Gruss an Kundige
auf einen PC habe ich festgestellt, dass der obige Wurm eingefallen war. Ein Zugriff auf die MS-Updateseite war nicht mehr möglich. Ich hatte dann, da kein Antivirusprogramm installiert war mit dem MS-Tool zur Entfernung schädlicher Software (von winfurure.de heruntergeladen) den Wurm vernichten lassen. Danach mussten noch Dienste neu gestartet werden laut Anleitung von MS. Danach lief wieder alles.
Jetzt kam die Meldung: kein Internetzugang mehr möglich. Falls es keine andere Ursache hat, muss ich vermuten, dass der Wurm doch noch tätig ist und wieder zuschlug.
Frage: kann ich auf ein solch ggf. infiziertes System z.b. das Virenprogram AVG installieren und dieses dann auf den Rechner loslassen, dass es die Schädlinge beseitigt oder ist das so nicht möglich?
Wenn nein, was tue ich jetzt am besten?
gruss T.
Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge
Windows auf C (infiziert durch einen der von dir aufgelisteten Schädlinge, die auf andere Datenträger und Partitionen überspringen), evtl. noch eine weitere Partition auf der selben Festplatte.
Hinzu kommt eine externe Festplatte, die meistens am Rechner angeschlossen ist und auch bis dem Zeitpunkt, in der die Infektion bemerkt wurde, mit dem Rechner verbunden war.
Somit sind bereits zu diesem Zeitpunkt die Daten auf der externen Festplatte als nicht mehr vertrauenswürdig anzusehen. Das betrifft in Bezug auf konkrete Maßnahmen insbesondere ausführbare Dateien, die in der Folge zu verwerfen wären.
Gleichzeitig ist neben dem "insbesondere" auch das Augenmerk auf vermeintliche Ordner zu richten, die allerdings als Malware lediglich die bisherigen Ordnernamen tragen und nur wie Ordner aussehen:
- http://www.precisesecurity.com/qa/?p=1226
Oder ursprüngliche Fotos werden durch Malware ersetzt ...,
- https://community.mcafee.com/thread/31828?tstart=0
- http://www.johns-web-site.com/index.php?month=2010-12&id=2149320
... behalten jedoch Dateinamen und jpg-Icon bei.
Weitere Datenträger (ausgenommen vielleicht ein bisher ungenutzter USB-Stick, der allerdings nicht alle Daten aufnehmen kann) sind nicht Teil des Haushalts.
Insofern sich keine vertrauenswürdigen Systeme im Haushalt befinden, wird mindestens ein solches "importiert" werden müssen. Das kann durch den Kauf eines Computermagazins geschehen, dem eine bootfähige Heft-CD beiliegt, aber auch durch Freunde, Kollegen, Verwandte und Bekannte, die saubere Medien mit bootfähigen Systemen er- und bereitstellen können.
Da alle Datenträger, bzw. Partitionen betroffen sind, werden die Daten auf die ohnehin schon infizierte externe Festplatte verlagert.
OK. Somit bilden System und alle derzeit verfügbaren Datenträger eine "Einheit".Doch bereits das Verlagern von Dateien auf die externe Platte vom infizierten System ist problematisch:
- Sieht der Nutzer überhaupt (noch) alle wichtigen Dateien?
- Kann er als Laie die Hürden aktueller Scareware überwinden, die den Computer als "gesperrt" anzeigt und/oder Dokumentenordner ausblendet?
- Kopiert er nicht womöglich die falschen Dateien, also Schaddateien, die lediglich den gleichen Namen tragen wie die ursprünglichen Dokumente bzw. Ordner (siehe oben)?
- Verlaufen die Kopiervorgänge vom infizierten System aus fehlerfrei?
Bei wirklich erhaltenswerten Dateien kann diese Unsicherheit in eine Art Glücksspiel bei so einer nachträglichen Datensicherung münden.
Windows wird unter Neupartitionierung der internen HDD neu eingerichtet, mit Updates auf den aktuellsten Stand gebracht und ein Virenschutz installiert.
Eine Frage davor wäre noch: Wie sieht es mit dem Router aus? Klar, diese Malware ist nicht so häufig vertreten, dennoch muss man auch auf sowas achten. Sonst sind die Downloads, die über alle am Router betriebenen Geräte zunächst als nicht vertrauenswürdig einzustufen, und dürften nicht zur Installation gelangen.
Für einen Laien ist so eine Prüfung des Routers freilich schwierig - daher um so wichtiger, dass von ihm vorher die noch vergleichsweise(!) einfachen Dinge, wie das Ändern von Standardpasswörtern, umgesetzt werden.
Nun kommt der Moment, in dem es darum geht, die externe Festplatte mit ihren Daten ins Spiel zu bringen...
Wie gehst du da vor?
Ich beantworte diese Frage zunächst isoliert, bezogen auf Deine vorgegebene Situation, und versetze mich dabei in die Position des Laien, beschreibend, wie dieser mindestens vorzugehen hätte, wenngleich dies nicht, wie ich später noch weiter begründen werde, meine präferierte Empfehlung zum generellen Vorgehen in solchen Situationen darstellt.
A.) 1.) Das System wurde frisch aufgesetzt (XP von vornherein mind. mit SP3). Zunächst erfolgte die Treiberinstallation von der Original-Hersteller-CD (Chipsatztreiber, Grafik, etc.), ein eingeschränktes Benutzerkonto ist eingerichtet, das Adminkonto mit sicherem Passwort versehen.
2.) Im Rahmen der ersten Internetverbindung erfolgte die Aktivierung von Windows, gleich darauf der Aufruf des Windowsupdates mit Installation aller wichtigen Service-Packs und Updates, für XP und Vista auch der optionalen Updates (ausgenommen dort angebotene Treiber). Begründung: Deaktivierung von Autorun ist bei dieser Konstellation zwingend erforderlich, die entsprechenden Patches für XP und Vista werden allerdings nur über die optionalen Aktualisierungen offeriert.
3.) Sowohl im Admin- als auch im Benutzerkonto ist sodann in den Ordneroptionen folgendes so umzustellen. dass alles angezeigt wird:
- Bekannte Dateinamenerweiterungen
- Versteckte Dateien und Ordner
- Versteckte/geschützte Systemdateien-/Ordner
So wird sichergestellt, dass einem die wesentlichen Informationen zu den nicht vertrauenswürdigen Dateien und Ordnern auf der externen, nicht vertrauenswürdigen Platte, nicht vorenthalten werden.
Zusatz: Das Öffnen von Dateien sollte auf "Doppelklick" belassen werden, um ein versehentliches Ausführen einer Malwaredatei nicht zu erleichtern.
4.) Im Benutzerkonto kann die externe Platte angeschlossen und gesichtet werden. Sollten Dateien, z.B. Fotos, die ursprünglich auf der externen Platte gespeichert waren, nicht aufgefunden werden können, so kann versucht werden, diese sofort und vor jeglichen Schreibzugriffen mit Hilfe von Spezialprogrammen (Recuva usw.) zu rekonstruieren.
5.) Danach sind alle ausführbaren Dateien zu löschen, und auch sofort aus dem Papierkorb zu entfernen.
Deine Vorgabe lässt aber noch eine andere Option offen, die ich an zweiter Stelle favorisieren würde: Den Spezialeinsatz des sauberen USB-Sticks. Und zwar wie folgt:
B.) 1.) Siehe Vorgehen A.) 1.) bis 3.)
2.) Zum Beispiel Unetbootin laden und installieren, den USB-Stick anschließen, mittels Unetbootin eine einfach zu bedienende Linux-Live-Distribution laden (z.B. Mint, Ubuntu oder Parted Magic, letzteres als schlanke Option für User mit Schmalband-Internet auf dem Lande) und bootfähig auf den Stick bringen lassen.
3.) Anschließend das System vom Stick booten, wenn fertig, die externe Platte anschließen und Sichtung sowie Sortierung und Löschen von Dateien darüber vornehmen. Die Gefahr eines versehentlichen Ausführens von Windows-Malware entfällt dabei. Ich persönlich würde allerdings auch im Live-System, und auch, wenn es ein Linux-OS ist, zuvor die dortige Autoplay-Funktion abschalten.
(Ich erwähne dies explizit, um auch an dieser Stelle Mitlesern noch einmal zu verdeutlichen, dass im wesentlichen der Nutzer selbst durch entsprechende Konfigurationen betriebssystemunabhängig gefordert ist.)
Sodann ist eine Kopie der nicht gelöschten Dateien in einen Ordner auf der Festplatte des frisch aufgesetzten Systems möglich, denn wichtige Daten müssen ja mehrfach vorhanden sein. Allerdings ist diese nachträgliche Sicherung immer einem vernünftigen Backupkonzept im laufenden Betrieb hintan zu stellen, nicht zuletzt deswegen, weil etliche Schädlinge Nutzerdaten verschlüsseln bzw. löschen, oder durch Fehler als Nebeneffekt unbrauchbar machen. Spätestens ist's nix mehr mit nachträglicher Sicherung.
