Hallo zusammen,

ich habe auf meinem Hauptrechner von Anfang an Avira installiert und (nach meinem Kenntnisstand) penibel darauf geachtet mir (dem PC) nichts einzufangen. Spybot Search and Destroy kam irgendwann auch dazu.

- Windows alle Updates vorhanden (automatisch)
- Avira ständig aktualisiert und laufen gelassen
- Spybot Search and Destroy ständig aktualisiert und laufen gelassen

Nun zum eigentlichen:

- Regelmässig Komplett-Backup des Systems/Festplatte durch AOMEI Backupper auf zusätzliche interen Backupfestplatte (da aber nie Probleme auftraten, habe ich die Ältesten auch regelmässig gelöscht)
- Zusätzlich auch Backups aller benötigten Dateien/Ordner - auf selber interner Backup Festplatte

Diese interne Backup Festplatte wird regelmässig auf eine Externe Festplatte gesichert.

Ich bin also nicht zwingend auf das Windows-System-Festplatten-Komplett-Backup angewiesen, da alles zusätzlich vorhanden ist.

Problem: Fast alle Backups sind verschlüsselt! Entweder durch AOMEI oder VeryCrypt Container.


Was ist denn überhaupt eigentlich los?

Antwort: Ich habe ein frisch installiertes Windows 10 Notebook und daran die externe Festplatte mit den Backups meines Hauptrechners angeschlossen und per AOMEI Backupper eine verschlüsselte Ordner/Datei-Sicherung auf das Notebook wiederhergestellt.
Während AOMEi fleissig meine Daten auf das Notebook gespielt hat meldet sich Windows Defender mit wohl äusserst heikler Malware die aufgetaucht ist.

Auf dem Hauptrechner kam nie eine Meldung diesbezüglich und ich bin mit dem Latein am Ende wie das passieren konnte, trotz AVIRA und Spybot S+D.

Da einer der zwei Funde laut Recherche, Passwörter ausspioniert und/oder auch Dateien verschlüsseln kann und Geld erpressen kann - bin ich natürlich gerade total aufgekratzt.... aber auf dem Hauptrechner von dem die Backups stammen ist nie was passiert!


Zusatzinfos: Mein System am Hauptrechner ist mit Veracrypt verschlüsselt (evtl kann da Malware nicht so einfach Schaden anrichten?)


Meine Frage ist nun, gibt es z.B. Linux Live USB Sticks, mit denen ich meine Externe HDD von dem Befall befreien kann?


Problematik ist natürlich: Ich müsste auf einem Windows System das infiziert werden darf, alle verschlüsselten Backups (Verycrypt und AOMEI) sicherlich erst entschlüsseln und alles auf eine externe Festplatte packen - weil Linux zumindest mit AOMEI Verschlüsselung wahrscheinlich nicht zurecht kommt und zudem das AOMEI Image wahrscheinlich beschädigt würde, wenn es direkt bearbeitet werden würde?!

Dann (hoffentlich) den Befall beseitigen und danach auf ein sauber und neu installiertes Windows zurück spielen und wie gehabt verschlüsseln mit Vera und AOMEI wie es vorher war. (Ich verschlüssel prinzipiell quasi immer)


Ich bin mit einem Raid Backup früher schon mal auf die Schnauze gefallen und verlor alle Daten...

Diesmal dachte ich, ich mache es richtig - mit zwei Festplatten (eine intern und eine extern) auf der regelmässig Backups gemacht werden, verschlüssel immer extra alles und wenn es da jetzt nichts zu retten gäbe... frage ich mich langsam wie es überhaupt möglich sein soll sichere Backups zu machen....


Was ich mir wünsche:

Dieses Notebook bei dem die zwei Trojaner gefunden wurden (siehe Ende der Nachricht) ist mir egal. D.h. mir gehts jetzt nicht darum diese jungfräuliche Installation zu retten. Nachdem Defender die Dateien entfernt hat ist nichts mehr passiert (Neutart, Scans etc). Mir geht es die Rettung meiner Backups! D.h. ich müsste die Externe Festplatte wahrscheinlich erst mit den entschlüsselten Backups speisen und dann dort das Möglichste tun um hoffentlich keine Daten zu verlieren!

