Virus/Malware finden mit Windows Defender und Frage zum NAS

[Myki]

Hallo,

ich habe gerade Brain.exe ausgeschaltet und auf eine PDF geklickt, die eventuell nichts gutes enthielt. Eventuell könnt ihr mir weiterhelfen.

Kurz zur Schilderung was passiert ist: auf dem E-Mail Account meiner Frau ist eine PDF reingekommen (im Spam) über eine uns bekannte Website (Hebammenvermittlung), allerdings war die e-mail leer und der Absender war mit "service@orsay.com" ein anderer. Es war nur eine PDF angehangen "Zahlungserinnerung + Rechnungsnummer". Tatsächlich gab es diese Rechnung im Jahr 2021 von Orsay (habe ich gecheckt). Da das soweit also nachvollziehbar war (bis auf die Sache mit dem Absender), habe ich die PDF geöffnet, allerdings war die PDF auch leer. Thunderbird wollte die öffnen, kam aber eine leere, weiße Seite. Außerdem hat mir meine Frau mitgeteilt, dass Orsay inzwischen Pleite ist.

Jetzt meine Frage. Ich habe auf anraten hier im Forum nur den Defender (Windows 11) installiert, habe einmal einen vollständigen Durchlauf gemacht und einen Offline Run. Was wäre eurer Meinung nach der nächste Schritt, um zu schauen, ob was passiert ist?

Noch eine kleine Seitenfrage: meine Synology hängt als Netzwerklaufwerk am PC, wäre die auch gefährdet, wenn ich was drauf habe?

Danke für eure Hilfe.

Myki

Edit:

übrigens hat sie für diese Bestellung und noch paar andere bei Orsay immer Zahlungserinnerungen erhalten, die immer als eine leere E-Mail (nur die PDF angehangen) verschickt wurden. Diese lassen sich allerdings immernoch öffnen.
Leider habe ich die E-Mail von heute gelöscht und kann nicht mehr schauen, wie groß die angehangene Datei war.

Kann es sein, dass der E-Mail Provider (Jimdo, Webseitenbaukasten) da irgendwas zusammengemischt hat? Wie gesagt, die Rechnungsnummer stimmt überein mit einer alten Rechnung und auch der "verwechselte" Sender ist ein Sender, von dem wir regelmäßig E-Mails bekommen.

 

[PC295]

Mit welchen Programm wurde die PDF geöffnet?

Meist werden in PDFs oder auch Office-Dokumenten Skripte oder Makros eingebunden, die beim Ausführen Malware laden und installieren.
Allerdings sind in aktuellen Programmen solche Funktionen standardmäßig deaktiviert und der Nutzer muss das Ausführen von Skripten, Makros etc. explizit bestätigen.

Hier ist ein Beispiel. Der Nutzer muss dazu verleitet werden Makros zuzulassen. Dazu wurde hier eine Fake-Office-Meldung eingebastelt. Jedoch ist das keine Office-Meldung im blauen Fenster, sondern einfach nur eine Grafik.

 

[HorstSan]

Noch eine kleine Seitenfrage: meine Synology hängt als Netzwerklaufwerk am PC, wäre die auch gefährdet, wenn ich was drauf habe?

Um diese Frage noch zu beantworten: wenn der darauf zugreifende Nutzer-Account Schreibrechte hat, grundätzlich erstmal ja.

 

[Myki]

Leider habe ich die E-Mail gelöscht.

Wir benutzen Thunderbird.

Thunderbird hat kommentarlos die E-Mail "geöffnet", aber es war alles weiß.

Ich schließe aus der Ausführung von @HorstSan, dass Thunderbird mich hätte fragen müssen, ob ich was laufen lassen möchte?! Wo kann ich checken, ob das standardmäßig aktiv ist?

 

[PC295]

Was wäre eurer Meinung nach der nächste Schritt, um zu schauen, ob was passiert ist?

Du kannst noch mit anderen Virenscanner einen Suchlauf machen.

• Malwarebytes Antimalware (Bei der Installation nicht die Test-Version aktivieren)
• Emsisoft Emergency Kit

 

[Myki]

Ich habe hier im Forum gelesen, dass man externe Virenscanner meiden sollte, deshalb der Hinweis in meinem ersten Post.

