Hartnäckiger Virus aus Phishing-Mail

[Lübke]

Lange hab ich nichts mehr mit Viren zu tun gehabt, doch nun hat eine Arbeitskollegin sich son nerviges Ding eingefangen und mich um Hilfe gebeten. Er äußert sich erstmal nur dadurch, dass er bei jedem Neustart Viren im Temp-Ordner erstellt (Namen sind immer zweistellige Zahl.tmp). Diese Viren werden vom Antivirenprogramm als TR/Agent.CENS erkannt. Als Antivirenprogramm ist Avira Antivir auf dem Rechner. Das findet aber nicht das „Muttervirus“ das die Viren generiert.
Beim OS handelt es sich um WinXP. Ich habs im Abgesicherten Modus versucht, doch leider ohne Erfolg.

Eingefangen hat sich die Kollegin den Virus, indem sie auf eine Phishingmail reingefallen ist. Diese hat sich als Telekom-Onlinerechnung ausgegeben und meine Kollegin hat auf den Link geklickt, der angeblich zur Onlinerechnung führen sollte. Jetzt vermute ich mal, dass diese Phishingaktionen mehr bewirken sollen, als ein paar kleine nervende Viren produzieren. Darum zwei Fragen:
- Wie finde und kille ich das „Muttervirus“?
- Wie stelle ich fest, ob Rootkits, Trojaner, Keylogger, etc. auf den Rechner geschmuggelt wurden?

Vielen Dank schon mal für eure Hilfe!

 

[Zeroflow]

Wie finden?
Gar nicht. Neu aufsetzen. Alles andere ist nicht sinnvoll da einem infizierten System nicht zu trauen ist.

Wie finden wo es her kam?
Die Mail am besten löschen. Wenn du mutig bist kannst du dir ja den Anhang / Download vom Link anschauen.

 

[itsfun]

- Wie finde und kille ich das „Muttervirus“?
- Wie stelle ich fest, ob Rootkits, Trojaner, Keylogger, etc. auf den Rechner geschmuggelt wurden?

Vielen Dank schon mal für eure Hilfe!

Ganz ehrlich: Daten sichern, OS platt machen, Win 7 aufspielen...

 

[cyberpirate]

Kaspersky Rescue CD ISO laden auf einen Stick und booten. Oder gibt es auch von Avira oder
Avast. Dann updaten nach Schädlingen suchen und zerstören. dann die anderen Tools ausführen:

https://www.computerbase.de/downloads/sicherheit/antimalware/kaspersky-rescue-disk/

https://www.computerbase.de/downloads/sicherheit/antimalware/malwarebytes-anti-rootkit/

https://www.computerbase.de/downloads/sicherheit/antimalware/malwarebytes/

Aber auch ich sage immer nach einem Befall sollte alles neu aufgesetzt werden. Oder man hat
ein IMAGE. Was natürlich von Vorteil wäre. Alternativ würde ich mich hier beraten lassen:

http://www.trojaner-board.de/

Hier kümmert man sich dann sehr gezielt um Dein Problem. Hier noch einlesen:

http://www.trojaner-board.de/anleitungen-faqs-links/

 

[Dunkelschwinge]

Ganz ehrlich: Daten sichern, OS platt machen, Win 7 aufspielen...

ganau so . oder auch Win 8 nehmen. Alles andere ist wirklich Pfusch. Und das XP nicht mehr sicher ist sollte nach 14 Jahren durchgesickert sein...

 

[lokalhorst]

Das Beste ist das System neu aufsetzen.

Alternative
http://www.heise.de/ct/projekte/Desinfec-t-1213110.html
die Viren zu suchen und mit Glück diese unschädlich zu machen.
Danach alle Daten sichern die man benötigt und dann das System neu aufsetzen.

