Schädlinge isolieren und identifizieren



Sie haben ein Problem mit Malware (= Viren, Würmer, Trojaner, Dialer...)? Analysieren Sie, um welche es sich handelt, über welche Lücken sie auf Ihr System gelangte und wie Sie im Weiteren vorgehen müssen. Informationen dazu finden Sie auf dieser Seite.

1.) Systemanalyse

HijackThis ist ein Programm, das eine Übersicht vieler Autostarteinträge und laufender Prozesse in Form eines LogFiles erstellen kann. Nutzen Sie bitte so ein LogFile, um es von fachkundigen Usern auswerten zu lassen - löschen Sie jedoch nicht einfach drauflos, denn nicht alles, was HijackThis auflistet, ist ein Schädling!

Bedenken Sie auch, dass die Daten, die HijackThis liefert, durchaus von Schädlingen, die bereits auf dem System aktiv sind, manipuliert werden können. Insofern bedeutet ein sauberes LogFile nicht zwangsläufig, dass das System frei von Schädlingen ist!

2.) Systemkonfiguration

Im LogFile sind Dateien ersichtlich, die Sie auf dem System aber nicht finden können. Der Grund dafür ist, dass Windows standardmäßig sehr viel ausblendet, wie z.B. "bekannte Dateinamenerweiterungen" oder "geschützte Systemdateien". Trägt sich nun ein Schädling z.B. als geschützte Systemdatei ein, scheint er zunächst nicht auffindbar. Um dies zu ändern, gehen Sie bitte wie folgt vor:

a) Rufen Sie die Systemsteuerung über >Arbeitsplatz >Systemsteuerung auf.
b) Wechseln Sie dort in die Ordneroptionen, Registerkarte Ansicht.
c) Nehmen Sie folgende Einstellungen vor:

- Haken entfernen bei "Geschützte Systemdateien ausblenden".
- Haken entfernen bei "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden".
- Haken setzen bei "Inhalte von Systemordnern anzeigen".
- Haken setzen bei "Alle Dateien und Ordner anzeigen".
- Haken setzen bei "Versteckte Dateien und Ordner anzeigen".

3.) Beenden von Prozessen

Wurden über das HijackThis LogFile potentiell bedenkliche Einträge entdeckt, wird Ihnen ggf. dazu geraten, die entsprechenden Prozesse zu beenden. Rufen Sie dazu den Taskmanager auf (drücken Sie die Tasten Strg, Alt und Entf zugleich). Sollte er sofort wieder geschlossen werden, kopieren Sie bitte die Datei taskmgr.exe aus dem Ordner System32 und fügen sie auf dem Desktop ein. Benennen Sie sie z.B. in prozessliste.com um, wobei die Dateiendung "exe" durch "com" ersetzt werden muss!

4.) Isolieren verdächtiger Dateien

Legen Sie z.B. unter "Eigene Dateien" einen neuen Ordner an und geben ihm den Namen "Quarantäne". Suchen sie nun auf Ihrem System nach den verdächtigen Dateien, die Ihnen im Zuge der HijackThis-LogFile-Auswertung genannt wurden. Schneiden Sie diese aus ihren ursprünglichen Ordnern aus (Rechtsklick auf die Datei, "Ausschneiden" wählen) und fügen sie in den Quarantäneordner wieder ein (im Ordner Rechtsklick ins Leere, "Einfügen" wählen).

Klicken Sie diesen Quarantäneordner schließlich mit der rechten Maustaste an und wählen dann aus dem Kontextmenü die Option eines installierten Packprogrammes "Zu einem Archiv hinzufügen". Hangeln Sie sich anschl. im Packprogramm, z.B. WinRar, über "Erweitert" zu "Passwort festlegen". Geben Sie als solches virus ein. Erstellen Sie nun das Archiv.

Sie haben nun zwei Möglichkeiten:

a) Öffnen Sie eine neue Mail und fügen die soeben erstellte Archivdatei als Anhang bei. Versenden Sie die Mail bitte an virus@av.klaffke.info. Geben Sie im Text bitte kurz einen Link zu dem Posting an, welches Ihr HijackThis-LogFile enthält.
oder...

b) Laden sie das Archiv über diese Seite hoch und fügen ggf. zusätzlich eine kleine txt-Datei mit weiteren Informationen bei, z.B. wenn Sie eine Antwort erhalten möchten, um welche Schädlinge es sich denn handelte.

Prüfen Sie zusätzlich die im Ordner enthaltenen Dateien bei http://www.kaspersky.com/de/scanforvirus.

5.) Auswertung und Konsequenzen

Warten Sie die Auswertung durch erfahrene Nutzer ab und handeln Sie den Ratschlägen entsprechend. Prinzipiell muss aber ein einmal infiziertes (=kompromittiertes) System komplett neu aufgesetzt werden. Das schließt ein vorhergehendes Formatieren mit ein. Nur auf diese Weise kann man wieder von einem vertrauenswürdigen System ausgehen. Allerdings sollte man zuvor genau klären, um welche Schädlinge es sich handelte, und wie sie auf das System gelangen konnten. Nur so können Sie Maßnahmen ergreifen, um Infektionen zukünftig wirkungsvoll zu verhindern.


© Markus Klaffke 2004 | Kommentare, Anregungen, Verbesserungsvorschläge bitte an markus@mail.klaffke.info mailen - vielen Dank!