Hartnäckigen Backdoorvirus entfernen

D

DarkG4m3r

Freizeitschrauber(in)
Hallo liebe Community,
Weiß nicht ob ich hier richtig bin, aber mein Freund hat ein großes Problem.
Er hat einen Virus auf seinen Pc entdeckt, der (wahrscheinlich) eine Bakcdoor auf seinen Pc installiert hat... Somit wurde seine kreditkarte, paypal usw gehackt. Also die beste Variante. Diese Probleme wurden alle gelöste, allerdings ist der Virus immer noch auf dem Pc. Wir haben versucht sämtlcihe Festplatten über windows zu formatieren. Ob das alles sauber gelöscht hat, wissen wir nicht.
Also es wurde alles formatiert, windows neu installiert usw.
Nun hat mein kollege heute angerufen. Der pc hat wieder das gleiche virus, allerdings wissen wir nicht woher. Auch wurde wieder versucht auf seine accounts reinzukommen.

Was sollte man nun tun? Wir sind ratlos.
Es handelt sich um folgende Virus: vigorf.a
Der pc wird mit avast, windows defender, malwarebytes und kaspersky überprüft. Nur windows und malwarebytes findet den Virus.

Wir wissen nicht mehr weiter. Hat jemand von euch Ahnung?

Ps: wir haben noch eine Backdoor gefunden:

BLADABINDI




Grüße aus Italien.
 
Zuletzt bearbeitet:
Womöglich ist der Schädling im Router, oder hat sich an einer externen Platte eingenistet.
Hier muss man ehrlich sein, sonst hilft es nicht, wird auf Seiten gesurft wo man kostenlos Sachen bekommt die normalerweise kostenpflichtig sind, oder Cheatsoftware benutzt?
 
Klingt so als stecke da noch irgendwo ein Rootkit drin. War sie Platte wirklich komplett gelöscht oder "nur" die Partitionen neu formatiert?
 
ΔΣΛ schrieb:
...wird auf Seiten gesurft wo man kostenlos Sachen bekommt die normalerweise kostenpflichtig sind, oder Cheatsoftware benutzt?
Zum Vergrößern anklicken....
Ja auf der boerse.im wird hier und da gesurft sowie runtergeladen.
Cheatsoftware wird nicht verwendet.
Olstyle schrieb:
Klingt so als stecke da noch irgendwo ein Rootkit drin. War sie Platte wirklich komplett gelöscht oder "nur" die Partitionen neu formatiert?
Zum Vergrößern anklicken....
Sie wurden komplett formatiert. Nur durch Windowsformstierung, wie sauber diese formstiert, weiß ich leider nicht.
 
DarkG4m3r schrieb:
Ob das alles sauber gelöscht hat, wissen wir nicht.
Also es wurde alles formatiert, windows neu installiert usw.
Nun hat mein kollege heute angerufen. Der pc hat wieder das gleiche virus, allerdings wissen wir nicht woher.
Zum Vergrößern anklicken....
Mehrere Möglichkeiten:

1.) Rootkit. Das überlebt normale Formatierungen da es nicht im normalen Datenbereich der Platte gespeichert ist. Dazu musste die Partitionen aller Datenträger (auch für normale Benutzer nicht sichtbare Systempartitionen "unterhalb" von "C:"!) löschen und neu erstellen. Windowes-Neuinstallationen erlauben das in erweiterten Einstellungen.

2.) Virus sitzt zusätzlich auf anderen Geräten im Heimnetzwerk (Router, Smartphone(s), andere PCs, Smarte Geräte,...) und kopiert sich immer auf neue Geräte die sich ins WLAN einloggen. Sowas bekommste nur weg wenn das Netzwerk abgeschaltet und alle Geräte hart auf Werkseinstellungen gesetzt werden

3.) Virus wird sich immer wieder neu durch Nutzung fadenscheiniger Software/Webseiten/Dienste eingefangen. Wie schon erwähnt sind warez-, cheat-, pr0n- und ähnliche Seiten da heiße Kandidaten.
 
Olstyle schrieb:
Das ist keine Formatierung, das ist nur ein "ich definiere diesen Bereich als leer"
Zum Vergrößern anklicken....
Wie formantiert man dann eine Festplatte "richtig"?
Seine Daten die aktuell auf dem PC sind, können alle egal... Diese können ohne Probleme gelöscht werden.

