Im Rahmen des Cyber-Sicherheitsnetzwerkes des BSI helfen wir Ihnen möglichst sofort weiter:
Norbert Faulstich
Vorfallpraktiker des BSI Cyber-Sicherheitsnetzwerkes
Tel.: 0160/4281179
E-Mail: cyber-sicherheitsnetzwerk@t-online.de (Link)
BSI-Link: hier
Ralf Kiesow
Digitaler Ersthelfer des BSI Cyber-Sicherheitsnetzwerkes
Tel.: 0171/4161436
E-Mail: info@code3175.com (Link)
Homepage: https://www.code3175.com
BSI-Link: hier
Sofern Sie einen IT-Sicherheitsvorfall hatten, dann bitte hier klicken.
Sehr geehrte Dame,
sehr geehrter Herr,
gleich zu Beginn muss differenziert werden, ob Sie eine Firma (KMU) oder
eine Privatperson sind. Als Firma (KMU) gelten andere Verfahrensweisen
bei einer Feststellung von Viren pp. als bei einer Privatperson.
Falls Sie eine Firma sind und einen IT-Sicherheitsvorfall hatten, dann
klicken Sie bitte hier.
Privatpersonen können indes sofort mit den nachstehend aufgeführten
Gegenmaßnahmen beginnen.
Rufen Sie uns gerne unter 0160/4281179 (Norbert Faulstich) bzw.
0171/4161436 (Ralf Kiesow) an, um weitere Schritte zu besprechen oder
die Hotline des Cyber-Sicherheitsnetzwerkes unter 0800/2741000, falls
wir beide auf die Schnelle nicht erreichbar sein sollten.
Ich, Ralf Kiesow, habe für Sie als Privatperson folgende Lösungsansätze
zusammengestellt. Einige Hyperlinks funktionieren ggf. nicht, wenn Sie
einen Arbeitsplatz-PC nutzen:
Falls Sie sich in der Eingabeaufforderung befinden (schwarzes
DOS-Fenster), können Sie mit dem nachstehend aufgeführten Befehl
einen "Full-Scan" mit dem Microsoft Defender initiieren.
Kopieren Sie die nachstende Befehlszeile komplett und fügen diese so
im DOS-Fenster ein.
1) Windowstaste + R
2) cmd <ENTER>
3) "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
Manchmal ist es erforderlich, die Eingabeaufforderung mit erhöhten
Rechten zu starten (als Administrator). Dann bitte wie folgt:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
Bei der Installation von Windows wird automatisch ein Benutzer mit
administrativen Rechten angelegt. Dies ist daran zu erkennen, dass
bei durchzuführenden Änderungen mit diesem Account immer erst die
Benutzerkontensteuerung (UAC) bestätigt werden muss. Für gewisse
Einstellungen bedarf es jedoch dem "richtigen"
Administrator-Account. Dieser muss bei Ihnen ggf. erst
freigeschaltet werden, weil er oftmals "deaktiviert/versteckt" ist.
Und dies kann am besten mit einem Befehl in der Eingabeaufforderung
(schwarzes DOS-Fenster) bewerkstelligt werden. Durch folgenden
Befehl wird der wahre "Administrator" aktiviert und mit dem
Sternchen "*" werden Sie zeitgleich aufgefordert ein Kennwort für
diesen Account festzulegen:
1) Windowstaste + R <ENTER>
2) cmd (STRG+SHIFT+ENTER>
3) net user administrator * /active:yes
Sie können den o.g. Befehl auch im Fenster "Ausführen" mit
Admin-Rechten einfügen:
1) Windowstaste + R
2) "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
<STRG+SHIFT+ENTER>
Sie können hier alle Internetverbindungen sofort deaktivieren, also W-LAN und kabelgebundene Internetverbindungen (funktioniert erst ab Windows 11).
