[SammelThread] Viren, Würmer & Trojaner

[purzelbär]

PC Neu aufsetzten ganz klar.
Passwörter abändern ? Neu erstellen am besten mit nem passwort generator und in einen Passwordsafe damit oder in ne Textdatei damit und ausdrucken.

Warum soll er wegen einer Erpesser Spam Mail die zur Zeit an Usern verteilt wird, seinen PC neu aufsetzen? Passwörter ändern ja da bin ich bei dir, aber nicht bei PC neu aufsetzen weil die Mail nicht einzigartig ist sondern in Massen verteilt wird in sehr ähnlicher Form nur mit den Hintergedanken der Verfasser auf diesem Weg wenig erfahrenen Usern mittels Bitcoin Geld aus der Tasche zu ziehen. Ich würde ihm raten die Mail zu löschen, nicht darauf zu antworten und seine Passwörter neu zu machen. Anbei das Suchergebnis dazu zu dieser Masche: https://www.google.com/search?q=Erpresser+spam+Mail&ie=utf-8&oe=utf-8&client=firefox-b lese dir mal die Berichte dazu durch und überlege dann ob du immer noch richtig damit liegst deswegen müsse der PC neu aufgesetzt werden.

 

[Dr. McCoy]

@Bronco5000:

Was mich allerdings stutzig macht, ist, dass bei "dein Passwort ist" ein Passwort stand, das meinem tatsächlichen Emailaccount-Passwort verdammt nahe kommt und das ich in in jeweils leicht abgeänderten Versionen bei verschiedenen Diensten nutze.

Das einzige, was Dich an diesem Punkt ganz dringend stutzig machen sollte, ist Deine eigene Passwortgestaltung- und Verwendung. Passwörter sollte man nämlich niemals nahezu gleich im Sinne von nur "leicht abgewandelt" bei verschiedenen Diensten platzieren. Es sollten vielmehr stets jeweils komplexe und dabei deutlich unterschiedliche Passwörter sein.

Aber die Ähnlichkeit des angegebenen Passworts macht mich irgendwie doch unsicher ob das wirklich nur ein Fake ist.

Das liegt daran, weil diese Daten bei einem Dienst im Web ausgelesen wurden, bei dem Du angemeldet bist/warst. Welcher Dienst dies ist, sollte Dir das in der Mail genannte Passwort verraten. Da es ja immerhin "leicht abgewandelt" ist, sollte die Art der leichten Abwandlung für Dich auf den entsprechenden Dienst weisen, da Du wissen müsstest, wo Du diese spezielle Passwort-Abwandlung verwendet hattest.

Aber wegen dieser Passwortsache bin ich am Überlegen ob ich die Kiste nicht doch sicherheitshalber platt machen,neu aufsetzen und sämtliche Passwörter abändern sollte...

Die Passwörter musst Du ändern, wie gesagt, bei allen Diensten in signifikant unterschiedliche und zugleich komplexe. Denjenigen Dienst, den Du anhand des in der Mail aufgeführten Passworts als "Leck" identifizieren konntest, musst Du besonders kritisch unter die Lupe nehmen, nach ihm googlen und schauen, aufgrund welchen Vorfalls dieser wegen Datenverlustes in der Presse auftauchte. Daran angelehnt sind dann passende Maßnahmen zu ergreifen.

 

[EKD]

Hat irgendein Ublock-Benutzer das selbe Problem hier? Hab Ublock aus Firefox entfernt und versucht neu reinzuspielen, sofort dieselben beiden Meldungen von Avast.

Da scheint sich bei Easylist.to irgendeine Phishing-Malware names HTML:ChaseBank-A [Phish] breitgemacht zu haben.

Edit vom 27.10. Mittlerweile ist nichts mehr an Meldungen nachgekommen. Scans von Avast und Adwcleaner sind auch negativ. Sehr merkwürdig, das ganze.

 

[Rizlok]

Trojan:Win32/Tiggre!rfn wurde auf meinem System erkannt. Ist die Gefahr schon beseitigt?

Hallo liebe Community,

leider wurde bei mir seitens Windows Defender unter Windows 10 die Bedrohung Trojan:Win32/Tiggre!rfn erkannt. Diese wurde in zwei meiner Downloads erkannt.

Daraufhin hat der Defender die beiden Dateien unter Quarantäne gestellt mit dem Rat diese über den Windows Defender zu entfernen, was ich auch getan habe.

Es war einmal eine Datei mit der Endung rar und eine mit der Endung zip. Bzw. es war dahinter noch die Endung part weil die Bedrohung schon während bzw. kurz nach Fertigstellung des Downloads via Firefox erkannt wurde.

