ComputerBase Menü
Aktuelles

PC mit Raspberry Robin infiziert oder nicht?

Wenn Du Dir das zutraust, mal mit Sysinternal Tools tcpview64.exe und portmon.exe starten und beobachten, was da bei Dir so über die Leitung geht. Höhere Schule wäre mit Wireshark das Interface tracken. Siehe Heise, wäre der Port 8080 betroffen.
 
nutrix schrieb:
Ich würde als erstes mal die Registry nach diesem Eintrag durchsuchen.
Zum Vergrößern anklicken....
Guten Morgen,
ich habe die Registry durchsucht und nichts unter Runonce gefunden auch nicht nicht Auffälliges unter Run. Ausserdem habe ich mit Sysinternals Autoruns64.exe die Einträge kontrolliert und durchgegangen. Dort habe ich auch nichts auffäliges gefunden. Zusätzlich habe ich mit tcpview64.exe im Offline Modus kontrolliert welche Exe auf welchen Port hören. Ich weiss im Offline Modus ist das nicht das selbe ist. Das einzige was mir dort aufgefallen ist das Wondershare auf Port 8090 hört. Was laut Internet "Normal" ist das das Program eine Spamschleuder ist.
Was ist eure Meinung kann ich eine Infektion ausschliessen?
 
  • Gefällt mir
Reaktionen: nutrix
Ganz ausschließen kannst Du es eben nicht, das ist das Problem. Hier hilft nur weiter regelmäßig beobachten und besonders auf Auffälligkeiten und seltsamen Problemen sofort reagieren. Geübte und geschickte Hacks haben eine Wartezeit eingebaut, die verzögert erst nach Wochen oder Monaten zuschlagen. Ebenso ist es nicht sichergestellt, daß Du genau die Schadenssoftware in der Beschreibung erwischt hast. Du könntest bereits eine Abwandlung der ursprünglichen Malware mit einigen internen noch nicht bekannten Änderungen eingefangen haben. Daher sollte jede Sicherungsmaßnahme von Windows 10 oder besser Windows 11 eingeschaltet sein, damit die Wahrscheinlichkeit für einen Malwarebefall drastisch erhöht werden kann (z.B. Kernisolierung, Ransomware-Schutz, Überwachter Ordnerzugriff...). Sicherheit ist immer ein Konzept, und kann nicht nur an einer Komponente wie den Antivirenscanner oder eine weiteres Konzept Firewall. Es ist immer gut, auf viele verschiedene Schutzmaßnahmen zu setzen, und nicht nur auf eine.

Eine Garantie kann Dir hier keiner geben. Wie Du lesen kannst, spreche ich nur von Wahrscheinlichkeiten. Wenn Du 100% sicher sein willst, kommst Du um eine Neuinstallation nicht herum.

Genau dafür macht man auch regelmäßige Backups. Ich sichere regelmäßig jeden Rechner min. zwei Mal die Woche. Daten (Fotos, Dokumente, Arbeitsdaten usw. liegen bei mir grundsätzlich nicht auf C:\) und OS sind bei mir streng getrennt, dadurch kann ich immer schneller recovern. Ebenso wird vor kritischen Updates vorher gesichert. Sprich, ich kann mit 3 Tagen "Verlust" (z.B. Browserverlust) immer wieder auf einen für mich validen Stand zurücksichern. Kommt mir also etwas komisch vor, sichere ich auf den letzten bekannten sicheren Stand zurück. Daher würde ich Dir empfehlen, künftig auf so ein vergleichbares Konzept zu setzen. Das erspart Dir hier viel Schmerz und mühsame Neuinstallation in einem Problemfall.
 
Zuletzt bearbeitet:
tomatos666 schrieb:
Was ist eure Meinung kann ich eine Infektion ausschliessen?
Zum Vergrößern anklicken....
Lade dir FRST (64-Bit) herunter, erstelle einen Bericht und füge es hier an.
Dann können wir schauen, ob es noch Auffälligkeiten gibt.
 
PC295 schrieb:
Lade dir FRST (64-Bit) herunter, erstelle einen Bericht und füge es hier an.
Zum Vergrößern anklicken....
🛑 Würde ich auf keinen Fall machen! ✋☝️👎 Du bist wohl mit Datenschutz und Co. nicht besonderlich betraut, wenn Du sowas von unbedarften Hilfesuchenden forderst! Ich halte das für absolut fahrlässig. 🤦‍♂️

@tomatos666
Du zeigt hier alles offen und öffentlich, was auf Deinem PC ist, was an sich keinem etwas angeht. Daher bloß nicht machen! Zeig so eine Bericht nur jemanden, den Du kennst und vertraust!
 
