Niksoft Computer-Service

Desinfizieren - aber richtig!

Anm.: Diese Anleitung richtet sich an Leute, die gut mit dem Computer umgehen können - Unkundige oder übereilte Aktionen verursachen in der Regel mehr Schaden als ein Virus!

Einführung

Nie und nimmer Dateien löschen - immer nur umbenennen oder verschieben! (Das ist zumindest mein Grundsatz) Das hat folgenden Gründe: Wenn man die falsche Datei erwischt hat, einfach wieder rück-umbenennen und das wars. Wenn die Dateien gelöscht sind, sind ausserdem alle Beweise vernichtet. Es kann später dann niemand mehr nachvollziehen was genau gemacht wurde und um welche Malware es sich gehandelt hat (was meines Erachtens gerade im Firmen-Umfeld wichtig ist - Gerade Admins sollten die Desinfektion penibel dokumentieren!).
Mein prinzipielles Vorgehen:

  • Booten eines sauberen Systems (= definierter Zustand).
  • Feststellen welche Dateien befallen sind (= Platte mit aktuellem Scanner scannen).
  • Report-Datei und befallene Dateien auf eine Floppy oder in anderen Ordner kopieren
  • Eigentliche Desinfektion (je nach Methode unterschiedlich)...
    Virus: Originale Dateien aus sauberen Backup ersetzen oder im Notfall desinfizieren.
    Wurm/Trojaner/etc..: Dateien löschen (Anm.: Dadurch, dass die Dateien vorher kopiert wurden, wurde effektiv nur verschoben und nicht gelöscht).
    Es geht natürlich auch, wenn man die Dateien von "*.EXE" oä. nach "*.EXE.VIR" umbenennt.
  • Sofort off-line fehlende Patches einspielen, damit es zu keiner Re-Infektion kommt! (zB. RPC-Patch »MS04-12, LSASS-Patch »MS04-11)
  • Sofort off-line alle Passwörter ändern (Das System war kompromitiert und somit potentiell auch die Passwörter) - gilt für ALLE Methoden!

Es ist immer abzuwägen wieviel Aufwand man für eine Desinfektion betreiben will (hinlänglich bekannt als Kosten/Nutzen-Rechung). Daher ist es wichtig, den Schädling zu identifizieren, Informationen über den Schädling einholen (Sites der Antivirenhersteller) und angemessene Gegenmaßnahmen zu ergreifen (zB. bei Blaster.A die Festplatte zu formatieren ist völlig unangemessen (keine Schad- oder Spionier-Routinen) - Vgl. Mäuse mit Atombomben zu töten - Die sind dann zwar sicher tot, aber alles Andere auch).

Methode 1: Tabula Rasa

Sind auf der Festplatte keine bis wenige wichtige Dateien? Dann diese Dateien sichern, PC von LAN/Internet abstöpseln, die Festplatte formatieren und System neuaufsetzen. Damit ist sichergestellt, dass das System wirklich sauber ist - Achtung, bevor der Computer wieder ans LAN/Internet angeschlossen wird, die Internetverbindungsfirewall aktivieren oder irgendeine Desktop-Firwall installieren und dann sofort alle Patches installieren ("Windows Updates"), damit nicht irgendwelche Würmer eine Chance haben das frische ungepatchete System zu befallen (Das gilt übrigens auch für die anderen Methoden!).

"Tabula Rasa" halte ich eigentlich immer für verblödet und übertrieben (Wer hat schon Lust einen Tag oder mehr damit zu verbringen, sein System wieder in den Soll-Zustand zu versetzen?). Allerdings hat es den Vorteil, dass sich das System mit an Sicherheit grenzender Wahrscheinlichkeit in einem sauberen Zustand befindet.
Falls verfügbar, kann man auch das letzte saubere Image der Festplatte zurückschreiben (mit Ghost, Drive Image, TrueImage, dd, ...) - Vorher wieder die wichtigsten Dateien sichern! Images haben den Vorteil, dass man sich nicht mit einer Neuinstallation abmühen muss, aber trotzdem auf der sehr sicheren Seite spielt.

Methode 2: "Pladde-Raus-Rein"

Festplatte ausbauen und als 'Slave' an einen als sauber bekannten PC anhängen (Jumper beachten!). Von der sauberen Platte booten, von dort aus die verseuchte Platte scannen und die Malware-Dateien umbenennen oder verschieben (Achtung, bei NTFS als Dateisystem Windows 2000 oder XP als "Master" verwenden) - Wenn die Dateien mit einem Virus infiziert sind, diese Programme kopieren und die Originale mit einem Scanner versuchen zu desinfizieren. Falls die Dateien kaputt-gereinigt wurden, können wir immer noch einen weiteren Reinigungsversuch mit einem anderen Scanner unternehmen (Anm.: Besser ist es allerdings immer die verseuchten Programme durch Saubere aus zB. einem Backup zu ersetzen).

Die "Pladde-Raus-Rein"-Methode ist eine sehr sichere Methode, solange man keine Programme von der verseuchten Platte startet!

Methode 3: Sauberes Boot-Medium

Falls man nicht mit der Hardware "herumspielen" will, kann man auf einen als sauber bekannten PC Boot-Disketten oder CDs erstellen zB. mit F-Prot und »AVDisk oder Knoppicillin. Den verseuchten PC bootet man dann mit dem jeweiligen Medium (Achtung, vorher Boot-Reihenfolge im BIOS überprüfen!), scannt den ganzen PC, speichert die Report-Datei auf eine leere Floppy bzw. notiert sich die befallenen Dateien.
Bei einem Windows 9x/Me-System bzw. FAT16/32 ist das Umbenennen der Dateien unter DOS leicht, da man ohne Probleme schreibend zugreifen kann (zB. "ren [pfad/datei] *.vir").
Bei Windows NT/2000/XP bzw. NTFS als Dateisystem sieht die Sache mit dem Schreibend-Zugriff komplizierter aus. Am einfachsten bootet man von der Windows 2000 (oder XP) Setup-CD, wählt dann "Reparieren" und die "Wiederherstellungskonsole" aus. In der Wiederherstellungskonsole kann man dann fast wie unter DOS die jeweiligen Dateien umbenennen (zB. "ren [pfad/datei] *.vir"). Eine zuvor mit dem »pebuilder auf einem als sauber bekannten PC erstellte WinPE-CD, tuts natürlich auch.

Methode 4: "Abgesicherter Modus" bzw. "Russisches Roulette"

Eine weitere Methode, die man allerdings tunlichst vermeiden sollte, da unsicher, wäre den verseuchten PC im "Abgesicherten Modus mit Eingabeaufforderung" (Windows 2000/XP) zu starten (Ich empfehle "...mit Eingabeaufforderung", weil einfach weniger Mist als im normalen Abgesicherten Modus geladen wird - Stichwort: Explorer als Shell). Bei Windows 95/98 wäre "Nur Eingabeaufforderung" zu wählen (Windows Me erlaubt es idiotischerweise nicht direkt DOS zu starten. Daher muss man auf ein "Sauberes Boot-Medium" zurückgreifen - was sowieso besser ist).
Diese Methode ist höchstens bei einfacher Malware anwendbar, da die meiste Malware im Abgesicherten Modus nicht gestartet wird. Der Scanner sollte möglichst von CD (CD-RWs sind ja heute kaum mehr ein Problem) oder Floppy (für ein Removal reichts) gestartet werden, um die befallenen Dateien zu identifizieren und umzubenennen (zB. "ren [pfad/datei] *.vir"), da sich ein Scanner auf der verseuchten Platte in einem undefiniertem Zustand befindet - sprich: könnte auch infiziert sein.

Schlußwort

Damit in Zukunft nicht wieder eine Reinigungsaktion ansteht, sollte man sich mit "SafeHex" vertraut machen. Im Prinzip heisst das: "Carpe Cerebrum tuum!" (Nutze dein Hirn!) ...und daraus folgt:

  • Nicht auf jeden Mist achtlos klicken, der am Bildschirm erscheint!
  • Betriebssystem am aktuellen Stand halten (Immer brav alle Patches via "Windows Updates" einspielen)!
  • Anwendersoftware am aktuellen Stand halten (vor allem Browser, Mail- & SSH-Clients und andere Programme mit "Netzwerk-Fähigkeiten")!
  • Benutze einen alternativen E-Mail-Client (zB. Mozilla Mail, Thunderbird, Pegasus, Eudora, pine, KMail, ...), Web-Browser (zB. Mozilla, FireFox, Opera, Konqueror, K-Meleon, ...) und News-Reader (zB. XNews, Forté Agent, ...) statt dem Microschrott Internet Explorer und Outlook (Express)!
  • Verwende gute Passwörter (mind. 8 Zeichen, Groß/Kleinschreibung, Ziffern, Sonderzeichen bunt gemischt - ...und bitte nicht ein Post-It auf'm Monitor oder unter die Tastatur picken!)
  • Ein Windows-System niemals direkt ans böse Internet anschließen! Da gehört immer eine Firewall oder Proxy dazwischen! (oder zumindest eine einfache Desktop-Firewall (zB. ZoneAlarm, Agnitum Outpost, Tiny Firwall, Kerio Personal, ... die XP-Internetverbindungsfirewall reicht auch)
  • Virenscanner verwenden und Updates auf automatisch (täglich bis stündlich) einstellen.
  • Falls man mal nicht weiter weiß, »Google oder einen guten Freund befragen!

...Und das alles kostet keinen einzigen Groschen (eher "Cent" im Euroraum ;)! - abgesehen mal vielleicht vom Virenscanner, aber selbst da gibt es kostenlose.
Merke: Das eigene Hirn ist immer noch die beste Waffe!

Aja, hier noch ein paar gute Links:
Malware spezifische Removals
»Sophos, "Guidelines for safer computing"
»Claymania, "Hilfe! Ich denke, ich habe einen Virus!"
»Claymania, "Safe Hex - Sicher am Computer"
»Claymania, "Vorsicht ist besser als Nachsicht!"
»Claymania, "UNIX / Linux Viruses"
»microsoft.public.de.security.heimanwender FAQ, "Ich habe einen Virus / Dialer / ,,Trojaner``/ wurde ,,gehackt``. Was soll ich tun?"
»Microsoft, "Help: I Got Hacked. Now What Do I Do?"

Letzte Änderung: 2004-02-08, 2004-01-30, 2004-01-28, 2004-01-19, 2004-05-20, 2005-02-08