Hallo Herr Lehmann,

hier nur ein paar Hinweise, wie ich selbst an Ihrer Stelle vorgehen würde:

• "Virenbefall" ist ein sehr weites Feld.
  Wichtig ist zu klären, ob das Schadprogramm identifiziert wurde und jetzt in Quarantäne steckt und jetzt unschädlich ist oder ob es 'aktiv' geworden ist.
  Wenn das Schadprogramm 'bekannt' ist, sollte man recherchieren, welche Funktionen es ausführt bzw. welchen Schaden es anrichten kann.
• klären, ob nur ein Rechner betroffen ist oder evtl. sogar das gesamte Netzwerk
• am besten mehrere gute Virenscanner einsetzen (z.B. Malwarebytes und andere). Zusätzliche Virenscanner finden evtl. zusätzliche Schadprogramme. Manche Virenscanner können nur erkennen aber nicht reparieren. .... usw ...
• bezüglich Datev: in einem Client-Server-Netzwerk kann man jeden PC zum Admin-PC machen. Man wechselt im Installationsassistenten einfach zu einer anderen Arbeitsstation.

Viele Grüße

Michael Vogtsburger

P.S:

Wenn es für "Virenbefall" ein Patentrezept gäbe, wären die Schadprogramme wahrscheinlich längst ausgerottet

Dagegen spricht, daß doch schnell das Backup des betroffenen PC rückgesichert werden kann, was in 30 Minuten erledigt ist. DVDs nachziehen, fertig.

kein Backup vorhanden???
-> Neu aufsetzen mit Formatieren...

Aber... Wie mein Vorredner schrieb:
- was für en Virus?

- Wie entdeckt? (kein Echtzeitschutz an?)

- Wenn ViWas nur eine verseuchte Email in Quarantäne schickte, dann ist doch alles OK.

… oder hat ein "Verschlüsseler" den PC komplett geschrottet?

- Auf einem DATEV- PC mit DATEVNET kann es lt. Definition keinen Virus geben oder... ???

Vielen Dank für eine Antwort, da dieses anderen Kanzleien helfen kann, Vorkehrungen zu treffen.

Auch wenn der Fehler fahrlässig und "suoperpeinlich" war...

Guten Morgen,

Backup des PCs ist nicht vorhanden, er wird durch einen neu aufgesetzten PC ersetzt.

Zur Infektion: Der Rechner wurde mit dem Trickbot Trojaner in Folge des Klickens auf ein Bild in einer "Telekom Rechnungs" Mail am 17.01. infiziert. Es wurden Bankdaten geklaut und das Mailpostfach übernommen - Dank mitdenkender Bank und EMail Provider gab es hier keine Schäden. Sämtliche Passwörter wurden geändert

Erst am 21.01. bemerkte  ViWas den Trojaner und löschte ihn vermutlich. Direkt danach durchgeführte Analysen mit Malwarebytes und der Kaspersky Rescue CD brachten kein Ergebnis -> der Rechner soll trotzdem neu aufgesetzt werden.

Im Netz ist soweit kein ungewöhnliches Verhalten zu sehen.

Ich möchte darauf hinweisen, daß sowohl Patchlevel als auch Virensignaturen auf Stand waren und sind...

Passt zu den Meldungen die aktuell im Netz kursieren (siehe angehängte Links weiter unten).

Wenn Sie sich mit dem Trickbot infiziert haben zeigt das allerdings das Ihre Makroeinstellungen entweder fehlerhaft waren ("Alle Makros ohne Benachrichtigung deaktivieren" nicht aktiv) bzw. die Makros direkt im Dokument aktiviert wurden (... mit Benachrichtigung...).

Zuzüglich dazu kommt die Tatsache, dass Trickbot meist von Emotet per Sideload nachgeladen wird, Trickbot also selten alleine kommt und nur den "Anhang" von Emotet darstellt.

Zitat heise:

"Emotet ist äußerst gefährlich und perfide, weil er vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln."

Siehe dazu auch hier:
Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails | heise online
und
Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle |    heise Security

Was die Sache mit den Makros betrifft vielleicht ein Tipp für die Zukunft: Einfach alle Makros ohne Benachrichtigung im Trust Center oder über eine Gruppenrichtlinie deaktivieren.

Dort können dann auch vertrauenswürdige Speicherorte angelegt / verwaltet werden. Sollten also z.B. vertrauenswürdige (geprüfte) Exceldokumente Makros benötigen, kann man sie an diesen Orten ablegen und normal bearbeiten (ohne Funktionseinschränkungen).

@auch wieder dabei

Ich gebe Ihnen Recht, aber NACH einer Infektion ist VOR einer Infektion.

Im täglichen Büroalltag lauern die 'Pfützen' und 'Schlaglöcher' auf Schritt und Tritt.

Jeder Tipp zur Vermeidung von Risiken und Nebenwirkungen und vor allem die Sensibilisierung der Mitarbeiter ist hilfreich.

Bei uns habe ich in jedem Outlook eine tabellarische Ansicht für den Posteingang eingestellt, mit einer zusätzlichen Spalte "E-Mail-Adresse des Absenders". Dieses Feld wird nicht standardmäßig in Outlook dargestellt, ist aber eine zusätzliche visuelle Hilfe zur Erkennung von suspekten E-Mail-Adressen.

Leider muss man ein paar Klimmzüge machen, um das Feld hinzufügen zu können

VG

Michael Vogtsburger

Bevor die Vorverurteilungen anfangen:

Die Administratorenkennwörter sind starke Kennwörter, die Viwas Definitionen waren und sind aktuell und alle Clients und der Server sind auf dem aktuellen Stand.

Diese Fehler wurden gemacht: Der betreffende User ist lokaler Admin auf dem befallenen PC - Grund ist hier eine alte Software

Es wurde in der Mail auf ein Bild geklickt, die Word Datei wurde NICHT geöffnet!

Ich denke mal, dieses Szenario kann in jeder Kanzlei auftauchen, grade in der Größenordnung 1 - 4 Mitarbeiter.

Fragwürdig finde ich da eher, wie sich unter den Augen von Viwas eine .exe Datei auf dem System und in den geplanten Tasks einrichten kann.