Alle Internetverbindungen können Sie auch wie folgt beenden:
1) Windowstaste + R
2) ncpa.cpl <ENTER>
3) Rechtsklick auf jede dort aufgeführte Verbindung und
"Deaktivieren" auswählen
Mit einem Befehl in der Eingabeaufforderung (schwarzes DOS-Fenster)
können Sie auf die Schnelle feststellen, ob Ihre Interverbindungen
durch Manipulation ggf. umgeleitet werden. Dieser Befehl lautet
"tracert" und er zeigt den Weg eines sog. IP-Pakets zu einem
bestimmten Ziel an. Falls Sie z.B. den Weg (die Route) zu
syntaxid.com sehen wollen, müssen Sie den Befehl wie nachstehend
aufgeführt eintragen. An der ersten Stelle dieser Routenverfolgung
sollte bei Ihnen immer der Router stehen. Bei mir ist das grüne
Kreuz die IP-Adresse meines Routers und das blaue Kreuz die
IP-Adresse des Ziels, explizit die Homepage syntaxid.com, die vom
Webhoster 1blu gehostet wird:
1) Windowstaste + R
2) cmd <ENTER>
3) tracert syntaxid.com <ENTER>
Es kann nützlich sein, sich alle Programme auf die Schnelle
anzeigen zu lassen, die automatisch gestartet werden, wenn Windows
gestartet wird. Durch den nachstehend aufgeführten Befehl wird eine
Textdatei auf Ihrem Desktop mit den Namen des Programms sowie des
jeweiligen Speicherpfads abgespeichert. Die Programme, die
automatisch gestartet werden, sollten möglichst gering sein, was die
Anzahl anbelangt:
1) Windowstaste + R
2) cmd /k wmic startup list full >
%userprofile%\desktop\programme.txt <ENTER>
Ein Virus versteckt sich gerne. Zum Beipsiel der Shortcut-Virus. Er
kann sich auf Speichermedien wie einem USB-Stick oder einer
Speicherkarte befinden. Steckt man den USB-Stick ein, breitet sich
der Virus aus. Aufgrund dessen sollten Sie in den Einstellungen von
Windows die automatische Wiedergabe für derartige Speichermedien
deaktivieren. Dies können Sie direkt hier
erledigen. Stellen Sie bei "Wechseldatenträger" und "Speicherkarte"
jeweils die Option "keine Aktion ausführen" ein. Mit dem Befehl
"attrib", der in der Eingabeaufforderung (schwarzes DOS-Fenster)
genutzt wird, lassen sich die Attribute von Dateien anzeigen und
ändern. Die Dateiattribute lauten: r für read only
(schreibgeschützt), h für hidden (versteckt), s für
Systemdatei und a für Archiv/archiviert. Mit dem folgenden
Befehl werden die Attribute von allen Dateien auf dem Laufwerk d:
(z.B. der USB-Stick) zurückgesetzt (also alle Dateien werden wieder
lesbar/schreibbar und sichtbar gemacht und das Attribut einer
Systemdatei deaktiviert). Nachdem alle Dateien wieder angezeigt
werden und nicht mehr schreibgeschützt sind, können sie mit dem
Befehl "del" gelöscht werden.
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) attrib -r -h -s /s /d d:\*.*
4) del *.lnk <ENTER> oder del autorun.inf <ENTER>
Sie können hier den Windows-Defender direkt aufrufen.
Neben dem Windows-Defender verfügt Ihr Windows-PC bzw. -Laptop über
ein weiteres Tool zum Entfernen bösartiger Software. Starten können
Sie dieses Programm wie folgt:
1) Windowstaste + R
2) mrt <STRG+SHIFT+ENTER>
Sollten sich, trotz der Verwendung des Microsoft Defenders und des
MRT-Tools, immer noch Viren pp. auf Ihrem PC/Laptop befinden, können
Sie das Tron-Script nutzen. Bei der Ausführung dieses Scripts werden
zahlreiche Maßnahmen in gebündelter Form getroffen, Ihren PC/Laptop
ausführlich zu bereinigen. Das Script legt u.a. eine Sicherung der
Registry an und erstellt einen Wiederherstellungspunkt. Darüber
hinaus werden Scan-Engines von bekannten Antivirenherstellern
verwendet. Eine sehr gute Beschreibung zu diesem "Script" finden Sie
auf Youtube (Link zum Video hier). Das Tron-Script
funktioniert auch für Windows 11 und kann auf folgender
Internetseite gedownloaded werden:
https://bmrf.org/repos/tron
Durch Drücken einer Tastaturkombination gelangen Sie in den
Taskmanager (dort können Prozesse/Aufgaben beendet werden). Die
Tastaturkombination lautet:
<STRG+SHIFT+Esc>
Den Taskmanager können Sie auch gleich als Administrator starten
(Tastaturkombination mit drei Tasten):
1) Windowstaste + R
2) taskmgr <STRG+SHIFT+ENTER>
Falls Sie sich in einer Eingabeaufforderung befinden (schwarzes
DOS-Fenster) können Sie sich alle Prozesse/Aufgaben auch mit einem
Befehl anzeigen lassen (tasklist).