Incredible Alk schrieb:
Mehrere Möglichkeiten:

1.) Rootkit. Das überlebt normale Formatierungen da es nicht im normalen Datenbereich der Platte gespeichert ist. Dazu musste die Partitionen aller Datenträger (auch für normale Benutzer nicht sichtbare Systempartitionen "unterhalb" von "C:"!) löschen und neu erstellen. Windowes-Neuinstallationen erlauben das in erweiterten Einstellungen.

2.) Virus sitzt zusätzlich auf anderen Geräten im Heimnetzwerk (Router, Smartphone(s), andere PCs, Smarte Geräte,...) und kopiert sich immer auf neue Geräte die sich ins WLAN einloggen. Sowas bekommste nur weg wenn das Netzwerk abgeschaltet und alle Geräte hart auf Werkseinstellungen gesetzt werden

3.) Virus wird sich immer wieder neu durch Nutzung fadenscheiniger Software/Webseiten/Dienste eingefangen. Wie schon erwähnt sind warez-, cheat-, pr0n- und ähnliche Seiten da heiße Kandidaten.
Zum Vergrößern anklicken....
Die hab ich mir gedacht .. mal schauen... Er besitzt nämlich ein sehr ausgeprägtes smarthome system:)
 
DarkG4m3r schrieb:
Wie formantiert man dann eine Festplatte "richtig"?
Zum Vergrößern anklicken....
Bootstick erstellen (entweder Linux oder halt nen Windows-Installationsstick), von diesem Booten und mit dem Setup oder passenden Tools alle Partitionen der Platte entfernen (so dass nur "unformatierter Bereich" übrig bleibt). Dort können dann neue Prtitionen erstellt werden.

Das, was du in Windows als "C" siehst ist nur ein Teil des Datenträgers, Windows erstellt bei der Installation systempartitionen die versteckt sind. Wenn der Virus da drin sitzt wird ein "normales" formatieren ihn nicht beeindrucken.
Siehe:
1630256234723.png

Das ist mein C. 4 Partitionen von denen 3 Windows-Systemeigen sind.

Hardcore Variante: Google mal nach "DBAN". :-D
 
Olstyle schrieb:
der die "Nukleare Option"
de.m.wikipedia.org

Darik’s Boot and Nuke – Wikipedia

de.m.wikipedia.org de.m.wikipedia.org
Zum Vergrößern anklicken....
Das haben wir versucht. Dort wird die Systemplatte nicht erkannt (eine kingston a2000 also m2,nvme)

(Sorry für die grauenhafte Formatierung, bin mobil unterwegs)

Incredible Alk schrieb:
Bootstick erstellen (entweder Linux oder halt nen Windows-Installationsstick), von diesem Booten und mit dem Setup oder passenden Tools alle Partitionen der Platte entfernen (so dass nur "unformatierter Bereich" übrig bleibt). Dort können dann neue Prtitionen erstellt werden.

Das, was du in Windows als "C" siehst ist nur ein Teil des Datenträgers, Windows erstellt bei der Installation systempartitionen die versteckt sind. Wenn der Virus da drin sitzt wird ein "normales" formatieren ihn nicht beeindrucken.
Siehe:
Anhang anzeigen 1373156
Das ist mein C. 4 Partitionen von denen 3 Windows-Systemeigen sind.

Hardcore Variante: Google mal nach "DBAN". :-D
Zum Vergrößern anklicken....
Danke für die Erklärung.
DBan kennn wir, Problem wie oben beschrieben. :(
 
In dem Falle erstelle ein Win10-Bootstick mit dem MediaCreationTool von Microsoft.
Wenn du von diesem bootest wird das Setup dich irgendwann fragen

1630256636344.png


In dem Menü klickste einfach so lange auf "löschen" bis keine Partitionen mehr übrig sind und nur noch unformatierter Bereich da ist. Da kannste dann eine neue Partition und ne Neuinstallation erstellen. Das reicht für Rootkit-Beseitigungen in aller Regel aus.
 
Incredible Alk schrieb:
In dem Falle erstelle ein Win10-Bootstick mit dem MediaCreationTool von Microsoft.
Wenn du von diesem bootest wird das Setup dich irgendwann fragen

Anhang anzeigen 1373157

In dem Menü klickste einfach so lange auf "löschen" bis keine Partitionen mehr übrig sind und nur noch unformatierter Bereich da ist. Da kannste dann eine neue Partition und ne Neuinstallation erstellen. Das reicht für Rootkit-Beseitigungen in aller Regel aus.
Zum Vergrößern anklicken....
Ja ich kenne es so und wir haben das so gemacht. Das meinte ich mit "Windows formatierung".

