Internetbetrug mittels Trojaner -> PC beschlagnahmt. PC aber sauber -> Hinweis auf Wardriving?
 

Hallo Forum,

nachdem einer meiner PCs über eine Kette von Internetprovidern und Behörden als angeblich von einem bestimmten Trojaner befallen identifiziert wurde, der angeblich betrügerische Aktivitäten auf Handelsplattformen im Web vorgenommen hat, ist der PC nun von der Polizei beschlagnahmt worden.

Der PC befand sich zum Tatzeitpunkt in einem Firmen-WLAN, und es liegen Traffic-Mitschnitte vor (besuchte Webseiten bzw. IP-Adressen), die auf die fraglichen betrügerischen Aktivitäten hinzuweisen scheinen.

Ich bin gerade dabei, ein (nach den Vorfällen gezogenes) Image der Systemplatte mit diversen Tools zu scannen, wobei Microsoft Defender schonmal exakt null Bedrohungen bzw. verdächtige Dateien findet. Im Moment läuft gerade Trendmicro HouseCall durch das Systemimage. Sämtliche seit kurz vor dem Vorfall hinzugekommenen oder geänderten ausführbaren Dateien https://de.wikipedia.org/wiki/Ausf%C3%BChrbare_Datei#Windows sind lt. VirusTotal 100% sauber.

Nun ist mir eingefallen, dass möglicherweise Wardriving https://de.wikipedia.org/wiki/Wardriving dahinter stecken könnte, dass also jemand meinen PC-Namen und meine Mac-Adresse und/oder IP-Adresse aus dem WLAN gezogen und dort vor Ort für diese betrügerischen Aktivitäten verwendet hat. Es muss wohl auf jeden Fall vor Ort gewesen sein, da die Logdateien der Firma sowie des Internetproviders neben einer Signatur des fraglichen Trojaners auch die Firmen-IP und den Namen meines PCs enthalten. Oder lässt sich das alles fälschen, und der Betrug kann von irgendwo auf der Welt durchgeführt worden sein?

Danke für Tipps, ob es Möglichkeiten gibt, Wardriving nachzuweisen, z.B. aus Logfiles des betroffenen PCs oder des fraglichen Datenverkehrs.

Beim wardriving klinkt sich jemand in deinen Router ein, sprich er verbindet sich mit deinem WLAN um dann zu surfen. Was bitte hat das mit deinem Rechner zu tun? Der protokollier doch nicht das, was der Router macht. Wenn überhaupt findest du nur was im Router aber die einfachen standardrouter protokollieren wenig bis garnichts.

Wardring würde ich auch nur in Betracht ziehen, wenn eine extrem schlechte WLAN-Verschlüsselung zum Einsatz kommt. Was wird da bei euch in der Firma benutzt?

Die Firma benutzt WPA2 fürs WLAN.

Und wenn der PSK lang genug ist, kann man wardriving ausschließen.

Ok. Was könnte es dann gewesen sein?

Angenommen auf dem PC findet sich keinerlei Malware?

Bei dem WLAN handelt es sich übrigens um ein Gäste-WLAN, dessen Passwort weniger als zehn Zeichen hat und in der Branche auch weithin bekannt ist.

Dir ist schon klar, dass hier keine Hellseher im Forum sind?

Sieht aus als ob TrendMicro jetzt was findet.

Ich meld mich wenn ich weiß was es ist.

Außerdem werde ich das Image demnächst einmal booten, dann kann ich auch den Farbar Scan machen

OK, hier schon mal das Ergebnis von TrendMicro:

https://i.imgur.com/IfZ7k7Q.png


Eine Adware/Malware namens ProxyGate aka RiskTool aka HackToo aka PUA.Win von einer Firma namens Gold Click Ltd, die jedoch von vielen Scannern, darunter Microsoft, nicht erkannt wird:
https://www.virustotal.com/gui/file/687627ec36a3c0cda136b2aa2806a358e00735aec249f9d89ed3503853e4c9bc/detection
https://www.file.net/prozess/cloud.exe.html
https://virus-removal-guide.net/en/15902-proxygate-pup-alerts-how-to-delete-proxygate/#:~:text=ProxyGate%20will%20obtain%20the%20complete%20control%20over%20your%20whole%20computer

PUP-Proxygate (Potentially Unwanted Program)
https://www.bleepingcomputer.com/virus-removal/remove-proxygate
https://web.archive.org/web/20201125222053/hxxp://proxygate.net
https://www.malwareremovalguides.info/remove-proxygate/

Interessanterweise sind alle Dateien in dem Verzeichnis dieses Tools 1 bis 3 Jahre alt, bis auf die Datei list.dat (mal angehängt), deren Änderungsdatum ungefähr mit den aktuellen Vorfällen übereinstimmt:

https://i.imgur.com/UBBZgWL.png


Falls das bei jemand eine Glocke läutet, bin ich natürlich sehr interessiert.

