Hacker hat meinen PC ferngesteuert!

Sarah2022

Newbie
Dabei seit
Dez. 2020
Beiträge
2
Hallo zusammen! Ich kam heute nach Hause und sah auf meinem PC wie irgendjemand die Kontrolle über meinen PC übernommen hat und die Maus bewegt hat und im Browser etwas gesucht hat. Ich war extrem geschockt und habe sofort die Internetverbindung getrennt.
Dann sah ich das die Person eine Datei namens Webbrowserpassview gedownloaded hat. Ich habe danach gegoogelt und damit kann man wohl die Passwörter aus dem Browser auslesen. Ich habe diese Datei dann gelöscht und auch alle gespeicherten Passwörter und Cookies von meinem PC gelöscht.
Danach fand ich ein Programm das Remote Utilites heißt und das der Hacker wohl auch installiert hat. Dieses Programm habe ich ebenfalls deinstalliert.
Ich habe dann mit Malwarebytes einen Scan gemacht, da ich dachte das ich mir wohl einen Trojaner eingefangen habe (hatte ich früher schon mal), aber Malwarebytes fand nichts außer einem Installer von Chip.de. Das ist aber kein Trojaner, sondern nur eine Software die zusätzliche Software mit installiert, die man meistens nicht haben möchte.
Ich habe ebenfalls einen Scan mit AVG Antivirus gemacht, dabei wurde nichts gefunden.
Jetzt frage ich mich wie der Hacker auf meinen PC zugreifen konnte. Wie konnte er in mein System eindringen wenn ich keinen Trojaner auf dem PC habe? Kann mir jemand vielleicht helfen? Das wäre sehr nett!
 

ghecko

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
13.855
und auch alle gespeicherten Passwörter und Cookies von meinem PC gelöscht.
Das bringt dir jetzt nichts mehr. Ändere alle Passwörter der Plattformen, auf die du mit deinem Browser (oder insgesamt dem PC) zugegriffen und das Passwort gespeichert hattest. Und mach das mit einem anderen Rechner. Den jetzigen würde ich platt machen und zuvor mit Linux die wichtigen Dateien von der Platte sichern. Und benutze sichere Passwörter, nicht "123passwort".

Remotedesktopanwendungen sind übrigens nicht zwangsweise ein Virus -> https://de.wikipedia.org/wiki/Remote-Desktop
Wie sich derjenige Zugriff zu deinem Rechner verschafft hat um so etwas einzurichten ist fraglich, aber das kann dir vllt jemand anderes erklären, der sich in Windows besser auskennt.
 
Zuletzt bearbeitet:

AB´solut SiD

Lt. Junior Grade
Dabei seit
Jan. 2006
Beiträge
312
Stimme @ghecko vollumfänglich bei der Vorgehensweise zu.
So dilettantisch wie es ausgeführt wurde, tippe ich eher auf jmd mit physischem Zugriff auf den PC (verprellte Verehrer)? Frage deshalb weil auch andere Geräte auf die Zugriff bestand dann kompromittiert sein könnten. Alles natürlich eine Vermutung aber bei der geschilderten Vorgehensweise durchaus denkbar. Windows ist schnell wieder aufgesetzt heutzutage und ein Telefon flux zurückgesetzt.
 

ZuseZ3

Lt. Commander
Dabei seit
Jan. 2014
Beiträge
1.444
Du hast offensichtlich nicht genug Ahnung um das selbst rauszufinden, aus der Ferne wird das schwer.
Ich behaupte mal du wirst auch nicht wissen welches Passwort du auf dem PC jemals genutzt hast also mach es dir einfach und vergebe alle Passwörter neu. 2FA ansehen und nutzen.
Das System ist kompromittiert, du sollst es damit komplett platt machen und windows neu installieren.
Am besten auch keine Daten sichern, dafür gibt es backups, da du dir den virus sonst erneut einfängst.

Ich stimme obigen Leuten zu, an sich ist ein RD Programm kein Virus, vlt. wurde die Verbindung aber über nen Virus geöffnet. Kann aber genausogut jemand aus deinem Umfeld sein, also einfach PC sperren, wenn du nicht dran bist. Ist eigentlich auch müßig drüber zu rätseln, meine Glaskugel ist zumindest gerade in der Reparatur.
 

catch 22

Commander
Dabei seit
Mai 2019
Beiträge
2.289
Den jetzigen würde ich platt machen und zuvor mit Linux die wichtigen Dateien von der Platte sichern. Und benutze sichere Passwörter, nicht "123passwort".
Beim Rechner platt machen würde ich doch widersprechen. Sondern Anzeige gegen Unbekannt stellen. Es wird wahrscheinlich im Sand verlaufen, aber falls mit deinen Daten Schabernack getrieben wird, kann die Existenz der Anzeige dir wiederum helfen, unbeschadeter aus der Sache rauszukommen, da so dann protokolliert ist, dass da was war.

In dem Sinne, wenn man sieht, dass am Rechner sowas abgeht:
  • Rechner vom Internet trennen und runterfahren (in dem Fall sogar gerne auch einfach ausschalten)
  • alle Kennwörter zu Online Zugängen die man hat, selbst wenn man meint, dass das Kennwort auf dem betroffenem Rechner neu vergeben und dabei wirklich vollständig neuartige Kennwörter verwenden (nicht nach dem alten Muster, wenn man denn leider eines nutzen sollte)
  • Anzeige gegen Unbekannt erstellen
  • Den Rechner ohne Netzwerkanbindung mit einer Linux Boot CD hochfahren und Daten sichern, vor allem aber auch keine Daten löschen / oder verändern
 

ghecko

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
13.855

Golgorod

Lt. Junior Grade
Dabei seit
Okt. 2013
Beiträge
493
Ich denke es ist wider ein profane Geschichte. Wenn du hinter einem brauchbaren Router sitzt, mit dich mit Augenmaß im Internet bewegst, dann kommt der "Hacker" eher aus deinem eigenen Netz. Warum sollte man das über eine Remote Desktop Verbindung tun? Also bitte, dafür gibt es nun andere Wege.
Rechner erst einmal von Netzwerk trennen und grundlegend die Sicherheit des internen Netzes überprüfen. Welches Gerät stellt deine Internetverbindung her? Wurden von da Ports auf deinen Rechner geleitet?
Hatte jemand physikalischen Zugriff auf deinen Rechner, dass ist eher wahrscheinlich. Wenn jemand für so einen "hack" Remote Desktop Tools benutzt, wird dieser jemand die auch manuell installiert haben....
Wir wissen zu wenig und können nur mutmaßen.
 

ergibt Sinn

Lt. Commander
Dabei seit
Jan. 2019
Beiträge
1.498
Welchen Browser benutzt du denn und hätte der Jeinge nicht einfach im Browser selbst nachsehen können anstatt eine Datei namens Webbrowserpassview zu nutzen ?

Hast du, bevor du das Programm Remote Utilites deinstalliert hast, darauf geachtet wann es installiert wurde ?

Mir klingt das ganze nach physischen Zugriff.
 

Schlaflos

Lieutenant
Dabei seit
Dez. 2009
Beiträge
572
Du lässt also die ganze Zeit deinen PC an? Oder wie soll man das verstehen mit "Ich kam heute nach Hause und sah auf meinem PC wie irgendjemand die Kontrolle über meinen PC übernommen"

Der Chip Installer ist PUA und gehört auf keinen PC meiner Meinung. Der wird auch gar nicht benötigt um Software von deren Webseite herunterzuladen und zu installieren.

Dann ist es so, wenn ein User per Remote auf deinen Rechner zugegriffen hat, wäre ein Tool um Passwörter aus dem Browser auszulesen gar nicht nötig. Der User könnte diese sich doch einfach anzeigen lassen. Extra - Einstellungen usw.

Dann stimme ich voll zu, ändere überall deine Passwörter. Aber nicht von diesem PC aus. Dein PC ist kompromittiert.

AVG Antivirus sollte du auch deinstallieren. Die haben in der Vergangenheit Nutzer ausgespäht. Das ist ein No-Go für einen AV-Software Hersteller.

Falls du ein Backup hast oder auf dem PC keine wichtigen Daten vorliegen. OS neu aufsetzen. Die Zeit die man bräuchte um sicher zu stellen, dass der PC clean ist würde länger sein, als eine Neuinstallation.

Wenn du das gemacht hast. Lege zwei Benutzerkonten an. Eines mit und eines ohne Administrationsrechten. Im Alltag nutzt du dann das Benutzerkonto ohne Administrationsrechte. Als AV nutzt du dann den Windows Defender.

Das mit der Beweissicherung und der Anzeige ist ein guter Punkt. Muss man abwägen.
 

