Systemanalyse
 

Liebes Kollegium,

ich wünsche zunächst frohe Feiertage :abklatsch:

Nach dem mein Freund böse auf die Nase gefallen ist und zum Opfer von Ransomware geworden ist, habe ich mit einem verdrehten Magen einen Scan zur Sicherheit durchlaufen lassen.

Ich würde mich sehr über eure Meinung freuen und wünsche ruhige Feiertage.

Zu meinem System:
Windows 10, 64Bit, 16GB RAM

Sollten irgendwelche komischen Programme in den Logs erscheinen, gebe ich gerne Infos zu solchen :)

LG
Joker

FRST-Logs fehlen!
Und Logs werden nicht als Anhang gepostet, sondern direkt und in CODE-Tags.

Wir helfen gerne, aber nicht bei illegaler Software:
Bitte lesen:
Cracks, Keygens und andere illegale Software

Also, ich bin ein wenig verwirrt.
Begonnen habe ich mit dem Tutorial von euch hier (https://www.trojaner-board.de/96344-anleitung-massnahmen-absicherung-rechners.html):

und habe entsprechend Punkt 2.1 Malwarebytes und ADWCleaner durchlaufen lassen.

An dieser Stelle also Pardonnez-moi.

Im Folgenden die FRST + Addition Logs.



@M-K-D-B:
Danke für den Hinweis. Ich habe mir das hier ( hxxp://windows-nachrichten.de/autokms-malware/) verinnerlicht und auch im Log ist das Thema "KMS" aufgetreten - was mir um so mehr Sorge bereitet! Den Rechner hatte ich mir damals auf Shpock gebraucht gekauft. Kann ich das Programm dementsprechend einfach deinstallieren, wenn ich meinen Win10-Key noch habe?

LG und vielen dank :-)

PS: Editiert, da der Hyperlink nicht korrekt dargestellt wurde
PPS: Erneut nicht...

Die Bereinigung sollten wir ablehnen. AutoKMS ist ein illegaler Aktivator für Windows und Office.

Nun bin ich etwas verwirrt.:wtf:
Ich habe mir den Post von MKDB durchgelesen und die Problematik erkannt. Auch wenn es hier ungern gelesen wird: Den Rechner habe ich mir als Komplett-PC inklusive Windows auf Shpock gekauft. Mit einer sofortigen Deinstallation / Neuaufsetzung meines Systems habe ich wie bereits erwähnt auch gar kein Problem (ich habe einen originalen Key).

Für mich ist eher wichtig: Ist mein System sauber, sodass ich meine Daten auf einer externen Festplatte sichern kann und nachträglich wieder auf mein neues System spielen kann - ohne dabei meinen PC wieder zu verseuchen? :confused:

Dies wäre nur bei Ransomware ein Problem, was hier nicht vorliegt.

Private Daten (Bilder, Videos, Dokumente, etc.) kannst du extern sichern, aber keine ausführbare Dateien (Installer, exe, etc.).
Anschließend eine saubere Neuinstallation durchführen.

Für die Zeit nach der Neuinstallation:
Anleitung: Maßnahmen zur Absicherung des Rechners

Wieso sollte es ungern gelesen werden? Mir ist es egal wo du den Rechner gekauft hast, nur wenn da was Gecracktes drauf ist, dann haben wir damit ein Problem.


Und wieso ist da ein gecracktes Windows drauf wenn du einen Key hast?
Oder ist tatsächlich nur das Office gecrackt?


Wie MKDB sagt.
Aber wieso machst du dur erst jetzt Gedanken um Datensicherungen?

Ich verschiebe das Thema in den Diskussionsbereich, da eine Neuinstallation durchgeführt wird.