Vor allem natürlich an Einschätzungen, ob die oben beschriebenen Vorfälle damit etwas zu tun haben können -- oder ob das eher eine vergleichsweise harmlose Malware sein dürfte.

Du schreibst noch nicht einmal, was für ein Windows du auf dem PC einsetzt:eek:sollte es Windows 7 oder älter sein, kriegst du hier im Forum keinen Suport mehr zwecks Bereinigung und das gilt auch für Windows 10 Versionen, die von Microsoft keine Updates mehr bekommen. Wenn der PC dir gehört und bei dir daheim steht, würde ich eine Datensicherung machen und dann eine Windows 10 Neuinstallation von 21H1 nach Anleitung des Forums hier durchführen, sicherheitshalber alle deine bisherigen Passwörter ändern, den Router prüfen ob es ein Firmware Update dafür gibt und dessen W-LAN Passwörter ändern.

Es ist ein aktuelles Windows 10

Was heisst aktuell? 2004, 20H2 oder 21H1?

20H2

aktuell ist 21H1. die Vorgängerversionen werde zwar noch supportet, der Upgrade ist zu empfehlen

Und was hälst du von meinem Vorschlag Windows 10 neu zu installieren plus die Sache mit den Passwörten und dem Router? Mit Passwörtern meine ich deine Passwörter für Accounts, Mail, Onlinebnanking, ebay, Amazone, Onlinshops usw.

Geht das jetzt immer noch um diesen PC, bezüglich dessen Du Dich nicht mehr zurückgemeldet hattest, trotz Hinweises, bitte Infos gemäß der hiesigen Hinweise für Hilfesuchende zu posten?

-> https://www.trojaner-board.de/201945...ml#post1753870

Ohne detailliertere LogFiles und Infos bleibt das weiterhin teilweise ein Stochern im Nebel.

Und wenn es Dein privater PC im Firmennetzwerk ist: Inwiefern ist das mit den Admins der Firma abgestimmt? Wieso wird da ein privater PC ins Firmennetzwerk gebracht? Welche Maßnahmen wurden seitens Admins und von Deiner Seite zuvor getroffen, um dessen Vertrauenswürdigkeit sicherzustellen? Und sag jetzt nicht, durch Virenscanner und Virenscans.

Alleine das ist ja für sich schon mal ein großes Fragezeichen.

Ich hatte mich seither nicht gemeldet, da ich keinen Zugriff auf den PC hatte.

Ich hätte jetzt die Logdateien von FRST fertig. Darin habe ich meinen Namen und den Firmennamen anonymisiert. Gibt es typischerweise noch etwas, was anonymisiert werden sollte?

Jetzt sage aber bitte nicht, das du den PC der wahrscheinlich infiziert ist, zumindest liegt der Verdacht nahe, nicht daheim hattest, sondern in der Firma und dann womöglich du auch noch die ganze damit in der Firma in deren Netzwerk warst?

Nein. Nur im Gast-WLAN.

Sind die Log Dateien einigermaßen safe, wenn man seinen Namen und etwaige Firmennamen anonymisiert hat? Da stehen doch bestimmt jede Menge eigene IP-Adresse drin?

Meinen Vorschlag was du machen solltest, hab ich dir ja schon geschrieben: Windows 10 Neuinstallation genau nach der verlinkten Anleitung, vorher Datensicherung und dann sicherheitshalber alle Passwörter ändern. Auch die W-LAN Passwörter im Router ändern wozu auch das Gast W-LAN gehört.

Bitte um Info, wie ich mit den Log-Dateien aus FRST verfahren soll

Ich würde keine Namen in FRST Log löschen, die Daten die die Helfer da lesen können, damit können Sie keinen Missbrauch machen und würden das auch nicht tun. Das FRST Log musst du hier in Codec posten. So wie es der User hier gemacht hat: https://www.trojaner-board.de/202055...ml#post1754244

Langsam glaube ich du willst uns hier wieder verarschen. Was soll das überhaupt mit den Logs werden? Einfach mal die Füße stillhalten wo doch dein Rechner schon einkassiert wurde? Wenn dieser Unsinn stimmt solltest du nur mit deinem Anwalt darüber reden! :kloppen:

Ich glaube hier besteht ein kleines Problem, was wohl u.a. darin liegt, dass ich drei bis vier mal so alt sein dürfte wie die meisten anderen Anwesenden.

Daher danke ich für die Aufmerksamkeit und verabschiede mich an dieser Stelle.

Das bezweifle ich aber, dann müsstest du weit über 150 oder 200 sein, wenn du 3 oder 4 Mal so alt sein willst wie ich.
Dann verabschiede dich mal, ist ja deine Sache wenn du unsere Fragen warum auch immer, nicht beantworten willst. Wenn du das in anderen Foren auch so machst wie hier, wirst du auch dort keine Hilfe finden.