Verdacht auf Ausspähsoftware auf Laptop eines Bekannten

[jurrasstoil]

Hey,

ein Bekannter vermutet, dass auf seinem neuen Laptop Spähsoftware durch einen Mitbewohner installiert wurde. Der Bekannte ist technisch nicht sonderlich versiert, dem Mitbewohner ist die Tat aufgrund voriger Ereignisse durchaus zuzutrauen, ist aber auch nur minimal besser informiert als der Bekannte.

Nun soll ich also als jemand der "PC kann", anrücken und etwaige Hintertürchen, etc. ausmachen und ausmerzen. Bin kein Digitalforensiker oder Cybersecurity Experte und meine Höhlenmenschenmethodik wäre jetzt einfach eine Rescue Disk a la Avira gewesen, Scan drüberjagen und dann unter Windows noch mal mit Emisoft Emergency Kit oder Malwarebytes hinterher. Autostart, Dienste, etc. nach Ungewöhnlichem durchforsten und wenn sich absolut nichts findet, zur Not format c:.

Ratschläge, Tipps oder kleine Progrämmchen zum Aufstöbern von solchem Spähgedöns?

Besten Dank im Voraus

 

[K3ks]

Auch in den Dateien des Backups könnte ein Virus etc. noch stecken, v.a. wenn du den Infektionszeitpunkt nicht kennst.

Das ist richtig. ^^ Es wäre halt schön wenn DAUs eine Rotation hätten, aber wenn die ältesten Bups halt nicht lang genug her sind... Tja.

 

[mchawk777]

Sorry, aber die Ratschläge "einfach alles plattmachen" sind haftungsmäßig Unsinn.

Alte Regel: Beiträge, die ohne weitere Infos und Analyse sofort eine Neuinstallation empfehlen immer(!) ignorieren. Im Zweifel hat man viel Arbeit für nix und ggf. sogar Datenverlust. 🤷‍♂️

 

[iSight2TheBlind]

Nebenschauplatz: Wenn ein Mitbewohner so tiefen Zugriff auf das System hatte, dass er einen Trojaner/Überwachungssoftware hätte installieren können, dann hatte er auch Zugriff auf den Passwortmanager der Browsers etc., d.h. alle Passwörter sind als verbrannt anzusehen und sollten geändert werden.
Außerdem: Wenn der Mitbewohner Zugriff auf den PC hat und Software installieren könnte, dann kann er auch einen Keylogger installieren. Entweder als Software, eventuell aber auch einfach als Hardware. Wenn also eine separate Tastatur genutzt wird, einmal überprüfen ob die auch direkt mit dem Laptop verbunden ist ober ob ein Keylogger-"Kästchen" dazwischen die eingaben mitloggt und hin und wieder mal vom Mitbewohner ausgelesen wird.

 

[ICH2009]

Wenn du vom Livesystem-Bootmedium scannst ist der Autostart des gescannten Systems problemlos mit durchsuchbar. Das System welches gescannt wird, wird nicht gebootet!

Bringt dir gar nichts, denn es gibt benutzerdefinierte Scripts, die sind gewollt. Kein Virenscanner sagt da etwas. Da schaut auch kein Benutzer nach, viele kennen die Aufgabenplanung nicht,...

Wenn du eine OPNsense (CE) im Heimnetz hast, evtl. IPS oder IDS, aber da muss man seine Landschaft schon sehr gut kennen, die erhaltenen Informationen auch verarbeiten zu können. Zum Test Funktion scharf schalten und dann jeden Pups erlauben: https://docs.opnsense.org/manual/ips.html

Läuft auf einem Mini PC mit 2x LAN Port (max. 120€, siehe MyDealz).

 

[Thorakon]

Bringt dir gar nichts, denn es gibt benutzerdefinierte Scripts, die sind gewollt. Kein Virenscanner sagt da etwas. Da schaut auch kein Benutzer nach, viele kennen die Aufgabenplanung nicht,...

Dann bringt der Scan trotzdem was, nämlich die Info, dass du vermutlich die wichtigen Dateien vom vermeintlich Trojaner-verseuchten System nach einer Neuinstallation wiederherstellen kannst. Wenn du dem Mitbewohner diese Skripte zutraust (für mich hier ein großes ?), dann kannst du so das Restrisiko verringern.

Neuinstallation kann natürlich Sinn machen, nur ohne Frage nach dem Backup ist das halt etwas "meh".
Evtl. sogar strafbar: https://www.gesetze-im-internet.de/stgb/__303a.html (dies ist keine Rechtsberatung).

 

[PC295]

einfach eine Rescue Disk a la Avira gewesen, Scan drüberjagen und dann unter Windows noch mal mit Emisoft Emergency Kit oder Malwarebytes hinterher

Solche Programme müssen nicht zwangsläufig als Malware erkannt werden, Betrüger verwenden z.B. handelsübliche Fernwartungsprogramme um Rechner der Opfer zu steuern.

Autostart, Dienste, etc.

Hierzu kannst du autoruns nehmen um alles Übersichtlich aufzulisten.

