Scheinbar Emotet Virus - Daten aus Backup sicher kopieren?
 

PC wurde mit allen Scannern der CT Desinfect (Eset, F-Secure, Kaspersky und Sophos) gescannt und keine Ergebnisse wurden gefunden. Aus einer externen Quelle wurde jetzt der Emotet Virus erkannt. (Schulbehörde)

Nun soll der PC neu aufgesetzt werden. Wie stelle ich sicher, dass ich keine Daten aus dem Backup kopiere, die mit dem Emotet Virus behaftet sind?

Indem man nur sichere Dateitypen zurückkopiert, keine ausführbaren Dateien. Also keine Programme, Spiele, oder Setups.

OK gut zu wissen ...
Können Macro Dateien (Office) auch betroffen sein?
D.h. normale Office Dateien (.docx, .xlsx, ...) oder Bilder sind von Emotet nicht betroffen.

Was sind gute CheckPropgramme um den Emotet aufzuspüren ... EmoCheck habe ich gefunden ..
Bei FRST bin ich mir nicht sicher, wo ich hier in den Ergebnisdateien suchen kann.

Selbstverständlich können in MSO-Dateien Makros enthalten und diese bösartig sein. Das ist ja Programmcode. Deswegen nur das zurücksichern, was du auch kennst und wo du sicher bist, dass das sauber ist.

Was sind gute CheckPropgramme um den Emotet aufzuspüren ... EmoCheck habe ich gefunden ..
Bei FRST bin ich mir nicht sicher, wo ich hier in den Ergebnisdateien suchen kann.

Bei einem neu aufgesetzten System gibt es nichts zu analysieren. Es wurde dir auch eben erklärt, wie du den Befall aus den Backupdateien verhinderst.

Bevor ich aus der Aussage von Dritten, das es sich um einen Emotet handelt, das System neu aufsetze, hättte ich gern einen Nachweis, dass das System wirklich betroffen ist.
Der PC zeigt bei der Bearbeitung von Programmen kurzzeitig scharze Fenster (CMD??) was evtl. das Vorhandensein von Malware zum Anlass haben könnte. Schön wäre aber konket die Stellen benannt zu bekommen wo sich Malware eingenistet hat. Malwarebytes und ADWCleaner zeigten auch keine Ergebnisse. Was tun?

Den gibt es schon theoretisch nicht. Man kann die Nichtexistenz von Schädlingen nicht beweisen.

Heisst das Sie würden einfach mal auf Verdacht das System neu aufsetzen und wenn weitere Computer im Netzwerk sind diese gleich mit oder gibt es hier eine Wissenschaft zur Untersuchung der Geräte?
Ich hätte gern einfach einen Vorschlag zur Vorgehensweise von den Experten ...

Irgendwie verstehe ich dich nicht. Ist der PC jetzt befallen worden oder hat einfach irgendwer eine Vermutung in den Raum gelallert?

In den ersten Beiträgen wolltest du unbedingt den Rechner neu aufsetzen. Denn nur damit hat man ein 100% vetrauesnwürdiges System. Jetzt willst du das aber irgendwie doch nicht.

Was soll man eigentlich von dieser Aussage

genau halten? Warum postest du nicht einfach den exakten Wortlaut des Scanners oder was auch immer wer diese Meldung brachte?

OK Nochmal zur Geschichte
Ein Bekannter, Lehrer am Gymnasium hat einen PC den er für die Schule verwendet.
Nach Empfang einer Email (scheinbar vom Vorgesetzten) hat er den Anhang geöffnet und einen beiliegenden Code eingegeben. Hat seinen Fehler eigesehen und die Email und ZZIP Datei gelöscht.
Danach hat er den Computer beim Computershop scannen lassen ohne Befund.
Die Email vom Oberschulamt, dass eine Emotet Visus im Umlauf ist hat ihn dann zusätzlich verunsichert.

Er hat sich dann bei mir gemeldet, (kennt sich ja auch mit Computern aus :-) und ich habe mit Desinfect, Malwarebytes, Adware Clenaer Scanns gemacht, wobei nur folgende Funde zu verzeichnen waren
1 unterwünschtes Programm ( Chip-Downloader, und 3 Adware Einträge die nach Quarantäne gelöscht wurden)

Da der Bekannte nun immer noch seltsame Effekte hat wie Bildschirm wird immer wieder während der Arbeit kurz schwarz auch schon auf weiteren PCs im Netzwerk, suche ich eine Möglichkeit einen zuverlässigen Scan zu bekommen, um dem Bekannten zu versichern das soweit alles gut aussieht.
deswegen der Ruf nach Hilfe bei den Experten

Diese Infos reichen ebenfalls nicht aus.
Es geht nicht heraus, was in dieser ZIP-Datei drin war, eine EXE-Datei eine DOC oder XLS oder was anderes. Wurde die EXE per Doppelklick ausgeführt ja/nein? Falls es eine DOC oder XLS war, wurde die geöffnet und die Makros abgenickt?


Kein Fund bedeutet aber nicht, dass der Computer sauber ist. Ihr wolltet den PC neu aufsetzen, also tut es.

Du kennst dich also so gut mit Computern aus? dann müsstest du doch hier nicht bei cosinus nachfragen, was zu tun ist:pfeiff: Mach einfach was dir cosinus empfohlen hat und mach es so wie er es dir geschrieben hat, oder lass es sein.

In der ZIP Datei war ein Word File
Nach Auspacken des ZIP Files kam eine Code Eingabe (habe ich jetzt auch noch nicht gesehen) und Beim Öffnen des Word Dokuments kam nur ein schwarzer Inhalt. Es wurde nicht gebeten die Macros zu aktivieren.

Den PC mache ich auf jeden Fall platt, aber was ist mit den anderen Geräten im Netzwerk?

Gibt scheinbar viel Zynismus hier im Board. Sachliche Fragen könnten doch auch sachliche Antworten bekommen?

Offenbar ist hier ein großes Missverständnis

Wir im Trojaner-Board haben uns auf die Bereinigung von Windows spezialisiert. Nichtdestotrotz haben hier einige auch etwas Ahnung von Linux und OS X, aber das heißt nicht, dass wir jedes OS bereinigen können.

Ich werde das intern weitergeben.