Pc rat(Remote Administrator tool) entfernen/entfernt?
Habe einen Virus der sich nicht einfach entfernt z.b habe meinen PC komplett geresetet aber trotzdem starten wenn ich einen web browser starte bis zu 20 andere Tabs dazu sind in Eigenschaften und Sicherheit bei Windows defender unbekannte konnten eingetragen kann mir jemand helfen habe seit 1 Woche alles mögliche versucht
Lg
2 Antworten
Ich würde sagen du solltest zumindest das System neu aufsetzen und die HDD komplett formatieren.
Wenn du auf "Nummer sicher" gehen willst, kauf dir eine neue HDD / SSD. Manche Schadware kann sich in der Firmware von Datenträgern einnisten und übersteht so sogar das Formatieren.
Nein! Neue HDD wenn du 100% sicher sein willst und wenn 98% Sicherheit auch reicht dann einfach nur alte HDD formatieren und dann neu aufsetzen.
Muss ich das bei jedem Rechner machen der im LAN ist oder nur bei meinem?
Keine Ahnung - wenn wir das in einer Firma noch so einem Angriff machen arbeiten wir im Team und werten Logs von Firewalls, IDS-Systemen, der Betriebssysteme und viele andere Dinge aus. Außerdem haben wir die Möglichkeit mit Checksummen die Manipulation bestimmte Dateien auszuschließen.
Wenn du das nicht kannst bzw. gar nicht diese Daten hast dann mach lieber zu viel als zu wenig!
Ich mach das zwar beruflich, hab aber keine Glaskugel mit der ich das erraten kann ohne die Systeme zu sehen. Die üblichen Triage-Tools die auf mögliche Indikatoren prüfen und dir einen ersten groben überblick geben könnten kosten auch alle jenseits der 1000 EUR Marke.
Machst du das alles von Hand kannst dir bis Silvester nehmen auch wenn du grundlegend wissen solltest was du da machst. Wovon du da sprichst sind unter Umständen hunderte Arbeitsstunden. Also macht das auch gar keinen Sinn.
Lass das mit dem Reset sein, erstell dir einen Bootstick und installiere Windows einfach darüber neu.
Also ein USB Stick mit Windows und dann neu installieren
Kann es sein das der rat durch das Internet auf andere Pcs in meinem LAN über gegriffen ist habe nämlich bisschen rum gesucht und habe dort unbekannte Konten gefunden
Natürlich - die können ja nach dem was du da bei dir zu Hause hast andere Systeme, Mobiltelefone und IoT- oder Netzwerk-Geräte angreifen. Kommt halt drauf an was der RAT kann und welche Hardware / Software du nutzt...
Dann bin ich mir ziemlich sicher das andere PCS in meinem LAN angesteckt sind was kann ich dagegen tun
Und kann der Rat auf handys
was kann ich dagegen tun
Das gleiche wie bei dem anderen PC auch.
Und kann der Rat auf handys
Das kann ich dir sagen nachdem ich das Teil analysiert habe - nur dauert das einige Arbeitsstunden und von den Kosten wären wir geschätzt beim Neupreis einem sehr billigen Kleinwagens. Macht also keinen Sinn.
Sofern du es also nicht selber mit Disassembler und Debugger analysieren kannst, würde ich einfach mit allen möglicherweise infizierten Systemen so verfahren wie vorgeschlagen:
- Bei PCs Datenträger ersetzen und neu aufsetzen
- Handys zurücksetzen
- IoT- und Netzwerkgeräte prüfen und die Firmware-Version ermitteln und erst mal schauen ob es bekannte Schachstellen gibt. Im Zweifelsfall ersetzen / zurücksetzen je nach Gerät. Weitere Infos finden sich im Internet.
Also müsste ich von meiner ganzen Familie die Handys und die PCs durchsuchen/zurücksetzen
Und dazu noch überall windows installieren, woher weiß ich eigentlich das so etwas schlimm für mein PC ist
Welche Konten hast du denn wo genau gefunden? Windows nutzt diverse Systemkonten, die immer vorhanden sind und auch notwendig sind.
woher weiß ich eigentlich das so etwas schlimm für mein PC ist
DFIR Kurse und Kurse in Reverse-Engeneering von Schadware belegen. Gibt es haufenweise.
Es gibt keine einfache Antwort darauf - nicht mal darauf ob ein System befallen ist oder nicht. selbst das müsste man mit verschiedenen Methoden untersuchen.
Daher rate ich jedem Anfänger wenn es einen möglichen Verdacht gibt lieber einmal zu viel als einmal zu wenig etwas machen.
Dort ist Authentifizierter Benutzer, System, Administrator und Benutzer
Das sind Systemkonten bzw. systemeigene Benutzergruppen. UND WO IST "DORT"?
Auf dieser PC und dann die Festplatte/1 von 3
Du schaust dir die Sicherheitsberchtigungen der Festplatte an? Die NTFS-Berechtigungen?
Das ist NORMAL das dort diese Gruppen vertreten sind. Es kann auch "trusted installer" auftauchen. Auch der ist normal und in Ordnung.
Schalt deinen PC aus, damit du nicht noch mehr Panik schiebst und Schaden verursachst. Danach bitte in der Computer-AG in der Schule anmelden und die Grundlagen lernen!
Also bootstick und Windows neu installieren wenn das nicht geht neue hdd