 

[Mickey Mouse]

du/ihr nutzt jetzt nicht mehr diesen Rechner, auf dem das passiert ist, oder?!?
mit was für einem Account und welche Rechte (local/domain admin) hat(te) der?
welche Rechte hat(te) dieser Account auf dem NAS?
usw. usf.

ich kann da nur für mich sprechen, wie ich vorgehen würde.
natürlich würde ich einen "verdächtigen" Rechner sofort vom Netz trennen, ob der jetzt mit brain.exe, MS-Defender oder sonstwas "geschützt" wurde, ist dabei erstmal völlig egal.

ich habe ein Heise+ Abo und damit Zugriff auf die aktuelle desinfec't Version (in den letzten Jahren musste man sich noch extra kaufen). Damit würde (wenn ich das nicht schon längst getan hätte ) ich mir einen Viren-Scanner USB Stick bauen. Wenn ich kein Heise+ Abo hätte, würde ich mir Desinfec't 2023 kaufen.

wenn du das hier allerdings von dem verdächtigen PC aus geschrieben hast und sich der Verdacht tatsächlich bewahrheiten sollte, dann würde ich schonmal nach dem hoffentlich vorhandenen Backup gucken und das NICHT mit dem verseuchten Rechner einspielen, dann kannst du es auch gleich verbrennen...

 

[PC295]

Ich habe hier im Forum gelesen, dass man externe Virenscanner meiden sollte, deshalb der Hinweis in meinem ersten Post.

Das sind keine vollwertigen Antivirenprogramme, die paralell zum Defender laufen.
Die kannst du nach dem Scannen auch wieder runterwerfen.

Die Behauptung externe Virenscanner zu vermeiden ist zudem grundsätzlich falsch.

 

[HorstSan]

Das mit den Makros hat @PC295 geschrieben

Ich habe gerade mal versucht das bei Google rauszukriegen aber so richtig findet man dazu nix. Ich würde einfach mal davon ausgehen, dass Mozilla nicht völlig naiv ist und im PDF Preview standardmäßig keine Makros ausführt. Aus meiner Sicht sind hier keine weiteren Maßnahmen erforderlich. Zusätzliche VIrenscans kann man sicherlich machen, fürs Gewissen...

 

[Mickey Mouse]

Ich habe hier im Forum gelesen, dass man externe Virenscanner meiden sollte, deshalb der Hinweis in meinem ersten Post.

Virenscanner ist nicht gleich Virenscanner!
es gibt eben diese Dinger, die als Systemdienste mit allen Rechten im Hintergrund "lauern" und zumindest theoretisch eine größere Gefahr darstellen als "echte" Viren selber, bzw. sogar von denen ausgenutzt werden können.

etwas anderes sind die Scanner, die du selber aufrufst.
und auch da gibt es diverse Varianten:
- Cloud Dienste
du lädst eine Datei ins Netz und die wird dort analysiert
- lokal
eine Datei / Verzeichnis / Disk / Rechner wird gescannt

diese beiden Varianten haben m.M.n. den Nachteil, dass ein "potenter" Virus sie aushebeln kann, weil sie ja direkt vom potenziell infizierten (unter der Kontrolle des Virus stehenden) System aus aufgerufen werden. Z.B. könnte ja der Virus bei Upload der infizierten Datei in die Cloud den "bösen" Teil blockieren und der Dienst meldet "alles OK" zurück.

daher bevorzuge ich eben den "komplett offline" Weg:
- von einem komplett unabhängigen USB Stick booten, der sich "von außen" die SSD/HDD in Ruhe angucken kann und garantiert nicht vom Virus selber beeinträchtigt wird.

 

[Hauro]

Ich habe hier im Forum gelesen, dass man externe Virenscanner meiden sollte, deshalb der Hinweis in meinem ersten Post.

Es geht jetzt darum, das System von einem sauberen System aus zu untersuchen. Dazu ist auf einen anderen Gerät ein Notfall-Datenträger mit einer Anti-Malware Software zu erstellen und das System damit zu scannen.

Beispiele:
Avira Rescue System
ESET SysRescue Live
Kaspersky Rescue Disk 18

c't 13/2023 | heise Shop

USB-Stick erstellen;

Erstellen und Verwenden eines Avira Rescue Systems

Schreiben des Abbildes von Kaspersky Rescue Disk 18

Desinfec't ist im Heft beschrieben.

Leider habe ich die E-Mail von heute gelöscht und kann nicht mehr schauen, wie groß die angehangene Datei war.

Das nächste Mal die Datei auf VirusTotal hochladen.

 

[Myki]

Ich habe jetzt erstmal das vorgeschlagene Emergency Kit vom USB Stick laufen lassen. Da wurde erstmal nichts gefunden.

Ja, ich bin tatsächlich noch mit dem Rechner unterwegs. So wie ich das sehe, spreche eigentlich alle Indizien dafür, dass da irgendwas beim E-Mail Provider schief gelaufen ist. Wie gesagt, die E-Mail kam in einer Art, wie sie schon öfters gekommen ist und die Rechnungsnummer hat gestimmt.

 

[Mickey Mouse]

Ich habe jetzt erstmal das vorgeschlagene Emergency Kit vom USB Stick laufen lassen. Da wurde erstmal nichts gefunden.

wenn du den mit dem infizierten PC erstellt hast, dann hat das Ergebnis keinerlei Aussagekraft

Ja, ich bin tatsächlich noch mit dem Rechner unterwegs.

s.o.