Olstyle schrieb:
Die SSD sollte secure erase können, das sollten Gparted, Partedmagic und Co. auch als Option anbieten.
Zum Vergrößern anklicken....
Wir werden dann Gparted probieren.
Schauen ob es was bringt.
 
Incredible Alk schrieb:
Wenn danach das Virus immer noch da ist sind die Punkte 2 und 3 aus Post #5 deutlich wahrscheinlicher geworden.
Zum Vergrößern anklicken....
Das freut meinen Kollegen. Nun darf er 57 Geräte zurücksetzen. :D

Wir werden den Pc mit Gparted formatieren und dann den Router sowie Smarthome in Angriff nehmen.

Den Router auch nur zurücksetzen? Oder irgendwelche "größeren" Maßnahmen?


Grüße aus Italien und schonmal vielen Dank für die ganzen Antworten. <3
 
DarkG4m3r schrieb:
Den Router auch nur zurücksetzen? Oder irgendwelche "größeren" Maßnahmen?
Zum Vergrößern anklicken....
Ob hier ein Zurücksetzen wirklich hilft weiß wohl nur der Hersteller. Bei Routern ists oft so, dass Zurücksetzen nur die Werkseinstellungen wiederherstellt aber am eigentlichen Speicher/Software nichts verändert. Das machen oftmals nur Firmware-Updates (wäre grade ne gute Gelegenheit...).
Viren die derart "gut" sind dass sie sich in die Firmware von Routern schreiben und weiterverbreiten können sind aber sehr selten (da technisch sehr aufwendig und auch nur über eine Sicherheitslücke des Routers oder halt gammliges oder nie geändertes Adminpasswort machbar), da müsstet ihr wirklich nen absoluten Glücksgriff gemacht haben.

Ganz ehrlich - ich tippe eigentlich auf obige Option 3.
Einfach weil das in 99% der Fälle in denen Leute Rootkits haben zutrifft...
 
Kann auch sein das einer der Geräte im Smarthome System, den Virus in sich trägt. Diese Geräte für Smarthome sind leider nicht immer gut geschützt.
Und ich hoffe mal, das niergends das Standardpasswort genutzt wird!
 
Wurden irgendwelche Dateien gesichert und dann nach der Neuinstallation wieder zurückgespielt? Möglich das der Virus da drin ist. Auch in einem Backup, was schon älter ist. Auch die Installation von Software aus dubiosen Quellen könnte dafür sorgen, daß der Virus wieder installiert wird.
 
Downsampler schrieb:
Wurden irgendwelche Dateien gesichert und dann nach der Neuinstallation wieder zurückgespielt?
Zum Vergrößern anklicken....
Er hat alles mithilfe einer Cloud (Google Cloud) gesichert. Somit sollte das kein Problem sein.

Incredible Alk schrieb:
Ob hier ein Zurücksetzen wirklich hilft weiß wohl nur der Hersteller. Bei Routern ists oft so, dass Zurücksetzen nur die Werkseinstellungen wiederherstellt aber am eigentlichen Speicher/Software nichts verändert. Das machen oftmals nur Firmware-Updates (wäre grade ne gute Gelegenheit...).
Zum Vergrößern anklicken....
Gut... werde das meinem Kollegen schonend beibringen, er kann nämlich dadurch seine Schränke und Bett abbauen um an die Geräte zu kommen. :D

Danke vielmals für die Hilfe. Wir werden weiter probieren und sobald ich was neues habe, werde ich berichten.
 
LoL! :lol: Wo das Backup hingesichert wird, ist egal. Wenn in den Files ein Virus drin ist, dann hat er den beim zurückkopieren auf den Rechner wieder auf den Rechner kopiert.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

W
ASUS Prime X570-P BIOS Probleme, bleibt hängen
Antworten
3
Aufrufe
916
weby112
W
Qwappes
Zu viele Probleme und leider kaum Ahnung
Antworten
6
Aufrufe
1K
TiH8
TiH8
J
Signalproblem zwischen PC und Monitor
Antworten
2
Aufrufe
887
Joll_y
J
S
Probleme mit neuem PC-Setup/Build. Boot/Installationsprobleme
Antworten
3
Aufrufe
897
Semtex77
S
BlubSpinat
Plötzlich Bildschirm Tearing & Unschärfe
Antworten
8
Aufrufe
1K
Cpt.William
Cpt.William
Oben Unten
Zurück