Frage zu Trojaner Trojan:Win32/Wacatac

[Cl4whammer!]

Hallo zusammen,

ich war vorhin wegen eines Online Games wiki's am durchwühlen bei Google, bei einem Suchergebniss hat sich dann direkt der Firefox Tab geschlossen eine dieser Seiten öffnen sollte.

Beim 2ten genauen ansehen des Suchergebnisses wurd mir klar das das vermutlich eines dieser Suchergebnissfakes ist.
(Beschreibung enthielt Suchbegriff aber URL war merkwürdig).

Hab dann gleich mal den Windows Scanner angeworfen und direkt dadrauf das Emsisoft Emergency Kit.

Kurioserweise hat weder der MS Scanner noch das EEK selbst was gefunden, aber als das EEK unter Appdata/temp gesucht hat, hat der Defender dann angeschlagen und ein win32/wacatac.B!ml gefunden und direkt geblockt.

Hab PC vom Netz getrennt, nen live ubuntu gestartet und kopiere gerade ein paar dateien die ich erstmal zippe und dann werd ich das System neu aufsetzen.

Laut Beschreibung soll das ein Trojaner sein der Logindaten mopst. Da ich relativ schnell reagiert habe (Max 10min) frag ich mich natürlich in wie fern ich jetzt am besten auf meine Logindaten schauen sollte. Hab im FF wenig hinterlegt da ich alles aus einer Keepass kopiere (die lief aber im hintergrund), war in Steam, Discord, battlenet etc zu dem Zeitpunkt eingeloggt, aber habe mich in der Zwischenzeit nirgends per hand neu eingeloggt.

Danke für Eure Tipps!

 

[madmax2010]

aber habe mich in der Zwischenzeit nirgends per hand neu eingeloggt.

dann wuerde ich mir sehr wenig sorgen machen.
Hast du ueberall 2 Faktor auth an?

 

[Cl4whammer!]

Leider nicht überall, Steam z.b nicht weil das nicht in den MS Authenticatior geht.

 

[purzelbär]

Kurioserweise hat weder der MS Scanner noch das EEK selbst was gefunden, aber als das EEK unter Appdata/temp gesucht hat, hat der Defender dann angeschlagen und ein win32/wacatac.B!ml gefunden und direkt geblockt.

In dem Fall dürfte ers reichen, eine Datenträgerbereinigung zu machen bei der auch Temp Files unter Windows gelöscht werden und zur Absicherung könntest du im Abgesicherten Modus mit Netzwerktreibern einen Scan Adwcleaner und danach einen Scan mit Malwarebytes Free ausführen.

 

[madmax2010]

Schaint zummindest im yubi zu gehen, sonst geht das auch mit der steam app
https://developers.yubico.com/yubioath-desktop/Release_Notes.html

Aber ich wuerde mir nicht allzuviele Sorgen an deiner Stelle machen.

Du bist erheblich Besser abgesichert als die meisten.
Hast du Backups und wann genau ist das passiert?
um ganz sicher zu gehen, wuerde ich eins von vor dem Vorfall einspielen.

 

[TorenAltair]

Auf Schadsoftware scannen nie aus dem potentiell infizierten System heraus; dort hat es die Software relativ leicht sich vor Scannern zu verstecken. Scannen immer aus einem Livesystem wie z.B. desinfect, Kaspersky und Co.

 

[Cl4whammer!]

In dem Fall dürfte ers reichen, eine Datenträgerbereinigung zu machen bei der auch Temp Files unter Windows gelöscht werden

Ich hab nicht so große schmerzen damit das OS einfach neu zu installieren, meistens ist alles nach einer Stunde wieder eingerichtet bei mir. Da mache ich lieber alles weg als gefahr zu laufen das da noch was lauert...

Malwarebytes Free

Ist das protable oder muss das installiert werden?

Du bist erheblich Besser abgesichert als die meisten.
Hast du Backups und wann genau ist das passiert?

Wirklich wichtiges habe ich auf meinem PC nicht, entweder das liegt auf meiner Nextcloud (Desktopclient) oder meinem Windows Fileserver (Netzwerklaufwerk). Und alles was da ist geht 1x im Monat auf zwei Externe HDDs und einem TrueNas Server (Der nur läuft wenn er benötigt wird).

Livesystem wie z.B. desinfect, Kaspersky und Co.

Meinst du damit die: Kaspersky Free Rescue Disk?

 

[madmax2010]

Meinst du damit die: Kaspersky Free Rescue Disk?

yes. oder beliebige andere live cds. hauptsache aktuell und gern untewrschiedliche.

Die desinfect bringt ja eineMenge mit

 

[purzelbär]

Ist das protable oder muss das installiert werden?

Malwarebytes muss installiert werden, danach kann man es in den Einstellungen zum Konto dauerhaft in Malwarebytes Free umschalten. Adwcleaner ist portabel muss nicht installiert werden.

Ich hab nicht so große schmerzen damit das OS einfach neu zu installieren, meistens ist alles nach einer Stunde wieder eingerichtet bei mir.

Noch schneller ginge es, wenn man Windows 10 Systembackups machen würde mit zum Beispiel Aomei Backupper Standard

 

[Cl4whammer!]

Noch schneller ginge es, wenn man Windows 10 Systembackups machen würde mit zum Beispiel Aomei Backupper Standard

Gute idee, allerdings lief das System jetzt auch schon seit +2 Jahren und da tut eine Neuinstallation auch mal wieder gut um Ballast loszuwerden

 

[TorenAltair]

@Cl4whammer! Du kannst Dir auch mal eine/n DVD/USB-Stick machen mit mehreren Scannern direkt drauf. Kaspersky, Bitdefender und Co holen sich ja die aktuellen Signaturen aus dem Netz, wenn Du dann von dem Medium startest. Auch eine Windows-PE-Variante kann da einige Sachen einbinden wie z.B. Eset

 

[Cl4whammer!]

Eset

ESET SysRescue Live Tool?

Werd ich mir mal alles runterladen und mal den Euro in eine CT investieren

Danke Euch für die Tipps!

 

[TorenAltair]

@Cl4whammer! Es gibt auch einen ESET Livescanner (kostenfrei), der z.B. in einer WinPE läuft. Vorteil ist da, man braucht nicht mehrfach neu booten. Sonst zum Multi-Boot-ISOs machen (Virenscanner sind ja so "klein", dass mehrere auf eine DVD passen, wenn man keinen USB-Stick mit belegen will) gibt es auch viele Tools.

 

[purzelbär]

Eine Alternative zu Desinfect wäre Sardu mit dem man auch verschiedene Live Scanner einbinden kann und man dann ein Live Medium hat mit zum Beispiel Kaspersky, BitDefender, Panda und Avira um mal Beispiele zu nennen. Bootet man dann Sardu, kann man unter den Scannern wählen welchen man nutzen und mit dem man dann scannen will. Und von Sardu gibt es einer Freeversion.

 

[purzelbär]

Avast(und auch AVG)bieten auch eine sog. Startzeit Prüfung an die man planen kann bei der eine Überprüfung stattfindet, bevor Windows geladen wird: https://support.avast.com/de-de/article/Antivirus-Boot-time-Scan/ auch kann man da festlegen, was mit gefundenen Bedrohungen geschehen soll, steht alles in der Beschreibung mit drin.