• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

Hartnäckigen Backdoorvirus entfernen

DarkG4m3r

Freizeitschrauber(in)
Hallo liebe Community,
Weiß nicht ob ich hier richtig bin, aber mein Freund hat ein großes Problem.
Er hat einen Virus auf seinen Pc entdeckt, der (wahrscheinlich) eine Bakcdoor auf seinen Pc installiert hat... Somit wurde seine kreditkarte, paypal usw gehackt. Also die beste Variante. Diese Probleme wurden alle gelöste, allerdings ist der Virus immer noch auf dem Pc. Wir haben versucht sämtlcihe Festplatten über windows zu formatieren. Ob das alles sauber gelöscht hat, wissen wir nicht.
Also es wurde alles formatiert, windows neu installiert usw.
Nun hat mein kollege heute angerufen. Der pc hat wieder das gleiche virus, allerdings wissen wir nicht woher. Auch wurde wieder versucht auf seine accounts reinzukommen.

Was sollte man nun tun? Wir sind ratlos.
Es handelt sich um folgende Virus: vigorf.a
Der pc wird mit avast, windows defender, malwarebytes und kaspersky überprüft. Nur windows und malwarebytes findet den Virus.

Wir wissen nicht mehr weiter. Hat jemand von euch Ahnung?

Ps: wir haben noch eine Backdoor gefunden:

BLADABINDI




Grüße aus Italien.
 
Zuletzt bearbeitet:

ΔΣΛ

PCGH-Community-Veteran(in)
Womöglich ist der Schädling im Router, oder hat sich an einer externen Platte eingenistet.
Hier muss man ehrlich sein, sonst hilft es nicht, wird auf Seiten gesurft wo man kostenlos Sachen bekommt die normalerweise kostenpflichtig sind, oder Cheatsoftware benutzt?
 

Olstyle

Moderator
Teammitglied
Klingt so als stecke da noch irgendwo ein Rootkit drin. War sie Platte wirklich komplett gelöscht oder "nur" die Partitionen neu formatiert?
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
[COLOR=var(--textColor)]...wird auf Seiten gesurft wo man kostenlos Sachen bekommt die normalerweise kostenpflichtig sind, oder Cheatsoftware benutzt?[/COLOR]
Ja auf der boerse.im wird hier und da gesurft sowie runtergeladen.
Cheatsoftware wird nicht verwendet.
Klingt so als stecke da noch irgendwo ein Rootkit drin. War sie Platte wirklich komplett gelöscht oder "nur" die Partitionen neu formatiert?
Sie wurden komplett formatiert. Nur durch Windowsformstierung, wie sauber diese formstiert, weiß ich leider nicht.
 

Incredible Alk

Moderator
Teammitglied
Ob das alles sauber gelöscht hat, wissen wir nicht.
Also es wurde alles formatiert, windows neu installiert usw.
Nun hat mein kollege heute angerufen. Der pc hat wieder das gleiche virus, allerdings wissen wir nicht woher.
Mehrere Möglichkeiten:

1.) Rootkit. Das überlebt normale Formatierungen da es nicht im normalen Datenbereich der Platte gespeichert ist. Dazu musste die Partitionen aller Datenträger (auch für normale Benutzer nicht sichtbare Systempartitionen "unterhalb" von "C:"!) löschen und neu erstellen. Windowes-Neuinstallationen erlauben das in erweiterten Einstellungen.

2.) Virus sitzt zusätzlich auf anderen Geräten im Heimnetzwerk (Router, Smartphone(s), andere PCs, Smarte Geräte,...) und kopiert sich immer auf neue Geräte die sich ins WLAN einloggen. Sowas bekommste nur weg wenn das Netzwerk abgeschaltet und alle Geräte hart auf Werkseinstellungen gesetzt werden

3.) Virus wird sich immer wieder neu durch Nutzung fadenscheiniger Software/Webseiten/Dienste eingefangen. Wie schon erwähnt sind warez-, cheat-, pr0n- und ähnliche Seiten da heiße Kandidaten.
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
Das ist keine Formatierung, das ist nur ein "ich definiere diesen Bereich als leer"
Wie formantiert man dann eine Festplatte "richtig"?
Seine Daten die aktuell auf dem PC sind, können alle egal... Diese können ohne Probleme gelöscht werden.

