Malwarebefall: Was ist zu tun? (VOR dem Posten bitte lesen)

Hallo Forumsmitglieder,

falls ihr aufgrund eines Viren- oder anderen Malwarefunds das Forum und diesen Beitrag aufgerufen habt, dann lest bitte die folgenden Abschnitte durch, um grundsätzliche Hinweise zum Thema Malwarebefall zu erhalten und zu erfahren, wie ihr am besten einen Hilfethread im Sicherheits-Unterforum formuliert.


Ein kompromittiertes System ist nicht mehr vertrauenswürdig.

Virenscanner sind nicht perfekt. Sie können Malware übersehen oder beim Entfernen derselben Fehler machen. Man kann sich also nach Finden und Löschen eines Schadprogramms nicht sicher sein, ob noch weitere Malware im System versteckt ist. Ein einmal kompromittiertes System gehört demnach neu installiert, bzw. über System-Images in einen vertrauenswürdigen Zustand zurück versetzt.
Mehr dazu hier: http://oschad.de/wiki/Kompromittierung
Diese Meinung teilt übrigens auch Microsoft: http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
Wer mit einem einmal verseuchten System weiterarbeitet, ins Internet geht und womöglich noch Onlinebanking damit betreibt oder Dateien anderen Internetnutzern zur Verfügung stellt, handelt grob fahrlässig. Er gefährdet nicht nur sich, sondern auch andere.


Was ist also zu tun?

Ein kompromittiertes System sollte entweder neu installiert oder per Image in einen früheren Zustand versetzt werden. Die in Windows integrierte Systemwiederherstellung ist für diesen Zweck ungeeignet.
Falls nicht sicher ist, ob das System kompromittiert ist, können spezielle Scanprogramme wie z.B. Malwarebytes Anti-Malware Windows-Systeminterna durchleuchten, auf deren Basis sich dann die Helfer im Forum ein Bild der Lage machen können. Damit können auch Schwachstellen im Sicherheitskonzept, die möglicherweise zur Infektion geführt haben, ausgemacht werden. Ein solcher Systemscan kann also auch bei einer darauf folgenden Neuinstallation nützlich sein.
Die empfohlene Vorgehensweise bei Verdacht auf Malwarebefall ist also:

1. Erstellt im Sicherheits-Unterforum einen Thread (falls nicht bereits geschehen)
2. Schildert dort das Problem. Was lässt euch einen Malwarebefall vermuten? Gibt es Fehlermeldungen? Verhält sich der Computer anders als gewohnt?
3. Falls das installierte Anti-Viren-Programm eine Virenmeldung angezeigt hat, dann postet bitte die Bezeichnung und den genauen Speicherort des Schädlings und hängt, falls der Virenscanner eine solche Funktion hat, noch eine Log-Datei an. Der Name der Anti-Viren-Software sollte in dem Zusammenhang natürlich auch genannt werden.
4. Hängt an den Beitrag eine Log-Datei von O.T.L. (darum geht es im nächsten Abschnitt) oder von MBAM (kostenlose Download-Variante) an. Lest dazu die Anleitung Posten von Log-Dateien

Systemanalyse mit O.T.L.

Dieser Abschnitt wurde von IRON67 verfasst.

Zwecks genauerer Analyse des Rechners bei Malware-Verdacht oder sonstigen Problemen ist ein Programm, das sich O.T.L. by Oldtimer nennt, zu empfehlen. Es ist der legitime Nachfolger des in die Jahre gekommenen und mittlerweile von Trendmicro betreuten Tools HijackThis. Letzteres ist allerdings wenig aussagekräftig und liefert insbesondere unter Windows 7 falsche und fehlerhafte Werte. Daher sollte man nur noch O.T.L. verwenden. Die beiden Textdateien, die es erzeugt (OTL.txt und ggf. EXTRAS.txt) sind allerdings recht umfangreich und für den Laien kaum durchschaubar. Wer sich an einer Analyse versuchen will, sollte sich zunächst über den grundlegenden Aufbau der Logs informieren. Da aber Rechner und deren Logs von Fall zu Fall stark variieren und längst nicht alles darin relevant ist, um typische Malware-Infektionen und Schwachpunkte im System aufzudecken, ist eine solche Log-Analyse keineswegs eine Entwarnung, falls man nichts Auffälliges findet. Sie sollte im Übrigen zur Sicherheit von jemandem gegengeprüft werden, der damit bereits Erfahrung hat.

Das Programm kann z.B. hier heruntergeladen werden:

OTL-Download Es gibt drei alternative Links (OTL.exe, OTL.com oder OTL.scr).

Dort gibt es auch eine ausführliche Anleitung für Fortgeschrittene. Anfänger können die getrost ignorieren. Normalerweise reicht es aus, einen "Quickscan" auszuführen, indem man auf den entsprechenden Button im Programmfenster geklickt hat. Nach etwa 5 Minuten sollte das Fenster des Standard-Text-Editors mit der Textdatei aufpoppen. Wichtig ist vor allem die OTL.txt. Wer diese Datei(en) analysieren lassen möchte, sollte vorher in beiden persönliche Daten (z.B. den eigenen Klarnamen - vielleicht als angemeldeter User oder als Dateiname bei Dokumenten oder Ordnern) mit der Suchen-&- Ersetzen-Funktion des Editors durch Sternchen oder X ersetzen (******). Anschließend lädt man eine oder beide Dateien entweder hier im Forum als Anhang oder bei einem Filehoster wie z.B. file-upload.net hoch und teilt dem Helfer diesen Link per Privater Nachricht oder auch öffentlich mit.

Hinweis: O.T.L. ist KEIN Virenscanner! Es werden jedoch zahlreiche Einstellungen des Systems wie z.B. laufende Prozesse, Dienste und Treiber, Browser-Konfiguration, installierte Software samt Versionsangaben, Zeitpunkte von Manipulationen an diversen Dateien oder ihr Erstellungsdatum usw. ermittelt. Dadurch lassen sich häufig Infektionen zuverlässiger als mit einem Virenscanner ermitteln und ebenso die Ursachen für diese Infektion, wie z.B. veraltete Software.


Systembereinigungen: Sinn und Unsinn

Mit den bereits oben genannten speziellen Systemtools können erfahrene Nutzer und Helfer versuchen, das kompromittierte System von Malware zu befreien. Allerdings gilt auch hier: Man kann sich nie sicher sein, ob das System wirklich sauber ist. Zusätzlich kommt noch hinzu, dass solche Bereinigungen sehr zeitintensiv und per Ferndiagnose im Forum nur schwer möglich sind. Wir empfehlen also ausdrücklich, keine solche Systembereinigungen zu versuchen. Sicherer ist eine Neuinstallation des Systems.


Weiterführende Links

• Computersicherheit und Datenschutz - eine Einführung
• Sicherheits-Mythen
• Personal Firewalls: Sinnvoll oder sinnfrei
• Seite über Personal Firewalls vom CCC
• Zusammenstellung: Wie mache ich meinen PC sicher?
• Tutorial: Malware, Malwarebekämpfung, Malwareprävention

Es bedankt sich
das Moderatorenteam


Vielen Dank an -humi- und IRON67 für die Mithilfe.