Verdacht auf Ausspähsoftware auf Laptop eines Bekannten

[jurrasstoil]

Hey,

ein Bekannter vermutet, dass auf seinem neuen Laptop Spähsoftware durch einen Mitbewohner installiert wurde. Der Bekannte ist technisch nicht sonderlich versiert, dem Mitbewohner ist die Tat aufgrund voriger Ereignisse durchaus zuzutrauen, ist aber auch nur minimal besser informiert als der Bekannte.

Nun soll ich also als jemand der "PC kann", anrücken und etwaige Hintertürchen, etc. ausmachen und ausmerzen. Bin kein Digitalforensiker oder Cybersecurity Experte und meine Höhlenmenschenmethodik wäre jetzt einfach eine Rescue Disk a la Avira gewesen, Scan drüberjagen und dann unter Windows noch mal mit Emisoft Emergency Kit oder Malwarebytes hinterher. Autostart, Dienste, etc. nach Ungewöhnlichem durchforsten und wenn sich absolut nichts findet, zur Not format c:.

Ratschläge, Tipps oder kleine Progrämmchen zum Aufstöbern von solchem Spähgedöns?

Besten Dank im Voraus

 

[Skudrinka]

Ratschläge

Platte formatieren, OS neu installieren.
Fertig.

 

[Fujiyama]

Ich würde da gar nicht lang fackeln oder mit irgendwelchen Software Herumfuhrwerken. Einfach die Kiste neu installieren und gut ist. Genau so ist auch der branchenübliche Standard.

 

[K3ks]

Und dann den Zugang zum System erschweren, keine Ahnung, Win Login mit MFA und Bitlocker via USB-Keys? Keine Ahnung, musst halt gucken...😓
E: rephrased

EE: Auch: Zugang zu dem Laptop physisch unterbinden. Z.B. liegt der nur im abgeschlossenen WG-Zimmer, evtl. das Schloss wechseln... 😓

 

[Tr8or]

Platte formatieren, OS neu installieren.

Und anschließend mit Passwort absichern.

Ein kleines dummes BIOS und Windows Passwort reicht zu 99% schon um solche Leute auszusperren.

 

[midwed]

+1 für "Formatieren und Betriebssystem sauber (ergo neu) installieren".

Jedes andere Vorgehen wäre nicht konsequent genug und würde keine zufriedenstellende Lösung bringen; das punktuelle "rumgefrickel" bringt keine defintive Klärung des Problems.

Vorab noch Daten sichern, sofern möglich/gewünscht.

Generelles zur Thematik "Backup(s):
# Häufige Fehler bei Backups vermeiden Guide (Beitrag @Dr. McCoy)
# 3-2-1-Backup-Regel: Was ist das und warum sollte man sich daran halten? (proton.me-Blog)
# Backup-FAQ So wird die Datensicherung zum Kinderspiel (Update 2025) (sponsored Content @ HWL)
# Datensicherung und Datenverlust (bsi.bund.de)
# Datensicherung – wie geht das? (bsi.bund.de)
# Back-up: Doppelt gesichert hält besser (bsi.bund.de)
# So richten Sie mit wenigen Klicks eine Datensicherung ein (verbraucherzentrale.de)

Relevanter Lese- und Arbeitsstoff zur Thematik "Cybersicherheit" bzw. "Sicherheit am PC":
# Wichtige Maßnahmen zur Absicherung von Accounts im Web (Beitrag von @Dr. McCoy)
# Methoden der Cyber-Kriminalität (Bundesamt für Sicherheit in der Informationstechnik)
# Schadprogramme erkennen und sich schützen (Bundesamt für Sicherheit in der Informationstechnik)
# Spam, Phishing & Co (Bundesamt für Sicherheit in der Informationstechnik)
# Identitätsdiebstahl durch Datenleaks und Doxing (Bundesamt für Sicherheit in der Informationstechnik)
# Notfallplan gehacktes E-Mail-Konto - Hilfe für Betroffene (Bundesamt für Sicherheit in der Informationstechnik)
# Sicherheit beim Onlineshopping (Bundesamt für Sicherheit in der Informationstechnik)

 

[ICH2009]

Neu installieren:
Linux Mint (Office) oder Nobara (Gaming) installieren, ohne Passwort macht man da gar nichts. Ein Windows System ist schnell geknackt. Utilman.exe - mehr muss man wohl nicht sagen.

