Virusinfektion? Würmer? Trojaner? Was tun wenn der PC spinnt.
Hallo allerseits,
weil öfters mal die Frage kommt, was, wie verdächtig ist, was, wie entfernt werden kann, hier ein Thread zu Trojanern, Viren und Würmern.
Beginnend mit dem Thread eine allgemeine Einleitung. Der Artikel stammt teilweise von heise.de und wurde von mir extremst gekürzt, zusammengetragen, vereinfacht etc.
Bitte bei Problemen folgende Punkte beachten:
- Suchmaschinen benutzen. Gibt es ein Problem, dann sucht danach. Symptom, Dateiname, Name einer verdächtigen Mail, Message, Video, usw... Vermutlich seid ihr nicht die ersten die dieses Problem haben.
- Gibts es Probleme mit Programmen? Hersteller dieser haben meist eine FAQ auf Ihrer Seite, ein Forum etc.
- F1 ist die Hilfetaste. Benutzt sie. Unter Windows, Firefox, wo auch immer ihr Informationen benötigt.
Wie erkenne ich, dass mein PC infiziert ist
Da gibt es unterschiedlichste Möglichkeiten. Hier eine (unvollständige) Aufzählung. Die Liste heißt nicht, das alles auftreten muss, damit ihr sicher sein könnt' infiziert zu sein. Auch ein einziges, oder einige wenige Symptome sollte euch veranlassen mal nachzusehen. Es ist halt nicht immer leicht herauszufinden ob ein Virus oder doch Windows an einem Problem schuld ist.
- Internet Explorer startet mit seltsamen Seiten zu diversen Mittelchen
- Update Funktion des Virenscanners scheitert
- Firewall warnt plötzlich, dass irgendwas blockiert wurde (ohne dass ein Benutzer etwas getan hat)
- Virenscanner läßt sich nicht starten
- Netzwerkverbindung ist oft ohne Zutun des Nutzers aktiv (Lampen auf der Netzwerkkarte blinken, Lampen am Router blinken)
- Freunde beschweren sich, dass du ihnen dauernd per Mail, Messenger, etc. Potenzmittelchen verkaufen willst.
- Der Browser kann keine EXE-Dateien mehr auf die Platte schreiben (weil der Virus sich schon hineinschreiben will, bevor die Datei komplett oben ist)
- Die Festplatte arbeitet öfter als sonst (kann nach Aufspielen großer Dateimengen auch der Windows Indexierungsdienst sein).
Wie finde ich heraus, dass wirklich was drauf ist was da nicht hingehört
Das ist meist noch schwieriger als zu erkennen, dass etwas faul ist. Während früher Viren etc. nur aus Programmiererstolz entwickelt wurden, und mehr oder weniger harmlose, aber deutliche Schadfunktionen hatten, geht es nun um Geld. Schadprogramme werden zu kriminellen Zwecken verwendet und tarnen sich daher extremst gut. Dazu kommt die immer weiter fortschreitende Komplexität eines PCs die es Laien absolut verunmöglicht den Softwaredschungel zu durchschauen.
- Zuallererst: google is your friend. Kommt euch etwas spanisch vor, dann fragt google. Egal ob das ein Dateiname, ein Symptom ist, tippt es einfach mal ein und sucht danach.
- Obwohl viele Schadprogramme den installierten Virenscanner außer Kraft setzen, ist dieser trotzdem der erste Versuch. Dazu den Computer im abgesicherten Modus starten - Windows XP und Vista: Beim Booten öfter F8 drücken - und dann den Scanner probieren.
- Auskenner starten eine virenfreie Boot CD zB Knoppix. Es gibt auch Images von dieser CD die sich Knoppicillin nennt, die bereits 3 Virenscanner mit Updatefunktion an Bord hat.
