Malware Infektion zurückverfolgen?
Hallo! Ich hatte vor kurzem einen Fund vom Windows Defender, allerdings ist er mir erst gestern aufgefallen obwohl die Datei bereits am 18.03.2025 entdeckt wurde es handelt sich um folgenden Fund:
Ich verstehe nur leider nicht, wie dieses Programm auf meinen Rechner gekommen ist. Ich habe den Download-Ordner überprüft, die Download-Historie meiner Browser überprüft sowie meinen Verlauf auf beiden Webbrowsern. Ich habe keine ungewöhnlichen Seiten besucht, nichts heruntergeladen um das Datum herum und auch keine Extensions installiert.
Ich habe meinen Netzwerktraffic mit Wireshark geprüft, nichts Verdächtiges. Ohne von mir geöffnete Programme nur die üblichen Handshakes, Standard-Queries und Windows-Update-bezogene Prozesse, welche ich auch alle auf legitime Quellen zurückführen kann.
Da die Schadware noch gezippt war, als sie gefunden wurde, wurde sie wohl nicht ausgeführt. Ich habe mehr als fünfmal Virenscans seitdem durchgeführt mit Windows Defender, Malwarebytes sowie HitmanPro. Nichts gefunden. Meine Accounts sind nicht komprimiert, Passwörter zur Sicherheit geändert. Ich habe typische Prozesse, die gerne zu Maskierungen verwendet werden, mit dem Process Explorer geprüft. Alle aktiven Prozesse waren in den korrekten Verzeichnissen und Virustotal-Scans bestätigten, dass es sich um legitime Windows-Prozesse handelt.
Die Datei oben wurde entfernt, aber ich bin mir trotzdem nicht sicher, wo genau die Sicherheitslücke denn war. Weiß jemand, was ich tun kann, um das weiter zu verfolgen?
2 Antworten
Es ist eine fatale Fehleinschätzung, wenn du glaubst, dass Malware nur auf den Rechner gelangt, weil du irgendwelchen (offensichtlich) unseriösen Seiten besucht hast und dort dann bewusst etwas herutergeladen hast. Sowas passierte in den 90ern. Wir haben 2025! Malware installiert sich völlig unbemerkt und ohne dein Mitwirken, sobald du eine (vermeintlich völlig harmlose) Webseite auch nur im Browser aufrufst. Die Seite wurde aber bereits durch Kriminelle gekapert und manipuliert. Sie haben dort ein Exploit-Kit installiert. Dieses checkt über den Browser des Besuchers, welches System er in welcher Version nutzt und ob bekannte Sicherheitslücken noch ungepatcht sind. Dann erzeugt es eine maßgeschneiderte Malware, für die das System des Opfers anfällig ist. Das nennt man „Drive-by-Infektion”.
Ich war um das Datum herum auf keiner Fragwürdigen website.
Du hast meine Antwort nicht verstanden. Du WARST auf einer Webseite, die durch Kriminelle manipuliert wurde. Sie hat nur auf DICH harmlos gewirkt.
Da die Schadware noch gezippt war, als sie gefunden wurde, wurde sie wohl nicht ausgeführt.
Irrtum. Den Unterordner deines Papierkorbs hat die Malware selbst angelegt als Repositorium für sich selbst.
Dein System wurde kompromittiert. Du kannst NICHT davon ausgehen, dass andere Kopien und Module dieser Malware nicht existieren. Sie wurden vermutlich besser versteckt.
Das System ist KOMPLETT NEU aufzusetzen/zu installieren.
Und wie finde ich die Quelle der Infektion? Irgendwie muss das ja machbar sein, ich bin zwar kein Experte aber interessiere mich sehr dafür, oder irgendwelche Fragmente davon.
Kann ja nicht sein, dass das einfach unsichtbar auf meinem System herumspuckt.
Wie gesagt, nichts nimmt Netzwerkverbindungen auf, jedenfalls nichts was es nicht soll, in meiner Registry liegen keine fragwürdigen Schlüssel in den RUN Ordnern, soweit erstmal alles sauber. Ich muss den Quatsch ja irgendwie finden können.
Neu aufsetzen kann ich dann immernoch.
Die Quelle wirst du wohl gar nicht finden, weil du nicht weißt, wo du suchen sollst. Im fraglichen Infektionszeitraum hast du sicher viele verschiedene Seiten besucht. Es kann sogar sein, dass der unschuldige Betreiber der manipulierten Seite das Problem inzwischen bemerkt und behoben hat, z. B. durch Beschwerden anderer Opfer. Viele private Seitenbetreiber tun zu wenig für die Sicherheit ihrer eigenen Seite und ermöglichen so Kriminellen, sie zu verändern. Das passiert besonders gerne bei Schulwebseiten, Apothekenseiten, Vereinsseiten und privaten Homepages.
Letztlich ist es auch völlig egal, was die Quelle war. Entscheidend ist, dass dein PC angreifbar war, weil ihm Sicherheitsupdates fehlten.
Also auf jeden Fall ist die Datei jetzt im Mülleimer ich würde sie mal komplett löschen.
B Das kann auch irgendeine Adware durch andere Prorgamme sein oder auch eben etwas was du nicht zwingend siehst genau das ist ja der Sinn der Dinger das mans nicht bemerken soll.
Malewarebytes aber nicht im Echtzeitschutz laufen lassen wenn du win defender nutzt.
Nein die Datei ist gelöscht, die lag wohl nur im Recycle bin, ich hab mehrere del commands über die CMD versucht und auch versucht die Datei zu lokalisieren. Die existiert nicht mehr.
Ja von malwarebytes hab ich nur den Scanner,
Ich hab gerade meine Registry Einträge überprüft da gibt es keine Veränderung, in den Run liegen nur die Schlüssel die da auch sein sollen.
achso der recylce bin ist einer der unsichtbaren Ordner bei c die musste sichtbar schalten durch die Ordneroptionen.
Weißt du was ich sonst noch machen kann um die Quelle zurückzuverfolgen? Ich suche gerade mit dem Explorer im Verzeichnis.
du kannst den Namen einfach mal direkt googlen. meistens gibt es da Hinweise.
Deswegen hab ich ja auch meine Browserhistorie gecheckt. Ich war um das Datum herum auf keiner Fragwürdigen website. Alles was ich aufgerufen hatte war: Pubmed, Gutefrage, Reddit, Youtube, Twitter und Wikipedia.
Es würde mich doch sehr wundern wenn eine dieser Quellen ein Drive-by Download overlay hätte.