Notieren Sie sich die PID-Nummer des Prozesses (z.B. 1234).
Mit dem Befehl (taskkill) kann der Prozess beendet werden.
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) tasklist <ENTER>
4) die PID-Nummer des Prozesses notieren (z.B. 1234)
5) taskkill /F /PID 1234 <ENTER>
Jetzt wird es technisch. Bei manchen Maßnahmen streiten sich die
Götter. Fragt man zwei Anwälte erhält man drei Antworten. Fragt man
zwei Ärzte erhält man drei Antworten. In der IT-Welt ist dieses
Phänomen nicht anders. Ich, Ralf Kiesow, halte an folgender Maßnahme
aufgrund ausführlicher Recherchen fest: Falls ein Virus
(Schadsoftware) Dateien auf Ihrem PC/Laptop verändert hat, kann
versucht werden, mit einer altbekannten Kombination von mehreren
Befehlen u.a. die Systemdateien wiederherzustellen. Downloaden Sie
dazu die *.bat-Datei namens "reparieren.bat", um diese Befehlsketten
als Prozess automatisch ausführen zu lassen. Wichtig zu wissen, dass
derartige Befehle immer die größte Wirkung im sog. "Abgesicherten
Modus" entfalten, aber für die Schnelle kann diese Datei auch im
normalen Betrieb ausgeführt werden. Diese Datei ist für PC-Laien
nicht geeignet, da ein gewisses Verständnis erforderlich ist. Die
*.bat-Datei kann in eine *.txt-Datei geändert werden, um den Pfad
zur Quelle zu ändern. In dieser downloadbaren *.bat-Datei gehen wir
davon aus, dass sich die Quelle der ISO-Datei von Windows auf dem
Laufwerk d:\ (z.B ein USB-Stick) befindet.
1) https://www.syntaxid.com/reparieren.bat
2) speichern Sie die Datei zum Beispiel auf dem Desktop ab
3) stecken Sie den USB-Stick mit der Windows-ISO ein (z.B. d:\)
4) rechte Maustaste auf die Datei reparieren.bat klicken
5) im Kontextmenü auswählen "Als Administrator ausführen"
Sie können sich mit einem Befehl anzeigen lassen, welche Programme
zuletzt installiert wurden:
1) Windowstaste + R
2) appwiz.cpl <ENTER>
3) klicken Sie mit der linken Maustaste auf "Installiert am"
Sie können versuchen Ihren PC/Laptop zu einem früheren Zeitpunkt
(sog. Wiederherstellungspunkt) zurück zu führen. Dies kann manchmal
zum Ziel führen, aber einige Schadsoftware ist auch in der Lage,
sich in alte "Wiederherstellungspunkte" einzunisten. Wenn es nach
einer Wiederherstellung zu einem früheren Zeitpunkt nicht besser
wird, müsste man die Wiederherstellungspunkte löschen. Dennoch ist
es ein Versuch wert.
Schreiben Sie z.B. in der Eingabeaufforderung (schwarzes
DOS-Fenster) den Befehl:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) rstrui <Enter>
Dies funktioniert auch außerhalb der Eingabeaufforderung direkt per
"Ausführen":
1) Windowstaste + R
2) rstrui <ENTER>
Sie können hier die Windows Wiederherstellung starten, um den PC/Laptop auf die Werkseinstellung zurück zu setzen (z.B. unter Beibehaltung Ihrer Dateien).
Früher, vor Windows 10 Version 1803, wurden seitens Windows
automatisch Sicherungen von wichtigen Registry-Hives angelegt.
Explizit von Default, SAM, Security, Software, System. Wenn Windows
nicht mehr richtig hochfuhr, konnte man diese Registry-Einträge
aufgrund der automatischen Sicherung mit einem Befehl wieder
zurückspielen. Wenn Sie ein älteres Windows haben, können Sie
versuchen, die o.g. Registry-Hives zurückzuspielen, soforn Ihr
PC/Laptop nicht mehr richtig hochfährt. Sie können einfach mal in
der Eingabeaufforderung (schwarzes DOS-Fenster) folgenden Befehl
eintippen, sofern sich auf d:\ Ihr Windows befindet (kann mit
bcdedit vorher herausgefunden werden):
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) bcdedit
4) beim Eintrag "Windows-Startladeprogramm" unter "Device" das
Laufwerk notieren, z.B. d:\)
5) xcopy d:\windows\system32\config\regback
d:\windows\system32\config <ENTER>
Soforn sich nichts tut, ist die automatische Sicherung der o.g.
Registry-Hives nicht mehr eingestellt. Mit folgendem Eingriff in der
Registry kann dies für neuere PCs/Laptops nachgeholt werden, was ich
empfehle (auch für Windows 11):
1) Windowstaste + R
2) regedit <STRG+SHIFT+ENTER>
3) HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\Configuration Manager
4) rechts neuen DWORD32-Eintrag namens "EnablePeriodicBackup"
anlegen und mit "1" bestätigen
Nutzen Sie ct-WIMage-maker. ct’t-WIMage sichert Ihre
Windows-Partition mitsamt aller Programme pp.:
1) Downloaden Sie ct’t-WIMage von meiner Homepage (hier)
2) Schließen Sie eine externe Festplatte an
3) Extrahieren Sie die *.zip-Datei
4) starten Sie die *.bat-Datei
5) Die Sicherung wird gestartet
Manchmal kann es beim Surfen im Internet passieren, dass eine
"Fake-Meldung" sich auf dem gesamten Bildschirm ausbreitet (im
Vollbildmodus). Das können "Fake-Meldungen" von der Bundespolizei
sein oder von Microsoft, dass Viren auf dem PC/Laptop gefunden
wurden und man nun schnell eine Telefonnummer von angeblich
Microsoft o.ä. anrufen solle, um von dort per Fernwartung Hilfe zu
erhalten. Falls Sie von angeblichen Mitarbeitern von Microsoft
angerufen werden, bitte sofort auflegen (Microsoft oder andere
werden Sie niemals anrufen). Sie dürfen bitte auch niemals von
Microsoft oder ähnlichen Fake-Anrufern Programme für eine
Fernwartung herunterladen (downloaden) und installieren, weil diese
Menschen Ihnen angeblich bei der Beseitigung von Viren pp. helfen
wollen. Man kann versuchen solche Meldungen am PC/Laptop wie folgt
zu beenden:
ALT-Taste + F4-Taste drücken (oder)
ALT-Taste + Fn-Taste + F4-Taste (oder)
Esc-Taste drücken (oder)
den Taskmanager aufrufen mit STRG+SHIFT+Esc
und im Taskmanager alle Browser beenden (Firefox, Google o.ä.)
Kennen Sie noch den sog. BKA-Trojaner? Nach jedem Neustart wurde
immer wieder eine Warnmeldung im Vollbildmodus auf dem gesamten
Desktop angezeigt. Falls Sie jetzt so etwas Ähnliches haben sollten,
dann sind ggf. folgende Registry-Werte in der sog.
Registrierungsdatenbank geändert worden:
1) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
2) HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
Standardmäßig muss beim Eintrag "Shell" der Wert "Explorer.exe"
stehen und
beim Eintrag "Userinit" der Wert "c:\windows\system32\userinit.exe"
Dies kann mit folgendem Befehl über die Tastaturkombination
Windowstaste + R bzw. in der Eingabeaufforderung (schwarzes
DOS-Fenster) herausgefunden werden:
1) Windowstaste + R <ENTER>
2) cmd /k reg query "HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon" /v "Shell" <ENTER>
3) cmd /k reg query "HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon" /v "Userinit" <ENTER>
Falls Sie solch eine Fake-Meldung über den gesamten Bildschirm
verteilt haben, kann es auch nützlich sein den Taskmanager zu
starten und dann zu versuchen z.B. das Fernwartungsprogramm
TeamViewer zu öffnen.
1) <STRG+SHIFT+Esc>
2) "neuen Task ausführen" anklicken
3) explorer.exe <ENTER>
4) STRG + F <ENTER>
5) "teamviewer" eintragen und danach suchen
6) wenn Sie diese Fernwartungssoftware starten konnten, kann ich
Ihnen helfen
Derartige Schadsoftware kann gemein und vor allem sehr ärgerlich
sein. Erinnern Sie sich noch an den "DNS-Changer" aus dem Jahre
2012? Wer damals beim Router nur einen DNS-Server eingestellt hatte
(in der Regel war für den DNS-Server die gleiche IP-Nummer verwendet
worden wie für das sog. Standard-Gateway (explizit 192.168.2.1 für
Telekom-Router), der kam nicht mehr in das Internet. Aufgrund dessen
empfehle ich beim Router stets zwei DNS-Server-Adressen einzutragen.
Den primären DNS-Server und den sekundären DNS-Server. Wenn der
primäre nicht erreichbar ist (i.d.R. bei der Telekom 192.168.2.1),
wird über den sekundären DNS-Server versucht eine Verbindung zum
Internet herzustellen. Als sekundären DNS-Server können Sie z.B. den
DNS-Server von Google oder Cloudflare nutzen (ich nutze Cloudflare
mit 1.1.1.1 und 1.0.0.1). Aber auch andere DNS-Server sind möglich
(z.B. Google mit 8.8.8.8 uvm.) Am einfachsten geht es wie folgt:
1) Windowstaste + R
2) ncpa.cpl <ENTER>
3) Machen Sie einen Doppelklick auf Ihre Internetverbindung (z.B.
W-LAN)
4) Anschließend einen Doppelklicke auf "Internetprotokoll, Version
6"
5) dort stellen Sie alles auf "Automatisch" ein
6) dann einen Doppelklick auf "Internetprotokoll, Version 4"
7) dort können Sie den Bereich bei "IP-Adressen" auf "Automatisch"
belassen, wobei es der Erwähnung bedarf, dass "feste IP-Adressen"
immer sicherer sind als willkürlich bereitgestellte IP-Adressen per
DHCP
8) beim Bereich "DNS" stellen Sie die IP-Adresen nach Wahl ein
Manchmal kann es nützlich sein, den sog. DNS-Cache zu löschen.
Zuvor kann man sich diesen einfach anschauen, um Rückschlüsse ziehen
zu können, zu welchen entfernten Servern Ihr PC/Laptop Kontakt
hatte. Mit dem Befehl "ipconfig /displaydns" werden die letzten
Server aufgelistet. Mit dem Befehl "ipconfig /flushdns" werden diese
DNS-Einträge gelöscht:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) ipconfig /displaydns <ENTER>
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) ipconfig /flushdns <ENTER>
Falls Sie sich wundern sollten, dass, wenn Sie eine Internetadresse
in Ihrem Browser eintragen und diese dann nicht geöffnet wird,
sondern eine völlig andere, dann kann es sein, dass die sog.
Hosts-Datei manipuliert wurde. Diese Datei ist im Windowssystem
geschützt und für Ungeübte eher schwierig zu finden und zu öffnen,
aber mit folgenden Befehl können Sie sich diese Datei anschauen.
Wenn Sie Unstimmigkeiten in dieser Datei festellen sollten, können
Sie sich gerne an uns, Norbert und an mich, wenden:
1) Windowstaste + R
2) notepad %systemroot%\system32\drivers\etc\hosts <ENTER>
Mit einem einfachen Befehl können Sie feststellen, welche
IP-Adressen sich in Ihrem Netzwerk befinden. Dies ist dann nützlich,
wenn Sie denken, dass Dritte Ihr W-LAN mitnutzen o.ä.:
1) Windowstaste + R
2) cmd <ENTER>
3) arp -a <ENTER>
Bei Ransomware können folgende Seiten nützlich sein: https://id-ransomware.malwarehunterteam.com und https://www.emsisoft.com/en/ransomware-decryption/
Mit ct´Desinfect können Sie sich eine *.iso-Datei erstellen und davon booten, um z.B. Dateien zu sichern oder einen Virusscan durchführen zu lassen https://www.code3175.com/ct_desinfect_2022_13.iso
Mit KillEmall werden alle Programme sofort geschlossen. Solch ein Programm sollte man möglichst bereits installiert haben, um schnell alle Apps mit einem Klick beenden zu können (Download hier).
Mit Farbar Recovery Scan Tool (FRST) erhalten Sie nützliche Informationen zu Ihrem PC/Laptop, ob dieser z.B. von Schadsoftware befallen ist (Download hier). Dieses Programm kann als Nachfolger des bekannten Programms HiJackThis gesehen werden. Eine sehr ausführliche Anleitung zur Bedienung des Programms ist (hier) nachlesbar.
Mit adwcleaner beseitigen Sie Adware/BrowserHijacker pp. (Download hier).
Oft ist es zielführend auch sog. "temporäre Dateien" zu löschen,
die während des Surfens im Internet entstanden sind und von Ihrem
Internet-Browser auf Ihrem PC/Laptop gespeichert wurden. Zwei
Schritte sollten Sie durchführen. Jeder Browser öffnet über die
Tastaturkombination <STRG+SHIFT+Entf> ein kleines Fenster,
über welches die temporären Internetfiles, Cookies pp. auf die
Schnelle gelöscht werden können. Zudem sollten Sie die windowseigene
"Datenträgerbereinigung" wie folgt ausführen:
1) Windowstaste + R
2) cleanmgr <STRG+SHIFT+ENTER>
3) Wählen Sie das Laufwerk aus (i.d.R. c:\)
4) Markieren Sie "Temporäre Internetdateien", "Heruntergeladene
Programmdateien", "Temporäre Dateien", "Miniaturansichten",
"Gerätetreiberpakete"
5) auf "OK" klicken
6) und abschließend nochmals bestätigen.
Sofern Sie Auffälligkeiten bei Ihrem Browser feststellen, ist es
zielführend, den Browser auf die Standard-Einstellungen
zurückzusetzen. Folgende Beispiele sind für die zwei beliebtesten
Browser:
Google Chrome Browser
1) Öffnen Sie den Browser
2) Schreiben Sie in die Adresszeile des Browsers folgenden Befehl:
3) chrome://settings/resetProfileSettings <ENTER>
4) Klicken Sie auf "Einstellungen zurücksetzen"
Firefox
1) Öffnen Sie den Browser
2) Schreiben Sie in die Adresszeile des Browsers folgenden Befehl:
3) about:support <ENTER>
4) Klicken Sie dann auf "Firefox bereinigen ..."
5) Und dann nochmals auf "Firefox bereinigen"
Mit Emisoft Emergency Kit können Sie nach Viren pp. suchen (Download hier).
Mit LastActivity werden Ihnen alle Dateien angezeigt, die zuletzt gestartet wurden. Nützlich beim Verdacht, dass Ihr PC/Laptop kompromittiert wurde (Download hier).
Wenn Sie feststellen, dass Ihr Internet langsamer wird und Sie Befürchtungen haben, dass zu Ihrem PC/Laptop Internetverbindungen bestehen, die z.B. Dateien, explizit Schadsoftware, übertragen, können Sie das Programm TCPView von Sysinternals downloaden. Dieses Programm zeigt übersichtlich alle TCP- und UDP-Verbindungen zu Ihrem PC/Laptop an (Download hier).
Auf die Schnelle können Sie folgenden Befehl nutzen, um
festzustellen, welche Dateien (Dokumente, Bilder, Textdateien pp.)
zuletzt geöffnet wurden:
1) Windowstaste + R
2) recent <ENTER>
Falls Sie Ihren PC/Laptop neu starten in der Hoffnung, dass das Problem danach nicht mehr besteht und dies leider nicht der Fall ist, kann es sein, dass sich Malware pp. in sogenannten Autostart-Einträgen eingenistet haben. Es besteht die Möglichkeit sich z.B. in der Registrierungsdatenbank (regedit.exe) alle Starteinträge anzeigen zu lassen, aber dies ist sehr umfangreich und nicht empfehlenswert. Über eine grafische Benutzeroberfläche kann dies sehr gut mit dem von Microsoft unterstützten Programm namens "Autoruns" von Sysinternals bewerkstelligt werden. Dieses Programm zeigt u.a. auch "versteckte" Autostart-Einträge an. Darüber hinaus kann mit einem Rechtsklick auf einen beliebigen Eintrag dieser an www.virustotal.com zur Auswertung gesendet werden, um prüfen zu lassen, ob es sich um Malware handelt. Des Weiteren zeigt das Programm an, ob Einträge im Autostart pp. über eine digitale Signatur (z.B. von Microsoft) verfügen oder nicht. Natürlich kann man auffällige Einträge aus Autostart-Einträgen auch löschen uvm. (Download hier)
Es ist stets ratsam, von Ihrem PC/Laptop regelmäßig Backups anzufertigen, um das System zu einem früheren Zeitpunkt zurückspielen zu können (z.B. mit AOMEI Backupper, Download hier).
Wenn Sie sich nicht sicher sind, ob sich auf Ihrem PC/Laptop ggf.
eine Sicherung Ihres Systems befindet, können Sie dies überprüfen,
sofern Sie sich in der Eingabeaufforderung mit erhöhten Rechten,
also als Administrator, befinden:
1) Windowstaste + R
2) cmd <STRG+SHIFT+Enter>
3) wbadmin get versions <ENTER>
Es empfiehlt sich von Ihrem PC/Laptop eine Sicherung anzulegen.
Auch dann, wenn Ihr PC/Laptop bereits z.B. mit Ransomware
verschlüsselt wurde, da der Fall durchaus eintreten kann, dass Ihr
PC/Laptop zu einem späteren Zeitpunkt wieder "entschlüsselt" werden
kann. Sofern Sie kein externes Programm wie AOMEI-Backupper oder
MiniTool pp. für Sicherungen nutzen, können Sie auch das
windowseigene Sicherungsprogramm verwenden, wobei es der Erwähnung
bedarf, dass dieses z.T. mit externen Anbietern nicht vollumfänglich
konkurrieren kann, was die Genauigkeit pp. anbelangt. Schließen Sie
eine externe Festplatte an. Sofern Sie sich in der
Eingabeaufforderung befinden (schwares DOS-Fenster) und Ihre
angeschlossene Festplatte hat den Laufwerksbuchstaben E:\, dann
lautet der Befehl zum Sichern Ihrer Festplatte C:\ wie folgt:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) wbadmin start backup -backupTarget:E: -include:C: -vssFull
-allCritical –quiet <ENTER>
Wenn Sie sich in DOS befinden, können Sie folgenden Befehl
verwenden, um sich alle Laufwerke anzeigen zu lassen:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) wmic volume get driveletter, label <ENTER>
Sofern Sie jetzt gerade schnell Daten sichern müssen, Sie aber über
keinen USB-Stick oder eine externe Festplatte verfügen, kann ich
Ihnen spontan mit freiem Speicherplatz via VPN-Verbindung (Virtual
Private Network) aushelfen. Um sich mit mir per VPN verbinden zu
können, benötigen Sie ein kleines Programm namens "Radmin VPN":
1) https://www.radmin-vpn.com/
2) downloaden und installieren Sie das Programm
3) klicken Sie auf "Netzwerk beitreten"
4) rufen Sie mich an, um die Zugangsdaten zu erhalten
5) nach dem Einloggen sehen Sie einen Eintrag namens "Server"
6) klicken Sie mit der rechten Maustaste auf diesen Eintrag
7) wählen Sie dann den Eintrag "Freigegebene Ordner" aus
8) entweder im Ordner "Syntaxid" einzelne Dateien abspeichern oder
folgenden Befehl
9) wbadmin start backup -backupTarget: \\26.248.245.247\syntaxid
-include:C: -vssFull -allCritical –quiet <ENTER>
Ein Systembackup können Sie auch über die grafische
Benutzeroberfläche erstellen bzw. dort einspielen. Entweder aus der
Eingabeaufforderung heraus (schwarzes DOS-Fenster) oder über das
Fenster "Ausführen". Nutzen Sie folgenden Befehl:
1) Windowstaste + R
2) sdclt <ENTER>
Manchmal kann es nützlich sein, sich alle Dateien von einem
Laufwerk (z.B. vom Laufwerk c:\) als Textdatei direkt auf dem
Desktop anzeigen zu lassen. Alle Dateien werden dann mit Pfadangabe
und dem Erstelldatum angezeigt. In der Textdatei können Sie dann
z.B. nach einem bestimmten Datum suchen (z.B. nach dem gestrigen
Datum), um feststellen zu können, welche Dateien z.B. gestern neu
hinzugekommen sind. Der Befehl kann über die Tastaturkombination
Windowstaste + R ausgeführt werden:
1) Windowstaste + R
2) cmd /k dir /s c:\*.* > %userprofile%\desktop\C.txt
<ENTER>
3) die Textdatei wird im Hintergrund erstellt und auf dem Desktop
abgespeichert
4) starten Sie nach dem Erstellen die Textdatei
5) mit STRG + F können Sie in der Textdatei z.B. nach einem Datum
suchen (TT.MM.JJJJ)
In den sog. "Erweiterten Startoptionen" können Sie u.a. ein
Systembackup wieder einspielen, sofern Sie zuvor ein Backup von
Ihrem PC/Laptop angelegt haben (das Backup kann sich direkt auf
Ihrem PC/Laptop befinden bzw. auf einer externen Festplatte). In die
"Erweiterten Startoptionen" gelangt man am besten mit dem
nachstehend aufgeführten Befehl. Dieser Befehl kann in der
Eingabeaufforderung (schwarzes DOS-Fenster) oder über das Fenster
"Ausführen" verwendet werden. Zum Fenster "Ausführen" gelangt man
mit der Tastaturkombination Windowstaste + R. Der Befehl für die
Erweiterten Startoptionen lautet:
1) Windowstaste + R
2) cmd <STRG+SHIFT+ENTER>
3) shutdown /r /o /t 0 <ENTER>
Viren/Trojaner pp. können meistens im sog. "Abgesicherten Modus"
besser entfernt werden als im "laufenden System". Auch bekannte
Befehlsketten wie DISM und SFC, um allgemeine PC Probleme zu
beheben, sind im abgesicherten Modus effizienter. In den
"Abgesicherten Modus" gelangen Sie u.a. mit folgendem Befehl. Diesen
Befehl können Sie in der Eingabeaufforderung (schwarzes DOS-Fenster)
oder über das Fenster "Ausführen" durchführen:
1) Windowstaste + R
2) msconfig <ENTER>
3) den Reiter "Start" anklicken
4) bei "Startoptionen" den "Abgesicherten Start" auswählen
5) zudem "Netzwerk" anklicken
Wichtig!
Bitte beachten Sie, dass, wenn Sie sich im "Abgesicherten Modus"
befinden, Sie diesen auch wieder deaktivieren müssen, um zum
normalen Windows zurückkehren zu können. Gehen Sie dann die o.g.
aufgeführten Schritte nochmals durch und deaktivieren beim Reiter
"Start" die "Startoptionen".
Wichtig ist, dass, wenn Ihr PC/Laptop bereits stark kompromittiert
wurde (herauszufinden u.a. mit dem o.g. Programm "Farbar Recovery
Scan Tool (FRST)" und Sie nicht über ein Backup Ihres Systems
verfügen, ehrlicherweise nur noch ein Neuaufsetzen von Windows die
einzige richtige Antwort ist. Vorher kann mit dem Booten einer
Linux-Live-CD versucht werden, einzelne Dateien zu retten.
Wenn Sie Windows neu aufsetzen wollen/müssen, benötigen Sie die
Serialnummer Ihrer Windowslizenz. Mit folgendem Befehl kann der
Produktkey über die Eingabeaufforderung (schwarzes DOS-Fenster) ab
Windows 10 ausgelesen werden, aber dieses Ergebnis passt leider
nicht immer. Der Befehl lautet:
1) Windowstaste + R
2) cmd <STRG+SHIFT+Enter>
3) wmic path softwarelicensingservice get OA3xOriginalProductKey
<ENTER>
Nutzen Sie vorsichtshalber auch die folgende kleine vbs-Datei (Download hier).
Wichtig auch, wie Sie sich bei einem Verschlüsselungstrojaner (Ransomware) verhalten sollten. Diese Frage kann wie folgt beantwortet werden. Wenn Sie auf Ihrem PC/Laptop bereits aufgefordert wurden, Lösegeld für das Entschlüsseln Ihrer Dateien zahlen zu sollen, dann ist mit sehr große Wahrscheinlichkeit davon auszugehen, dass Ihr PC/Laptop bereits vollständig verschlüsselt wurde (den PC/Laptop nicht ausschalten). Wenn Sie indes merken, dass der PC/Laptop langsamer wird (merkwürdige Schritte auf dem System zu spüren sind, hohe CPU-Auslastung, welche über den Taskmanager eingesehen werden kann), dann ist die Verschlüsselung höchstwahrscheinlich noch nicht vollständig abgeschlossen (den PC/Laptop sofort ausschalten). Aber richtig herunterfahren.
Der PC/Laptop wird richtig heruntergefahren, wenn Sie die rechte
Maustaste auf das Windowssymbol in der Taskleiste klicken, dann die
Umschalttaste gedrückt lassen und mit der linken Maustaste
"Herunterfahren" auswählen oder den nachstehend aufgeführten Befehl
verwenden. So wird sichergestellt, dass auch der Arbeitsspeicher, in
dem sich immer noch einige Logdateien aus Hintergrundprozessen und
sog. Cachedateien aus zuvor gestarteten Anwendungen pp. befinden,
vollständig geleert wird.
1) Windowstaste + R
2) shutdown /s /f /t 0 <ENTER>
Bei Fragen stehen wir Ihnen gerne mit Rat und Tat zur Verfügung. Sofern wir Ihnen mit dieser Aufstellung oder per aktiver Hilfe (telefonisch oder per Fernwartung) helfen konnten, würden wir uns über eine Spende sehr freuen.
Mit freundlichen Grüßen
Norbert Faulstich
Ralf Kiesow
Impressum
Ralf Kiesow
Lohbachweg 8
37242 Bad Sooden-Allendorf
Telefon: 05652/9194645
Mobil: 0171/4161436
E-Mail: info@code3175.com (Link)
Homepage: https://www.code3175.com
Datenschutzerklärung
Homepage: https://www.syntaxid.com/Datenschutzerklaerung.pdf