Jump to content

Recommended Posts

Posted

Hallo,

leider sind meine Kenntnisse in dieser Thematik eher begrenzt aber ich versuche die Ereignisse so gut es geht wiederzugeben:

Vor ein paar Tagen surfte ich mit meinem Desktop-PC (Windows 10) im Internet. Kaspersky Internet Security und  Nord VPN waren aktiv. 
Dass etwas nicht stimmt habe ich zum ersten Mal bemerkt als ich mir mein Google-Account näher angesehen habe und dabei dachte, dass die Darstellung ein bisschen merkwürdig aussieht. Nicht so glatt, wie ich es sonst in Erinnerung hatte sondern eine minimal schlechtere Auflösung, z.b. wie bei einem Screenshot. In meinen Google Einstellungen hatte ich nach kurzer Suche gesehen, dass ich ausnahmslos allen Drittanbieter Cookies vertrauen würde. Ich konnte mich nicht erinnern das mal so eingestellt zu haben, aber die Einstellung ist vielleicht ja nicht ungewöhnlich und eventuell standardmäßig so. Nach kurzer google-suche zu diesem Thema versicherten mir die ersten Suchergebnisse, dass man bei Google bedenkenlos allen Drittanbieter-Cookies vertrauen kann. Das machte mich nervös. Nichts im Internet ist "bedenkenlos". Und mich beschlich irgendwie das Gefühl, dass ich zwar soeben diese Google-suche getätigt hatte, aber die Seite mit den Such-Ergebnissen sah irgendwie eigenartig aus. Ich konnte zwar scrollen aber irgendwas schien trotzdem komisch. Naja, bestimmt bildete ich mir das nur ein. War ja schon spät.

Also habe ich den Netzwerkmonitor von Kaspersky geöffnet um mich zu beruhigen. Ich hatte mich aus Interesse schon einmal damit auseinandergesetzt und wusste ungefähr was mich dort erwarten würde, deshalb war ich umso verblüffter als ich sah, dass dort absolut nichts passierte. 4-5 Einträge waren zu sehen, die schon eine Weile zurücklagen aber sonst keine aktuelle oder kürzliche Aktivität. Aber da ich ja zur Zeit online war, müsste dort doch einiges los sein. Dachte ich zumindest aber vielleicht hatte ich ja aus Versehen irgendwas deaktiviert?

Wie sieht es denn in der Programmaktivität aus? An oberster Stelle war ein Programm, dessen Name mir nichts sagte, komischerweise aber verdammt viele, also eigentlich alle Berechtigungen und Zugriffsrechte auf meinem PC hatte. 
Aber da ich mich nicht besonders auskenne, gehe ich ja erstmal von der Unschuld dieses Programms aus und habe es gegoogelt. Wieder einmal Entwarnung: Das kleine Programm "Ensserver" sei bedenkenlos und sei irgendwie ein Programm was mit Microsofts "Ease-US" zusammenhängt (was mir ebenfalls kein Begriff war).
Trotzdem hatte ich erneut den Eindruck, dass diese Google-Ergebnisse ein leicht ungewöhnliches Layout hatten und ich wurde das Gefühl nicht los, dass mir hier jemand einen Bären aufbinden wollte.
Also wieder zurück zum Kaspersky Netzwerkmonitor, wo sich immer noch nichts tat. Aber in der Programmaktivität hatte sich während meiner Recherche etwas verändert: Das Programm "Ensserver" war verschwunden. Ein Glück. Das war mir ja eh nicht ganz geheuer. Stattdessen war nun "Google Chrome" an oberster Stelle und das erschien mir auch einleuchtend. Trotzdem habe ich mal draufgeklickt und mir Details angesehen. Kaspersky hat ja so ein nettes Feature, das schnell Aufklärung gibt, ob es sich um ein gut- oder bösärtiges Programm handelt. Man sieht nämlich die Anzahl anderer Kaspersky User, die ebenfalls dieses Programm installiert haben. Und bei "Google Chrome" wurde mir Entwarnung gegeben, da es außer mir noch 30000 weitere Nutzer installiert haben. 
...wirklich? 30000 andere Kaspersky Nutzer haben auch Google Chrome installiert? Fehlten da nicht mindestens zwei bis drei Nullen? 
Ich habe daraufhin wieder den Netzwerkmonitor aufgerufen und da fiel mir erst jetzt auf, dass dort ein Prozess mit "Aufgabe gestartet" zu sehen war und als ich da drauf klickte, gab es die Möglichkeit (soweit ich mich erinnere) "gesetzte Filter rückgängig machen" oder etwas in der Art, so dass nichts mehr ausgeblendet wird was ich definitiv niemals so eingestellt, bzw. eingerichtet hätte und durch das Entfernen dieser "Aufgabe" wurden plötzlich alle Netzwerkprozesse wieder dargestellt und ich erblickte nun das Ausmaß der gesamten Zugriffe, die die ganze Zeit absichtlich mittels dieses raffinierten Tricks vor mir geheim gehalten wurden. Ich kann mich nur noch an "Zugriff auf Webcam" erinnern, was mehrfach zu sehen war in dieser nicht enden wollenden Liste an "Zugriff auf..."-Einträgen im Kaspersky Netzwerkmonitor.