Garack

Captain
Dabei seit
Mai 2006
Beiträge
3.120
alles im netzwerk "könnte" auch betroffen sein, router, grade wenn nicht ausreichend geschützt oder password auch im browser gespeichert ist. smartphones (schwer bei android einfacher als ios) , drucker, andere rechner (je nach konfiguration wohl auch nicht sooo einfach)
Ergänzung ()

chrome nimmt das windows login mittlerweile um die PW anzuzeigen, der neue edge auch, Firefox nicht wenn kein master Passwort, ob das nirsoft tool das umgeht weiss nicht nicht.
 

foo_1337

Captain
Dabei seit
Sep. 2020
Beiträge
3.827
Ne, kann es nicht, weil die Chromium passwörter Verschlüsselt da liegen und man eben das Login PW dafür benötigt. Aber zumindest FFox default und IE (wird ja leider nicht genug benutzt) hat man schnell. Nur wenn er das user PW kennen sollte bzw es geändert hat, kriegst du dann mit dem tool auch schnell alle chromium Passwörter.
 

Golgorod

Lt. Junior Grade
Dabei seit
Okt. 2013
Beiträge
493
NAT ist keine Firewall! Solange http/https nach außen möglich ist, ist dies völlig ausreichend.
Das ist vollkommen richtig aber nach etlichen Fällen dieser Art, kann ich dir sagen, dass jemand, der in der Lage wäre von Remote eine Installation eines solchen Tools anzustoßen andere Möglichkeiten hat deine Passwörter zu bekommen, zumal Remote Utilites ein Client-Server basiertes System ist. Heißt, die Tools gehen (ähnlich wie Teamviewer) über einen zentralen Server, wo der "Hacker" identifizierbar ist. Total sicher für den "Hacker".
Schaut doch mal in den technischen FAQ.

Meine Vermutung, jemand hat das vor Ort installiert, den Rechner in die Fernwartungsgruppe bei Remote Utilites gestopft und sich deine Passwörter geholt. Der Schaden ist dennoch angerichtet. Alle Passwörter schnellstmöglich ändern. 2 Faktor bei allen Diensten scharfschalten.
 
Zuletzt bearbeitet:

foo_1337

Captain
Dabei seit
Sep. 2020
Beiträge
3.827
Früher(tm) wurden Netbus, BO & Co über "getarnte" Spiele via ICQ versendet ;)
Aber zu der Zeit sah man auch via ICQ die IP und incoming connections waren kein Problem. Die Software so zu "verteilen" ist aber sicher nach wie vor möglich. Sieht man ja auch immer wieder in Unternehmensnetzen, wo Social Engineering eine gern genommene Methode ist.
 

mr hyde

Lieutenant
Dabei seit
Okt. 2012
Beiträge
897
Im besten Fall weiß chip.de gar nicht so genau, was für Schund (mit Backdoors?) Drittfirmen da in der Adware dieses "chipinstallers" verstecken. Den schlechtesten Fall formuliere ich lieber nicht aus.

Ich habe vor Jahren drei Mal die PCs meiner Eltern vor allerlei Trojanern "reinigen" müssen, zweimal wurde massenhaft Spam über die Emailclients verschickt. Jedes Mal konnte ich den Beginn der Probleme zeitlich mit der Installation des chip-Installers in Verbindung bringen (auch wenn das kein forensischer Beweis ist). Mittlerweile habe ich meinen Eltern den Besuch der Seite nachhaltig abgewöhnt.

Ich halte es deshalb gar nicht für so unwahrscheinlich, dass der auch hier den Startpunkt gesetzt hat.
 

ergibt Sinn

Lt. Commander
Dabei seit
Jan. 2019
Beiträge
1.498

foo_1337

Captain
Dabei seit
Sep. 2020
Beiträge
3.827
Anzeigen lassen (jedes einzelne!? und in jedem Browser) und abschreiben/screenshotten/copypasten ist "etwas" mehr aufwand als ein Tool auszuführen und das Textfile, was generiert wird zu transferieren.
Edit: Gilt nicht für Chrome, denn da gibt es eine Export Funktion. Aber das ist halt nur einer von potentiell mehreren Browsern auf dem System
 

Schaby

Rear Admiral
Dabei seit
Apr. 2008
Beiträge
5.882
Ich sags mal kurz. Mal wieder Chip.de. Es gibt keine Seite die so offensichtlich Schadsoftware installiert wie von Chip. Und Chip.de wissen genau was sie da machen. Wenn mal etwas mitinstalliert wird, aber in allen Downloads ist das Zeug drin und da fließt bestimmt ne menge Geld an Chip.de.
 

ergibt Sinn

Lt. Commander
Dabei seit
Jan. 2019
Beiträge
1.498

Ähnliche Themen

Top