jompsi
Goto Top

Computer im Firmennetzwerk scheint ein Virus zu haben

Hallo zusammen

Gestern habe ich ein Mail von admin@meinedomain.de erhalten. Mir kam das Mail sofort suspekt vor, weil ich der Admin bin und diese Mailadresse gar nicht existiert. Im Mail war ein Word-Doc angehängt. Da ich wusste, dass etwas nicht stimmt, habe ich das Attachment natürlich nicht geöffnet! Ich habe aber das Mail und deren Properties angeschaut und dabei herausgefunden, dass die Absender Mail-Adresse aus Indien stammt.

Weil ich das Mail genauer analysieren wollte, habe ich versucht, dieses von Outlook auf meinen USB Stick zu ziehen/speichern, damit ich es danach auf einem Linux Rechner anschauen/analysieren kann(Mit Viren habe ich nicht soviel Erfahrung und ich habe mir gedacht, so könnte ich etwas lernen). Das hat aber nicht funktioniert und das lag an meinem AntiViren Programm TrendMicro. Es hat verhindert, dass das Mail gespeichert wird. Weil TrendMicro den Vorgang unterbunden hat, habe ich das Mail dann einfach mit Shift + Del gelöscht.

Jetzt hat sich aber das Erscheinungsbild meines Laptop verändert, als ich ihn heute neugestartet habe. Der Desktop-Hintergrund ist schwarz und es werden mir auch versteckte Systemdateien angezeigt, was ich bisher aber nicht aktiviert hatte.

Ich habe dann meinen Computer sofort vom LAN getrennt und Trend Micro einen Virenscan durchführen lassen. Dieser hat aber nichts gefunden.

Kann es sein, dass mein PC durch den Versuch, das Mail zu speichern, infiziert wurde?
Wie würdet Ihr vorgehen?
Wie kann ich sicher sein, dass das Firmennetzwerk nicht auch infiziert wurde? Auf allen Clients ist Trend Micro installiert.

Die Virenmeldung von TrendMicro war:
Ergebnis: In Quarantäne verschoben
Bedrohung: W2KM_DRIDEX.BYX
Bedrohungstyp: Virus

Vielen Dank und freundliche Grüsse
jompsi

Content-ID: 293644

Url: https://administrator.de/contentid/293644

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

AnkhMorpork
AnkhMorpork 20.01.2016 aktualisiert um 08:33:07 Uhr
Goto Top
Hallo,

auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).

Gruß

Ankh
Lochkartenstanzer
Lochkartenstanzer 20.01.2016 aktualisiert um 09:57:58 Uhr
Goto Top
Zitat von @AnkhMorpork:

auf jeden Fall mal mit einem externen Scanner untersuchen (z.B. desinfect, http://www.heise.de/download/desinfect.html).

Ich würde die "Kaufversion" von desinfect nehmen, da dort drei weitere Scanner außer clamav enthalten sind.


Und ja, je nachdem wie die Mails gestaltet sind, können allein durch Speicherversuche auch Bugs in Virenscannern getriggert werden
Es wäre nicht das erste mal, das der Virenscanenr als Einfallstor benutzt wird.

lks
Dilbert-MD
Dilbert-MD 20.01.2016 um 09:58:38 Uhr
Goto Top
Hallo jompsi

Ich würde die Festplatte aus dem Laptop ausbauen und im Laufe der Woche mal mit verschiedenen Scannern diverser Hersteller prüfen - ohne von dieser HDD zu starten.

LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.

So kannst Du ggf. auch herausfinden, welche AV-Lösung das Teil schon kennt und mit diesem kannst Du dann die Clients überprüfen.

Liegt die Mail ggf. noch auf einem Mailserver und könnte zu Testzwecken von einem anderen Gerät nochmal abgerufen werden oder ggf. aus einem Mailarchiv ??

Gruß
Holger
Lochkartenstanzer
Lochkartenstanzer 20.01.2016 aktualisiert um 10:03:14 Uhr
Goto Top
Zitat von @Dilbert-MD:

LKS hatte neulich gezeigt, dass die Hersteller unterschiedlich schnell sind mit ihren Updates. Siehe Sein Thread über die Ergenisse von Virustotal.


Aktuell sind die bei 33/53. Hat sich also nicht groß geändert.

Bemerkenswert finde ich, daß AVG den immer noch nicht kennt.

lks
jompsi
jompsi 20.01.2016 aktualisiert um 13:56:20 Uhr
Goto Top
Hallo zusammen

Vielen Dank für die Inputs. Werde mich mit diesem Thema beschäftigen und euren Tipps nachgehen.

@Dilbert-MD
Nein, das Mail liegt nicht mehr auf dem Server. Nachdem ich es nicht speichern konnte, war ich verunsichert und habe es deshalb sofort unwiederruflich gelöscht.

Wir haben leider keine ungebrauchten Computer, deshalb habe ich meinen Computer heute vorsichtshalber neu aufgesetzt. Darum kann ich den Tipp mit dem ausbauen leider nicht umsetzen.

Das mit dem neu aufsetzen geht schon in Ordnung, oder würdet Ihr das in Zukunft anders angehen? Das mit den Live CDs AntiViren werde ich in Zukunft aber sicher machen. Daran habe ich nicht gedacht.

Vielen Dank
jompsi
Lochkartenstanzer
Lösung Lochkartenstanzer 20.01.2016 aktualisiert um 14:13:32 Uhr
Goto Top
Zitat von @jompsi:

Das mit dem neu aufsetzen geht schon in Ordnung, oder würdet Ihr das in Zukunft anders angehen?

das ist imerm eine Abwägung zwischen Risiko und dem Aufwand, der für das neu aufsetzen benötigt wird. Den Aufwand kann man sehr stark reduzieren, indem man ein Image-Backup vom System nacht und dann regelmäßig Backups von den Daten.

mit der Neuinstallation ist man zwar auf der sicheren Seite, aber wenn die zeit Geld kostet, summiert sich das auch auf dauer. Deswegen würde ich individuel abwägen und es vom Ergebnis der "Dreisprungs"
  • desinfect
  • AdwCleaner
  • Malwarebytes Antimalware
  • HitmanPro
abhängig machen.

lks