Wahnsinns Virus von Russen eingefangen

M

MokTripleA

Gast
Moin,

das hier ist eine wahnsinnig lange Geschichte, die sich locker über 5-6 Monate zieht. Ich versuche mich kurzzufassen und bin dankbar über jede Antwort.

Alles fing an mit ein paar wenigen Konten, ich bemerkte immer häufiger, dass ich irgendwelche Mails empfangen habe, dass sich jemand aus keine Ahnung welchem Land einloggen wollte. Anfangs Netflix, mal Spotify und Amazon. Nicht großes, ich änderte die Passwörter und damit hatte sich die Sache. Irgendwann bemerkte ich, dass eigenartige Abbuchungen auf meinem Konto stattfanden. Insgesamt über knapp 70 Euro, leider weg, die Bank konnte nicht viel machen. Die Polizei fand heraus, dass jemand aus dem Saarland über eine Bank in Lettland die Überweisungen tätigte. Auch damit konnte ich nach ein paar Briefen mit der Bank abschließen.

Recht regelmäßig wurden irgendwelche Accounts gehackt und es fühlte sich fast so an, als wenn ein Mensch direkt an meinem PC sitzen würde. Ich bekam immer seltener Nachrichten, dass sich irgendwo jemand eingeloggt hätte, selbst bei Websites, wo ich 2FA aktiviert habe, was mittlerweile überall der Fall ist. Meine alte Email war in einem Databreach verwickelt, auf diesen schob ich es anfangs, aber das war nicht direkt das Problem, wie ich später feststellte. Eine russische Email wurde in meinem Microsoft Konto als primäre Mail eingetragen und auch damit konnte ich letztens erst abschließen, indem ich die komplette Mail gelöscht habe. Das war dann doch am einfachsten. Nun kommt aber der Hochpunkt der Geschichte:

Heute empfang ich eine Mail, welche mir folgende Sachen sagte:

Meine Daten würden durch einen Virus in einer russischen Telegramgruppe veröffentlicht werden. In dieser Gruppe werden laut diesem Typ täglich mehrere Tausend Konten geleakt. Die haben von mir alte Daten und auch recht neue. Passwörter meiner Bank und von Paypal, welche ich nun wieder geändert habe. Der Typ hat mir eine riesen Liste geschickt an Lösungen, was ich alles machen solle, damit ich diesen Virus möglicherweise loswerden kann, beziehungsweise verbieten kann, dass irgendwelche Nutzer sich auf meinem PC einloggen. Diese Liste ist hier im Anhang zu finden. Es übermannt mich alles ein wenig und ich weiß nicht, wie ich aus der ganzen Sache rauskommen soll. Ich habe meinen PC neuaufgesetzt, eine neue Email genutzt, meine Festplatten formatiert und mittlerweile nutze ich Kaspersky, um meine Passwörter zu lagern. Ich ließ mehrere Viren-, Trojaner- und Malwarescans laufen und keiner sagte mir etwas von Schadsoftware.

Es ist gut möglich, dass ich etwas an der ganzen Geschichte ausließ, fragt doch gerne nach, wenn ihr noch etwas bestimmtes wissen wollt. Ich bin über jede Antwort sehr sehr dankbar!
 
Zuletzt bearbeitet von einem Moderator:
hmm, ich öffne keine unbekannten Dateien, Sorry
 
