Windows Defender – Bedrohung gefunden: Trojan:Script/Phonzy.B!m

[DrBoeld]

Heute früh erstmals bei mir die Nachricht vom Defender, dass eine schwerwiegende Bedrohung gefunden wurde. Dabei handelt es sich offenbar um einen Trojaner und wird vom Defender wie folgt beschrieben:

„Bedrohung gefunden- Aktion erforderlich

Erkannt: Trojan:Script/Phonzy.B!ml
Status: Aktiv
Aktive Bedrohungen wurden nicht behoben und werden auf Ihrem Gerät ausgeführt.

Datum:
Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Betroffene Elemente:
file: C:\Windows\Temp\PF4991.pdf“


Bisher habe ich mich in Sachen Sicherheit auf den Defender verlassen. Im Verlauf werden einige andere Bedrohungen von heute früh genannt, die blockiert oder unter Quarantäne gestellt wurden. Nur die oben genannte (schwerwiegende) Bedrohung kann weder entfernt noch unter Quarantäne gestellt werden.

Teilweise erschien mir TurboMed heute noch langsamer und schwerfälliger als sonst, aber grundsätzlich war arbeiten noch möglich.

Wie gehe ich nun am besten vor? Reichen ein paar Ratschläge aus dem Forum oder brauche ich professionelle Hilfe? Wie hoch ist die Bedrohung wirklich? Eignet sich Anti-Malware Software, wie auf chip.de empfohlen.

Ich bin um jeden guten Rat dankbar!

[XRAY]

Die ml-Endung in Trojan:Script/Phonzy.B!ml steht für machine learning, eine automatisierte verhaltensbasierte Echtzeiterkennung bislang unbekannter Sicherheitsrisiken, welche im Defender eingesetzt wird. Dies ermöglicht proaktive Erkennung eventueller Malware bzw. Adware, teilweise werden aber auch falsch positive Ergebnisse generiert: https://dotnet.microsoft.com/en-us/plat ... t-defender

Dass der Defender allerdings daran scheitert, die potentielle Malware in Quarantäne zu verschieben, macht den Sachverhalt durchaus suspekt.

Mögliches Vorgehen - natürlich auf eigenes Risiko:
- Scan zunächst mit: https://www.malwarebytes.com/adwcleaner
- ggf. anschließend zusätzlich https://www.adlice.com/roguekiller
- alternativ https://www.bleepingcomputer.com/downlo ... scan-tool/
- falls sich hierbei Hinweise auf Malware erhärten, diese aber weiterhin nicht entfernt werden kann: zunächst https://www.bleepingcomputer.com/download/rkill/ ausführen und gleich anschließend zuvor genannte Erkennungsprogramme erneut durchlaufen lassen.

Viel Erfolg!

[lcer]

Hallo,

Zu allererst ein Backup vom System machen! Mindestens aber die Turbomed-Datensicherung. Und den Sicherungsdatenträger physisch vom System trennen.

Dann das gesamte Netzwerk vom Internet trennen.

Ich würde das System komplett neu aufsetzten. Auf jeden Fall auch alle verbundenen Systeme scannen, auch NAS.

Im Zweifelsfall würde ich empfehlen, das den betreuenden ITler machen zu lassen.

Grüße

lcer

[nmndoc]

Hallo,

erstmal ganz allgemein:
Der Ablageort der Datei ist m.E. eher unüblich
Sie können die PDF wenn sie nicht blockiert ist / wird (zb vom defender) mal bei virustotal.com hochladen und schauen, was andere Scanner dazu meinen.

Allgemein zum Thema gabs mal hier was, weiß nicht wie aktuell das ist:
https://www.heise.de/ratgeber/Der-Viren ... 70846.html

Wie gehe ich nun am besten vor? Reichen ein paar Ratschläge aus dem Forum oder brauche ich professionelle Hilfe? Wie hoch ist die Bedrohung wirklich? Eignet sich Anti-Malware Software, wie auf chip.de empfohlen.

Also - sorry wenn ich das so sage - aber bei "auf chip.de empfohlen" - da mußte ich schon lachen. Bitte! Chip hatte mal irgendwann in den 90ern so ein mittelmässiges Magazin, das eher bei mittelmässige Hoppyusern beliebt war (hoffe ich trete damit Niemandem zu nahe). Die Zeiten sind lange vorbei und seither geht's bergab. Kommt mir irgendwie vor wie web.de oder Pearl Versand. Aber zum Thema: wofür chip.de doch bekannt ist (war?), dass sie die dort angebotene Software mit fragwüdiger Adware gebundelt haben - insofern wirklich witzig in o.g. Kontext "von chip.de empfohlen" zu lesen. Die sind eher Teil des Problems als der Lösung. (Wir haben hier den Chip-Installer gleich mal in die Signaturdatenbank als mutmaßlich bösarig aufgenommen).

Nächster Ratschlag: eigentlich müssten Sie von einem sauberen Medium booten und das System dann absuchen - manche AV-Hersteller bieten so etwas an. Weiß aber nicht wie fit sie sind. Daher wäre eigentlich der Rat: Profesionelle und vertrauenswürdige Beratung vor Ort - nicht über ein Forum.

[Elkrib]

Hallo,
auf YouTube gibt es einige Videos, wie man diesen Trojaner entfernen kann.

[torsten2]

Ein Offline Scan ist immer besser, Rootkits können im laufenden System nicht erkannt werden. Habe vor Jahren zweimal Linux neu machen müssen wegen Heartbleed über ssh1. Ich lade mir dann immer ein neues Image herunter z.B. von Kaspersky. Für solche Zwecke habe ich einen USB-Stick mit einem mechanischen Schreibschutzschalter. Das Image von einem sauberen System überspielen, Schreibschutz rein und man kann die Infektion nicht weiter im System verspitteln.

[lcer]

Hallo,

Hallo,
auf YouTube gibt es einige Videos, wie man diesen Trojaner entfernen kann.

ist irrelevant. Ein Trojaner ist ein Einfallstor-Tool für Hacker. Also die erste Stufe des Angriffs. Man muss nicht nur den Trojaner entfernen, sondern sicherstellen, dass die Hacker nicht bereits weitere Modifikationen am System vorgenommen haben. Wenn es dumm läuft, entfernt man den Trojaner und die eigentliche Malware ist weiter im System.

Wer hier Youtube-Videos benötigt, hat nicht genug Wissen, um ein Gesundheitsdaten-IT-System sicher zu säubern. Am privaten PC mag das OK sein, aber in der Arztpraxis so etwas bitte immer mit einem sachkundigen IT-ler.

Will man selber etwas sicheres machen, kann man einen völlig neuen PC aufsetzen und vom alten PC nur die Daten transferieren. Das hat aber Grenzen, wenn man ein Netzwerk mit mehreren Rechnern betreibt. Da muss man davon ausgehen, dass sich Malware schon weiter verbreitet haben könnte.

Achtung: Virenscanner finden nur bekannte Malware oder Malware, die bekannte Programmmuster verwendet. Ein Virenscanner kann zum Beispiel kein kompromittiertes Benutzerkonto erkennen (also eins, von dem die Hacker das Passwort haben), solange das Konto keine Malware ausführt. Virenscanner am PC erkennen auch keine Malware, die sich auf dem Router oder Drucker eingenistet hat.

Die einzigen Warnmeldungen, die ich ignorieren würde, wären Virenscanner-Meldungen bezüglich infizierten Email, wenn ich mit sicher bin, dass kein Benutzer diese Email zuvor aufgerufen/geöffnet hat.

Die ganze Sache ist mittlerweile unerfreulich geworden. Daher nochmal:

1) Offline-Backup erstellen
2) IT-ler ins Boot holen.

Nochmal zum Trojaner entfernen: Es bringt nichts mehr, den Bombenleger zu erschießen, wenn der den Countdown seiner Bomben schon gestartet hat.

Grüße

lcer

[nmndoc]

@Icer: bzgl. Videos gebe ich Ihnen recht. Abgesehen davon findet sich da auch genügend Triviales (Trivialstes) und Halbwissen - mit dem dann dringend die Welt beglückt werden muß...
Daher ja, besser Jemand dazu nehmen, der weiß was er tut.
Bevor man allerdings im Panikmodus alles platt macht und frisch aufsetzt (oder wie ich es nenne: Schadensmaximierung), sollte man mal mind. ausschließen, dass es ein Fehlalarm ist bzw einen begründeten Verdacht habe, dass da etwas überhaupt ausgeführt wurde / weiter aktiv wurde.

[lcer]

Bevor man allerdings im Panikmodus alles platt macht und frisch aufsetzt (oder wie ich es nenne: Schadensmaximierung), sollte man mal mind. ausschließen, dass es ein Fehlalarm ist bzw einen begründeten Verdacht habe, dass da etwas überhaupt ausgeführt wurde / weiter aktiv wurde.

Und wie soll man das ohne ausreichende Kenntnis tun? Oft ist die richtige Diagnose schwieriger als die Therapie ….

[nmndoc]

Und wie soll man das ohne ausreichende Kenntnis tun? Oft ist die richtige Diagnose schwieriger als die Therapie ….

das war mehr ein genereller HInweis - nicht "statt" Jemanden hinzuziehen. aber ich habe gesehe, dass sie es wohl auf das Szenario "selbst machen" bezogen hatten.

[Randolf]

Hallo, vielen herzlichen Dank für die wertvollen Informationen. Kenntnisse zur Hilfe habe ich leider da keine. Mich würde aber interessieren wie diese Trojaner heute ins Netzwerk herein kommen? Wir versuchen so weit wie möglich die Praxis Rechner vom Internet abzuschirmen . Also wir betreiben keinerlei Mail Verkehr mit dem Praxis Netz. Es bleibt eigentlich nur die T.I. Verbindung. Was kann man denn prophylaktisch heutzutage noch tun um so ein Dilemma möglichst zu vermeiden. Worauf sollten wir in unserer täglichen Arbeit denn sorgfältig achten? Sorry für meine vielleicht etwas laienhafte Anfrage.

[nmndoc]

@Randolf

Mich würde aber interessieren wie diese Trojaner heute ins Netzwerk herein kommen?

ich würde sagen dass es nach wie vor die klassischen Wege sind, dh

- E-Mail-Angang (unterschiedliche, teil. auch exotischere) / E-Mail-Link / "Support-"Anruf "klicken sie mal da..."
- infizierte Websites - dh "drive-by" Infektion oder eben absichtlich dafür estellte - s.o. "Link"
- ggf Teams/Onenote etc als Sonderfall/Variante
- nicht völlig abwegig wären infiziere Smartphones von Mitarbeitern (via USB am PC oder ggf WLAN im selben Netz) und Wechseldatenträger - aber m.E. die zuvor genannten deutlich in Führung

eben ggf auch in Variationen/Kombination - also E-Mail mit Link zu einer angeblichen Bewerbung als PDF die auf Dropbox/Onedrive etc liegt ... wobei es durchaus passieren kann, dass Sie zB gerade wirklich eine MFA suchen o.ä. ...

Wir versuchen so weit wie möglich die Praxis Rechner vom Internet abzuschirmen . Also wir betreiben keinerlei Mail Verkehr mit dem Praxis Netz. Es bleibt eigentlich nur die T.I. Verbindung. Was kann man denn prophylaktisch heutzutage noch tun um so ein Dilemma möglichst zu vermeiden.

Wie schirmen die denn das Praxis-Netz ab? Dh gegenüber den Internet und gegenüber den PCs, an denen Sie dann wohl dann explizit Mail/Internet machen? (falls für die Internet-PCs die Praxis-PCs grundsätzlich erreichbar sind, wäre eine weitere Infektion /Weiterverbreitung via Netzwerk denkbar/wahrscheinlich)

[nmndoc]

@DrBoeld wir sind alle ganz gespannt, was denn nun dabei heraus gekommen ist?

[DrBoeld]

Nun will ich mich mal zum Stand der Dinge melden. Vielen Dank für die zahlreichen Hinweise und Tipps. Letztlich haben mich diese auch ein Stück weiter gebracht.

Dem Tipp von XRAY folgend habe ich die Antimalwareprogramme Malwarebytes und Roguekiller herunter geladen und damit mein System gescannt. Es wurden verschiedene Schadprogramme gefunden und in Quarantaine verbracht. Es kommen nun seit Tagen keine Warnmeldungen mehr - weder über Windows Defender noch über die genannten Programme.

Zu schön um wahr zu sein? Ich habe selbst auch gemischte Gefühle, ob damit das Problem vollständig und nachhalten gelöst ist. Es besteht ja das realistische Szenario, dass zumindest Teile der Malware noch auf meinem System sind und zu einem späteren Zeitpunkt ihre unheilvolle Wirkung entfalten. Aber aktuell weiß ich nicht, was ich noch tun soll. Meine Kenntnisse zur Materie sind bescheiden bis gar nicht vorhanden. Also müsste ein Profi ran und außer dem TM Serviceprovider wüsste ich nicht, an wen ich mich wenden soll.

Sofern es In der Sache Neuigkeiten gibt, werde ich mich nochmal melden.

[Randolf]

Hallo Herr Dr. Böld meine Gedanken sind oft bei Ihnen, auch wenn ich Ihnen leider keine Lösung anbieten kann. Gut zu hören, daß der Betrieb erst mal ohne erkennbare Beeinträchtigung weiter gehen kann. Und trotzdem kann ich mir vorstellen, daß ein komisches Gefühl zurück bleibt. Mich beschäftigt das Problem gedanklich auch weiter . Danke auch an @nmndoc für die umfassende Erklärungen .

Um nochmals darauf zurückzukommen , wir versuchen uns mit den Praxisrechnern, wo Patientendaten hinterlegt, sind so gut es geht, vom Internet abzuschirmen. Praktisch läuft der Mail-Verkehr, den wir auch gern im Rahmen halten, genau wie andere online Aktivitäten wie z.Bsp ein evtl. Meeting über "Zoom" oder "Webex" - (ist ja jetzt sehr bekannt geworden) über Rechner ,welche einen eigenen, auch räumlich vom Praxis-Netzwerk getrennten DSL Account und einen separaten Router haben.
In Kenntnis der hier im Thread gut dargelegte Reaktionsmöglichkeiten , haben wir jetzt in den letzten Tagen die Möglichkeiten der Redundanz weiter aufgerüstet. Wir haben einen Ersatz-Server vorbereitet und jetzt auch 2 Ersatz Client PC (wenn auch nicht die beste Hardware-jedoch arbeitsfähig )auf welche wir im evtl.Ernstfall eines Virus-Angriffes dann umgehend die letzte vermeintlich und "hoffentlich real dann auch saubere" Datensicherung aufspielen würden um erst Mal anfänglich weiter arbeiten zu können. Dann würde man sehen was noch in Ruhe zu tun wäre ? Unser Ansatz Ist sicher nicht proffessionelles Vorgehen, aber für uns einfach pragmatisch , und das kleinere Übel , wo wir uns etwas sicherer fühlen.