Außerdem kannst du in den Ordneroptionen die Anzeige der versteckten Dateien und Ordner aktivieren und typische Ordner für Programminstallationen und Dateien durchsuchen:
C:\Program Files\
C:\Program Files (x86)\
C:\ProgramData\
%appdata%
%localappdata%

Auch in der Registry:
HKEY_CURRENT_USER\Software
HKEY_CURRENT_USER\Software\Wow6432Node
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node

Mit dem Nirsoft Paket kannst du auch viele Aktivitäten überprüfen.
Windows speichert sehr viele Informationen während der Nutzung, auch mit Datum und Uhrzeit.
-> LastActivityView (zeigt u.a. zuletzt installierte Software und ausgeführte Anwendungen)
-> ShellBagsView (zeigt zuletzt geöffnete Ordner)
-> USBDeview und USBDriveLog (zeigen zuletzt angeschlossene USB-Geräte)

 

[areiland]

Utilman.exe - mehr muss man wohl nicht sagen.

Willkommen im 21. Jahrhundert, die Utilman Methode geht schon lange nicht mehr. Aber mal einen raushauen!

 

[jurrasstoil]

Besten Dank für die Auskünfte.

Mittlerweile war der Bekannte (ein Nachbar meiner Mutter, welche meine Dienste feilgeboten hatte) mit dem Laptop hier und hatte zusätzliche Infos, die meiner Mutter entweder nicht bekannt waren oder die sie schlicht vergessen hatte zu erwähnen. Scheinbar war er damit schon bei einem Experten gewesen, der entsprechende Manipulationen festgestellt hatte und dann verweigerte daran irgendwelche Änderungen vorzunehmen, weil es halt Beweismaterial wäre. Weitere Details spare ich mir mal. Den Laptop habe ich dann natürlich auch nicht angerührt.

Edit: Nicht sicher ob der Begriff "Ausspähsoftware" bei manchen für Verwirrung gesorgt hatte, aber es ging darum, dass der Mitbewohner den Bekannten ausspioniert, nicht dass hier irgendein Trojaner eines Geheimdienstes installiert wurde. Der Mitbewohner hat vorher schon ein mal seiner Ex-Frau hinterher spioniert.

 

[BFF]

bei einem Experten gewesen, der entsprechende Manipulationen festgestellt hatte und dann verweigerte daran irgendwelche Änderungen vorzunehmen, weil es halt Beweismaterial wäre.

Eigentlich haette er noch nicht mal pruefen sondern den Bekannten zur Polizei schicken sollen.

Den Laptop habe ich dann natürlich auch nicht angerührt.

Beste Entscheidung. 👍

 

[K3ks]

Polizei

dies
und imo /thread

 

[mchawk777]

Scheinbar war er damit schon bei einem Experten gewesen, der entsprechende Manipulationen festgestellt hatte und dann verweigerte daran irgendwelche Änderungen vorzunehmen, weil es halt Beweismaterial wäre. Weitere Details spare ich mir mal. Den Laptop habe ich dann natürlich auch nicht angerührt.

Die Handlung des "Experten" wäre dann nachvollziehbar, wenn der Betroffene tatsächlich juristische Schritte unternehmen will
"Irgendwelche Änderungen" ist natürlich Wischiwaschi und hat keinerlei Aussagekraft.

ABER: Wenn der Eigentümer des Rechners ausdrücklich auf eine Neuinstallation besteht, dann würde ich diese auch durchziehen - würde mir das aber im Zweifel schriftlich bestätigen lassen:
Denn: Selbst wenn man den Rechner neu aufsetzt besteht nach wie vor die Gefahr, dass dieser wieder infiltriert wird.
Und: Es ist nach wie vor gar nicht gesagt, dass dies der Fall ist. Dafür gibt es zumindest in diesem Thread genau Null konkrete Hinweise.

Edit: Nicht sicher ob der Begriff "Ausspähsoftware" bei manchen für Verwirrung gesorgt hatte, aber es ging darum, dass der Mitbewohner den Bekannten ausspioniert, nicht dass hier irgendein Trojaner eines Geheimdienstes installiert wurde. Der Mitbewohner hat vorher schon ein mal seiner Ex-Frau hinterher spioniert.

Schon klar, dass hier keine professionelle Spionagesoftware der Geheimdienste am Werk ist.
Staatstrojaner & Co. werden in einem nur sehr engen Kreis eingesetzt, damit sie möglichst wenig Aufsehen erregen.
Dazu müsste der Bekannte schon definitiv die freiheitlich-demokratische Grundordnung gefährden. Also: Er muss es tun - nicht nur wollen. 😉

Anyway: Paranoia ist hier alles andere als auszuschließen - zumindest solange keine konkreten Messwerte vorliegen - z. B. mit einem vollständigen Scan durch desinfec't. Der scannt das gesamte System von außen und das mit 4 Scannern. Wenn der nix findet würde ich mir keinen weiteren Kopf machen.

 

[ICH2009]

Willkommen im 21. Jahrhundert, die Utilman Methode geht schon lange nicht mehr. Aber mal einen raushauen!

Letztes (oder vorletztes) Jahr noch anwenden müssen, User vergaß sein Passwort, das YouTube Video findet man leicht. W11 Pro x64 Client

Freut mich aber, wenn es wirklich gefixt wurde. Aber hast zu seiner Zeit sicherlich einfach mal rausgehauen, wie easy man W11 knacken konnte.
Ob's noch geht, muss man testen.

• https://www.windowspro.de/wolfgang-...-windows-11-server-core-offline-zuruecksetzen
• https://www.easeus.de/partitionieren-tipps/windows-11-kennwort-zuruecksetzen-ohne-anmeldung.html