Zu Punkt 1: Das war mir ja nicht bewusst, dass hier etwas "gecracktes" vorliegen soll.
Zu Punkt 2: Office? Also da könnte eher etwas sein, ich weiß, dass ich damals mit Open Office gearbeitet habe und mir ein Freund vom USB-Stick die Microsoft Word 2010 installiert hat. Kann ich den "Legalitäts"-Status der Version ermitteln? Ich brauche unter keinen umständen Probleme mit Microsoft und Konsorten. - Wobei, nach der Neuinstallation wäre das Thema für mich gelaufen.
Zu Punkt 3: Ich nutze für gewöhnlich ein Windows-System etwas länger und mache circa alle 6 Monate mal "sauber" in dem ich die Sachen auf die externe Festplatte ziehe (Dokumente, Bilder, Videos).
Nun hab ich einfach Angst bekommen, dass bei dem, was die letzten Monate am PC angefallen ist, vielleicht etwas verunreinigt sein könnte - wie gesagt, der Auslöser für die Threaderstellung war ein Freund, der einen verunreinigten PC hatte. :heulen: Ich wollte daher sicher gehen, dass ich mir keinen Wurm, Trojaner, Keylogger oder sonstiges mitschleppe.

Wenn ihr aus eurer Sicht bei den Logs nichts Auffälliges erkennen könnt, würde ich dem Vorschlag von M-K-D-B nachgehen und mein System neu aufsetzen - zuvor alles auf die Festplatte ziehen. Programme und Co, kann ich im Nachhinein herunterladen / neu installieren :kloppen:

Euch beiden einen netten Dank für eure Hilfe. Würde mich über eine kurze Bestätigung der "Reinheit" des Systems sehr freuen :abklatsch:

Hier liegt leider eine Menge im Argen, ich werde es mal einzeln aufführen.

Solange man sich mit dem Freund oder Kumpel nicht z.B. ein gemeinsames NAS (Netzwerkspeicher) teilt und dieser (ebenfalls) von der Ransomware betroffen wäre, ist das zunächst erstmal nur für ihn ein Problem. Es wäre aber dennoch ein Problem für Dich, wenn Du auch nur kurzzeitig einen Deiner Wechseldatenträger an seinem System angeschlossen hättest, dann wäre von dort aus Zugriff auf Deine Daten möglich.

Was ich damit sagen will: Wenn Du mit ihm, auch nur ab und an mal, Date(ie)n austauschst, oder Dich an seinem PC auch nur selten mal z.B. in Deine Accounts (z.B. Mail) einloggst, muss er die gleichen guten Absicherungsmaßnahmen vornehmen, wie (hoffentlich) Du auch künftig (anhand der nun in diesem Thread gegeben Hinweise).

Sonst geht das früher oder später in die Hose, und alle sind überrascht, wie das nur passieren konnte.

Er muss nun also schauen, woher die Ransomware kam, und welche großen (auch noch ggf. weiteren) Lücken bei seinem System und seiner Software, seinem Netzwerk, etc. bestehen.

Und Du musst dennoch immer aufmerksam bleiben, auch, was Dich von ihm (oder anderen Freund/innen) per E-Mail oder Messenger (Discord, WhatsApp, etc.) erreicht. Denn entgegen landläufig verbreiteter Info, dass eine Gefahr bei E-Mails insbesondere von unbekannten Absender ausgehe, ist es vielmehr so, dass Malware genauso über bekannte(!) Absender verbreitet wird. Ganz einfach deshalb, weil dann die Wahrscheinlichkeit größer ist, dass die Empfänger diese Mails (und Anhänge) auch wirklich öffnen. Die Adressen stammen dabei beispielsweise aus ebenfalls zuvor bei Freunden "gekaperten" Adressbüchern, weil diese Freunde zuvor selbst schon unvorsichtig waren und eine Malware installierten. Und so setzt sich der Versand dann schneeballartig im Freundeskreis fort.

Dein System ist also stets nur so gut geschützt, wie Du mit Grundwissen und situationsbezogen richtigem Handeln agierst. Virenscanner oder andere "Filter" spielen dabei hingegen lediglich eine untergeordnete Rolle.

Es gilt immer, dass eine Gefahr auch für andere durch das schwächste Glied in der (Absicherungs)kette ausgeht.

Perspektivischer Hinweis: Windows 10 wirst Du auf dieser Hardware noch bis voraussichtlich Herbst 2025 nutzen können, der Support endet dann. Eventuell lässt sich 2025 mit ein paar Tricks auch Windows 11 auf dieser Hardware betreiben, das bleibt aber abzuwarten. Behalte dies im Blick und reagiere ggf. rechtzeitig mit geeigneten Maßnahmen, also nicht erst nach dem vermeintlichen Supportende, sondern vorher.

Und zu jetzt: Deine Windows-Version war veraltet. Du musst Windows-Updates viel zeitnaher installieren.

Das ist OK, den Browser weiter benutzen.

In welchem Kontext nutzt Du diese VPN-Software? Lies Dich bitte hier ein:
https://www.kuketz-blog.de/anonymita...-vpn-anbieter/

Unnötige und Konfliktsoftware. Jeder, der sein System nachhaltig stabil betreiben möchte, vermeidet sowas. Außerdem bedeutet jede unnötige installierte Software immer eine Vergrößerung der Angriffsfläche, des allgemeinen Risikos, und eine Vergrößerung des allgemeinen Konflikt- und Fehlerpotentials. Außerdem kann es in datenschutztechnischer Hinsicht kritisch sein.

Potentielle Konfliktsoftware durch Installation unpassender Treiber. Diese werden sinvoller Weise besser entweder durch das Microsoft-Update (optionale Updates) installiert, oder von Hand nach Aufruf des Downloadbereits des jeweiligen Hardwareherstellers!

NordVPN DNS-Server. Keine gute Idee (siehe oben, Infos via kuketz-blog).

Erhöhung des Konfliktpotentials, mögliche sicherheitstechnische Nachteile wegen:
https://www.heise.de/news/Sicherheit...S-3620159.html

Veralteter VLC-Player! Software stets aktuell halten! Das gilt für jede Software.

Thema Virenscanner: https://www.trojaner-board.de/199203...verwenden.html

Downloadquelle beachten! Hier droht bei ausführbaren Dateien Malware-Ungemach.

Dazu wurde ja im Thread hier schon einiges geschrieben.

Das ist kein renommierter Gebrauchtwarenhändler oder sowas in der Richtung, sondern einfach ein Kleinanzeigen-Marktplatz für Privatleute. Da kann jeder an jeden irgendeinen Schund verkaufen, sagt gar nix über eine etwaige Seriosität aus! Wenn man etwas gebraucht kauft, muss das System nach dem Erhalt frisch aufgesetzt werden, jeglicher alter Softwareballast vom Vorbesitzer ist damit zu entfernen. Abgesehen davon entgeht man damit auch zuverlässig einer mit Cracks versehenen Installation. Stattdessen muss man sich vor dem Kauf vom potentiellen Verkäufer eine vorhandene Lizenz (das ist nicht einfach nur der Key) versichern und erläutern lassen (z.B. Lizenz ist im UEFI des zu verkaufenden PCs hinterlegt, da ursprünglich Fertig-PC von der Stange, oder Lizenz wird, da separat gekauft, mitgeliefert (kein Billig-Code von einem Keyseller)).

Auch das war hier also nicht gut gelaufen.

Kein Programm deinstallieren, sondern an einem anderen PC (aber nicht an einem der Siff-PCs von Freunden oder Kumpels)...
- ...mit Hilfe des MCT von Microsoft einen aktuellen bootfähigen Windows-10-Setup-USB-Stick erstellen,
- von diesem direkt im UEFI-Mode(!) booten (Auswahl der UEFI-Bootoption des USB-Sticks über das Bootmenü des UEFI),
- im folgenden Setup-Verlauf alle bestehenden Partitionen nacheinander anklicken und "Löschen",
- Windows 10 letztlich in den "nicht zugewiesenen" freien Speicherplatz installieren lassen.

Nach fertiger Installation Windows mit Key aktivieren, die Aktivierung ggf. als Aktivierungsbackup mit einem MS-Onlinekonto verknüpfen, alle Windowsupdates und ggf. optionalen Updates installieren lassen, bis nach mehrfachem Wiederholen/Anstoßen/Neustarts keine weiteren mehr angeboten werden.

Und dann, ganz wichtig, die ganze unnötige Software, die ich oben gelistet habe, konsequent weglassen. Die weitere zu installierende Software auf das Minimum begrenzen, desto weniger Software musst Du in der Folge pflegen und behältst somit einen besseren Überblick. Bei Updates helfen kann Dir Chocolatey, siehe Hinweis im der hiesigen Absicherungs-FAQ.

Nein, dieser Umstand wird hier nicht "ungerne gelesen". Im Gegenteil kann ja ein Gebrauchtkauf auch ressourcenschonend sein. Es geht vielmehr darum, welche Windows-Installation hier vorlag, und welche Dinge dabei womöglich nicht beachtet wurden.

Daten sichern macht man immer im Vorfeld im Rahmen eines vorhandenen Backup-Konzeptes. Da so etwas bei Dir offenbar ebenfalls bisher fehlt, lies und setze künftig um:
https://www.storage-insider.de/data-...f49a6e63ecbf1/

Datenrettung führt man i.d.R. über ein separates, autarkes System durch, das kann ein Ubuntu Mate, vom USB-Stick gebootet, sein. Es dürfen dann keine ausführbaren Dateien, sondern nur Daten kopiert werden.

Ohnehin empfiehlt es sich, zwei, drei USB-Sticks mit Rettungs- und/oder Windows-Setup parat in der Schublade liegen zu haben, inklusive bootfähigen Rettungsmediums zum Einspielen zuvor regelmäßig erstellter und extern gespeicherter Sicherungsimages.

Ist es aber. Und über "Luftbestäubung" kommt sowas nicht auf's System. Also kann es nur a) entweder gebraucht vorinstalliert gewesen sein, oder es wurde b) später im Verlauf durch Dich oder andere, denen Du Zugriff auf Dein System gewährtest. Übrigens bedeutet so ein Crack auch, dass er aus nicht vertrauenswürdiger Quelle stammen kann, damit ist das System grundsätzlich einer Gefährdung ausgesetzt, ein großer Teil der Malware wird auf diesem Wege verbreitet (übrigens auch Ransomware).

Nebenbei: LibreOffice war auch schon aktueller als OpenOffice, als Du den PC gekauft hast.

Und welche Lizenz hat der Freund Dir dazu überreicht? Die muss ja dann jetzt noch bei Dir vorliegen. Wenn es keine gab/gibt, muss die Frage gestellt werden, ob der Crack vielleicht daher kommt. Auf jeden Fall hast Du mehrere unklare Situationen vorliegen, gecrackte Software, Torrent als Downloadquelle auf Deinem PC, infizierter PC im Freundeskreis... da stimmt so einiges nicht.

Das brauchst Du jetzt nicht mehr, denn Office 2010 ist bereits EOS und durch etwas Aktuelles zu ersetzen, wenn Du Windows 10 neu aufgesetzt hast. Durch LibreOffice z.B.
https://de.libreoffice.org/

Darum geht es gar nicht mal in erster Linie. Die Probleme zuerst bekommst Du bereits durch Malwaregefahr.

Aber nicht, wenn Du das alte Office 2010 vom Kumpel wieder installieren wolltest.

Das ist aber dann eine Auslagerung, kein Backup! Bitte lies, wie Backups funktionieren, wie sie umgesetzt werden (siehe oben). Außerdem kann man Windows auch mehrere Jahre laufen lassen, es muss lediglich vernünftig gepflegt werden.

Hier ist nur eine komplette Neuinstallation sinnvoll.
Vom Stick booten, alle Partitionen löschen und in den unzugewiesenen Platz installieren.

Den MCT-Sitck von einem sauberen System erstellen.

Und in Zukunft auf Cracks & Co verzichten, ist oft ein Virus drinnen.

Wichtig ist, ja, entscheidend, dass es am Ende von ihm auch alles so umgesetzt wird. Sonst wird es nicht besser. Im jetzigen Zustand ist das zumindest alles ohne Hand und Fuß.

Ich bedanke mich herzlich für eure ausführlichen Antworten!
Ich werde mich zu den genannten Themen intensiver einlesen und in Zukunft so schlank wie nur möglich mit meinem System unterwegs sein.
Danke auch für die Software-Alternativen (LibreOffice, habe ich zuvor gehört, aber mich nie getraut zu nutzen - ich werds testen!).

In Puncto "keine ausführbare Dateien": Verstanden! Ich glaube mir war so einiges nicht bewusst, ich werde jetzt besser auf solche Sachen achten.

Danke für die zahlreichen Verlinkungen euch allen!

Ist ja gut das du einiges hier annimmst und das umsetzen willst, aber machst du nun auch die empfohlene Windows Neuinstallation?