Virus, Keylogger. Was nun tun?

[andy_m4]

Hardware Firewall: Schutz vor unberechtigten Zugriffen durch Dritte

Lustig das es gleich zum Beginn in dem Artikel um Personal Firewalls geht, die direkt auf dem Client-Computer installiert werden und deren Nutzen umstritten ist.

Was das Gesagte zum Thema Hardware-Firewall angeht. Da wird im wesentlichen die Funktionalität eines Paketfilters beschrieben. Jeder der ein Homerouter zuhause hat (was heutzutage fast alle haben) hat bereits einen Paketfilter.
Dann wird da irgendwie nebulös von Trojanern und Viren geredet. Ok. Welche Wege gäbe es denn, die aufzuspüren? Man scannt den Datenverkehr. Dumm nur, das heutzutage der Großteil des Datenverkehrs verschlüsselt ist (erkennt man auch schön anhand des Schlosses bzw. des HTTPS im Browser). Reingucken in den Traffik geht also nicht so ohne Weiteres. Kann man noch den Blacklist-Ansatz fahren. Sprich, der Hersteller pflegt eine Liste mit Adressen die bekanntermaßen Malware ausliefern. Also das, was heutzutage jeder Browser via Safebrowsing macht. Ist jetzt also auch nicht sonderlich überzeugend.

Im gewerblichen Einsatz mögen solche Lösungen die ein oder andere nützliche Funktion bieten. Aber im Privatbereich? Da sehe ich kaum Mehrwert und der Artikel liefert da auch keine Anhaltspunkte.

 

[Hauro]

Oder was soll das sein?

.iso > ISO-Abbild (englisch ISO image)

Das ISO-Abbild wird von Rufus eingelesen und auf den Datenträger geschrieben.

 

[andy_m4]

ISO-Abbild (englisch ISO image)

Ergänzend:
Gemeint ist das ISO9660-Format in dem üblicherweise CDs bzw. DVDs vorliegen. Sprich die sind dafür gedacht, auf CD/DVD gebrannt zu werden (wobei heutzutage auch Hybrid-Images verbreitet sind, die man auch auf einen USB-Stick schreiben kann)

 

[Ray Stantz]

Danke für die präzise Antwort.

1. Ich lade Download von Kaspersky Rescue Disk.
2. Ich lade Rufus runter, aber welche Version? Portable 64x?
3. Dann heisst es: "So schreiben Sie das Abbild von Kaspersky Rescue Disk auf einen USB-Datenträger".
Ist "Kaspersky Rescue Disk" mit Abbild gemeint? Oder was soll das sein?

@Hauro Danke für deine Hilfe.

Ich will das jetzt auf einem Stick haben:

1. Ich lade Download von Kaspersky Rescue Disk runter, also eine .iso für einen USB Stick?
Ist das jetzt so richtig?

2. Ich lade Rufus runter, aber welche Version? Portable 64x?

 

[redjack1000]

1. Ja
2. Die Portable geht.

Cu
redjack

 

[PC295]

Ja, bin grad am Scannen. Also das kam gestern bei Malware raus.
Emsi scannt noch.

RiskWare.MisusedLegit.E, C:\PROGRAMDATA\FREEBL3.DLL
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\MOZGLUE.DLL
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\VCRUNTIME140.DLL
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\MSVCP140.DLL
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\SOFTOKN3.DLL
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\NSS3.DLL

Hier wurden Dateien die u.a. zu Firefox gehören zweckentfremdet.
Ob es mit deinem Problem hierfür einen Zusammenhang gibt ist fraglich.

Das andere ist Adware bzw. unerwünschte Browser-Suchanbieter die bei Programminstallationen nicht abgewählt wurden.

 

[DerGast]

5 Seiten... alter Schwede.
Du kannst noch HitmanPro testen: https://www.hitmanpro.com/en-us

Dann das FRST Tool drüberfliegen lassen: https://siwecos.de/wiki/FRST

MalwareBytes hattest Du ja schon.
Ich persönlich würde ja auf alle Fälle noch ESET Premium installieren und das Verhalten beobachten:
https://www.eset.com/de/home/smart-security-premium/
In der Premium ist der Live-Guard mit drin.
Achso... und ESET hat auch einen Adult-Filter. Damit man nicht mehr aus Versehen auf Schmuddelseiten gelangt...

 

[andy_m4]

https://www.eset.com/de/home/smart-security-premium/

Die Webseite nötigt einen Javascript anzuknipsen. Das ist ja gleich mal ein gestreckter Mittelfinger in Richtung des sicherheitsbewussten Anwenders. Und die wollen mir Sicherheitsprodukte verkaufen?

Ansonsten wirft die Webseite vor allem mit Buzzwords um sich, statt mal konkret die Arbeitsweise zu erklären.
Nichts dagegen für Sicherheit auch Geld auszugeben. Aber wenn man das Gefühl hat, da verteilt jemand nur "Hochglanzbroschüren" die mir das Produkt aufschwatzen wollen. Ohne Funktionalitäten zu erklären und das Für und Wider gegenüber zu stellen, dann wirkt das halt unseriös. Es geht schließlich um Sicherheitssoftware und nicht um Life-Style. Und dementsprechend sollte man auch auftreten.

