Malware / Windows 11 PC

[ChckNrrs]

Hallo,

bin ich in dieser Kategorie richtig?

Ich habe mir vermutlich Malware / Viren auf meinem Windows 11 PC eingefangen. Die Kids waren in den Osterferien dran.

Eben startete das Programm CCleaner, das ich nicht installiert habe, angeblich heute installiert. Der Mauszeiger laggte total. Immer wenn ich das WLAN ausschaltete, ging es wieder an.

Das hörte erst auf, als ich den Router vom Strom trennte.

Nachdem ich "CCleaner" im abgesicherten Modus deinstalliert habe, läuft der PC im normalen Modus optisch anscheinend wieder normal.

Ich habe (optisch?) im normalen Modus Adminrechte im Terminal und kann den Windows Defender (optisch?) normal benutzen.

Im abgesicherten Modus (mit oder ohne Netzwerktreibern/-funktionen) kann ich die Eingabeaufforderung nicht mit Adminrechten starten. Und rufe ich die Windows Sicherheit auf, ist da nix. Keine Inhalte / Menüpunkte.

Der Windows Defender Offline Scan ist im normalen Windows Modus durchgelaufen, hat aber danach weder "alles gut", noch Warnungen ausgegeben (kA ob das normal ist).

Wie gehe ich am besten vor, um das definitv für mich rauszufinden? Ob, und/oder ob evt. meine Fritz!Box 7590 AX infiziert sind?

Welches Programm (oder mehrere?) sollte ich bspw. nehmen, um das per bootfähigem externem Stick für den PC zu prüfen? Und erwischt das alles?

Und rettet es mich, die SSDs zu formatieren und Windows neu zu installieren?

Früher hieß es, einmal infiziert, hilft nur die vollständige Komplettformatierung und Neuinstallation.

Lieben Dank vorab!!

 

[RoE187]

Lass mal den offline Scanner vom Defender laufen .
Dann einfach mehrere Testversionen von Antivir Programmen laufen lassen .
Kaspersky, Malwarebytes, Hitman , esset.
Von Malwarebytes den ADWcleaner auch mal Draufschauen lassen.

Aber ja, Festplatten formatieren , ist die sicherste Methode .
Die fritte resetten.
Dann sollte sollte da nicht mehr sein .

 

[ChckNrrs]

Habe lange mit Chat GPT rumprobiert.

Die Analyse im Windows Normalmodus von

(cmd in Windows Normalbetrieb, zumindest optisch mit Adminrechten

whoami /groups
dsregcmd /status
tasklist /v

(ansonsten)
Autoruns64.exe

hat keine Auffälligkeiten ergeben.

net localgroup administrators wird mit "Systemfehler 1376 aufgetreten" abgewiesen.

Ich weiß leider nicht, wie ich Onlinetraffic prüfen / auf Auffälligkeiten checken kann.

 

[Luxxiator]

Wenn man dem System nicht mehr vertraut, gibt es eigentlich nur eine Lösung....

 

[flyingjoker]

@ChckNrrs das klingt alles sehr verdächtig, du hast dir definitiv was eingefangen.
die Virenscanner die dir @RoE187 Empfohlen hat werden wahrscheinlich auch nicht alles finden, da sie nicht genügend Rechte haben.
Viele sachen kann man im Taskmanager sehen, und die Dateien liegen oft im Benutzerprofil oder in Systemordnern.
Man sollte schon wissen was man da löscht.
Am besten neu Windows installieren und vorher Daten sichern.

Beitrag automatisch zusammengeführt: Mittwoch um 13:24

Wenn man dem System nicht mehr vertraut, gibt es eigentlich nur eine Lösung....

Linux

 

[RoE187]

Ich habe zum Beispiel, simple-Wall installiert.dann fragt die dich bei jeder aus und eingehender Verbindung, ob du sie zulassen willst .

 

[flyingjoker]

Ich habe zum Beispiel, simple-Wall installiert.dann fragt die dich bei jeder aus und eingehender Verbindung, ob du sie zulassen willst .

Wenn die Maleware nicht über Port 80 oder Port 443 usw. nachladen würden.
Die machen ja keine verdächtigen neuen Ports auf.
Hast du mal gesehen wie die Viren und Maleware arbeiten?

