Hallo liebe Community!

Meine Freundin ist heute auf einen Scamming-Anruf reingefallen. Die falsche Support-Mitarbeiterin hat sie dazu gebracht, folgende Software zu installieren: UltraViewer und support-logmeinrescue

Sie hat einen Remote-Zugriff aufgebaut und wollte sie dazu drängen, Ihre Zahlungsdaten preiszugeben. Meine Freundin erinnert sich nicht mehr genau, was sie alles über Remote-Zugriff gemacht hat: Irgendwas im Browser und irgendwas in der Console, vermutlich über "cmd". Als Sofortmaßnahme haben wir ihren Rechner von Netz getrennt und unsere Router und W-LAN Passwörter resettet. Sie hat ihre PW in Bitwarden gespeichert und das war nicht geöffnet zum Zeitpunkt des Anrufs. Ich vermute aber, dass sie ihr einen Trojaner, Keylogger o.ä. aufgespielt haben.

Was würdet Ihr raten: Rechner platt machen und Neuinstallation oder gemeinsam mit Eurer Hilfe nach Malware suchen und diese beseitigen? Ich habe Angst, dass mein Rechner auch "infiziert" wird, wenn ich ihre LOG-Files vom USB-Stick übertrage, damit ich sie hier im Board posten kann.

Freue mich über Eure Hilfe! :-)

Viele Grüße
Cricri

Bitte lesen:
Warnung vor Telefonanrufen von angeblichen Microsoft-Mitarbeitern



Für die Zeit nach der Neuinstallation:
Anleitung: Maßnahmen zur Absicherung des Rechners

Hallo, danke für die Antwort. Den Thread, den Du verlinkt hast,
hatte ich schon gelesen. Dort wurde eine Neuinstallation empfohlen. Aber ich habe hier im Forum auch Threads gelesen zu ähnlichen Fällen, da hat einer vom Trojaner-Board den Betroffenen durch den Scan und Malwarebeseitigunsprozess geführt und keine Neuinstallation empfohlen. Deshalb hatte ich die Hoffnung, das meine Freundin um eine Neuinstallation herumkommt. Du empfiehlst in unserem Fall also zwingend eine Neuinstallation? Danke schon mal im Voraus!

PS: In unserem Netzwerk hängt auch ein NAS von Synology. Meine Freundin hat darauf ein Konto, aber keinen Admin-Zugriff. Außerdem hatte sie noch eine externe Festplatte über USB angeschlossen. Kann es sein, dass die Angreifer auch hier Malware aufgespielt haben und wie müssen wir die Devices behandeln? Danke!!!

Zitat:

Zitat von Cricri

Aber ich habe hier im Forum auch Threads gelesen zu ähnlichen Fällen, da hat einer vom Trojaner-Board den Betroffenen durch den Scan und Malwarebeseitigunsprozess geführt und keine Neuinstallation empfohlen.

Ich persönlich kann mich nicht daran erinnern, dass wir die Systeme von anderen Leuten, die von Microsoft-Mitarbeiter angerufen wurden und Remote-Zugriff erlaubt haben, bereinigt hätten.


Beispiele
Auf Microsoft Mitarbeiter hereingefallen
Anruf von angeblichem Microsoft Mitarbeiter erhalten mit Zahlungsaufforderung!
Windows 7 Rechner gesperrt nach Fake-Microsoft Anruf
Betrug mit Microsoft-Support-Masche
Fake-Microsoft-Attacke - was nun?
Warnhinweis wegen verseuchtem PC führt zu einem Telefonat mit Microsoft
Anruf angeblich von Microsoft und dann Fernwartung…


Etwas anderes ist es, wenn jemand beim Surfen plötzlich eine Meldung im Browser bekommt, dass der Rechner vom Microsoft Support gesperrt wurde und man eine bestimmte Nummer anrufen soll oder Ähnliches. Vielleicht meintest du so etwas mit "ähnliche Fälle".
Das ist jedoch etwas ganz anderes.



Bei Remote-Zugang von außen oder unter bestimmten Bedingungen auch bei illegaler Software bereinigen wird nicht.



Daten sichern (keine Installer oder ausführbare Dateien - nur Word/Exel/Powerpoint/PDF/Bilder/Videos), saubere Neuinstallation, Rechner absichern und aus dem Vorfall lernen.
Das ist zu tun.

Alles Gute.

Zitat:

Zitat von Cricri

PS: In unserem Netzwerk hängt auch ein NAS von Synology. Meine Freundin hat darauf ein Konto, aber keinen Admin-Zugriff. Außerdem hatte sie noch eine externe Festplatte über USB angeschlossen. Kann es sein, dass die Angreifer auch hier Malware aufgespielt haben und wie müssen wir die Devices behandeln? Danke!!!

