Goodkit-Virus wie finden?
Ich habe durch eine Warnung meines Vertragsanbieters mitgeteilt bekommen, dass ich auf einem Gerät einen Gootkit-Virus habe (die Nachricht ist kein Fake, Kundennummer etc. war angegeben). Es kommt für mich nur ein Gerät in Frage, wo ich schon mehrere Virenscans durchgeführt habe. Keine Virenprogramm hat ausgeschlagen (3 verschiedene, eins davon extra nur für Malware, sie alle sind relativ seriös).
Ich habe also mich über den Virus informiert und herausgefunden, dass er meistens in ein Java-Script geschrieben ist. Ich habe dann im Task Manager nach unseriösen Dateien, speziell Java-Scripts, gesucht, habe allerdings wieder nichts gefunden.
Jetzt würde ich a) gerne wissen, ob ihr noch andere Möglichkeiten zu Identifizierung dieses bestimmten Virus kennt oder b) es also nicht dieses Gerät sein kann, was betroffen ist.
Und könnte es auch sein, dass der Virus durch das Löschen einer Junk-Datei wieder entfernt wurde und deshalb nicht mehr auffindbar ist, denn mein Anti-Virus-Programm hat solche eben schon entdeckt.
Danke im Voraus, wie ihr euch denken könnt, bin ich bzgl. dieser Warnung sehr beunruhigt und ratlos.
2 Antworten
Für mich wirkt das sehr nach einem extrem guten Pishing-Versuch. Es kann natürlich immer sein, dass der Mobilfunkanbieter einem derartiges mitteilt, aber ich halte es eher für unwahrscheinlich, dass dieser das bemerkt, geschweige denn Zugriff auf deinen Rechner hat. Ich würde mich dringend beim Support deines Anbieters erkundigen, ob die Email wirklich von ihnen stammt, oder ob du nur deine Daten herrausrücken sollst. Ich hoffe mal, du hast auf nichts in der Mail geklickt oder keine Anhänge geöffnet. Wenn schon hast du jetzt wahrscheinlich auf dem Gerät, mit dem du die Mail geöffnet hast einen Virus. Gute Pishing-Versuche werden immer echter und sehen dann wirklich genauso aus, wie eine echte Mail. Durch Datenlecks oder vorherige Pishingversuche kann deine Kundennummer auch mal leicht nach außer dringen. Da dein PC noch funktioniert gehe ich davon aus, dass da nichts akutes anbrennt (übernehme natürlich keine Garantie) und bis du eine Antwort hast würde ich ihn einfach auslassen. Ansonsten lass auch nochmal über das Gerät mit dem du die Mail gekriegt hast einen Scan laufen. Es ist natürlich nie sicher, ob nichts drauf ist, aber es ist auf jeden Fall besser als nichts. (übrigens: Meinst du einen Rootkit-Virus? - auf dein Rootkit vom PC sollte dein Anbieter gar keinen Zugriff haben, der sich ja nur um die Internetverbindung kümmern sollte und auch wenn du das nicht meinst, solle deine Serviceprovider darauf keinen Zugriff haben in der Regel, aber es kann natürlich auch sein, dass die Mail doch echt ist...)
Lass zur Sicherheit über ALLE Geräte, die du verwendest einen wirklich sehr seriösen Scan, wie von Kasperski, Avira oder Sophos laufen und achte, ob dir in nächster Zeit etwas außergewöhnliches auffällt und wenn die Email tatsächlich von deinem Provider kommt, frage nach mehr Einzelheiten...
Okay, das klingt doch schon mal beruhigender (natürlich nur, wenn du den Kundenservice von der Website und nicht den aus der Mail angerufen hast xD)
Hier habe ich dir mal die Definition eines Rootkits herausgesucht. Von dem anderen Virus habe ich leider noch nie was gehört.
https://de.wikipedia.org/wiki/Rootkit
Das Problem ist, dass ein Rootkit-Virus echt ziemlich schitte wäre, da es sein Ziel ist unentdeckt zu bleiben und sich vor Antivirenprogrammen zu verbergen.
Es klingt auf jeden Fall beruhigend, dass du keine Bankdaten usw. hast.
Ich kenne mich mit den Erlaubnissen vom Provider nicht so gut aus, aber es ist denke ich möglich das herauszufinden als Betreiber. Wenn er das aber schon rausgefunden hat, sollte er dir auch sagen können welches Gerät oder IP-Adresse betroffen ist. Deswegen würde ich mcih nochmal hinter den Hörer klemmen und versuchen mehr aus den Damen und Herren herauszubekommen. Wenn es eine echte Warnung ist, können sie dir sicher am besten helfen.
Wenn du dann weißt welches Gerät betroffen ist, versuche den Virus aufzuspüren oder im Notfall das Gerät zurückzusetzen.
Hast du jetzt eigentlich auf allen Geräten in deinem Heimnetz einen Virenscan ausgeführt? Es ist ja nicht gesagt, dass sich dieser auf dem PC befindet.
(übrigens nochmal wg. der Spam-Datei: Diese kann durchaus auch ein gut getarnter Virus gewesen sein. Darauf würde ich mich an deiner Stelle aber nicht verlassen und erstmal versuchen mehr rauszubekommen...)
Ich persönlich kann dir Sophos nur empfehlen, diese Anwendung gibt es sowohl für Windows, als auch für Linux und Android kostenlos. oder eben ein Probeabo bei eiinem anderen kostenpflichtigen Dienst, das du dann danach kündigen kannst. Wichtig wäre nur, dass du alles mit einem guten Antivirenprogramm nochmal durchscannst.
In der Tat hatte auch ich von meinem Provider nun schon zweimal eine Mailnachricht mit dem Hinweis, daß ein Gerät an meinem DSL-Anschluß ein Gerät mit einem Virus infiziert sei (kein Link o.ä. im Mail zum anklicken). Die angegebene IP-Adresse stimmte wenigstens von der Range her, durch Rückruf beim Provider habe ich die Echtheit der Mail, in der als Bezeichnung des Virus "Gootkit" angegeben war, verifiziert. Der Supportmitarbeiter informierte mich, daß der Provider die Information über das Virus und die externe IP-Adresse des DSL-Anschlusses vom BSI erhalten habe. Tatsächlich hatte ich kurz darauf einen Phishing-Versuch, den ich rechtzeitig erkennen und abblocken konnte. Jetzt bin ich dabei, meinen PC neu aufzubauen.
Übrigens: mein Antivirenprogramm Avira Pro hat nach mehrmaligem Scan über mehrere Tage hinweg (natürlich nach regelmäßiger Aktualisierung) weder eine Bedrohung gefunden noch einen Warnhinweis ausgegeben. Kennt jemand ein AV-Programm, mit dem man diese Schadsoftware aufspüren kann?
Ich habe tatsächlich schon mit dem Kundendienst telefoniert und dort wurde mir gesagt, dass die Email von ihnen stammt. Kann natürlich trotzdem ein Irrtum sein.
Ich meinte aber schon "Goodkit", so heißt es in der Email. Inwiefern jetzt der Unterschied zu einem Rootkit-Virus besteht, weiß ich nicht, habe auch noch nie von einem Goodkit gehört, scheint aber ein Virus zu sein, der vor allem auf Bankdaten geht, da bin ich zum Glück nicht betroffen. Denkst du, dass es realistisch ist, dass mein Anbieter diesen Virus überhaupt allein durch die Internetverbindung ausmachen kann?