Abklärung von (potentiellem) Malware-Unfall - Fehlclick auf Attachment...

[netvergrampfn]

Hallo,
ich habe eben beim Abarbeiten des Maileingangs aus Versehen einen Fehler gemacht, auf ein Attachment zu einer Rechnung (täuschend echte Mahnung, die meinen WebSite-Host imitierte) zu klicken.
Habe auf der verlinkten Seite ein Passwort für meinen 'all-inkl-Account' eingeben müssen -das ich nur für diesen nutze, also überschaubares Problem bzgl. anderer Hacks- und erst danach gesehen, daß die Absendeadresse ein kryptisches Adresschen aus Brasilien ist.

Frage:
Kann mir jemand helfen, das Attachment bzw. die WebSite, zu der ich gelenkt wurde, anzusehen, ob ich mir möglicherweise noch mehr Schaden eingehandelt haben kann (Viren etc., habe AntiVir und Malwarebytes laufen lassen ohne Ergebnis), den ich nicht mit meinen Basicprogrammen erkennen kann?

Wäre sehr nett!
netvergrampfn

 

[DarkInterceptor]

https://www.virustotal.com/gui/home/upload
da kann man vermeintlich infizierte dateien hochladen und dort wird sie von einigen vielen scannern geprüft. die prüfen auch URLs
Passwort hast du hoffentlich schon geändert?

 

[Wo bin ich hier]

ein Attachment zu einer Rechnung (täuschend echte Mahnung, die meinen WebSite-Host imitierte) zu klicken.

War das eine PDF?

Sehr unwahrscheinlich, dass die Website selbst ein Schaden angerichtet hat.

Unbedingt dein Passwort ändern.

 

[netvergrampfn]

Vielen Dank, sehr nett!! Ich werde die Datei bei der angegebenen Adresse hochladen.

Passwort geändert, ja!
Das Attachment war eine pdf.

 

[TorenAltair]

Ein Restrisiko bleibt immer, da die Scanner bicht zwangsweise alles erkennen. Wenn es ein Produktivsystem ist oder Zweifel stark sind, dann System plattmachen

 

[netvergrampfn]

Habe bei Virustotal -das noch läuft, Sandbox XYZ- die folgenden Meldungen erhalten:

 

[CoMo]

FRST-Log erstellen. FRST.txt und Addition.txt posten. Verdächtige Einträge überprüfen.

 

[nutrix]

Habe auf der verlinkten Seite ein Passwort für meinen 'all-inkl-Account' eingeben müssen -das ich nur für diesen nutze, also überschaubares Problem bzgl. anderer Hacks- und erst danach gesehen, daß die Absendeadresse ein kryptisches Adresschen aus Brasilien ist.

Sofort das Kennwort ändern.

Was verwendest Du genau (Windows 10, 11..) Welche Sicherheitsfeatures sind bei Dir alle genau aktiviert? Wenn das ganze Sicherheitspaket von Windows 11 aktiviert ist, ist die Gefahr, daß das PDF mehr angerichtet hat, gering.

 

[Wo bin ich hier]

Das Attachment war eine pdf.

Womit hast du die PDF geöffnet?
Ein veralteter Acrobat Reader wäre bspw. gefährlicher als ein aktueller Browser.

 

[netvergrampfn]

FRST TXT und Addition TXT

Ergänzung (3. Dezember 2025)

@Wo bin ich hier
Ich habe das pdf mit aktuellem Foxit geöffnet.

 

[CoMo]

ACHTUNG: der Benutzer ist kein Administrator

So bringt uns das nichts.

 

[netvergrampfn]

Tschuldigung, ich werde es nochmal auf dem Admin-Account laufen lassen, wußte nicht, daß das ein Problem ist (nutze immer den beschränkten Account, dachte nun nicht daran)!

 

[CoMo]

Das soll nicht in einem anderen Account ausgeführt werden, sondern in deinem aktuellen Account mit erhöhten Rechten.

 

[netvergrampfn]

Nun, hoffe, es paßt... Bin vorsichtshalber immer mit einem eingeschränkten Account 'unterwegs', daß es mir beim ersten Scan entfallen ist!

Ergänzung (3. Dezember 2025)

Teil 2 von Virustotal, Sandbox läuft noch...

 

[CoMo]

Erst mal Avira runterschmeißen und den Defender aktivieren.

