Virus über Email

[Tergo7]

Hey Leute,

meine Freundin hat heute eine Spam Mail erhalten (mit zip Anhang) und die Mail und den Anhang unwissentlich geöffnet. Sie konnte auch die zip Datei öffnen, in dieser befand sich allerdings eine MS-DOS Anwendung, die sie nicht öffnen konnte laut Windows.

Nun ist die Frage, hat sich jetzt bereits ein Virus auf dem Computer eingenistet, oder muss besagte MS DOS Anwendung zunächst ausgeführt werden?

Und wenn ja, welche Vorsichtsmaßnahmen müssen nun getroffen werden?

Vielen Dank im Voraus

 

[Hc-Yami]

Computer abstöpseln, Benzin drüber kippen und anzünden. Sicher ist sicher!

____

Die Wahrscheinlichkeit ist sehr gering, dass der Computer nun befallen ist. Mach doch einfach einen Virenscan?

 

[bengel40]

hat der Virenscanner angeschlagen und das ganze geblockt? Ansonsten könnte sich da schon was breit gemacht haben

 

[~XxX~]

Ist der Virenscaner nicht angesprungen?
Welchen setzt sie denn ein?

 

[promashup]

Falls es wirklich eine DOS Anwendung war ist nichts passiert, sollte es eine ausführbare Datei sein, die sich als DOS Anwendung ausgibt, kann es schmutzig werden.

 

[Smily]

Es klappt tatsächlich immer noch. Das wird in allen TV Sender in jeder 2. Akte/Spiegel TV whatever Sendung erzählt.

Aber OK. Ein Virenscan ist natürlich der erste Schritt. Außerdem die DOS Datei (was ist das, Dateiendung) mal bei virustotal (https://www.virustotal.com/de/) hochladen um zu erfahren, was das für ein Virus ist und was der macht. Da sie die Datei eh schon hat, kann sie die auch jetzt einfach hochladen.

 

[inciter]

Bei der Datei wird es sich um eine ".com"-Datei handeln. Problematisch ist das schon, denn Windows versucht durchaus die Anwendung auszuführen, so dass Kopfdaten der Datei auch verarbeitet werden. Erst wenn Windows an den alten 16Bit-Code stösst, gibt es die Meldung aus, dass die Anwendung nicht ausgeführt werden kann. Aber genau dieser Ablauf ist gewollt. Wenn der - hoffentlich installierte - Virenscanner nicht angeschlagen hat, ist das schon ein schlechtes Zeichen.

Speichere die Datei mal auf dem Desktop ab und lade sie bei virustotal.com zum Scannen hoch. Danach würde ich die Freeware-Version von Malwarebytes über die Laufwerke jagen. Zum Abschluss dann noch den ADWCleaner - aber bitte nur von bleepingcomputer.com runterladen.

 

[charmin]

1. von Kaspersky Rescue Disk booten und den Scan nach Update laufen lasssen (mehrere Durchläufe, bis nichts mehr gefunden wird oder etwas nicht entfernt werden kann.)
2. Windows normal starten
3. ADW Cleaner laufen lassen (erfordert Neustart)
4. Malwarebytes laufen lassen (ggf. mehrere Durchläufe -> bis nichts mehr gefunden wird)
5. ggf. Virenscanner laufen lassen
6. Anwender auf die Finger klopfen
7. Kann der PC nicht bereinigt werden, neu installieren (ggf. droht Datenverlust durch Verseuchung, ist aber eher unwahrscheinlich)
8. Sich zur Entschädigung für den Zeitaufwand einen schönen Abend bezahlen lassen (oder bei der Freundin diese was gutes kochen lassen )

 

[inciter]

6. Anwender auf die Finger klopfen
8. Sich zur Entschädigung für den Zeitaufwand einen schönen Abend bezahlen lassen (oder bei der Freundin diese was gutes kochen lassen )

Zu 6.: Ja, ganz genau... und zu 8.: Das erhöht noch den Lerneffekt.

Ich predige immer:
1. Keine Anhänge von Mails öffnen, oder Links in Mails anklicken, dessen Absender man nicht kennt und von denen man keine entsprechende Mail erwartet.
2. Rechnungen sind nie schön, aber Rechnungen in ZIP-Archiven sind noch viel schlimmer.

 

[Luxuspur]

sry aber wenn davon ausgegangen werden muss das das System bereits kompromitiert ist, gibt es nur eines zu tun: plätten und frisch aufsetzen!

Um sicher sagen zu können das du mit den empfohlenen Methoden ein sauberes System hast, musst du ein Virenprofi sein!
Selbst die vorgeschlagenen Anti-Viren / Anti-Malware Programme kennen nur genau die Viren für die sie eine Signatur haben und keine Einzige mehr!

Und das dann in die Hände eines Laien zu legen ( denn wenn du da hier schon fragen musst! ) ist gelinde gesagt saudumm.

 

[emlyn d.]

Bitte zuerst FRST-Logs(siehe Signatur) posten.
Die Prozedur dauert nur wenige Minuten.

 

[Tergo7]

Hey, vielen Dank für die schnellen Antworten!

