| CHIP-Spezialist für Malware | Registriert seit: 07.08.2003 Ort: Augsburg Beiträge: 3.573 |
Erste Hilfe bei Infektionen (Viren, Würmer etc.)
(Beitrag im CHIP FAQ-Portal)
Grundregeln bei möglichem Schädlingsbefall (Malware)
Bitte die folgende Punkte in aller Ruhe durchlesen und - soweit möglich/erforderlich - komplett abarbeiten. Auf fünf Minuten hin oder her kommt es wirklich nicht an. Danke dafür.
Ruhe bewahren!
Genaue Angaben zur Infektion
HJT Logfile: Wie mache ich das richtig?
Verdächtige Dateien online überprüfen lassen
VirusTotal - Bebilderte Anleitung
Ruhe bewahren!
Panik und unüberlegte Löschaktionen helfen auf keinen Fall weiter, auch bringt z.B. die nachträgliche Installation von weiteren Sicherheitsprogrammen nichts - im Gegenteil: Hier besteht höchstens die Gefahr dem System den Rest zu geben.
Falls ein Zweit-PC zur Verfügung steht, sollte der möglicherweise infizierte Rechner zunächst physikalisch von in- und externen Netzwerken getrennt werden (Verbindungsstecker/Netzwerkkabel ziehen). Hilfe zum weiteren Vorgehen kann dann über den Zweit-PC eingeholt werden.
Genaue Angaben zur Infektion
1.) Wie lautet die vollständige Virenmeldung (genauer Dateipfad!)? Gegebenenfalls empfiehlt es sich das Log des Virenscanners zu posten. Zwei Beispiele:
Wurm ABC wird hier gefunden: Spyware XYZ befindet sich dort: 2.) Welcher Scanner meldet dies? Wann zuletzt hatte er eine Aktualisierung der Signaturen erfahren, bevor es zu der vermeintlichen Infektion gekommen war?
3.) Welche Aktion wurde unmittelbar vor der Infektion durchgeführt (Besuch einer bestimmten Website oder das Öffnen einer Mail)? Wurde beispielsweise zuvor eine Datei heruntergeladen und ausgeführt, so sollte auch diese gesichert und nicht gelöscht werden - das gilt ebenfalls für Links aus Messengern, die man zugeschickt bekam: Alles sichern und dann im Zweifel im Forum nachfragen, was genau davon die helfenden User in diesem Fall benötigen.
Wichtig: Solch eine vermutlich "böse" Seite niemals als klickbaren Link posten, sondern z.B. folgendermaßen entschärfen: w*w.böseseite.com
4.) Um welches Betriebssystem handelt es sich bzw. auf welchem Servicepack-/Patchstand befindet es sich? Wann zuletzt wurden VOR der Infektion Aktualisierungen durchgeführt?
5.) Falls bereits Maßnahmen getroffen wurden: Welche genau?
HJT Logfile: Wie mache ich das richtig?
Für Ferndiagnosen ist HijackThis praktisch unentbehrlich. Der Download und ein anschließender System Scan dauern höchstens ein paar Minuten. So erhalten die Helfenden einen schnellen ersten Überblick über das System.
1.) Ein sehr gute bebilderte Anleitung gibt es hier: http://sicher-ins-netz.info/analyse/hjt.html
2.) Es existiert eine recht bekannte automatische Auswertung für diese Logfiles. Diese ist aber keinesfalls fehlerfrei und sollte wenn überhaupt nur als grober Anhaltspunkt dienen.
Wichtig: Bitte auf gar keinen Fall im Alleingang einen von der Automatik angeprangerten "bösen" oder "unklaren" Eintrag mal eben so fixen oder löschen. Im schlimmsten Fall zerschießt man sich dadurch das System.
3.) Befinden sich im Logfile Namen oder sonstige persönliche Daten...
...sollten diese unkenntlich gemacht werden:
4.) Wichtig: Zusätzlich sollten vor dem Posten im Chip-Forum von möglicherweise "schädlichen Infos" - und das können auch Links innerhalb des automatisch erstellen HJT-LogFiles sein - bei "Links automatisch umwandeln" der Haken herausgenommen werden:
5.) Hier ein Muster-Log:
Verdächtige Dateien online überprüfen lassen
Dafür bieten sich VirusTotal und Jotti an, wobei VirusTotal wegen der Mehrzahl der Scanner und der durchschnittlich geringeren Auslastung vorzuziehen ist.
Leider kommt es aber hier immer wieder zu Missverständnissen bzw. die geposteten Angaben sind ungenau/fehlerhaft. Daher eine kleine bebilderte Anleitung
------------------------------------------------------
Spezielle Vorschläge
Gefährlich, deshalb:
http://www.heise.de/security/Updates...meldung/110702
Veraltete Version, aktuell ist Java 6 Update 7! Aber nachträgliches Updaten nach einer Infizierung bringt nichts mehr, das muß vorher aktuell sein.
http://www.heise.de/security/StopBad...meldung/102842
-----
Toolbars en masse, überflüssig wie ein Kropf, zudem noch Müll!
http://www.heise.de/security/Gefaehr...meldung/100835
http://www.heise.de/security/Gefahr-.../meldung/90440
Fällt immer nur negativ auf, mit ständig neuen Sicherheitslücken:
http://www.heise.de/security/Apple-s...meldung/109218
Fazit:
Wenn ich mir hier so alles betrachte:
-> Schädlingseinträge in der Systemwiederherstellung
-> voreiliges *Löschen* derselben
-> ungepatchte Applikationen -> Drive-by-Download-Gefahr (Java)
-> unsichere Software (RealPlayer, Quicktime)
-> "das fic hatte ich damals mal für meine trojaner verwendet" ->
-> überflüssiger Müll auf dem Rechner (Toolbars)
alleine das 1. reichte mir schon, um klar Schiff zu machen. Du hast es durch voreiliges Löschen nur noch verschlimmbessert, zumal Du in der Vergangenheit schon einmal Probleme mit Trojanern hattest und diese auch nicht durch formatieren entfernt hast, sondern mit einem Bereinigungstool gearbeitet hast.
Das kann nicht gutgehen, deshalb:
http://www.microsoft.com/germany/tec...es/600574.mspx
http://www.malte-wetz.de/index.php?v...c-removal.html
Ich würde formatieren, und Daten, die mir wichtig sind, via Live-CD sichern.
Ubuntu von einem sauberen Zweitrechner laden, dort auf CD brennen und hiermit den Rechner booten.
Ich habe mal eine kleine Anleitung hierfür geschrieben:
Ubuntu-Anleitung
http://forum.chip.de/viren-trojaner-...ml#post6227512
Grundregeln bei möglichem Schädlingsbefall (Malware)
Bitte die folgende Punkte in aller Ruhe durchlesen und - soweit möglich/erforderlich - komplett abarbeiten. Auf fünf Minuten hin oder her kommt es wirklich nicht an. Danke dafür.
Ruhe bewahren! Genaue Angaben zur Infektion HJT Logfile: Wie mache ich das richtig? Verdächtige Dateien online überprüfen lassen VirusTotal - Bebilderte Anleitung Ruhe bewahren!Panik und unüberlegte Löschaktionen helfen auf keinen Fall weiter, auch bringt z.B. die nachträgliche Installation von weiteren Sicherheitsprogrammen nichts - im Gegenteil: Hier besteht höchstens die Gefahr dem System den Rest zu geben.
Falls ein Zweit-PC zur Verfügung steht, sollte der möglicherweise infizierte Rechner zunächst physikalisch von in- und externen Netzwerken getrennt werden (Verbindungsstecker/Netzwerkkabel ziehen). Hilfe zum weiteren Vorgehen kann dann über den Zweit-PC eingeholt werden.
Genaue Angaben zur Infektion1.) Wie lautet die vollständige Virenmeldung (genauer Dateipfad!)? Gegebenenfalls empfiehlt es sich das Log des Virenscanners zu posten. Zwei Beispiele:
Wurm ABC wird hier gefunden:
Code:
C:\WINDOWS\System32\sxxchost.exe
Code:
C:\Programme\Gemeinsame Dateien\updater.exe
3.) Welche Aktion wurde unmittelbar vor der Infektion durchgeführt (Besuch einer bestimmten Website oder das Öffnen einer Mail)? Wurde beispielsweise zuvor eine Datei heruntergeladen und ausgeführt, so sollte auch diese gesichert und nicht gelöscht werden - das gilt ebenfalls für Links aus Messengern, die man zugeschickt bekam: Alles sichern und dann im Zweifel im Forum nachfragen, was genau davon die helfenden User in diesem Fall benötigen.
Wichtig: Solch eine vermutlich "böse" Seite niemals als klickbaren Link posten, sondern z.B. folgendermaßen entschärfen: w*w.böseseite.com
4.) Um welches Betriebssystem handelt es sich bzw. auf welchem Servicepack-/Patchstand befindet es sich? Wann zuletzt wurden VOR der Infektion Aktualisierungen durchgeführt?
5.) Falls bereits Maßnahmen getroffen wurden: Welche genau?
HJT Logfile: Wie mache ich das richtig?Für Ferndiagnosen ist HijackThis praktisch unentbehrlich. Der Download und ein anschließender System Scan dauern höchstens ein paar Minuten. So erhalten die Helfenden einen schnellen ersten Überblick über das System.
