Windows10 Trojaner Occamy.C – Nach Neuinstallation alles bereinigt?
 

Hallo,

ich hatte letzte Woche durch den Defender eine Trojaner Meldung und habe mittlerweile das ganze System neu aufgesetzt und bin noch etwas unsicher, ob dies nun ausreichend gewesen ist.

Zum Ablauf:
Office aus suspekter Quelle installiert (war dumm und sogar recht teuer… ich hab draus gelernt!) und dabei wohl den Trojaner „Trojan[Downloader]/Win32.PsDownload“ herunter geladen. Dies habe ich aber erst im Nachgang durch einen Scan bei VirusTotal festgestellt. Fünf Tage ist dann gar nichts passiert und ca. zwei Stunden nach der Installation von RiseUpVPN gab der Defender den Fund „Trojan:Win32/Occamy.C“ in der File „...\RiseupVPN\bitmask_helper.exe“ an.

Direkte Auswirkungen habe ich keine gemerkt, außer das ein Tag nach dem Fund Abends das Internet nicht mehr ging (zu dem Zeitpunkt war bereits neues Betriebssystem installiert). Mein Provider konnte mir am nächsten Tag nicht mehr sagen, ob es eine normale Störung gewesen wäre. Haben aber den Router fern-gecheckt und meinten es sei nichts festzustellen.

Was habe ich seitdem getan?

Da mir diese Seite leider nicht bekannt gewesen ist und bei mir im ersten Moment etwas Panik aufkam, habe ich sicherlich einiges in falschem Aktionismus gemacht...

1. Verschiedene Anti-Maleware Software (Adware, Defender, Kaspersky, Malwarebytes...) drüber laufen lassen: ohne Ergebnis.
2. Dokumente auf USB Stick gesichert
3. Windows de- und Linux installiert
4. Alle Passwörter geändert
4. Check mit rootkit und chkrootkit: ohne Ergebnis
5. Bios zurückgesetzt
6. Win10 neu installiert
7. Dokumente zurückkopiert und Software installiert. Stand nun wie beim Fund (Libre statt Microsoft Office) vor einer Woche

Fragen:
- War die Neuinstallation auf jeden Fall ausreichend ausreichen?
- Kann sich der Trojaner an die Dokumente (oder auch Passwort Manager Backup) „geheftet“ haben und nun wieder auftauchen?

So hoffe das war nicht zu lang…

P.S. habe nun in den log-files gesehen, dass es wohl ein Problem mit den Updates gibt?! Windows hat mir dazu keine Meldung gegeben...

Nach einer Neuinstallation gibt es keinen Anlass irgendwas zu checken. Sry aber die Panik von euch Leuten da draußen nervt langsam. Man macht eine Neuinstallation um ein garantiert sauberes System zu haben. WAS BITTE hätte die Neuinstallation für nen Sinn, wenn die das nicht garantiert? :balla:

Hi, danke für die schnelle Antwort... ich hatte da im Netz auch anderes gelesen, daher wollte ich gerne sicher gehen. Darüber hinaus zeigt der log ja Fehler in Bezug auf die Windows Updates an und da ich nun kein Experte bin, hatte ich Bedenken, dass dies zusammenhängen könnte - vor allem weil Windows mir dazu keine Meldung gegeben hat!

Und ist es dann auch auszuschließen, dass durch die Dokumente der Trojaner zurückkommen könnte?

Also ich versteh dich nicht. Ne Neuinstallation allein wegen so nem Furz wie „Trojan:Win32/Occamy.C“ in der File „...\RiseupVPN\bitmask_helper.exe“ ist ja schon grenzwertig bzw sehr hysterisch und nun konstruierst du dir da noch einen Zusammenhang mit irgendwelchen Dokumenten rein :balla:

ja sorry, aber wenn ich nach Occamy.C googel dann kommt mir das nicht wie ein "Furz" vor (Keygen usw.) Ich hatte vorher nie so etwas und ja, da kam kurz etwas Panik auf, vor allem da ich einen Tag vorher den Passwort Manager neu aufgesetzt habe.

Aber gut... vielen Dank. Beruhigt mich, auch wenn der Ton mich gerade ein wenig irritiert.

EDIT: Und den Zusammenhang konstruiere ich nicht zu den Dokumenten, sonder hatte die Frage, ob die Update Fehler damit zusammenhängen könnten.

Wie gesagt nervt es, dass hier Leute immer mehr und mehr wegen fast nichts eine Höllenpanik schieben. Dann ärgert es mich auch, dass du offenbar nicht richtig gelesen hast, denn es kann nicht sein, dass Neuinstallation nicht im Zusammenhang mit "garantiert alle Schädlinge weg" vorkommt.

Was soll das jetzt schon wieder mit den Dokumenten? Du konstruierst schon wieder kompletten Quatsch zusammen. Ein Dokument sagen wir mal eine PDF oder Word-Datei soll bitte WIE GENAU mit den Windows Updates was zu tun haben?? :wtf:

wenn ich so viel Ahung hätte, dann müsste ich hier nicht fragen!

Und es geht um den möglichen Zusammenhang zwischen dem Trojaner und den Update Fehlern. Nicht um die Dokumente! Das sind zwei SEPARATE Fragen gewesen, getrennt durch einen Absatz! Da war nur die Frage, ob sie da irgendwas vom Trojaner eingenistet haben könnte. Etwas was ich durch google Suche und auch hier nicht beantwortet bekomme. Kann es also nicht sein, dass Schadsoftware sich auf docs ausweitet? Bin da bisher von ausgegangen.

Ich arbeite wegen diesem scheiß Corona seit Wochen am Limit und wenn dann auf einmal so eine Meldung bei einem Laien am PC aufploppt (und mit dem PC auch Onlinebanking betrieben wird), dann werden wohl sehr viele Menschen nervös werden!

EDIT: "Dann ärgert es mich auch, dass du offenbar nicht richtig gelesen hast, denn es kann nicht sein, dass Neuinstallation nicht im Zusammenhang mit "garantiert alle Schädlinge weg" vorkommt." -> https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html

Ob das zwei separate Fragen waren ist doch völlig irrelevant. Das ist zusammenkobstruierter Quatsch. Eine PDF oder Word-DOC hat doch nichts mit den Windows Updates zu tun :wtf: :rofl:

Hast du denn jetzt verstanden, dass eine saubere Neuinstallation alle Schädlinge tötet? Warum war dir das nicht vorher klar und warum machst du überhaupt eine Neuinstallation wenn du in dem Irrglauben bist, dass selbst das nicht reicht? Das ist doch leicht irrational, dann hätte man hier erstmal OHNE Neuinstallation bereinigen können. Wie gesagt ich kann schon länger nicht mehr alle Fragen von so manchem Laien nachvollziehen. Auch vor Corona schon nicht. Und komm bitte nicht mit so einem hysterischen Schreiß von BIOS-Schädling an :stirn:

Wo habe ich etwas davon geschrieben, dass eine PDF oder Word-DOC etwas mit den Updates zu tun hat??

Eine Frage war, ob der Trojaner (wenn er eben 100% beseitigt wäre) etwas mit den jetzt angezeigten Update Problemen zu tun haben könnte und die andere Frage war, ob sich durch den Trojaner unter Umständen andere Schadsoftware (oder ähnliches) an .doc's angehängt haben könnte!

Und die Berichte zu BIOS Schädlingen sind online zu finden... woher ich nun wissen soll, dass dies alles hysterisch ist, erschließt sich mir nicht!

Da, das hast du extra noch reineditiert:

Und daraus verstehe ich, dass du eine Frage hattest, ob ein Zusammenhang mit irgendwelchen Dokumenten und den Windows Updates besteht. Wenn du das so komisch formulierst musst du dich nicht wundern.


