Kaspersky
Question

Hacker per Telefon


Userlevel 1
Ich hatte heute einen Anruf vom "Windows Support" Leute die mir sagten man hat festgestellt, dass mein PC sei von Viren/Errors befallen sein. Und treu doof habe ich deren Anweisungen gefolgt und habe eine Sotfware runtergeladen die "supremo" heißt, Die wie Teamviewer arbeitet. Damit waren die Leute auf meinem PC, als erstes haben sie meinen Teamviewer deinstalliert. und noch andere Fenster aufgemacht. Als es mir zu komisch wurde, habe ich das ganze unterbrochen. Man sagte mir wenn ich es unterbreche wird der PC nicht wieder angehen.Kann es sein das sie Einsicht auf meine Bankverbindungen bekommen haben? Trotz das ich im Kaspersky grünem Rahmen mich bei Überweisungen bewege. ?Ich habe nach dem ich das gestoppt hatte, einen Freund angerufen der IT beruflich macht. Er riet mir den PC runterzufahren, vorher die supremo Software löschen. Ich wollte vor dem runterfahren noch vorher Kasparsky einen Suchdurchlauf machen lassen. Die schnelle Untersuchung hat keine Bedrohung gefunden, die gründliche Untersuchung läuft noch. Hat jemand Erfahrung mit sowas?
Danke für jede Antwort.
Missmiss

18 replies

Userlevel 7
Badge +4
Hallo Missmiss, willkommen im neuen Forum.

Wie Du richtig bemerkt hast, bist Du einem Abzocker aufgesessen.
Üblicherweise geht das ganze aber so aus, dass er Dich überzeugen will, dass Dein Rechner verseucht ist. Dazu zeigt er Dir Fehlereinträge im Windows Ereignislog, die aber ganz normal sind. Um diese zu "beheben" verlangt er dann Geld (ca. 200 €). Ist natürlich sinnlos, auf das "Angebot" einzugehen.

Um Deine Bankdaten mache ich mir keine allzugrossen Sorgen, Du solltest dennoch alle wichtigen Zugangsdaten erneuern.

Mit der Deinstallation der fremden Fernwartungssoftware machst Du auch alles richtig. Starte den Rechner neu und mach dann nochmals eine vollständige Untersuchung.

Achte in nächster Zeit auf ungewöhnliche Aktivitäten. Falls Du absolut sicher gehen möchtest, setze den Rechner neu auf. Das hebt die Gefühlslage, ist aber nicht unbedingt erforderlich.
Userlevel 1
Hallo Schulte
Vielen Dank für die Antwort, dass beruhigt mich schon sehr.
Ich wünsche noch einen schönen Abend.
So locker würde ich das nicht sehen!

Erstens, weißt Du nicht, welche Daten die im Hintergrund hochgeladen haben. Wenn die bei sich Uploads starten, siehst Du das nicht.
Zweitens das gleiche mit Trojanern. Du weißt nicht, was installiert wurde. Da KIS weiterlief, ist das jedoch nicht wahrscheinlich. Wollten die eine UAC-Abfrage bestätigt haben? Also das Admin-Kennwort, welches bei Systemeinstellungen erforderlich ist? Dann AUA!

Daher: Alle Zugänge von Banken, Paypal und Shops wie Amazon etc ändern - an einem anderen Rechner/Tablet. Foren sind unkritisch, aber alles, wo Du per Click Geld ausgibst oder sonstwie mit Geld zu tun hast. Steam, oder auch gespeicherte Passwörter für Dein Router etc. Wenn Du sogar alle PW ungeschützt auf Deinem Rechner gespeichert hast, auch ändern.

