Telekom-Virus: Eventuelle Infektion, wie vorgehen?

[Kai W.]

Moinsen!

Gestern erreichte mich im Umzugsstress auch noch ein Hilferuf aus dem erweiterten Bekanntenkreis: "Wir haben 'ne Telekom-Rechnung per e-mail bekommen, uns gewundert und auf den Link geklickt..." :cursing:

Eine kurze Recherche brachte mich z.B. zu diesem Artikel:

http://www.chip.de/news/Telekom-Fake-Rechnungen-mit-gefaehrlichem-Trojaner_69750854.html

Darin heißt es wiederum:

Klicken die Opfer auf den Link, der sie zum Dokument führen soll, laden sie stattdessen aber eine ZIP-Datei herunter. Diese enthält eine EXE-Datei, die nach dem Ausführen einen Trojaner auf dem Rechner installiert.

Nach meinem Verständnis sollte ein Klick auf den link also noch nicht wirklich verheerend sein. Und wer den link anklickt, 'ne *.zip-Datei herunterlädt, diese öffnet und dann auch noch eine darin enthaltene *.exe-Datei ausführt, gehört mMn sowieso geteert und gefedert. :facepalm: Wobei mehr als ein Klick auf den link in meinem aktuellen Fall nicht passiert sein soll. Auf meine Frage, was denn nach dem Klick auf den link passiert sei, bekam ich folgende Antwort: "Nix. Da war dann irgendwas blockiert und es tat sich nix." Ich hoffe jetzt einfach mal, dass der Virenschutz (MSE) sich schützend in die Flugbahn der "Kugel" geworfen und diese abgefangen hat, aber weiß man es?

Irgendwelche Einschätzungen, Ratschläge etc. pp., was man mit dem betroffenen Rechner sicherheitshalber anstellen sollte?


Danke vorab & schöne Grüße,

Kai

 

[yatpu]

bei verdacht auf infektion bleibt imho nur die neuinstallation. alles andere ist flickschusterei, nach der man nie sicher sein kann, ob der schädling und alles andere, was vielleicht mitgekommen ist, wirklich weg ist oder nicht.

 

[PeterWa]

schau mal in den BKA-thread rein, da sind eine Reihe von tools aufgezählt, mit denen man mal prüfen könnte; insbesondere mit adwcleaner konnte ich mal einen advanced system protector beseitigen

 

[Mornsgrans]

schau mal in den BKA-thread rein

Link

 

[mectst]

Aus der Ferne ist eine genaue Diagnose natürlich kaum möglich. Aber so wie du es schilderst, sind dich Chancen gut, dass der Virenwächter eingriffen hat und keine Infektion statt gefunden hat. Sinnvoll ist auf jeden Fall das System mit einem oder gar mehreren Viren-Tools (zB Avira Rescue und die üblichen Verdächtigen) ordentlich zu untersuchen. Das sollte aber jemand tun, der davon was versteht.

Grüße Thomas

 

[Kai W.]

Moinsen!

Vielen Dank für eure Einschätzungen und Hinweise.

Aber nochmal konkreter nachgefragt: Dem von mir verlinkten Artikel nach muss der geneigte DAU ja gleich mehrere Schritte (Link anklicken, *.zip runterladen, öffnen und die *.exe ausführen) vollziehen. Oder reicht wirklich nur ein Klick auf den link? Das kann ich mir kaum vorstellen, möchte es aber ungerne selbst ausprobieren.


Nochmal danke & Gruß,

Kai

 

[supertux]

In der Regel passiert da noch wenig, vor allem wenn der Virenscanner anspringt, was er deiner Umschreibung nach auch getan hat!
Dieses Vorgehen (ja ich geb's zu, ich habe den Link aus dem BKA-Thread geklaut :whistling sollte dabei helfen, eventuell doch durch offene Seitenkanäle eingeschleustes Zeug wieder los zu werden!

Und gemäß dem Motto: "ÜÜÜÜch nee, Ich hab doch nix installiert, weiß ja gar nicht wie das geht, ..., ..., ..., ...," "und wo kommt dann das Addon zu deinem Spiel da her?" " ... Achso, das hab ich mal aus dem Google gezogen" inch::facepalm:
Nicht immer alles glauben, was dir die Betroffenen so auf die Nase binden, lieber selber noch mal nachchecken

 

[Mornsgrans]

Dem von mir verlinkten Artikel nach muss der geneigte DAU ja gleich mehrere Schritte (Link anklicken, *.zip runterladen, öffnen und die *.exe ausführen) vollziehen

Nein. Nicht unbedingt. Einige dieser mails, die in jüngerer zeit verstörkz im Umlauf sind (von gefakte Vodafone-Rechnungen) enthalten Links zu Webseiten, vorzugsweise in ehemaligen GUS-Staaten. Dort wird wohl automatisch der Schadcode heruntergeladen und ausgeführt.

