Wie nach Virus/Trojaner-Infektion vorgehen?
Hallo,
ein Bekannter von mir hat mich gestern panisch angerufen und meinte, er glaubt einen Virus/Trojaner zu haben. Er hat sich auf irgendeiner dubiosen Seite einen Spielstand für irgendein Computerspiel runtergeladen. Er hat die *.exe (!!!) Datei einfach ausgeführt, da seiner Meinung nach AntiVir beim ausführen ja eh die Datei scannt -.- Laut seiner Aussage hat sich AntiVir nicht gemeldet, dafür aber seine Software-Firewall, das ein Programm sich mit dem Internet verbinden will und auf eine Seite zugreifen will.
Ich habe mich per TeamViewer auf seinen PC geschaltet und nach kurzer Recherche hab ich rausgefunden, das die Seite in fast allen Suchmaschinen als Malware/Viren Seite auf der Blacklist steht. Nachdem ich verboten habe die Verbindung aufzubauen, hat sich die *.exe Datei selber gelöscht, jetzt hat mein Bekannter richtig Panik bekommen, da er ja Homebanking macht etc.
Ich habe seinen Computer danach mit allen möglichen Programmen komplett durchgescannt (mit AntiVir auch mit Rootkit Einstellung) und nichts gefunden, jetzt ist meine Frage, hat einer von euch Erfahrungen mit diesem Thema? Dass die Datei sich selbst gelöscht hat, hat mich persönlich total überrascht, da ich diese Datei unter anderem noch auf www.virustotal.com scannen wollte.
Ich weiß gerade nicht was ich meinem Bekannten raten soll, da sein Computer überhaupt keine Auffälligkeiten aufweist… keine versteckten Prozesse, gar nichts.
Hallo Counterfeit,
da sich die Firewall gemeldet hat, würde ich davon ausgehen, dass keine Daten übertragen wurden, zumindest wenn dein Freund den Zugriff nicht gestattet hat.
Trotzdem sollte er alle seine Passworte, die im Zusammenhang mit sensiblen Accounts (ohne Anspruch auf Vollständigkeit: Homebanking, ebay, amazon, ...) stehen, ändern.
Außerdem sollte er die Bank bitten, dass alle seine TANs gesperrt werden und ihm neue zugesendet werden. Er sollte außerdem sein Konto in der nächsten Zeit täglich überprüfen und verdächtige Transaktionen der Bank sofort melden bzw. diese sofort widerrufen. Lastschriften kann man zwar relativ lange (6 Wochen) widerrufen, aber Überweisungen nur sehr, sehr kurz.
Wenn sich Kreditkarteninformationen auf dem Rechner befunden habe, sollte er erwägen, die Kreditkarte sperren zu lassen.
Ist zwar alles viel Aufwand und vermutlich sogar letztlich unnötig, aber sicher ist sicher.
Um sicher zu gehen, solle er außerdem sein System von einem Reasonly-Medium (z.B. Knoppix-/Knoppicillin-CD) booten und von dort aus mit aktuellen Virensignaturen sein System scannen.
herbivore
Hallo herbivore,
vielen Dank für deine Antwort, mit den sensiblen Accounts könntest du Recht haben, aber wie du bereits sagtest: "da sich die Firewall gemeldet hat, würde ich davon ausgehen, dass keine Daten übertragen wurden". Wie kann das Programm was auch immer es ist, Daten übertragen ohne Verbindung? Ich will meinem Bekannten nicht noch mehr Panik machen mit Account-Passwörter ändern etc. Es fällt so oder so auf mich zurück (neu aufsetzen) 😄
Ich werde ihm dann wohl ein Readonly-Medium erstellen und heute bei ihm vorbeifahren.
Danke für den Tipp.
Du könntest die Datei nochmals runterladen und dann auf virustotal.com hochladen. Dann kann man vielleicht den Virus identifizieren...
Die TANs zu sperren halte ich für übertrieben, da diese ja auf einem Blatt Papier stehen und nicht auf dem Rechner gespeichert sind
-=MasterMax=-
Jaja, das Problem kenne ich...
Gerade den Rechner aus dem abgesicherten Modus nach einem Scan gestartet, nachdem ein wohl infizierter Bekannter mir einen Link zu einem "Bild" vom Wochenende geschickt hat.
Und da Firefox ja schon während des Speichern-Dialogs anfängt mit dem Runterladen (kann man das irgendwie abschalten??) und so der Bot schon runtergeladen war, bevor ich mich über die .pif Datei wundern konnte, hat mich mein AV Scanner schon im Club der Mariposa Zombies begrüßt...