- Jedes Schadprogramm muß sich bei einem Neustart laden. Diese Ladebefehle können entdeckt werden. Leider bietet Windoof etliche Möglichkeiten wo sich Programme eintragen können. Ein Programm welches diese Stellen auflistet ist: autoruns von Sysinternals. Startet man das, listet das etliche Zeilen auf was sehr verwirrend ist. MS hat aber die eigenen Dateien digital signiert, man kann diese ausblenden. Zuerst unter Options "verify Code Signatures" und "Hide signed Microsoft entries" aktivieren. Trotzdem ist es immer noch mühsam, auch hier gilt: Nach verdächtigen Sachen googeln. Achtung: Nicht alle Hersteller verifizieren ihre Programme, also ist nicht alles was nicht verifiziert wird ein Schadprogramm.
- Laufende Prozesse kontrollieren. Der Task Manager führt alle laufenden Prozesse auf, auch hier nach Unbekannten suchen. Wieder bietet Sysinternal ein besseres Tool an. Im ürbigen ist das kein getarnter Werbepost für Sysinternals, die Firma verdient ihr Geld mit anderen Sachen, sämtliche genannten Tools sind Freeware. Sysinternals hat mittlerweile eigene Seiten bei Microsoft. Process Explorer nennt sich das Werkzeug und ist dem Task-Manager imho haushoch überlegen. Auch hier läßt sich die Signatur überprüfen: View/Select Columns Spalte "verifeide Signer" einblenden und die Option "Verify Image Signature" aktivieren. Programme wo dann "Unable to verify" steht, überprüfen. Es gilt das gleiche wie oben. Mächtig ist das Zeigen der Eigenschaften eines Prozesses in diesem Programm: Zuerst den Reiter TCP/IP kontrollieren. Hat der Prozeß massenweise SMTP Verbindungen laufen? Wenn ja, dann versendet man höchstwahrscheinlich ebenso massenweise SPAM. Den Reiter Strings kontrollieren. Dort werden ''Zeichenketten" aufgelistet die im Programm gefunden werden. Steht dort nur Blödsinn, ist die Datei vermutlich gepackt, dann unten nicht "image" sondern "Memory" wählen. So hat man Zugriff auf die Werte im Speicher. Stehen dort Listen von Firewalls, Antivirenprogrammen, oder auch Mails bei denen ihr annehmt, das sie verdächtig sind, dann ist der Prozeß mit extrem hoher Wahrscheinlichkeit ein Schadprogramm. Der nächste sehr interessante Punkt ist unter View-Lower Pane View-DLLs Hier werden die genutzten DLLs eines Prozesses gelistet. Auch das sind meist extrem viele, man schaut hier am besten nach solchen ohne Herausgeber. Auch hier geht man auf Eigenschaften und wie bei den Prozessen nach verdächtigen Strings.
- Kontrollieren der Netzwerkaktivität. Wie oben schon erwähnt, hektisches Treiben am Netzwerk, ohne dass man was runterlädt etc. ist schon mal ein deutliches Indiz, kann aber natürlich auch ein automatisches Update sein. Auch hier gibt s wieder - welche Überraschung- ein Tool von Sysinternals namens Tcpview, welches die Netzwerkverbindungen auflistet. Verdächtig sind dabei SMPT Verbindungen zu verschiedenen Mail-Servern. Ist dort ein Dienst im "Listen" Modus (mit einem <port>) aufgelistet könnt ihr versuchen euch an der Eingabeaufforderung mit "telnet localhost <port>" damit zu verbinden. Kommt dann eine Paßwortabfrage oder sogar eine Eingabeaufforderung, dann loggt ihr euch gerade mit einem Trojaner auf euren eigenen Rechner ein.
- Unbekannte Ausnahmen in der Windows Firewall - einfach mal in der Systemsteuerung Windows Firewall in den Ausnahmen nachsehen.
- Internet Explorer: Im IE unter Extras/Internetoptionen/programme/Addons verwalten findet ihr Add-Ons. Hier nach verdächtigen Sachen stöbern.
Mit den Sachen lassen sich Standard Schädlinge finden. Rootkits sind eine Aufgabe für sich und verbergen sich so gut, dass durch obige Einträge praktisch nichts zu finden ist. Hier helfen spezielle Programme wie zB: AVG Antirootkit, Avira Rootkit Detection und F-Secures Blacklight. Alle betaund kostenlos.
Wie entferne ich einen Schädling
Grundsätzlich: Sämtliche autostart Dateien entfernen und die Dateien des Schädlings ebenso. Aber es gibt so viele verschiedene Schadprogramme, dass es unmöglich ist, eine allgemein geltende Vorgangsweise zu finden.
- Der erste Weg ist daher, nachdem man festgestellt hat um welchen Schädling es geht, in einer Suchmaschine nach Dateinamen etc. zu suchen und damit festzustellen um welchen Schädling es sich handelt. Dann fragt man die Suchmaschine wie man den am besten entfernt.
- Im Falle eines Befalls mind. 2 Antivirenprogramme reinigen lassen, im abgesicherten Modus (während des Bootvorganges F8 drücken).
- Nach dem Entfernen anhand der gefundenen Beschreibung des Virus alle Stellen kontrollieren die üblicherweise beschädigt werden. ich zähle nochmals die "üblichen Verdächtigen" auf: Benutzerkonten, Dateifreigaben, Autostarts, Browser, Email Client, Instant Messanger, Firewall. Nicht die Hosts-Datei vergessen: Die ist unter \windows\system32\drivers\etc\hosts
- Für die meisten ist eine Reinigung aber aufwendiger als eine Neuinstallation. Daher mein Ratschlag: Windows neu aufsetzen. Das ist meiner Erfahrung nach oft schneller als das mühsame Suchen und Entfernen.
Wie sichere ich einen PC ab?
Grundsätzlich ist Windows auf Grund seiner Geschichte und des daraus resultierenden Aufbaus eher unsicher. Trotzdem darf man Mircosoft nicht alleine den schwarzen Peter zuschieben, denn wie unten beschrieben wird, sind viele User zu bequem um die vorhandenen Sicherheitsfunktionen zu verwenden. Was man MS anlasten könnte ist die unsaubere Implementierung und diese halbherzige "Ich-trau-mich-nichts" Linie, die Windoof zu einem der angreifbarsten Betriebssysteme macht.
Jeder sollte sich selbst fragen ob ein sichereres Betriebssystem - wie zB. Ubuntu Linux - nicht ebenfalls ausreicht. Wer nur im Internet surft, Emails abruft, Briefe schreibt, Tabellenkalkulation macht etc. hat mit Firefox, Thunderbird und Open Office mächtige Programme die denen in der Windoof Welt nichts nachstehen.
Windows liefert seit Windows NT (also NT, Windows 2000, XP, Vista) ein brauchbares Sicherheitssystem von Haus aus mit. Jeder Benutzer arbeitet mit einem Konto und besitzt damit bestimmte Rechte. Voraussetzung dafür ist die Verwendung des Dateisystems NTFS.
Nur: Von Haus aus ist das Standardkonto ein sogenanntes Administratorkonto. Administratoren arbeiten in Windows mit allen Rechten, und die die sie nicht haben können sie sich verschaffen. Jetzt ist es aber so, dass ein Programm dieselben Recht erbt, wie der Benutzer der es startet. Dh. startet Willi mit seinen Benutzer Terminator welcher Administratorrechte besitzt die Datei sexpics_girlfriend.jpg.exe so wird diese Datei mit Administratorenrechten ausgeführt. Sollte das - wider Erwarten
Würde Willi die gleiche Datei mit dem Benutzer mit dem Namen Undestructable gestartet, welcher nur eingeschränkte Benutzerrechte besitzt, so hätte Windoof das Manipulieren seiner Systemdateien, oder das Installieren in ein geschütztes Verzeichnis einfach lapidar mit "Zugriff verweigert" abgetan. Der Virus könnte (eventuell) mit einigen Schadfunktionen laufen, spätestens beim nächsten Systemstart wäre er eliminiert.