  • Gefällt mir
Reaktionen: Avarent, Gypsi, Galarius und 9 andere
MokTripleA schrieb:
meiner Bank und von Paypal,
2 faktor authentifizierung hast du auch da an?
MokTripleA schrieb:
nutze ich Kaspersky, um meine Passwörter zu lagern. I
bitte nicht. Kaspersky verdient bei diesem tool absolut kein vertrauen.
Antivirensoftware richtet oft mehr schaden an, als dass sie hilft. Sie ist OK, um von einer Live CD zu starten und aus dem Live system heraus zu scannen. Auf einem infizierten System ist sie recht oft bestenfalls nutzlos.
Kasperksy hat sich in den letzten jahren so viele "Upsi, wie konnte das nur passieren" Momente in Bezug auf Sicherheitslücken geleistet, dass man da einen Bogen drum rum machen sollte. -> Siehe bspw das hier: https://thehackernews.com/2022/05/chinese-hackers-caught-exploiting.html
DLL Hijacking ist etwas ziemlich primitives, was eigentlich wenn man es ermöglicht, als totalversagen gewertet werden kann.
Wer sowas verursacht sollte vielleicht lieber Candy crush als sicherheitssoftware bauen. Sorry.

Abgesehen davon, ermoeglichst du es einem potentiellen Angreifer so, dir alle deine Passworter raus zu tragen, wenn er zugriff auf deinen PC hat.
Wenn du einen passwort manager nutzen willst, nimm etwas, was wenigstens versucht eine Vertrauensbildende Basis zu bieten., KeepassX beispielsweise


MokTripleA schrieb:
Ich habe meinen PC neuaufgesetzt, eine neue Email genutzt, meine Festplatten formatiert
was hast du an Daten wie zurück gespielt?

VmaxGunni schrieb:
hmm, ich öffne keine unbekannten Dateien, Sorry
bitte pack den text in den post / in eine Zitatboxam liebsten (der button mit den " ) ichw rede da auch nicht drauf klicken :)
 
  • Gefällt mir
Reaktionen: M4ttX und |SoulReaver|
Virus bei den Russen eingfangen und dann Kaspersky vor dem der BSI warnt für Passwörter verwenden sagenhaft. Passwörter speichere ich NIE UND NIEMALS auf dem PC mit Tools oder sonst was. Papier kann gestohlen aber nicht gehackt werden. Also du solltest nochmal über deine Taktik nach denken.....
 
  • Gefällt mir
Reaktionen: fp69 und FR3DI
Ich wiederhole mal meinen Post von heute morgen aus einem ähnlichen Thread:

Einfaches Vorgehen: Kennwörter ändern, MFA / 2FA bei allen Diensten (Die es anbieten (Ernsthaft, nutzt keine Dienste die das nicht mehr anbieten - Selbst Computerbase hat das! (Übrigens eine seltenheit in Foren))) aktivieren und einen Passwort-Manager wie Bitwarden (Kostenlos, Open-Source, Security-Proofed - Siehe meine Signatur) verwenden.

Das Kennwort kann noch so simpel sein, solange man MFA / 2FA aktiviert, haben potentielle Angreifer nahezu keine Chance (Außer sie haben Zugriff auf den 2FA QR-Code oder deinem Gerät, in dem der Code hinterlegt wurde).

Ergänzung dazu: Bitte auch bei Bitwarden 2FA aktivieren!

Zudem reicht der Microsoft Defender im privaten Umfeld in der Regel vollkommen aus, um seinen Rechner vor Virenbefall etc zu schützen. Lösungen wie Avira oder Kaspersky sind meiner Meinung nach aus dem letzten Jahrzehnt.
 
  • Gefällt mir
Reaktionen: DannyA4
VmaxGunni schrieb:
hmm, ich öffne keine unbekannten Dateien, Sorry
Das war zwar nur reiner Text, aber trotzdem. Du kannst den Text neu reinstellen, aber bitte OHNE Links, am besten in Code Tags, sonst fängt sich ein Helfer hier noch was ein! Anhänge lädt hier auch keiner runter.
 
  • Gefällt mir
Reaktionen: der Unzensierte, matze313 und madmax2010
cyberpirate schrieb:
Moin und willkommen,

und da hast Du Deinen PC nicht schon zu Anfang mal CLEAN installiert. Dann auf dem neuen PC alles an PW geändert?

MfG
Dies habe ich letztens getan. Ich formatierte meine Festplatten, setzte den PC neu auf und änderte alle meine Passwörter. Meinst du das? Oder was exakt ist mit CLEAN gemeint?
 
Also die Textdatei wird hier vmtl. keiner öffnen :)
Wenn du die mit dem evtl. infizierten System erstellt hast, könnten da auch unerwünschte "Anhängsel" dabei sein.

edit: Zu langsam :D

Zum Thema: Ich würde wie folgt vorgehen:
System neu aufsetzen, alle Passwörter ändern, überall 2FA aktivieren und Anzeige erstatten.
 
|SoulReaver| schrieb:
Virus bei den Russen eingfangen und dann Kaspersky vor dem der BSI warnt für Passwörter verwenden sagenhaft. Passwörter speichere ich NIE UND NIEMALS auf dem PC mit Tools oder sonst was. Papier kann gestohlen aber nicht gehackt werden. Also du solltest nochmal über deine Taktik nach denken.....
Einen vernünftigen Passwortmanager zu verwenden (nicht Kaspersky) ist deutlich sinnvoller, als die ganzen Passwörter auf Papier zu schreiben.
 
  • Gefällt mir
Reaktionen: GutGilliganHyde, tha_mos und cyberpirate
madmax2010 schrieb:
2 faktor authentifizierung hast du auch da an?

bitte nicht. Kaspersky verdient bei diesem tool absolut kein vertrauen.
Antivirensoftware richtet oft mehr schaden an, als dass sie hilft. Sie ist OK, um von einer Live CD zu starten und aus dem Live system heraus zu scannen. Auf einem infizierten System ist sie recht oft bestenfalls nutzlos.
Kasperksy hat sich in den letzten jahren so viele "Upsi, wie konnte das nur passieren" Momente in Bezug auf Sicherheitslücken geleistet, dass man da einen Bogen drum rum machen sollte. -> Siehe bspw das hier: https://thehackernews.com/2022/05/chinese-hackers-caught-exploiting.html
DLL Hijacking ist etwas ziemlich primitives, was eigentlich wenn man es ermöglicht, als totalversagen gewertet werden kann.
Wer sowas verursacht sollte vielleicht lieber Candy crush als sicherheitssoftware bauen. Sorry.

Abgesehen davon, ermoeglichst du es einem potentiellen Angreifer so, dir alle deine Passworter raus zu tragen, wenn er zugriff auf deinen PC hat.
Wenn du einen passwort manager nutzen willst, nimm etwas, was wenigstens versucht eine Vertrauensbildende Basis zu bieten., KeepassX beispielsweise



was hast du an Daten wie zurück gespielt?


bitte pack den text in den post / in eine Zitatboxam liebsten (der button mit den " ) ichw rede da auch nicht drauf klicken :)
2FA habe ich überall an, ja. Das mit Kaspersky wusste ich nicht, danke für die Aufklärung, dann kommt das direkt wieder runter und ich nutze erstmal ein Blatt Papier am besten, oder Keepass. Also ich habe Anfangs nur meinen PC zurückgesetzt über die Option in Windows selbst. Aus irgendeinem Grund war meine Festplatte da aber noch voll, bis auf die SSD, auf der Windows war. Also habe ich meine Festplatten nochmal formatiert, damit da nichts mehr drauf war, das hat auch ganz gut geklappt! Hier nochmal diese fette Datei als Text (Die Fotolinks habe ich entfernt):

Check if they are connected on you'r PC
Best will be if you do all steps, its recommended

step 1 (important) (recommended to do every day)
========================================
Go start and type event viewer
Press Windows logs
First choose applications

On right side you will see some list of information,those are logs
There you can check if someone logged on you'r PC

Press any of those informations and check which computer was it
but usually there are thousands of logs there and you need filter logs to see only those if someone else joined on you'r PC

Go "Filter Current Log"


Then do steps on screen

Logged: Any time
On event lever mark all those stuffs
and above task category write 4625 or 4624,try both( it will filter logs if someone was logged on pc)
And then press Ok

It is normal if shows something

Press any of those and check which computer was logged
If you see some unknown computer then that will be problem

Also same stuffs do for Security and Setup

You will go same here, go Filter current logs, mark those stuffs, write 4625 and ok and check if there is any unknown PC


Also if you want see if someone log off from you'r PC, do same proccess and just instead 4625 write 4634

step 2 (most important)
========================================
Find "Network and sharing center" on pc
. Then go Windows Firewall


Then go "Allow a program or feature through Windows firewall"


Check all marked stuffs and if you notice anything unknown uncheck it. If you see code that might be a problem
Example how code looks like or if find anything similiar like this

step 3 (important)
========================================
If there is any code in firewall (method 2), you must go "reset defaults"



If you cannot find something let me know i will help

This is example how code looks like,it can be same or similiar and that might be that they'r remoting



step 4 (most important)
========================================
Go Windows Firewall and then "Turn Windows Firewall on or off"



Mark all those stuffs


so all 4 mark

step 5 (less important)
========================================
Go start and write "remote assistance"



Unmark this



step 6 (checking method)
========================================
Go start>run> write cmd and press enter
just write query user and press enter
it will show who was connected on PC



step 7 (less important)
========================================
Run antivirus and screenshot me what he found (for example Systweak Antivirus)

step 8 (important)
========================================
Go start and type in Run> services.msc


Check if you have any unknown or weird service. If you find it let me know
Find SSDP Discovery and right click on it>propeties
startup type> disabled
Also right click on it and Stop it

Also find service called "Server"
Right click on that service and go propeties.
Startup type: Disabled
Stop service
Apply

Also check if there's something about "Hyper remote" and disable it and you will must delete that service because if you have that hyper remote service there, then they're 99% able to connect on youre pc (not saying they're connected, just telling they're able to connect). If you find, let me know and i'l explain how you can delete it
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Remote Desktop Configuration" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Remote Procedure call (RPC) locator " and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "remote registry" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Alljoyn" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Remote Desktop Services" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Remote Desktop Services UserMode Port Redirector" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "Routing and Remote Access" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply

Also find service called "UPnP Device Host" and do same
Right click on that service and go propeties
Startup type: Disabled
Stop service
Apply



step 9 (less important)
========================================
Let me know if you have lot of svchost.exe in task manager

step 10 (less important but do if you find it,recommended)
========================================
Open BIOS on you'r PC. If you don't know how,check on google
Then find VIRTUALITZATION TECHNOLOGY and if its enable, then disable it. If you cannot find, check on google how to find for you'r operation system and for you'r motherboard, because it is not same for everyone.

If you'r using virtual box then you can skip this method

Let me know if you get any problem after all this

11step: (important)
========================================
Type msconfig in run and choose it

Go services and check if theres is Remote Access Connection manager

and unmark and apply

12step: (important)
========================================
Go task manager

and check if there is something called atiedxx.exe
there are 2 types of atiedxx.exe
fake and real
if you see those both

then its real,that means ur using AMD instead intel or something else
if you don't know what ur using, go start>run> dxdiag and enter
you will see if you use inter or amd

but if you see only this in task manager and if you'r not using AMD

and if you cannot disable it by clicking right click and stop then that might be problem
then go start>run> services.msc
find AMD External Events Utility

then right click on it and then propeties


Choose startup type: Disabled
also stop that service

then check if there is atiedxx.exe in task manager

13step: (important)
========================================
Go start>run> services.msc
Check and let me know all services that contains in name "utility" , if you find some of those, let me know

14step
========================================
Go start and type Windows Security
Press then Virus & threat protection
Choose Scan options and select Full scan and then press Scan now and wait until its done and remove if they found something
After you'r done with that, then go again Windows Security, press virus & threat protection and choose scan options but now instead Full scan you will choose Microsoft Defender Offline Scan and then go Scan now