Virenscanner ist angeblich nicht angesprungen, sie benutzt Avast, laut Avast auch auf dem neuesten Stand und 'geschützt'. Als sie die Datei aber öffnen wollte, hat Windows gesagt, sie soll das nicht machen, und dass Windows den Zugriff wegen Sicherheit verweigert.
Vielen Dank für die detaillierte Anleitung, jetzt kommt noch das Problem hinzu, dass meine Freundin gerade 6 Monate im Ausland verbringt und ich den Scan nicht selber machen kann, ich werde das Ganze aber Schritt für Schritt mit ihr durchgehen..
Wie sieht es denn mit Passwortsicherheit aus? Habe ihr geraten, sämtliche Passwörter zu ändern, oder ist das zu viel des Guten?
Außerdem, falls der Rechner am Ende 'clean' ist laut den genannten Programmen, wäre dann gegen Weihnachten eventuell doch noch eine Neuinstallation von Windows sinnvoll?

 

[Luxuspur]

Wie sieht es denn mit Passwortsicherheit aus? Habe ihr geraten, sämtliche Passwörter zu ändern, oder ist das zu viel des Guten?

und das von dem Rechner der evtl. befallen ist ? Bad Idea!

 

[Smily]

Bei sowas hilft Fernwartung, Teamviewer ist super. Dann kannst du das Steuer übernehmen und musst nicht ewig jeden Mausklick erklären.

 

[inciter]

Als sie die Datei aber öffnen wollte, hat Windows gesagt, sie soll das nicht machen, und dass Windows den Zugriff wegen Sicherheit verweigert.

Dann scheint Sie Windows 8 zu haben. Wenn Sie die Datei dann tatsächlich nicht ausgeführt hat, ist sie an der Katastrophe wohl grad noch vorbei geschlittert.

 

[Tergo7]

@Luxuspur, sie wird es von ihrem Handy aus machen, wenn das sicherer ist!? Inwieweit könnte denn auch das WLAN befallen sein?
@Smily, wenn ich auf meinem Rechner auch Teamviewer ausführe, ist mein Rechner denn trotzdem sicher?
@inciter, von da aus ging es dann nicht mehr weiter. Windows hat gesagt 'Stop', dann hat sie es auch nicht weiter versucht.

 

[QXARE]

Hat Sie denn Maus oder Tastatur berührt? Eventuell ist sie auch schon mit dem Virus kontaminiert...

Mal im Ernst. 100%ig sicher kann man sich nach so einer Sache meiner Meinung nach nie mehr sein. Was ist, wenn irgendwelche privaten Dateien mit dem Zeug befallen sind und keine Signatur der Welt entdeckt es? Dann bringt selbst ein Neuaufsetzen nichts mehr. Also einfach mal den Scan drüberlaufen lassen, vielleicht von unterschiedlichen Programmen und wenn dann nix gefunden wurde zurücklehnen und weiter Anhänge von Unbekannten öffnen.

 

[Smily]

Um bei Teamviewer Dateien auszutauschen, musst du sie bewusst rüber ziehen bzw, den Dateitransfer starten. Ich habe noch nie gehört, dass ein Virus das kann. Rein theoretisch sicher machbar aber auch recht sinnfrei als Programmierer darin Zeit zu investieren. In so fern halte ich das für ausgeschlossen.

Wenn du 100%ig sicher sein willst, setz eine Linux VM auf und installiere da Teamviewer. Dann muss der Virus durch den Teamviewer auf das Linux System, den Linux Kernel überreden den Linux Teil vom Windowsvirus auszuführen ohne vorherige Nutzerbestätigung und dann durch die VM den Windowsteil auf deinen Rechner kopieren ... holy shit, das wird schwer .

 

[inciter]

Hat Sie denn Maus oder Tastatur berührt? Eventuell ist sie auch schon mit dem Virus kontaminiert...

U made my Day

Viren sind für gewöhnlich nicht so raffiniert, dass sie über eine Vielzahl an Verbreitungsstrategien verfügen. Normalerweise kennen Sie einen Weg rein und verrichten dann dort ihr Übel. Intuitiv andere Rechner in Netzwerken auszuloten, zu analysieren und neue Eindringungspunkte zu finden wäre so komplex... so viele Vorhersehungen kann ein (Achtung Unwort) "Hacker" nicht haben. Da steht der Entwicklungsaufwand für den Hacker nicht im Verhältnis zum Ergebnis. Der Virus kommt und macht sein Opfer zum Bot, oder er protokolliert Nutzerverhalten oder logt Eingaben, Leitet Adressen um, belästigt mit PopUps usw.

Natürlich kann man sich nie sicher sein, aber mit einem Fingerschnippsen geht das Ganz auch nicht. Meist benötigt es am Ende doch einen unvorsichtigen Nutzer. Und das gilt für jedes einzelne Gerät.

 

[charmin]

Passwörter würde ich auf der Kiste vorerst keine eingeben. Die Rescue Disk ist ein bisschen doof in diesem Fall, da du da ein bootbares Medium (Stick, CD) erstellen musst und den PC davon starten musst. Würde also beim nächsten Schritt loslegen.

Es können im Zweifelsfall andere PCs betroffen sein, aber dann muss es schon ein echt fieser Schädling sein. Das WLAN selbst kann nicht infiziert werden (ist ja kein Windows auf dem Router/Accesspoint).

Wenn sie schlussendlich auf UAC gehört hat (gut das das aktiv ist), dann kann es auch gut sein das gar nichts passiert ist. Lass den ADWCleaner laufen, Malwarebytes und einen ordentlichen Virenscanner (Avast ist der bei den kostenlosen vorne mit dabei, aber Scanner wie Kaspersky oder Eset sind einfach nochmal besser) drüber laufen lassen.