Dh. die ersten Schritte zu einem sicheren Windows lauten:
- Platten mit NTFS formatieren nicht FAT
- Einen Benutzer mit Administratorrechten einrichten mit einem Paßwort, dass aus mind. 8 Buchstaben besteht ohne ein Wort zu benutzen. Eine beliebte Methode ist dafür die ersten Zeichen eines Satzes zu verwenden. Beispiel: "Das downhill-board ist das geilste Forum for ever" könnte zB. dann das Paßwort Dd-bidgF4e ergeben. Unknackbar und leicht zu merken.
- Einen Benutzer mit eingeschränkten Rechten einrichten. Dieser Benutzer benötigt nicht einmal ein Paßwort.
Tägliche Arbeiten erledigt man mit dem eingeschränkten Benutzer. Den Administrator benutzt man zum Änderen des Systems, wie zB. Programme installieren. Das kostet natürlich etwas Bequemlichkeit, denn zB. um ein neues Programm zu installieren, loggt man sich als Benutzer ein, lädt das Proggie runter, loggt sich als Admin ein, installiert und konfiguriert und arbeitet dann als Benutzer weiter.
Leider halten sich viele Programmierer nicht an die MS-Richtlinien - nicht mal MS - und legen während des normalen Betriebes Dateien im Programmverzeichnis oder sogar Systemverzeichnissen ab. Dann wirds mühsam. Ersteres ist noch einfach zu reparieren, wenn man als Admin im betreffenden Verzeichnis des Programms die NTFS Rechte für Benutzer auf Ändern erweitert (XP). Vista leitet die Zugriffe um.
Hat man ein Problemprogramm hilft wieder mal Sysinternals: Process Monitor protokolliert sämtliche Zugriffe auf Dateien und/oder Registry. Dazu startet man das Proggie (mit den Rechten eines Administrators: Rechtsklick - Ausführen als..) läßt es minimiert laufen und startet (als normaler Benutzer) dann das Problemprogramm. Dann stoppt man das Protokollieren, setzt einen Filter mit "Result" "contains" "Access denied" den man per Klick auf "add" den default Filtern hinzufügt. So zeigt man alle Zugriffsverletzungen an, anhand von "Process name" findet man dann das störende Programm und damit die Orte wo Probleme auftreten leicht raus. Der Tip ist von heise.de (c't) und man findet das im c't 23/05 S. 116
- Ein weiterer wichtiger Schritt ist das Arbeiten hinter einem Router (am besten mit SPI-Firewall). Wer nicht gerade mobil unterwegs ist, der sollte sich einen Router zulegen, auch wenns nur für einen PC ist. Der Router kann ja über eine schaltbare Steckerleiste versorgt werden, so daß er wenn er nicht gebraucht wird, leicht stromlos gemacht werden kann.
- Bei direkten Internetverbindungen ist eine Firewall ein unbedingtes Muss. Das diese aber nur wirklich wirksam sein kann wenn man nicht mit Administratorrechten arbeitet wurde oben erläutert.
- Das Installieren eines Antivirenprogramms ist stark zu empfehlen, eigentlich ein Muss. Es gilt das gleiche wie für eine Firewall. Beim Installieren alleine bleibt es nicht, die Virensignaturen müssen ständig erneuert werden. Also am besten mind. einmal täglich updaten, die meisten Antivirenprogramme haben eine automatische Updateeinrichtung bereits integriert. Ein gutes (guter, schneller Scanner, schlechte Reparierfunktionen) und kostenloses Programm bietet zB. avira.com
- Programme auf dem neuesten Stand halten. Schädlinge nutzen immer öfter Fehler in Programmen aus um eindringen zu können. Je nachdem wie schwerwiegend das Sicherheitsproblem ist, kann auch das Arbeiten mit Benutzerrechten dann nicht immer helfen.
- Während des Betriebes kann man in Windows XP so genannte "Wiederherstellungspunkte" erstellen. Manchmal reicht es aus, das System damit zurückzusetzen (nachdem man die schädlichen Dateien entfernt hat).
- Für Windows eine eigene Partition auf der Platte erstellen. Das macht man bei der Installation. 30GB reichen für XP vollkommen aus. Der Vorteil: Bei einer Neuinstallation muß man nur diesen Bereich formatieren, der Rest (Daten) bleibt unangetastet.
- ein Image von der Systempartition erstellen, dass man im Falle des Falles einfach zurückspielt und dann Windows wieder auf exakt diesen Zustand bringt. Was ein Image ist und wie man das macht sagt euch unsere liebste Suchmaschine.
- Regelmäßig Backups machen und die Daten sichern. Das hilft zwar auch nicht immer - wenn zB gesichert wird bevor man den Schädling entdeckt hat - aber Vorsicht ist besser als Nachsicht. Man muß ja nicht alles sichern, wichtig ist vielleicht die Bildersammlung (in Zeiten der digitalen Photos wohl wichtig), Briefe, Rechnungen, Emails, Internet-Favoriten, gekaufte Sachen, etc. Vielleicht auch ab und zu mal eine DVD von den wirklich wichtigen Sachen brennen. Dabei nach dem Brennen den Datenträger überprüfen (die meisten Brennprogramme bieten eine Prüfoption an), denn schon ein Staubkorn, ein Fingerabdruck usw. der vor dem Brennen draufkommt, kann einen Teil der Daten unbrauchbar machen. Ist mir selber passiert, das ist keine paranoide oder irgendwo gelesene Vermutung. Externe Festplatten sind da sehr beliebt, kosten auch nicht mehr die Welt. Sicherungsplatten bitte nur für die Sicherung anstecken (einschalten) sonst machts wenig Sinn.
- Beim Surfen aufpassen. Ihr bewegt euch auf "unkontrollierten" Gebiet. Vor kurzem wurden zB. Seiten von Künstlern auf you-tube gekapert, dort Links eingefügt die auf Server geführt haben die Trojaner in das System installiert haben wenn man auf die Links geklickt hat. Also wenn plötzlich Links auftauchen die mit der Seite nichts zu tun haben, etc. blabla sollte man mißtrauisch werden. Das gilt natürlich auf alle Fälle für kritische Eingaben wie Online-Banking oder das Zahlen mit der Kreditkarte aber wie das Beispiel zeigt auch beim normalen Surfen.
- Das gleiche gilt für Instant Messanger wie MSN usw. Auch hier werden Links und Dateien geschickt, denen man grundsätzlich mal nicht vertrauen sollte, da IM genauso wie Mailprogrammen auch gekapert werden können. Dh. wenn euer Freund euch ein Sexvideo geschickt hat, kann das auch der Trojaner in seinem Rechner gewesen sein, der sich so weiterverbreitet.
- Sensible Daten wie Paßwörter, PIN-Codes nicht einfach hergeben ohne nachzusehen wem ihr das gebt. Keine offizielle Stelle erfragt Paßwörter mittels Mail. Niemals für die Eingabe sensibler Daten aus einer Mail heraus einen Link folgen, sondern immer die Seite händisch im Browser eingeben (oder euren gespeicherten Favoriten nehmen soferne der mal händisch eingegeben wurde).
Zu guter Letzt: Hirn einschalten. Die meisten haben eines nur benutzen es nicht. Dateien die da lauten You_naked oder Your_girlfriend_naked klickt man einfach nicht an. Die besten Sicherungssysteme helfen nix, wenn ein DAU am Rechner sitzt.
Zitieren
Zitat von georg
