Schädlingsbekämpfung per Hand, Fall 1

Es gilt natürlich für die ganze Webseite, ich weisse hier aber noch
einmal speziell darauf hin: Für Schäden keine Haftung! Folgen Sie den Anweisungen nur, wenn Sie
wissen, was Sie tun. Erstellen Sie ein Backup. Wenn sie nicht selber der
Benutzer des befallenen Computers sind, fragen Sie nach, ob der Benutzer alle
Daten gesichert hat und Datenträger für das Betriebssystem vorhanden sind. Bei Virensuche ist die Gefahr gross, dass
das befallene
System später nicht mehr startet!

Dokumentieren Sie Ihre
Schritte und die gefundenen Schädlinge.

Ein Rechner kommt nicht mehr ins Internet. Bestimmte Tasten (z.B. die
Umlaut-Punkte auf der Schweizer Tastatur) verhalten sich unnormal.

Könnte Schadsoftware sein, ist es auch. So gehe ich vor.

Registry auf verdächtige Einträge prüfen

Häufig befinden sich Schädlinge im Benutzerprofil. Daher werfe ich erst
einmal einen Blick auf die Benutzerregistrierung

  • Start
  • Ausführen
  • "regedit" eingeben
  • Den Key
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 
  • kontrollieren

Verdächtige Einträge in der Registry

Im Screenshot fallen komische EXE-Dateien mit kryptischen Namen auf:

  • aviqui.exe
  • tetaw.exe
  • evykg.exe

Derartige EXE-Dateien sind untypisch. Am Anfang sicher nicht einfach zu
erkennen, bekommt man mit der Zeit ein Gespür dafür. ctfmon und LightScribeControlPanel sind
Dateien von Windows bzw. von der Brennsoftware.

Löschen Sie die Registry-Zweige mit den verdächtigen Einträgen. Sollte eine
Registry-Key nicht zu löschen sein, prüfen Sie die Berechtigungen (über rechte
Maustaste).

 

Verdächtige Dateien löschen

Als nächstes müssen wir die entdeckten Dateien "killen". Damit die Dateien
sichtbar werden, muss im Explorer folgendes eingestellt werden:

  • Extras
  • Ordneroptionen
  • Registerkarte Ansicht
  • Haken raus bei "Geschützte Systemdateien ausblenden"
  • Rubrik "Versteckte Dateien und Ordner" suchen
  • Option "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen"

Als nächstes gehen wir in den richtigen Ordner:

Verdächtige Unterordner im Anwendungsdaten-Ordner eines Users

Wenn Sie Lust dazu haben, können Sie die in den Registry-Keys gefundenen Dateien
zu www.virustotal.com hochladen.
Wahrscheinlich werden Sie feststellen, dass Ihr Virenscanner  die Dateien
nicht wirklich kennt. In meinem Fall haben nur ca. fünf der über 40 Virenscanner auf VirusToral die Dateien als Schädling erkannt.

Hier sehen wir sogar noch weitere verdächtige Einträge. Da es alles keine
Klartextnamen sind, stechen gut aus
den übrigen raus, oder? Allerdings nennen Autoren von Schadprogrammen ihre
Software ähnlich oder gleich wie bekannte Programme. Hierzu zählt meist die sog.

Rogue Spyware
.

Jetzt kann man einfach mal auf die Entfernen-Taste drücken, um die Dateien zu
löschen. Das klappt mit manchen, aber sicher nicht mit allen. Warum? Die EXE-Dateien,
die
automatisch beim Systemstart gestartet wurden, sind noch in Gebrauch und können
nicht gelöscht werden. Da wir die Starteinträge aber
gelöscht haben, können Sie den PC jetzt neu starten und es noch einmal
versuchen. Jetzt funktioniert es.

TEMP-Verzeichnis löschen

Gehören Sie zu den Menschen, die wichtige Dateien ins Temp-Verzeichnis legen?
Gewöhnen Sie es sich bitte ab oder führen Sie die nächste Aktion nicht
durch.

Manche Schädlingsprogramme verstecken sich im Temp-Verzeichnis. Es kann also
nichts schaden (ausser Sie gehören zu den vorhergehend genannten Personen), wenn
dessen Inhalt gelöscht wird. Ausserdem gehen die nachfolgenden Scans auch schneller.

Ich mache das am liebsten unter DOS.

