Frage von Forgrimm01, 25

Zeroaccess-Rootkit/Virus - Wo kann es sich verstecken?

Guten Abend,

ich komme gerade von einem 3-wöchigen Urlaubstrip wieder und checke die E-Mails als ich eine Mitteilung von abuse@telekom.de (Telekom-Sicherheitsteam) finde:

.... uns liegen Hinweise von Sicherheitsexperten vor,
dass mindestens ein Rechner oder ein Endgerät,
z.B. Smartphone, das sich über Ihren Internetzugang
mit dem Internet verbunden hatte,
mit einem Virus/Trojaner infiziert ist. Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihnen zugeordnet: IP-Adresse: 84.############# Zeitangabe: 17.07.2016 01:30:54 MESZ Infektion: zeroaccess
..............

Nur leider ist zu diesem Zeitpunkt niemand anwesend gewesen! Smart-TVs, Computer und Drucker waren nicht am Strom! Der WLAN-Timer war darauf eingestellt, nur von 10 Uhr bis 11 Uhr morgens aktiv zu sein! Per LAN war nur ein alter DLAN-Adapter am Speedport angeschlossen, dessen TV am anderen Ende vom Strom getrennt war!

Selbst die angeschlossene Festplatte (als NAS) war rausgezogen und der aktivierte Fon-Hotspot des Speedports bekommt angeblich eine eigene IP mit getrenntem Netzwerk, weshalb hierüber niemand verbunden gewesen sein kann.

Hat jemand eine Idee, wie ich das betroffene Endgerät finde? Schließlich gibt es keines, welches verbunden war? Ich habe mir die Meldung von der Telekom telefonisch bestätigen lassen - doch man konnte mir nicht weiterhelfen.

Was sollte ich unternehmen? Virensuchen mit Kaspersky und Malwarebytes haben nichts ergeben. Soll ich doch alle PCs neu aufsetzen, obwohl sie zum angegebenen Zeitpunkt nicht verbunden sein konnten? Könnte eventuell das Speedport selbst infiziert sein? Oder könnte doch ein Fehler bei der Diagnose vorliegen?

Bitte um dringende Hilfe - ich weiß nicht weiter!

Vielen Dank im Voraus!

Expertenantwort
von Telekomhilft, Business Partner, 25

Guten Abend Forgrimm01,

du hast auf jeden Fall schon gute Vorarbeit geleistet.

Am besten meldest du dich jetzt im Kundencenter an und änderst alle vorhandenen Passwörter (persönliches Kennwort, Passwort und das E-Mail-Passwort). Anschließend kannst du die Kollegen kontaktieren, damit dein Postfach wieder freigeschaltet wird.

Der Zugriff ist vermutlich vor deiner Abwesenheit erfolgt. Ich bin sicher, dass dein Anschluss dann wieder gut geschützt ist.

Viele Grüße

Natalie P. von Telekom hilft

Kommentar von Forgrimm01 ,

Guten Abend, vielen Dank für die schnelle und persönliche Hilfe!

Doch soweit ich das verstanden habe, ist mein Postfach nicht das Problem. Es wäre wohl ein Endgerät, welches mit meinem Speedport Hybrid verbunden war, mit dem zeroaccess-Trojaner/Virus/Rootkit infiziert.

Doch leider konnte man mir bei der Suche nach dem Endgerät nicht genauer helfen und theoretisch kann ich auch alle meine Endgeräte ausschließen - sie waren zum beschriebenen Zeitpunkt  "abwesend" oder ohne Strom.

Dennoch sei laut eines Telekom-Sicherheitsexperten an der Hotline garantiert ein Angriff oder ein Verbreitungsversuch von meiner IP ausgegangen (welchen irgendwelche Sicherheitsinstitute, die wohl "Fallen" im Netz aufstellen, bemerkt hätten).

Ich weiß nicht ob ich den Virenscannern misstrauen soll, doch es scheint mir unwahrscheinlich, dass Kaspersky Internet Security, Malwarebytes Anti-Malware Free, das Kaspersky Virus Removal Tool und Spybot etwas übersehen hätten. Versteckt das Rootkit sich vielleicht zu gut? Aber ich habe ja trotzdem noch nichts persönlich bemerkt und keines der Geräte war zu dem genannten Zeitpunkt online!?!

Vielen Dank!

Kommentar von GWBln ,

Um Schadsoftware zu lokalisieren solltest du deinen Rechner mit einer Live-Linux-Variante und Scanner-Programm starten. Es gibt durchaus solche ... eventuell beim Heise-Verlag (kostenlose Images, zu brennen auf eine CD/DVD).

Nur so kann sich (im Normalfall) ein Schadprogramm auf dem Rechner aktivieren.

Zum Zeitpunkt der Überprüfung kannst (und solltest) du das ganze System vom Internet trennen.

Kommentar von Telekomhilft ,

@Forgrimm01: GWBln hat dir bezüglich der Schadsoftware schon einen guten Tipp gegeben.

Viele Grüße 

Natalie P. von Telekom hilft

Keine passende Antwort gefunden?

Fragen Sie die Community