ComputerBase Menü
Aktuelles

Ich habe einen Betrugsanhang heruntergeladen und geöffnet. Ich Idiot.

Readler

Readler

Lt. Junior Grade
Registriert
Dez. 2013
Beiträge
409
Abend,

die Masche erkläre ich euch nicht, denn die Leier ist denke ich allseits bekannt. Konkret wars bei mir das hier. Und ich als DAU habe wohl den GAU verursacht. Zip herunterladen, entpackt, und auf die .txt Datei geklickt. Jup, total im Arsch. Laut diversen Online-Publikationen habe ich nun einen Trojaner.

Was kann ich nun gegen tun? Malwarebytes und Avast gaben keine Rückmeldung, die superlange, vollständige Überprüfung von Windows Defender läuft noch.
 
Abwarten, was der Defender sagt.

An einem anderen PC mal eine Linux Live CD mit div. Software zum finden und entfernen von Malware, Viren, Trojanern, etc. anfertigen und damit dann versuchen den PC zu reinigen.

Backup hast du hoffentlich oder keine relevanten Daten auf dem PC gespeichert.

Wenn nix hilft, neu aufsetzen.
 
Windows neu installieren ist wohl die sicherste Methode.
 
Das ist ... schwer. Jetzt zu sagen "Mach das und alles ist safe" ist nicht möglich.
Befolge den Rat von Netzwelt, alle Passwörter ändern. Aber nicht von diesem Rechner! Vielleicht hast du ja einen zweiten Rechner zur Verfügung. Und das so schnell wie möglich!

Den eventuell verseuchten zu reinigen ist schwer. Vor Allem, weil zwei Programme ja erstmal keine Bedrohung zeigen :freak:. Nur ... irren sie sich?!

Ehrlich gesagt ... würde ich Windows und alle Platten formatieren und neu aufsetzen. Das funktioniert zu 100% und ist weniger Aufwand, als später zu merken, dass jemand mit deinen Zugangsdaten Schindluder betrieben hat.
 
Wenn du die Mail hoffentlich noch hast, lade den Anhang herunter (ohne ihn zu öffnen) und anschließend bei VirusTotal hoch. Dann weißt du, ob es Malware ist und wenn ja, evtl. welche genau.
 
Kurze Verständnisfrage: was war im Anhang genau? Eine txt-Datei kann ja keine Infektion auslösen. War dann wohl eine .js-Datei im ZIP-Archiv oder?

Der Trojaner ist ggf. so frisch, dass seine Signatur noch nicht bei den Virenherstellern in den Datenbanken drin ist. Ne Möglichkeit wäre daher ggf. auch, den PC für ne Weile auszuschalten und paar Tage warten bis neue Updates raus sind, die ggf. den Virus erkennen. Wobei der natürlich auch so tief im System sitzen kann, dass man den nicht wegbekommt.
Sicherste Variante ist dann wirklich, das System neu aufzusetzen. Wer etwas risikofreudiger ist, der lässt mehrere Scanner laufen (wie von mykoma beschrieben) und setzt nicht neu auf.

Bist Du mit Adminrechten unterwegs oder mit einegschränkten Rechten?
 
Zuletzt bearbeitet:
Was kam eigentlich, als du die txt geöffnet hast? Wirklich der Editor mit Reintext oder eine Webseite oder gar nichts?
 
mykoma schrieb:
Wenn nix hilft, neu aufsetzen.
Zum Vergrößern anklicken....
Triversity schrieb:
Windows neu installieren ist wohl die sicherste Methode.
Zum Vergrößern anklicken....
Smily schrieb:
Ehrlich gesagt ... würde ich Windows und alle Platten formatieren und neu aufsetzen. Das funktioniert zu 100% und ist weniger Aufwand, als später zu merken, dass jemand mit deinen Zugangsdaten Schindluder betrieben hat.
Zum Vergrößern anklicken....
Reichts denn Windows einfach neu zu installieren? Ich habe drei Festplatten, eine System-SSD mit einigen Programmen, eine HDD mit Musik, Fotos, Spielen etc., und eine zweite SSD für einige andere Spiele. Von einer Neuinstallation wäre ja nur die erste SSD betroffen - wäre es nicht möglich, dass sich auch auf den anderen Platten eingenistet hat? Alles kann ich ja nun nicht formatieren.

Unglaublich wichtige oder sensible Daten habe ich auf C: nicht drauf. Halt ein paar Programme und Dokumente. Ein Backup habe ich so weit ich weiß jedoch auch nur von meinen Einstellungen, wobei ich einige der Dokumente ganz gerne behalten würde (würde ich dann wohl erst jetzt irgendwo zwischenspeichern).

