PC völlig mit Viren verseucht?
Hi,
für meinen Laptop ist vor kurzem das Antivirusprogramm (GData) abgelaufen. Ich werde den Laptop ab nächster Woche für mindestens 4 Wochen nicht benutzen und wollte die neue Lizenz dann erst später freischalten, damit ich nicht einen Monat lang unnötig bezahle. Dafür habe ich den Windows Defender angemacht. Bis zu diesem Zeitpunkt hat GData mehmals am Tag Scans durchgeführt und nichts gefunden.
Heute wurden auf 2 Konten verdächtige Aktivitäten festgestellt, sodass ich GData dann doch aktiviert habe und einen Scan durchgeführt habe. Es wurden über 40 Trojaner erkannt. Der Windows Defender hat nach mehreren tiefen Scans keinen einzigen dieser Trojaner entdeckt. Dank GData war es mir möglich, alle gefundenen Trojaner so weit wie eben möglich zu eliminieren.
Bevor ich aber nun alle meine Konten lösche/sichere, möchte ich meinen PC in Ordnung bringen. Am liebsten wäre es mir, alle Daten darauf zu löschen und neu zu beginnen, aber dann könnte ich ja auch (nicht entdeckte) Trojaner mitnehmen.
Was würdet ihr tun?
Welcher Browser wird genutzt?
Edge, aber mach dir keine Mühe - Festplatte ist schon formatiert
3 Antworten
Bis zu diesem Zeitpunkt hat GData mehmals am Tag Scans durchgeführt und nichts gefunden.
Wenn Du das SO konfiguriert haben solltest, dann wären multiple Infektionen keine Überraschung.
Ein Virenwächter muss STÄNDIG und IMMER scannen bzw. aktiv sein.
On Demand-Scannen - auch regelmäßiges - schützt nicht adäquat.
Bevor ich aber nun alle meine Konten lösche/sichere, möchte ich meinen PC in Ordnung bringen.
Nein! Umgekehrt.
Sicher aller Konten mit neuem Passwort und einer 2FA.
Das ist das Wichtigste.
Ansonsten kann man in Unkenntnis der Virenwarnungen keinesfalls abschätzen, ob es sich um False-Alarms handeln sollte oder nicht.
Echtzeitschutz war natürlich auch aktiviert. Die wichtigsten Meldungen:
Objekt: Command execute (open mc first).py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$R171472
Status: Virus entfernt
Virus: Generic.PySpy.B.8DDF0FF1 (Engine A)
Objekt: main.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\build\src
Status: Virus entfernt
Virus: Generic.Trojan.Stealer.D.2A3193EA (Engine A)
Objekt: main.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\src
Status: Virus entfernt
Virus: Generic.Trojan.Stealer.D.33714BB7 (Engine A)
Objekt: injection.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\src\components
Status: Virus entfernt
Virus: Trojan.MAC.Generic.112710 (Engine A)
Objekt: 59b819b0-7de1-4737-8585-6226f7a0e81b.bin
Pfad: C:\Users\NRF\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState
Status: Virus entfernt
Virus: Generic.PySpy.B.61BA8F19 (Engine A)
Objekt: 3385c12c-ddfc-4f7d-b28f-170aaa01e33a.bin
Pfad: C:\Users\NRF\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState
Status: Virus konnte nicht entfernt werden
Virus: Generic.PySpy.B.61BA8F19 (Engine A)
Objekt: libamd.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libjbig-0.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libsharpyuv-0.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libpixbufloader-xbm.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\lib\gdk-pixbuf-2.0\2.10.0\loaders
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: -53d204fa
Pfad: C:\Users\NRF\AppData\Roaming\Code\Backups\1712063364381\file
Status: Virus entfernt
Virus: Generic.PySpy.B.9A49955B (Engine A)
Objekt: -125bbf3d
Pfad: C:\Users\NRF\AppData\Roaming\Code\Backups\1712063364381\file
Status: Virus konnte nicht entfernt werden
Virus: Generic.PySpy.B.E88EF990 (Engine A)
Objekt: hAu2.py
Pfad: C:\Users\NRF\AppData\Roaming\Code\User\History\123bef97
Status: Virus entfernt
Virus: Generic.PySpy.B.8DDF0FF1 (Engine A)
Festplatte formatiert - sehr gut!
eine kleine Handreiche, damit die nächste Katastrophe nicht so schnell wiederkommt
Firefox (ESR) zum Surfen mit folgenden Add-Ons (Erweiterungen) installieren:
- uBlock Origin
- I don't care about cookies
- Cookie AutoDelete
- Decentraleyes
Wenn das wieder passiert, mal über ein anders Betriebssystem als Windows nachdenken ...
Glückwunsch - ich wollte das Wort L. bewußt nicht erwähnen ;-) Ich bin seit Jahren mit obiger Konfig unter LMDE unterwegs - ohne Probleme.
Gibts auf Linux Mint eigentlich auch KDE?
Ich würde mich an deiner Stelle erstmal genauestens mit den Warn- oder Fundmeldungen befassen, bevor ich in Panik gerate.
Vermutlich handelt es sich um Fehlalarme. Echte Fundmeldungen enthalten genaue Angaben zu Schaddateien auf dem Gerät bzw. laufenden verdächtigen oder als Malware erkannten Prozessen.
In Mode sind heute auch für Laien echt wirkende Fake-Meldungen, die durch Adware im Browser erzeugt werden.
Nach meinen Erfahrungen macht GData nur sehr wenig Fehlermeldungen, aber wie sollte ich die Logs am besten einsehen?