Mehrere Möglichkeiten:

1.) Rootkit. Das überlebt normale Formatierungen da es nicht im normalen Datenbereich der Platte gespeichert ist. Dazu musste die Partitionen aller Datenträger (auch für normale Benutzer nicht sichtbare Systempartitionen "unterhalb" von "C:"!) löschen und neu erstellen. Windowes-Neuinstallationen erlauben das in erweiterten Einstellungen.

2.) Virus sitzt zusätzlich auf anderen Geräten im Heimnetzwerk (Router, Smartphone(s), andere PCs, Smarte Geräte,...) und kopiert sich immer auf neue Geräte die sich ins WLAN einloggen. Sowas bekommste nur weg wenn das Netzwerk abgeschaltet und alle Geräte hart auf Werkseinstellungen gesetzt werden

3.) Virus wird sich immer wieder neu durch Nutzung fadenscheiniger Software/Webseiten/Dienste eingefangen. Wie schon erwähnt sind warez-, cheat-, pr0n- und ähnliche Seiten da heiße Kandidaten.
Die hab ich mir gedacht .. mal schauen... Er besitzt nämlich ein sehr ausgeprägtes smarthome system:)
 

Incredible Alk

Moderator
Teammitglied
Wie formantiert man dann eine Festplatte "richtig"?
Bootstick erstellen (entweder Linux oder halt nen Windows-Installationsstick), von diesem Booten und mit dem Setup oder passenden Tools alle Partitionen der Platte entfernen (so dass nur "unformatierter Bereich" übrig bleibt). Dort können dann neue Prtitionen erstellt werden.

Das, was du in Windows als "C" siehst ist nur ein Teil des Datenträgers, Windows erstellt bei der Installation systempartitionen die versteckt sind. Wenn der Virus da drin sitzt wird ein "normales" formatieren ihn nicht beeindrucken.
Siehe:
1630256234723.png

Das ist mein C. 4 Partitionen von denen 3 Windows-Systemeigen sind.

Hardcore Variante: Google mal nach "DBAN". :-D
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
[COLOR=var(--textColor)]der die "Nukleare Option"[/COLOR]
Das haben wir versucht. Dort wird die Systemplatte nicht erkannt (eine kingston a2000 also m2,nvme)

(Sorry für die grauenhafte Formatierung, bin mobil unterwegs)

Bootstick erstellen (entweder Linux oder halt nen Windows-Installationsstick), von diesem Booten und mit dem Setup oder passenden Tools alle Partitionen der Platte entfernen (so dass nur "unformatierter Bereich" übrig bleibt). Dort können dann neue Prtitionen erstellt werden.

Das, was du in Windows als "C" siehst ist nur ein Teil des Datenträgers, Windows erstellt bei der Installation systempartitionen die versteckt sind. Wenn der Virus da drin sitzt wird ein "normales" formatieren ihn nicht beeindrucken.
Siehe:
Anhang anzeigen 1373156
Das ist mein C. 4 Partitionen von denen 3 Windows-Systemeigen sind.

Hardcore Variante: Google mal nach "DBAN". :-D
Danke für die Erklärung.
DBan kennn wir, Problem wie oben beschrieben. :(
 

Incredible Alk

Moderator
Teammitglied
In dem Falle erstelle ein Win10-Bootstick mit dem MediaCreationTool von Microsoft.
Wenn du von diesem bootest wird das Setup dich irgendwann fragen

1630256636344.png


In dem Menü klickste einfach so lange auf "löschen" bis keine Partitionen mehr übrig sind und nur noch unformatierter Bereich da ist. Da kannste dann eine neue Partition und ne Neuinstallation erstellen. Das reicht für Rootkit-Beseitigungen in aller Regel aus.
 