Der Defender, welcher nach einer halben Stunde vielleicht 5% durchforstet hat, zeigt mir aber jetzt an er hätte was gefunden, ich aber noch abwarten soll. Wobei mir Hitman Pro auch mal Punkbuster von EA als Malware anstrich, insofern...

edit:
powerfx schrieb:
Wenn du die Mail hoffentlich noch hast, lade den Anhang herunter (ohne ihn zu öffnen) und anschließend bei VirusTotal hoch. Dann weißt du, ob es Malware ist und wenn ja, evtl. welche genau.
Zum Vergrößern anklicken....
Ist das verlässlich? Ich meine, meine Antiviren-Programme haben nix gefunden, nun soll mir die Seite sagen ob alles im Lot ist? Und ist das denn die beste Idee überhaupt das wieder auf meine Platte zu holen? Entschuldige, ich bin nur etwas skeptisch.

Creati schrieb:
Kurze Verständnisfrage: was war im Anhang genau? Eine txt-Datei kann ja keine Infektion auslösen. War dann wohl eine .js-Datei im ZIP-Archiv oder?

Der Trojaner ist ggf. so frisch, dass seine Signatur noch nicht bei den Virenherstellern in den Datenbanken drin ist. Ne Möglichkeit wäre daher ggf. auch, den PC für ne Weile auszuschalten und paar Tage warten bis neue Updates raus sind, die ggf. den Virus erkennen. Wobei der natürlich auch so tief im System sitzen kann, dass man den nicht wegbekommt.
Sicherste Variante ist dann wirklich, das System neu aufzusetzen. Wer etwas risikofreudiger ist, der lässt mehrere Scanner laufen (wie von mykoma beschrieben) und setzt nicht neu auf.

Bist Du mit Adminrechten unterwegs oder mit einegschränkten Rechten?
Zum Vergrößern anklicken....
Eine .txt Datei, mehr nicht. Keine .batch oder .js, nix. Ausschalten stellt leider keine Option dar.

Unterwegs nicht, die muss ich manuell immer bestätigen. Aber ja, bin alleiniger Nutzer und auch Admin des PCs.
Smily schrieb:
Was kam eigentlich, als du die txt geöffnet hast? Wirklich der Editor mit Reintext oder eine Webseite oder gar nichts?
Zum Vergrößern anklicken....
Der Editor, mehr nicht.

Hab aber bei meiner Recherche entdeckt, dass man wohl Viren und co. als .txt Datei irgendwie abspeichern kann, welche dann die Konsole mit 1x1 Pixel Größe öffnen. Oder so.

edit numero 2:
Ordner war eh noch im Papierkorb. :rolleyes:
Virustotal gibt mir ein Renommee von 0 zurückgegeben
https://www.virustotal.com/de/file/...33a78066e918112ae8102e0c/analysis/1478992717/
 
Zuletzt bearbeitet:
mein rat:

ruhe bewahren und gelassen bleiben. eine *.txt datei ist nicht ausführbar. anders als eine *.doc datei, welche gefährliche makros enthalten kann, ist eine *.txt datei bestehend aus ascii-code (reiner text) und NICHT ausführbar. daß eine *.txt datei ausführbar sein kann, wäre mir neu. es wurde auch nicht ms word gestartet, sondern der editor. da ist zu 99% nix schlimmes passiert.

mach dir nicht allzu große sorgen, lieber te. auch wenn ich verstehen kann, daß man bei der masse an trojanern und malware für windows systeme gerne mal paranoid wird. ;)
 
Eine reine Textdatei wird nicht zur Infektion führen. subvision hat die Grundzüge ja schon erklärt. Es gibt zwar auch die Möglichkeit, dass Bilddateien oder PDF-Dokumente infiziert sind, aber in all den Jahren ist mir nichts mit einer txt Datei untergekommen. Die Textdatei ist außerdem 181 Bytes groß. Das ist nocht mal 1 KB. Spricht alles gegen eine Infektion. Und da die Datei auch DELETE0.TXT heißt, würde ich eher vermuten, dass ein Virenscanner auf einem Mailpostfach irgendwie aktiv ist, den Virus im Anhang erkannt hat und diesen gelöscht und mit der TXT Datei ersetzt hat. Kenne zwar keinen Virenscanner, der das so macht, aber man will es auch nicht ausschließen.
 
http://www.rafayhackingarticles.net/2009/09/send-trojan-horse-as-txt-file.html
Das ist der Artikel den ich fand. Meine einzige Hoffnung ist, dass, anders als im Artikel, tatsächlich der Editor geöffnet wurde (also es wohl eine "echte" .txt war und keine als .txt verkleidete .exe o. Ä.). Die Artikel zu "meiner" Masche gingen leider nie auf den Inhalt der zip ein.

Paranoid bin ich aber schon! :D Ist mir ehrlich gesagt total peinlich und wäre mir auch nicht passiert wenn ich vor zwei Wochen nicht tatsächlich einer echten Zahlung hinterherhinkte.

edit:
Zur email Theorie: Hm, da könnte was dran sein. Die eMail kam bei mir im Postfach um 1:42 morgens an. Die Datei DELETE0 wurde am selben Tag um 4:41 das letzte Mal geändert.
 
Zuletzt bearbeitet:
Dann würde mich aber der Sinn der Mail interessieren. Wer verschickt denn tausende Mails, die ... nichts enthalten? Wozu?

Mail Scanner von z.B. Google Mail selbst blockieren aber tatsächlich Anhänge. Die löschen exe Programme einfach raus und lassen dann vielleicht eine txt einfach drin. Also du bekommst die exe einfach gar nicht.
 
TE: du solltest dir auch immer die dateiendungen anzeigen lassen, damit sowas mit einer als *.txt getarnten *.exe nicht passiert. wie das geht, kannst du leicht googeln.

ach ja, noch was: versuch mal mit einem sogenannten scriptblocker im browser deiner wahl zu arbeiten, damit nicht jeder beliebige javascript auf webseiten ausgeführt wird.
 
Das dachte ich mir nämlich auch, in der Mail selbst war ja nicht mal ein Konto angegeben.

Mein Anbieter war YahooMail, weiß jetzt nicht ob die da auf dem selben Stand wie gmail sind.

edit: Danke für den Dateiendungstipp, kannte ich noch nicht!
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
koffeinjunkie schrieb:
System einmal kompromittiert und du bist kein Experte, dann hoffe ich du hast eine Sicherung und kannst dein OS platt machen und neu installieren oder ein Systembackup einspielen. Alles andere wäre mir langfristig zu unsicher.
Zum Vergrößern anklicken....
Konsens geht ja in die Richtung, dass es wohl doch keine Infizierung war.

...und Experte bin wirklich nicht. Aber als Informatikstudent sollte man das in meinen Augen doch besser wissen - was meinst, wieso mir das so unangenehm ist!

powerfx schrieb:
Das hat als Endung .txt und nichts mehr Verstecktes hinten dran. D.h. es wurde einfach nur Notepad geöffnet. Das reicht wohl nicht aus, um deinen Rechner mit irgendwas zu infizieren.
Zum Vergrößern anklicken....
Freut mich zu hören!

Also wohl nochmal Glück im Unglück und nur ein falscher Alarm?
 
Samsuxx schrieb:
Also wohl nochmal Glück im Unglück und nur ein falscher Alarm?
Zum Vergrößern anklicken....
Wie es hier heißt:
If an e-mail attachment is blocked it will be replaced with a plain text file. The text file will be named DELETE0.TXT. Inside the TXT file will be information about the file that was removed. If the file type is one that is not blocked by the Institute, but you do receive the DELETED0.TXT file, it is because the e-mail attachment was infected with a virus.
Zum Vergrößern anklicken....
Es kann sehr gut sein, dass Yahoo die gleiche Software nutzt oder es zumindest genauso macht. Schau mal, was in der Datei drinsteht. Da sind vermutlich Infos zu dem, was eigentlich gelöscht wurde.
 
Es gibt auch getarnte ausführbare Anwendungen die nach Aktivierung gelöscht werden, da werden versteckte Ordner irgendwo erstellt oder temporäre Ordner (ebenfalls versteckt) angelegt oder Gott weiß wo. Wie gesagt, ohne konkret zu wissen was bei dir "abgelaufen" ist, wäre das Thema wenn es mein PC wäre, gegessen. Frisieren und frisch aufsetzen, fertig. Mutmaßungen das es so oder so gewesen sein könnte oder das ein Filter die .exe gelöscht hätte so das nur eine .txt Datei übrig ist etc. würde ich mich nicht verlassen. Entweder weiß man etwas oder man weiß es nicht.

Letztendlich, ganz gleich was hier im Forum erzählt wird, du bist derjenige der entscheidet.
 
File: MEIN NAME 31.10.2016.zip/MEIN NAME 13.11.2016.zip/13.11.2016 MEIN NAME.com was infected with Trojan.Gen.2 (41129). File not submitted to quarantine. File was deleted.
Zum Vergrößern anklicken....
Heilige Maria, bin ich froh. Ich war zum Zeitpunkt als es passiert ist so im Panikmodus, dass ich alles kaum noch wahr nahm und nur löschen wollte.

Puh, danke an alle, die mich hier begleitet haben! Scheint wohl doch alles in Ordnung zu sein und ich kann heute reinen Gewissens ins Bett.

edit: Sollte es unklar sein, das ist der Inhalt besagter .txt
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

goringo
Update heruntergeladen, kann jedoch nicht geöffnet werden.
Antworten
5
Aufrufe
3.578
Udo Kammer
U
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz