Virus entdeckt bei vollständigem Scan von MS Defender

Esfeo

Cadet 3rd Year
Registriert
Apr. 2021
Beiträge
32
Hallo liebe Community,
habe gerade mal einen vollständigen Scan mit MS Defender durchlaufen lassen und es wurde ein Trojaner entdeckt mit dem Namen: trojan js obfuse hnat mtb. Habe dann auf „entfernen“ gedrückt und den Scan nochmal durchlaufen lassen. Dabei wurde er nicht mehr gefunden. Kann ich mir jetzt sicher sein, dass er wirklich entfernt wurde? Der Virus wurde im Profile von Firefox entdeckt. Ich bin dem Pfad gefolgt, wo er laut Defender lokalisiert wurde. Und die Datei ist wirklich nicht mehr da, aber irgendwie traue ich dem nicht so ganz.
Ich habe danach noch den Offline-Scan durchlaufen lassen. Wo kann ich den da die Ergebnisse sehen? In Windows-Sicherheit werden die mir nicht angezeigt.

Vielen Dank schonmal im Voraus :)
 
Gut das du das entdeckt hast, der nächste Schritt ist eigentlich die Kiste neu zu installieren bzw alternativ das Backup einzuspielen.
Alles andere ist meiner Meinung nach Pfusch.
 
  • Gefällt mir
Reaktionen: Esfeo, Sinatra81, TorenAltair und 3 andere
Bei sowas würde ich als erstes bei mir selber schauen.
Bin ich irgendwo unterwegs, wo eine erhöhte Chance besteht, sich sowas einzufangen?
Wenn man ernsthafte Zweifel hat - Rechner platt machen und komplett neu aufsetzen.
 
  • Gefällt mir
Reaktionen: Esfeo und Ja_Ge
Sehe das so wie @Fujiyama. Um wirklich sicher zu gehen, würde ich das System neu aufsetzen und anschließend mit nem Backup wieder bestücken um wirklich alles los zu werden.
 
  • Gefällt mir
Reaktionen: Esfeo und TorenAltair
Nunja. Wir reden von JavaScript. Sprich du warst auf einer Seite unterwegs, die dir diesen Code untergejubelt hat.
Wenn dein Firefox aktuell war, ist es recht unwahrscheinlich, dass du überhaupt eine Infektion eingefangen hast - erst recht, dass sich das persistiert hat.

Ich würde jetzt einmal mit Sysinternals Autoruns schauen, ob auf System-Ebene irgendwas persistiert wurde, und dein Firefox-Profil löschen und Firefox neuinstallieren.

Aber wenn du nicht genau weisst was du dir anschaust, ist Neuaufsetzen die sichere Variante.
Und: Deine Zugangsdaten ändern, die in deinem Firefox gespeichert sind.
 
  • Gefällt mir
Reaktionen: dms, iron_monkey und Esfeo
Ich bin dir da ehrlich. Theoretisch ja, aber ich würde den PC GANZ neu aufsetzen und auch keine Dateien mitnehmen.
Ergänzung ()

Hast du einen Screenshot der Meldung gemacht ?
 
  • Gefällt mir
Reaktionen: Esfeo und TorenAltair
Wow ok… dann werde ich das neu aufsetzen. Wenn ich meine Dokumente auf dem USB Stick sichere, könnte der Virus da dann sich drauf sein?
Ergänzung ()

Firefox und Sicherheitsupdates waren immer aktuell
 
Grundsätzlich kann sich überall ein Virus einnisten, auch in Dokumenten.
 
  • Gefällt mir
Reaktionen: Esfeo und K3ks
Ändere vor allem deine Zugangsdaten. Und ja, eine erfolgreiche Infektion könnte auch weitere Dateien befallen haben.
Das ist aber sehr unwahrscheinlich bei nicht-ausführbaren Dateien, bzw. ist es sehr schwierig, eine Infektion dann neu auszulösen.
 
  • Gefällt mir
Reaktionen: Esfeo und einfachpeer
Hier die Details
 

Anhänge

  • IMG_1471.jpeg
    IMG_1471.jpeg
    2,1 MB · Aufrufe: 224
Wenn der Defender es erkannt hat und entfernt wurde, ist die Sache eigentlich schon erledigt, dann muss man nur prüfen ob eventuelle Software, die kürzlich installiert wurde, betroffen ist und diese ebenfalls deinstallieren. In den meisten Fällen ist dann wieder alles ok.
Man muss nicht gleich mit Kanonen auf Spatzen schießen.
 
  • Gefällt mir
Reaktionen: Esfeo
Das kann auch durch Werbung oder Einbindung in solchen auf Deiner Kiste gelandet sein. @Esfeo

Ob es bei Dir auch von Kick.com kam weiß man ja nicht.

Hast Du sowas wie ublock Origin im FF? Wenn nein installiere das Addon. Das fängt recht viel weg.
 
  • Gefällt mir
Reaktionen: Esfeo
Adb+ lässt bezahlte Werbung durch. Würde ich ersetzen mit uBlock.
 
  • Gefällt mir
Reaktionen: Esfeo, einfachpeer, sa1vador und eine weitere Person
WinFan schrieb:
Wenn der Defender es erkannt hat und entfernt wurde, ist die Sache eigentlich schon erledigt,
Woher beziehst Du diese Erkenntnis? Wenn der ursprüngliche Schadcode entdeckt und entfernt wurde, kann er schon längst aktiv geworden sein, hat anderen nachgeladen und der arbeitet nun unerkannt im Hintergrund. Kein auf einem kompromittiertem System laufender Virenscanner ist zuverlässig, er kann recht einfach getäuscht werden.
 
  • Gefällt mir
Reaktionen: Esfeo und sa1vador
Was soll denn immer gleich diese Hysterie mit dem neu aufsetzen? Das war doch laut Identifier irgendein Javascript Kram. Also kann das auch einfach im Browser Cache rumgelegen haben. Das bedeutet nicht, dass hier irgendwas ausgeführt wurde oder das System kompromittiert ist.
 
  • Gefällt mir
Reaktionen: Nick Riviera, dms, Esfeo und 2 andere
Ich werde dann dementsprechend das System neu installieren müssen … Passwörter habe ich schon geändert. Vielen Dank für die Hilfe 👍
Ergänzung ()

CoMo schrieb:
Was soll denn immer gleich diese Hysterie mit dem neu aufsetzen? Das war doch laut Identifier irgendein Javascript Kram. Also kann das auch einfach im Browser Cache rumgelegen haben. Das bedeutet nicht, dass hier irgendwas ausgeführt wurde oder das System kompromittiert ist.
Ja, wie im Bild gezeigt, lag das im Cache2 vom Profile
 
  • Gefällt mir
Reaktionen: sa1vador

Ähnliche Themen

N
  • Gesperrt
2 3
Antworten
55
Aufrufe
7.377
J
Zurück
Oben