Zum Glück mache ich mein Banking auf einem anderen PC, aber das ist echt ein scheiß Gefühl. Ich hab zwar mehrere Scans hinter mir und auch schon manuell alles durchforstet - ohne Befund -, aber wenn man dann noch liest, dass mein "Freund" Keylogger installieren und Backdoors öffnen soll, hab ich doch schon Angst um meine E-Mail Konten etc (obwohl ich keine Passwörter speichere).
Ich glaub ein sicheres Gefühl bekommt man erst wieder, wenn man das System neu aufgesetzt hat. Vorallem nachdem ich mir mal Präsentationen angesehen habe, wie einfach der malicious User Rootkits verstecken kann, die in keinen Signaturen auftauchen und niemals gefunden werden, wenn er einmal Zugriff gehabt hat.
Gruß
Hallo Counterfeit,
surft Dein Bekannter mit Administrator-Rechten? Dann ist das die Gelegenheit, ihm das abzugewöhnen.
Dass sich die Software-Firewall gemeldet hat, muss überhaupt nicht heißen, dass keine Daten übertragen wurden - evtl. heißt es auch nur, dass ein Versuch von vielen fehlgeschlagen ist.
Und woher weißt Du, dass sich die Datei selbst gelöscht hat? So einfach ist das nicht, wenn das Programm gerade läuft. Einfacher ist es hingegen, die Datei zu verschieben und auf den nächsten Autostart zu warten.
Ich würde mir mal die laufenden Prozesse anschauen und den Autostart überprüfen (s. ProcessExplorer, Autoruns, HijackThis) und, wie herbivore schon sagte, von einer CD booten und den PC scannen lassen. Avira bietet z. B. sehr aktuelle CDs.
Wie hieß eigentlich die Datei? Ach ja - für Virustotal wird Dein Bekannter ja noch wissen, wo die Exe her ist, oder? 😁
PS: Der Bekannte sollte auch seine Avira-Signaturen aktuell halten.
Dass sich die Software-Firewall gemeldet hat, muss überhaupt nicht heißen, dass keine Daten übertragen wurden - evtl. heißt es auch nur, dass ein Versuch von vielen fehlgeschlagen ist.
Ich vermute, dass nochnichteinmal das verhindert wurde. Sehr viele firewalls sind so eingestellt, dass sie nur sockets, die eingehende verbindungen erlauben, melden.
Hallo,
danke für eure Antworten. Erstmal müsste ich herausfinden auf welcher Seite er dieses "Savegame" geladen hat. Wie die Datei hieß weiß ich nicht mehr genau, irgendwie was mit C&C#Save#...exe (die ... weiß ich nicht mehr was da stand). Also das die Datei sich gelöscht hat, konnte ich selber sehen, da ich mit TeamViewer auf seinem PC zugegriffen habe, ob sie jetzt 100%ig verschoben bzw. gelöscht wurde, kann ich nicht beurteilen, sah wie löschen aus 😄
Avira hält er aktuell, das hab ich ihm schon eingetrichtert. Das er nicht mit Administratoren-Rechten surfen bzw. arbeiten soll auch, aber er macht es trotzdem -.-
Das mit der BootCD werde ich noch testen. Ich habe heute gesehen, das AntiVir 10 rausgekommen ist, evtl. installiere ich ihm das mal.
@Edit:
Er hat die Datei gestern Abend hochgeladen, hier ist der Bericht, werde aber noch nicht ganz schlau daraus.
@Edit2:
Nach kurzer Recherche im Internet was die einzelnen Definitionen bei VirusTotal bedeuten, hab ich nichts brauchbares gefunden, außer noch mehr Virenseiten (LOL) und die Beschreibungen woran man erkennt, das man den Virus hat, treffen auch nicht zu (Registry-Einträge, Ordner/Dateien in bestimmten Systemverzeichnissen etc.). Bleibt wohl erst einmal die BootCD übrig bzw. die neue AntiVir Version.
So nach längerer Recherche ist das "Programm" scheinbar "harmlos", zumindest ist nicht wie gedacht ein Trojaner bzw. KeyLogger. Das neuste AntiVir hab ich bei ihm auch drüber laufen lassen und nichts gefunden.
Was ich aber sehr gut finde, als mein Bekannter sich wieder mal als Administrator angemeldet hat, hat ihn AntiVir darauf hingewiesen, das er nicht als Administrator arbeiten soll 👍 !