Wie erkennt man einen infizierten PC?

[Philo]

Guten Abend zusammen,

kaum ist man mal kurz auf Windows unterwegs, schon fängts an zu nerven... 
Der Defender hat sich heute gemeldet, dass er einen ,,Trojan-Spy.JS.Paylap.a" im Firefox-Profile-Ordner gefunden hätte (C:\Users\USERNAME\AppData\Local\Mozilla\Firefox\Profiles\ckbvptl2.default-release\cache2\entries) – und den gelöscht hat (Firefox und Windows sind auch aktuell gepatcht).

Ich habe mal gecheckt, das Verzeichnis ,,cache2\entries" gibt es tatsächlich nicht mehr, im Task Manager sieht man auch keine ,,komischen" Dienste laufen und habe vorsichtshalber noch zusätzlich mit Malwarebytes einen Scan durchgeführt – der hat auch nichts (mehr) gefunden.
Ist halt die Frage ob das nicht sogar ein Fehlalarm vom Defender war – ich war zu dem Zeitpunkt nämlich nur auf der SZ lesen – sonst hatte ich nichts weiteres offen.

Habt ihr ggf. noch einen Tipp zu gucken ob etwas passiert ist?

[Exciter]

ADW-Cleaner und Malwarebytes drüber lassen 

[Bit]

Wenn Du es (analog zum Defender) grundlegend richtig machen willst:
Microsoft Security Intelligence: TrojanSpy:JS/Chrome.A

Außerdem:

Martin Bar
Microsoft Agent | Moderator
Replied on February 5, 2018
Hi,

We may remove quarantined virus in Windows Defender. Since Windows Defender was able to quarantine the viruses, other another antivirus programs will no longer detect them. To delete the quarantined viruses, go to the scan history section (Shield icon), then click Remove all to remove all quarantined viruses.

Should you need further assistance, feel free to post your query any time.

6 people found this reply helpful

[duda]

Ist halt die Frage ob das nicht sogar ein Fehlalarm vom Defender war – ...

Meine wage Ferndiagnose: Ich würde das als Fehlalarm deuten.
Die Suchmaschinen meines Vertrauens liefern nur ein plausibles, naheliegendes Ergebnis (wortlaut nicht identisch):

Code Auswählen Erweitern

,,TrojanSpy:JS/Paylap.B" statt ,,Trojan-Spy.JS.Paylap.a"

Code Auswählen Erweitern

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanSpy%3AJS%2FPaylap.B
Darüber freut man sich doch als Computerbenutzer, wenn Microsoft Windows so toll mitdenkt und mit Hilfe seiner Bordmittel den "potenziellen Schädling" (ungefragt) sofort rückstandsfrei vom System tilgt. Ein Hoch auf die Redmonder!

[Philo]

Vielen Dank an euch allen, dann werde ich das noch machen und vorsichtshalber auch gleich den Firefox noch neu installieren.

Kurze allgemeine Frage dazu – so wie ich das verstehe kommt das Teil über Javascript, d. h. mir hätte das jetzt auch unter Linux passieren können (und vermutlich gar nicht bemerkt), richtig?
Kann ich den Firefox (oder ggf. uBlock Origin) noch weiter ,,aufpimpen" um dagegen besser geschützt zu sein, auch unter Linux (ggf. über ein weiteres AddOn wie z. B. Browser Safety AddOns der AV-Hersteller; uBlock Origin und die Basis-user.js vom Privacy-Handbuch ist bei mir ohnehin bereits aktiv)?

[duda]

Der Auslöser war in deinem Fall ja (wahrscheinlich fälschlich) der Defender. Insofern hatte das erst einmal gar nichts mit dem FF zu tun. Fraglich ist außerdem, ob der vermeintliche Schädling, den es internetweit zudem gar nicht zu geben scheint, im Zusammenhang damit überhaupt in Verbindung steht. Allein uBlock Origin kann, sofern richtig konfiguriert, eine Vielzahl von Scripten blockieren. Wenn dir das als nicht ausreichend erscheint, kannst du noch weitere Add-ons einbinden, die wirksam Scripte blockieren können (bspw. NoScript o. ScriptSafe). Dabei aber bitte auch die möglichen Wechselwirkungen von Add-ons bedenken!

Als Beispiel - uBO blockiert grundsätzlich sämtliche Ressourcen aus Drittquellen (dauerhafte Einstellung):

Spoiler

[Philo]

Danke dir duda. Gibt es für uBlock eigentlich noch zusätzlich empfehlenswerte Block- und/oder Filterlisten?

Und nochmal eine allgemeine Frage zum Thema ,,aktuelles System". Sprich wenn doch das System und der Browser aktuell gepatcht ist, dann kann doch eine bekannte Malware gar nicht so viel Schaden anrichten, richtig?

[duda]

Gibt es für uBlock eigentlich noch zusätzlich empfehlenswerte Block- und/oder Filterlisten?

Sind die Empfehlungen von cane‍ (prhdb) sowie die von Mike Kuketz (MK) nicht mehr auf dem aktuellen Stand? Oder gibts dahingehend weitere Unklarheiten?

Sprich wenn doch das System und der Browser aktuell gepatcht ist, ...

Erkläre uns bitte mal kurz was du unter "gepacht" verstehst?

[Philo]

Erstmals ein frohes neues Jahr euch allen!

Sind die Empfehlungen von cane‍ (prhdb) sowie die von Mike Kuketz (MK) nicht mehr auf dem aktuellen Stand? Oder gibts dahingehend weitere Unklarheiten?

Ah super, die habe ich ohnehin schon so. Dann bin ich da auf dem aktuellen Stand, dachte nur, dass es evtl. was Neues bzw. Zusätzliches gibt.

Erkläre uns bitte mal kurz was du unter "gepacht" verstehst?

Darunter verstehe ich, dass ich alle aktuell verfügbaren Updates (Betriebssystem, Browser) installiert habe.

[duda]

..., dachte nur, dass es evtl. was Neues bzw. Zusätzliches gibt.

Wenn dem so ist, ist es auch immer recht zeitnah im Privacy-Handbuch (prhdb)recherchierbar.
Der Dank dafür gebührt cane sowie cane's kleinem Team.

[Philo]

Wenn dem so ist, ist es auch immer recht zeitnah im Privacy-Handbuch (prhdb)recherchierbar.
Der Dank dafür gebührt cane sowie cane's kleinem Team.

Ah danke für die Page mit den Überarbeitungen im Handbuch, das bookmarke ich mir gleich. Ich habe das früher immer mühevoll manuell abgeglichen...

Noch kurz zu vorhin, wenn das System (wie ich es beschrieben hatte) gepatcht ist. Wie viel kann eine Malware dann noch Schaden anrichten. So wie ich das verstehe nutzt eine Malware doch immer eine Schwachstelle aus und wenn diese durch den Patch geschlossen ist, kann die doch nichts mehr machen, richtig?

[duda]

Wie viel kann eine Malware dann noch Schaden anrichten.

Die Frage kann nicht pauschal beantwortet werden.

Fakt ist:
Es wird immer Schwachstellen geben. Da gibt es die, die erkannt und bestenfalls gefixt wurden, und die, die unentdeckt schlummern.

Eine weitere Differenzierung:
Werden bekannte Schwachstellen aktiv (in freier Wildbahn) ausgenutzt oder sind sie "nur" bekannt und ungefixt.

Die gute Nachricht: Ein gut gepflegtes System kann die Zahl der möglichen Einfallstore bestenfalls auf ein Minimum reduzieren.

[Philo]

Vielen Dank, duda für deine Erklärung. Kann mir vorstellen, dass das alles nicht so easy ist.

Die gute Nachricht: Ein gut gepflegtes System kann die Zahl der möglichen Einfallstore bestenfalls auf ein Minimum reduzieren.

Das ist gut - da bin ich immer vorne dabei beim patchen  :TOP