15 step
========================================
Most viruses are hiding in temporary files so you need delete it
Go start and write disk cleanup

Only mark temporary internet files and temporary files

Press Ok

16 step
========================================
Better will be if you remove system restore points
Go start and write create a restore point

Now go Configure

Turn off system protection
Then also delete all restore points
Press apply
and ok


17 method
First enable hidden folders
Select the Start button, then select Control Panel > Appearance and Personalization. Select Folder Options, then select the View tab. Under Advanced settings, select Show hidden files, folders, and drives, and then select OK.
Now, go My Computer> Local Disk
Choose ProgramData

Then check all those folders and try to find some svchost.exe
If you find any, let me know because that can be a virus


IMPORTANT If any of those screenshot links expire, let me know
 
Zuletzt bearbeitet von einem Moderator:
Würde auch gleich das Smartphone/Tablet noch zurücksetzen.
 
Fanchen schrieb:
Einen vernünftigen Passwortmanager zu verwenden (nicht Kaspersky) ist deutlich sinnvoller, als die ganzen Passwörter auf Papier zu schreiben.
Mache ich seit über 20 Jahren alles gut jeder wie er will. Ich habe keine Probleme dadurch. Ich habe auch einen sauberen Uplay und Steam Account (dort fängt man sich am meisten ein), Freunde Bekannte die wissen wie man mit/im Internet und mit Privatsphäre umgeht ja wichtig. Gaming und office PC getrennt. Für Bank und Einkäufe Linux Und dafür extra Mail Accounts und so weiter. Mehrere E-Mail Accounts in Kategorien Wichtig bis Bekannte aufgeteilt. Ich setze meine Kisten gut dreimal im Jahr neu auf. Komliziert? Ja Sicher und Ruhe? Seit vielen Jahren.
 
  • Gefällt mir
Reaktionen: madmax2010
Oder einfach von vornherein einen verschlüsselten Passwortmanager verwenden.

Wenn jemand Trojaner, keylogger oder sonstwas auf dem System installiert hat, ist etwas ganz anderes gehörig schief gelaufen.

Mal davon ab, führt das Blatt Papier über kurz oder lang zu unsicheren Kennwörtern.

Oder willst du mir erzählen, du tippst für jeden Zugang ein kryptisches, 20stelliges Kennwort von einem handgeschriebenen Zettel ab?
 
  • Gefällt mir
Reaktionen: TheManneken, Aslo und tha_mos
|SoulReaver| schrieb:
Papier kann gestohlen aber nicht gehackt werden.
Wobei jetzt Papier nicht automatisch sicher ist. Ja. Die Elektronik hat erst mal kein direkten Zugriff darauf (außer vielleicht die Webcam ;) ), allerdings verführt das auch dazu das man sich - gelinde gesagt - suboptimale Passwörter aussucht.
Außerdem steht und fällt deren Sicherheit damit, wo man das Papier aufbewahrt. Wenn mans ständig dabei hat weil man die Passwörter ständig braucht ist es halt auch der Gefahr von wegkommen ausgesetzt wie jeder andere Gegenstand auch den man bei sich führt.
Außerdem sind Konzepte wie Backup schwierig. Ein gecryptetes Passwortfile kann man halt leicht kopieren. Mit nem Zettel wird das schon schwieriger.

Kurzum: Es gibt ein paar Sachen die man beachten sollte und Papier ist nicht per se sicher. Und gegen viele Angriffe schützt das auch gar nicht. Zum Beispiel nen Keylogger.
 
FR3DI schrieb:
Hoert, hoert! :daumen:

@MokTripleA
Eventuell machst du dir ein paar PW, aber nicht diesen 08\15 Mist. Es folgt ein Beispiel;


Gruss Fred.
Mittlerweile habe ich bei jedem Passwort ein solches, wie du es geschrieben hast. Zufällig generiert. Da sollte es also nicht dran liegen, hoffe ich :D
 
Zurück
Oben