Wurde ich gehacked?

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 09:26

Hallo,

es scheint als wäre mein Rechner angeriffen worden. Das System hat sich seltsam verhalten, der Explorer war im Freeze, dann habe ich einen Neustart im abgesicherten Modus gemacht. Jetzt bin ich im Modus unterwegs, teilweise mit Netzwerktreiber, teilweise ohne.

Jetzt finde ich allerdings nichts Auffälliges. Der Scanner rennt ohne Ergebnis.

Wie kann ich in der Situation am Besten vorgehen? Habe wirklich Panik, der Zeitpunkt wäre delikat unangenehm

Installiert ist:
Windows 7 64bit, vollständig aktualisiert
Avira Free, vollständig aktualisiert

Ich bedanke mich jetzt schon für die Antworten

eitschpi

alpakaflüsterer

Registered: Dec 2004
Location: eierbärhausen
Posts: 4386

17.12.2017 - 09:46

Systemwiederherstellung?

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

17.12.2017 - 09:58

könnte es ein Miner (Script über Browser) gewesen sein?

Unter Windows würde ich AdwareCleaner verwenden
https://www.trojaner-board.de/18623...adwcleaner.html

bzw. Farbar's Recovery Scan Tool https://www.trojaner-board.de/14575...-tool-frst.html ist eine Möglichkeit

https://www.trojaner-board.de/anleitungen-faqs-links/ falls du noch andere Möglichkeiten suchst

hier findest du einige "BootCDs" (hmm, muss mich endlich mal aus "Boot-Medium" umgewöhnen) https://www.lifewire.com/free-boota...s-tools-2625785
einen Anbieter auswählen, damit booten und nach Schadsoftware suchen

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4284

17.12.2017 - 10:27

Wurde vielleicht ein Update im Hintergrund installiert?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49994

17.12.2017 - 13:08

Neu aufsetzen! Einem kompromitierten System kann man nicht vertrauen

xtrm

social assassin

Registered: Jul 2002
Location:
Posts: 12102

17.12.2017 - 13:39

Klar gibt es Szenarien, bei denen das erforderlich ist, aber im privaten Bereich muss man da nicht paranoid sein. Lass malwarebytes drüberlaufen und vllt mit einer Kaspersky rescue disc Booten und damit abseits von Windows das System scannen.

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 13:39

Danke für die hilfreichen Antworten!

Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.

Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.

LTD

frecher fratz

Registered: Feb 2001
Location: is where it is
Posts: 6334

17.12.2017 - 13:52

Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).

Edit: Kannst du vielleicht die Zugriffe auf deinem Router checken? Ich bin leider kein Experte, aber da müssten doch die Verbindungsprotokolle liegen...

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 13:52

Ich denke ich kauf W10 am besten einfach neu und mache die gesamte Systemplatte planiert.

Wisst ihr vielleicht warum es teils so günstige Angebote aus Deutschland gibt, aber alles in Österreich gute 50€ mehr kostet?

https://geizhals.at/?fs=windows+10&in=
https://geizhals.eu/microsoft-windo...c-a1326314.html

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 13:54

Zitat aus einem Post von LTD
Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =).

Ist es nicht sehr komisch einen "ganz normalen" Systemabsturz, der sehr selten vor kommt genau dann zu haben, wenn man gerade eine Wallet installiert hat? In der Systemsteuerung ist alles eingefroren. Interessanterweise hing der Prozess aber nicht im Taskmanager und ließ sich dort einfach killen, er wurde als running deklariert.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1088

17.12.2017 - 14:39

Wegen einem Freeze würde ich jetzt nicht gleich formatieren

mal malwarebytes drüberlaufen lassen und mal mit netstat -a schaun ob ungewöhnlich viele verbindungen nach außen offen sind.

@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

17.12.2017 - 14:41

Zitat aus einem Post von Dune-
Danke für die hilfreichen Antworten!

Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt.

Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.

https://www.heise.de/newsticker/mel...es-3876966.html
bis Jahreswechsel funktioniert das Gratis-Update noch

LTD

frecher fratz

Registered: Feb 2001
Location: is where it is
Posts: 6334

17.12.2017 - 14:43

Naja, Kausalität != Korrelation. Es ist zwar nicht normal, dass sich ein Systemprozess gleich nach der Installation deines Wallets verabschiedet hat, jedoch ist es unwahrscheinlich, dass ein direkter Zusammenhang besteht.

Dass der Prozess weiter als "running" gekennzeichnet ist, obwohl er nicht mehr reagiert, kommt vor und ist nicht weiter ungewöhnlich.

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 15:41

Zitat aus einem Post von Snoop
@input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).

