Trojaner und keine Ahnung wo der her kommt.
- Ersteller wern001
- Erstellt am
me@home
Lieutenant
- Registriert
- Dez. 2017
- Beiträge
- 938
wern001 schrieb:
WOW !CoMo schrieb:
EDV Abteilung einschalten, dass die dir das wieder sauber machen...
Falls doch "nur" privat PC ist, dann unbedingt alles platt machen, wäre mir hier viel zu gefährlich nach monatelangem Hacker am PC haben....
thealex schrieb:
Das ist der Weg(tm). Und nicht anders.
Ggf. kann man ein bekannt sicheres (!) Backup zurück spielen. Aber nach dem das schon seit Januar läuft, eher unwahrscheinlich.
Sieht ja auch alles danach aus, als wäre das Problem hausgemacht...
Bruzla
Commodore
- Registriert
- Okt. 2013
- Beiträge
- 4.386
Es gibt schlicht keine Alternative zur sauberen Neuinstallation + alle Kennwörter ändern.
Wenn betriebliches Umfeld: alle möglichen Leute benachrichtigen: IT sowieso, intern oder extern, ggf. Datenschutzbeauftragten, Incident-Manager, was auch immer.
Wenn ich das höre... "das dauert aber 5-6h bis alles wieder drauf ist"... das ist 1. sowieso völlig übertrieben und 2. egal, weil man in so einer Situation keine andere Option hat.
Wenn betriebliches Umfeld: alle möglichen Leute benachrichtigen: IT sowieso, intern oder extern, ggf. Datenschutzbeauftragten, Incident-Manager, was auch immer.
Wenn ich das höre... "das dauert aber 5-6h bis alles wieder drauf ist"... das ist 1. sowieso völlig übertrieben und 2. egal, weil man in so einer Situation keine andere Option hat.
- Registriert
- Mai 2017
- Beiträge
- 9.208
das primocache hatte ich mal ausprobiert zeitraum überschritten wegen krankheit, vergessen zum testen crack drauf gemacht zum test aber brachte absolut keine besserung. War mal vor 2-3 jahren.
Das ist mein Privat und Arbeitsrechner.
und ja hab hier einen exchange am laufen.
und ja ich hab hier einen debian squid Proxy am laufen der PC kann keinen Ping ins Internet machen da das Gateway nicht der Router ist. Alles was nicht Proxy fähig ist bekommt per DHCP eine manuelle Route
und ja die DNS Adresse ist richtig.
Windows Updates laufen über WSUS und ist auf dem aktuellen stand und alle 6 Stunden aktualisiert.
hab das emp.bin mal per hexeditor geöffnet. das was ich da sehen konnte war unter anderem CPU model
passwörter ändern bin ich mitten drin und alles wichtige ist 2fa
und ja ich brauch ca 5 stunden bis das ding wieder läuft. alleine mein LFP drucker mit den ganzen ICC profilen ist immer ein kleines Drama.
Das ist mein Privat und Arbeitsrechner.
und ja hab hier einen exchange am laufen.
und ja ich hab hier einen debian squid Proxy am laufen der PC kann keinen Ping ins Internet machen da das Gateway nicht der Router ist. Alles was nicht Proxy fähig ist bekommt per DHCP eine manuelle Route
und ja die DNS Adresse ist richtig.
Windows Updates laufen über WSUS und ist auf dem aktuellen stand und alle 6 Stunden aktualisiert.
hab das emp.bin mal per hexeditor geöffnet. das was ich da sehen konnte war unter anderem CPU model
passwörter ändern bin ich mitten drin und alles wichtige ist 2fa
und ja ich brauch ca 5 stunden bis das ding wieder läuft. alleine mein LFP drucker mit den ganzen ICC profilen ist immer ein kleines Drama.
Zuletzt bearbeitet:
- Registriert
- Mai 2017
- Beiträge
- 9.208
da der infekt ca 4 Monate her ist bringt ein aktuelles Backup gar nichts.
Mein ältestes Backup ist vom 1.2.2026. Es wird jeden 1. des Monats ein komplett backup (image per acronis) erstellt.
Bitdefender komplett scan ist ohne mängel durch.
Das komische Romex ist auch weg
gerade läuft noch f-secure online scan
Mein ältestes Backup ist vom 1.2.2026. Es wird jeden 1. des Monats ein komplett backup (image per acronis) erstellt.
Bitdefender komplett scan ist ohne mängel durch.
Das komische Romex ist auch weg
gerade läuft noch f-secure online scan
Zuletzt bearbeitet:
mchawk777
Lt. Commander
- Registriert
- Okt. 2024
- Beiträge
- 1.726
Aaaalso - ich habe mir jetzt nicht alles durchgelesen.