Deshalb frage ich nach einer Angel - und nicht nach dem Fisch :-) - würde mich auch an das Thema trauen. Ich hatte nur den Fall noch nie!

Was für ein USB Betriebssystem würdet ihr mir raten mit welchen Tools?


Hier die zwei Funde:

Das eine war Meterpreter... :

Code: Alles auswählenAufklappen

ATTFilter

Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         14.04.2019 13:06:38
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DESKTOP-MD688FN
Beschreibung:
Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Meterpreter.gen!C&threatid=2147725332&enterprise=0
 	Name: Trojan:Win32/Meterpreter.gen!C
 	ID: 2147725332
 	Schweregrad: Schwerwiegend
 	Kategorie: Trojaner
 	Pfad: file:_C:\Windows\Temp\00000001-F76A9CF3
 	Erkennungsursprung: Lokaler Computer
 	Erkennungstyp: Konkret
 	Erkennungsquelle: Echtzeitschutz
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe
 	Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0
 	Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4
Ereignis-XML:
<Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" />
    <EventID>1116</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2019-04-14T11:06:38.093191600Z" />
    <EventRecordID>73</EventRecordID>
    <Correlation />
    <Execution ProcessID="2496" ThreadID="4776" />
    <Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
    <Computer>DESKTOP-MD688FN</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Product Name">%%827</Data>
    <Data Name="Product Version">4.8.10240.17443</Data>
    <Data Name="Detection ID">{B4C091D7-701E-414F-9AEE-5A72E3735055}</Data>
    <Data Name="Detection Time">2019-04-14T11:06:36.005Z</Data>
    <Data Name="Unused">
    </Data>
    <Data Name="Unused2">
    </Data>
    <Data Name="Threat ID">2147725332</Data>
    <Data Name="Threat Name">Trojan:Win32/Meterpreter.gen!C</Data>
    <Data Name="Severity ID">5</Data>
    <Data Name="Severity Name">Schwerwiegend</Data>
    <Data Name="Category ID">8</Data>
    <Data Name="Category Name">Trojaner</Data>
    <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&amp;name=Trojan:Win32/Meterpreter.gen!C&amp;threatid=2147725332&amp;enterprise=0</Data>
    <Data Name="Status Code">1</Data>
    <Data Name="Status Description">
    </Data>
    <Data Name="State">1</Data>
    <Data Name="Source ID">3</Data>
    <Data Name="Source Name">%%818</Data>
    <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data>
    <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data>
    <Data Name="Unused3">
    </Data>
    <Data Name="Path">file:_C:\Windows\Temp\00000001-F76A9CF3</Data>
    <Data Name="Origin ID">1</Data>
    <Data Name="Origin Name">%%845</Data>
    <Data Name="Execution ID">1</Data>
    <Data Name="Execution Name">%%813</Data>
    <Data Name="Type ID">0</Data>
    <Data Name="Type Name">%%822</Data>
    <Data Name="Pre Execution Status">0</Data>
    <Data Name="Action ID">9</Data>
    <Data Name="Action Name">%%887</Data>
    <Data Name="Unused4">
    </Data>
    <Data Name="Error Code">0x00000000</Data>
    <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data>
    <Data Name="Unused5">
    </Data>
    <Data Name="Post Clean Status">0</Data>
    <Data Name="Additional Actions ID">0</Data>
    <Data Name="Additional Actions String">No additional actions required</Data>
    <Data Name="Remediation User">
    </Data>
    <Data Name="Unused6">
    </Data>
    <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data>
    <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data>
  </EventData>
</Event>
         

Das andere der hier:

