Zum Inhalt wechseln


Foto

Eventl Virus durch docxm


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 Matze1708

Matze1708

    Member

  • 373 Beiträge

 

Geschrieben 19. August 2016 - 18:49

Hallo Leute,

Habe hier auf einem Windows 8.1 ein Merkwürdiges Verhalten.
Es wurde vom User 2 mal ein Mail Anhang mut Endung docxm geöffnet. Kaspersky hat nicht gemeckert.

Seit dem ist eine komische EFI Partition im Explorer zusehen, nennt sich System F. Bei Doppelklick kommt die Meldung "Anwendung kann nicht gefunden werden"
Im Kontext kann man was mit Install und anderen Einträgen sehen.
Den Datenträger selbst kann ich über die Verwaltung nicht löschen, da Links von C.

Könnte das ein Virus sein?
Lasse grade mal Avira Stand Alone laufen und habe auch über dieses Tool die Bilder, Dokumente gesichert.

Was kann ich noch tun?

Lg Matthias

Bearbeitet von Matze1708, 19. August 2016 - 18:54.


#2 sg08234

sg08234

    Newbie

  • 73 Beiträge

 

Geschrieben 20. August 2016 - 06:02

Die docxm-Datei über virustotal.com prüfen

 

ESET Online Scanner und MalwareBytes (beides online möglich)

 

Ansonsten offline c't desinfec't

 

Michael


Bearbeitet von sg08234, 20. August 2016 - 06:03.


#3 Matze1708

Matze1708

    Member

  • 373 Beiträge

 

Geschrieben 20. August 2016 - 07:57

Danke für die Hilfe,

 

hatte über die Nacht den Avira Standalone laufen lassen, gefunden wurde locky und ein Trojaner XPACK.Gen4.

 

Wurde wohl durch Avira repariert jedoch startet weder das eigentliche Kaspersky noch kann man es neuinstallieren. Der IE und die Office Anwendungen starten auch nicht mehr.. :-(

 

Diese Tools hatte ich von einem anderen Rechner auf einen Stick geladen um Sie im Zielsystem zuverwenden. Dort starten die aber gar nicht mehr. Kommen lauter Fehlermeldungen.



#4 sg08234

sg08234

    Newbie

  • 73 Beiträge

 

Geschrieben 20. August 2016 - 08:10

Hört sich - ehrlich gesagt - nach Neu-Installation an



#5 Matze1708

Matze1708

    Member

  • 373 Beiträge

 

Geschrieben 20. August 2016 - 08:57

Da geht das nächste Problem los.

Platte werde ich sicherheitshalber ne Neue holen.

Aber das ist ein HP mit vorinstalliert 8 oder 8.1 das müsste ich nochmal nachsehen.
Datenträger war da keiner dabei... Wie bekomme ich das OS auf die neue Platte?

#6 Sunny61

Sunny61

    Expert Member

  • 21.500 Beiträge

 

Geschrieben 20. August 2016 - 09:06

Bei HP anrufen und einen Datenträger anfordern. Du kannst auch bei HP auf der Website schauen ob Du dort den Datenträger anfordern kannst.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#7 Matze1708

Matze1708

    Member

  • 373 Beiträge

 

Geschrieben 20. August 2016 - 10:10

Der hat so ne option beim Booten "auf Originaleinstellungen zurücksetzten " weiss nur nicht ob das einer neuinstallation gleich kommt :-(

Sonst muss ich Montag so einen Datenträger bestellen

#8 Sunny61

Sunny61

    Expert Member

  • 21.500 Beiträge

 

Geschrieben 20. August 2016 - 11:49

Der hat so ne option beim Booten "auf Originaleinstellungen zurücksetzten " weiss nur nicht ob das einer neuinstallation gleich kommt :-(


Das ist normalerweise schon eine Neuinstallation bzw. ein Zurücksetzen auf den Auslieferungszustand. Aber sicherheitshalber würde ich mit einem Datenträger die Installation neu machen und die HDD entsorgen oder mit einem Tool sicher formatieren. Du weißt nicht ob sich nicht etwas auf den anderen Partitionen eingenistet hat.

Bearbeitet von Sunny61, 20. August 2016 - 11:49.

Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#9 sg08234

sg08234

    Newbie

  • 73 Beiträge

 

Geschrieben 21. August 2016 - 01:49

Die etwas härtere Tour:

  1. Lizenzschlüssel auslesen (z.B. mit Magical Jelly Bean Keyfinder 2.0.8)
     
  2. Download Windows 8 ISO von https://www.microsof...wnload/windows8
     
  3. Neu-Installation


#10 Sunny61

Sunny61

    Expert Member

  • 21.500 Beiträge

 

Geschrieben 21. August 2016 - 09:58

Wenn ein W8.x schon vorinstalliert war, braucht man keinen Schlüssel auslesen. Einfach installieren, der Schlüssel ist im BIOS hinterlegt und deshalb wird auch keiner bei der Installation abgefragt. Einfach nach dem ersten Kontakt ins Netz aktivieren.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#11 sg08234

sg08234

    Newbie

  • 73 Beiträge

 

Geschrieben 21. August 2016 - 14:30

Wohl wahr!

 

Matze1708: Wenn Du eine neue Platte für die Installation verwendest, braucht Du Deine Daten vor der Installation nicht zu sichern, sonder kanns sie nach der Installation von der alten Platte (z.B. über einen USB-Connector) überspielen. Dabei wirklich nur Daten übernehmen (wobei sich leider auch in Office-Dokumenten etc. Malware verstecken kann).



#12 PowerShellAdmin

PowerShellAdmin

    Board Veteran

  • 1.093 Beiträge

 

Geschrieben 22. August 2016 - 07:16

Alte Office Dateien und aktuelle Makro Versionen sind als höchst Sicherheitskritisch einzustufen.

Ich habe extern beide Formate gesperrt (whitelist ausgenommen) - kommt nur docx etc durch und habe mich mal wieder sehr beliebt gemacht ;)

 

Wenn das Ganze dann mit PDF Makros losgeht ... wirds noch ekeliger...


Bearbeitet von PowerShellAdmin, 22. August 2016 - 07:17.

Möge die Macht der PS mit Dir sein.


#13 OliverHu

OliverHu

    Senior Member

  • 789 Beiträge

 

Geschrieben 22. August 2016 - 10:09

kommt nur docx etc durch und habe mich mal wieder sehr beliebt gemacht ;)

 

Jepp, geht mir auch so :D

 

 

Wenn das Ganze dann mit PDF Makros losgeht ... wirds noch ekeliger...

 

Habe zusätzlich .js blockiert. PDF-Formulare werden dann aber auch geblockt.


Bearbeitet von OliverHu, 22. August 2016 - 10:09.

Viele Grüße!