Virus eingefangen, Neustart + CHKDSK

[hamzag]

Hi leute,
Hab eben eine Bewerbung erhalten (haben Mitarbeiter gesucht) in der ein Virus versteckt war. Nach dem öffnen des Lebenslauf ( excel Format ) stand da dass ich die Bearbeitung aktivieren muss um es sehen zu können. Hab mir leider nichts dabei gedacht und aktiviert. Nachdem Antivir aufgesprungen ist, startete der Rechner plötzlich neu und nun steht da Chkdsk is repairing sector.... Und ist nun bei 52%. Was muss ich tun, soll ich abbrechen?

 

[Zuckerwatte]

warten und chkdsk machen lassen

 

[Sephe]

Ist mit hoher Sicherheit ein Verschlüsselungstrojaner.

Deine Festplatte wird gerade verschlüsselt und danach wird ein Lösegeld gefordert. (Die Verschlüsselung tarnt sich als chkdsk!)

Ich würde den Vorgang SOFORT(!!) abbrechen (Rechner aus durch Stromstecker ziehen!) und schauen ob man per TestDisk per Linux LiveCD noch was retten kann.

Auf JEDEN FALL auch das Netzwerkkabel vom PC ausstecken. Viele Verschlüsselungstrojaner verschlüsseln zudem alle erreichbaren Netzwerklaufwerke!

Auf jeden Fall kannst du dir schonmal deine Backups raussuchen - so oder so wirst du neu installieren müssen.

Interessant noch zu wissen:
- Welche Windows Version?
- Welche Office Version?

Alle Updates per Windows/Microsoft Update installiert?

 

[Zuckerwatte]

Ich muss Sephe recht geben...soweit hab ich gerade nicht gedacht..

 

[michael22971]

es wird ist richtig wie @Sephe geschrieben hat!!

 

[fullnewb]

Rechner unbedingt vom Netzwerk trennen, damit sich das Ding nicht noch durch eure angebundene Netzwerkstruktur frisst.

 

[Darkblade08]

Mal von den ganzen Tipps abgesehen, dass nächste Mal gleich eurem Admin Bescheid geben und nicht erst im Forum nach Rat fragen.

 

[hamzag]

Habs bei 55% abgebrochen. Nun kommt ein Totenkopf wenn ich den Rechner starte und die wollen dass ich mir meine Daten zurück kaufe.
Werde jetzt mit linux retten was zu retten ist, danke für die Tipps.

Ergänzung (6. Dezember 2016)

Alle updates waren installiert, Windows 7, office 2010 oder 13. Avira antivir war installiert.

 

[Sephe]

Habs bei 55% abgebrochen. Nun kommt ein Totenkopf wenn ich den Rechner starte und die wollen dass ich mir meine Daten zurück kaufe.
Werde jetzt mit linux retten was zu retten ist, danke für die Tipps.

Den Rechner kannst du zwar starten, aber starte auf keinen Fall von der Festplatte - was du gerade getan hast, sonst hättest du den Totenkopf nicht gesehen.
Es kann sein, dass er weiterverschlüsselt, wenn du ihn hochfährst.

Linux LiveUSB-Stick fertig machen, und direkt davon booten.

 

[kisser]

Da frage ich mich aber, warum Antivir die Infektion nicht verhindert hat.

 

[Sephe]

Da frage ich mich aber, warum Antivir die Infektion nicht verhindert hat.

Weil es eben keinen 100% Schutz gibt. Vermutlich hat Antivir es erst gemerkt, als der Bootloader schon gepatcht war.

 

[Narbennarr]

Viele AVs haben Schwäche bei Ransomware, antivir besonders.

Emsisoft hat sich beispielweise auf Ransomware fokussiert und schenkt dem besondere Aufmerksamkeit. Kaspersky afaik auch. Wenn du weißt, welcher Virus dahintersteckt, kannst du vlt entschlüsseln:

https://decrypter.emsisoft.com/

 

[^R4iD]

Eine Bewerbung als Exceldatei? Wow, da hätte man doch drauf kommen können..

Gewöhn dir in Zukunft an nur postalisch zugestellte Bewerbungen oder Bewerbungen mit *.pdf-Anhang anzuschauen.. der Rest der Halunken verdient einfach keine Arbeit!..

 

[Darkblade08]

https://www.heise.de/newsticker/mel...Goldeneye-verbreitet-sich-rasant-3561396.html

Wird wohl das hier sein

 

[Dr. McCoy]

Da frage ich mich aber, warum Antivir die Infektion nicht verhindert hat.

Weil die Virenscanner, und das betrifft alle Virenscanner gleichermaßen, insbesondere bei neuer Malware, Infektionen nie zuverlässig verhindern können, insbesondere dann nicht, wenn das eigentliche Sicherheitskonzept versagt hat oder so gut wie nicht existent war (und nein, ein Virenscanner ist kein Sicherheitskonzept).

Wie hier in diesem Beispiel zu sehen, hat sich der Virenscanner zwar gemeldet, die Infektion fand dennoch statt. Und so ist es oft auch mit anderen, allerdings weniger auffälligen Infektionen, beispielsweise mit im Hintergrund laufenden Keyloggern oder Spam-Bots, die dann in der Folge persönliche Daten auslesen bzw. das System für kriminelle Zwecke (z.B. DDoS) missbrauchen.

Daher muss ein kompromittiertes System auch stets neu aufgesetzt (oder alternativ durch ein sauberes Image ersetzt) werden. Sich auf die Fundmeldungen, Suchdurchläufe und Löschungen zu verlassen, reicht jedoch nicht.

Nach dem öffnen des Lebenslauf ( excel Format ) stand da dass ich die Bearbeitung aktivieren muss um es sehen zu können.

Für die Zukunft:

1,) Makros in Office komplett deaktivieren und nicht zulassen.

2.) Bewerbungen nur und ausschließlich im PDF-Format zusenden lassen und auch nur in diesem öffnen. Vorsicht: Das genutzte PDF-Programm muss sich dabei immer(!) auf dem allerneuesten Stand befinden, ferner gehört eine sichere Grundkonfiguration des PDF-Programmes zur guten Vorarbeit (z.B. Scripte / aktive Inhalte aus PDF-Dokumente nicht zulassen, PDF-Programm in EMET einbinden, etc.).

3.) Sollten sich Links im PDF-Dokument befinden (von wegen "Mein detailliertes Profil ersehen Sie auf Website XY, klicken Sie bitte hier!"), dann sind natürlich auch diese mit Vorsicht zu genießen.

Und ist nun bei 52%. Was muss ich tun, soll ich abbrechen?

Bei Infektionsgefahr immer sofort Rechner komplett aus! Siehe hier:
-> http://www.oschad.de/wiki/Kompromittierung

In einer Firma danach sofort den Admin in Kenntnis setzen.

 

[kisser]

Weil die Virenscanner, und das betrifft alle Virenscanner gleichermaßen, insbesondere bei neuer Malware, Infektionen nie zuverlässig verhindern können,

In dem Moment, in dem ein Virenwächter eine verdächtige Aktion bemerkt, hat er diese zu unterbinden. In der Regel funktioniert das schon, bei unbekannten Viren hängt es natürlich auch davon ab, wie gut die Heuristik des Wächters ist.