[Ungelöst] Plötzlich Dateien im Papierkorb - Virus?

G

Ganztageshörerin

Profi
Thread Starter
Mitglied seit
06.06.2020
Beiträge
34
Hallo,

Vorhin stellte ich fest, dass verschiedene Dateien, die im OneDrive-Ordner und Unterordnern gespeichert waren (und nur solche!), plötzlich im Papierkorb lagen.

Kannte ich normalerweise nur davon, wenn ich beispielsweise über die OneDrive-App auf dem Handy Dateien löschte und dann durch die Synchronisation sie im Windows in den Papierkorb geschoben wurden. Das habe ich aber nicht gemacht.

Und interessanterweise stand da bei "gelöscht am" der heutige Tag und Uhrzeiten über mehrere Minuten hinweg, als hätte jemand die Dateien händisch einzeln dort reingeschoben. Während dieser Zeit hatte ich soweit ich mich erinnere ein PC-Spiel gespielt.

Nun die Frage: Wie kann das sein? Hat jemand Zugriff auf mein Microsoft-(OneDrive)-Konto? Fand da aber nur eine Anmeldung von vor einem Monat, die auch hätte ich sein können, auch wenn da der IE angegeben war (kann das einfach in Windows gewesen sein?).
-> Habe schon das Kennwort geändert.

Kann es ein Virus auf dem PC sein?
-> War eben extra am Kiosk das Desinfect-Heft kaufen in der Hoffnung, dass Desinfect helfen könnte.

Kann es ein Fremdzugriff auf mein Handy und die dortige OneDrive-App sein?
-> Falls ja, wie prüfe ich das?

Vielen Dank schonmal!
 
Nach Datum sortieren Nach Stimmen sortieren
Was sind es denn für Dateien? Hast du sie evtl doch in one drive gelöscht und sie tauchen durch einen sync erst jetzt im Papierkorb auf?

Virus höchst unwahrscheinlich.
 
Wählen 0 Abwählen
Danke für die schnelle Rückmeldung!

(Eben löschte ich den Beitrag, da es so aussah als hätte ich ihn zweimal geschrieben, deshalb nochmal.)

Das waren PDFs aus Unter-Unter-Ordnern, die ich lange nicht mehe öffnete - aber es war auch nur ein Teil der PDFs aus dem Ordner betroffen.
Zudem auch Ordner unter Dokumente, die Programme dort erzeugten.
Und es waren auch Desktop-Verknüpfungen im Papierkorb. Deshalb fiel mir das auch erst auf.

Habe das definitiv nicht selbst gelöscht, vor allem nicht zu den vermerkten Zeiten, weil ich da ein PC-Spiel spielte.
 
Zuletzt bearbeitet:
Wählen 0 Abwählen
One drive nutze ich selbst nicht. Evtl gibt's da ne Einstellung/Aufräumregel, dass Dateien älter als x gelöscht werden? Falls nein, guck eher mal, wer wann Zugriff hatte. Einen Virus, der selektiv einzelne PDF und Verknüpfungen in den Papierkorb legt, kann man wohl ausschließen.
 
Wählen 0 Abwählen
Laut Microsoft sind im Konto zwei Anmeldungen vermerkt - eine von mir heute nach der Kennwort-Änderung und eine von vor einem Monat, angeblich vom Internet Explorer aus und mit einer Karte, die zu meiner Region passt. Also ggf. eine Anmeldung in Windows von mir selbst in der OneDrive-PC-App, die Microsoft dann unter "Internet Explorer" verbucht?

Ich konnte zwar die Dateien mit zwei Klicks aus dem Papierkorb wiederhestellen, aber dass die Dateien, Verknüpfungen und Ordner so nach und nach gelöscht wurden laut den angegebenen Uhrzeiten, als hätte das jemand tatsächlich händisch nach und nach gemacht, das macht mich skeptisch.

EDIT: Von einer Aufräumregel weiß ich nichts, sehe das auch heute in dieser Form erstmalig.
 
Wählen 0 Abwählen
Habe nun rund 14 Stunden lang Desinfect laufen gehabt (3 Scanner, ohne Archive) und folgende Funde(?):

Program Files/Mozilla Firefox/xul.dll in der ClamAV-Spalte steht "Win.Trojan.Spora-7724442-0". Ließ sich jedoch nicht zusätzlich mit VirusTotal überprüfen.

Dann zweimal im Kaspersky-Verzeichnis (habe Kaspersky auf dem PC installiert) wiederum der ClamAV-Spalte "Win.Test.EICAR_HDB-1" - das ist unkritisch, oder? Habe das auch nicht zu VirusTotal versucht zu schicken.

Und dann im Verzeichnis Users/Ganztageshoererin/AppData/Roaming/Microsoft/Windows/Recent/AutomaticDestinations/********.automaticDestinations-ms (Buchstaben-Zahlen-Kombi durch Sterne ersetzt) wiederum in der Spalte ClamAV "Lnk.Trojan.Qakbot-9977832-1". VirusTotal zeigte, dass neben ClamAV auch Google etwas findet.

Was nun? Zumindest einen der Desinfect-Scanner versuchen auch in die Archive gucken zu lassen?

EDIT 2: Habe nun mit Eset einen zweiten Scan - diesmal mit Archiven - gemacht:
Eset fand nichts, bleiben weiter die ClamAV-Funde von vorhin.

Sind diese Funde kritisch?
 
Zuletzt bearbeitet:
Wählen 0 Abwählen
Qakbot: https://www.fortinet.com/blog/threat-research/new-variant-of-qakbot-spread-by-phishing-emails

Spora: https://www.malwarebytes.com/blog/news/2017/03/spora-ransomware/amp

EICAR ist ein testfile.

Mit deinen gelöschten Dateien dürfte das nichts zu tun haben, aber Gedanken machen solltest du dir schon.

/edit: im Detail helfen kann ich dir da nicht. Desinfect ist ein guter Ansatz, das sollte die files auch in Quarantäne setzen können und links geben zu Details zu den Funden. Der Fund im Kaspersky Verzeichnis könnte bereits ein file in Quarantäne sein - starte doch mal deinen Kaspersky und gucke, was er wann gefunden hat und ob er die funde auch löschen kann.
 
Zuletzt bearbeitet:
Wählen 0 Abwählen
Danke für die Hinweise!

Habe übrigens weiter recherchiert und fand im Desinfect-Forum, dass das mit dem Virus in der xul.dll von Firefox auch ein Fehlalarm sein könnte (aber nicht sein muss). Bliebe ja noch der vierte Treffer, den aber laut VirusTotal nur zwei Scanner kritisiert hatten.

Ich habe mich aber - auch, weil die Performance des Rechners in letzter Zeit nicht gut war - entschieden besser Daten zu sichern und dann Windows sauber neu zu installieren und zuvor sicherheitshalber die Platte nicht nur zu formatieren, sondern auch mit Nullen zu überschreiben (kann Desinfect auch machen) in der Hoffnung, dass dann auch mögliche (gut versteckte) Viren komplett weg sein werden.

Ich frage mich sowieso, woher ich - falls dem so wäre - den Qakbot haben soll, denn Anhänge in Phishing-Mails öffne ich nicht und ich öffne Mails in der Regel auf dem Handy.

Und wenn das ursprüngliche Problem durch einen Fremdzugriff passiert sein sollte dann weiß ich auch nicht, wie das passiert sein soll. Gerade weil ich keine sehr ungewöhnliche Anmeldeaktivität finden konnte im Microsoft-Konto. Was für mich dann doch wieder eher für eine Infektion des Rechners klingt. Vor allem bekomme ich normalerweise Benachrichtigungen, wenn große Datenmengen von OneDrive gelöscht wurden, in diesem Fall nicht.
 
Wählen 0 Abwählen
Ganztageshörerin schrieb:
....und zuvor sicherheitshalber die Platte nicht nur zu formatieren, sondern auch mit Nullen zu überschreiben
Zum Vergrößern anklicken....
Das setzt das Laufwerk nur unnötig unter Stress; ich hätte einfach sämtliche Partitionen aufgelöst, danach formatiert und anschliessend Windows neu installiert....
 
Wählen 0 Abwählen
Okay, Danke, weiß ich für die Zukunft. Bin mir aber bei einer Sache noch etwas unsicher:

Ich habe noch einen Windows-10-Installations-Stick, der ist aber wahrscheinlich schon drei Jahre alt (wahrscheinlich von dieser Installation damals: https://www.hardwareluxx.de/community/threads/virenfreie-neuinstallation-von-windows-10.1271648/).

Nun hatte ich vorgestern den Desinfect-Stick schon von meinem Laptop aus erstellt - in der Hoffnung, dass der Laptop sauber ist (da ja Desinfect von einem sauberen System aus installiert werden sollte) auch wenn der auch mit OneDrive verbunden ist.

Die Frage ist: Nehme ich den alten Windows-Stick, weil ich sowieso als erstes nach der Installation Windows-Updates installieren muss oder prüfe ich erstmal zumindest kurz mit Desinfect den Laptop, um auf dem Laptop dann einen aktualisierten Windows-Stick zu erstellen?
 
Wählen 0 Abwählen
Empfehle ich auch wärmstens....
 
Wählen 0 Abwählen
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh