Windows Defender schlägt Alarm: "Trojan:Win32/Fuery.b!cl" gefunden, wie verfahren?

[iPhill]

Hallo allerseits,

die heutige Frage steht eigentlich schon im Titel. Ich hab auf der Windows-Installation (nutze Windows parallel geschäftlich) die im Titel genannte Warnung erhalten, dass der Windows Defender die Schadsoftware "Fuery.b!cl" gefunden hätte.
Ein Blick ins WD-Contorl-Center sagt mir dann, dass der Schädling in Quarantäne sei und entfernt werden könne. Gelesen, getan.
Ich habe gleich darauf die Definitionen des Defenders upgedated, die Verbindung zum Internet am Rechner gekappt und einen "Vollständigen Suchlauf" manuell gestartet: Keine Bedrohungen gefunden.
Danach habe ich noch eine ebenfalls manuelle "Offline Überprüfung" mithilfe des Windows Defenders durchgeführt. Auch da: Kein weiteren Bedrohungen identifiziert.
Jetzt die Frage: Da Windows auf dieser Partition eben auch geschäftlich genutzt wird (teilweise sensible Daten), frag ich mich, ob diese Dekontamination für's Erste reicht, oder ob das System komplett plattgemacht und alles neuinstalliert werden sollte. Was meint ihr?
Hinweis: Laut Google-Suche soll dieser Trojaner doch recht "erheblichen Schaden" anrichten können & z.B. weitere Software laden und ausführen könnnen, so wie dazu im Stande sein, als Keylogger zu aggieren.

Liebe Grüsse & einen schönen Tag euch allen,
euer iPhill

 

[electricdawn]

Zuallererst sollte man sich mal Gedanken machen, WOHER Du dir diesen Trojaner eingeschleppt hast, und dann dein Nutzerverhalten entsprechend anpassen. Ansonsten nuetzt Dir alles Aufraeumen nichts, wenn Du dir das Ding gleich wieder faengst.

Nur als gutgemeinter Ratschlag.

 

[maba_de]

es gibt von ESET einen Online Scanner, den solltest du noch mal durchlaufen lassen.
Bitte nicht mit den Virenscanner (Kaufprodukt) von ESET verwechseln.

https://www.eset.com/de/home/online-scanner/

 

[iPhill]

Zuallererst sollte man sich mal Gedanken machen, WOHER Du dir diesen Trojaner eingeschleppt hast, und dann dein Nutzerverhalten entsprechend anpassen. Ansonsten nuetzt Dir alles Aufraeumen nichts, wenn Du dir das Ding gleich wieder faengst.

Nur als gutgemeinter Ratschlag.

Das ist in diesem Falle leichter gesagt als getan. Warum? Ganz einfach deswegen, weil ich an diesem Rechner eigentlich nur "sauberen Betrieb" mache und der einzige User bin; ich war gestern gerade damit beschäftigt ein paar E-Mails (auch das nur serverseitig und eben aus Sicherheitsgründen nicht mittels Outlook oder ähnlichem) zu schreiben, als plötzlich die Warnung kam. Sprich, nichts mit dubiosen Websites oder Downloads etc.
Daher kann ich mir selber nicht so recht erklären, wie der Schädling seinen Weg auf den Rechner gefunden hat. Windows 10 Pro & Office sind aktuell, andere Software ist nur von namhaften Drittherstellern installiert. Deswegen eben auch meine Irritation.
Dennoch: Danke.

 

[tomric]

Sprich, nichts mit dubiosen Websites oder Downloads etc.

Das muss auch gar nicht sein. Es wurden bspw. auch schon Adserver infiziert und so zur Verteilung genutzt. Wenn Du dann auf einer Seite bist, auf der Werbung vom entsprechenden System eingeblendet wird, hast Du den Mist schon im Browsercache und damit auf der Platte. Ansonsten wurde der Hauptteil an Schadsoftware in den letzten Jahren per Mail verteilt...

 

[electricdawn]

Dann koennte es (was durchaus vorkommt) auch ein Fehlalarm gewesen sein. Aber das ist natuerlich schwierig zu sagen. Ich wuerde mich mal ueber diesen Trojaner und seine ueblichen Verbreitungsmethoden informieren. Dann kannst Du eher eine Vermutung anstellen, wie Du ihn Dir gefangen haben koenntest.

 

[iPhill]

schon im Browsercache und damit auf der Platte

Dass das auch so möglich ist, wusste ich nicht - danke für diesen Hinweis! - an dieser Stelle wäre ich davon ausgegangen, dass der Browser-Cache innerhalb der Sandbox liegt. (Ich nutze hier Google Chrome als Browser, zwecks der regelmässigen Sicherheitsupdates.)

Hauptteil an Schadsoftware in den letzten Jahren per Mail verteilt

Eben, darum handhabe ich es so, dass ich immer nur über Webmail auf meine Mails zugreife und nie "lokal".

ueber diesen Trojaner und seine ueblichen Verbreitungsmethoden informieren

Das hab ich schon versucht; viel findet man allerdings leider nicht, lediglich, dass der Trojaner besonders gerne und aktiv von Hackern verbreitet wird um persönliche Daten abzufangen und dass er sich selber updaten, sowie eben weitere Software nachladen und installieren kann.

 

[electricdawn]

Na, Webmail ist genauso "lokal", wie ein Mailprogramm. Sobald Du sie anschaust, landet sie auf deiner Platte. Das macht ueberhaupt keinen Unterschied. Nur, ob sie dann aktiv werden, ist eine andere Sache. Ob Du Anhaenge im Mailprogramm oder im Webmail oeffnest ist wurscht.

 

[iPhill]

Na, Webmail ist genauso "lokal", wie ein Mailprogramm. Sobald Du sie anschaust, landet sie auf deiner Platte.

Werden die da nicht im RAM bzw. eben in der Browser-Sandbox gecachet?

 

[electricdawn]

Das wuerde wohl vom Browser abhaengen, aber runtergeladen muessen sie ja trotzdem erst werden. Bei Anhaengen ist das sowieso klar.

 

[Harper]

Moin,
erkanntes Problem ist meißtens ein gelöstes Probblem,wenn ich mich an meine Windows Zeit erinnere. Unter WinOs ist allerdings ein Virenscanner Pflicht,besonders wenn du geschäftlich damit arbeitest. Sorgen machen eher die Sachen,die nicht erkannt werden.
Beobachte deinen Mac mal und wenn er weiter rund läuft,würde ich ihn nicht platt machen. Könnte sonst eine monatliche neue Aufgabe werden.
Drücke dir die Daumem!

 

[electricdawn]

Unter WinOs ist allerdings ein Virenscanner Pflicht

Nein. Macht die Sache nur schlimmer.
PS: Gegen einen reinen Scanner(!) ist im Prinzip nichts zu sagen, aber da hat er mit dem eingebauten Defender schon ein ausreichendes Programm. Kommerzielle Loesungen sind meist auch nicht besser, und im Gegenzug sogar gefaehrlicher durch schlechte Programmierung und tiefes Einnisten im System.

 

[noodyn]

Nein. Macht die Sache nur schlimmer.
PS: Gegen einen reinen Scanner(!) ist im Prinzip nichts zu sagen, aber da hat er mit dem eingebauten Defender schon ein ausreichendes Programm. Kommerzielle Loesungen sind meist auch nicht besser, und im Gegenzug sogar gefaehrlicher durch schlechte Programmierung und tiefes Einnisten im System.

Leider völliger Nonsense. Unter Windows sollte man nach wie vor auf eine Virenschutzlösung setzen. Ja, man sollte mal vor der Auswahl eines Produktes einen Testbericht lesen. Das macht aber nicht gleich jede Lösung zu einer Gefahr durch "schlechte Programmierung".

 

[iPhill]

Unter WinOs ist allerdings ein Virenscanner Pflicht,besonders wenn du geschäftlich damit arbeitest.

Das unterschreibe ich jetzt so mal nicht. Ich bin der Meinung, dass Brain 2.0 in Kombination mit der MS-hauseigenen Lösung Windows Defender grundsätzlich sicherer sind, als ein AV, der tief ins System eingreift und Löcher aufreisst, die dann keine Software mehr zu stopfen im Stande ist.
Vgl. dazu die Aussagen eines Sicherheitsexperten: Klick.
PS: Und wenn ich mich dennoch für einen AV entscheiden sollte, dann wird es kein anderer als BitDefender werden.

es gibt von ESET einen Online Scanner, den solltest du noch mal durchlaufen lassen.
Bitte nicht mit den Virenscanner (Kaufprodukt) von ESET verwechseln.

https://www.eset.com/de/home/online-scanner/

Ist erfolgreich durchgelaufen: Keine Bedrohungen gefunden.
Nun denn, ich werd' es wohl für jetzt dabei belassen und das System so weiterzunutzen wie bisher.

 

[electricdawn]

@noodyn: Und jedesmal wieder die gleiche Diskussion... Hatten wir das nicht schon zigmal?

 

[agrajag]

Das Problem bei Schädlingen in Mails ist nicht die bloße Anwesenheit der Mail auf dem Rechner, sondern das Blauäugige öffnen eines kontaminierten Anhangs, in dem Glauben, es wäre tatsächlich von von einer bekannten Person oder Firma. Ansonsten passiert einem garnichts.

Einschränkend wäre noch die Möglichkeit, daß im HTML der Mail schadcode enthalten ist, der von dem einen oder anderen Mail-Client ausgeführt wird. Outlook (Express) war früher ein Garant für dieses Einfallstor. Heutige Clients dürften allerdings kein Javascript mehr ausführen. Ich würde vermuten, daß bei einem Web-Mailer eher die Chance besteht, daß derartiger Code ausgeführt wird.

Einen lokalen Client kann man also getrost verwenden. Bei Anhängen im Zweifel beim Absender nachfragen, ob die Person wirklich einen Anhang verschickt hat. Ein weiterer Indiz sind bei Anhängen die Dateiendungen. Bei Doppel-Endungen á la ".pdf.exe" kann mangetrost den Spam-Ordner bemühen.

In diesem Zusammenhang empfehle ich immer grundsätzlich "Dateierweiterungen anzeigen" im Finder zu aktivieren. Dann sind solche Mogel-Extensions sehr eindeutig zu erkennen. Das Problem bei den versteckten Extensions ist, daß sie nur bei den dem System bekannten Extensions ausgeblendet werden. Dadurch ist man es gewöhnt, daß Dateien mal Extensions haben und mal nicht. Und wenn, wie bei ".pfd.exe" die bekannte Extension ".exe" ausgeblendet wird, übersieht man leicht, daß ".pdf" ausgeblendet sein müsste und fällt viel leichter auf solche Tricks herein.

 

[agrajag]

Leider völliger Nonsense. Unter Windows sollte man nach wie vor auf eine Virenschutzlösung setzen. Ja, man sollte mal vor der Auswahl eines Produktes einen Testbericht lesen. Das macht aber nicht gleich jede Lösung zu einer Gefahr durch "schlechte Programmierung".

Sorry, aber das ist völliger Nonsense. Was meinst du wohl, warum der geneigte Nerd zu Weinachten erstmal damit beschäftigt ist, die Rechner der Verwandschaft zu entwanzen, obwohl die alle eine AV-SW benutzen? Der Mist hilft nicht nur nicht, sondern schaden sogar aktiv.

Das wird nicht nur von sehr sehr vielen Security-Fachleuten bestätigt, sondern auch schon von AV-Buden min. zwischen den Zeilen bestätigt. Es gibt sogar schon AV-Buden mit passen Produkten zu diesem Problem:

https://www.paloaltonetworks.com/resources/whitepapers/protect-yourself-from-antivirus

 

[maba_de]

und wie hätte der Virenscanner Gegner von so einer Infektion wie hier im Thread auf seinem Rechner erfahren? ...................

 

[agrajag]

@noodyn: Und jedesmal wieder die gleiche Diskussion... Hatten wir das nicht schon zigmal?

Diese Diskussion haben wir zu recht immer wieder. Und das sollte erst aufhören, bis sich das Thema AV-SW (auf dem zu schützenden Rechner) endgültig erledigt hat.

 

[agrajag]

und wie hätte der Virenscanner Gegner von so einer Infektion wie hier im Thread auf seinem Rechner erfahren? ...................

Das Problem ist doch: du kannst es im Zweifel nicht verhindern, daß es jemand auf dein Rechner schafft und sogar aktiv wird. Auch mit einer AV-Lösung. Dazu wird dir jeder Nerd Geschichten aus der Weihnachtszeit erzählen können. Nicht eine, sondern mehrere aus jedem Jahr. Ich hab selbst auch schon unzählige Rechner entwanzt, die eine AV drauf hatten.

Außerdem kannst du dir nie sicher sein, wieviel dir nicht angezeigt wird. Das ist gar nicht mal so selten, da die AV-Hersteller nur hinterher laufen. D.h. nur bekanntes kann auch entdeckt werden. Oder die Heuristik ist so großzügig eingestellt, zu oft falsch-positive angezeigt werden (ein häufiger Fall) und die Leute anschliessend auf einem nicht mehr bootfähigen Rechner sitzen. Die Leute wissen nicht wie sie sich verhalten sollen, wenn so eine Warnung kommt, und auch nicht, wenn mal wieder eine wichtige Systemdatei in die Quarantäne verschwunden ist und das System nicht mehr läuft.

Und du kannst dir niemals sicher sein, ob die AV-SW dein System wirklich gesäubert bekommen hat. Der Schädling könnte ja z.B. noch ein Rootkit hintergeschoben haben, was sich vor dem Scanner erfolgreich verstecken kann. Eigentlich sollte man nach einer Infektion das System immer komplett neu aufsetzen. Ohne sollte man das System nicht mehr als vertrauenswürdig ansehen.

Will sagen: dieses Problem ist eines, was sich durch AV-Lösungen nicht erschlagen lassen. Ja, man fängt gelegentlich mal einen Schädling, aber unter dem Strich kannst du dir niue sicher sein, daß der Schutz funktioniert. Und ich würde auch niemals davon ausgehen.

Ich denke auch, daß der richtige Ansatz die Komponente Mensch ist. Solange die Leute auf den buntesten Download-Button klicken, sich die Leute SW von Seiten wie Softpedia herunterladen (und nicht strikt nur von der Herstellerseite), solange Mailanhänge unkritisch geöffnet werden, solange wird sich das Problem nicht lösen lassen.

Ich beziehe mich übrigens ausschliesslich auf AV-Lösungenm, die auf Clients läuft. Gleiches gilt auch für Firewalls – auf den zu schützenden Rechnern sind sie einfach Unfug.