 

[Lübke]

xp hat wohl kaum was damit zu tun, dass meine kollegin einen link angeklickt hat, aber das ist auch nicht das thema. meine kollegin ist 67 und hat sich an xp gewöhnt. ich kanns ihr zwar vorschlagen, aber ich bezweifle, dass sie geld für neues os und ggf neuen pc ausgeben will, was sie ja ebensowenig geschützt hätte. zumal ich ehrlich gesagt auch keine zeit und lust hab, ihr das ganze system mit allen programmen neu zu machen, dass sie alle ihre einstellungen wieder hat und damit zurecht kommt. also wenn sich der vorherige zustand irgendwie wieder herstellen lässt, ist damit meine schuldigkeit getan.

@cyberpirate: das klingt schon mal sehr gut. danke. werd mich da mal einlesen.

@lokalhorst: auch n guter tip, danke.

 

[zazie]

Das klingt nach einem offenbar derzeit grassierenden Trojaner. Untenstehendes, anonymisiertes Zitat enthält weitere Infos - Hervorhebungen von mir:

Sicherheitswarnung Feodo Trojaner
13.06.2014 - XXXXXXX kommt es in den letzten Tagen zu Dutzenden Infektionen mit einem sehr gefährlichen E-Banking Trojaner.
Dies erfolgt derzeit durch eine massive Spam-Welle mit gefälschten Rechnungen, welche vermeintlich von Telekom Deutschland, Vodafone sowie der Volksbank versendet werden.
Diese E-Mail Nachrichten enthalten selber keine Schadsoftware, jedoch schüren sie Angst und Neugier und wollen somit den Empfänger der Mail dazu drängen, vermeintliche weitere Details in einem Link zu öffnen.
Beim Öffnen dieser Links wird dann Schadsoftware aus dem Internet geladen. Dies führt in vielen Fällen zur Infektion des betroffenen PC.
Die Kriminellen verändern dabei die heruntergeladene Schadsoftware fortlaufend mit dem Ergebnis, dass vorhandene Antivirus-Software diese Trojaner nicht oder nur schlecht erkennt.Nach der Infektion stiehlt die Malware vertrauliche Informationen des Benutzers, die insbesondere zum Plündern der Bankkonten des Opfers und weiteren Straftaten genutzt werden.
Das XXXXX-Team des XXX bittet alle Mitarbeiter dringend, keine solche Links in diesen E-Mails anzuklicken und solche E-Mails unbesehen zu löschen.
Generell gilt:
Klicken Sie auf keine Links oder Attachments, welche Sie von unbekannten Absendern oder unaufgefordert erhalten; diese können zu mit Schadsoftware präparierten Webseiten führen.
Öffnen Sie diese und weitere ähnlich aufgebaute E-Mails nicht, sondern löschen Sie sie mit SHIFT-DELETE. Wenn Sie das Mail geöffnet und die Datei im ZIP File ausgeführt haben, informieren Sie das Service Desk, damit Ihr Gerät neu aufgesetzt werden kann.

 

[chrigu]

- Wie finde und kille ich das „Muttervirus“?
- Wie stelle ich fest, ob Rootkits, Trojaner, Keylogger, etc. auf den Rechner geschmuggelt wurden?

1. gar nicht. format C: und windows neu druff
2. das wird unter ziffer 1 auch gelöst..

alles andere ist unsicher.... wer weiss, ob deine kollegin das nicht schon einmal gemacht hat.

 

[Lübke]

@zazie: das klingt tatsächlich nach dem übeltäter den sich meine kollegin eingefangen hat. gar nicht gut. dann komm ich wohl um eine neuinstallation nicht herum. vllt kann ich sie dann doch für win7 begeistern...

was ist zu tun bezüglich der abgefischten daten? sie macht u. a. onlinebanking. neue pin hat sie angefordert. was kann noch problematisch sein? sie hat erstmal normal mit dem pc weitergearbeitet...