1.) Ein sehr gute bebilderte Anleitung gibt es hier: http://sicher-ins-netz.info/analyse/hjt.html
2.) Es existiert eine recht bekannte automatische Auswertung für diese Logfiles. Diese ist aber keinesfalls fehlerfrei und sollte wenn überhaupt nur als grober Anhaltspunkt dienen.
Wichtig: Bitte auf gar keinen Fall im Alleingang einen von der Automatik angeprangerten "bösen" oder "unklaren" Eintrag mal eben so fixen oder löschen. Im schlimmsten Fall zerschießt man sich dadurch das System.
3.) Befinden sich im Logfile Namen oder sonstige persönliche Daten...
Code:
C:\Dokumente und Einstellungen\Hans Meier\Desktop\HiJackThis202.exe
Code:
C:\Dokumente und Einstellungen\**** *****\Desktop\HiJackThis202.exe
5.) Hier ein Muster-Log:
Zitat:
| Logfile of Trend Micro HijackThis v2.0. |
| Scan saved at 00:26:52, on 04.10.2007 |
| Platform: Windows Vista (WinNT 6.00.1904) |
| MSIE: Internet Explorer v7.00 (7.00.6000.16512) |
| Boot mode: Normal |
| Running processes: |
| C:\Windows\system32\Dwm.exe |
| C:\Windows\system32\taskeng.exe |
| C:\Windows\Explorer.EXE |
| C:\Program Files\Windows Defender\MSASCui.exe |
| C:\Windows\RtHDVCpl.exe |
| C:\Program Files\Windows Sidebar\sidebar.exe |
| D:\Free Download Manager\fdm.exe |
| D:\ObjectDock\ObjectDock.exe |
| D:\Mozilla Firefox\firefox.exe |
| F:\SICHERHEIT\HIJACK THIS\HijackThis.exe |
| R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 |
| R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank |
| R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 |
| R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 |
| R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 |
| R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank |
| R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = |
| R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = |
| O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Free Download Manager\iefdmcks.dll |
| O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide |
| O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe |
| O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun |
| O4 - HKCU\..\Run: [Free Download Manager] d:\FREEDO~1\fdm.exe -autorun |
| O4 - Startup: Stardock ObjectDock.lnk = D:\ObjectDock\ObjectDock.exe |
| O13 - Gopher Prefix: |
| O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe |
| End of file - 2052 bytes |
Verdächtige Dateien online überprüfen lassenDafür bieten sich VirusTotal und Jotti an, wobei VirusTotal wegen der Mehrzahl der Scanner und der durchschnittlich geringeren Auslastung vorzuziehen ist.
Leider kommt es aber hier immer wieder zu Missverständnissen bzw. die geposteten Angaben sind ungenau/fehlerhaft. Daher eine kleine bebilderte Anleitung
------------------------------------------------------
Spezielle Vorschläge
Code:
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
http://www.heise.de/security/Updates...meldung/110702
Veraltete Version, aktuell ist Java 6 Update 7! Aber nachträgliches Updaten nach einer Infizierung bringt nichts mehr, das muß vorher aktuell sein.
-----Code:
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
-----
Toolbars en masse, überflüssig wie ein Kropf, zudem noch Müll!
http://www.heise.de/security/Gefaehr...meldung/100835
http://www.heise.de/security/Gefahr-.../meldung/90440
Code:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
http://www.heise.de/security/Apple-s...meldung/109218
Fazit:
Wenn ich mir hier so alles betrachte:
-> Schädlingseinträge in der Systemwiederherstellung
-> voreiliges *Löschen* derselben
-> ungepatchte Applikationen -> Drive-by-Download-Gefahr (Java)
-> unsichere Software (RealPlayer, Quicktime)
-> "das fic hatte ich damals mal für meine trojaner verwendet" ->
-> überflüssiger Müll auf dem Rechner (Toolbars)
alleine das 1. reichte mir schon, um klar Schiff zu machen. Du hast es durch voreiliges Löschen nur noch verschlimmbessert, zumal Du in der Vergangenheit schon einmal Probleme mit Trojanern hattest und diese auch nicht durch formatieren entfernt hast, sondern mit einem Bereinigungstool gearbeitet hast.
Das kann nicht gutgehen, deshalb:
http://www.microsoft.com/germany/tec...es/600574.mspx
http://www.malte-wetz.de/index.php?v...c-removal.html
Ich würde formatieren, und Daten, die mir wichtig sind, via Live-CD sichern.
Ubuntu von einem sauberen Zweitrechner laden, dort auf CD brennen und hiermit den Rechner booten.
Ich habe mal eine kleine Anleitung hierfür geschrieben:
Ubuntu-Anleitung
http://forum.chip.de/viren-trojaner-...ml#post6227512
LibreOffice
Firefox
OpenSUSE
No comments:
Post a Comment