Wurde mein PC gehackt?! Was hat es damit auf sich?

Lolstick

Cadet 3rd Year
Registriert
Juli 2015
Beiträge
45
Hey Leute!!

Ich habe irgendwie das Gefühl, dass mit meinem PC irgendwas nicht in Ordnung ist. Seit ca. 1-2 Wochen kommt regelmäßig die Meldung von Windows, dass eine unerwünschte Software/Datei auf dem PC gefunden wurde. Wenn ich dann auf die Meldung klicke komme ich auf das Scanergebnis, klicke dann auf die Meldung drauf (muss mit den Admin-Berechtigungen bestätigt werden) und dann kommt nur die Fehlermeldung mit dem betroffenen Element. Aber was dagegen unternehmen kann ich nicht, also kann es nicht direkt entfernen lassen. Durch diese Bedrohungswarnungen wurde dann auch meine regelmäßige Sicherung immer abgebrochen und der PC wurde die letzten Wochen dadurch nicht mehr gesichert. Erst nachdem ich den Virenscan und die Firewall deaktiviert hatte, konnte ich den Computer manuell sichern. Danach hab ich natürlich direkt beide sachen wieder aktiviert. In den angehängten Bildern könnt ihr alle Bedrohungsmeldungen sehen. Malwarebytes was ich auch immer regelmäßig laufen hab, hat nur ein- bis zweimal eine Bedrohung gefunden, die ich aber dann direkt in die Quarantäne verschoben und gelöscht habe. Jetzt war aber komischerweise die letzten Tage bei Google Chrome immer nur ein von zwei Fenstern extrem langsam, Yt-Videos hatten zwischendurch kein Ton, haben langsam geladen und es wurden teilweise Videos aus meinen Playlists abgespielt, obwohl ich nichts angeklickt hab. Ich benutze immer 2 Tabs, bei dem anderen lief komischerweise alles ganz normal. Vielleicht ist es nur Zufall, weil aktuell alles funktioniert aber ich hab trotzdem ein komisches Gefühl, da ja laut Windows immernoch mehrere schädliche Dateien auf meinem Computer sind. Heute hab ich mir dann Avira runtergeladen, das hat aber nichts gefunden. Und auch Windows hat nach mehreren Scans auch nichts gefunden. Die Meldungen kommen halt immer nur ab und zu, als ob der "Virus" nur ab und zu aktiviert wird... Und die Meldungen von den angeblichen Bedrohungen kann ich immernoch im Verlauf sehen. Kann mir jemand erklären was das sein könnte und ob es was ernstes ist? Ich meine da steht ja sogar "Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers an." Ich weiß nicht ob Chrome damit überhaupt was zu tun hat, da ich ja 2 Bildschirme hab und der Angreifer eventuell nur auf ein Bildschirm von diesem einen Fenster Zugriff hat.. Danke schonmal für eure Antworten :) Ps: Chrome wurde schon einmal neu installiert und alles neu eingerichtet.
 

Anhänge

  • Windows Schutzverlauf (2).jpg
    Windows Schutzverlauf (2).jpg
    150,7 KB · Aufrufe: 956
  • Windows Schutzverlauf (5).jpg
    Windows Schutzverlauf (5).jpg
    145,1 KB · Aufrufe: 911
  • Windows Schutzverlauf (4).jpg
    Windows Schutzverlauf (4).jpg
    151 KB · Aufrufe: 632
  • Windows Schutzverlauf (3).jpg
    Windows Schutzverlauf (3).jpg
    151,5 KB · Aufrufe: 604
  • Windows Schutzverlauf (1).jpg
    Windows Schutzverlauf (1).jpg
    150,1 KB · Aufrufe: 903
eventuell verhaspelt sich hier der Defender aufgrund des lange Dateinamens.
Dr. McCoy schrieb:
Leere diesen mal.

das wird nicht helfen, da der Pfad auf die Volume Schattenkopien zeigt

um diese zu Löschen, bitte diese Anleitung befolgen:

Code:
Schattenkopien und Wiederherstellungspunkte in einem Streich löschen!

    Klicken Sie im Startmenü auf “Computer”. ...
    Wählen Sie nun “Eigenschaften” und klicken Sie auf “Bereinigen”. ...
    Klicken Sie im Bereich “Systemwiederherstellung und Schattenkopien” auf “Bereinigen” und bestätigen Sie mit einem Mausklick auf “Löschen”.
 
  • Gefällt mir
Reaktionen: BFF
Wenn du hier wirklich sicher gehen willst, denke mal über eine Windows Neuinstallation nach.
Lolstick schrieb:
Erst nachdem ich den Virenscan und die Firewall deaktiviert hatte, konnte ich den Computer manuell sichern.
Diese Sicherungen würde ich dann aber auch nicht mehr nutzen.
 
  • Gefällt mir
Reaktionen: AB´solut SiD und Lolstick
man könnte auch nochmal mit einer AV CD wie Desinfect 2023 / 2024, die auf einen sauberen Rechner herstellt wurde, durchaus vorher nochmal scannen.
Jenachdem wie sehr man diesen Ergebniss dann vertraut, kann man dann immer noch entscheiden

Nickel schrieb:
denke mal über eine Windows Neuinstallation nach.

Bitte das Installationmedium aber auch an einen "sauberen" PC erstellen, wenn du sicher gehen willst.
 
  • Gefällt mir
Reaktionen: Lolstick, Alpha.Male, BFF und 2 andere
Lolstick schrieb:
Ich weiß nicht ob Chrome damit überhaupt was zu tun hat

Nicht wirklich, da der Pfad eigentlich auf einen Firefox als Browser verweist.

