EMOTET: Rechner nach Emotet-Befall clean?
 

Nach dem Öffnen einer Email meines Vorgesetzten mit ZipDatei im Anhang habe ich diesen geöffnet auch einen geforderten Code, der in der Email mitgeschickt wurde, eingegeben. Aufgrund eines Alarm des Virenscanners (dazu sind leider keine Daten mehr vorhanden) habe ich den Rechner vom Netzt genommen. Etwas später kam eine Email meines Chefs mit der Info, dass die Email nicht von ihm ist und einen Virus enthält. Am nächsten Tag habe ich den PC zum PC-Spezialisten (Fachgeschäft) gebracht. Drei Tage später erhielt ich den angeblich cleanen PC, allerdings ohne Angabe, welcher Virus gefunden wurde, zurück.
Ein paar Tage später erschienen sehr auffällige schwarze Bildschirmbereiche bei der gleichzeitigen Anwendung von word und einer software des Klettverlags für Schulbücher.
Daraufhin habe ich den PC von einem anderen IT-Spezialisten scannen lassen. Er hat nichts finden können.
Etwa zwei Wochen später bekam ich die Info von meinem Chef, dass es sich bei dem Virus um Emotet handelt. Daraufhin bin ich nochmal zu dem PC-Spezialisten. Wieder konnte er nichts finden. Da inzwischen aber auch mein Laptop, welches sich im gleichen Wlan wie der PC befand, auch diese Störungen bei der Verwendung von word und Klett aufwies, beschloss ich beide Rechner vom Spezialisten neu aufsetzen zu lassen.
Leider sind die "Symptome" auch danach wieder aufgetreten. Ich beschloss die Symptome zu ignorieren. Ansonsten sind die Rechner ja arbeitsfähig.
Gestern stellte sich aber zufällig über "haveibeenpwned.com" heraus, dass meine Emailadresse gehackt wurde.
Ich habe den Verdacht, dass über Emotet eine Schadsoftware nachgeladen wurde, welche sich im BIOS eingenistet hat und deswegen auch durch das Neuaufsetzen nicht gelöscht wurde und sich möglicherweise auch über unser Wlan (wird auch von weiteren Rechnern genutzt) verbreiten konnte.
Ich bin inzwischen völlig verunsichert und würde mich über fachkundige Hilfe freuen.

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Deine Beschreibung des Infektionsweges deutet sehr stark auf Emotet hin. Mit der Neuinstallation aller betroffenen Windows Systeme in deinem Netzwerk solltest du Emotet allerdings den Gar aus gemacht haben. Emotet überlebt eine saubere Neuinstallation nicht. Sofern du deinen Router zurückgesetzt und alle Passwörter geändert hast, sollte alles passen.

Theoretisch gibt es zwar Malware, die sich im BIOS einnistet (UEFI Rootkit). In so einem Fall kannst du deine Hardware aber gleich wegschmeißen, weil eine Bereinigung kaum möglich ist. Emotet besitzt allerdings diese Funktion nicht.

Die von dir beschriebenen Schilderungen haben meines Erachtens nichts mit Malware zu tun. Die Logdateien sind sauber (was nach einer Neuinstallation auch nicht anders zu erwarten war).
:)

Hallo Matthias,
vielen Dank für deine Antwort.
Meine Sorge besteht darin, dass sich tatsächlich eine Malware nachgeladen hat, da zwischen dem Emotet-Befall und dem Plattmachen des Rechners mehrere Wochen vergangen sind und die Störungen bei word in Verbindung mit der Klett-Software zuvor nie vorgekommen waren. Zudem wurde ja meine Emailadresse gehackt.
Ich hatte ja geschrieben, dass ich den Rechner zunächst zum "PC-Spezialisten" gebracht habe. Der hat aber den Rechner nicht neu aufgestzt, sondern "gereinigt". Allerdings konnte mir der Herr an der Kasse, als ich den PC abgeholt habe, nicht sagen, welcher Virus denn gefunden und beseitigt wurde.
Den Rechner habe ich erst etwa drei Wochen später neu aufsetzen lassen, als ich erfahren habe, dass es sich um Emotet handelt.
Gibt es denn eine Möglichkeit festzustellen, ob sich Malware auf dem Rechner befindet?
Zudem habe ich bzw. mein Partner den Router (WLAN-Funknetz (SSID) FRITZ!Box 6591 CableUC) nicht zurück gesetzt. Wir haben lediglich das Wlan-Passwort geändert. Er ist der Administrator des Routers. Auf meinem Rechner wurde das Administrator-Passwort nie benutzt. Ich bin nur WLAN-Nutzer. Mein Rechner verfügt also über keine Rechte bzgl. des Routers. Kann der Router deswegen trotzdem befallen sein? Kann man dieses ggf. feststellen?

Über weitere Hilfe bin ich sehr dankbar.

Uri

Das hast Du aber schon gelesen?

Und warum nicht?
Alle Möglichkeiten nutzen.

Nochmal:

Wenn du eine saubere Neuinstallation durchgeführt hast, kann da keine Malware mehr drauf sein.
Die Logdateien von FRST sehen sauber aus, ich kann nichts in den Logdateien erkennen.

Emotet ist nicht bekannt dafür, den Router zu infizieren, sondern dass es sich über das Netzwerk auf andere Windows Systeme ausbreiten kann.

Ich würde einfach alle Passwörter (WLAN, E-Mail, Online-Banking, Online-Shopping, etc.) ändern! Emotet versucht u. a. im großen Maßstab an derartige Daten zu kommen.








Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Unlock: C:\FRST
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.

• Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
• Wähle das Funktionsupdates aus, downloade und installiere es.
• Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
  Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,
deine Antwort beruhigt mich sehr.
Kannst du mir noch sagen, ob meine Dateien befallen sein können?
Ich habe alle Dateien auf einer externen Festplatte bzw. einem Stick gespeichert. Ich bin bisher davon ausgegangen, dass pdf-Dateien und Bilder sicher sind. Kann ich auch alte office-Dateien wieder benutzen ohne, dass sich mein Rechner reinfiziert? Bzw. kann ich gefahrlos meine Speichermedien in einem anderen Rechner benutzen?
Die Anleitung zu Cleanup & Maßnahmen zur Absicherung nehme ich mir für heute Abend vor :)

Nochmal vielen Dank für deine Hilfe. Ist für mich echt unheimlich viel wert und ich spende euch gerne was.

Uri

Das stimmt auch. PDFs und Bilder sind ok.



Klar kannst du Office Dateien wieder nutzen. Die infizierte Datei, in der sich der Emotet-Dropper als Macro versteckt hatte, wirst du ja wohl nicht behalten, sondern gelöscht haben... aber ich denke, das ist klar. :D



Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums. :)



Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.