Phishing-PDF geöffnet - ist PC jetzt infiziert?
 

Hallo,

ich habe versehentlich einen verdächtigen Mail-Anhang (PDF) geöffnet, anstatt es zu löschen.

Ich hab das PDF dann sofort geschlossen, den PC ausgemacht und ihn mit einigen bootfähigen AV-CDs gescannt (Kaspersky, Eset, Norton, AVG). Alles erst mal OHNE bereinigen, damit mir nicht aufgrund Fehlalarm das System kaputt gelöscht wird. (Sowas habe ich früher schon erlebt.) In den Logs fand ich aber nur ein paar harmlose Programme (PUA), z.B. "Alternative Flash Player Auto-Updater", siehe unten.

Das PDF habe ich zu Virustotal.com hochgeladen, Analyse hier:
https://www.virustotal.com/gui/file/b51d1cbb0152e53ced2973a27a2f0a6e19049d0d5c6983e63ed45279c07e03c4/detection
Ergebnis: Mehrere ernstzunehmende AV-Programme (Symantec, McAfee, Microsoft, u.a.) sehen es als schädlich an.

Ich habe dann Malwarebytes und Farbar ausgeführt. Das Log von Malwarebytes zeigt auch genau die 5 harmlosen Programme, die die CDs auch moniert hatten. (Benutzerdefiniert installieren und die Adware abwählen, über die sich der Autor etwas dazu verdient, der Rest ist OK.) Logs hier drunter. Das Addition-Log war zu groß und folgt im 2. Beitrag.

Das Log von Farbar kann ich nicht auswerten. Wäre nett, wenn Ihr euch das mal ansehen könntet und mir sagt, ob hier noch mehr erforderich ist, oder ob man den Alarm aufheben kann. (Entweder, "es" versteckt sich sehr gut, oder ich hatte noch mal Glück.)

Viele Grüße
Dilettant


Malwarebytes-Log:




Farbar-Log:

Hier noch das Addition-Log:

Pardon wenn ich nach 5 Tagen mal bounce, aber die Frage ist mir natürlich wichtig.

Ich bin jetzt vorläufig auf Linux umgestiegen, damit ich an meine Files ran komme, und boote die betreffende Windows-Installation erst mal nicht.

Für eine Rückmeldung wäre ich dankbar.

Gruß
Dilettant

Ich hab jetzt deinen Thread zufällig gesehen.

Es wäre besser wenn du dir zuerst mal die Hinweise und Gepflogenheiten des Forums, von dem du Hilfe möchtest, auch ein wenig verinnerlichst, bevor du fragst warum denn nach 5 Tagen immer noch keine Antwort eingetroffen sei.

Unten bei Punkt 5:
Nicht pushen.
Wenn du auf dein eigenes Thema antwortest (z.B. "Hilft mir niemand?"), wirst du vermutlich gar keine Hilfe mehr erhalten, weil das Thema dann als "in Arbeit" angesehen wird.


ja auch PDF kann Müll enthalten danke Adobe, die den PDF-Standard immer wieder durch irgendwelchen Müll erweitert haben. Mittlerweile kann man da auch JavaScript und 3D-Geraffel drin haben. Und das in einem Format, das nur für normale/formatierte Textdokumente als Austausch gedacht war (um nicht MS-Office benutzen zu müssen, auf anderen Systemen können zB Schriftarten fehlen oder eine völlig andere Version vorliegen, sodass das Dokument dann völlig anders auch aussieht)

Solange du kein JavaScript ausgeführt hast ist alles ok.


Windows 7 liegt im Sterbebett und ist bald EOL. Also ist hier langsam aber sicher dringender Handlungsbedarf --> Umsteigen auf Windows 10 oder Linux.

Pardon Cosinus, aber da stand ja auch:

Ich musste leider in 2 Teilen posten, weil Post-1 inklusive Additions-Log die Maximalgröße für einen Post überschritt. Ich dachte mir jetzt langsam, dass der Thread deshalb wie „in Bearbeitung“ aussieht und keiner drauf guckt. (Auch auf diesen Effekt habt ihr ja hingewiesen.) Aber nun haben wir ja endlich Kontakt...