Ich habe die heruntergeladenen Dateien generell nicht ausgeführt.

Das einzige was passiert ist war, dass ich auf eine der beiden Archivdateien einen Doppelklick gemacht habe bevor die Meldung, dass eine Bedrohung erkannt wurde vom Defender kam. Woraufhin sich aber das Archiv, die Datei oder was auch immer das auch war nicht öffnete sondern dieses Windows Auswahlmenü kam mit welchem Programm ich diese Datei öffnen will. Daraufhin habe ich das Öffnen der Datei abgebrochen, weil mir das erst Mal suspekt vorkam.
Das könnte aber auch daher kommen, dass ich vor kurzer Zeit mal WinRaR installiert hatte und danach keine Zip Datei mehr per Doppelklick geöffnet hatte, die vor der Installation von WinRaR ganz normal im Explorer geöffnet wurde.

Also das war die einzige der beiden Dateien auf die ich einen Doppelklick gemacht hatte mit oben geschilderten Verlauf.

Meine Fragen sind nun:

Ist diese Bedrohung überhaupt wirklich aktiv geworden auf meinem System oder wurde sie vorher rechtzeitig vom Defender isoliert und dann von mir entfernt?
(Das ist für Leute die mehr Ahnung haben ja vielleicht ersichtlich laut meiner Schilderung der Sachlage.)

Sollte ich jetzt noch etwas tun bezüglich dieser Sache oder habe ich schon alles nötige gemacht und die Gefahr ist gebannt?

Falls ja, was?

Ich habe danach folgendes schon gemacht:

- Einen vollständigen Scan mit dem Windows Defender ohne erkannte Bedrohungen.

- Malwarebytes installiert und einen Scan laufen lassen ohne erkannte Bedrohungen.

- Vollständigen Scan über die Kaspersky Rescue Disk gemacht ohne erkannte Bedrohungen ( obwohl ich leider den Bericht nicht lesen konnte wegen der Fehlermeldung Not Enough Memory ).

- Schon gegooglet aber nur verschiedene Berichte darüber gelesen und seltsame Anleitungen zum entfernen, die teilweise schlecht übersetzt waren.

Ich bitte um Hilfe. Ich bin deshalb etwas beunruhigt.

EDIT: Was mir seitdem auffällt ist, dass mein Ping vergleichsweise viel zu hoch ist. Mein Ping liegt sonst bei ungefähr 23 ms

Nun ist er dauerhaft bei einem durchschnittswert von ca. 150 ms ( liegt mal so mal so bei 100 - 200 ms )
Normalerweise liegt mein Ping immer sehr nah bei 23 ms.

Das könnte zum einen damit zu tun haben.

Zum anderen damit dass jemand eine DDOS Attacke auf mich gestartet hat bzw. immer wieder startet ( Gab da so einen Vorfall in einem Onlinespiel wo jemand im Chat jemanden damit gedroht hat woraufhin ich auch etwas darauf sagte im Sinne von, dass man so etwas nicht macht. Dachte mir da nichts dabei. Wusste bis dahin gar nicht, dass das möglich ist. Das könnte natürlich für denjenigen auch ein Grund gewesen sein, DDOS Angriffe auf mich zu starten. Oder es könnte einfach ein Providerproblem sein. Könnte mir vielleicht auch hierbei bitte jemand helfen?

Habe den Ping auf verschiedene weise via cmd und ping Befehl getestet. Zuerst ist mir der hohe Ping in dem Spiel aufgefallen.

Dann habe ich den google public DNS für einen Ping Test verwendet ( 8.8.8.8 )
Dann weitere pingtest z.B. www.computerbase.de usw.

Überall das gleich schlechte Ergebnis.

Im Netzwerk war zu dieser Zeit NUR ein einziges Gerät per LAN Kabel verbunden. Nämlich mein Haupt PC.

 

[purzelbär]

Wenn du auf Nummer sicher gehen willst, dann mach dein Windows 10 System neu, also alles komplett neu aufspielen von Windows 10, Programme usw oder alternativ spiele ein Systembackup ein wenn du eines hast. Variante 3 wäre, du wendest dich ans Trojaner Board das ein Helfer dort dein System überprüft und dann bei Bedarf mit dir bereinigt. Variante 4 die mir nicht so gut gefällt wäre das du nichts machst und es so lässt wie es jetzt ist.
Trojan:Win32/Tiggre!rfn wird zum Beispiel hier: https://www.pcrisk.de/ratgeber-zum-entfernen/8749-trojan-win32tiggrerfn-virus beschrieben und das ist wohl ein Crypto Trojaner der deinen PC daz nutzt um Krypto Währung zu generieren und das würde auch dein jetzt schlechteren Ping erklären weil dir von deinem Internetanschluß quasi etwas abgezapft wird eben durch die Manipulation des Crypto Trojaners. Eine Bitte noch: nicht das im Artikel genannte Reimage verwenden, das ist kein guter Scanner sondern eher ein Fake Scanner den du lieber nicht benutzen solltest.

 

[Rizlok]

@purzelbär

Das System neu aufsetzen möchte ich nicht, wenn es nicht unbedingt sein muss. Das dauert immer ewig bis das System dann wieder so ist wie es war, wenn es denn überhaupt wieder so wird. Vorallem was die Savegames für Spiele aller Generationen betrifft. Die funktionieren dann oft nicht mehr.

Das Problem mit dem Ping besteht nicht mehr. Das war wohl nur eine Netzüberlastung zu einer Stoßzeit des ISP's.

Ist mir zwar wann anders noch nie aufgefallen, aber sowas kann doch vorkommen oder?
Das könnte man dann als Anzeichen für ungewollte Systemaktivität ausschließen.

Auch wird mein Prozessor und meine GPU im IDLE von keiner Anwendung beansprucht, was aber so sein soll wenn dieser Tiggre!rfn Dingens wirklich aktiv ist. Das habe ich auf einer ähnlichen Seite gelesen. Also ähnlich der von dir verlinkten.

In einer anderen Community schreibe ich auch über den Fall.

Bis jetzt sieht es dort so aus, dass die wohl der Meinung sind es reicht aus einen Benutzerdefinierten Scan mit Malwarebytes zu machen mit dem man das ganz System scannt. Das habe ich gemacht. Der Trojan:Win32/Tiggre!rfn den ich mittels Windows Defender entfernt habe nachdem er automatisch in Quarantäne gestellt wurde, wurde nicht wieder detected. Dafür zwei andere Dateien die als Schadsoftware erkannt wurden. Das waren 2 Dateien die als "MachineLearning/Anomalous.100%. Die Dateien lagen im cache2 Ordner im Firefox Profilordner.

Die habe ich laut der Anweisung aus der anderen Community mittels Full Custom Scan unter Quarantäne gestellt und dann entfernt.

Danach habe ich wieder einen Custom Full Scan gemacht und es wurden keine Bedrohungen mehr gefunden. Die wurden wohl alle erfolgreich entfernt. Ich habe zusätlich auch nochmal dieselbe Art Scan mit Malewarebytes mittels einer Boot CD gemacht. Dort wurde danach auch keine weitere Bedrohung gemeldet.

Kann es vielleicht sein, dass das ausgereicht hat?

Trojaner-Board ist nicht so mein Fall.

 

[purzelbär]

Nur weil die Scanner nichts gefunden haben und dein Ping jetzt passt, heißt das nicht automatisch alles wieder in Ordnung ist denn es könnten schädliche Änderungen am System vorgenommen worden sein die du gar nicht bemerkst.

Trojaner-Board ist nicht so mein Fall.

Musst du wissen was du machst, zumindest würde dein System dort analysiert werden und wenn etwas faul wäre, würde das der Helfer analysieren können und dir dafür Hilfe anbieten das wieder in Ordnung zu bringen.

 

[Rizlok]

Ich tendiere jetzt am ehesten dazu Windows komplett neu zu installieren. Jedoch habe ich kein Installationsmedium. Ich müsste einen Windows 10 USB Stick an dem betroffenen PC erstellen. Ist das dann sicher von dem Windows 10 USB Stick neu zu installieren der an dem betroffenen PC erstellt wurde? Wie sieht es mit den Datenträgern die ich nach der Infektion an den PC angeschlossen habe aus? Könnte die Schadsoftware jetzt auch da drauf sein und wenn ich ein frisch installiertes und aktuelles Windows habe, erkennt es dann die evtl. noch vorhandene Schadsoftware ohne, dass diese Schaden kann?

Wie sieht es mit Datensicherung aus? Einfach irgendwo raufkopieren jetzt meine Daten und dann auf das neue System kopieren?
Auf einer Internetseite steht, dass das ungefährlich ist. Dort steht folgendes: "Sichern Sie Ihre Daten auf eine andere Partition, eine anderen Festplatte oder brennen Sie sie auf DVD – je nachdem. Dabei gilt grundsätzlich: Das Sichern und spätere Zurückkopieren von Dateien ist ungefährlich. Selbst wenn sich etwa in Ihrem Ordner „Eigene Dateien“ ein Virus befinden sollte, kann sich dieser auf dem neuen System nicht von selbst aktivieren und bleibt harmlos."
Quelle: https://www.pcwelt.de/ratgeber/Nach-Virus-Windows-neu-installieren-4063688.html

Fragen über Fragen...
Wie gehe ich denn dann jetzt am besten vor, wenn ich neu installieren will und nur ein, eben der betroffene Rechner, verfügbar ist?

 

[Darlis]

Speichermedien können auch infiziert werden, wenn der PC infiziert ist. Da bei dir mit diversen Scannern keine aktive Schadsoftware gefunden wurde, halte ich das aber für unwahrscheinlich. Wenn du auf Nummer sicher gehen willst, kopiere die Daten per Live-Linux (z.B. Knoppix). Schließe den Datenträger dann erst wieder an das neue System an, wenn alle Sicherheitsupdates und Sicherheitslösung installiert wurden.
Klar, kann ein auf diesem PC erstellter Windows-Setup-Stick auch kompromittiert werden. Daher wäre es ideal, wenn du das auf einem anderen PC machen könntest. Wenn du keinen anderen PC hast, lege dir ein neues (lokales) Benutzerkonto an und erstelle den Stick von dort aus.
Und ja, ein Großteil der Schadsoftware muss von dir gestartet werden, um aktiv zu werden. Allerdings gibt es auch Sicherheitslücken, so dass allein die Vorschau im Windows Dateiexplorer reicht, um die diese zu aktivieren (unwahrscheinlich, aber gibt es immer mal wieder).

 

[Rizlok]

Was ist, wenn ich während die neueste Hiren's Boot CD läuft das neueste Media Creation Tool von Microsoft herunterlade, darüber ein frisches Windows 10 Iso herunterlade und einen Windows 10 USB Boot Stick erstelle? Ist das dann ein Schadsoftwarefreier Win10 Boot Stick?

Falls das überhaupt geht.

Ich habe leider in meinem vertrauenswürdigen Freundeskreis nur MAC User. Kann man auch über einen MAC genauso wie über einen Win10 PC das Media Creation Tool von Microsoft herunterladen um Windows 10 herunterzuladen und einen Win10 Boot Stick erstellen?

 

[purzelbär]

Wenn du mich fragen würdest: lade mit dem Windows Media Creation Tool die Windows 10 iso auf deinem PC runter, formatiere einen USB Stick auf den es soll und dann erstelle mit Rufus: https://rufus.ie/de_DE.html dein Windows 10 Installationsmedium.

Wie sieht es mit Datensicherung aus? Einfach irgendwo raufkopieren jetzt meine Daten und dann auf das neue System kopieren?

Einfach dir wichtige Daten die nicht verloren gehen sollen, auf eine USB Festplatte kopieren und später wieder aufs neue System rüberkopieren. Wenn du auf Nummer sicher gehen willst, die gesicherten Daten mit 2 verschiedenen Scannern wie Malwarebytes Free und Emsisoft Emergency Kit scannen.

 

[Darlis]

Keine Ahnung ob Hirens geht. Für den MAC kann man die ISO runterladen: https://www.computerbase.de/downloads/betriebssysteme/windows-10/
Aber keine Ahnung wie man dort die ISO bootbar auf den Stick bekommt.

 

[Dr. McCoy]

Ich habe leider in meinem vertrauenswürdigen Freundeskreis nur MAC User. Kann man auch über einen MAC genauso wie über einen Win10 PC das Media Creation Tool von Microsoft herunterladen um Windows 10 herunterzuladen und einen Win10 Boot Stick erstellen?

Du brauchst kein "Creation Tool", man kann von einem Mac einfach die ISO direkt von Microsoft herunterladen.
-> https://www.microsoft.com/de-de/software-download/windows10ISO

 

[Rizlok]

Wenn du auf Nummer sicher gehen willst, kopiere die Daten per Live-Linux (z.B. Knoppix).

Wieso mittels Live-Linux (z.B. Knoppix)? Die Daten einfach so kopieren und den Datenträger erst wieder an das oder ein anderes sauberes System anschließen, welches komplett Up To Date ist ( Alle Patches für's System und für die Scanner) und diesen Datenträger dann erstmal komplett scannen bevor ich die Daten darauf ausführe oder wieder zurück kopiere müsste doch auch ok sein, oder?

