|
[Neuinstallation nötig] Scamming durch angeblichen Microsoft-Support Hallo liebe Community! Meine Freundin ist heute auf einen Scamming-Anruf reingefallen. Die falsche Support-Mitarbeiterin hat sie dazu gebracht, folgende Software zu installieren: UltraViewer und support-logmeinrescue Sie hat einen Remote-Zugriff aufgebaut und wollte sie dazu drängen, Ihre Zahlungsdaten preiszugeben. Meine Freundin erinnert sich nicht mehr genau, was sie alles über Remote-Zugriff gemacht hat: Irgendwas im Browser und irgendwas in der Console, vermutlich über "cmd". Als Sofortmaßnahme haben wir ihren Rechner von Netz getrennt und unsere Router und W-LAN Passwörter resettet. Sie hat ihre PW in Bitwarden gespeichert und das war nicht geöffnet zum Zeitpunkt des Anrufs. Ich vermute aber, dass sie ihr einen Trojaner, Keylogger o.ä. aufgespielt haben. Was würdet Ihr raten: Rechner platt machen und Neuinstallation oder gemeinsam mit Eurer Hilfe nach Malware suchen und diese beseitigen? Ich habe Angst, dass mein Rechner auch "infiziert" wird, wenn ich ihre LOG-Files vom USB-Stick übertrage, damit ich sie hier im Board posten kann. Freue mich über Eure Hilfe! :-) Viele Grüße Cricri |
:hallo: Bitte lesen: Warnung vor Telefonanrufen von angeblichen Microsoft-Mitarbeitern Für die Zeit nach der Neuinstallation: Anleitung: Maßnahmen zur Absicherung des Rechners |
Hallo, danke für die Antwort. Den Thread, den Du verlinkt hast, hatte ich schon gelesen. Dort wurde eine Neuinstallation empfohlen. Aber ich habe hier im Forum auch Threads gelesen zu ähnlichen Fällen, da hat einer vom Trojaner-Board den Betroffenen durch den Scan und Malwarebeseitigunsprozess geführt und keine Neuinstallation empfohlen. Deshalb hatte ich die Hoffnung, das meine Freundin um eine Neuinstallation herumkommt. Du empfiehlst in unserem Fall also zwingend eine Neuinstallation? Danke schon mal im Voraus! PS: In unserem Netzwerk hängt auch ein NAS von Synology. Meine Freundin hat darauf ein Konto, aber keinen Admin-Zugriff. Außerdem hatte sie noch eine externe Festplatte über USB angeschlossen. Kann es sein, dass die Angreifer auch hier Malware aufgespielt haben und wie müssen wir die Devices behandeln? Danke!!! |
Zitat:
Beispiele Auf Microsoft Mitarbeiter hereingefallen Anruf von angeblichem Microsoft Mitarbeiter erhalten mit Zahlungsaufforderung! Windows 7 Rechner gesperrt nach Fake-Microsoft Anruf Betrug mit Microsoft-Support-Masche Fake-Microsoft-Attacke - was nun? Warnhinweis wegen verseuchtem PC führt zu einem Telefonat mit Microsoft Anruf angeblich von Microsoft und dann Fernwartung… Etwas anderes ist es, wenn jemand beim Surfen plötzlich eine Meldung im Browser bekommt, dass der Rechner vom Microsoft Support gesperrt wurde und man eine bestimmte Nummer anrufen soll oder Ähnliches. Vielleicht meintest du so etwas mit "ähnliche Fälle". Das ist jedoch etwas ganz anderes. Bei Remote-Zugang von außen oder unter bestimmten Bedingungen auch bei illegaler Software bereinigen wird nicht. Daten sichern (keine Installer oder ausführbare Dateien - nur Word/Exel/Powerpoint/PDF/Bilder/Videos), saubere Neuinstallation, Rechner absichern und aus dem Vorfall lernen. Das ist zu tun. :) Alles Gute. :daumenhoc |
Zitat:
|
Danke für Dein Feedback! Zitat:
Zitat:
So wie ich Eure Policy interpretiere, ist Remote-Zugriff zu heikel, um daran "rumzudoktorn". Deshalb empfehlt Iht in dem Fall grundsätzlich die Neuinstallation. Korrekt? Danke, dass Du cosinus ins Boot holst wegen der NAS-Thematik. Viele Grüße Cricri |
Zitat:
Zitat:
Zitat:
|
Alles klar, dann machen wir uns mal an die Neuinstallation. Könnt Ihr ein Backup-Tool empfehlen, das Ausführungsadateien wie .exe sicher ausklammert? Wegen NAS warte ich noch die Antwort von cosinus ab. Danke Leute, Eure Hilfe ist echt grandios! |
Viel kann ich dazu auch nicht sagen. Natürlich kann es sein, dass wenn ein Angreifer direkt im Netz war und sich austoben konnte, er auch das NAS kompromittiert hat. Aber wie will man das feststellen, es gibt kein FRST für NAS-Systeme. Ich würde die Sache mit dem NAS vergessen und es einfach so lassen. |
Danke für Deine Rückmeldung, cosinus! Wenn der Angreifer über Remote auf den Rechner kommt, ist er nicht automatisch im Netzwerk, oder? Theoretisch müsste er 2 Passwörter haben: Das Netzwerk-PW und das vom NAS. Über cmd oder PowerShell sind die Devices und IPs im Netzwerk schnell gefunden. Aber man kommt nicht rein ohne das PW, oder? |
Nein. Es sei denn es wurde eine Sicherheitslücke ausgenutzt. Aber ich denke nicht, dass der Scammer es auf irgendein NAS abgesehen hat. Hatte deine Freundin lokale Adminrechte auf dem betroffenen Windows-PC? |
Ja, hatte sie. Nicht fürs NAS, aber für ihren Windowsrechner. Danach hat auch die Scammerin gefragt ;-) |
Ja, dann wäre es möglich, dass auf dem Windows-PC systemweit ein Keylogger installiert wurde. Woebi ich eher glaube, dass die Scammer einen Kryptotrojaner installieren wollten, der alle Dateien verschlüsselt. Kannst den Rechner ja mal offline mit FRST checken und dann die Logs per USB-Stick übertragen und hier hochladen. |
Was meinst Du mit systemweit? Auf dem Rechner oder im gesamten Heimnetz? Wie groß ist die Gefahr, wenn ich den USB Stick mit den Logfiles auf meinen Rechner ziehe? |
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board