Dann anschließend neu aufsetzen (lassen) oder zumindest mal mit Adwcleaner prüfen. https://de.malwarebytes.com/adwcleaner/

Meinst Du wirklich, die schnüffeln bloß, ohne was mitzunehmen? NAIV!!!
Userlevel 2
sehe ich auch so System neu aufsetzen bzw Backup aufspielen und ALLE Zugangsdaten usw. ändern .
mfg
Userlevel 7
Badge +4
Ich verstehe eure Bedenken.
Es passt aber nicht zur üblichen Arbeitsweise dieser Gruppen, dass Malware installiert wird oder Daten abgezogen werden. Natürlich kann man das nicht ausschliessen, aber KIS hat ja auch seine Daseinsberechtigung und macht ihren Job sehr gut.

Das Schlimmste, mit dem ich in diesem Fall rechne, ist dass der Rechner nicht mehr bootet. Entscheidend ist, in welchem Stadium der Manipulationsversuch abgebrochen wurde.

Ich denke, Missmiss wird sich nochmal melden und uns aufklären.
Userlevel 7
Badge +5
Zusätzlich zu allen oben genannten Beiträgen:
Für Missmiss:
http://links.kaspersky.sm/c/2GG/Hqp/V_aWcBc_bDjO5fSj-SrP33/bP/P_J/F/1f3d10ab
Userlevel 1
Danke Flood,
für die weitere Aufklärung.
Grüße
Missmiss
Userlevel 1
Hallo Schwarte,
vielen Dank für den Link zum adwcleaner. Kaspersky hat nach der großen Untersuchung keine Bedrohung gemeldet. Der Pc ließ sich am nächsten Tag hochfahren. Ich habe den adwcleaner runtergeladen und den PC durchleuchtet und die Software hat doch tatsächlich eine Reihe von Bedrohungen inklusive einen Trojaner gefunden. Den Vorgang habe ich 3 mal durchlaufen lassen bis nichts mehr gefunden wurde. Die Tastatur ist etwas langsam, aber sonst ....ist noch nichts passiert , ich kann meine Dateien öffnen. Vielleicht hatte ich Glück weil mein PC sehr langsam ist und ich die Installation des Virus noch rechtzeitig beendet habe. (Wunschdenken)
Vielen Dank nochmal
Missmiss
Userlevel 7
Badge +4
Hallo Missmiss,

schön, dass der Rechner noch läuft.

Im Ordner "C:\AdwCleaner\" müssten einige Logfiles in der Form "AdwCleaner[Sxxx].txt" und "AdwCleaner[Cxxx].txt" zu finden sein.

Kannst Du diese bitte in ein .zip-Archiv packen und mir per PN zusenden?
Userlevel 1
Hallo Schulte,
gerne würde ich die Zip-Datei verschicken , nur weiß ich nicht wie ich PN verschicken kann.
?!
Userlevel 5
Badge +1
Hallo @Missmiss ,

du kannst mit deinem Mauszeiger auf Schulte sein Bildchen links neben seinem Beitrag gehen (nicht klicken) und dann erscheint ein weiteres Fenster, wo du auf der rechten Seite ein Briefsymbol hast. Das ist die Persönliche Nachricht.
https://i.gyazo.com/1aede9b7439fc65c218db9a884e58f57.png
Userlevel 7
Badge +4
Danke fürs Aushelfen, Jowi.

Hatte aber vergessen, dass in PNs keine Anhänge möglich sind.

@Missmiss:
Kannst Du das Archiv hier hochladen? Mir ist nur nicht bekannt, bis zu welcher Größe das möglich ist.

Userlevel 1
Hallo Schulte
anbei Zip-Datei. Hoffe sie ist korrekt.
Grüße
Missmiss
Userlevel 7
Badge +4
Hi Missmiss, sieht gut aus.

Der AdwCleaner hat nur Adware gefunden, die Dir beim Download eines Programms bei CHIP "zugelaufen" ist. Bitte nur seriöse Downloadquellen verwenden!

Andere Adware hast Du Dir beim Surfen eingefangen. Auch der "Trojaner" ist Teil einer Adware.

Da KIS auch nichts anmeckert, würde ich sagen: Glück gehabt.

