Ich würde sehr gern wissen wollen, was evtl. abgelaufen sein könnte. Auch insbesondere in Hinblick auf Sophos. Ich bin relativ ernüchtert darüber, dass auf dem Offline-Rechner der Defender sofort abgesprungen ist und das File in Quarantäne schickte.

Auf dem betroffenen Rechner hingegen kam (jedenfalls) für den Benutzer keine Reaktion seitens Sophos. Der Defender war deaktiviert. Warum, das kann ich nicht sagen. Vllt. weil ein externes Virenprogramm aktiv ist. Oder der Nutzer hat ihn bewusst deaktiviert.

Was steckt eigentlich hinter so einem hta-file direkt? Ist das eine neue Methodik?
Bisher kannte ich nur die Variante, dass die Malware als "Nicht-exe" heruntergeladen wird, sich in exe umbenennt und dann die Arbeit beginnt...somit auch bei den Prozessen auffällt.
Scheint hier aber was anderes zu sein.

Gern können wir den Rechner/das System analysieren ;)
Ich kann die Logfiles von Sophos auch gern hier raufladen.

Das doc möchte ich ungern verbreiten. Aber die Codezeilen der Makros als Text wäre denkbar.


Wie machen wir weiter? Ich bin sehr lernwillig.

Ich versteh dieses ganze Herumgeeier von dir nicht mehr. Vorhin sagtest du noch du willst auf jeden Fall den rechner neu aufsetzen. Jetzt kommt wieder ein neuer Thread von dir und keiner weiß mehr was du eigentlich willst. Ist das coronabedingte Langeweile bei dir?

Ich habe bisher nicht Herumgeeiert und langweilig ist mir auch nicht!
Hatte bereits zum Anfang erwähnt, dass ich gern wissen will was abgelaufen ist und ob Sophos was registriert hat oder nicht. Würde zu gern das Nachvollziehen und der Rechner ist jetzt sowieso on-Hold.

Ich werde ihn dann schon neu aufsetzen, um safe zu sein. Aber das passiert nicht in den nächsten Tagen. Und weshalb den jetzigen Zustand nicht nutzen. Dann weiß ich evtl. auch, ob das neue System wieder mit Sophos oder einem anderen AV-Programm ausgestattet wird.

Tut mir Leid, wenn ich mit jedem Post deinen Unmut auf mich ziehe.

Sieht mir auch etwas nach coronabedingeter Langeweile aus. Ansonsten sehe ich die ganze Geschichte im kommerziellen Umfeld. Dafür sind die Admins des Vereins zuständig.
Um zu sehen, was hier Phase ist, wäre ein Hochladen der Datei zu Virustotal eine Option.

Ich sehe das mittlerweile ähnlich.

Einerseits wird von einer Neuinstallation gesprochen, andererseits möchte man wissen, was die Malware macht, obwohl die Voraussetzungen dafür einfach nicht vorliegen. Konkrete Informationen möchte man aber auch nicht preisgeben.

Wieso sollte der TO uns diese Info weitergeben? Wenn er Informationen hätte weitergeben wollen, wäre das doch schon längst geschehen. ;)

Ich hatte ja mehrfach gebeten mir zu sagen, was für Informationen Ihr benötigt!
Ich verstehe die Kritik gerade nicht.

Ich werde morgen die gezipte doc-Datei mit dem Kennwort posten.
Soll ich alle gefundenen Logfiles hier aufspielen? Oder nur bestimmte?

*hmm

Wir wollen die Datei nicht, Du sollst sie nach virustotal hochladen und uns das Ergebnis posten. Schreiben wir so undeutlich?

Du hättest hier mal die Hinweise für Hilfesuchende lesen können. Oder ist das zuviel verlangt, als Hilfesuchender die FAQ zu beachten?
Dir wurde gesagt, dass ohne Infos nix gesagt werden kann außer kann sein oder kann nicht sein.

Aber das Thema ist eh durch. Du willst eine Neuinstallation machen.

Fassen wir zusammen:


1.
An einer Bereinigung bist du nicht interessiert, also können wir nicht helfen.

2.
Es fehlen Kenntnisse zur Analyse von Malware, also ist das sinnfrei.

3.
Informationen willst du nicht bereitstellen, also können wir nicht helfen.

4.
Du möchtest eine Neuinstallation durchführen. Dann mach das.



Hier ist jetzt Schluss. Thema beendet.