Olstyle

Moderator
Teammitglied
Die SSD sollte secure erase können, das sollten Gparted, Partedmagic und Co. auch als Option anbieten.
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
In dem Falle erstelle ein Win10-Bootstick mit dem MediaCreationTool von Microsoft.
Wenn du von diesem bootest wird das Setup dich irgendwann fragen

Anhang anzeigen 1373157

In dem Menü klickste einfach so lange auf "löschen" bis keine Partitionen mehr übrig sind und nur noch unformatierter Bereich da ist. Da kannste dann eine neue Partition und ne Neuinstallation erstellen. Das reicht für Rootkit-Beseitigungen in aller Regel aus.
Ja ich kenne es so und wir haben das so gemacht. Das meinte ich mit "Windows formatierung".

Die SSD sollte secure erase können, das sollten Gparted, Partedmagic und Co. auch als Option anbieten.
Wir werden dann Gparted probieren.
Schauen ob es was bringt.
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
Wenn danach das Virus immer noch da ist sind die Punkte 2 und 3 aus Post #5 deutlich wahrscheinlicher geworden.
Das freut meinen Kollegen. Nun darf er 57 Geräte zurücksetzen. :D

Wir werden den Pc mit Gparted formatieren und dann den Router sowie Smarthome in Angriff nehmen.

Den Router auch nur zurücksetzen? Oder irgendwelche "größeren" Maßnahmen?


Grüße aus Italien und schonmal vielen Dank für die ganzen Antworten. <3
 

Incredible Alk

Moderator
Teammitglied
Den Router auch nur zurücksetzen? Oder irgendwelche "größeren" Maßnahmen?
Ob hier ein Zurücksetzen wirklich hilft weiß wohl nur der Hersteller. Bei Routern ists oft so, dass Zurücksetzen nur die Werkseinstellungen wiederherstellt aber am eigentlichen Speicher/Software nichts verändert. Das machen oftmals nur Firmware-Updates (wäre grade ne gute Gelegenheit...).
Viren die derart "gut" sind dass sie sich in die Firmware von Routern schreiben und weiterverbreiten können sind aber sehr selten (da technisch sehr aufwendig und auch nur über eine Sicherheitslücke des Routers oder halt gammliges oder nie geändertes Adminpasswort machbar), da müsstet ihr wirklich nen absoluten Glücksgriff gemacht haben.

Ganz ehrlich - ich tippe eigentlich auf obige Option 3.
Einfach weil das in 99% der Fälle in denen Leute Rootkits haben zutrifft...
 

Gamer090

PCGH-Community-Veteran(in)
Kann auch sein das einer der Geräte im Smarthome System, den Virus in sich trägt. Diese Geräte für Smarthome sind leider nicht immer gut geschützt.
Und ich hoffe mal, das niergends das Standardpasswort genutzt wird!
 

Downsampler

BIOS-Overclocker(in)
Wurden irgendwelche Dateien gesichert und dann nach der Neuinstallation wieder zurückgespielt? Möglich das der Virus da drin ist. Auch in einem Backup, was schon älter ist. Auch die Installation von Software aus dubiosen Quellen könnte dafür sorgen, daß der Virus wieder installiert wird.
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
Wurden irgendwelche Dateien gesichert und dann nach der Neuinstallation wieder zurückgespielt?
Er hat alles mithilfe einer Cloud (Google Cloud) gesichert. Somit sollte das kein Problem sein.

Ob hier ein Zurücksetzen wirklich hilft weiß wohl nur der Hersteller. Bei Routern ists oft so, dass Zurücksetzen nur die Werkseinstellungen wiederherstellt aber am eigentlichen Speicher/Software nichts verändert. Das machen oftmals nur Firmware-Updates (wäre grade ne gute Gelegenheit...).
Gut... werde das meinem Kollegen schonend beibringen, er kann nämlich dadurch seine Schränke und Bett abbauen um an die Geräte zu kommen. :D

Danke vielmals für die Hilfe. Wir werden weiter probieren und sobald ich was neues habe, werde ich berichten.
 

