|
Plagegeister aller Art und deren Bekämpfung: Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.04.2019, 15:45 | #1 |
| Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) Hallo zusammen, ich habe auf meinem Hauptrechner von Anfang an Avira installiert und (nach meinem Kenntnisstand) penibel darauf geachtet mir (dem PC) nichts einzufangen. Spybot Search and Destroy kam irgendwann auch dazu. - Windows alle Updates vorhanden (automatisch) - Avira ständig aktualisiert und laufen gelassen - Spybot Search and Destroy ständig aktualisiert und laufen gelassen Nun zum eigentlichen: - Regelmässig Komplett-Backup des Systems/Festplatte durch AOMEI Backupper auf zusätzliche interen Backupfestplatte (da aber nie Probleme auftraten, habe ich die Ältesten auch regelmässig gelöscht) - Zusätzlich auch Backups aller benötigten Dateien/Ordner - auf selber interner Backup Festplatte Diese interne Backup Festplatte wird regelmässig auf eine Externe Festplatte gesichert. Ich bin also nicht zwingend auf das Windows-System-Festplatten-Komplett-Backup angewiesen, da alles zusätzlich vorhanden ist. Problem: Fast alle Backups sind verschlüsselt! Entweder durch AOMEI oder VeryCrypt Container. Was ist denn überhaupt eigentlich los? Antwort: Ich habe ein frisch installiertes Windows 10 Notebook und daran die externe Festplatte mit den Backups meines Hauptrechners angeschlossen und per AOMEI Backupper eine verschlüsselte Ordner/Datei-Sicherung auf das Notebook wiederhergestellt. Während AOMEi fleissig meine Daten auf das Notebook gespielt hat meldet sich Windows Defender mit wohl äusserst heikler Malware die aufgetaucht ist. Auf dem Hauptrechner kam nie eine Meldung diesbezüglich und ich bin mit dem Latein am Ende wie das passieren konnte, trotz AVIRA und Spybot S+D. Da einer der zwei Funde laut Recherche, Passwörter ausspioniert und/oder auch Dateien verschlüsseln kann und Geld erpressen kann - bin ich natürlich gerade total aufgekratzt.... aber auf dem Hauptrechner von dem die Backups stammen ist nie was passiert! Zusatzinfos: Mein System am Hauptrechner ist mit Veracrypt verschlüsselt (evtl kann da Malware nicht so einfach Schaden anrichten?) Meine Frage ist nun, gibt es z.B. Linux Live USB Sticks, mit denen ich meine Externe HDD von dem Befall befreien kann? Problematik ist natürlich: Ich müsste auf einem Windows System das infiziert werden darf, alle verschlüsselten Backups (Verycrypt und AOMEI) sicherlich erst entschlüsseln und alles auf eine externe Festplatte packen - weil Linux zumindest mit AOMEI Verschlüsselung wahrscheinlich nicht zurecht kommt und zudem das AOMEI Image wahrscheinlich beschädigt würde, wenn es direkt bearbeitet werden würde?! Dann (hoffentlich) den Befall beseitigen und danach auf ein sauber und neu installiertes Windows zurück spielen und wie gehabt verschlüsseln mit Vera und AOMEI wie es vorher war. (Ich verschlüssel prinzipiell quasi immer) Ich bin mit einem Raid Backup früher schon mal auf die Schnauze gefallen und verlor alle Daten... Diesmal dachte ich, ich mache es richtig - mit zwei Festplatten (eine intern und eine extern) auf der regelmässig Backups gemacht werden, verschlüssel immer extra alles und wenn es da jetzt nichts zu retten gäbe... frage ich mich langsam wie es überhaupt möglich sein soll sichere Backups zu machen.... Was ich mir wünsche: Dieses Notebook bei dem die zwei Trojaner gefunden wurden (siehe Ende der Nachricht) ist mir egal. D.h. mir gehts jetzt nicht darum diese jungfräuliche Installation zu retten. Nachdem Defender die Dateien entfernt hat ist nichts mehr passiert (Neutart, Scans etc). Mir geht es die Rettung meiner Backups! D.h. ich müsste die Externe Festplatte wahrscheinlich erst mit den entschlüsselten Backups speisen und dann dort das Möglichste tun um hoffentlich keine Daten zu verlieren! Deshalb frage ich nach einer Angel - und nicht nach dem Fisch :-) - würde mich auch an das Thema trauen. Ich hatte nur den Fall noch nie! Was für ein USB Betriebssystem würdet ihr mir raten mit welchen Tools? Hier die zwei Funde: Das eine war Meterpreter... : Code:
ATTFilter Protokollname: Microsoft-Windows-Windows Defender/Operational Quelle: Microsoft-Windows-Windows Defender Datum: 14.04.2019 13:06:38 Ereignis-ID: 1116 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter: Benutzer: SYSTEM Computer: DESKTOP-MD688FN Beschreibung: Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt. Weitere Informationen: hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Meterpreter.gen!C&threatid=2147725332&enterprise=0 Name: Trojan:Win32/Meterpreter.gen!C ID: 2147725332 Schweregrad: Schwerwiegend Kategorie: Trojaner Pfad: file:_C:\Windows\Temp\00000001-F76A9CF3 Erkennungsursprung: Lokaler Computer Erkennungstyp: Konkret Erkennungsquelle: Echtzeitschutz Benutzer: NT-AUTORITÄT\SYSTEM Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0 Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4 Ereignis-XML: <Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" /> <EventID>1116</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2019-04-14T11:06:38.093191600Z" /> <EventRecordID>73</EventRecordID> <Correlation /> <Execution ProcessID="2496" ThreadID="4776" /> <Channel>Microsoft-Windows-Windows Defender/Operational</Channel> <Computer>DESKTOP-MD688FN</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="Product Name">%%827</Data> <Data Name="Product Version">4.8.10240.17443</Data> <Data Name="Detection ID">{B4C091D7-701E-414F-9AEE-5A72E3735055}</Data> <Data Name="Detection Time">2019-04-14T11:06:36.005Z</Data> <Data Name="Unused"> </Data> <Data Name="Unused2"> </Data> <Data Name="Threat ID">2147725332</Data> <Data Name="Threat Name">Trojan:Win32/Meterpreter.gen!C</Data> <Data Name="Severity ID">5</Data> <Data Name="Severity Name">Schwerwiegend</Data> <Data Name="Category ID">8</Data> <Data Name="Category Name">Trojaner</Data> <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Meterpreter.gen!C&threatid=2147725332&enterprise=0</Data> <Data Name="Status Code">1</Data> <Data Name="Status Description"> </Data> <Data Name="State">1</Data> <Data Name="Source ID">3</Data> <Data Name="Source Name">%%818</Data> <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data> <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data> <Data Name="Unused3"> </Data> <Data Name="Path">file:_C:\Windows\Temp\00000001-F76A9CF3</Data> <Data Name="Origin ID">1</Data> <Data Name="Origin Name">%%845</Data> <Data Name="Execution ID">1</Data> <Data Name="Execution Name">%%813</Data> <Data Name="Type ID">0</Data> <Data Name="Type Name">%%822</Data> <Data Name="Pre Execution Status">0</Data> <Data Name="Action ID">9</Data> <Data Name="Action Name">%%887</Data> <Data Name="Unused4"> </Data> <Data Name="Error Code">0x00000000</Data> <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data> <Data Name="Unused5"> </Data> <Data Name="Post Clean Status">0</Data> <Data Name="Additional Actions ID">0</Data> <Data Name="Additional Actions String">No additional actions required</Data> <Data Name="Remediation User"> </Data> <Data Name="Unused6"> </Data> <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data> <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data> </EventData> </Event> Das andere der hier: Code:
ATTFilter Protokollname: Microsoft-Windows-Windows Defender/Operational Quelle: Microsoft-Windows-Windows Defender Datum: 14.04.2019 13:06:35 Ereignis-ID: 1116 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter: Benutzer: SYSTEM Computer: DESKTOP-MD688FN Beschreibung: Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt. Weitere Informationen: hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.A!rfn&threatid=2147694182&enterprise=0 Name: Trojan:Win32/Skeeyah.A!rfn ID: 2147694182 Schweregrad: Schwerwiegend Kategorie: Trojaner Pfad: file:_C:\Windows\Temp\00000001-F759004E Erkennungsursprung: Lokaler Computer Erkennungstyp: Konkret Erkennungsquelle: Echtzeitschutz Benutzer: NT-AUTORITÄT\SYSTEM Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0 Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4 Ereignis-XML: <Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" /> <EventID>1116</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2019-04-14T11:06:35.735818000Z" /> <EventRecordID>72</EventRecordID> <Correlation /> <Execution ProcessID="2496" ThreadID="4776" /> <Channel>Microsoft-Windows-Windows Defender/Operational</Channel> <Computer>DESKTOP-MD688FN</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="Product Name">%%827</Data> <Data Name="Product Version">4.8.10240.17443</Data> <Data Name="Detection ID">{D90EF237-E6DD-48B4-AEF1-8F1170E88A5C}</Data> <Data Name="Detection Time">2019-04-14T11:06:35.724Z</Data> <Data Name="Unused"> </Data> <Data Name="Unused2"> </Data> <Data Name="Threat ID">2147694182</Data> <Data Name="Threat Name">Trojan:Win32/Skeeyah.A!rfn</Data> <Data Name="Severity ID">5</Data> <Data Name="Severity Name">Schwerwiegend</Data> <Data Name="Category ID">8</Data> <Data Name="Category Name">Trojaner</Data> <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.A!rfn&threatid=2147694182&enterprise=0</Data> <Data Name="Status Code">1</Data> <Data Name="Status Description"> </Data> <Data Name="State">1</Data> <Data Name="Source ID">3</Data> <Data Name="Source Name">%%818</Data> <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data> <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data> <Data Name="Unused3"> </Data> <Data Name="Path">file:_C:\Windows\Temp\00000001-F759004E</Data> <Data Name="Origin ID">1</Data> <Data Name="Origin Name">%%845</Data> <Data Name="Execution ID">1</Data> <Data Name="Execution Name">%%813</Data> <Data Name="Type ID">0</Data> <Data Name="Type Name">%%822</Data> <Data Name="Pre Execution Status">0</Data> <Data Name="Action ID">9</Data> <Data Name="Action Name">%%887</Data> <Data Name="Unused4"> </Data> <Data Name="Error Code">0x00000000</Data> <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data> <Data Name="Unused5"> </Data> <Data Name="Post Clean Status">0</Data> <Data Name="Additional Actions ID">0</Data> <Data Name="Additional Actions String">No additional actions required</Data> <Data Name="Remediation User"> </Data> <Data Name="Unused6"> </Data> <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data> <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data> </EventData> </Event> Danke Euch! |
14.04.2019, 19:35 | #2 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)Zitat:
Zitat:
Zitat:
Hau diesen Müll von Avira und Spybot runter. Dann sehen wir weiter.
__________________ |
14.04.2019, 21:07 | #3 | |||
| Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)Zitat:
Zitat:
D.h. ich müsste wenn es so einen Weg gibt, erst alles entschlüsseln und entpacken - über diese Daten dann den Check durchführen. Was dazu führt dass ich sie auf einem Windows System vorher alle entschlüsseln/entpacken muss - was dann zu sofortigem Befall dieses Systems führen würde (wäre kein Problem = extra computer mit neuer Win Installation). Zitat:
Kannst du so nett sein und für mich übersetzen? "Ich hab die zwei Trojaner nicht?" Oder was ist jetzt zu bemängeln an Avira und wieso wird mir das als diese zwei Trojaner angezeigt, die es laut Recherche ja tatsächlich gibt? OK und zu Avira und Defender: Nein ich hab da gar nichts gemacht, ehrlich gesagt ich kannte den Defender nicht mal! Weil ich nie Windows eigene Software (wie Bitlocker) benutze wenns möglich war. Der Defender hat jetzt erst nicht mehr funktioniert (deaktiviert) nachdem ich Spybot noch drauf gepackt hab um damit mein System auch noch zu scannen... Falscher Alarm wäre die schönste Antwort! Und wenn Defender wirklich taugt - wäre das auch klasse! Kann man sich den Rest sparen! Danke derweil. |
15.04.2019, 02:26 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) Also sry aber langsam nervt es echt,ich kann das mit dem Windows Defender nicht mehr hören und ich hab langsam auch keine Lust mehr dazu meine Aussagen zu wiederholen. Sie sind schon beim ersten Mal wahr. Deinstalliere Avira und Spybot und verwende nur noch Windows Defender und Malwarebytes für wöchentiche Scans. Gib Bescheid wenn der Mist deinstalliert wurde.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) |
antivirus, ausspioniert, avira, clean, dateien, defender, error, externe festplatte, festplatte, file, frage, geld, gelöscht, infiziert, installation, langsam, malware, neu, notebook, rojaner gefunden, security, temp, trojaner, updates, usb, win32/skeeyah.a!rfn, windows |