Internetbetrug mittels Trojaner -> PC beschlagnahmt. PC aber sauber -> Hinweis auf Wardriving?
 

Hallo Forum,

nachdem einer meiner PCs über eine Kette von Internetprovidern und Behörden als angeblich von einem bestimmten Trojaner befallen identifiziert wurde, der angeblich betrügerische Aktivitäten auf Handelsplattformen im Web vorgenommen hat, ist der PC nun von der Polizei beschlagnahmt worden.

Der PC befand sich zum Tatzeitpunkt in einem Firmen-WLAN, und es liegen Traffic-Mitschnitte vor (besuchte Webseiten bzw. IP-Adressen), die auf die fraglichen betrügerischen Aktivitäten hinzuweisen scheinen.

Ich bin gerade dabei, ein (nach den Vorfällen gezogenes) Image der Systemplatte mit diversen Tools zu scannen, wobei Microsoft Defender schonmal exakt null Bedrohungen bzw. verdächtige Dateien findet. Im Moment läuft gerade Trendmicro HouseCall durch das Systemimage. Sämtliche seit kurz vor dem Vorfall hinzugekommenen oder geänderten ausführbaren Dateien https://de.wikipedia.org/wiki/Ausf%C3%BChrbare_Datei#Windows sind lt. VirusTotal 100% sauber.

Nun ist mir eingefallen, dass möglicherweise Wardriving https://de.wikipedia.org/wiki/Wardriving dahinter stecken könnte, dass also jemand meinen PC-Namen und meine Mac-Adresse und/oder IP-Adresse aus dem WLAN gezogen und dort vor Ort für diese betrügerischen Aktivitäten verwendet hat. Es muss wohl auf jeden Fall vor Ort gewesen sein, da die Logdateien der Firma sowie des Internetproviders neben einer Signatur des fraglichen Trojaners auch die Firmen-IP und den Namen meines PCs enthalten. Oder lässt sich das alles fälschen, und der Betrug kann von irgendwo auf der Welt durchgeführt worden sein?

Danke für Tipps, ob es Möglichkeiten gibt, Wardriving nachzuweisen, z.B. aus Logfiles des betroffenen PCs oder des fraglichen Datenverkehrs.

Beim wardriving klinkt sich jemand in deinen Router ein, sprich er verbindet sich mit deinem WLAN um dann zu surfen. Was bitte hat das mit deinem Rechner zu tun? Der protokollier doch nicht das, was der Router macht. Wenn überhaupt findest du nur was im Router aber die einfachen standardrouter protokollieren wenig bis garnichts.

Wardring würde ich auch nur in Betracht ziehen, wenn eine extrem schlechte WLAN-Verschlüsselung zum Einsatz kommt. Was wird da bei euch in der Firma benutzt?

Die Firma benutzt WPA2 fürs WLAN.

Und wenn der PSK lang genug ist, kann man wardriving ausschließen.

Ok. Was könnte es dann gewesen sein?

Angenommen auf dem PC findet sich keinerlei Malware?

Bei dem WLAN handelt es sich übrigens um ein Gäste-WLAN, dessen Passwort weniger als zehn Zeichen hat und in der Branche auch weithin bekannt ist.

Dir ist schon klar, dass hier keine Hellseher im Forum sind?

Sieht aus als ob TrendMicro jetzt was findet.

Ich meld mich wenn ich weiß was es ist.

Außerdem werde ich das Image demnächst einmal booten, dann kann ich auch den Farbar Scan machen

OK, hier schon mal das Ergebnis von TrendMicro:

https://i.imgur.com/IfZ7k7Q.png


Eine Adware/Malware namens ProxyGate aka RiskTool aka HackToo aka PUA.Win von einer Firma namens Gold Click Ltd, die jedoch von vielen Scannern, darunter Microsoft, nicht erkannt wird:
https://www.virustotal.com/gui/file/687627ec36a3c0cda136b2aa2806a358e00735aec249f9d89ed3503853e4c9bc/detection
https://www.file.net/prozess/cloud.exe.html
https://virus-removal-guide.net/en/15902-proxygate-pup-alerts-how-to-delete-proxygate/#:~:text=ProxyGate%20will%20obtain%20the%20complete%20control%20over%20your%20whole%20computer

PUP-Proxygate (Potentially Unwanted Program)
https://www.bleepingcomputer.com/virus-removal/remove-proxygate
https://web.archive.org/web/20201125222053/hxxp://proxygate.net
https://www.malwareremovalguides.info/remove-proxygate/

Interessanterweise sind alle Dateien in dem Verzeichnis dieses Tools 1 bis 3 Jahre alt, bis auf die Datei list.dat (mal angehängt), deren Änderungsdatum ungefähr mit den aktuellen Vorfällen übereinstimmt:

https://i.imgur.com/UBBZgWL.png


Falls das bei jemand eine Glocke läutet, bin ich natürlich sehr interessiert.

Vor allem natürlich an Einschätzungen, ob die oben beschriebenen Vorfälle damit etwas zu tun haben können -- oder ob das eher eine vergleichsweise harmlose Malware sein dürfte.

Du schreibst noch nicht einmal, was für ein Windows du auf dem PC einsetzt:eek:sollte es Windows 7 oder älter sein, kriegst du hier im Forum keinen Suport mehr zwecks Bereinigung und das gilt auch für Windows 10 Versionen, die von Microsoft keine Updates mehr bekommen. Wenn der PC dir gehört und bei dir daheim steht, würde ich eine Datensicherung machen und dann eine Windows 10 Neuinstallation von 21H1 nach Anleitung des Forums hier durchführen, sicherheitshalber alle deine bisherigen Passwörter ändern, den Router prüfen ob es ein Firmware Update dafür gibt und dessen W-LAN Passwörter ändern.

Es ist ein aktuelles Windows 10

Was heisst aktuell? 2004, 20H2 oder 21H1?

20H2

aktuell ist 21H1. die Vorgängerversionen werde zwar noch supportet, der Upgrade ist zu empfehlen

Und was hälst du von meinem Vorschlag Windows 10 neu zu installieren plus die Sache mit den Passwörten und dem Router? Mit Passwörtern meine ich deine Passwörter für Accounts, Mail, Onlinebnanking, ebay, Amazone, Onlinshops usw.

Geht das jetzt immer noch um diesen PC, bezüglich dessen Du Dich nicht mehr zurückgemeldet hattest, trotz Hinweises, bitte Infos gemäß der hiesigen Hinweise für Hilfesuchende zu posten?

-> https://www.trojaner-board.de/201945...ml#post1753870

Ohne detailliertere LogFiles und Infos bleibt das weiterhin teilweise ein Stochern im Nebel.

Und wenn es Dein privater PC im Firmennetzwerk ist: Inwiefern ist das mit den Admins der Firma abgestimmt? Wieso wird da ein privater PC ins Firmennetzwerk gebracht? Welche Maßnahmen wurden seitens Admins und von Deiner Seite zuvor getroffen, um dessen Vertrauenswürdigkeit sicherzustellen? Und sag jetzt nicht, durch Virenscanner und Virenscans.

Alleine das ist ja für sich schon mal ein großes Fragezeichen.