Deine Anmerkungen zum PDF-Format kann ich gut nachvollziehen. Javascript war nicht gesperrt, kann also beim öffnen ausgeführt worden sein. Zudem ist Acrobat Reader eine reiche Quelle von Sicherheitslücken (Buffer-overflow, etc.).

Es kann also sein, dass das öffnen gereicht hat und drum würde mich sehr interessieren, ob die Logs verdächtig aussehen.

Was Windows-7 noch betrifft, so gefällt es mir viel besser als 10, drum habe ich es noch. Ich hatte schon länger Linux als Guest in Virtualbox, nun habe ich die Rollen bei meinem Ersatzsystem umgedreht: Linux als Host, Windows als Guest. Und siehe da: In Virtualbox 5.2.26 kann man alle USB-Geräte (Scanner, Drucker...) an den Gast durchreichen. Und dort die komfortable Software vom Hersteller nutzen, statt der spartanischen von Linux. Als Guest kann ich mir auch Windows 10 vorstellen. Als Host möchte ich diese Petze eher nicht. ;-)

Wieder nicht die Hinweise richtig gelesen? Was sollst du denn lt. diesen tun wenn du drei Tage gewartet hast? Noch weitere Antworten in deinen Hilfethread feuern, obwohl der eh schon als in Arbeit gesehen wird?


Und warum verwendest du den und hast JavaScript auch noch aktiv?


Es geht aber um Sicherheit und nicht um "oh das OS sieht aber schöner aus" - mit der Sicherheit ist es bei Windows 7 bald vorbei wenn es keine Patches mehr bekommt.


Ob Windows 10 als Host oder als VM betrieben wird ist doch völlig wumpe. Du willst ja den Abfluss von Daten verhindern. Das erreicht man abernicht indem man Windows 10 als VM einrichtet, sondern man darf Windows 10 dann einfach nicht produktiv nutzen und darf es auch nicht mit Leben oder Daten füllen. Ob virtuell oder nicht ist völlig wumpe.

Davon abgesehen haben auch Windows 7 und 8.1 schon vor Jahren Telemetry Updates bekommen und verhalten sich ähnlich wie Windows 10.

Konsequent wäre es also daher Windows garnicht mehr zu verwenden oder wenn überhaupt nur in einer VM OHNE Netzwerk.

Tut mir leid, das mit dem Erinnerungs-Thread hatte ich nicht mit gelesen, bin halt manchmal hastig.

Würdest Du dir denn trotz der Begleitumstände die Logs mal ansehen?

Bitte nimm erstmal zur Kenntnis, dass dieses Forum nicht dafür gedacht ist, dass man hier nur wegen seiner Panik- und Hysterieattacken Logs aus Spaß auswertet. Und normalerweise fragt auch der Adobe Reader nach, was mit dem JavaScript passieren soll wenn es denn in einer PDF eingebunden ist.

Was ich sagen will: nur weil da ein Fund ist heißt das nicht, dass das daherkommt so wie du das deiner 1. Vermutung glaubst (bzw gerne haben willst - hier gabs schon einige groteske Fälle, in den die Hilfesuchenden regelrecht enttäuscht waren, weil sie keine Schädlinge auf ihrem Rechner hatten)

Die Funde die du da hattest sind nur auf Junkware (die du dir wohl auch durch Blödel-Setups von chip.de selbst auf dem Rechner geholt hast) zurückzuführen. Bevor wir uns dieser zuwenden bitte folgende Dinge klären:

1. Ist das ein gewerblich genutztes System?

2. was soll dieses vergammelte uralte Office auf deinem Rechner? Du schiebst Panik wegen Adobe und seinen Sicherheitslücken, hast es aber drauf, zudem dieses verschimmelte Stück Altsoftware mit offenen Lücken aber das scheint sich nicht zu stören? :confused:

Zu 1.: Nein, es handelt sich nicht um ein gewerblich genutztes System.

Zu 2.: Ja, da ist noch ein altes Office drauf.

Die harmlosen Sachen, die offensichtlich sind (Chip-Installer mit PUA), sind mir bekannt. Es ging mir hier mehr um eventuell verdächtige Dinge, die ein automatischer Scanner nicht sieht.

Außerdem wäre ich Dir dankbar, wenn Du einen etwas weniger ruppigen Ton anschlagen könntest. Ich bemühe mich schließlich auch um Höflichkeit.

Wir haben hier aber einen direkten Ton, anders kann man die Instruktionen auch nicht absetzen. Zudem finde ich das auch nicht gerade schön, wenn man nicht nur auf die Hinweise hinweisen muss, sondern nach den Hinweisen auf den Hinweisen anscheinend wieder nicht alles richtig aufgenommen wurde.


Gut, das mit der Angst und Panik, das darfst du nicht persönlich nehmen. Offensichtlich ist momentan so der Zeitgeist, der mir aber mittlerweile immer mehr Kopfschütteln bereitet, der so tickt, dass Nichtigkeiten hochgekocht werden, gleichzeitig aber eklatant alte Software genutzt und verehrt wird. Schließlich mag man ja nur Windows und dann auch nur das gute Windows 7 oder gar XP :lach:



Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!



adwCleaner v7.x

Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Hallo Cosinus, so hier ist das Log:

adwcleaner bitte zwecks Kontrolle wiederholen

So, hier ist das Log. Er fand nichts schlimmes.

Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken.

http://www.trojaner-board.de/picture...&pictureid=611

Erledigt. Hier normales Log...


...und hier Additions:

Also du müsstest dich mal von veralteter oder unnötiger Software trennen, v.a. AdobeReader und Avira! Auch dieser uralte Firefox 52 geht garnicht; das hier bitte deinstallieren:

Bin dabei. Avira auch?? Das ist aktuell, gekaufte Version mit Lizenz bis 2020.

So weit erledigt, bis auf Avira.

Nur weils gekauft ist, macht es das nicht besser. Und du musst ja auch extremes Vertrauen in Avira haben wenn du trotz des geilen Schutzes immer noch glaubst, befallen zu sein.

Nun ja, mit Avira ist sicherer als ohne. Und der Windows-Defender von Win-7 ist nicht ganz so gut wie ab Version 8, siehe hier:

https://www.tomsguide.com/us/windows-defender,review-2209.html
https://support.microsoft.com/en-us/help/14210/security-essentials-download

Wie gehen wir denn weiter vor?

Das ist so pauschal falsch. Virenscanner machen erstmal grundsätzlich nichts sicherer nur weil sie angeblich viele Schädlinge finden. Sie vergrößeren in erster Linie die Angriffsfläche, belasten das System und können dieses sogar komplett lahmlegen. Es gab etliche Fälle von Fehlalarmen, die dafür sorgten, dass Systemdateien kaputtgemacht wurden und einen no-booter hinterließen.

Ich weiß was Du meinst, hatte ich auch schon. Darum habe ich auch von der eventuell (??) verseuchten Platte ein Acronis-Backup gemacht, bevor ich den ersten Scanner drauf los ließ. Die Scanner haben mich im Lauf der Jahre aber auch schon vor einigem bewahrt.

Aber sei's drum. Nochmal: Wie gehen wir weiter vor? Oder ist nix zu sehen und wir beenden die Jagd?

Ich hab dir ja eigentlich schon von Anfang an geschrieben was Sache ist. Du wolltest aber weitermachen, dann zieh ich das auch durch und lass so einen Müll wie Avira deinstallieren.

Übrigens: Wenn ich wenn Windows Defender rede, meine ich selbstverständig nicht das was in einem uralt-Betriebssystem wie Windows 7 verbaut ist.

Ehe uns das weiter aufhält, macht jetzt nach der Deinstallation von Avira Windows Defender mal eine vollständige Prüfung.

Was wäre ansonsten der nächste Schritt?

Neue FRST-Logs...

Voila...


FRST Logfile:
--- --- ---

Hey so könnte das System glatt noch ein Jahr durchhalten. Viele Windows7-Systeme haben ja auch schon seit Ewigkeiten keine Updates mehr gesehen weil Microsoft natürlich als Milliardenkonzern absolut unabsichtlich das Update-System zufällig zum W10-Release kaputtgemacht hat. Davon betroffen waren natürlich auch die 8.1er, die solten natürlich auch zu W10 gebracht werden. Irgendwann später tauchten dann für die W10-Hater auch Telemetryupdates für 7 und 8.1 auf. Es macht also aus telemtrischer Sicht keinen Unterschied, ob man nun 7, 8.1 oder 10 verwendet. Genaues weiß eh niemand weil dieser Microsoft-Müll CLOSED SOURCE MÜLL aus den USA ist. Aber ist ja auch egal, die sind ja eh nur die Guten ;)

Guten Morgen, dann verstehe ich Dich also so, dass die Kiste jetzt sauber und stabil aussieht? Das wäre ja schon mal was. Der Windows Defender scannt jetzt seit 8h und ist noch nicht durch. Er hat wohl irgendwas gefunden. Wahrscheinlich das selbe weitgehend harmlose PUA-Zeug, das die anderen auch schon in irgendwelchen alten Directories gefunden haben. Produziert der auch Logs?

Also es wurde nirgends geschrieben, dass du einen Vollscan mit dem Windows Defender machen sollst. Zudem wurde darauf hingewiesen, dass der Windows Defender unter Windows 10 was völlig anderes ist als in diesem Uralt-OS Windows 7.

Also er hat noch EIN altes Ding auf der Datenplatte entdeckt, vom Typ "Chip-Bundler-Download". Das hat er dann auf meine Anweisung entsorgt:

Machen wir sonst noch was, oder lassen wir es so?

Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: Malwarebytes Version 3

Downloade Dir bitte Malwarebytes Anti-Malware 3

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)

• Starte die Installationsdatei.
• Akzeptiere die Nutzungsbedingungen.
• Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
• Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
• Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
• Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.
• Drücke bitte die Tastenkombination WIN+R zum Ausführen und kopiere folgenden Text in die Zeile und drücke im Anschluss auf OK:
  
  Code:

  ---

  notepad "%tmp%\log.txt"

  ---

• Kopiere den gesamten Text mittels STRG+A und STRG+C hier in deine Antwort in CODE-Tags

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So, fertig. Enorm viel Bundler, die CPU-Z, ImgBurn oder sowas mit Adware-PUA zum abwählen kombinieren. (Alle entfernt.) Aber jedenfalls nichts aktives und auch nichts ernsthaft gefährliches. Was die Java-Version noch betrifft, die SecurityCheck bemängelt: Der Java-Updater behauptet, die wäre aktuell.

Wie weiter?

Und eine weitere Dummheit, die niemand verstehen kann.
Du hast Angst ohne Ende, völlig irrational, aber Cracks, nö kein Problem :headbang:

Das ist ein Uralt-Programm aus der Windows 98 - Zeit, das in dieser digitalen Rumpelkammer vor sich hin verstaubte. Jugendsünde aus den 90er Jahren. Hab's entsorgt. Das Programm, das man damit frei schaltete, läuft auf modernen Rechnern nicht.

Haben wir denn sonst noch etwas vor, oder sind wir mit der Aktion durch?

Weiß ich nicht. Vllt in dem man Ordner nach dem Dateisystemen benennt welche man nicht kapiert hat?

Mach mit deinem Crackmüll was du willst. Ich helfe da nicht mehr.

Du musst ein ziemlich frustrierter Mensch sein, wenn Du deine Position ausnutzt um Leute völlig grundlos in einer so unmöglichen Art anzuschnauzen. Ich habe da gute Mine zum bösen Spiel gemacht, aber nun reicht es, Ade.

Für Deine Mühe vielen Dank und für den Rest ...

Nö, ich fühl mich nach so einer dummen Aktion einfach nur verarscht von den Hilfesuchenden. Terror Angst und Panik schieben wegen ner dödligen PDF aber Cracks, nein die gehen klar. :rofl: