Moin zusammen,

hatte vor einigen Tagen eine "unschöne Begegnung". Habe im Download-Ordner eine Date Namens "save.rar" gehabt. Darin war laut Defender eine Datei Namens token.gz, die wohl blockiert wurde. Hatte in diesem Moment wohl einen kleinen Aussetzer und habe Sie mit einem Doppelklick geöffnet, prompt kam die Meldung von Windows Defender: Trojan:Script/Wacatac.H!ml
Anbei ein Screenshot davon: https://ibb.co/QHGx3DD

Die daraus resultierende Aktion wurde in Quarantäne verschoben, die .rar-Datei verblieb dabei im Download-Ordner.

Habe dann die Datei bei Virustotal hochgeladen, anbei der Link: https://www.virustotal.com/gui/file/cc030ce332d17ea06e96b875eff334683524484720a9a765de45467b75a0c9e8?nocache=1

Im Nachgang habe ich die Quarantäne gelöscht, die Datei gelöscht und einen Scan mit dem Defender ausgeführt. Wollte das System dann sowieso einmal neu installieren zur Sicherheit und wollte über meinen Mac einen brotfähigen Windows-Stick erstellen. Musste aber erst einmal schauen, welcher meiner USB-Sticks leer ist. Also einen gesucht und erstmal an den PC angeschlossen (da ich NTFS am Mac nicht anschauen kann). Den Stick dann am Windows-PC formatiert, an den Mac angeschlossen und zur Vorsicht noch einmal formatiert, um dann den bootfähigen Stick zu erstellen. Hat natürlich nicht geklappt

Wollte eigentlich an dem befallenen Rechner keinen Bootstick erstellen, mir blieb dann aber nichts anderes über. Habe dann einfach mal die 30-Tage Version von ESET installiert, System gescannt, dann wieder deinstalliert und die 30-Tage Version von AVG installiert und nochmal gescannt. Beide nichts gefunden (wie Defender) und dann von diesem System den Stick erstellt.

Meine Fragen:
1. Könnt ihr mir mit den Infos aus dem Link von VirusTotal sagen, ob über meine Aktion mit dem USB-Stick eine Gefahr für meinen Mac bestehen könnte?
2. Muss ich mir Gedanken machen bzgl. der Erstellung des Sticks mit dem befallenen PC mit dem Media Creation Tool, dass der Trojaner sein Zelt in der Installation aufgestellt hat?

Hoffe, das ist alles verständlich erklärt. Da 3 Virenprogramme im Nachgang nichts mehr gefunden haben und auf Virustotal 21 verschiedene Ergebnisse angezeigt werden, bin ich ziemlich verwirrt als Viren-Laie.

Danke euch!

Zitat:

Die daraus resultierende Aktion wurde in Quarantäne verschoben, die .rar-Datei verblieb dabei im Download-Ordner.

Und wie bitte kommt die Datei da rein?
Solche Dateien erstellen sich nicht von allein im Downloadordner.
Und die alles entscheidende Frage: wurde der Mist geöffnet/entpackt und ausgeführt? Nur dann gibt es überhaupt einen Grund das System neu zu installieren.

Wo die Datei herkommt weiß ich nicht. Muss ja über irgendeine Seite, die ich geöffnet habe heruntergeladen worden sein und ich habe es einfach nicht gemerkt, dass ein Download gestartet ist. Kann ja irgendeine ominöse Werbung sein, wo man auf das "X" klickt, was dann aber kein "X" ist. Gibt ja genug solcher Seiten da draußen...

Die Archiv-Datei wurde per Doppelklick geöffnet, dann ist sofort der Defender angesprungen und hat die Aktion blockiert. Ob der Defender einfach die im Archiv enthaltene Datei "entdeckt" hat oder ob es sich um ein selbstausführendes Archiv handelt, weiß ich natürlich nicht. Grundsätzlich können sich Archive auch durch öffnen automatisch ausführen soweit ich weiß, oder?

Nein, das ist eine Ausrede. Im Downloadordner sind nur Dateien, die du selbst heruntergeladen hast.

Zitat:

Die Archiv-Datei wurde per Doppelklick geöffnet,

Dann wurde der Inhalt nicht ausgeführt und du kannst das Thema hier beenden

Du kannst natürlich denken, was du du willst, aber ich wünschte
ich wüsste, wo ich die Datei herhabe. Ich habe den Verlauf durchsucht, um noch irgendwelche Rückschlüsse ziehen zu können, aber bin nicht fündig geworden.

Trotzdem danke!

Was ich damit sagen wollte: die Datei kommt da nicht von allein rein. D.h. du hast sie von irgendwo heruntergeladen. Entweder mit dem Browser von irgendeiner Webseite oder einem Mailclient und diese Datei war in irgendeiner Mail angehangen.

Aso - ja klar. Bin mir zu 99% sicher, dass sie aus dem Web irgendwo ist, also über den Browser. Allerdings keine Ahnung wo.

Wäre diese Datei grundsätzlich auch Mac-schädlich oder ist das nur Windows oder kann man das nicht sagen?

Weil bei Virustotal sind ja auch über 20 verschiedene Definitionen - die Frage ist ja auch, welcher Virus ist es denn wirklich?

Was zum Geier hat das mit deinem Mac zu tun?
Die Datei wurde doch garnicht ausgeführt allein schon weil sie rechtzeitig vom WD erkennt wurde. Und wenn lag sie eh nur im Downloadordner auf deinem Windows-PC.

Und was soll diese Frage, welcher Virus ist es wirklich sei. Wie die verschiedenen AV-Labs den nennen steht doch in der Auswertung von VT. Da gibt es keine einheitliche Benennung.

Mir ging es wegen des Macs darum, dass über den USB-Stick nichts übertragen wird, was dem Mac schaden kann. Da ja aber anscheinend nichts von mir ausgeführt wurde, scheint das ja hinfällig zu sein, wenn ich es richtig verstanden habe. Daher meine Frage nach Windows/Mac Viren.

Kann man beim Defender auch einstellen, dass geladene Archive gescannt werden, bevor man sie öffnet? Wäre ja eigentlich ganz sinnvoll.

Sorry, wenn ich da nicht so bewandert bin - bin da absoluter Laie

Zitat:

Kann man beim Defender auch einstellen, dass geladene Archive gescannt werden, bevor man sie öffnet? Wäre ja eigentlich ganz sinnvoll.

Eimal googeln und man findet eine Seite mit Hilfe dazu: https://learn.microsoft.com/de-de/defender-endpoint/configure-advanced-scan-types-microsoft-defender-antivirus und das macht für dich ein User, der den Defender nicht benutzt