Achso... und ESET hat auch einen Adult-Filter. Damit man nicht mehr aus Versehen auf Schmuddelseiten gelangt...

Kann man den Filter auch invertieren? :-)

 

[Ray Stantz]

Ruhe bewahren und auf einem sauberen System ein Notfall-Datenträger mit einer Anti-Malware Software erstellen und das System damit scannen.

Beispiele:
Avira Rescue System
ESET SysRescue Live

c't Desinfec't 2022/23 | heise Shop

Okay, habe das nun mit Kapersperky getan.
Gescannt und gelöscht. Ob die Datei (siehe Grafik) dafür zuständig war?
Was sollte ich nun machen? Mit weiteren Programmen testen?
Zb:
Avira Rescue System
ESET SysRescue Live
c't Desinfec't 2022/23 | heise Shop ?

Und dann?

Ergänzung (2. Mai 2023)

Irgendwie habe ich auch das Gefühl, dass mein Lüfter lauter als damals war?!

 

[PC295]

Gescannt und gelöscht. Ob die Datei (siehe Grafik) dafür zuständig war?

Von wo hast du den VLC Player heruntergeladen?

Der zweite Fund ist eine gecrackte Version von "Virtual DJ". Da hat dir "BIGGYtheDJ" gleich einen BitcoinMiner mit reingepackt.

Der dritte Fund scheint ein Youtube-Downloader zu sein. Die kommen fast nie ohne Adware...

 

[Ray Stantz]

Von wo hast du den VLC Player heruntergeladen?

Das weiss ich leider nicht mehr.

Ich gehe eher davon aus, dass es mit der Schadsoftware zusammenhängt oder aber dieser seltsamen Seite.

Das ergab die Suche im Google Downloader:

8. September 2022
vlc-setup-win64.exeGelöscht

 

[andy_m4]

Man sollte nicht einfach nach Programmen im Internet suchen und dann auf das erst Beste klicken. Unglücklicherweise ist es gar nicht so einfach zu bewerten, welche Seite dann nun ok ist und welche nicht.

Als Ansatz hat sich bewährt, die Software direkt bei der Hersteller-Webseite zu downloaden.
Wie kommt man an die Hersteller-Webseiten-Adresse? Entweder guckt man bei Wikipedia nach (gut; da kann jeder reinschreiben, kann also im Prinzip auch manipuliert sein) oder man guckt mal in den Repositorys einer bekannten Linux-Distribution. Dort ist i.d.R. die URL zur Hersteller-Webseite hinterlegt.

Von wo hast du den VLC Player heruntergeladen?

Ja. Gerade VLC-Player ist hier so ein typisches Beispiel. Weil da die Google-Suche dann sogar noch sowas vlc.de auswirft, was auf den ersten Blick ja richtig aussieht.
Da bemerkt man als Laie nicht unbedingt, das in Wirklichkeit https://www.videolan.org/ korrekt ist.

 

[PC295]

Ja. Gerade VLC-Player ist hier so ein typisches Beispiel. Weil da die Google-Suche dann sogar noch sowas vlc.de auswirft, was auf den ersten Blick ja richtig aussieht.
Da bemerkt man als Laie nicht unbedingt, das in Wirklichkeit https://www.videolan.org/ korrekt ist.

Das dürfte hier auch der Fall sein. Auf der offiziellen Seite steht immer die Version im Dateinamen.
Auf der Fake-Seite ist der Dateiname so wie in der Fundmeldung.

 

[Intruder]

Von wo hast du den VLC Player heruntergeladen?

Das weiss ich leider nicht mehr.

🧐

du brauchst VLC...
warum lädst du es nicht hier runter??
Der Hersteller bietet es doch selber offiziell auf seinen Seiten an und wenn ich nach VLC google, ist es sogar noch gleich der erste Treffer.

Warum auf "unseriösen" Seiten sich was holen?

Der zweite Fund ist eine gecrackte Version von "Virtual DJ". Da hat dir "BIGGYtheDJ" gleich einen BitcoinMiner mit reingepackt.

🤫 kleiner Tipp = auch gecrackte Software ist nie umsonst wie man sieht.


hui da war ja jemand schneller 😄
warum ist Internet im Auto auch so.... 🧐

 

[Hauro]

Gescannt und gelöscht.
Was sollte ich nun machen? Mit weiteren Programmen testen?

Besser wäre gewesen die Datei auf VirusTotal hochzuladen, um einen Fehlalarm auszuschließen.

Ob die Datei (siehe Grafik) dafür zuständig war?

Der erste Fund ist ein Trojanisches Pferd (Computerprogramm) | Wikipedia.

Was ist ein Trojaner und welchen Schaden richtet er an? | Kaspersky

Was sollte ich nun machen?

Bei einem Trojanisches Pferd und weiteren Funden würde ich das System neu aufsetzen.