 

[zazie]

Ich fühle mich da eigentlich nicht kompetent, um Ratschläge zu erteilen - ich mach kein online-Banking. Aber ich würde deiner Bekannten raten, Kontakt mit der Bank aufzunehmen und den Fall zu schildern. Die können ja - auch am Telefon - die Kontenbewegungen der letzten Tage beobachten und dann entscheiden, ob das Wechseln der PIN reicht oder ob zusätzliche Massnahmen erforderlich sind. Meines Wissens (basierend auf entsprechenden Kontakten zwischen Freunden von mir und deren Banken) haben das Geldhaus und die Kunden in diesem Punkt die gleichen Interessen: Missbrauch zu verhindern.
Weiterer Vorteil des Direktkontakts: Die Bank kann das Konto unter Beobachtung stellen; das geschieht zwar automatisch (beispielsweise zur Identifikation von (fast) gleichzeitigen Belastungen oder von Aufträgen aus 'exotischen' Ländern), aber gerade bei "begründetem Verdacht" schauen sich auch Mitarbeiter der Bank während einer gewissen Zeit solche Konten an.

 

[purzelbär]

@Lübke
Es wurde ja schon eigentlich alles gesagt hier: mach bei deiner Bekannten eine Datensicherung mittels Linux Boot CD, prüfe ob ihr PC Windows 7 tauglich wäre, überrede Sie dann sich Windows 7 zu kaufen und installiere ihr das. In einem anderen Forum hab ich gesehen wo man für 27 Euro Windows 7 64 Prof. bekommt: http://www.pc-sicherheit.net/post45194.html#p45194
Du könntest zwar versuchen den XP Rechner zu bereinigen und vielleicht klappt es auch nach mehreren Anläufen mit verschiedenen Scannern aber gerade bei XP blieb da ein fader Beigeschmack hängen und es wäre nicht gewiß ob der Rechner wieder vertrauenswürdig wäre.

 

[Lübke]

ich probier grad das von cyberpirate empfohlene kasperski aus. win7 ist auch schon bestellt. war dann wohl ne lehre...

@purzelbär:

aber gerade bei XP blieb da ein fader Beigeschmack hängen und es wäre nicht gewiß ob der Rechner wieder vertrauenswürdig wäre.

diese aussage kann ich nicht nachvollziehen. warum sollte bei win7 kein fader beigeschmack bleiben? das hier war ein reiner anwenderfehler, der unter win7, win8 und winXP identisch verlaufen wäre. und ob das system mit av-programmen wieder 100% clean wird, ist ebenfalls bei keinem der os gewiss.

 

[purzelbär]

diese aussage kann ich nicht nachvollziehen. warum sollte bei win7 kein fader beigeschmack bleiben? das hier war ein reiner anwenderfehler, der unter win7, win8 und winXP identisch verlaufen wäre. und ob das system mit av-programmen wieder 100% clean wird, ist ebenfalls bei keinem der os gewiss.

Ich meinte das dahingehend das wir alle wissen das es seit 8. April keine Updates mehr für XP gibt und dieses jetzt noch anfälliger als schon vorher für Malware Angriffe istKlar war es im konkreten Fall Fall ein Anwendungsfehler aber das ändert nichts daran das XP jetzt noch schlechter gegen Malware Angriffe geschützt ist als bis zum 8. April. Find ich übrigens gut/vernünftig das sich die Bekannte Win7 bestellt hat:daumender Umstieg bzw Umgewöhnung ist nicht schwer und wenn ihr wollt, kannst du ihr auf Windows 7 ClassicShell installieren und das so einrichten das es fast wie XP ausschaut.

 

[C0B]

Beim OS handelt es sich um WinXP

Ohne Updates/SP von 2001?

und meine Kollegin hat auf den Link geklickt, der angeblich zur Onlinerechnung führen sollte.

Internet Explorer?

Und das XP nicht mehr sicher ist sollte nach 14 Jahren durchgesickert sein...

JAEIN - Mit SP3 hinter einem Router ist es genauso sicher/unsicher wie jedes andere OS.

Das Problem an XP ist eine Installation ohne integriertem SP und direkter Internetverbindung.