 

[Darlis]

Unter Linux sind Windows-Viren i.d.R. nicht aktiv. So würdest du verhindern, dass der Stick selbst infiziert wird, also z.B. sich der Virus in den Autostart einträgt. Nur weil du einen aktuellen Scanner hast, heißt das nicht, dass so ein Virus bei Anschluss erfolgreich erkannt und geblockt werden kann.
Da du aber höchstwahrscheinlich keinen aktiven Virus mehr auf dem System hast, wäre ein Kopieren unter Windows auch ok. Oder du nimmst Hirens.

 

[Rizlok]

Unter Linux sind Windows-Viren i.d.R. nicht aktiv. So würdest du verhindern, dass der Stick selbst infiziert wird, also z.B. sich der Virus in den Autostart einträgt. Nur weil du einen aktuellen Scanner hast, heißt das nicht, dass so ein Virus bei Anschluss erfolgreich erkannt und geblockt werden kann.
Da du aber höchstwahrscheinlich keinen aktiven Virus mehr auf dem System hast, wäre ein Kopieren unter Windows auch ok. Oder du nimmst Hirens.

Welcher Autostart?

Jetzt mal abgesehen vom Erstellen des Windows 10 Boot Sticks. Ich dachte ich könnte die ganz normal über das jetzige System auf einen externen Datenträger kopierten Backup Dateien dann bevor ich irgendwas damit mache auf dem neuen, sauberen, geupdatetem System auf Maleware scannen. Wenn dann nichts dabei herauskommt kann ich sie doch auf das neue System zurück kopieren oder ausführen usw. oder nicht?

 

[Darlis]

Man kann USB-Sticks so präparieren, dass beim Einstecken automatisch eine Aktion gestartet wird. Gilt aber auch für andere Medien wie CDs.

 

[Rizlok]

Ich habe jetzt folgendes gemacht:

Neues Notebook und zwei neue USB Sticks gekauft

Auf dem neuem Notebook einen Hirens Boot CD USB Stick erstellt und einen Windows 10 Installations USB Boot Stick

Soweit so gut.

Dann wollte ich von dem Hirens Boot Stick booten, was nicht gelungen ist. Der PC hat das alte System bis zum Anmeldebildschirm gebootet auf dem die Schadsoftware drauf war. ( Was ich eigentlich vermeiden wollte, weil ich dachte, dass dieser Stick dann u.U. wieder infiziert werden könnte!? )
Dann habe ich den PC ausgeschaltet und den Stick wieder an das Notebook angeschlossen, sofort formatiert, Hirens Bootstick nochmal neu erstellt und mittels Defender und Malewarebytes, beide aktuell, gescannt. Es wurden keine Bedrohungen gefunden. Dann habe vom Hirens gebootet, ein paar Sachen auf eine externe HDD kopiert und schonmal alle möglichen Volumes der Systemlaufwerke gelöscht.

( Ob der Windows 10 Boot Stick nochmal an dem Notebook angeschlossen war nachdem der Hirens Stick einmal kurz an dem PC auf dem die Schadsoftware war angeschlossen war weiß ich leider nicht mehr.)

Dann habe ich vom Windows Installations Boot Stick gebootet, dort alle Volumes der Systemlaufwerke gelöscht. Dann auf allen Systemlaufwerken Volumes erstellt, nochmal alle gelöscht, Setup neu gestartet nach jedem Schritt und dann Windows auf einem der nicht partitionierten Systemlaufwerken neu installiert.

Kann ich mir denn jetzt sicher sein, dass ich eine saubere Neuinstallation von Windows habe?

Mich ärgert es nämlich ein wenig, dass der eine neue USB Stick einmal angesteckt war, als das alte Windows 10 System bis zum Anmeldebildschirm gebootet war.

 

[Darlis]

Ich würde sagen, dass es sehr unwahrscheinlich ist, das ein Virus die Prozedur überlebt hat.

 

[purzelbär]

Rizlok, ich denke das hast du gut gemacht so und dieses Prozedere dürfte kein Virus überlebt haben, aber scanne bitte noch mit 2 Scannern die gesicherten Daten bevor du die wieder auf das jetzt neu gemachte System aufspielst. Wenn du eine USB Festplatte hast, dann lade dir zum Beispiel Aomei Backupper Standard: https://www.backup-utility.com/de/free-backup-software.html runter, installiere das, erstelle mit dem Assistenten ein Rettungsmedium am besten das auf Windows PE Basis weil nur das Uefi unterstützt und mach dann damit mindestens eine Systemsicherung: https://www.backup-utility.com/de/features/system-backup.html auf die USB Festplatte oder wenn du willst ein Komplettbackup der Festplatte des Notebooks falls du mehr Partitionen als die Systempartition C erstellt hast. Das Gleiche würde ich auch beim neu gekauften Notebook machen.