Dadurch fühlte sich der Eindringling nun offenbar auch ertappt und versuchte seine Machenschaften erneut zu verbergen indem sofort wieder irgendwelche Ausnahmen gesetzt wurden um den Netzwerkverkehr zu verstecken aber so genau hab ich das auch nicht mehr verfolgt, weil ich ausschließlich damit beschäftigt war sämtliche Koaxial-Kabel aus allen Geräten zu ziehen, die in irgendeiner Form am Internet-Signalfluss zwischen meinem PC und der Kabeldose in der Wand beteiligt waren. Das schien aber irgendwie gar nicht zu helfen, denn es öffneten und schlossen sich trotzdem Fenster, wo ich glaube gesehen zu haben, dass das "pseudo Google Chrome" Programm von einem Ordner irgendwo in einen anderen Ordner geschoben wurde, aber es passierte alles so schnell, dass ich das garnicht richtig nachvollziehen konnte. Mir war schleierhaft wie denn ohne Anbindung zum Internet jetzt noch Schabernack getrieben werden konnte und ich habe kurz noch einen Blick in mein Netzwerk- und Freigabecenter geworfen, wo offenbar mein Nordlynx Port (Ich vermute, der virtuelle Netzwerkport von Nord VPN) noch aktiv war und weil ich aus Mangel an Fachkenntnissen nicht ausschließen konnte, dass über diesen Port nicht auch eine remote Verbindung ohne "internetkabel" hergestellt werden könnte, blieb mir nur noch die Möglichkeit meinen PC herunterzufahren und ihn vom Strom zu trennen...

Ich habe ungefähr 30 Sekunden in Schockstarre verbracht, um zu überlegen was für Sicherheitsvorkehrungen ich vielleicht treffen sollte. Konten sperren, Passwörter ändern,... 

Ich entschloss mich dazu mein Telefon in die Hand zu nehmen um mir vielleicht erstmal Ratschläge einzuholen. Am besten von jemandem, der schon häufiger mit solchen Ereignissen zu tun hatte und mir aufgrund seiner Erfahrung und Expertise im Bereich der Cyberkriminalität vielleicht Tipps für die weitere Vorgehensweise geben könnte. Da war die Polizei also schon mal raus...

Aber als ich so auf meinem Telefon (Samsung A3 2017) rumtippte kam mir das auf einmal auch komisch vor. Manchmal schien es als wären meine Eingaben verzögert aber an anderen Stellen als ich es gewohnt war und auch die Anzeige schien manchmal kurz wie eingefroren. Super, dachte ich mir, jetzt ist mir auch noch die letzte Tasse ausm Schrank gerutscht und ich hab völlig den Verstand verloren und seh überall nur noch Hacker, die es auf mich abgesehen haben.

Dennoch habe mir angesehen welche Apps gerade so benutzt werden. "Beamsharecast" (oder so) zum Beispiel. Keine Ahnung was das sein soll aber warum haben alle meine Apps auf einmal so viele und merkwürdige Einstellungsmöglichkeiten wie zum Beispiel: "Möchten Sie zulassen, dass diese App sich über andere Apps drüber legen kann" (oder so ähnlich) oder dass "sämtliche Benachrichtigungen von Google weder akustisch noch sonst irgendwie zu sehen sind".
Also war alles auf meinem Display eigentlich nur eine Maske, die sich vor alle anderen Apps setzt und die realen Vorgänge und Anzeigen verbirgt und man eigentlich nicht weiß wo man gerade etwaige Passwörter oder dergleichen eintippt und man im Prinzip allen Benachrichtigungen jeglicher Art kein Glauben mehr schenken kann.
Ich hab versucht dem Treiben ein Ende zu setzen und hab mein Handy hart resettet (Home-Taste + Ein/aus-Taste + Lautstärke-lauter).
Daraufhin ist es im abgesichterten Modus neu gestartet und ich wurde gefragt, ob ich sicher bin jetzt ein Samsung-fremdes Betriebssystem (Odin 1.11) herunterzuladen und zu installieren.
Wie gelähmt saß ich da, fassungslos mit welcher Raffinesse sich hier offenbar unbemerkt und ohne größere Schwierigkeiten jemand Zutritt zu meinen Geräten verschafft wurde.

Vielleicht hat hier ja jemand eine Erklärung wie so etwas technisch in der Form überhaupt möglich ist und welchen fatalen Fehler ich begangen haben könnte, dass solchen Angriffen offenbar Tür und Tor geöffnet hat und wie ich damit nun umgehen soll und vielleicht in Zukunft vermeiden. Hab seitdem weder Handy noch PC nochmal eingeschaltet und kann daher auch keine Protokolle oder dergleichen abrufen.

Würde mich trotzdem über jegliche Hilfestellung oder Ideen freuen.

Gruß,

Flex

Posted

Es ist immer enttäuschend wenn man keine Antwort bekommt.

Das liegt hier aber wohl daran das dir keiner wirklich helfen kann.

Ich kann dir jetzt auch nicht helfen.

Dennoch die Frage: Hattest du das Programm "AnyDesk" installiert ?

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...