Verstehe ich nicht ganz, wo ist der Zusammenhang mit meiner Monero-Wallet? Ich hatte eher den Eindruck, dass es das System kurz "gefickt" hat. Der Browser war eigentlich nie im Spiel.

Ich verstehe schon, dass meine Aktion überparanoid ist. Aber mein Rechner hat sehr viele sensible Daten und ist im Crpytobizness eingebunden, da wär es mehr Schlecht als Recht wenn da Verlust entsteht.

Danke für den Windows-Link enjoy!

Es passiert da dann leider das:

Meine W7 Lizenz habe ich über Rakuten bezogen, es handelt sich um eine ESD.

Edit:
ist der postgres User standard im Windows? Beschreibung "PostgresSQL service account". Blöderweise war mein Hauptuser Admin

Bearbeitet von Dune am 17.12.2017, 15:59

Dune

dark mode lover

Registered: Jan 2002
Location: Wien
Posts: 10053

17.12.2017 - 16:36

Jetzt hatte ich nochmal ein alarmierendes Erlebnis... Wollte vom SafeMode zurück in den Normalen um zu testen ob ich dort Upgrade könnte. Allerdings hat dann die Zwischenablage nicht mehr funktioniert. Ich konnte nichts in den Zwischenspeicher kopieren. Das System war überproportional langsam und hat nichts Aufregendes getan. Es war ein Fenster im Upgrade-Assistent, wo ich aufgefordert wurde mein Admin-PW einzugeben, allerdings war kein Passwort-Eingabefeld vorhanden.

Die Zwischenablage und wahnwitzige Auslastung sind doch typischen Viren Probleme - oder? Es hat im Taskmanager nicht auffällig ausgeschaut, 5-20% CPU und nur 4-6 GBRAM. Trotzdem war es total laggy und lahm.

Da hat's doch was!

Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 09:26 Hallo, es scheint als wäre mein Rechner angeriffen worden. Das System hat sich seltsam verhalten, der Explorer war im Freeze, dann habe ich einen Neustart im abgesicherten Modus gemacht. Jetzt bin ich im Modus unterwegs, teilweise mit Netzwerktreiber, teilweise ohne. Jetzt finde ich allerdings nichts Auffälliges. Der Scanner rennt ohne Ergebnis. Wie kann ich in der Situation am Besten vorgehen? Habe wirklich Panik, der Zeitpunkt wäre delikat unangenehm Installiert ist: Windows 7 64bit, vollständig aktualisiert Avira Free, vollständig aktualisiert Ich bedanke mich jetzt schon für die Antworten
eitschpi alpakaflüsterer Registered: Dec 2004 Location: eierbärhausen Posts: 4386	17.12.2017 - 09:46 Systemwiederherstellung?
enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	17.12.2017 - 09:58 könnte es ein Miner (Script über Browser) gewesen sein? Unter Windows würde ich AdwareCleaner verwenden https://www.trojaner-board.de/18623...adwcleaner.html bzw. Farbar's Recovery Scan Tool https://www.trojaner-board.de/14575...-tool-frst.html ist eine Möglichkeit https://www.trojaner-board.de/anleitungen-faqs-links/ falls du noch andere Möglichkeiten suchst hier findest du einige "BootCDs" (hmm, muss mich endlich mal aus "Boot-Medium" umgewöhnen) https://www.lifewire.com/free-boota...s-tools-2625785 einen Anbieter auswählen, damit booten und nach Schadsoftware suchen
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4284	17.12.2017 - 10:27 Wurde vielleicht ein Update im Hintergrund installiert?
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49994	17.12.2017 - 13:08 Neu aufsetzen! Einem kompromitierten System kann man nicht vertrauen
xtrm social assassin Registered: Jul 2002 Location: Posts: 12102	17.12.2017 - 13:39 Klar gibt es Szenarien, bei denen das erforderlich ist, aber im privaten Bereich muss man da nicht paranoid sein. Lass malwarebytes drüberlaufen und vllt mit einer Kaspersky rescue disc Booten und damit abseits von Windows das System scannen.
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 13:39 Danke für die hilfreichen Antworten! Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt. Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden.
LTD frecher fratz Registered: Feb 2001 Location: is where it is Posts: 6334	17.12.2017 - 13:52 Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =). Edit: Kannst du vielleicht die Zugriffe auf deinem Router checken? Ich bin leider kein Experte, aber da müssten doch die Verbindungsprotokolle liegen...
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 13:52 Ich denke ich kauf W10 am besten einfach neu und mache die gesamte Systemplatte planiert. Wisst ihr vielleicht warum es teils so günstige Angebote aus Deutschland gibt, aber alles in Österreich gute 50€ mehr kostet? https://geizhals.at/?fs=windows+10&in= https://geizhals.eu/microsoft-windo...c-a1326314.html
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 13:54 Zitat aus einem Post von LTD Was heißt denn "System hat sich seltsam verhalten" und "Explorer war im Freeze"? - Das könnte doch auch ein ganz normaler Systemabsturz gewesen sein, oder? Bei mir schmierte auch des öfteren der Explorer ab und startete nicht wieder - dann einfach im Taskmanager die Explorer.exe starten und schon läuft die Kiste wieder =). Ist es nicht sehr komisch einen "ganz normalen" Systemabsturz, der sehr selten vor kommt genau dann zu haben, wenn man gerade eine Wallet installiert hat? In der Systemsteuerung ist alles eingefroren. Interessanterweise hing der Prozess aber nicht im Taskmanager und ließ sich dort einfach killen, er wurde als running deklariert.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1088	17.12.2017 - 14:39 Wegen einem Freeze würde ich jetzt nicht gleich formatieren mal malwarebytes drüberlaufen lassen und mal mit netstat -a schaun ob ungewöhnlich viele verbindungen nach außen offen sind. @input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined).
enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	17.12.2017 - 14:41 Zitat aus einem Post von Dune- Danke für die hilfreichen Antworten! Das trifft es ziemlich genau. Ich habe eine Monero Wallet (offizielle) installiert und danach verhielt es sich suspekt. Kann ich meinen W7 Key noch irgendwie für eine blanke komplett W10 Installation nutzen? Kann ich den Hack nachverfolgen? Würde gerne die Paranoia loswerden. https://www.heise.de/newsticker/mel...es-3876966.html bis Jahreswechsel funktioniert das Gratis-Update noch
LTD frecher fratz Registered: Feb 2001 Location: is where it is Posts: 6334	17.12.2017 - 14:43 Naja, Kausalität != Korrelation. Es ist zwar nicht normal, dass sich ein Systemprozess gleich nach der Installation deines Wallets verabschiedet hat, jedoch ist es unwahrscheinlich, dass ein direkter Zusammenhang besteht. Dass der Prozess weiter als "running" gekennzeichnet ist, obwohl er nicht mehr reagiert, kommt vor und ist nicht weiter ungewöhnlich.
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 15:41 Zitat aus einem Post von Snoop @input von enjoy zwecks mining im browser: Installier dir als Browser Addon "Wappalyzer" - das ist ein Plugin, welches anhand des Sourcecodes einer Webseite versucht zu erkennen, welche Technologien eingesetzt werden. Ich hab damit vor einigen Monaten festgestellt, dass mein Chrome kompromitiert wurde, weil auf jeder Seite auf einmal "Coinhive" eingebunden war (= javascript welches im browser coins mined). Verstehe ich nicht ganz, wo ist der Zusammenhang mit meiner Monero-Wallet? Ich hatte eher den Eindruck, dass es das System kurz "gefickt" hat. Der Browser war eigentlich nie im Spiel. Ich verstehe schon, dass meine Aktion überparanoid ist. Aber mein Rechner hat sehr viele sensible Daten und ist im Crpytobizness eingebunden, da wär es mehr Schlecht als Recht wenn da Verlust entsteht. Danke für den Windows-Link enjoy! Es passiert da dann leider das: Meine W7 Lizenz habe ich über Rakuten bezogen, es handelt sich um eine ESD. Edit: ist der postgres User standard im Windows? Beschreibung "PostgresSQL service account". Blöderweise war mein Hauptuser Admin Bearbeitet von Dune am 17.12.2017, 15:59
Dune dark mode lover Registered: Jan 2002 Location: Wien Posts: 10053	17.12.2017 - 16:36 Jetzt hatte ich nochmal ein alarmierendes Erlebnis... Wollte vom SafeMode zurück in den Normalen um zu testen ob ich dort Upgrade könnte. Allerdings hat dann die Zwischenablage nicht mehr funktioniert. Ich konnte nichts in den Zwischenspeicher kopieren. Das System war überproportional langsam und hat nichts Aufregendes getan. Es war ein Fenster im Upgrade-Assistent, wo ich aufgefordert wurde mein Admin-PW einzugeben, allerdings war kein Passwort-Eingabefeld vorhanden. Die Zwischenablage und wahnwitzige Auslastung sind doch typischen Viren Probleme - oder? Es hat im Taskmanager nicht auffällig ausgeschaut, 5-20% CPU und nur 4-6 GBRAM. Trotzdem war es total laggy und lahm. Da hat's doch was!

Wurde ich gehacked?

Forum Index > Software > Windows

Dune

eitschpi

enjoy

kleinerChemiker

Viper780

xtrm

Dune

LTD

Dune

Dune

Snoop

enjoy

LTD

Dune

Dune