Ich bin kein Experte für NAS, da kennt sich cosinus besser aus. Ich gebe ihm Bescheid, dass er sich melden soll.

Danke für Dein Feedback!

Zitat:

Zitat von M-K-D-B

Ich persönlich kann mich nicht daran erinnern, dass wir die Systeme von anderen Leuten, die von Microsoft-Mitarbeiter angerufen wurden und Remote-Zugriff erlaubt haben, bereinigt hätten.

Ich hatte z.B. diesen Thread gelesen, den cosinus bearbeitet hatte: https://www.trojaner-board.de/184724-fragen-haeckerangriff-fernwartungssoftware-falschen-microsoft-mitarbeiter.html

Zitat:

Etwas anderes ist es, wenn jemand beim Surfen plötzlich eine Meldung im Browser bekommt, dass der Rechner vom Microsoft Support gesperrt wurde und man eine bestimmte Nummer anrufen soll oder Ähnliches. Vielleicht meintest du so etwas mit "ähnliche Fälle". Das ist jedoch etwas ganz anderes.

Mein Freundin ist auf so eine Fake-Seite reingefallen und hat dann den angeblichen Support kontaktiert. Ich habe das zum Glück irgendwann mitbekommen und dann sofort interveniert: Aufgelegt, Computer vom Netz, neue Passwörter. Aber ich bin erst nach ca. 20 min dazugekommen. Da war es schon zu spät, weil der Remote-Zugriff schon längst stand.

So wie ich Eure Policy interpretiere, ist Remote-Zugriff zu heikel, um daran "rumzudoktorn". Deshalb empfehlt Iht in dem Fall grundsätzlich die Neuinstallation. Korrekt?

Danke, dass Du cosinus ins Boot holst wegen der NAS-Thematik.

Viele Grüße
Cricri

Zitat:

Zitat von Cricri

Danke für Dein Feedback!

Sehr gerne, dafür sind wir ja da.

Zitat:

Zitat von Cricri

Danke, dass Du cosinus ins Boot holst wegen der NAS-Thematik.

Zitat:

Zitat von Cricri

So wie ich Eure Policy interpretiere, ist Remote-Zugriff zu heikel, um daran "rumzudoktorn". Deshalb empfehlt Iht in dem Fall grundsätzlich die Neuinstallation. Korrekt?

Ja, korrekt.

Alles klar, dann machen wir uns mal an die Neuinstallation. Könnt Ihr ein Backup-Tool empfehlen, das Ausführungsadateien wie .exe sicher ausklammert? Wegen NAS warte ich noch die Antwort von cosinus ab.

Danke Leute, Eure Hilfe ist echt grandios!

Viel kann ich dazu auch nicht sagen. Natürlich kann es sein, dass wenn ein Angreifer direkt im Netz war und sich austoben konnte, er auch das NAS kompromittiert hat. Aber wie will man das feststellen, es gibt kein FRST für NAS-Systeme.

Ich würde die Sache mit dem NAS vergessen und es einfach so lassen.

Danke für Deine Rückmeldung, cosinus! Wenn der Angreifer über Remote auf den Rechner kommt, ist er nicht automatisch im Netzwerk, oder? Theoretisch müsste er 2 Passwörter haben: Das Netzwerk-PW und das vom NAS. Über cmd oder PowerShell sind die Devices und IPs im Netzwerk schnell gefunden. Aber man kommt nicht rein ohne das PW, oder?

Nein. Es sei denn es wurde eine Sicherheitslücke ausgenutzt. Aber ich denke nicht, dass der Scammer es auf irgendein NAS abgesehen hat. Hatte deine Freundin lokale Adminrechte auf dem betroffenen Windows-PC?

Ja, hatte sie. Nicht fürs NAS, aber für ihren Windowsrechner. Danach hat auch die Scammerin gefragt ;-)

Ja, dann wäre es möglich, dass auf dem Windows-PC systemweit ein Keylogger installiert wurde. Woebi ich eher glaube, dass die Scammer einen Kryptotrojaner installieren wollten, der alle Dateien verschlüsselt.

Kannst den Rechner ja mal offline mit FRST checken und dann die Logs per USB-Stick übertragen und hier hochladen.

Was meinst Du mit systemweit? Auf dem Rechner oder im gesamten Heimnetz? Wie groß ist die Gefahr, wenn ich den USB Stick mit den Logfiles auf meinen Rechner ziehe?

Zitat:

Was meinst Du mit systemweit? Auf dem Rechner oder im gesamten Heimnetz?

Mit systemweit meinte ich auf dem Rechner selbst.

Zitat:

Wie groß ist die Gefahr, wenn ich den USB Stick mit den Logfiles auf meinen Rechner ziehe?

Du sollst nur die Logfiles übertragen und nichts anderes.