Computer im Firmennetzwerk scheint ein Virus zu haben
Hallo zusammen
Gestern habe ich ein Mail von admin@meinedomain.de erhalten. Mir kam das Mail sofort suspekt vor, weil ich der Admin bin und diese Mailadresse gar nicht existiert. Im Mail war ein Word-Doc angehängt. Da ich wusste, dass etwas nicht stimmt, habe ich das Attachment natürlich nicht geöffnet! Ich habe aber das Mail und deren Properties angeschaut und dabei herausgefunden, dass die Absender Mail-Adresse aus Indien stammt.
Weil ich das Mail genauer analysieren wollte, habe ich versucht, dieses von Outlook auf meinen USB Stick zu ziehen/speichern, damit ich es danach auf einem Linux Rechner anschauen/analysieren kann(Mit Viren habe ich nicht soviel Erfahrung und ich habe mir gedacht, so könnte ich etwas lernen). Das hat aber nicht funktioniert und das lag an meinem AntiViren Programm TrendMicro. Es hat verhindert, dass das Mail gespeichert wird. Weil TrendMicro den Vorgang unterbunden hat, habe ich das Mail dann einfach mit Shift + Del gelöscht.
Jetzt hat sich aber das Erscheinungsbild meines Laptop verändert, als ich ihn heute neugestartet habe. Der Desktop-Hintergrund ist schwarz und es werden mir auch versteckte Systemdateien angezeigt, was ich bisher aber nicht aktiviert hatte.
Ich habe dann meinen Computer sofort vom LAN getrennt und Trend Micro einen Virenscan durchführen lassen. Dieser hat aber nichts gefunden.
Kann es sein, dass mein PC durch den Versuch, das Mail zu speichern, infiziert wurde?
Wie würdet Ihr vorgehen?
Wie kann ich sicher sein, dass das Firmennetzwerk nicht auch infiziert wurde? Auf allen Clients ist Trend Micro installiert.
Die Virenmeldung von TrendMicro war:
Ergebnis: In Quarantäne verschoben
Bedrohung: W2KM_DRIDEX.BYX
Bedrohungstyp: Virus
Vielen Dank und freundliche Grüsse
jompsi
Gestern habe ich ein Mail von admin@meinedomain.de erhalten. Mir kam das Mail sofort suspekt vor, weil ich der Admin bin und diese Mailadresse gar nicht existiert. Im Mail war ein Word-Doc angehängt. Da ich wusste, dass etwas nicht stimmt, habe ich das Attachment natürlich nicht geöffnet! Ich habe aber das Mail und deren Properties angeschaut und dabei herausgefunden, dass die Absender Mail-Adresse aus Indien stammt.
Weil ich das Mail genauer analysieren wollte, habe ich versucht, dieses von Outlook auf meinen USB Stick zu ziehen/speichern, damit ich es danach auf einem Linux Rechner anschauen/analysieren kann(Mit Viren habe ich nicht soviel Erfahrung und ich habe mir gedacht, so könnte ich etwas lernen). Das hat aber nicht funktioniert und das lag an meinem AntiViren Programm TrendMicro. Es hat verhindert, dass das Mail gespeichert wird. Weil TrendMicro den Vorgang unterbunden hat, habe ich das Mail dann einfach mit Shift + Del gelöscht.
Jetzt hat sich aber das Erscheinungsbild meines Laptop verändert, als ich ihn heute neugestartet habe. Der Desktop-Hintergrund ist schwarz und es werden mir auch versteckte Systemdateien angezeigt, was ich bisher aber nicht aktiviert hatte.
Ich habe dann meinen Computer sofort vom LAN getrennt und Trend Micro einen Virenscan durchführen lassen. Dieser hat aber nichts gefunden.
Kann es sein, dass mein PC durch den Versuch, das Mail zu speichern, infiziert wurde?
Wie würdet Ihr vorgehen?
Wie kann ich sicher sein, dass das Firmennetzwerk nicht auch infiziert wurde? Auf allen Clients ist Trend Micro installiert.
Die Virenmeldung von TrendMicro war:
Ergebnis: In Quarantäne verschoben
Bedrohung: W2KM_DRIDEX.BYX
Bedrohungstyp: Virus
Vielen Dank und freundliche Grüsse
jompsi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293644
Url: https://administrator.de/contentid/293644
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).
Gruß
Ankh
auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).
Gruß
Ankh
Zitat von @AnkhMorpork:
auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).
auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).
Ich würde die "Kaufversion" von desinfect nehmen, da dort drei weitere Scanner außer clamav enthalten sind.
Und ja, je nachdem wie die Mails gestaltet sind, können allein durch Speicherversuche auch Bugs in Virenscannern getriggert werden
Es wäre nicht das erste mal, das der Virenscanenr als Einfallstor benutzt wird.
lks
Hallo jompsi
Ich würde die Festplatte aus dem Laptop ausbauen und im Laufe der Woche mal mit verschiedenen Scannern diverser Hersteller prüfen - ohne von dieser HDD zu starten.
LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.
So kannst Du ggf. auch herausfinden, welche AV-Lösung das Teil schon kennt und mit diesem kannst Du dann die Clients überprüfen.
Liegt die Mail ggf. noch auf einem Mailserver und könnte zu Testzwecken von einem anderen Gerät nochmal abgerufen werden oder ggf. aus einem Mailarchiv ??
Gruß
Holger
Ich würde die Festplatte aus dem Laptop ausbauen und im Laufe der Woche mal mit verschiedenen Scannern diverser Hersteller prüfen - ohne von dieser HDD zu starten.
LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.
So kannst Du ggf. auch herausfinden, welche AV-Lösung das Teil schon kennt und mit diesem kannst Du dann die Clients überprüfen.
Liegt die Mail ggf. noch auf einem Mailserver und könnte zu Testzwecken von einem anderen Gerät nochmal abgerufen werden oder ggf. aus einem Mailarchiv ??
Gruß
Holger
Zitat von @Dilbert-MD:
LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.
LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.
Aktuell sind die bei 33/53. Hat sich also nicht groß geändert.
Bemerkenswert finde ich, daß AVG den immer noch nicht kennt.
lks
Zitat von @jompsi:
Das mit dem neu aufsetzen geht schon in Ordnung, oder würdet Ihr das in Zukunft anders angehen?
Das mit dem neu aufsetzen geht schon in Ordnung, oder würdet Ihr das in Zukunft anders angehen?
das ist imerm eine Abwägung zwischen Risiko und dem Aufwand, der für das neu aufsetzen benötigt wird. Den Aufwand kann man sehr stark reduzieren, indem man ein Image-Backup vom System nacht und dann regelmäßig Backups von den Daten.
mit der Neuinstallation ist man zwar auf der sicheren Seite, aber wenn die zeit Geld kostet, summiert sich das auch auf dauer. Deswegen würde ich individuel abwägen und es vom Ergebnis der "Dreisprungs"
- desinfect
- AdwCleaner
- Malwarebytes Antimalware
- HitmanPro
lks