So wie ich das sehe, spreche eigentlich alle Indizien dafür, dass da irgendwas beim E-Mail Provider schief gelaufen ist.

das hoffe ich jetzt mal auch für dich!
aber es könnte genauso gut auch "besonders intelligente" Malware sein, die genau auf alle deine "typischen Fehler" vorhergesehen und entsprechend reagiert hat. Sehe ich auch als eher unwahrscheinlich an, aber frei nach deiner Aussage "sprechen genauso viele Indizien dafür", musst du zugeben.

Wie gesagt, die E-Mail kam in einer Art, wie sie schon öfters gekommen ist und die Rechnungsnummer hat gestimmt.

genau das kann man jetzt als Indiz für:
a) Fehler beim Anbieter
b) gut trainierte KI Malware
deuten und ich würde die Chance 50:50 sehen, also alles andere als "beruhigend".

auch wenn das hier hoffentlich wirklich ein "falscher Alarm" ist, wir müssen uns darauf einstellen, dass es nicht mehr diese:
lieber Kunde, du hast gewonnen erster Preis in Wettbewerb, bitte zahlen Euro 10,99 Transport Ladung
geben wird (ok, die wird es auch noch geben, aber die werden weggefiltert), sondern die Angreifer sich auf tatsächlich existierenden Mail Verlauf stützen werden und per KI, auch Mails der Kontakte aller "beteiligten" Personen einbeziehen werden und die Angriffs-Versuche "verblüffend echt" aussehen werden

 

[Myki]

Ich haue mir jetzt Windows neu rauf. Ehrlich gesagt sind auf dem PC selber nicht viele Daten drauf, die bekomme ich recht schnell wieder hergestellt auch ohne Sicherung. Die wichtigen Daten liegen auf dem NAS. Hoffe da ist nichts passiert. Wie gesagt, ich denke auf dem Rechner war auch nichts, aber vorsichtig muss man sein. Dummheit muss bestraft werden. Werde noch zwei Stunden dransitzen und alles neu machen und hoffe alles ist gut.

 

[purzelbär]

Wenn du Windows neu drauf hast und alles eingerichtet hast, dann mach doch davon ein Systembackup/image auf dein NAS oder auf eine externe Festplatte mit zum Beispiel damit: https://www.oo-software.com/de/special/nes128 oder damit: https://www.deskmodder.de/blog/2023...fessional-kostenlos-fuer-euch-bis-30-05-2024/ und vergesse nicht von dem gewählten Programm ein Boot Medium zu erstellen.

 

[Mickey Mouse]

wie soll ich es jetzt sagen?
meiner Meinung nach begehst du damit gerade deine nächsten Fehler!
ob schwerwiegend oder nicht, das kann man (noch) nicht sagen...

du arbeitest immer noch mit dem potenziell infizierten PC. D.h. du kannst auch keiner neuen Installation trauen, die auf dieser Basis entstanden ist und am Ende auch dem NAS (Inhalt) nicht!
dazu "zerstörst" jetzt die letzten Daten, die für eine spätere Analyse vielleicht noch relevant wären (naja, eher nicht...)

WENN du den Rechner neu aufsetzen möchtest, dann bitte mit einem Installationsmedium, das du auf einem "völlig anderen" PC erstellt hast und trenne das NAS. Stelle sicher, dass wirklich ALLES von dem PC gelöscht wird.

so wie ich das sehe, war ALLES, was du bisher unternommen hast, unter der "potenziellen Kontrolle" des Virus/Malware, WENN du dir denn sowas eingefangen haben solltest

 

[Myki]

Ich hatte das vorher schon hier (von dir?) gelesen, dass ich das auf einem anderen Rechner machen soll. Das habe ich auch gemacht, USB Stick an Laptop, dort ISO raufgespielt. Gesamte Platte formatiert und dann ISO raufgespielt.
Die Frage ist ja, ob denn die Malware auch auf die Synology übergreifen konnte, ist ja kein Windows.

Ich sage mal so, die Tatsache, dass ich das jetzt alles neu gemacht habe (ohne das NAS), hat die Chance sicherlich erhöht, wenn ich was hatte, dass es nun weg ist.

 

[BFF]

Die Frage ist ja, ob denn die Malware auch auf die Synology übergreifen konnte, ist ja kein Windows.

Wenn Du die Daten meinst die auf dem verbundenen Laufwerk liegen, ja klar. Sowas ist moeglich.

In Deinem Fall bin ich mehr der Meinung das etwas ueberreagiert wurde. Aber ok. Ist gegessen.

 

[Myki]

Ich hoffe. Soweit ist erstmal alles wieder hergestellt. Danke für eure Hilfe.