Also:

  • Start
  • "cmd" eingeben
  • "cd %temp%" eingeben
  • Achten Sie darauf, dass Sie jetzt im Ordner TEMP stehen (z.B.
    C:UsersLarsAppDataLocalTemp). Wenn Sie nicht richtig hinschauen und
    z.B. noch in C:UsersLars stehen, dann löscht Ihnen der nächste Befehl ein
    paar Dateien zuviel und Sie haben ein Problem!
  • "rd . /s /q" eingeben

 Löschen des TEMP-Verzeichnisses

Haben Sie Geduld mit dem Befehl, es dauert eine ganze Weile, bis der
Temp-Ordner geleert ist. Sie werden die Meldung sehen "Der Prozess kann nicht
auf die Datei zugreifen, da sie von einem anderen Programm verwendet wird."
Diese Meldung ist normal, da das System immer Dateien im Temp-Ordner offen hat.
Der RD-Befehl kann keine offenen Dateien löschen.

HijackThis

HijackThis ist mein erstes Scan-Tool. Es liefert gerade bei
Schädlingen, die den Internet-Verkehr oder die Browser stören, wichtige
Hinweise.  Als Ergebnis wird eine Log-Datei erzeugt, deren Interpretation
nicht gerade einfach ist. In diese Lücke springt die Webseite
www.hijackthis.de. Man
gibt dort die Log-Datei ein und bekommt diese interpretiert. Auch hier ist aber
etwas Vorsicht angebracht:

Die aktuelle Version von HijackThis lädt man hier herunter

http://sourceforge.net/projects/hjt/

Screenshot HijackThis

Screenshot HijackThis

Hier wird die pdfforgeToolbar als schädlich eingestuft. Hier kann man
natürlich unterschiedlicher Meinung sein.

Haben Sie Einträge gefunden, die Sie wirklich löschen möchten? Markieren Sie
die entsprechenden Einträge in HijackThis und klicken Sie auf "Fix checked". Ich
habe hier alles gelassen, wie es war.

Jetzt wird gescannt…

Meistens lass ich die folgenden Scanner auf den entsprechenden Rechner
los:

Malwarebytes Anti-Rootkit


http://www.malwarebytes.org/products/mbar

Super Antispyware (Free Edition)


http://www.superantispyware.com/download.html

Ebenfalls gute Erfahrungen habe ich gemacht mit:

Malwarebytes Anti-Malware Gratis


malwarebytes.org

Eset Online Scanner


http://www.eset.com/de/home/products/online-scanner

Die erhältlichen Boot-CDs nutze ich nur sehr, sehr selten. Sind
System-Dateien infiziert, startet Windows später oft nicht mehr.

Kommt man gar nicht zum Arbeiten mit den genannten Tools, unbedingt im
abgesicherten Modus noch mal versuchen.

Vorbeugen

War man erfolgreich, anschliessend unbedingt

  • Windows Updaten, Windows-Update auf automatisch stellen
  • Flash updaten
  • Java updaten (besser komplett deinstallieren)
  • StartupMonitor
    installieren – Die Freeware überwacht die Einträge im Windows Autostart und
    warnt entsprechend. Ob sie allerdings in der Lage ist auch
    Schädlingseinträge zu melden, kann ich nicht sicher sagen. Da aber jedes
    kleine Tool einen zumeist sinnfreien Eintrag machen will, sorgt es zumindest
    für einen performant bleibendes System.
    StartupMonitor wird vom Autor nicht mehr gepflegt. Über web.archive.org lässt sich die Software aber noch herunterladen.

Stellen Sie die Ansicht im Explorer wieder zurück.

Nach ein paar Tagen scannen Sie am besten noch einmal erneut. Wenn Sie nicht
alles erwischt haben, sind in der Regel schon wieder weitere Schädlinge auf dem
PC.

Bei Misserfolg gilt es den Aufwand abzuschätzen. Eine intensivere
Internet-Recherche kann nichts schaden, allerdings verbrät man sehr schnell sehr
viel Zeit damit. Irgendwann wird eine Neuinstallation einfacher…

Diese Anleitung wird nur bei den einfacheren Schädlingen helfen. Nach unseren
Erfahrungen machen diese jedoch – zum Glück – noch die Mehrheit aus.

Bei Befall mit Rogue Spyware bitte folgenden Artikel beachten:

Die grosse Pest: Rogue Spyware, z.B. MS Removal Tool
 

Achtung!

Dieser Artikel wurde automatisiert vom alten CMS übernommen. Dort war er zuletzt am 24.01.2017 geändert worden. Bei der Konvertierung können sich Fehler eingeschlichen haben, wie zum Beispiel falsche Zeilenumbrüche, fehlende Bilder oder fehlende Zeichen. Wenn du einen solchen Fehler entdeckst, dann schreibe doch bitte einen Kommentar, damit ich das beheben kann.

Vielen Dank für deine Mühe.

Das könnte dich auch interessieren:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.