Hast du eigentlich uBlock Origin im Firefox oder Chrome als Addon?
 
  • Gefällt mir
Reaktionen: Lolstick
Scan das System mal mit Malwarebytes. Ansonsten wie der Defender schon sagt, Offline Scan durchführen.
 
  • Gefällt mir
Reaktionen: Lolstick
BFF schrieb:
Nicht wirklich, da der Pfad eigentlich auf einen Firefox als Browser verweist.

Hast du eigentlich uBlock Origin im Firefox oder Chrome als Addon?
Nein, hab ich nicht aber einen Adblock plus
 
Adbluck plus rauswerfen und durch ublock origin ersetzen.
Dann gleich mal prüfen ob da irgendwelche schrägen Add-ons angezeigt werden
Browsercache leeren
 
  • Gefällt mir
Reaktionen: Lolstick, Alpha.Male und Holzinternet
@Lolstick
Das sind Falschmeldungen vom Defender.

Verwendest du das Backupprogram MacriumReflect?
 
  • Gefällt mir
Reaktionen: Lolstick und dms
Wenn du hier wirklich sicher gehen willst, denke mal über eine Windows Neuinstallation nach.
Wäre wohl die sauberste Lösung.
Nein, hab ich nicht aber einen Adblock plus
Schmeiß den runter und ersetze den für alle Browser durch uBlock Origin.
Ersetze die Windows Sicherung durch ein externe Backup Programm wie Aomei Backupper oder Macrium Reflect Free. Ich habe schon lange auf meinen Partitionen die Systemwiederherstellung(Computerschutz) deaktiviert und mache dafür öfters Backups der Partitionen mit Aomei Backupper Pro das immer als kostenlose Jahreslizenz verteilt wird: https://www.deskmodder.de/blog/2023...fessional-kostenlos-fuer-euch-bis-30-05-2024/
 
  • Gefällt mir
Reaktionen: Lolstick
Mit Verlaub, da ist nixx zu sehen was eine Neuinstallation triggern sollte.
Das vom November ist klassisch PUA - Potentiell unerwünschte Software..
AKA Chip/BILD Downloader und ungewollt installierte Zusatzsoftware

My2Cent
 
  • Gefällt mir
Reaktionen: Lolstick
Das sind Drive by downloads in deinen Browser Cache von einer bösen Seite.
Das ist oft der Anfang von Hackern. Hast du nicjt gepatcht ist er tiefer im system oder versucht es.
Das seltsame Verhalten könnte darauf hin deuten.
Leider ist das nicjt trivial und wenn du wenig Ahnung hast würde ich eher neu installieren.

Du kannst natürlich schauen, ob seltsame Programme laufen, dienste zu viel Ressourcen benötigen und alle Verbindungen zu servern prüfen. (Komplex)

Auch im abgesicherte offline modus scannen wäre der erste Schritt. Aber das gibt keine Garantie.
 
  • Gefällt mir
Reaktionen: Lolstick
Komischerweise habe ich heute früh eine E-Mail von Windows bekommen, dass es eine "ungewöhnliche Anmeldeaktivität" gibt und zwar aus Kroatien. Eine komische IP steht dort auch und die Informationen hier stehen da:
Anmeldeinformationen
Land/Region: Kroatien
IP-Adresse: 2a07:db87:d73f:f668:166a:9d9:73bd:6ec4
Datum: 28.01.2024 07:54 (GMT)
Plattform: Windows
Browser: Chrome

So, jetzt hat sich mein Gefühl scheinbar bestätigt dass ich gehackt wurde. Beim Hochfahren vom PC musste ich mich in den Einstellungen neu anmelden, aber nach dem Passwort kam nur die Fehlermeldung 0x80048823 ?! Was soll ich jetzt machen? Habe diesen Offline-Scan schon gemacht ohne Treffer und auch Malwarebytes komplett durchlaufen lassen über mehrere Stunden... Und was bedeutet dieser Fehlercode??!
Ergänzung ()

Achso und in dem Anmeldeverlauf von dem Microsoft Konto wird seit über 13 Stunden versucht, sich in mein Konto einzuloggen. Überwiegend aus Kroatien, aber auch aus Russland und Deutschland. Habe jetzt mein Passwort mittels Passwort Generator geändert und meine Telefonnummer aktualisiert...
 
Windows neu installieren ist die einzige Möglichkeit. Der Rechner sollte vor allem KOMPLETT vom Internet getrennt werden, bis Windows neu drauf ist.
 
  • Gefällt mir
Reaktionen: Lolstick
Danke, habe auch gerade extra ein neues Thema erstellt mit allen Infos die ich habe. Habe glaube ich noch einen USB-Stick mit Windows drauf, kannst du mir vielleicht ganz kurz erklären wie ich Windows neu installiere?
 
Lolstick schrieb:
Komischerweise habe ich heute früh eine E-Mail von Windows bekommen, dass es eine "ungewöhnliche Anmeldeaktivität" gibt und zwar aus Kroatien.
Sowie Deine Microsoft Mailadresse irgendwo auftaucht in abgezogenen Listen wo eventuell auch Passworte mit dabei waren kann es zu solchen Versuchen kommen. Sieht dann so aus im Account unter Sicherheit, richtig?

1706480993877.png

1706481439426.png


Die Zugriffe kommen bei einem Account hier von:

1706481219126.png


Was bedeutet das nicht Du gehackt wurdest sondern wer anderes.
In dem Fall des Accounts hier, glaube ich das Microsoft selbst "abgezogen" wurde.

Anyway.
Dennoch gut das Du Dich um Deine Passwortsicherheit gekümmert hast. 👍
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Lolstick
Zurück
Oben