Falls keine aktuelle Datensicherung existiert, bleibt die Dateien zu sichern, um das System anschließend neu zu installieren. Die gesicherten Daten würde ich mit mehreren Scannern untersuchen, wobei ein Rest-Risiko bleibt,

Welche Dateien sich synchronisieren / sichern und wiederherstellen lassen, habe ich im Beitrag #2 im Thema Was muss ich beachten wenn ich meine SSD wechseln möchte? beschrieben.

 

[Ray Stantz]

Unglücklicherweise ist es gar nicht so einfach zu bewerten, welche Seite dann nun ok ist und welche nicht.

Ist mir letztens auch aufgefallen.
So ein ähnliches Problem hatte ich vor Kurzem. Mag sogar möglich sein, dass es sich genau um VLC gehandelt hat. Bin mir aber unsicher.

Leider befürchte ich auch, dass es nicht unbedingt an VLC hängt; sondern eher mit der Schadsoftware oder der Schmuddelseite, was etwa wenige Tage vor den Amazon-Bestellungen ablief.

Irgendwie ist mein Lüfter auch viel zu laut.
Kann man da nicht auch irgendwas überprüfen?

 

[Incanus]

So nach und nach kommt heraus, dass das System eigentlich schon seit Jahren verhunzt wurde. Da hilft wirklich nur noch ein sauberer Neuanfang und vorher noch ein bisschen Fortbildung im sicheren Umgang mit Computern.

 

[Ray Stantz]

Bei einem Trojanisches Pferd und weiteren Funden würde ich das System neu aufsetzen.

Falls keine aktuelle Datensicherung existiert, bleibt die Dateien zu sichern, um das System anschließend neu zu installieren. Die gesicherten Daten würde ich mit mehreren Scannern untersuchen, wobei ein Rest-Risiko bleibt,

Welche Dateien sich synchronisieren / sichern und wiederherstellen lassen, habe ich im Beitrag #2 im Thema Was muss ich beachten wenn ich meine SSD wechseln möchte? beschrieben.

Ich würde nun, wie folgt, vorgehen:

1. Mit ESET SysRescue und Desinfec't Scan wie bereits mit Kaspersky durchführen?
2. Dateien auf einer Externen sichern?
3. Windows neu installieren, also komplette Festplatte formatieren.

Ist das so richtig oder gibt es bessere Vorschläge? Was würdest du an meiner Stelle machen? Welche Virenscanner?

Danke für eure Hilfe im Voraus.

 

[Intruder]

Irgendwie ist mein Lüfter auch viel zu laut.

Der zweite Fund ist eine gecrackte Version von "Virtual DJ". Da hat dir "BIGGYtheDJ" gleich einen BitcoinMiner mit reingepackt.

könnte vielleicht daran gelegen haben?
Cryptojacking

🤷‍♂️

noch ein bisschen Fortbildung im sicheren Umgang mit Computern.

ich würde ihm Kaspersky Total Security aufs System packen.
Der meckert herum wenn man auf Seiten rauf will, die "verseucht" sind und warnen davor. Nicht nur einmal...
mehrmals wird man gewarnt und man muss aktiv mit Vorsatz xmal sagen das man das Risiko kennt und selbst dann, wenn man alle Warnungen ignoriert, wird im Hintergrund das Laden von Schadsoftware unterbunden und wenn doch was geladen wird, ist gleich wieder weg bevor es auf der Platte landet.

Wenn er auf seinen "Schmuddelseitchen" herum tingelt und was im Hintergrund mitgeladen wird, wird es noch vor dem ein Schaden passieren kann, entsorgt.

Für solche User, wie @Ray Stantz muss es aktive Sicherheitslösungen geben die einen an die Hand nehmen und aktiv am Mist bauen hindern. <--- ist NICHT BÖSE gemeint!
Hier hilft definitiv KEIN Windows Defender mehr weiter.

Hatte so einen Fall auch schon in der Familie und damit fast eine Woche Arbeit um das System zu säubern da eine Menge wichtige Dateien vorhanden waren die nicht - wie xmal gesagt - gesichert wurden. Einige hunderte GB an ungesicherte Familienfotos von über 20 Jahren...
Da hat man schon zu tun. Alles konnte ich leider auch nicht retten aber den Großteil.

Danach hatte ich auch dem User Kaspersky Total Security spendiert und seit dem nichts mehr.
Wichtig ist halt = wenn das System HALT STOPP schreit, bedeutet es auch HALT STOPP und nicht "ich klick mal drauf und guck was passiert"

 

[Incanus]

ich würde ihm Kaspersky Total Security aufs System packen.

Ich ganz bestimmt nicht, denn wenn man erst drauf hingewiesen werden muss, dass etwas droht schief zu laufen István schon zu spät. Verantwortungsvoller Umgang beginnt vorher.

Was würdest du an meiner Stelle machen? Welche Virenscanner?

Virenscanner kannst Du Dir schenken, wenn Du doch sinnvollerweise neu installierts.