Code: Alles auswählenAufklappen

ATTFilter

Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         14.04.2019 13:06:35
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DESKTOP-MD688FN
Beschreibung:
Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.A!rfn&threatid=2147694182&enterprise=0
 	Name: Trojan:Win32/Skeeyah.A!rfn
 	ID: 2147694182
 	Schweregrad: Schwerwiegend
 	Kategorie: Trojaner
 	Pfad: file:_C:\Windows\Temp\00000001-F759004E
 	Erkennungsursprung: Lokaler Computer
 	Erkennungstyp: Konkret
 	Erkennungsquelle: Echtzeitschutz
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe
 	Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0
 	Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4
Ereignis-XML:
<Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" />
    <EventID>1116</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2019-04-14T11:06:35.735818000Z" />
    <EventRecordID>72</EventRecordID>
    <Correlation />
    <Execution ProcessID="2496" ThreadID="4776" />
    <Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
    <Computer>DESKTOP-MD688FN</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Product Name">%%827</Data>
    <Data Name="Product Version">4.8.10240.17443</Data>
    <Data Name="Detection ID">{D90EF237-E6DD-48B4-AEF1-8F1170E88A5C}</Data>
    <Data Name="Detection Time">2019-04-14T11:06:35.724Z</Data>
    <Data Name="Unused">
    </Data>
    <Data Name="Unused2">
    </Data>
    <Data Name="Threat ID">2147694182</Data>
    <Data Name="Threat Name">Trojan:Win32/Skeeyah.A!rfn</Data>
    <Data Name="Severity ID">5</Data>
    <Data Name="Severity Name">Schwerwiegend</Data>
    <Data Name="Category ID">8</Data>
    <Data Name="Category Name">Trojaner</Data>
    <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&amp;name=Trojan:Win32/Skeeyah.A!rfn&amp;threatid=2147694182&amp;enterprise=0</Data>
    <Data Name="Status Code">1</Data>
    <Data Name="Status Description">
    </Data>
    <Data Name="State">1</Data>
    <Data Name="Source ID">3</Data>
    <Data Name="Source Name">%%818</Data>
    <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data>
    <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data>
    <Data Name="Unused3">
    </Data>
    <Data Name="Path">file:_C:\Windows\Temp\00000001-F759004E</Data>
    <Data Name="Origin ID">1</Data>
    <Data Name="Origin Name">%%845</Data>
    <Data Name="Execution ID">1</Data>
    <Data Name="Execution Name">%%813</Data>
    <Data Name="Type ID">0</Data>
    <Data Name="Type Name">%%822</Data>
    <Data Name="Pre Execution Status">0</Data>
    <Data Name="Action ID">9</Data>
    <Data Name="Action Name">%%887</Data>
    <Data Name="Unused4">
    </Data>
    <Data Name="Error Code">0x00000000</Data>
    <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data>
    <Data Name="Unused5">
    </Data>
    <Data Name="Post Clean Status">0</Data>
    <Data Name="Additional Actions ID">0</Data>
    <Data Name="Additional Actions String">No additional actions required</Data>
    <Data Name="Remediation User">
    </Data>
    <Data Name="Unused6">
    </Data>
    <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data>
    <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data>
  </EventData>
</Event>
         

Danke Euch!

Zitat:

Zitat von Basti81

ich habe auf meinem Hauptrechner von Anfang an Avira installiert und (nach meinem Kenntnisstand) penibel darauf geachtet mir (dem PC) nichts einzufangen. Spybot Search and Destroy kam irgendwann auch dazu.

Und von beiden Programmen wird schon lange abgeraten. Spybot ist einfach nur überflüssig seit locker 10 Jahren, Avira hat sein Vertrauen komplett verspielt als die damals mit Ask zusammenarbeiten mussten und mittlerweile ist der Windows Defender so gut, dass man nicht nur ein anderes AV nicht mehr wirklich braucht, sondern sogar von anderen AVs dringend abraten muss. Die einzige Software die man noch empfehlen kann wäre Emsisoft AV und Malwarebytes.

Zitat:

Zitat von Basti81

Problem: Fast alle Backups sind verschlüsselt! Entweder durch AOMEI oder VeryCrypt Container.

Das ist überhaupt nicht nachvollziehbar warum das angeblich ein so großes Problem sei.

Zitat:

Zitat von Basti81

Während AOMEi fleissig meine Daten auf das Notebook gespielt hat meldet sich Windows Defender mit wohl äusserst heikler Malware die aufgetaucht ist.

Auf dem Hauptrechner kam nie eine Meldung diesbezüglich und ich bin mit dem Latein am Ende wie das passieren konnte, trotz AVIRA und Spybot S+D.

Ich versteh nicht, warum du dir die Funde nicht mal ein auch nur ein paar Sekunden ansiehst. Da geht doch endeutig heraus, dass Windows Defender Avira-Bestandteile bemängelt. Und das ist auch kein Wunder, denn von zwei aktiven AVs wurde schon IMMER generell abgeraten, du musst aber manuell und mit Vorsatz Windows Defender zusätzlich zu Avira aktiviert haben.

Hau diesen Müll von Avira und Spybot runter. Dann sehen wir weiter.

Zitat:

Zitat von cosinus

Und von beiden Programmen wird schon lange abgeraten. Spybot ist einfach nur überflüssig seit locker 10 Jahren, Avira hat sein Vertrauen komplett verspielt als die damals mit Ask zusammenarbeiten mussten und mittlerweile ist der Windows Defender so gut, dass man nicht nur ein anderes AV nicht mehr wirklich braucht, sondern sogar von anderen AVs dringend abraten muss. Die einzige Software die man noch empfehlen kann wäre Emsisoft AV und Malwarebytes.

Hey danke für die Antwort! Also ich dachte immer die Windows eigenen Sachen kann man vergessen. D.h. ich brauch tatsächlich nur den Defender?

Zitat:

Zitat von cosinus

Das ist überhaupt nicht nachvollziehbar warum das angeblich ein so großes Problem sei.

Hmmm meine Denke war: Ich muss über ein USB (Linux?) Stick auf die Festplatte zugreifen um sie vom Befall säubern zu können. Da die Dateien/Ordner z.B. mit Aomei verschlüsselt wurden, wird so ein Linux System damit nichts anfangen können, zumal ja ohne Entschlüsselung mit Passwort eh keinerlei Zugriff möglich sein sollte oder?

D.h. ich müsste wenn es so einen Weg gibt, erst alles entschlüsseln und entpacken - über diese Daten dann den Check durchführen. Was dazu führt dass ich sie auf einem Windows System vorher alle entschlüsseln/entpacken muss - was dann zu sofortigem Befall dieses Systems führen würde (wäre kein Problem = extra computer mit neuer Win Installation).

Zitat:

Zitat von cosinus

Ich versteh nicht, warum du dir die Funde nicht mal ein auch nur ein paar Sekunden ansiehst. Da geht doch endeutig heraus, dass Windows Defender Avira-Bestandteile bemängelt. Und das ist auch kein Wunder, denn von zwei aktiven AVs wurde schon IMMER generell abgeraten, du musst aber manuell und mit Vorsatz Windows Defender zusätzlich zu Avira aktiviert haben.

Hau diesen Müll von Avira und Spybot runter. Dann sehen wir weiter.

Ja ich habe das gesehen, aber konnte mit der Meldung nichts anfangen.

Kannst du so nett sein und für mich übersetzen? "Ich hab die zwei Trojaner nicht?"

Oder was ist jetzt zu bemängeln an Avira und wieso wird mir das als diese zwei Trojaner angezeigt, die es laut Recherche ja tatsächlich gibt?


OK und zu Avira und Defender: Nein ich hab da gar nichts gemacht, ehrlich gesagt ich kannte den Defender nicht mal! Weil ich nie Windows eigene Software (wie Bitlocker) benutze wenns möglich war. Der Defender hat jetzt erst nicht mehr funktioniert (deaktiviert) nachdem ich Spybot noch drauf gepackt hab um damit mein System auch noch zu scannen...


Falscher Alarm wäre die schönste Antwort! Und wenn Defender wirklich taugt - wäre das auch klasse! Kann man sich den Rest sparen!


Danke derweil.

Also sry aber langsam nervt es echt,ich kann das mit dem Windows Defender nicht mehr hören und ich hab langsam auch keine Lust mehr dazu meine Aussagen zu wiederholen. Sie sind schon beim ersten Mal wahr. Deinstalliere Avira und Spybot und verwende nur noch Windows Defender und Malwarebytes für wöchentiche Scans.

Gib Bescheid wenn der Mist deinstalliert wurde.