Augen auf beim Surfen, Gruss Schulte
Normal setzen deinem Benutzer einen anderen Passwort, somit kannst bei späteren Neustart nicht mehr einloggen. Da aber du noch rechtzeitig das " supremo, Teamviewer " Programm abgebrochen hast konnten die nicht Aktiv werden. Da würde ich das ganze System neu Installieren.
Hallo Missmiss und andere

Ich würde der Sache trotzdem nicht trauen. Es wurde was gefunden, hast Du wirklich alle Bedrohungen entfernt? Falls nein, bitte nachholen. Alles, was ADW anmeckert, hat auch auf dem Rechner nichts zu suchen. Und jeder, der Rechner betreut, lässt dieses Programm auch das System bereinigen (gibt auch noch andere, aber die hab ich nicht im Kopf).

Wenn Dir irgendetwas komisch erscheint, lasse den Rechner BITTE neu aufsetzen. Langsame Tastatur ist zB immer ein Indiz für einen Keylogger.

Du machst bitte bei allen zukünftigen Rechnern folgendes:
Erstelle Dir ein seperates Benutzerkonto für Windows, das Administratorrechte hat. Da Du Win7 nutzt, ist das noch einfach. Mit W10 werde ich einfach nicht warm...

  1. Start - Systemsteuerung - Benutzerkonten (gibt verschiedene Wege zum hinkommen - Google)
  2. Anderes Konto verwalten -> Konten anschauen
  3. Neues Administratorkonto erstellen, wenn DU alleiniger Administrator bist
  4. Ein Passwort verwenden und einrichten
  5. Dich abmelden und mit dem neuen Konto anmelden. Ignoriere da alle Desktopeinstellungen, das Konto wird nicht weiter benutzt. Dient nur für administrative Zwecke
  6. Schritt 1-2
  7. DEIN Konto auf Standard zurückstufen und wieder abmelden
  8. Das neue Konto so lassen und nur als "Reserve" nutzen
Hat den Vorteil, bei allen Systemänderungen musst Du das Administrator-Kennwort eingeben. Dazu musst Du Dich nicht neu anmelden, die Abfrage (probiere das mit der Uhrzeit aus) kommt bei Notwendigkeit und es wird das KW abgefragt.
Dein Standardkonto bleibt unberührt.
Ist die empfohlene Einrichtung für Windows. Wenn Du Einstellungen nur bestätigst,wenn es unbedingt gewünscht ist, dann bist du schon deutlich sicherer unterwegs. Für Softwareinstallationen ist das zB erforderlich, Uhrzeit ändern usw. Es ist immer ein kleines Icon zu sehen in den Menüs. Einen Fremden niemals das KW eintippen! Egal ob online oder vor dem PC. Entweder Du vertraust ihm (Sohn, Ehemann) oder eben nicht.

Zu Softwareinstallationen: Bitte immer genau lesen, ggf auf Benutzerdefiniert klicken und jeglichen Müll nicht mitinstallieren. Software kannst Du bei Chip durchaus laden, aber es gibt auch einen Link dort zum Softwareentwickler. Bei Freeware ist oft zu lesen, dass eine Toolbar etc mitinstalliert wird.
Userlevel 1
Hallo Schulte, Hallo Zanza, Hallo Schwarte

vielen Dank für euren Support und Informationen. Ich werde den PC neu aufsetzten lassen.
Gestern nach der letzten Mail von Schulte dachte ich auch Glück gehabt, habe aber nochmal eine große Untersuchung gestartet und hatte heute Morgen eine Bedrohung auf dem Bildschirm.
Das gefundene Objekt ist irreparabel. Kann ich es nicht einfach löschen? Ich habe einen Screenshot angehängt.

Userlevel 7
Badge +4
Hallo Missmiss,

die Datei kannst Du einfach löschen.
Es scheint der CHIP-Installer zu sein.

Nachtrag: die Datei befindet sich bereits im Quarantäneordner des AdwCleaners.

Reply / Ответить