Home » Windows » Microsoft Security » Schädlings Bekämpfung 1
- Anzeige -
Software Asset Management beim Fachmann

Schädlingsbekämpfung per Hand, Fall 1

Es gilt natürlich für die ganze Webseite, ich weisse hier aber noch einmal speziell darauf hin: Für Schäden keine Haftung! Folgen Sie den Anweisungen nur, wenn Sie wissen, was Sie tun. Erstellen Sie ein Backup. Wenn sie nicht selber der Benutzer des befallenen Computers sind, fragen Sie nach, ob der Benutzer alle Daten gesichert hat und Datenträger für das Betriebssystem vorhanden sind. Bei Virensuche ist die Gefahr gross, dass das befallene System später nicht mehr startet!

Dokumentieren Sie Ihre Schritte und die gefundenen Schädlinge.

Ein Rechner kommt nicht mehr ins Internet. Bestimmte Tasten (z.B. die Umlaut-Punkte auf der Schweizer Tastatur) verhalten sich unnormal.

Könnte Schadsoftware sein, ist es auch. So gehe ich vor.

Registry auf verdächtige Einträge prüfen

Häufig befinden sich Schädlinge im Benutzerprofil. Daher werfe ich erst einmal einen Blick auf die Benutzerregistrierung

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

Verdächtige Einträge in der Registry

Im Screenshot fallen komische EXE-Dateien mit kryptischen Namen auf:

Derartige EXE-Dateien sind untypisch. Am Anfang sicher nicht einfach zu erkennen, bekommt man mit der Zeit ein Gespür dafür. ctfmon und LightScribeControlPanel sind Dateien von Windows bzw. von der Brennsoftware.

Löschen Sie die Registry-Zweige mit den verdächtigen Einträgen. Sollte eine Registry-Key nicht zu löschen sein, prüfen Sie die Berechtigungen (über rechte Maustaste).

 

Verdächtige Dateien löschen

Als nächstes müssen wir die entdeckten Dateien "killen". Damit die Dateien sichtbar werden, muss im Explorer folgendes eingestellt werden:

Als nächstes gehen wir in den richtigen Ordner:

Verdächtige Unterordner im Anwendungsdaten-Ordner eines Users

Wenn Sie Lust dazu haben, können Sie die in den Registry-Keys gefundenen Dateien zu www.virustotal.com hochladen. Wahrscheinlich werden Sie feststellen, dass Ihr Virenscanner  die Dateien nicht wirklich kennt. In meinem Fall haben nur ca. fünf der über 40 Virenscanner auf VirusToral die Dateien als Schädling erkannt.

Hier sehen wir sogar noch weitere verdächtige Einträge. Da es alles keine Klartextnamen sind, stechen gut aus den übrigen raus, oder? Allerdings nennen Autoren von Schadprogrammen ihre Software ähnlich oder gleich wie bekannte Programme. Hierzu zählt meist die sog. Rogue Spyware.

Jetzt kann man einfach mal auf die Entfernen-Taste drücken, um die Dateien zu löschen. Das klappt mit manchen, aber sicher nicht mit allen. Warum? Die EXE-Dateien, die automatisch beim Systemstart gestartet wurden, sind noch in Gebrauch und können nicht gelöscht werden. Da wir die Starteinträge aber gelöscht haben, können Sie den PC jetzt neu starten und es noch einmal versuchen. Jetzt funktioniert es.

TEMP-Verzeichnis löschen

Gehören Sie zu den Menschen, die wichtige Dateien ins Temp-Verzeichnis legen? Gewöhnen Sie es sich bitte ab oder führen Sie die nächste Aktion nicht durch.

Manche Schädlingsprogramme verstecken sich im Temp-Verzeichnis. Es kann also nichts schaden (ausser Sie gehören zu den vorhergehend genannten Personen), wenn dessen Inhalt gelöscht wird. Ausserdem gehen die nachfolgenden Scans auch schneller.

Ich mache das am liebsten unter DOS.

Also:

 Löschen des TEMP-Verzeichnisses

Haben Sie Geduld mit dem Befehl, es dauert eine ganze Weile, bis der Temp-Ordner geleert ist. Sie werden die Meldung sehen "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Programm verwendet wird." Diese Meldung ist normal, da das System immer Dateien im Temp-Ordner offen hat. Der RD-Befehl kann keine offenen Dateien löschen.

HijackThis

HijackThis ist mein erstes Scan-Tool. Es liefert gerade bei Schädlingen, die den Internet-Verkehr oder die Browser stören, wichtige Hinweise.  Als Ergebnis wird eine Log-Datei erzeugt, deren Interpretation nicht gerade einfach ist. In diese Lücke springt die Webseite www.hijackthis.de. Man gibt dort die Log-Datei ein und bekommt diese interpretiert. Auch hier ist aber etwas Vorsicht angebracht:

Die aktuelle Version von HijackThis lädt man hier herunter http://sourceforge.net/projects/hjt/

Screenshot HijackThis

Screenshot HijackThis

Hier wird die pdfforgeToolbar als schädlich eingestuft. Hier kann man natürlich unterschiedlicher Meinung sein.

Haben Sie Einträge gefunden, die Sie wirklich löschen möchten? Markieren Sie die entsprechenden Einträge in HijackThis und klicken Sie auf "Fix checked". Ich habe hier alles gelassen, wie es war.

Jetzt wird gescannt...

Meistens lass ich die folgenden Scanner auf den entsprechenden Rechner los:

Malwarebytes Anti-Rootkit

http://www.malwarebytes.org/products/mbar

Super Antispyware (Free Edition)

http://www.superantispyware.com/download.html

Ebenfalls gute Erfahrungen habe ich gemacht mit:

Malwarebytes Anti-Malware Gratis

malwarebytes.org

Eset Online Scanner

http://www.eset.com/de/home/products/online-scanner

Die erhältlichen Boot-CDs nutze ich nur sehr, sehr selten. Sind System-Dateien infiziert, startet Windows später oft nicht mehr.

Kommt man gar nicht zum Arbeiten mit den genannten Tools, unbedingt im abgesicherten Modus noch mal versuchen.

Vorbeugen

War man erfolgreich, anschliessend unbedingt

Stellen Sie die Ansicht im Explorer wieder zurück.

Nach ein paar Tagen scannen Sie am besten noch einmal erneut. Wenn Sie nicht alles erwischt haben, sind in der Regel schon wieder weitere Schädlinge auf dem PC.

Bei Misserfolg gilt es den Aufwand abzuschätzen. Eine intensivere Internet-Recherche kann nichts schaden, allerdings verbrät man sehr schnell sehr viel Zeit damit. Irgendwann wird eine Neuinstallation einfacher...

Diese Anleitung wird nur bei den einfacheren Schädlingen helfen. Nach unseren Erfahrungen machen diese jedoch - zum Glück - noch die Mehrheit aus.

Bei Befall mit Rogue Spyware bitte folgenden Artikel beachten: Die grosse Pest: Rogue Spyware, z.B. MS Removal Tool 



War der Artikel hilfreich? Ich freue mich sehr über Likes, Shares oder Links von Deiner Website darauf. Danke Dir.

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.