techniker weiterleiten. Daraufhin habe ich dann das Gespräch beendet
[21:50, 22.10.2017] Mo: So ca war das

Das direkt eine Software installiert wurde hat sie also nicht mitbekommen. Kann das auch im Hintergrund passiert sein? Aber hätte man das nicht sehen müssen, weil die Dame war ja Live auf ihrem PC? Also wenn Sie irgendeine Installation gestartet hätte.
 
Zuletzt bearbeitet:
No risk non fun. Das weiß keiner, weil keiner weiß was genau gemacht wurde. Sicherlich ist die Gefahr für andere PCs im Netzwerk eher gering aber halt da. Und den betroffenen PC auf alle Fälle platt machen. Der Rest ist deine/euere Entscheidung.
 
ThunderBörd schrieb:
Zudem habe ich ihr nahegelegt, statt der Systemwiederherstellung eine komplette Neuinstallation des Systems zu machen. Das wird aber heute Abend nichts mehr, da Sie nicht mal ihren Produktkey hat.
Zum Vergrößern anklicken....
Bei einem Komplettsystem mit Windows-10-Vorinstallation ist der Key ja über das Gerät definiert (UEFI).

Daher einfach die ISO laden und bootfähig auf einen USB-Stick bringen:
-> https://www.microsoft.com/de-de/software-download/windows10ISO
 
die einzig gescheite lösung: pc abklemmen einpacken und direkt zur polizei gehen... sachlage schildern und anzeigen.
so kann wenigstens die ip des betrügers ausfindig gemacht werden und, weil die von indien aus betrügen, diesen provider in der EU sperren lassen.
 
Vor 3 oder 4 Wochen haben diese Microsoft Betrüger aus Indien auch bei mir/uns angerufen und der Typ gab sich als Microsoft Support Mitarbeiter auf Englisch aus und ich sagte ihm ungefähr: Forget It, Not We Me und hab dann natürlich aufgelegt.
 
hatte ich vor ein paar woche auch. ich habe alles so gemacht wie er es sagte, den pc hatte ich natürlich nicht eingeschaltet. er hörte die tastaturanschläge, und ich wiederholte alles was er sagte... da aber mein pc nicht lief :D konnte er nicht verstehen wieso er kein zugriff bekam ... und war kurz vor dem verzweifeln und legte auf..
dauer ca. 30 minuten... hatte ungemein spass an seiner reaktion...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz