Microsoft Anruf Fernwartung
 

Hallo zusammen!

ich bin leider auf einen ganz blöden (und wie ich im Nachhinein bemerkte: bekannten) Trick hereingefallen.

Eine vermeintliche Microsoft-Mitarbeiterin mit mysteriöser Telefonnr. hat mich angerufen und mir auf Englisch erklärt, das angeblich ein Virus auf meinem PC mit einem Fernwartungstool beseitigt werden müsse. Ja, ich hätte wie so oft davor auch einfach kommentarlos auflegen sollen, leider ist aber nun folgendes passiert:

Was passiert ist:
Ich wurde angeleitet, mir auf einer wahrscheinlich Fake-Homepage von Microsoft unter "Server 2" ein Fernwartungstool herunterzuladen. Es wurde in meinen Downloads mit dem Titel "Supremo" gespeichert. Dies startete ich und gab der Anruferin meine Computer-ID und die vierstellige Zahlenkombination als Passwort für den Fernzugriff. Dann wurde ich aber doch stutzig und habe nach ca. 5 Minuten Fernzugriff die Internetverbindung gekappt. In diesen 5 Minuten hat die Anruferin den Google Translator geöffnet, um mit mir schriftlich zu kommunizieren und zeigte mir nur den Wikipedia-Eintrag über Trojaner, den sie angeblich beseitigen wollte. Ob in dieser Zeit im Hintergrund Programme/Schadsofware zum Ausspionieren meiner Dateien installiert worden sind, bleibt offen. Auf meinem Desktop war wie gesagt nur Mozilla geöffnet worden mit Google Translater (wahrscheinlich, um erst einmal mein Vertrauen zu wecken oder um Zeit zu schaffen für Hintergrundprogramme). Dann habe ich die Verbindung gekappt.

Im Gespräch stellte sie die Frage, ob ich im Internet Facebook, YouTube, Online Banking, Shopping, Gaming benutze. Klar, dass sie da an meine Daten wollte.

Ähnliche Geschichten können z.B. hier nachgelesen werden, um tiefere Einsicht in das Problemfeld zu erhalten:
hxxp://www.tagesspiegel.de/medien/digitale-welt/die-microsoft-masche-internet-betrueger-geben-sich-als-hotline-mitarbeiter-aus/11744678.html



Folgende Maßnahmen habe ich bereits ergriffen:
- Internetverbindung nach 5-Minuten-Fernzugriff gekappt
- am betroffenen PC Anti Malwarebytes durchlaufen lassen - ohne Fund!
- von einem anderen PC aus meine Passwörter für Online-Banking, Facebook, E-Mail, Amazon, Ebay usw. geändert, sowie Online-Banking erst einmal gesperrt.



Was jetzt noch offen bleibt:
Es wird im Internet geraten, einen Fachmann zu Rate zu ziehen, was ich hiermit tun möchte. Außerdem konnte ich "Supremo" nicht deinstallieren, da es gar nicht in meinen installierten Programmen auftauchte. Mein Bedenken ist, dass, wenn ich die Internetverbindung wiederherstelle, ich ausspioniert werden kann bzw. von außerhalb weiter auf meinen PC zugegriffen werden kann. Darüberhinaus weiß ich nicht, zu was das heruntergeladenen Programm noch imstande ist oder ob während des Fernzugriffs etwas im Hintergrund gelaufen ist.

Ich hoffe, dass mir hier jemand helfen kann :) LG

Hier ein weiterer ausführlicher Bericht der FAZ. Bei mir ist es glücklicherweise erst gar nicht dazu gekommen, dass ich nach Bezahlungsmethoden gefragt wurde (die ich sicher nicht preisgegeben hätte).

Seite 2 - Abzock-Methode von vermeintlichen Microsoft-Mitarbeitern

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Jürgen, danke, dass du dich mir annimmst! :)
Ich habe Schritt 1 ausgeführt wie beschrieben! Der Download erfolgte von einem anderen PC aus, habe das Tool dann per Stick auf den betroffenen Rechner gezogen (den ich seither nicht mehr ans Internet angeschlossen habe).

Noch etwas möchte ich dir gerne mitteilen:
Ich habe am betroffenen PC mal nachgesehen, welche Befehle zuletzt eingegeben wurden und auf welchen Websites ich laut Chronikverlauf war. Ich hoffe, das hilft dir, das Problem genauer zu diagnostizieren.

Vorletzter Befehl (wurde dazu angeleitet): "www.windowsserver.webs.com" (wohl nicht die offizielle Microsoftseite). Dort habe ich mir Supremo runtergeladen.

Letzter Befehl (über Fernzugriff): "inf hidden trojan horse". Dies ging so schnell, dass ich es nicht sehen konnte (copy Paste wahrscheinlich). Daraufhin öffnete die Anruferin Mozilla Firefox und kommunizierte mit mir über Google translater (wenn das auch keine Fakeseite war). Dann kappte ich die Verbindung.

Also es gibt jetzt zwei Möglichkeiten.
1. Du machst den Rechner platt, weil Du ängstlich bist und die bestmögliche Sicherheit möchtest?
2. Wir bereinigen das was so nebenbei auf dem PC ist und suchen noch nach anderer Malware?

Hm, würde es denn auch etwas bringen, den PC auf einen früheren Zeitpunkt zurückzuversetzen, oder besteht selbst dann noch ein Restrisiko?

Wenn du ein Zurücksetzen nicht für sinnvoll hälst, würde ich gerne weiter machen. Den PC platt zu machen, ist zwar vorstellbar, aber bleibt ultima ratio

OK. :)

Schritt 1
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Bitte Anleitung lesen und umsetzen. Scan wiederholen.

:daumenhoc

Jetzt noch ein paar Kontrollscans, damit Du beruhigt sein kannst. :)

Schritt 1

http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass Deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2

Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version

• Starte die HitmanPro.exe
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman1.PNG
• Entferne den Haken bei
  http://deeprybka.trojaner-board.de/b...ro/hitman2.PNG
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman3.PNG und http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Akzeptiere die Lizenzbedingungen und klicke auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman5.PNG
  und auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  http://deeprybka.trojaner-board.de/b...ro/hitman6.PNGund speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo, in dieser Reihenfolge findest du die Logs:
- Logs TDSS Killer: Die Logs vor und nach der Reinigung möchte ich dir noch nachreichen, wie in der Anleitung zum TDSS-Killer beschrieben. Schau bitte mal, ob ich alles richtig eingestellt und entfernt habe.
- Log MBAM (2 Funde zu "Ask Toolbar")
- Log Hitman Pro (mehrere Funde zu "Ask Bar")
- Log Eset (2 Funde)

Aufgrund der vielen Zeichen splitte ich die Logs auf mehrere Beiträge auf.

TDSS vor Neustart (5 Funde):

TDSS nach Neustart (kein Fund):
MBAM (2 Funde zur AskToolbar):
HitmanPro (mehrere Funde zu AskBar):

ESET (2 Funde):

Wo hab ich bitte geschrieben, dass DU bei TDSS-Killer irgendetwas löschen lassen sollst?
Der erste Scan wurde mit nicht allen Parametern durchgeführt. Deshalb hab ich gesagt, Du sollst die Anleitung lesen und den Scan wiederholen. Du hast das offenbar falsch verstanden?

Ja habs leider missverstanden. Hoffe ich hab nichts Elementares gelöscht

Na wenn der PC noch läuft...:blabla:

Bitte jetzt keine weiteren Änderungen am PC vornehmen. Muss erst an nen anderen PC um zu schauen ob und wie man das gelöschte Zeug wiederherstellen kann.

Was man aber sagen kann ist, dass auf dem PC keine bekannte und sichtbare Malware läuft.

Hi,

Schritt 1

http://deeprybka.trojaner-board.de/tools/tkq1.PNG

Lade Dir bitte TDSSQlook von Maxstar auf Deinen Desktop.

• Starte das Tool und gib A (für Scan) in das Befehlsfenster ein. Bestätige mit ENTER.
• Warte geduldig bis sich das TDSSQ-Log öffnet und poste mir den Inhalt hier in den Thread.

Auch wenn das keine essentiellen Dateien sind, einen Versuch ist es wert...:)

Schritt 1

http://deeprybka.trojaner-board.de/tools/tkq1.PNG

• Starte das Tool und gib B (für Fix) in das Befehlsfenster ein. Bestätige mit ENTER.
• Kopiere folgenden Text in das sich öffnende Editorfenster, schließe es und bestätige die Änderungen mit Datei speichern.

Schritt 2

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn2.PNG

• Starte FRST.
• Kopiere in das Suche-Feld:
  Code:

  ---

  CLIStart.exe;TnglCtrl.exe;DslMgrSvc.exe;sptd.sys;tap0901t.sys

  ---

• Klicke auf den Datei-Suche Button.
• Bitte poste die erstellte Search.txt - Datei in Deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Hi, nein es gibt keine sichtbaren Probleme mit dem PC. Bisher war er aber immer auch vom Internet getrennt, bis auf den Scan mit ESET Online Scanner. Die heruntergeladene Datei Supremo habe ich manuell gelöscht und den Papierkorb geleert. Können die Betrüger irgendetwas mit meiner Computer-ID und dem Passwort anfangen, wenn ich Supremo gelöscht habe?

Danke schonmal für deinen bisherigen Aufwand! :) Hier noch die beiden Logs:

Probier den PC ruhig aus, auch im Internet und berichte.

Also mir ist bisher nichts aufgefallen, alles läuft normal :) Die Zeit, etwas zu installieren, war wohl ohnehin zu kurz

Die alte Java-Version unbedingt deinstallieren.




http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/esetmd.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Vielen lieben Dank!! Werde einige dieser nützlichen Tipps umsetzen! :)

OK. :)