Downsampler

BIOS-Overclocker(in)
LoL! :lol: Wo das Backup hingesichert wird, ist egal. Wenn in den Files ein Virus drin ist, dann hat er den beim zurückkopieren auf den Rechner wieder auf den Rechner kopiert.
 

Körschgen

BIOS-Overclocker(in)
Das deutet doch alles auf den typischen Alexa Smarthone User hin.


Keine Ahnung von nix aber jeden Mist ins Netzwerk packen.

Vermutlich noch massenhaft Tutorials nachgebastelt, ohne zu verstehen und nirgendwo vernünftige Benutzer/Kennwörter.

Meine Prognose:
Alles platt machen.
Und ich meine alles!

Automatische Cloud Backups?
Glückwunsch, kann er alles löschen.
 

Blackdoor

Komplett-PC-Käufer(in)
Wenn wir mal annehmen es ist wirklich ein Backdoor. Dann würd ich fast behaupten, dass er sich erstmal fröhlich versucht hat , im Heimnetzwerk sich auszubreiten um so viel wie möglich in ein Netzwerk einzubinden, bevor das überhaupt aufgefallen ist.

Ich schließ mich mal meinen erfahrenden Vorpostern an, dass man das Backup aufjeden Fall entsorgen kann.

Und jenachdem wie gut er programmiert und ausgestattet war könnte es passieren, das selbst komplettes Formatieren der Datenträger nix mehr bringt und im schlimmsten Fall einiges an Elektroschrott im Heimnetzwerk anfällt wie z.b. Drucker,Smartphones , Router und andere Smarthomegeräte...

Update : Würde als erstes auch Clean Installation vom Betriebsystem machen und vorher alle Datenträger komplett formatieren und schauen wie es dann aussieht.
 
Zuletzt bearbeitet:
TE
D

DarkG4m3r

Freizeitschrauber(in)
Automatische Cloud Backups?
Glückwunsch, kann er alles löschen.
Ist das wirklich so? Ich bin zwar von deiner These ausgegangen (weil es für mich so logisch ist), habe allerdings mit einem Kollegen gesprochen der bei einer großen Firma die komplette Cloud usw verwaltet und programmiert, er meinte das sein fast nicht möglich ein Virus in die Cloud zu schleppen... deshalb ging ich von dem "das ist kein Problem" aus! :D
Bitte steinigt mich nicht! :D

Wenn wir mal annehmen es ist wirklich ein Backdoor. Dann würd ich fast behaupten, dass er sich erstmal fröhlich versucht hat , im Heimnetzwerk sich auszubreiten um so viel wie möglich in ein Netzwerk einzubinden, bevor das überhaupt aufgefallen ist.

Ich schließ mich mal meinen erfahrenden Vorpostern an, dass man das Backup aufjeden Fall entsorgen kann.

Und jenachdem wie gut er programmiert und ausgestattet war könnte es passieren, das selbst komplettes Formatieren der Datenträger nix mehr bringt und im schlimmsten Fall einiges an Elektroschrott im Heimnetzwerk anfällt wie z.b. Drucker,Smartphones , Router und andere Smarthomegeräte...
Das hoffen wir mal nicht... er ist den Virus aktuell laut allen Virenprogramm los, allerdings hängt aktuell nur die Systemplatte dran. Den Rest haben wir mal abgekoppelt um Schritt für Schritt zu schauen wo der Virus sitzen könnte. Dann werden wir auch das Netzwerk prüfen und schauen ob er dort sitzt...
Gut okay, das macht nur mein Kollege... hoffe er macht nix falsches... :D


Grüße aus Italien.
 

Olstyle

Moderator
Teammitglied
Die üblichen Cloud Anbieter scannen alles was hochgeladen wird auf bekannte Viren. Das stimmt durchaus. Dann gibt es aber natürlich noch die Unbekannten, aber die würde auch dein lokales Tool nicht anzeigen.
Trotzdem kann es sicher nicht schaden den Drive Inhalt mal in eine Sandbox, z.B. eine Linux VM, zu laden und zu scannen bevor der wieder auf das Produktivsystem geladen wird.
 

Downsampler

BIOS-Overclocker(in)
Wenn das Antivirenprogramm eine Warnung ausgibt, ist es schon zu spät und der Virus wurde eingeschleppt.

Ein Haupteinfallstor für Viren ist heutzutage auch der E-Mailverkehr. Da reicht es ja schon, beim Mail anschauen einmal einen falschen Mausklick zu tätigen und schon hat man die Seuche auf dem Rechner.
 

Dooma

Freizeitschrauber(in)
Bladabindi ist aber keine Gefahr die sich in den bootpartitionen einnistet, aber sehr wohl im System-Restore.
Hier ein paar Infos zu dem Teil: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/backdoor.msil.bladabindi.ind
Arrival Details

This Backdoor arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Außerdem wird bladabindi mehrfach in Zusammenhang mit der Infektion durch ein RAT in Verbindung gebracht.
Es ist sehr wohl möglich das dieses nicht als Virus identifiziert wurde. (Könnte aber auch der bereits vorher gefundene Virus gewesen sein.)

Am wahrscheinlichsten ist dass hier eine infizierte Software nochmals installiert/ausgeführt wurde.
Sehr merkwürdig dass dies nicht vom AV proaktiv blockiert wurde, denn offensichtlich ist die Gefahr dem AV ja bekannt. Trendmicro z.b. listet das bereits seit 2019 auf.

Hier infos zu vigorf.a https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.msil.vigorf.a/

Unter den Details kann man klar erkennen dass der Virus versucht den AV zu behindern/auszuschalten.

Natürlich könnte es sein dass du noch weitere unentdeckte Infektionen hast, ich würde mal mit einem bootfähgen AV scannen, die können auch in die Bootpartition reinschauen.
 
Zuletzt bearbeitet:
TE
D

DarkG4m3r

Freizeitschrauber(in)
Vielen Dank für eure Hilfe.
Ich habe meinem Freund jetzt den gesamten PC neu aufgesetzt, sprich BIOS geflasht und Festplatte genuked. Also da kann nichts mehr da sein. Aktuell sieht es auch danach aus, dass kein Virus mehr auf dem PC liegt.

Allerdings hat mein Freund sehr krasse CPU Spikes. Im Idle sieht seine Auslastung so aus:
1630418310507.png


Was die CPU genau macht, keine Ahnung. Prozess gibt es keinen der hier wirbelt. Zwischendurch hat er auch 100% Auslastungen für mehrere Minuten.
Er macht nichts, er hat nur den Taskmanager aktiv offen und im Hintergrund seine "Softwares" für alle RGB Sachen. Aber vor dem Formatieren war alles wunderbar.

Windows Update wäre mir eingefallen... aber das würde ein Prozess im Taskmanager anzeigen, dass er so viel Leistung zieht?
Kann das jemand erklären? So langsam bin auch ich mit meinem Latein am Ende...

Grüße aus Italien.
 

Downsampler

BIOS-Overclocker(in)
Die Antwort siehst du doch auf deinem Bild. Irgendwas wird heruntergeladen mit 48.7 Mbit/s. Könnte Windows Update sein.
 
TE
D

DarkG4m3r

Freizeitschrauber(in)
Ich habe schon einige male meinen Taskmanager während des Updates (also während hoher Netzwerkauslastung durch Windows) zugeschauut und dort noch nie solche CPU Spikes gesehen.
Er hat sie immer noch, lädt aktuell nichts runter.
 
Oben Unten