Hallo,

mein Papa wendete sich gerade an mich, weil er einer Masche auf den Leim gegangen ist. Ein vermeintlicher Microsoft Techniker (Tel: +18593555275) schaltete sich auf seinen Rechner und wollte ihm mit einer Menge Blödsinn weismachen, dass sein Laptop (Windows 7) infiziert sei und Spam verschicke. Eigentlich ist er technisch nicht ganz unversiert und auch nicht leichtsinnig, aber da sein Laptop tatsächlich Probleme macht, ist er in einem Moment der Unvorsichtigkeit drauf reingefallen. Er reist viel in Asien und tauscht Daten via USB Stick mit Internet Cafes dort aus, was in meinen Augen ein riesen Infektionsrisiko ist. Er konnte selbst sogar beobachten, dass sein Rechner teilweise 500MB Netzwerk-Traffic nach dem Boot hat. Mit diesem Wissen im Hinterkopf ist er eben auf den Anruf reingefallen. Der Anrufer hat sich Remot aufgeschaltet und als erstes Avast deaktiviert, ein paar Sachen (u.a. Ammyy) installiert und bspw. den Windows Event Log geöffnet oder assoc.exe ausgeführt, um irgendeinen Output zu erzeugen und diesen dann als gefährlich zu verkaufen. Erst als er 130€ für eine Bereinigungssoftware haben wollte, dämmerte es meinem Vater, woraufhin er sofort auflegte und den Rechner vom Strom nahm.

Es handelt sich um den Firmen Laptop seines kleinen Familienbetriebes. Natürlich hat er auch wichtige Daten auf dem Laptop, die er gerade auf Festplatte sichert. Zu Weihnachten wollte er sich (unabhängig davon) einen neuen Laptop kaufen.

Ich möchte ihn über Weihnachten, wenn ich nach Hause fahre, gern bei der Migration unterstützen. Mir schwirren jetzt folgende Fragen durch den Kopf:
- Wie konnte sich der Anrufer das erste Mal mit dem Laptop verbinden?
- Kann er es wieder tun?
- Gibt es einen Weg, sicher zu stellen, dass die gesicherten Daten nicht schon infiziert sind und den neuen Laptop dann auch befallen? Wie hoch ist hier die Wahrscheinlichkeit?
- Die Laptops meiner Schwestern (und auch meiner bald) sind im selben Netzwerk. Besteht Gefahr für uns?
- Gibt es allgemeine Tipps, was man in solchen Situationen als erstes machen sollte? Erst-Hilfe Maßnahmen sozusagen?

LG

Flo

Zitat:

1. Wie konnte sich der Anrufer das erste Mal mit dem Laptop verbinden?
2. - Kann er es wieder tun?
3. - Gibt es einen Weg, sicher zu stellen, dass die gesicherten Daten nicht schon infiziert sind und den neuen Laptop dann auch befallen? Wie hoch ist hier die Wahrscheinlichkeit?
4.- Die Laptops meiner Schwestern (und auch meiner bald) sind im selben Netzwerk. Besteht Gefahr für uns?
5.- Gibt es allgemeine Tipps, was man in solchen Situationen als erstes machen sollte? Erst-Hilfe Maßnahmen sozusagen?

1. Remote-Software
2. Möglich
3. Kann ohne Detailinformationen nicht seriös beantwortet werden
4. Eher unwahrscheinlich.
5. Thread im Trojaner-Board eröffnen.

Wenn Du mir Logs vom betroffenen Rechner posten könntest, kann ich u.U. mehr sagen.
Ein direkter Zugriff ist aber etwas anderes als eine Trojaner-Infektion im klassischen Sinne.

Ich werde sehen, was ich so alles rausbekomme, wenn ich da bin.

Zu Frage 1):
Angeblich war vorher keine Remote Software installiert. Außer es gibt irgendwelche Standard Windows Software, die vorinstalliert ist. Trotzdem hätte mein Vater ja etwas bestätigen müssen oder der User des Remotezugriffs authorisiert sein. Ich war blöderweise nicht dabei und kann nur seine Erzählung wiedergeben.
Aber in jedem Fall musste der Angreifer ja irgendwie die Telefonnummer dem Laptop zuordnen können. Wie kann er, wenn er zufällig irgendwelche Leute anruft, dann noch den richtigen Laptop finden, um sich draufzuschalten?

Zitat:

Zitat von lalischen

Aber in jedem Fall musste der Angreifer ja irgendwie die Telefonnummer dem Laptop zuordnen können. Wie kann er, wenn er zufällig irgendwelche Leute anruft, dann noch den richtigen Laptop finden, um sich draufzuschalten?

Ohne Bekanntgabe von Zugangsdaten und/oder Download von Remote-Software geht's nicht.