Dann trotzdem mal die Frage was du mit einer Windows Neuinstallation bezwecken willst wenn du davon ausgehst, dass dein BIOS die Pest hat...:wtf:...dann sei bitte konsequent und kaufe dir neue Hardware. :stirn:

Kannst du mir bitte einfach die Frage beantworten, ob sich durch den Trojaner Schadsoftware an docs geheftet haben könnte?

Zum dem anderen.. Ich fragte: und nach deinem Kommentar, dass nach einer Neuinstalation nichts zu checken wäre: Das ist der "konstruierte" Zusammenhang um den es dir dann ging. Das hatte nichts mit Dokumenten zu tun! Daher mein Edit: Zusammenhang zum Trojaner..

Andere - bis jetzt nicht beantwortete - Frage war: Und was ich mit der Neuaufsetzung des Systems erreichen wollte? Die 100% sichere Bereinigung des Systems und aufgrund solcher Berichte von heise habe ich hier lieber nochmal nachgerfragt. Und genauso habe ich meinen Post auch formuliert: "und bin noch etwas unsicher, ob dies nun ausreichend gewesen ist."

Also was soll das jetzt hier?? Den Vowurf der falschen Formulierung halte ich hier doch für falsch. Da war das Problem eher beim Empfänger vorhanden. Aber scheinbar hast du ja Spaß daran solche Diskussionen zu führen, anstatt die Fragen nicht von "Nicht-Fachleuten" zu beantworten. Bin auf jeden sehr enttäuscht über den Ablauf...

Es ist absolut keine Hilfe! Aufgrund der Art und Weise bin ich extrem verunsichert, ob ich den Aussagen überhaupt Glauben schenken kann. Sind die Leute bei Heise (und anderen Seite) alles Idioten?

Und wie geschrieben, verstehe ich auch nicht, was mit einer solchen Art erreicht werden soll. Wenn ich mir andere Anfragen im Forum anschaue, wurden da einige "dummy" Fragen sehr nett und verständnisvoll beantwortet und bei einem Bick auf andere Antworten von dir, scheint es, dass ich einfach an die falsche Person geraten bin.

Würde mich sehr freuen, wenn mir noch jemand im Forum meine Fragen normal beantworten könnte!

EDIT: so geht es ja scheinbar auch: https://www.trojaner-board.de/198798-vbs-datei-zip-geoeffnet-darauf-geklickt-laptop-dennoch-infiziert.html

1.
Was willst du da hören? 100% Sicherheit gibt es nicht und ja möglich wäre es!
In der Praxis empfiehlt man alle privaten Daten zu behalten und alles was ausführbar ist nicht zu sichern.
Dein ganzer Thread trieft aber immer noch vor Hysterie, weil du wegen einer dödligen Meldung gleich alles neu installiert hast und um es auf die Spitze zu treiben, selbst diese Neuinstallation dir nicht ausreicht, weil du meinst, es könne ja sein, dass die UEFI-Firmware und alle deine Dokumente befallen seien :balla:

Merkst du das denn selber nicht, wie merkbefreit/hysterisch das tw. rüberkommt? :wtf:


2.
Windows Update hat Fehler und natürlich fällt euch Laien da draußen KEINE andere Ursache ein, als Schädlinge? Obwohl eine Neuinstallation erfolgte??? :wtf: :rofl:


3.
Thema Neuinstallation hättest du richtig gelesen und kombiniert, wüsstest du, dass sich dieses auf der internen Festplatte/SSD abspielt und nicht in der UEFI-Firmware!
Wäre also deine UEFI-Firmware befallen, hätte eine Neuinstallation so oder so nichts an dieser Tatsache geändert. Du aber hast aber in der Hysterie alles neu installiert. Warum machst du sowas wenn du schon meinst vorher zu wissen, das bringe ja alles nichts?


4.
Was heise schreibt ist idR gut und richtig, aber du als Laie kannst das nicht unbedingt richtig bewerten; v.a. weil du ein Mensch zu sein scheinst, der extrem zur Panik neigt! Dann ist das auch kein Wunder, dass du wegen so einem Artikel halb durchdrehst dann gleich den Beweis eines infizierten UEFI auf deinem Rechner meinst zu sehen... :wtf:

Ich kann ja schon etwas verstehen, dass man als Laie verunsichert sein kann, aber was du da machst klingt nicht wirklich gesund! :dummguck:

Lies vielleicht nochmal ganz in Ruhe meinen Ausgangspost und überlege, ob das wirklich angebracht war! Das war ein komplett neuer PC der neu aufgesetzt war... glaub da gibt es einige, die sich im Zweifel einfach für Neuinstallation entscheiden. Bei den logs hättest du sehen können, dass der PC so gut wie clean ist und der Hinweis darauf, dass er nun genauso wie letzte Woche wäre, war ja dabei! Und das die Dokumente nicht noch anderswo gesichert waren, war dumm, hatte aber mit der Frage nichts zu tun.

War die Frage ja doch nicht so dumm...

Nach der Suche im Internet erschien mit die Meldung nicht als "dödlig". Auch nicht nach dem lesen einiger Beiträge hier im Forum, zumal ich ja - extrem dumm von mir - dubiose Officesoftware drauf hatte!

Überhaupt nicht!! Wenn ich lese, dass der Trojaner Tastaturanschläge mitlesen kann und ich gerade alle Passwörter eingegeben hatte... vor allem da die Office Installation ja schon paar Tage zurücklag.


Arbeite mit Windows seit Win95 und da sind mir solche Fehler durchaus bekannt. Ebenso wie der im Beitrag genannte Internetausfall. Wenn dies aber kurz nach einem Befall geschieht, möchte man dies vllt abklären. Das hat absolut NICHTS damit zu tun, dass den Laien da draußen kein anderer Grund einfallen könnte. REIN GAR NICHTS!!


Und dieses Wissen über mein Denken nimmst du nun woher? Ich habe die Neuinstallation sehr schnell durchgeführt - wie geschrieben erst auf Linux, unter anderem weil ich dort weiß, wie nach Rootkits gesucht werden kann - und mich dann weiter eingelesen. Das war vllt etwas übertriebener Aktionismus, aber hat wieder NICHTS damit zu tun, dass ich denken würde, dass es nichts bringt.


Halb durchdrehe? Ich habe eine Neuinstallation durchgeführt und wollte nun sicher gehen. Von den 98% auf die 99,9% kommen. NICHTS habe ich Beweis für irgendwas gesehen! Ich habe gefragt, ob es möglich wäre! Wo liest du all das heraus???

Du interpretierst Dinge in Aussagen, die so nie geschrieben wurden und bildest dir nun ernsthaft ein meine Gesundheit bewerten zu wollen?
Nicht anderes als "verunsichert" bin ich gewesen und habe daher nachgefragt!

Bin wahnsinnig enttäuscht von dem Umgang! Habe viele tolle Hilfestellungen hier gesehen, aber anstatt in ein paar Sätzen meine - wie du ja sagst, berechtigte Verunsicherung - zu nehmen, wird hier an der Sache vorbei diskutiert! Kann auch jetzt nicht feststellen, was an meinem Ausgangspost falsch, dumm oder hytersich gewesen wäre!

Einfach mal ruhig die Frage lesen und unter Umständen beantworten, wäre auch jeden Fall auch für dich stressfreier, anstatt über mehrere Posts so einen Blödsinn zu unterstellen.

Das musste ich nun doch nochmal loswerden. Und dennoch danke. War zwar unnötig schwer, aber nun weiß ich ja, dass ich relativ beruhigt den PC wieder nutzen kann.