 

[RoE187]

Hmm 🤔
In der Tat weiß ich das nicht.
Ich war der Annahme,das es egal ist was für'n Port verwendet wird. Trotzdem sollte die Firewall anschlagen, solange man keine Regel erstellt hat oder ?
Da man bei simple-Wall,IP und port recherchieren kann,fühlte ich mich eigendlich save.😅
Vorsichtshalber würde ich schonmal anfangen, die wichtigsten Passwörter zu ändern. Am besten von einem neutralem Gerät.

 

[ChckNrrs]

Der Offline Scanner vom Defender ist drüber gelaufen, hat aber weder ein positives noch ein negatives Ergebnis gemeldet. Müsste er das nicht?

Ich lasse gerade den Eset Online Scanner drüberlaufen.

Aber denke ein bootfähiger Virenscanner (Kaspersky Revue Disk, ESET SysRescue) macht mehr Sinn.

Nur um das Ergebnis zu sehen, kompromittiert ist kompromittiert.

Formatierung SSDs: reicht es, die Partitionen vor Windows Neuinstallation über einen Windows Installations Bootstick zu löschen?

Ich erinnere mich, dass ich für sowas vor 180 Jahren mal einen Linux Ubuntu BootStick hatte, mit dem ich dann die HDDs erst mit 0en, dann 1en, dann Random überschrieben habe. Keinen blassen Schimmer mehr, wie das ging und ob das muss.

 

[flyingjoker]

Hmm 🤔
In der Tat weiß ich das nicht.
Ich war der Annahme,das es egal ist was für'n Port verwendet wird. Trotzdem sollte die Firewall anschlagen, solange man keine Regel erstellt hat oder ?
Da man bei simple-Wall,IP und port recherchieren kann,fühlte ich mich eigendlich save.😅
Vorsichtshalber würde ich schonmal anfangen, die wichtigsten Passwörter zu ändern. Am besten von einem neutralem Gerät.

Hier ein Beispiel von einem Fiesling:

Emotet

Was macht Emotet so gefährlich ✓ Wie erkenne ich Emotet ✓ Wie kann ich mich vor der Malware schützen ✓ Die Sicherheitsexperten klären auf

www.hornetsecurity.com

So gut sind die Firewall auch nicht, wenn du Sicherheit willst holst du dir eine Fortigate + Application Security, dann hast du eine Firewall wie du es dir vorstellst.
Das gibt es nicht für Lau.

Passwörter würde ich vorher hier prüfen lassen:

So finden Sie heraus, ob Ihre Login-Daten gestohlen wurden | Verbraucherzentrale NRW

Accounts wurden gehackt, private Daten und Chats veröffentlicht: Haben Kriminelle auch Ihre Zugangsdaten? Wir stellen drei Online-Angebote vor, um es zu testen.

www.verbraucherzentrale.nrw

Wenn die kompromittiert wurden, dann ändern.

Beitrag automatisch zusammengeführt: Mittwoch um 14:13

Der Offline Scanner vom Defender ist drüber gelaufen, hat aber weder ein positives noch ein negatives Ergebnis gemeldet. Müsste er das nicht?

Ich lasse gerade den Eset Online Scanner drüberlaufen.

Aber denke ein bootfähiger Virenscanner (Kaspersky Revue Disk, ESET SysRescue) macht mehr Sinn.

Nur um das Ergebnis zu sehen, kompromittiert ist kompromittiert.

Formatierung SSDs: reicht es, die Partitionen vor Windows Neuinstallation über einen Windows Installations Bootstick zu löschen?

Ich erinnere mich, dass ich für sowas vor 180 Jahren mal einen Linux Ubuntu BootStick hatte, mit dem ich dann die HDDs erst mit 0en, dann 1en, dann Random überschrieben habe. Keinen blassen Schimmer mehr, wie das ging und ob das muss.

Die werden nix finden, wir sind im Jahr 2025 und nicht im Jahr 2010.
Die sind gut darin nicht gefunden zu werden, aber der PC zickt rum, also hat er sich was eingefangen.
Ja es reicht wenn Windows die Partition löscht.

Das mit dem nullen überschreiben macht man wenn man die HDD verkaufen möchte, ich persönlich verkaufe keine mehr, ich zerstöre sie vor dem entsorgen.

 

[Luxxiator]

@ChckNrrs Partitionen auflösen und dann einfach sauber neu installieren..

 

[ChckNrrs]

Kann es theoretisch sein, dass auch die Fritz Box 7590 AX kompromittiert wurde? Falls ja, wie prüfe ich das?

Und (ich werde langsam paranoid) meine Mobilfunkverbindung (Android) ist seit etlichen Tagen total scheiße. Kann es da irgendwie einen Zusammenhang geben? Gehe da nicht von aus. Aber was weiß ich.
Ich glaube, die letzten Frage ziehe ich zurück.

 

[flyingjoker]

Kann es theoretisch sein, dass auch die Fritz Box 7590 AX kompromittiert wurde? Falls ja, wie prüfe ich das?

Und (ich werde langsam paranoid) meine Mobilfunkverbindung (Android) ist seit etlichen Tagen total scheiße. Kann es da irgendwie einen Zusammenhang geben? Gehe da nicht von aus. Aber was weiß ich.
Ich glaube, die letzten Frage ziehe ich zurück.

Nein die Fritzbox garantiert nicht, und Android hat andere Viren, die sind nicht kompatibel.

 

[Bimer]

Aber denke ein bootfähiger Virenscanner (Kaspersky Revue Disk, ESET SysRescue) macht mehr Sinn.

Nur um das Ergebnis zu sehen, kompromittiert ist kompromittiert.

Richtig und die finden zudem bei Weitem nicht alles.

Formatierung SSDs: reicht es, die Partitionen vor Windows Neuinstallation über einen Windows Installations Bootstick zu löschen?

Reichen ja, aber wozu den Umstand? Wenn du neu installierst, dann löschst du mit Windows Mitteln die Partition und erstellst eine Neue.

Da ist man mit einem bearbeiteten bzw. "beschnittenen" Windows besser bedient, da sehr übersichtlich und es einem sofort auffällt, wenn etwas Fremdes läuft.

 

[RoE187]

Also , als ich Ende Januar mir den LummaC2 selbst installiert hab.hat er neben alles Email Adressen, Passwörter, auch die Zugangsdaten der Fritzbox bekommen. Mein ISP ,hat sich bei mir gemeldet, da sie meine Zugangsdaten im darknet gefunden haben....

War ein absolutes Desaster,für mein Seelenfrieden 🙈
Abgesehen davon , das es echt nervig ist , 146 Passwörter zu ändern 😅
Naja jetzt bin ich paranoid as f***. Das positive ist , 2fa,Ufa,otp,fido ,etc und Yubikey sind mir jetzt bekannt 😂

 

[Erklärbär]

net localgroup administrators wird mit "Systemfehler 1376 aufgetreten" abgewiesen.

..und?

 

[Bimer]

Weil es das Konto gar nicht gibt bzw. erstellt wurde?

net user Administrator /active

 

[ChckNrrs]

Das kommt daher, dass ich mit Chat GPT gearbeitet und den PC im abgesicherten Modus analysiert habe (ja, als Laie). Und diversen Kram ausprobiert habe


Ich schreibe nochmal was ausführlicher, vielleicht interessiert es ja den ein oder anderen von euch, was ich so getrieben habe mit "AI".

Mich interessiert auf jeden Fall eure Meinung zu der Vorgehensweise und den Aussagen von Chat GPT. Ich bin mir gerade nicht sicher, ob Chat GPT nur als LLM läuft, oder bereits das Reasoning Model integriert wurde.

Ggf. wäre eine andere AI aktuell eine bessere Wahl?


Ganz am Ende hätte noch eine wichtige Frage.

Ggf. danke euch, und schönen Feiertag!!


➡️➡️➡️➡️➡️➡️ Chat GPT

Den Output der folgenden Abfragen (.txt und Screenshots) habe ich zur Analyse dort hochgeladen.

netstat -abno
Autoruns von Sysinternals
Process Explorer
TCPView

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
sc query type= service state= all
sc query type= service state= running
(sc query type= service state= running > "%userprofile%\Desktop\laufende_dienste.txt")
(sc query type= service state= running > laufende_dienste.txt)
schtasks /query /fo LIST /v (im normalen Modus / d.h. Windows Betrieb)
(schtasks /query /fo LIST /v > geplante_aufgaben.txt)
netstat -abno
(netstat -abno > netzwerk_verbindungen.txt)
tasklist /v
tasklist /v /fo table > "%userprofile%\Desktop\tasklist_output.txt"
wmic process get ProcessId,ExecutablePath,CommandLine > "%userprofile%\Desktop\processlist.txt"

Chat GPTs Aussagen dazu, ob das bei einem.infizierten System überhaupt Sinn macht, gem. beigefügten Screenshots.


Fazit laut Chat GPT:

insb. im abgesicherten Modus kann sich Malware nicht vollständig verstecken, sofern es sich nicht um einen staatlichen oder APT - Level - Angreifer handelt.

Im gesamten Output war laut Chat GPT und eigener Sichtung (letzteres sehr eingeschränkt nur möglich) nichts auffälliges.

Es sei nicht von einer Infektion mit Malware auszugehen.

Auf kritische Nachfrage, ob Chat GPT sich sicher sei, bekam ich den ausdrücklichen Output, dass trotz Installation des plötzlich aufgetauchten, von mir nicht aktiv installierten "CCleaner" inkl. PC Verhalten direkt danach (WLAN immer wieder an, nachdem ich es ausgeschaltet habe, und laggender Maus, was aufhörte, nachdem ich CCleaner im abgesicherten Modus deinstalliert habe) ncht von einer Malware Infektion auszugehen ist.

Vermutlich Drive by Installation von Adware. Ich habe nur zu der Zeit nichts installiert, sondern nur Archive entpackt oder fertig entpackte Archive auf den PC kopiert.

Dies sei wahrscheinlich Systemverhalten aus zusammen kommender Umstände von Systemüberlastung (woher, frage ich mich da aber, weil da passierte gerade nix; ab und an lagt der 7800X3D etwas) und Adware.


Es scheint ja eine neue Sicherheitslücke bei AM4 / AM5 CPUs aufgetaucht zu sein. Ich traue mich aktuell noch nicht, das neue Beta BIOS aufzuspielen. Habe da bei MSI mal böse Schiffbruch mit erlitten. Auch wenn ich ein Asus Board habe. Aber die haben ja auch mal CPUs gegrillt mit schlechtem BIOS.


➡️➡️➡️➡️➡️➡️ Adminrechte

Adminrechte:

evt. lag ich falsch, dass ich im abgesicherten Modus Windows 11 keine Adminrechte habe.

Ich kann "Terminal (Administrator)" nicht starten.

Wenn ich "Terminal" starte, steht dort am oberen Rand "Administrator: Eingabeaufforderung", und der angegebene Pfand ist c:\system\....

Wenn ich dort net session eingebe, erhalte ich nicht "Zugriff verweigert".
Und whoami /groups | find "S-1-16-12288" klappt auch.
Beides laut Chat GPT eindeutige Zeichen dafür, dass ich Adminrechte habe.

Es sei nicht ungewöhnlich, dass "nur" das "Terminal" startet, aber direkt mit Adminrechte.

Bei einem schwerwiegend (?) infizierten System sei es aber nicht abschließend möglich, den Status "Admin" gesichert zu klären / zu erhalten. Wobei das mit hoher Wahrscheinlichkeit gem. beider Eingaben oben aber festzustellen sei.


➡️➡️➡️➡️➡️➡️ Windows Defender

Was mich nach wie vor irritiert:

im abgesicherten Modus sehe ich unter "Windows Sicherheit" keinerlei Inhalte / Menüpunkte.

Mit welchem Befehl über die Eingabeaufforderung starte ich den Windows Defender im abgesicherten Modus und führe einen vollständigen Systemscan durch?

 

[RoE187]

Wenn du wirklich sicher gehen willst, kommst du um eine vollständige Analyse nicht herum.
Geh in ein Forum ala ,Bleeping, Malwarebytes oder Trojaner Board und Folge dessen Anweisungen bzw Anleitungen.

Ich hab's auf eigene Faust aber nach deren Anleitung gemacht .
Hab den Trojaner gefunden und den infostealer. Beides löschen können.
Aber schlussendlich dann doch das System neu aufgesetzt 😅

Beitrag automatisch zusammengeführt: Gestern um 09:11

Wichtig ist auch , das der PC nicht mit dem Internet verbunden ist, da er sonst "Sachen" nachladen kann.

 

[ChckNrrs]

Danke für die Boardtipps 👍 Denke auch nach wie vor, dass ich das System neu aufsetzen werde. Alle relevanten PWs geändert + wo es noch nicht war 2- oder 3-Faktor-Authentifizierung.


➡️➡️➡️➡️➡️➡️ Windows Defender

Was mich nach wie vor irritiert:

im abgesicherten Modus sehe ich unter "Windows Sicherheit" keinerlei Inhalte / Menüpunkte.

Mit welchem Befehl über die Eingabeaufforderung starte ich den Windows Defender im abgesicherten Modus und führe einen vollständigen Systemscan durch?


➡️➡️➡️➡️➡️➡️ Trafficüberwachung

Gibt es ein Tool, mit dem man den Traffic sicher überwachen und auf Fremdzugriffe analysieren kann?

 

[RoE187]

Ich benutze die Malwarebytes Firewall Erweiterung und simplewall.

 

[Bimer]

Gibt es ein Tool, mit dem man den Traffic sicher überwachen und auf Fremdzugriffe analysieren kann

tcpview von sysinternal


Hacke das als Lehre ab und denke in der Zukunft besser darüber nach, was du tust. Vor allem, was du tun wirst, wenn es mal passiert.
Chat GPT ist ein halb-debiler Pinguin.
Du kennst dich nicht aus. Was bleibt dir sonst, als neu zu installieren?
Weisst du überhaupt, wie du alle Anwendungen sicherst? Sowas gibt es nicht. Das ist nicht Android oder Apple. Da solltest du hingehen.

 

[aluis]

In der Zeit, mit der du dich mit dem Problem beschäftigt hast, hättest du Windows schon mehrfach neu installieren können.

 

[ChckNrrs]

Sicher. Wenn ich einen USB Stick da hätte. Bis dahin hat mich das Thema einfach interessiert.

 

[tom1tom]

Sicher. Wenn ich einen USB Stick da hätte. Bis dahin hat mich das Thema einfach interessiert.

frag Nachbarn.

Aber in jedem Haushalt sind min. 1-2 usb sticks.

Selbst bei meiner Schwester, die hat nicht mal Computer oder Laptop.

Sind 2 usb sticks.

Na dann brenn dir auf DVD .

 

[butcher1de]

Warum nicht einfach, dass sicher vorhandene (aktuelle) Backup, wieder einspielen? Das wäre für mich das naheliegendste, anstelle mich mit dem Unwissen über mehrere Tage mit herumzuschlagen.
In der Zeit (wenn du was gefuttert hast), könnte dein ganzes Netzwerk (falls vorhanden) verseucht sein.

Eine verseuchte Kiste bekommst du niemals mehr zu 100% sauber, und wenn doch bist Du dir nicht sicher und das wird deinen Tag versauen.

Kein Backup kein Mitleid, gilt auch für die welche nach einer Neuinstallation schreien.

 

[Bimer]

Sicher. Wenn ich einen USB Stick da hätte. Bis dahin hat mich das Thema einfach interessiert.

Das geht doch aus dem laufendem Windows heraus? Aus einer entpackten ISO die EXE starten.

 

[tom1tom]

Das geht doch aus dem laufendem Windows heraus? Aus einer entpackten ISO die EXE starten.

Ja als Update aber nicht für'n Clean Install

 

[Bimer]

Wenn juckst? Das Problem wäre doch dabei behoben.

Eine verseuchte Kiste bekommst du niemals mehr zu 100% sauber, und wenn doch bist Du dir nicht sicher und das wird deinen Tag versauen.

Doch, manchmal schon. Ich hatte schon mal einen Fall, bei dem jeder Versuch den Pfad aufzurufen fehlschlug, weil nach dem Aufruf der sofort geschlossen wurde. Der Entwickler hat daran gedacht. Da hat auch ein Dateimanager nicht geholfen.

Als Erstes würde ich nach einer Neuinstallation über einen "komfortablen" Zugang zu einem abgesicherten Modus prüfen.


Inzwischen funktioniert es nicht so, wie es mal früher mit F8 beim Start gewesen ist. Aber vielleicht hilfts:

Einfach unter cmd.exe, als Admin aufgerufen, folgendes einfügen:
bcdedit /set {current} bootmenupolicy legacy

Troubleshoot - Advanced options - restart
Danach wähle ich immer "safe mode" mit Netzwerk. Wenns Kacke läuft, dann richtig. Also will man dann auch nach Hilfe im Inet suchen. Dabei hilft immer ein portabler Browser und Dateimanager. Die sind sowieso im Alltag hilfreich. Cent und FreeCommander XE
Als Tipp für den Dateimanager, strg d, 2 Tasten rufen die Konsole aus.