Warum gibt es da so viele User? Hast du die alle angelegt?

Administrator (S-1-5-21-2441083288-766842072-3001786986-500 - Administrator - Disabled)
Be'an (S-1-5-21-2441083288-766842072-3001786986-1003 - Limited - Enabled) => C:\Users\Be'an
DefaultAccount (S-1-5-21-2441083288-766842072-3001786986-503 - Limited - Disabled)
freig (S-1-5-21-2441083288-766842072-3001786986-1001 - Administrator - Enabled) => C:\Users\freig
Gast (S-1-5-21-2441083288-766842072-3001786986-501 - Limited - Disabled)
Internet (S-1-5-21-2441083288-766842072-3001786986-1002 - Limited - Enabled) => C:\Users\Internet
Internett (S-1-5-21-2441083288-766842072-3001786986-1006 - Limited - Enabled) => C:\Users\Internett
Maidre Dez (S-1-5-21-2441083288-766842072-3001786986-1010 - Limited - Enabled) => C:\Users\Maidre Dez
Omi (S-1-5-21-2441083288-766842072-3001786986-1004 - Limited - Enabled) => C:\Users\Omi
Probemeck (S-1-5-21-2441083288-766842072-3001786986-1009 - Limited - Enabled) => C:\Users\Probemeck
Steffan (S-1-5-21-2441083288-766842072-3001786986-1005 - Limited - Enabled) => C:\Users\Steffan
WDAGUtilityAccount (S-1-5-21-2441083288-766842072-3001786986-504 - Limited - Disabled)

Das hier sieht aus wie Pseudolocalization:

Windows Defender:
================
Date: 2025-11-25 10:08:42
Description:
Microsoft Defender Antivirus śčåп ħąś ьэĕŋ şŧøφρеδ ъзƒőѓз çőмрłêτìòή.%ň %ţŞčдň ΪĎ:%в{BDCDF40D-6DAC-475F-9625-D27A3471BD45}%ň %ŧŞčåη Ŧўρę:%вAntimalware%η %ŧŚĉàň Ρäґαм℮ŧéѓš:%ъSchnellüberprüfung%ñ  %тЦśёѓ:%ъNT-AUTORITÄT\SYSTEM%π %τŠţõφ Яëąšбⁿ:%вŞċħęðùłėđ ŝ¢ǻй ẁąş ѕĸϊρφέđ веčаџŝĕ ťĥε łąşţ şϋς¢еşѕƒûļ şċаņ ẁäş ẁìţħϊή ťђè ļдšţ 7 ďªÿş

Hast oder hattest du mal ein Windows Insider Build installiert?

Sonst konnte ich auf den ersten Blick nichts verdächtiges erkennen. Die einzige Malware, die ins Auge springt, ist Avira Security.

 

[netvergrampfn]

Danke für die nette und schnelle Antwort!!
Die vielen User sind 'temporär' angelegt worden, um 'zeitnah' das wieder in zwei Accounts zusammenzubringen. Ich hatte letztes Jahr zwei 'Unfälle', einmal selbstverschuldet, einmal hat ein Honk den Computer im Betrieb vom Stromnetz getrennt und damit ist jeweils das System zerschossen gewesen. Zudem ist meine Mutter verstorben und ich mußte die Sachen von Ihr auch transferieren (bekannt, daß es Sicherheitskopien und Lesezeichendateien gibt).
So habe ich Extrakonten angelegt, um bspw. session-Dateien (habe immer recht viele geöffnete Tabs, die ich rekonstruieren wollte), die tw. aus Dateiwiederherstellungsquelle, also ohne korrekten Namen, stammten, auspropieren zu können.
Der Elan hat dann temporär nachgelassen und liegt noch 'auf Halde', deshalb der Wust.

Windows Insider Built habe ich nicht -zumindest nicht wissentlich- installiert.

 

[PC295]

ich habe eben beim Abarbeiten des Maileingangs aus Versehen einen Fehler gemacht, auf ein Attachment zu einer Rechnung (täuschend echte Mahnung, die meinen WebSite-Host imitierte) zu klicken.

Das ist ein alter Phishing-Trick. Man packt Phishing-URLs einfach in PDFs statt direkt in die Mail um sich der Erkennung von Spamfiltern und AV-Programmen zu entziehen.

Wenn du das Passwort dort eingegeben hast, dann musst du es schleunigst ändern.