Das hats doch nicht so gebracht, heute konnte ich mich wieder nicht anmelden bzw. wurde abgemeldet.
Kennt noch jemand eine Lösung? Windows neu drauf bzw. reparieren?
Ich finde deine Fragerei etwas sehr merkwürdig. In drei verschiedenen Foren diskutierst du das gleiche Problem. Du murkst seit 14 Tagen an deinem System herum und kommst zu keinem positiven Ergebnis. In dieser Zeit hätte selbst der blutigste Anfänger sein System mehrmals neu aufgesetzt. Das was du in
http://www.tutorials.de/forum/1791189-post8.html und anderen Postings beschrieben hast ist Pfusch. Seit Monaten gehe ich von Forum zu Forum mit unten stehenden Beitrag hausieren und niemand nimmt ihn tatsächlich ernst.
Sorry, phhuuh, das musste jetzt mal raus.... Der heilige Binary wird es mir verzeihen.
Schadsoftware erkennen und entfernen
Wie wird es richtig gemacht und welche nicht mehr kalkulierbare Risiken bleiben trotz Elimination!
Malware ist die allgemeine Bezeichnung für eine Schadsoftware. Welche Eigenschaften sie wirklich besitzt, ist nur in aufwändigen Untersuchungen feststellbar. Anderseits bezeichnen die Scannerhersteller die Malware nach der ersten festgestellten Eigenschaft. Diese können von Hersteller zu Hersteller unterschiedlich sein.
Immer wieder werden in einschlägigen Foren Methoden und Vorgehensweisen praktiziert, welche nur noch mit Rutengängerpraxis vergleichbar sind. Die Möglichkeit eine aktuelle Malware auf diese Art und Weiße zu eliminieren ist sehr gering, denn sie stützt sich im wesentlichen auf die Funktion der Scanner und den Inhalt deren Signaturdatenbanken.
In einer Zeit, in welcher neue Malwareversionen im Minutentakt weltweit verteilt wird, gelangen Scanner sehr schnell an die Grenzen ihrer Möglichkeiten. Das ist kein Vorwurf, sondern vielmehr eine realistische Betrachtung. Besteht ein Infekt mit einer Malware in der Art wie
http://www.viruslist.com/de/viruses/encyclopedia?virusid=109064 oder
http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 (und wer weiß dies schon), ist das System rettungslos verloren. Diese Beispiel mögen etwas veraltet erscheinen, aber Malware umfassend dokumentieren wird heute kaum noch gemacht. Man besitzt gar nicht mehr die Zeit dazu. Letztmalig umfassend beschrieben wurde ConfickerB. in
http://www.avira.com/de/threats/section/fulldetails/id_vir/4474/worm_conficker.html Den Grund findet ihr hier:
http://www.pctipp.ch/sicherheit/44057/viren_im_minutentakt.html
Dies sind nur zwei Beispiele. Jedoch gibt es Abertausende davon. Sie werden aus Zeitgründen nicht mehr dokumentiert! Uns hilft weder ein Scanner noch eine PFW oder ein Removertool. Die Daten, Dateien und Programme sind trotz vorgeblicher Schutzwirkung der Securityware verloren. Keine einzige Datei des Systems ist vertrauenswürdig. Das System ist kompromittiert und der User besitzt nur noch das Recht, den Netzschalter zu bedienen. Eine Kompromittierung des Systems ist unter den Bedingungen von DSL1000 in weniger als 20 Sekunden vollzogen. Das verhindert auch kein Router mit Firewall. Letzteres ist mehr das gute Gewissen des Anwenders, dem Hersteller nicht in die Verarmung getrieben und die Wurst vom Brot geklaut zu haben.
Ist die Malware neu, gibt es zudem keine Signaturen und die Scanner stützen sich auf eine mehr oder weniger gut funktionierende Heuristik. Diese Heuristik wiederum setzt eine gut funktionierende und aktualisierte Withlist voraus, welche nämlich ausschließt, daß Malware gefunden wird, welche eigentlich gar keine ist. Avira scheint da ganz merkwürdige Probleme zu haben und die Fachleute würden sich nicht wundern, wenn dieser Scanner eines Tages auch mal die command.exe reklamieren und in Quarantäne setzen bzw. löschen würde.
Eine Möglichkeit wäre nun, das eigene System wie für den Einsatz im Dschungelkrieg aufzurüsten. Das Ergebnis wäre, das selbst aktuelle Hardware mit den vielen 100 MByte Secureware im RAM zum Schneckengang verurteilt ist oder man informiert sich auf geeigneten Homepagen erfahrener Anwender, wie Malware ins System kommt und konfiguriert sein System so, das ein Infekt weitestgehend vermieden wird. Was seit mehreren Jahren mir gelingt, sollte jeden von euch auch möglich sein.
Lest mal hier ein wenig:
http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html
selbst wenn es euch langweilt und überdrüssig erscheint.
Wird mal mit einem eurer Indikatoren (fünf Sinne) ein Infekt festgestellt, sollte man sich auf das Wesentliche konzentrieren. Unwesentlich ist, wie die Malware heißt und welchen Schaden sie eventuell anrichten könnte. Das erste Ziel ist die sofortige und wirkungsvolle Eliminierung. Eine Aufbewahrung in einem Quarantäne-Verzeichnis ändert nichts an ihrer Gefährlichkeit. Unter Umständen ist sie schon obsolet und wurde von einer nachgeladenen Malware ersetzt. Dann besitzt ihr eine noch größere Gefahr auf der Festplatte und beschäftigt euch noch immer mit einem Lapsus.
Für dieses Problem gibt es zwei Lösungen. Eine sichere wird in
http://faq.jors.net/virus.html beschrieben. Diese Vorgehensweise ist immer die erste Wahl. Eine weitere weniger sichere und viel aufwändigere Lösung beschreibe ich jetzt. Diese Methode setzt voraus, das jede aktive Malware auch einen aktiven Prozess erzeugt und zeichnet sich dadurch aus, das fremde, unbekannte Prozesse im System erkannt und entfernt werden können. Dazu wird kein Scanner benötigt, sondern ausschließlich eure Augen, ein wacher Verstand und ein paar Kenntnisse der Zusammenhänge.
Registryeinträge können mit diesen Mitteln nur im begrenzten Rahmen korrigiert werden! Ein Scanner ist dahingehend schon überfordert. Das wäre eventuell nur mit der Systemwiederherstellung
http://www.paules-pc-forum.de/pc-kurs/kurs60_05.htm möglich, aber diese birgt auch Risiken in sich, denn es gibt zweifellos Malware, die sich selbst einen Wiederherstellungspunkt setzen kann und damit beginnt das Ringelspiel von vorn. Der Zeitpunkt müsste also weit vor dem Zeitpunkt des Infektes liegen. Es werden jedoch Voraussetzungen geschaffen, selbst erstellte Daten und Dateien relativ gefahrlos zu sichern
Nun die Vorgehensweise:
1. Mit den aktuellsten Versionen von Autoruns, ProcessExplorer und TCPView von
http://technet.microsoft.com/de-de/sysinternals/default.aspx herausfinden, welcher unerwünschte Prozess von welcher Datei ausgelöst wird und eventuell die Verbindung zum Internet sucht. Verschafft euch eine bessere Übersicht in Autoruns, in dem ihr im Menü die Option "Hide Microsoft Entrys" aktiviert. Auffällig sind die meist undokumentierten Einträge mit kryptischen Namen. Der FreeDownload-Manager besitzt auch ein solche Merkmal. Die Löschung dieses Prozesses ist aber nicht schlimm und über die Optionen des DownloadManagers wieder herstellbar.
2. Versuche mit Autoruns und/oder ProcessExplorer den unerwünschten Prozess zu entfernen (Rechtsklick auf Eintrag und wähle "Delete") und beobachte weiter. Starte dazu auch alle vorhandenen Browser, Mailclients und Messenger. Sollte trotz Löschversuche der Prozess noch noch immer oder wieder aktiv sein, entferne ihn auf gleicher Art mit dem ProzessExplorer.
3. Benutzt in Autoruns und ProcessExplorer zusätzlich über das Kontextmenü die Möglichkeit gezielte Infos aus dem Internet zu holen. Rechtsklick auf die Datei und "Search Online" wählen. Grundsätzlich findet ihr zu den meisten gestarteten Dateien bei Google Treffer. Ist dort nur allgemeines Gewäsch zu finden, dürfte es keine Probleme geben. Anders dann wenn in den verlinkten Foren immer von Malware im Zusammenhang mit der betreffenden Datei geschrieben wird. Höchste Alarmstufe, wenn es zu dieser Datei überhaupt keinen Eintrag gibt. Dann ist es hoher Wahrscheinlichkeit eine nagelneue Schadsoftware.
4. Punkt 2. funktioniert in der Regel nicht bei Schadsoftware und Google zeigt ausschlieslich Forenadessen, welche sich mit dieser Problemdatei befassen.
Nochmal: Zu fast jeder Datei findet sich eine Meldung. Oft englisch, versuche sie dann wenigstens ebissl zu interpretieren. Höchste Alarmstufe wenn zu der aktiven Datei überhaupt nichts gesagt wird.
5. Aufschreiben wo sich diese unerwünschte
Datei(en) befinden und wie sie heißen.
6. Startet den PC von einer BartPE, UBCD4Win oder ähnlicher LiveCD mit Schreibberechtigung auf NTFS (sollte jeder im Schreibtisch haben) und löscht die betreffende Datei mit dem integrierten Dateimanager.
7. Startet wieder den PC normal und kontrolliert erneut mit den Tools aus Punkt 1 und alle Register in Autoruns
8. Einträge in Autoruns, in denen nun auf fehlende Dateien verwiesen wird, werden entfernt.
9. Erstelle einen neuen Wiederherstellungspunkt und lösche alle vorherigen. Erkundige dich wie es gemacht wird.
10. Es gibt keinen Garantieschein für den Erfolg und das alle persönlichen Daten dem Angreifer unbekannt blieben. Darum ist der beschriebene Handlungsablauf in jedem Fall die zweite Wahl.
Danach seit ihr in der Lage Maßnahmen zu treffen, welche einen erneuten Infekt ausschließt. Auch euer Hausarzt behandelt bei jedem Patienten die Grippe, ohne sich anzustecken. Er hält bestimmte Verhaltensregeln ein, die einen Infekt ausschließen.
- Lernt mit der Gefahr eines Infektes umzugehen und erlernt den Umgang mit Malware.
- Lernt die Unterscheidungsmerkmale zwischen einer anwesenden und einer installierten Malware. Erstere kann bedenkenlos und ohne spätere Probleme von euch gelöscht werden.
- Malware fliegt nicht durch das Internet wie Schmeißfliegen.
- Gewöhnt euch die lächerliche Behauptung ab: "Ich habe mir eine Vire (Trojaner etc.) eingefangen."
- Glaubwürdiger ist: "Ich bin trotz meines umfangreichen Wissens unvorsichtig gewesen und habe wider der menschlichen Vernunft eine verdächtige Mail bzw. suspekten Download geöffnet, ihren Inhalt nicht ausreichend geprüft und dennoch ausgeführt".
- Erlernt wie man verhindern kann, das in Webseiten inkludierte Scripte oder Adware vom Browser unausgeführt bleiben.
- Schafft euch eine für euer System geeignete LiveCD. Übt den Umgang mit ihr und den darauf befindlichen Programmen. Der Anfang ist hier:
http://nu2german.de/,
http://wiki.winboard.org/index.php/Bild:UBCD4Win_deutsche_Anleitung.pdf und
http://www.win-tipps-tweaks.de/forum/news/15292-vista-live-cd-gratis.html
- Erweitert eure Erfahrungen mit den Tools von (MS)-Sysinternals. Dies nutzt euch bei der täglichen Arbeit sowie im Ernstfall und ihr könnt wesentlich schneller reagieren.
- Eine BartPE oder ähnliche LiveCD sollte jeder im Schreibtisch haben. Sie ist das wichtigste Werkzeugset, das ihr besitzt und es lässt sich jederzeit erweitern. Der investierte Zeitaufwand lohnt sich immer.
- Erstellt mit einem geeigneten Programm ein Image der Startpartition und pflegt es ständig. Auch diese Möglichkeit bieten kostenlos und mehrfach jede hier genannte LiveCD. Allein in der aktuellen UBCD4Win gibt es drei verschiedene. Fragt in diesem Forum wie sie gehandhabt werden.