Das Avira längst tot ist... weil der Name noch fiel.

 

[BFF]

dass auf seinem neuen Laptop Spähsoftware durch einen Mitbewohner installiert wurde.

Das bringt man gewoehnlich zu Anzeige und laesst die Forensiker der Polizei das machen.
Im Umkehrschluss koenntest Du belangt werden wegen Vernichten von Beweismitteln wenn es ganz daemlich laeuft.

Anyway.
Wenn Ich das machen muesste, wuerde ich mit einen Stick die Kiste booten, ein Image ziehen, den/die Datentraeger loeschen und das OS frisch installieren. Dateien kann man spaeter aus dem Image retten.

 

[Key3]

Also das einzig richtige ist hier wie schon gesagt:

• Windows neu installieren
• Passwort/PIN vergeben
• Zeit bis zum sperren des Rechners auf einen kleinen Wert (1min!?), was noch nützlich vertretbar ist für ihn
• Windows und Defender immer aktuell halten (also am besten die Updates konfigurieren und Nutzungszeit hinterlegen und automatischer Neustart dafür an machen etc.)

 

[Thorakon]

Sorry, aber die Ratschläge "einfach alles plattmachen" sind haftungsmäßig Unsinn. Das geht nur wenn du sicher bist das ein Backup aller nötigen Daten existiert (oder alle Daten echt egal sind) sonst ist es "vom Regen in die Traufe". Bei dem Hintergrund (kaum IT-Kenntnis, PC evtl. manipuliert) erwarte ich das nicht unbedingt.
Wenn es nicht existiert würde ich eher Virenscans nach bestem Wissen und Gewissen machen (z.B. mit so Live-Stick wie eingangs schon von dir vorgeschlagen). Und dann halt ehrlich sagen: Restrisikio bleibt immer, sichere evtl. kritische Dateien und dann nochmal neu aufsetzen.

Oder wie BFF schreibt, direkt Image (durchsuchbares!) machen und von dort aus weiterarbeiten.

PS: Wenn Zugang zum PC physikalisch unzugänglich gemacht wird und die Kiste vom Internet getrennt ist (Netzwerkkabel ziehen, WLAN Karte ausbauen o.ä.) kann die Spähsoftware erstmal nix an den Mitbewohner melden.

 

[SaschaHa]

• Schritt 1: Daten extern sichern und System platt machen (formatieren)
• Schritt 2: Neu einrichten und gesicherte Datenwiederherstellen
• Schritt 3: Sicheres Passwort setzen
• Schritt 4: Mitbewohner entsorgen

Letzteres ist wohl der wichtigste Schritt

 

[Mastermind161]

Der Bekannte ist technisch nicht sonderlich versiert

Aber hat Pegasus genutzt... ? Wenn Ahnungslosigkeit und Paranoia aufeinander treffen.

 

[Jarhead91]

Platt machen, Stock Ubuntu Desktop drauf, Ende.

Alles andere is vergebene Mühe in so einem Fall.

 

[K3ks]

Sorry, aber die Ratschläge "einfach alles plattmachen" sind haftungsmäßig Unsinn. Das geht nur wenn du sicher bist das ein Backup aller nötigen Daten existiert (oder alle Daten echt egal sind) sonst ist es "vom Regen in die Traufe".

Nein, komplett richtiger Ratschlag falls die Polizei nicht (auf Verdacht) eingeschaltet werden soll, Backups müssen sowieso IMMER vorhanden sein.

Bei dem Hintergrund (kaum IT-Kenntnis, PC evtl. manipuliert) erwarte ich das nicht unbedingt.

🤷‍♂️
Müssen trotzdem vorhanden sein, ob die das dann sind, naja, OPs Kumpel/ine lernt dann was.

Restrisikio bleibt immer, sichere evtl. kritische Dateien und dann nochmal neu aufsetzen.

Nicht wenn Backup vorhanden und man das Sys bügelt.

Oder wie BFF schreibt, direkt Image (durchsuchbares!) machen und von dort aus weiterarbeiten.

🫣
Wir waren doch bei "kennt sich nicht aus" oder so? ^^

 

[Burki73]

Du müsstest vorher schon wissen, was der Mitbewohner gemacht hat.

Im schlimmsten Falle nämlich nichts ! Der Laptop Nutzer behauptet dieses oder jenes, aber vieleicht wurde garnichts installiert, an Spähsoftware.

Klar kannste den Laptop auch neu aufsetzen, wie hier schon erwähnt wurde. Aber der Mitbewohner installiert dann seine Spähsoftware neu. Oder hat der keinen Zugang mehr, zum Laptop? Sowas müsste doch vorher geklärt werden.

 

[K3ks]

Im schlimmsten Falle nämlich nichts !

^^ Ich würde auch mal beschuldigt: X funktioniert wieder, praise the Lord! Aber ich hatte X nicht repariert... 🫣 Anyway, shitepost aside, schwierig halt wenn unsicher, aber schon bei Verdacht Post #2/#3 und dann das gerät absichern. E: fix'd

EE:

Aber hat Pegasus genutzt... ?

?
Die "gängige" Spyware?
E3: Nichts sieht in OPs History oder im OP auch nur irgendwie in die richtig aus, von was redest du? ^^ Im OP steht halt nur "Kumpel hat verdacht dass Mitbeweohner Spyware installiert hat" - bis auf Spyware sehe ich keinen Zusammenhang zu Pegasus. 🥴

 

[ICH2009]

würde ich eher Virenscans nach bestem Wissen und Gewissen machen

Ein Virenscanner erkennt hilft dir nichts, es gibt viele Prozesse die z.B. schon im Autostart liegen können, Windows redet wie ein Wasserfall. Ein Script mit einem Namen im Autostart, fällt dem Ottonormalverbraucher gar nicht auf.

Wobei das wohl zu umständlich wäre, ich würde mir einfach die im Browser gespeicherten Passwörter holen. F12 hilft mir.

 

[purzelbär]

Melde dich im Trojaner Board an wenn du Zugang zum Laptop deines Bekannten hast und lasse dort nach Anweisungen des Helfers dort das Laptop überprüfen.

 

[Thorakon]

Nicht wenn Backup vorhanden und man das Sys bügelt.

Auch in den Dateien des Backups könnte ein Virus etc. noch stecken, v.a. wenn du den Infektionszeitpunkt nicht kennst. Je nach Dateityp natürlich mehr oder weniger riskant. Dann gibt es theoretisch auch noch Rootkits bei denen selbst Neuinstallation vergebens wäre, aber wir sind uns denke ich einig, dass das bei dem Fall hier nicht Szenario Nr. 1 auf der Wahrscheinlichkeitsliste ist.

Wir waren doch bei "kennt sich nicht aus" oder so? ^^

Der TE solls ja machen und kennt sich etwas mehr aus als der Anwender.

Ein Virenscanner erkennt hilft dir nichts, es gibt viele Prozesse die z.B. schon im Autostart liegen können, Windows redet wie ein Wasserfall. Ein Script mit einem Namen im Autostart, fällt dem Ottonormalverbraucher gar nicht auf.

Wenn du vom Livesystem-Bootmedium scannst ist der Autostart des gescannten Systems problemlos mit durchsuchbar. Das System welches gescannt wird, wird nicht gebootet!
Klar, wenn der Mitbewohner selbst ein Skript geschrieben hat das der Virenscanner nicht erkennt, dann fällt das ggf. nicht auf. Aber der soll ja eigentlich nicht wirklich IT-affin sein.

 

[mchawk777]

Ratschläge, Tipps oder kleine Progrämmchen zum Aufstöbern von solchem Spähgedöns?

Das Ganze hört sich schon etwas fishy an - als ob das mehr Paranoia als Realität vorhanden wäre. 🤔

Die spannende Frage wäre eher, woran Dein Bekannter das Ganze fest macht. Warum und aus welchen Gründen vermutet er es.

Ohne das zu kennen, könnte das eine Jagt nach etwas nicht existierendem sein. 🤷‍♂️

Generell: Aktuell dürfte die neueste Version von desinfec't noch erhältlich sein. (Im c't-Magazin)
Ein Tool, was ein "ständiger Begleiter" auf meinen Notfall-Werkzeug-USB-Sticks ist.