Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: EMOTET: Rechner nach Emotet-Befall clean?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 13.12.2020, 12:51   #1
uriTroja
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Nach dem Öffnen einer Email meines Vorgesetzten mit ZipDatei im Anhang habe ich diesen geöffnet auch einen geforderten Code, der in der Email mitgeschickt wurde, eingegeben. Aufgrund eines Alarm des Virenscanners (dazu sind leider keine Daten mehr vorhanden) habe ich den Rechner vom Netzt genommen. Etwas später kam eine Email meines Chefs mit der Info, dass die Email nicht von ihm ist und einen Virus enthält. Am nächsten Tag habe ich den PC zum PC-Spezialisten (Fachgeschäft) gebracht. Drei Tage später erhielt ich den angeblich cleanen PC, allerdings ohne Angabe, welcher Virus gefunden wurde, zurück.
Ein paar Tage später erschienen sehr auffällige schwarze Bildschirmbereiche bei der gleichzeitigen Anwendung von word und einer software des Klettverlags für Schulbücher.
Daraufhin habe ich den PC von einem anderen IT-Spezialisten scannen lassen. Er hat nichts finden können.
Etwa zwei Wochen später bekam ich die Info von meinem Chef, dass es sich bei dem Virus um Emotet handelt. Daraufhin bin ich nochmal zu dem PC-Spezialisten. Wieder konnte er nichts finden. Da inzwischen aber auch mein Laptop, welches sich im gleichen Wlan wie der PC befand, auch diese Störungen bei der Verwendung von word und Klett aufwies, beschloss ich beide Rechner vom Spezialisten neu aufsetzen zu lassen.
Leider sind die "Symptome" auch danach wieder aufgetreten. Ich beschloss die Symptome zu ignorieren. Ansonsten sind die Rechner ja arbeitsfähig.
Gestern stellte sich aber zufällig über "haveibeenpwned.com" heraus, dass meine Emailadresse gehackt wurde.
Ich habe den Verdacht, dass über Emotet eine Schadsoftware nachgeladen wurde, welche sich im BIOS eingenistet hat und deswegen auch durch das Neuaufsetzen nicht gelöscht wurde und sich möglicherweise auch über unser Wlan (wird auch von weiteren Rechnern genutzt) verbreiten konnte.
Ich bin inzwischen völlig verunsichert und würde mich über fachkundige Hilfe freuen.
Angehängte Dateien
Dateityp: txt FRST.txt (18,1 KB, 24x aufgerufen)
Dateityp: txt Addition.txt (25,5 KB, 24x aufgerufen)
Dateityp: pdf Screenshot Windows Defender.pdf (311,7 KB, 22x aufgerufen)

Alt 13.12.2020, 20:54   #2
M-K-D-B
/// TB-Ausbilder
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Deine Beschreibung des Infektionsweges deutet sehr stark auf Emotet hin. Mit der Neuinstallation aller betroffenen Windows Systeme in deinem Netzwerk solltest du Emotet allerdings den Gar aus gemacht haben. Emotet überlebt eine saubere Neuinstallation nicht. Sofern du deinen Router zurückgesetzt und alle Passwörter geändert hast, sollte alles passen.

Theoretisch gibt es zwar Malware, die sich im BIOS einnistet (UEFI Rootkit). In so einem Fall kannst du deine Hardware aber gleich wegschmeißen, weil eine Bereinigung kaum möglich ist. Emotet besitzt allerdings diese Funktion nicht.

Die von dir beschriebenen Schilderungen haben meines Erachtens nichts mit Malware zu tun. Die Logdateien sind sauber (was nach einer Neuinstallation auch nicht anders zu erwarten war).
__________________

__________________

Alt 14.12.2020, 19:44   #3
uriTroja
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Hallo Matthias,
vielen Dank für deine Antwort.
Meine Sorge besteht darin, dass sich tatsächlich eine Malware nachgeladen hat, da zwischen dem Emotet-Befall und dem Plattmachen des Rechners mehrere Wochen vergangen sind und die Störungen bei word in Verbindung mit der Klett-Software zuvor nie vorgekommen waren. Zudem wurde ja meine Emailadresse gehackt.
Ich hatte ja geschrieben, dass ich den Rechner zunächst zum "PC-Spezialisten" gebracht habe. Der hat aber den Rechner nicht neu aufgestzt, sondern "gereinigt". Allerdings konnte mir der Herr an der Kasse, als ich den PC abgeholt habe, nicht sagen, welcher Virus denn gefunden und beseitigt wurde.
Den Rechner habe ich erst etwa drei Wochen später neu aufsetzen lassen, als ich erfahren habe, dass es sich um Emotet handelt.
Gibt es denn eine Möglichkeit festzustellen, ob sich Malware auf dem Rechner befindet?
Zudem habe ich bzw. mein Partner den Router (WLAN-Funknetz (SSID) FRITZ!Box 6591 CableUC) nicht zurück gesetzt. Wir haben lediglich das Wlan-Passwort geändert. Er ist der Administrator des Routers. Auf meinem Rechner wurde das Administrator-Passwort nie benutzt. Ich bin nur WLAN-Nutzer. Mein Rechner verfügt also über keine Rechte bzgl. des Routers. Kann der Router deswegen trotzdem befallen sein? Kann man dieses ggf. feststellen?

Über weitere Hilfe bin ich sehr dankbar.

Uri
__________________

Alt 14.12.2020, 20:20   #4
felix1
/// Helfer-Team
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Zitat:
Zitat von M-K-D-B Beitrag anzeigen


Die von dir beschriebenen Schilderungen haben meines Erachtens nichts mit Malware zu tun. Die Logdateien sind sauber (was nach einer Neuinstallation auch nicht anders zu erwarten war).
Das hast Du aber schon gelesen?

Zitat:
Zitat von uriTroja Beitrag anzeigen
Zudem habe ich bzw. mein Partner den Router (WLAN-Funknetz (SSID) FRITZ!Box 6591 CableUC) nicht zurück gesetzt. Uri
Und warum nicht?
Alle Möglichkeiten nutzen.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 14.12.2020, 21:59   #5
M-K-D-B
/// TB-Ausbilder
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Nochmal:

Zitat:
Gibt es denn eine Möglichkeit festzustellen, ob sich Malware auf dem Rechner befindet?
Wenn du eine saubere Neuinstallation durchgeführt hast, kann da keine Malware mehr drauf sein.
Die Logdateien von FRST sehen sauber aus, ich kann nichts in den Logdateien erkennen.

Emotet ist nicht bekannt dafür, den Router zu infizieren, sondern dass es sich über das Netzwerk auf andere Windows Systeme ausbreiten kann.

Ich würde einfach alle Passwörter (WLAN, E-Mail, Online-Banking, Online-Shopping, etc.) ändern! Emotet versucht u. a. im großen Maßstab an derartige Daten zu kommen.








Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.
Zitat:
Platform: Windows 10 Home Version 2004
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.


Alt 15.12.2020, 15:47   #6
uriTroja
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Hallo Matthias,
deine Antwort beruhigt mich sehr.
Kannst du mir noch sagen, ob meine Dateien befallen sein können?
Ich habe alle Dateien auf einer externen Festplatte bzw. einem Stick gespeichert. Ich bin bisher davon ausgegangen, dass pdf-Dateien und Bilder sicher sind. Kann ich auch alte office-Dateien wieder benutzen ohne, dass sich mein Rechner reinfiziert? Bzw. kann ich gefahrlos meine Speichermedien in einem anderen Rechner benutzen?
Die Anleitung zu Cleanup & Maßnahmen zur Absicherung nehme ich mir für heute Abend vor

Nochmal vielen Dank für deine Hilfe. Ist für mich echt unheimlich viel wert und ich spende euch gerne was.

Uri
Angehängte Dateien
Dateityp: txt Fixlog.txt (528 Bytes, 11x aufgerufen)

Alt 15.12.2020, 17:06   #7
M-K-D-B
/// TB-Ausbilder
 
EMOTET: Rechner nach Emotet-Befall clean? - Standard

EMOTET: Rechner nach Emotet-Befall clean?



Zitat:
Ich habe alle Dateien auf einer externen Festplatte bzw. einem Stick gespeichert. Ich bin bisher davon ausgegangen, dass pdf-Dateien und Bilder sicher sind.
Das stimmt auch. PDFs und Bilder sind ok.



Zitat:
Kann ich auch alte office-Dateien wieder benutzen ohne, dass sich mein Rechner reinfiziert? Bzw. kann ich gefahrlos meine Speichermedien in einem anderen Rechner benutzen?
Klar kannst du Office Dateien wieder nutzen. Die infizierte Datei, in der sich der Emotet-Dropper als Macro versteckt hatte, wirst du ja wohl nicht behalten, sondern gelöscht haben... aber ich denke, das ist klar.



Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu EMOTET: Rechner nach Emotet-Befall clean?
alarm, anderen, anhang, anwendung, aufsetzen, bios, bios-befall, clean, code, daten, email, emailadresse, emotet, gehackt, gelöscht, klett-verlag-software, laptop, neu, nichts, rechner, scan, scannen, software, verdacht, virenscan, virus, wlan, zufällig



Ähnliche Themen: EMOTET: Rechner nach Emotet-Befall clean?


  1. Windows 10: TrojanDownloader:O97M/Emotet.CSK!MTB
    Plagegeister aller Art und deren Bekämpfung - 09.10.2020 (10)
  2. Emotet: Erste Angriffswelle nach fünfmonatiger Pause
    Nachrichten - 18.07.2020 (0)
  3. Emotet: Arbeit am Berliner Kammergericht nach Monaten weiter eingeschränkt
    Nachrichten - 01.07.2020 (0)
  4. heise-Angebot: secIT 2020: Was tun bei Emotet-Befall?
    Nachrichten - 04.03.2020 (0)
  5. Emotet: Sicherheitsrisiko Microsoft Office 365
    Nachrichten - 24.02.2020 (0)
  6. Mutmaßlicher Emotet-Befall: Trojaner wütet in Berliner Kammergericht
    Nachrichten - 02.10.2019 (0)
  7. Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht
    Nachrichten - 17.09.2019 (0)
  8. Sommerferien vorbei – Emotet ist zurück
    Nachrichten - 23.08.2019 (0)
  9. Win 7 - Trojan.Emotet
    Log-Analyse und Auswertung - 23.06.2018 (18)
  10. Emotet / Artemis Virus Windows 7
    Log-Analyse und Auswertung - 16.10.2017 (14)
  11. Windows 7: 4 Trojaner Emotet.A.128; Spy.Emotet.knob; PDFDown-J; VB-IOO
    Log-Analyse und Auswertung - 08.01.2016 (20)
  12. Aus Email Anhang von DHL TR/Emotet.A.92 installiert
    Log-Analyse und Auswertung - 11.05.2015 (21)
  13. Windows 7: TR/Emotet.A.116 aus Mailanhang Status_DHL_Sendungsverfolgung__29__04__2015.zip
    Log-Analyse und Auswertung - 01.05.2015 (3)
  14. Emotet-Trojaner nach Anhangöffnung vodafone spam
    Plagegeister aller Art und deren Bekämpfung - 03.04.2015 (15)
  15. TR/Emotet.L
    Plagegeister aller Art und deren Bekämpfung - 20.03.2015 (16)
  16. Windows 7: Avira findet TR/Emotet.A.67 nach Telekom-Rechnung
    Log-Analyse und Auswertung - 28.12.2014 (9)
  17. Win XP - tugspay.a, emotet.c & nitol.b
    Log-Analyse und Auswertung - 22.11.2014 (9)

Zum Thema EMOTET: Rechner nach Emotet-Befall clean? - Nach dem Öffnen einer Email meines Vorgesetzten mit ZipDatei im Anhang habe ich diesen geöffnet auch einen geforderten Code, der in der Email mitgeschickt wurde, eingegeben. Aufgrund eines Alarm des - EMOTET: Rechner nach Emotet-Befall clean?...
Archiv
Du betrachtest: EMOTET: Rechner nach Emotet-Befall clean? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.