Viele sehen so aus (Links NICHT öffnen, die Seiten können noch aktiv sein!!!!):

hxxp://bluebee.com.ua/modules/mod_araticlhess/pdf_telekom_rechnung
hxxp://alishkasuper.ru/telekom_deutschland/

Wieder andere enthalten Anhänge in Form von gezippten EXE-Dateien wie z.B.

Rechnung_26_14_06_8200630274520031_telekom_deutschland_GmbH_9281001.exe

Nicht selten ist der Dateiname so lang, dass etwa an der Mitte des Dateinamens dieser durch dem Mail-Client abgeschnitten wird oder die Datei-Erweiterung wird nicht angezeigt, da die Erweiterungen ausgeblenet sind, was in Windoof die Standardeinstellung ist.
. Der geneigte User erwartet hier eine Pdf-Datei und startet so die Schadsoftware.

Es sind aber auch verstärkt wieder solche Dateianhänge unterwegs:

Video_01_0837749924.mp4.exe

Diese beiden Mails zusammen mit 10 weiteren hat gestern Amavis ausgefiltert.

 

[streif]

Hey Hey,

Aus meiner Erfahrung heraus helfen die Menschen vom Trojaner-Board (einfach googeln) äußerst gut weiter herauszufinden ob der Computer infiziert ist oder nicht und sie können helfen auch bei einer etwaigen Infizierung. Die leiten einen Schritt für Schritt durch den Prozess der Entfernung und meiner Einschätzung nach auch sehr Kompetent. Die können das wahrscheinlich am besten Einschätzen und es kann dein Bekannter auch selber machen.

Viele Grüße

Streif

 

[gestern]

...... sollte der virenscaner etwas gemacht haben, müsste es in den logfils stehen.
wenn er da nichts aufgeführt hat, hat der virenscaner auch nichts gemacht.

 

[Mornsgrans]

...... sollte der virenscaner etwas gemacht haben, müsste es in den logfils stehen.
wenn er da nichts aufgeführt hat, hat der virenscaner auch nichts gemacht.

Wenn der Virenscanner "gut" ist. Avast Free gibt sich da extrem wortkarg und meldet nur, DASS er einen gefunden hat - mehr nicht.

 

[mccs]

Wenn man solche Email-Anhänge (rechnung-xyz.zip usw.) bekommt, ist alles ungefärlich, solange man das Programm nicht startet.
Mich interessiert aber immer, was da nun drin steht. Könnte ja interessant sein. Daher mache ich folgendes: Entzippen/Entraren, aber mit Winzip oder Winrar - nicht mit dem integrierten automatischen Entpacker von Windows. Die entzippte Datei in den Notepad ziehen (heute heisst er Editor). Steht ganz am Anfang "MZ", ist das immer eine ausführbare Datei! So kann man einfach Schädlinge erkennen, ganz ohne Virenscanner usw. Liest man im Hyroglyphen-Text weiter, findet man oft HTTP-Adressen. Im Browser eingeben "WHOIS gefundene HTTP-Adresse" führt dann zum Anbieter und zum Standort vom Server - weitere Hinweise! Standorte in China, Polen, GU ==> Datei löschen! Bitte nicht nur in den Papierkorb, sondern mit gedrückter Umschalttaste, dann ist sie endgültig weg.
Dieser Weg erscheint manchem umständlich, hat aber einen grossen Vorteil: Man bekommt ein Bauchgefühl, was schädlich ist und was nicht. Dieses Bauchgefühl wirkt auch bei neuen, unbekannten Schädlingen - das leistet kein Virenscanner. Zur Vorbeugung evtl. Diskussionen: Ein Virenscanner ist trotzdem Pflicht, aber wer überprüft die denn auf Wirkung?
LG mccs

 

[ThinkFlou]

..

 

[gestern]

Wenn der Virenscanner "gut" ist. Avast Free gibt sich da extrem wortkarg und meldet nur, DASS er einen gefunden hat - mehr nicht.

das reicht ja als anhaltspunkt.
schön ist es natürlich schon wenn geloggt wird welche datei / pfad und was gemacht (karantähne oder gelöscht)
bei avira free sieht man welche schadsoftware wo und was gemacht wurde.

 

[supertux]

karantähne

Gleich 2 Fehler und trotzdem noch so eindeutig, dass jeder weiß was gemeint ist Respekt :thumbsup: (Quarantäne)

 

[gestern]

Gleich 2 Fehler und trotzdem noch so eindeutig, dass jeder weiß was gemeint ist Respekt :thumbsup: (Quarantäne)

autokorrektur des unterbewusstseins, das "filtert" unnötige sachen^^

 

[PCPero]

Ich bin immer alarmiert, wenn ich in den Anleitungen geduzt werde, ein sicheres Zeichen für Übersetzungen im BSE, bad simple english, und somit unseriöses "tüch".