Zuletzt bearbeitet:
tomatos666 schrieb:
ich habe die Registry durchsucht und nichts unter Runonce gefunden
Zum Vergrößern anklicken....
Was hättest Du Dir da denn erhofft zu finden! Interpretiere doch mal den Schlüsselnamen richtig - der nennt sich Run Once, dort abgelegte Startbefehle werden genau nur ein einziges mal ausgeführt und direkt nach ihrer Ausführung automatisch gelöscht.
 
  • Gefällt mir
Reaktionen: nutrix
nutrix schrieb:
Würde ich auf keinen Fall machen! ✋☝️👎 Du bist wohl mit Datenschutz und Co. nicht besonderlich betraut, wenn Du sowas von unbedarften Hilfesuchenden forderst! Ich halte das für absolut fahrlässig. 🤦‍♂️
Zum Vergrößern anklicken....
FRST erstellt einen Systembericht, einschließlich Programme, Dienste, Autostarts und Registryinformationen und keinen Bericht über persönliche Daten!!

@tomatos666 Du kannst mir die Logs auch per PN schicken, die ich natürlich vertraulich behandeln werde.
 
Zuletzt bearbeitet:
areiland schrieb:
Was hättest Du Dir da denn erhofft zu finden! Interpretiere doch mal den Schlüsselnamen richtig - der nennt sich Run Once, dort abgelegte Startbefehle werden genau nur ein einziges mal ausgeführt und direkt nach ihrer Ausführung automatisch gelöscht.
Zum Vergrößern anklicken....
In der Ereignisanzeige müsste doch etwas hinten bleiben oder nicht? Ausserdem muss sich der Virus ja Irgendwie neu starten. Auch unter Run und Autostart habe ichnichts gefunden
 
PC295 schrieb:
FRST erstellt einen Systembericht, einschließlich Programme, Dienste, Autostarts und Registryinformationen und keinen Bericht über persönliche Daten!!
Zum Vergrößern anklicken....
Sorry, Du bist hier echt schmerzbefreit und denkst nicht weiter tiefer nach, oder? Nochmal, was interessiert Dich, was der Kollege alles installiert hat. Das geht Dich rein gar nichts an. Du siehst jedes Programm, jede Schwachstelle, kritische RegEinträge usw.
Ergänzung ()

tomatos666 schrieb:
In der Ereignisanzeige müsste doch etwas hinten bleiben oder nicht?
Zum Vergrößern anklicken....
Nein, darauf kannst Du nicht hoffen.
tomatos666 schrieb:
Ausserdem muss sich der Virus ja Irgendwie neu starten. Auch unter Run und Autostart habe ichnichts gefunden
Zum Vergrößern anklicken....
Nochmals, Du darfst nicht nur in Form einer Datei oder eines Viruses denken. Ein Befall oder Hack findet auf vielen Ebenen gleichzeitig und vielfältig statt.
 
nutrix schrieb:
Ganz ausschließen kannst Du es eben nicht, das ist das Problem. Hier hilft nur weiter regelmäßig beobachten und besonders auf Auffälligkeiten und seltsamen Problemen sofort reagieren. Geübte und geschickte Hacks haben eine Wartezeit eingebaut, die verzögert erst nach Wochen oder Monaten zuschlagen. Ebenso ist es nicht sichergestellt, daß Du genau die Schadenssoftware in der Beschreibung erwischt hast. Du könntest bereits eine Abwandlung der ursprünglichen Malware mit einigen internen noch nicht bekannten Änderungen eingefangen haben. Daher sollte jede Sicherungsmaßnahme von Windows 10 oder besser Windows 11 eingeschaltet sein, damit die Wahrscheinlichkeit für einen Malwarebefall drastisch erhöht werden kann (z.B. Kernisolierung, Ransomware-Schutz, Überwachter Ordnerzugriff...). Sicherheit ist immer ein Konzept, und kann nicht nur an einer Komponente wie den Antivirenscanner oder eine weiteres Konzept Firewall. Es ist immer gut, auf viele verschiedene Schutzmaßnahmen zu setzen, und nicht nur auf eine.
Zum Vergrößern anklicken....
Danke für die ausführliche Antwort. Ich werde den PC Sowieso neu Aufsetzen. Ich gehe im Moment mit diesem auch nicht mehr online. Die Neuste Version des Wurm kann es auch nicht sein da die Zip bereits auf der alten Festplatte war mir der ich ja versehentlich 5 Min Online war. Es muss doch möglich sein festzustellen ob man infiziert ist oder nicht. Weil so wie ich das verstanden habe hat der Virus ja Interesse Hintertüren zu öffnen um das Netzwerk weiter zu befahlen und auszuspähen und auf externen Befehl zu interagieren oder nicht?
 
nutrix schrieb:
Du siehst jedes Programm, jede Schwachstelle, kritische RegEinträge usw.
Zum Vergrößern anklicken....
Genau das ist der Sinn von FRST.
Das Programm wird auch erfolgreich in anderen Foren verwendet. Da jammert niemand herum.
 
tomatos666 schrieb:
Es muss doch möglich sein festzustellen ob man infiziert ist oder nicht.
Zum Vergrößern anklicken....
Ja. Aber hier wird es kompliziert. Du mußt den Netzwerkverkehr beobachten und alle offenen Ports überwachen, ebenso alle Prozesse im PC. Von den Sysinternal Tools gibts hier beispielsweise PCmon, was aber Dich mit Infos erschlägt!

Anderer indirekter Weg über ein externes System und eine eigene Firewall, was allen Datenverkehr scannt und Portanfragen zum Windowsrechner prüft. Dazu noch ein intrusion detection and prevention system (IDPS), was in teurer Hardwarefirewalls teilweise dabei ist oder als separate Systeme in Form von Suricata und Snort verfügbar ist.
tomatos666 schrieb:
Weil so wie ich das verstanden habe hat der Virus ja Interesse Hintertüren zu öffnen um das Netzwerk weiter zu befahlen und auszuspähen und auf externen Befehl zu interagieren oder nicht?
Zum Vergrößern anklicken....
Richtig. Und gut gemeinter Tipp, ich würde keiner Person irgendwelche Daten von mir schicken, auch wenn es nett und gut gemeint ist. Und schon gar nicht von einem öffentlichen Forum.
 
Zuletzt bearbeitet:
Ok. Was kann ich nun machen um drauf zu kommen ob ja oder nein? Scanner findet keine Mahlware mehr. Das was er gefundet hat war in ner Zip Datei. Bei der alten Festplatte wie auch bei der neuen. Hinterlassenschaften habe ich bei beide nicht gefunden. Weder bei der alten Festplatte noch bei der neuen.
 
tomatos666 schrieb:
Scanner findet keine Mahlware mehr
Zum Vergrößern anklicken....
Welcher? Doch wohl keiner, der auf dem laufenden System agiert. Du musst schon etwas separat booten und damit scannen, aktive Malware kann sich gut tarnen.
 
Incanus schrieb:
Welcher? Doch wohl keiner, der auf dem laufenden System agiert. Du musst schon etwas separat booten und damit scannen, aktive Malware kann sich gut tarnen.
Zum Vergrößern anklicken....
Ok. Kannst du mir einen Empfehlen?
 
Danke für eure Antworten und Hilfe.
Bitte Streitet euch nicht.
Mir ist etwas aufgefallen, und zwar ich weis das ich den Defender deaktviert habe bevor ich die FEstplatte gespiegelt habe. In den 10 Monaten habe ich hi und da immer mal wieder die Alte Festplatte ohne Netzwerk gebootet. Nun ist mir bei der Ereignisanzeige aufgefallen das sicher Defender entweder selbst wieder aktiviert hat bzw. Nie richtig deaktiviert war. Wie versteht ihr die folgeden Meldungen im Anhang.
 

Anhänge

Weis keiner einenen Rat? Ich habe bei der alten Festplatte befor ich Malwarebytes drüberlaufen lassen habe mit dem defender eine vollständige prüfung gemacht. Dieser hat auch die ZIP mit der Malware
Name: Trojan:Win32/Zenpack.MBKF!MTB endeckt. Mein gedankespiel ist nun sollte ich die Datei ausgeführt haben sollte doch der Defender zuschalgen oder nicht?
 
tomatos666 schrieb:
Mein gedankespiel ist nun sollte ich die Datei ausgeführt haben sollte doch der Defender zuschalgen oder nicht?
Zum Vergrößern anklicken....
Wenn die Malware zum Zeitpunkt bekannt war, dann ja. Sonst nicht.
Im Defender-Auszug ist nichts besonderes. Das der sich automatisch bei bestimmten Ereignissen (z.B. Systemneustart) reaktiviert ist normal.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

I
Mini PC oder Raspberry für Fernseher
Antworten
2
Aufrufe
938
Izzelgrff
I
SmooTwo
Kleiner Einplatinen-PC (Kein Raspberry) für Streaming HDMI Full-HD
Antworten
14
Aufrufe
2.296
Northstar2710
N
G
Verbindung zwischen Windows 10 PC und Raspberry Pi Zero
Antworten
1
Aufrufe
1.623
Isolak
I
A
Video Stream von Win 10 PC auf Raspberry PI's
Antworten
3
Aufrufe
1.156
sven.ghostrider
S
NJay
Wie Konsole/Fernseher mit VPN verbinden? (Laptop, PC und Raspberry Pi vorhanden)
Antworten
16
Aufrufe
2.531
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz