Was Technik angeht ist sie ein ziemlicher DAU und unbelehrbar. Hab auch schon überlegt das wenn die Kiste neu aufgesetzt werden muss, Sie ein Kinderaccount bekommt damit sie nichts mehr anstellen kann.
Zumindest hatte sie ja schonmal insofern Glück, dass es augenscheinlich "nur" ein Hijacker ist und sie dementsprechend mit einer blauen Nase davon kommen könnte. Das sind im Grunde die geistigen Nachfahren der früheren Browser-Toolbars, mit denen wir uns früher rumschlagen durften und wo sich alle immer wieder gewundert haben, warum die Kiste mitmal so langsam wurde. Sowas geht ja heute nicht mehr. Wäre das eine ausgewachsene Ransomware gewesen, hättet ihr richtig ins Klo gegriffen und könntet neben der Neuinstallation nur beten, dass von den betroffenen Daten noch ein früheres Backup vorhanden wäre. So ist der Handlungsspielraum um Einiges größer.
Dass sie sich den überhaupt eingefangen hat, finde ich aber schon bemerkenswert. Heutige Browser sind normalerweise 5-fach gegen dieses Problem abgesichert. Einerseits gilt beim Verbindungsaufbau auf der Protokollebene (HTTPS), Transportebene (TLS 1.2 bzw. 1.3) und der Domain-Auflösung (DNS-over-HTTPS, teilweise auch DNS-over-TLS) mittlerweile Vollverschlüsselung. Zum anderen verfügen alle Browser auch über einen starken Malwareschutz und andere Mechanismen wie der Trackingschutz und der Schutz vor Navigationsfehlern sollen zusätzlich helfen, dass solche Redirect-Geschichten und ähnliches verhindert werden.
Was bei dir interessant ist, sind außerdem die drei Kommandozeilen, die beim Start eines Browsers bei dir zumindest nach einem Neustart von Windows immer wieder aufploppen und gleich wieder verschwinden. Normalerweise deutet das immer darauf hin, dass es einerseits mindestens einen Hintergrundprozess geben muss, der mit dem Betriebssystem gestartet wird und Windows (in diesem Fall) darauf überwacht, ob ein bekannter Browser gestartet wird. Tauchen dann die Konsolenfenster auf, wird in aller Regel ein temporärer Prozess gestartet, der dann alles auf dieses unerwünschte Verhalten umbiegt.
Ein anderes Beispiel, wo wir was Ähnliches mal als Fehler hatten, war ein Problem mit einem Grafiktreiber (ich hatte das Problem früher schon mal gesehen und konnte mich dunkel daran erinnern, hier im Forum hatte einer Videoschnitt gemacht, wenn ich das richtig erinnere). Mitmal poppten da auch Konsolenfenster auf und da kam dann "vraravu" als Akronym in der Titelleiste (sowas ist auch immer interessant in dem Zusammenhang). Teilweise helfen da auch nur Erfahrungswerte, mit denen man sowas herleiten kann (vr ist VR, ara ist ein ausführbares Dateiformat bei Radeon-Treibern, vu ist die Vulkan-Schnittstelle), da findest du nicht immer was im Netz. In dem Fall wusste ich halt, dass AMD entsprechende Änderungen in seinen Treiber gebracht hatte, nur das Eingrenzen beim Verursacher war enorm schwer, weil zu der Zeit Windows noch seine Mixed Reality-Komponenten hatte, die Browser unterstützen entsprechende Webstandards, beim Gaming gibt es entsprechende Titel und so weiter.
In deinem Fall können wir zumindest mal als Vorteil festhalten, dass der Übeltäter a) das System im Hintergrund überwachen und b) bestimmten Datenverkehr mitlesen können muss. Da bestünde jetzt die beste Chance, ihn zu packen. Im Grunde könnte man jetzt drei Annahmen ableiten.
- Der Verursacher dürfte innerhalb der hierarchischen Rechtestruktur von Windows in aller Regel mit erhöhten Rechten laufen. Ob er das permanent als Administrator tut oder sogar Systemrechte hat, wie das bei AV-Programmen der Fall ist, lasse ich jetzt mal dahin gestellt, aber normalerweise müsste es in diese Richtung gehen.
- Der Verursacher muss permanent im Hintergrund aktiv sein. Entweder betrifft das ein Programm, was sich direkt in den Autostart geschoben hat, oder es ist zumindest ein Hintergrundprozess, der mit Windows zusammen gestartet wird. In beiden Fällen müsste man ihn im Taskmanager mit etwas Recherche und Überprüfung der Dateipfade irgendwann entdecken können. Manchmal bietet es sich hier an, dass man zusätzlich nochmal in die Sysinternals Suite von Microsoft greift und eine Überprüfung mit dem Process Explorer und Autoruns vornimmt. Die bieten da manchmal noch genauere Informationen.
- Die Wahrscheinlichkeit ist relativ hoch, dass der Verursacher ein Root-Zertifikat innerhalb von Windows hinterlegt hat. Aufgrund der Vollverschlüsselung beim Netzwerkverkehr machen das die AV-Programme von Drittanbietern standardmäßig, damit sie den Verkehr überhaupt mitlesen können und nicht blind sind. Da die Verschlüsselung aufgebrochen wird, ist das aber letztlich der klassische Man-in-the-middle. Sowas lässt sich leicht prüfen, indem man ein sauberes System und das infizierte System nimmt, im gleichen Browser die gleiche Seite aufruft und die Zertifikate in dem entsprechenden Infofenster der Browser dann vergleicht. Weicht das Zertifikat auf dem infizierten System ab und hier ist auch kein anderes AV-Programm als Defender aktiv, kannst du davon ausgehen, dass die Malware die Verschlüsselung aufgebrochen hat. Windows muss eben in beiden Fällen frei atmen können. Dann müsste man noch andere Sachen ausschließen, etwa ob zusätzlich ein Keylogger installiert wurde. Grundsätzlich wäre dann aber auch klar, warum der Defender das Problem dann nicht erkannt hat. Vielleicht weiß er schon, dass da was ist, aber wegen dem Zertifikat interpretiert er das als unbedenklich und beachtet das nicht weiter. Zertifikate werden ja auch immer wieder erneuert und laufen sonst irgendwann mal aus.
Eine gute Idee wäre zudem, dass man vor der Bereinigung noch einen Zwischenschritt unternimmt und sich den Netzwerkverkehr nochmal anschaut. Grundsätzlich muss man bei jeder Malware heute davon ausgehen, dass sie zeitweise Kontakt zu Command-and-Control-Servern aufnimmt und dementsprechend ein Restrisiko besteht, dass das Ding weitere Malware oder zumindest Module nachlädt. Wenn man einen Kandidaten im Verdacht hat, ist es deswegen sinnvoll, das mal einige Zeit zu beobachten und sich mögliche Verbindungen zu notieren. Wenn das bei einer gewissen Sammlung stabil bleibt, kann man diese Verbindungen auf Netzwerkebene oder zumindest erstmal übergangsweise über die hosts-Datei abklemmen und minimiert das Restrisiko für weiteren Schaden nochmal deutlich. Du musst bei der hosts-Datei nur aufpassen, dass du keine offiziellen Microsoft-Adressen sperrst. Merkt Windows das, löscht er die alte Datei und erstellt eine leere neue, weil Microsoft sowas nicht möchte.
So oder so wird eine umfassende Nachsorge notwendig sein. Bei den Browsern müssen auf alle Fälle frische Profile her und die müssen komplett neu aufgebaut werden, weil man annehmen muss, dass im alten Profil die bestimmten Schlüsseldateien (bei Firefox sehen die z.B.
so aus) verseucht wurden und dann vielleicht die Malware weg ist, der Effekt aber weiter auftritt. Genauso würde ich a) deine Mutter wirklich mal ins Gebet nehmen und durchgehen, was für Programme sie wirklich braucht und womit sie auskommen würde, und b) auf Netzwerkebene solche Seiten (d.h. Malware-Domains, solche Downloadseiten wie CHIP etc.) rigoros sperren, was einfach den Vorteil hat, dass es für ausnahmslos jedes Gerät im Netzwerk gelten würde. In den Browsern musst du unbedingt darauf achten, dass der Virenscanner, der Navigationsschutz und der Trackingschutz aktiv sind, und du kannst zusätzlich mit einem Content-Blocker (ich würde uBlock Origin bei Firefox und uBlock Origin Lite bei den Chromium-Browsern nehmen) vorsorgen.
Mehr Input kann ich dir aktuell erstmal nicht geben. Jetzt müssen wir erstmal sehen, wie jetzt die Rückmeldung von dir ausfällt. Wenn du die jüngeren Installationen bei deiner Mutter durchgehst, wäre aber mal interessant, ob die üblichen Verdächtigen wie AV-Programme, (kostenlose...) VPN-Dienste bzw. Proxies, System-Cleaner, Tuning-Suiten, Treiber-Booster, von Seiten wie CHIP vermarktete Spezialprogramme (CHIP Banking Browser o.ä.) und ähnlicher Kram dabei waren.
Worauf ich dich aber noch verweisen möchte, ist ein Beitrag, den ich über Microsoft bei uns im November veröffentlicht hatte. Auch die Großen lassen sich manchmal so einen Mist einfallen.
Nachdem wir erst gestern über die Veröffentlichung von Bing Wallpaper im Microsoft Store berichtet haben, scheint sich das Programm jetzt als hartnäckige Adware zu entpuppen, die direkt von Microsoft vertrieben wird. Darauf macht zumindest Rafael Rivera, seinerseits ein früherer Redakteur von...
www.drwindows.de
