Freund hat sich malware eingefangen. Kann er sich auch auf anliegende HDDS oder NAS übertragen?

[Krusper]

Hallo zusammen,

ein guter Freund hat sich gegen meinen Rat eine Office 2021 Lizenz gekauft und auch noch eine Installationsdatei vom Verkäufer benutzt, weil der Key mit original Office nicht funktioniert hat. Virenscanner hat an der Datei nichts erkennen können. Er benutzt Windows 11 Pro mit Eset Virenscanner. Malwarebytes mit Rootkitscan hat auch nichts gefunden. Vielleicht ist es auch ein false flag?

hier der Link zum hoster, kein direktlink auf die exe:
64Bit
32Bit

Die Datei wird nur hier erwähnt:
Infos zur IMO-LD-Off2021-64.exe

Er fragt sich jetzt, was der Virus alles abgreifen konnte, Passwörter hat er schon alle aktualisiert. Aber könnte es auch sein, dass sich der Virus auf seine USB Sticks und sein NAS übertragen hat? Wie kann man sich denn so schnell wie möglich von allen Diensten abmelden? Falls er die Browser Session gezogen hat?

Virustotal zeigt 3/71 positives.

Malwarebytes mit Rootkitscan hat nichts gefunden.

Das einzig seltsame Verhalten auf seinem Rechner war, das sich ab und zu Fenster von selbst geschlossen haben. Damit seine neue Synology gefunden werden kann, hat er für ein paar Minuten die Firewall und den Virenschutz deaktiviert. Das war wohl ziemlich unschön. Ich habe Ihm geraten Win11 neu zu installieren und die Platte vorher zu formatieren.

Glaubt ihr, dass sich die Malware auf weitere Geräte verteilt hat? NAS, USB-Sticks?

Hoffe Ihr habt nen Tipp

 

[Fujiyama]

Möglich ist viel, wenn es ein Verdacht gibt würde ich immer den PC neu installieren bzw das Backup einspielen.

Am besten verwendet dein Freund auch nicht mehr den unseriösen und vermutlich illegalen Key und ergeht den offiziellen Weg.

 

[Krusper]

Am besten verwendet dein Freund auch nicht mehr den unseriösen und vermutlich illegalen Key und ergeht den offiziellen Weg.

das hab ich Ihm ordentlich eingeimpft

 

[Marcel^]

Der einzig richtige Tipp ist, dass du nicht weißt, was die fremde Software macht.
Alles, was du genannt hast, kann sein. Kann.
Ich würde die Festplatte über ein anderes Betriebssystem scannen, alle nötigen Daten sichern und dann die Ursprungsplatte formatieren und neu bespielen.

Sollten Daten ins Internet abgeflossen sein, ist es ab dem Moment der Übertragung bereits zu spät.
Alles was du tun kannst, ist lokal möglichst für einen sauberen Rechner zu sorgen.

 

[LukS]

Den Rechner würde ich komplett platt machen und alles aus offiziellen Quellen neu installieren.

Ob von den externen Datenträgern etwas betroffen ist würde ich auch überprüfen. Dazu einen Boot Stick mit diversen Scannern erstellen. Boote davon, die externen Datenträger und das NAS überprüfen. Dann kann man sich fast sicher sein, dass dort nichts gefährliches rumliegt.

 

[Krusper]

wenn der Keypass Container geöffnet ist, könnten ja auch alle Einträge von dort abgezogen werden können oder?

 

[Firefly2023]

Wo hat er die Lizenz gekauft? Vermutlich ist da gar nix passiert und es ist ein falscher Alarm. Was soll denn abgeriffen worden sein? Zu 99% ist da gar nix passiert.

 

[madmax2010]

Wenn die Schadsoftware das kann, ist das möglich.

 

[PC295]

Die Setup-Datei enthält den originalen Web-Installer für Office 2021 mit einer vorgefertigten configuration.xml.
Da ist nichts gefährliches dran.

 

[Krusper]

Dazu einen Boot Stick mit diversen Scannern erstellen.

Wenn ich die Platten mit einem dritten PC der sauber ist scanne wäre das auch okay oder?

Wenn ich Sicherheitshalber rkill.com vorher drüber laufen hab. Welche Software ist denn empfehlenswert, die eigenständig Bootet in ein eigenes OS und von dort aus scannt?

Neben Malwarebytes, Malwarebytes ADWCleaner 8 und HitmanPro, welche könnt ihr noch empfehlen?

 

[Firefly2023]

Wollte ich auch gerade schreiben

Ergänzung (18. April 2024)

Wenn ich die Platten mit einem dritten PC der sauber ist scanne wäre das auch okay oder?

Wenn ich Sicherheitshalber rkill.com vorher drüber laufen hab. Welche Software ist denn empfehlenswert, die eigenständig Bootet in ein eigenes OS und von dort aus scannt?

Neben Malwarebytes, Malwarebytes ADWCleaner 8 und HitmanPro, welche könnt ihr noch empfehlen?

Gar nix. Da ist nix passiert.

 

[Krusper]

Da ist nichts gefährliches dran.

Also false Flag, da wird er sich freuen

 

[DFFVB]

Also drei von 71 ist erstmal nicht sooo viel - welche haben denn da angeschlagen? Und leider kann Dir hier keiner defintive Auskunft geben, was Malware alles kann. Ggf mal nach den Yara Regeln suchen, und ob die bei Florian Roth bekannt ist, das gibt ggf mehr infos... dass die malware jetzt das NAS scannt und sich dort in Dateien einnistet ist eher unwahrscheinlich, das macht wnen eher Ranswonware...

 

[Firefly2023]

Die wollen die "Lizenzen" verkaufen. Was meinst du, wenn da Schadsoftware dabei wäre, was da los wäre, dann sind die weg vom Fenster. Kein Verkauf, keine Kohle.

 

[Krusper]

@Firefly2023
er hat 20 Bewertungen und sein Standort ist El Salvador

https://www.ebay.de/usr/salev25_3

 

[Firefly2023]

Warum kauft man nicht bei den einschlägig bekannten Sellern, sondern bei Ebay bei jemandem in El Salvador?

OK, da hätte ich jetzt doch auch eher meine Bedenken. Geiz ist nicht immer geil.

 

[Child]

das hab ich Ihm ordentlich eingeimpft

Na - wenn dein Freund jetzt geimpft ist, dann keine Sorge. Er kann sich die HDDS und NAS anlegen. Macht gemeinsam was euch Freude bereitet.

 

[PC295]

Bei der Version handelt es sich um "Office LTSC 2021 mit unbefristeter Volumenlizenz".
Billig, aber nicht gefährlich.

 

[cyberpirate]

Moin,

bei 3von71 würde Ich mich nicht verrückt machen. Auch hast Du doch den PC soweit gescannt.

MfG

 

[TorenAltair]

Er hat schonmal keine Lizenz erworben, sondern sein Geld jemandem geschenkt.
Und angepasste Trojaner sind nicht so leicht zu finden und sehr simpel zu individualisieren.