Aber: Das Blocken einer Website (was BitDefender hier gemacht hat) hat nichts mit Visual C++ zu tun.
Die ist ziemlich üblich auf Windows-Installationen, wo mehr als das nackte Betriebssystem drauf läuft.
Wenn Du aber einen Virenverdacht hast (was nicht meine Meinung ist!) , ist es eh egal - entweder:
Aber: Das Blocken einer Website (was BitDefender hier gemacht hat) hat nichts mit Visual C++ zu tun.
Die ist ziemlich üblich auf Windows-Installationen, wo mehr als das nackte Betriebssystem drauf läuft.
Wenn Du aber einen Virenverdacht hast (was nicht meine Meinung ist!) , ist es eh egal - entweder:
- Windows neu installieren und dabei alle(!) Partitionen des Systemdatenträgers löschen oder
- Image-Backups des Datenträgers verwenden, wenn Du so klug warst, welche anzulegen.
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 36.609
Dann sieh wenigstens zu, dass Du die/deine Online Welt (nochmal) absicherst. Von einem anderen Geraet.
Am besten von einem was nicht in Deinem Netzwerkkonstrukt ist.
Wenn da noch andere Geraete sind pruef die auch.
Bei Dir kann u.U. ueber die Laufzeit Einiges an Zugangsdaten (inklusive 2FA Tokens) abgeflossen sein.
Haettest Du aber tun sollen. 🤷♂️
Am besten von einem was nicht in Deinem Netzwerkkonstrukt ist.
Wenn da noch andere Geraete sind pruef die auch.
Bei Dir kann u.U. ueber die Laufzeit Einiges an Zugangsdaten (inklusive 2FA Tokens) abgeflossen sein.
Ergänzung ()
mchawk777 schrieb:
Haettest Du aber tun sollen. 🤷♂️
RedPanda05
Captain
- Registriert
- Nov. 2024
- Beiträge
- 3.132
Jedes einzelne Mal (wenn es etwas länger ist) fängst du so an. Lass es doch einfach bleiben, wenn du dich mit dem Problem nicht auseinandersetzen willst. Das hilft einzig deinem Mitteilungsbedürfnismchawk777 schrieb:
- Registriert
- Mai 2017
- Beiträge
- 9.208
die screenconnect.clientservice.exe hat sich als Visual C++ ausgegebenmchawk777 schrieb:
Wurde unter dem Namen MS Visual C++ installiert
hat einen dienst mit dem namen Visual C++ erstellt
und unter dem Ordner c:\Program Files (x86)\Windows VC\ beheimatet.
Bin gerade noch am überprüfen der andern PCs ob da was drauf ist.
wern001 schrieb:
Gut; es ist nichts wirklich neues, daß Malware sich als Systembaustein ausgibt.
Hatte auf dem Rechner einer Bekannten vor ein paar Jahren eine Malware, die sich als 'DirectX.exe' eintrug...
Das Teil, das du da hattest, stammt im Nebel nicht von Microsoft.
Wie kommst du zu dem Schluss?Dr. Chaos schrieb:
Und genau diese Software hat sich halt als VC getarnt.Dr. Chaos schrieb:
Siehe auch zB https://x.com/SquiblydooBlog/status/1993295702819324061
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 36.609
mchawk777 schrieb:
Wenn Du richtig mitliest, merkst Du die richtige Stroemung. 😉
mchawk777 schrieb:
Den Rest kannst Du ignorieren oder erst garnicht aufschlagen mit dem Anspruch garnicht alles gelesen zu haben. Ist so. Und deswegen brauchst Du nicht gleich ranten.
wern001 schrieb:
Das ist oft einfacher als gedacht mit geklauten Zertifikaten und wenn der Nutzer zusaetzlich auch noch bei der UAC Anfrage abnickt oder diese gaenzlich deaktiviert hat. 🤷♂️
Geklaute Zerifikate passieren. Liest man oefters.
Ob das bei Dir zutrifft vermag ich nicht zu bestimmen.
Am Ende musst Du versuchen die eventuele Quelle zu bestimmen. Und ja. Aufraeumen!
chrigu
Fleet Admiral
- Registriert
- Mai 2012
- Beiträge
- 33.770
ich wäre nicht überrascht, wenn man sowas nutzt, das auch infiziert wird, mit adminrechten. dabei wird der bitdefender ausgehebelt. wahrscheinlich lief das ding die ganze zeit und erst seit januar wurde bitdefender neu installiert oder eine neue version hat das missgeschick aufgedeckt.wern001 schrieb:
sowieso ist es fragwürdig einen laptop den man privat wie auch geschäftlich nutzt mit "cräck" zu behandeln. An deiner stelle würde ich mal mit der Firmen IT plaudern und beichten.