So, wie es das Programm vorsieht. Da musst du schon in den Optionen nachschauen. Oder du machst Screenshots von aktuellen Fundmeldungen. Wenn da nur steht „Ihr PC ist mit XY Viren infiziert. Wenn sie nicht schnell handeln, werden in 15 min Daten gelöscht. Klicken Sie hier, um ...” dann ist das FAKE.
GDATA ist ein Deutsches Programm und eines der besten noch dazu, sowas steht da nicht
Ja und? Dann schau halt in den Logs nach. Du hast das Programm ja lange genug verwendet, um zu wissen, wo. Meine Güte ...
Ja und was so ich mit den Logs anfangen
Die schwerwiegenden:
Objekt: Command execute (open mc first).py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$R171472
Status: Virus entfernt
Virus: Generic.PySpy.B.8DDF0FF1 (Engine A)
Objekt: main.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\build\src
Status: Virus entfernt
Virus: Generic.Trojan.Stealer.D.2A3193EA (Engine A)
Objekt: main.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\src
Status: Virus entfernt
Virus: Generic.Trojan.Stealer.D.33714BB7 (Engine A)
Objekt: injection.py
Pfad: C:\$Recycle.Bin\S-1-5-21-1584163855-3565745041-3731824119-1001\$RO157BB\empyrean-main\src\components
Status: Virus entfernt
Virus: Trojan.MAC.Generic.112710 (Engine A)
Objekt: 59b819b0-7de1-4737-8585-6226f7a0e81b.bin
Pfad: C:\Users\NRF\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState
Status: Virus entfernt
Virus: Generic.PySpy.B.61BA8F19 (Engine A)
Objekt: 3385c12c-ddfc-4f7d-b28f-170aaa01e33a.bin
Pfad: C:\Users\NRF\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState
Status: Virus konnte nicht entfernt werden
Virus: Generic.PySpy.B.61BA8F19 (Engine A)
Objekt: libamd.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libjbig-0.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libsharpyuv-0.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\bin
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: libpixbufloader-xbm.dll
Pfad: C:\Users\NRF\AppData\Local\Programs\GIMP 2\32\lib\gdk-pixbuf-2.0\2.10.0\loaders
Status: Virus entfernt
Virus: Gen:Variant.Babar.165023 (Engine A)
Objekt: -53d204fa
Pfad: C:\Users\NRF\AppData\Roaming\Code\Backups\1712063364381\file
Status: Virus entfernt
Virus: Generic.PySpy.B.9A49955B (Engine A)
Objekt: -125bbf3d
Pfad: C:\Users\NRF\AppData\Roaming\Code\Backups\1712063364381\file
Status: Virus konnte nicht entfernt werden
Virus: Generic.PySpy.B.E88EF990 (Engine A)
Objekt: hAu2.py
Pfad: C:\Users\NRF\AppData\Roaming\Code\User\History\123bef97
Status: Virus entfernt
Virus: Generic.PySpy.B.8DDF0FF1 (Engine A)
Ja, das sieht dann tatsächlich nach einem ernsthaften Problem aus. Malware im Papierkorb-Unterordner oder in APPDATA zu verstecken, ist gängige Praxis.
Auf die Behauptung des AV, die Malware entfernt zu haben, würde ich nichts geben. Das Problem mit solcher Malware ist, dass sie nicht als einzelne und EINZIGE datei und laufender Prozess arbeitet, sondern in mehreren Kopien mit variierendem Code, die sich gegenseitig überwachen, um bei Verlust einer Kopie für Ersatz zu sorgen.
Du kannst also davon ausgehen, dass dein System kompromittiert ist und solltest es komplett neu aufsetzen. NICHT einfach nur zurücksetzen, sondern völlig neu installieren.
Es gibt keine Möglichkeiten zu einer anderen Entfernung? Alle meine Daten kann ich also vergessen?
Nachtrag: Plausibel wäre eine Infektion, die sich auf diverse deiner Anwendungen auswirkt, allerdings nur, wenn du die aus unseriösen Quellen bezogen hättest, z.B. als Crack, was bei GIMP ja gar nicht nötig wäre. Wenn du also nur mit Programmen oft nach „Virenlöschung” Probleme hattest und keine unseriösen Quellen benutzt hast, könnten das sehr wohl DOCH Fehlalarme gewesen sein.
Gibt es eine Möglichkeit, das genauer zu überprüfen?
Klar. Du kannst nach den entfernten Dateien in der Quarantäne suchen, sie wiederherstellen und online von Virustotal scannen lassen, um zu sehen, wie viele der ~37 Virenscanner anschlagen. Oder du schickst sie ans Virenlabor von GDATA. Ob das direkt im Programm geht, weiß ich nicht. Bei Avast gehts.
Sollte ich meinen PC neu aufsetzen wollen, kann ich keine Daten sichern, also auch zb. keine Fotos etc.?
Doch klar. Lege dir eine Rettungs-CD oder USB-Stick mit bootfähigem Linux zu (über einen sauberen PC) und starte damit deinen verseuchten. Dann kannst du unter Linux deine Daten auf ein sauberes Medium kopieren, denn die Malware läuft ja nur, wenn du von der verseuchten Platte booten würdest.
Ah Danke, einen Linux-Boot-Stick besitze ich sogar. Was würde passieren, wenn ich die Malware mitkopieren würde? Ich würde natürlich aufpassen, aber rein hypothetisch
Du würdest dein neues System wieder infizieren. Sichere keine Binärdateien oder Skripte. Nur Bilder o.ä.
Zur Sicherheit:
hmm….ich glaube, ich werde meinen PC neu aufsetzen …vielen Dank für die Hilfe
Windows neu aufsetzen geht direkt in den Einstellungen oder mit neuer Lizenz-CD?
Ich bin auf Linux openSUSE umgestiegen….Linux finde ich sowieso viel besser, trotzdem danke für die Antwort!