Nun abschließend mein favorisierter Weg, den ich z.B. so umsetzen würde, wenn ich jeweils vor Ort wäre:
C.) 1.) Erstellen eines Live-Systems von einem sauberen System aus, wahlweise auf einem USB-Stick, einer bootfähigen externen Festplatte oder einer CD/DVD.
2.) Diese(s) booten am infizierten Rechner.
3.) Sichten aller Dateien, sowohl auf der internen als auch der externen Platte. Vorteile dabei unter anderem:
- Alle Dateiendungen sind ohne Weiteres ersichtlich, alle Informationen zu Dateitypen, Dateigröße, MIME Type, etc. sind vertrauenswürdig.
- Kopiervorgänge laufen von Malware unbeeinflusst ab.
- Es ist eine nachträgliche Integritätskontrolle der kopierten Dateien möglich.
- Autorun-Infektionen werden zuverlässig unterbunden
4.) Kopierendes Sichern nicht ausführbarer Dateien von der internen auf die externe Platte, Löschen ausführbarer Dateien
5.) Überschreiben des MBR / PBS vom Live-System aus mit Nullen/Zufallszahlen.
6.) Tätigen von Downloads für die folgende Windows-Neuinstallation via Live-System (z.B. Service-Packs, Browser, Treiber), und speichern derselben auf der externen Platte in einem separaten Ordner, oder auf einer bereits über das Live-System eingerichteten Nicht-Systempartition der internen Platte.
6.) Neuinstallation des Windows-Systems.
Hinzu kommt eine externe Festplatte, die meistens am Rechner angeschlossen ist und auch bis dem Zeitpunkt, in der die Infektion bemerkt wurde, mit dem Rechner verbunden war.
Somit sind bereits zu diesem Zeitpunkt die Daten auf der externen Festplatte als nicht mehr vertrauenswürdig anzusehen. Das betrifft in Bezug auf konkrete Maßnahmen insbesondere ausführbare Dateien, die in der Folge zu verwerfen wären.
Gleichzeitig ist neben dem "insbesondere" auch das Augenmerk auf vermeintliche Ordner zu richten, die allerdings als Malware lediglich die bisherigen Ordnernamen tragen und nur wie Ordner aussehen:
- http://www.precisesecurity.com/qa/?p=1226
Oder ursprüngliche Fotos werden durch Malware ersetzt ...,
- https://community.mcafee.com/thread/31828?tstart=0
- http://www.johns-web-site.com/index.php?month=2010-12&id=2149320
... behalten jedoch Dateinamen und jpg-Icon bei.
Weitere Datenträger (ausgenommen vielleicht ein bisher ungenutzter USB-Stick, der allerdings nicht alle Daten aufnehmen kann) sind nicht Teil des Haushalts.
Insofern sich keine vertrauenswürdigen Systeme im Haushalt befinden, wird mindestens ein solches "importiert" werden müssen. Das kann durch den Kauf eines Computermagazins geschehen, dem eine bootfähige Heft-CD beiliegt, aber auch durch Freunde, Kollegen, Verwandte und Bekannte, die saubere Medien mit bootfähigen Systemen er- und bereitstellen können.
Da alle Datenträger, bzw. Partitionen betroffen sind, werden die Daten auf die ohnehin schon infizierte externe Festplatte verlagert.
OK. Somit bilden System und alle derzeit verfügbaren Datenträger eine "Einheit".Doch bereits das Verlagern von Dateien auf die externe Platte vom infizierten System ist problematisch:
- Sieht der Nutzer überhaupt (noch) alle wichtigen Dateien?
- Kann er als Laie die Hürden aktueller Scareware überwinden, die den Computer als "gesperrt" anzeigt und/oder Dokumentenordner ausblendet?
- Kopiert er nicht womöglich die falschen Dateien, also Schaddateien, die lediglich den gleichen Namen tragen wie die ursprünglichen Dokumente bzw. Ordner (siehe oben)?
- Verlaufen die Kopiervorgänge vom infizierten System aus fehlerfrei?
Bei wirklich erhaltenswerten Dateien kann diese Unsicherheit in eine Art Glücksspiel bei so einer nachträglichen Datensicherung münden.
Windows wird unter Neupartitionierung der internen HDD neu eingerichtet, mit Updates auf den aktuellsten Stand gebracht und ein Virenschutz installiert.
Eine Frage davor wäre noch: Wie sieht es mit dem Router aus? Klar, diese Malware ist nicht so häufig vertreten, dennoch muss man auch auf sowas achten. Sonst sind die Downloads, die über alle am Router betriebenen Geräte zunächst als nicht vertrauenswürdig einzustufen, und dürften nicht zur Installation gelangen.
Für einen Laien ist so eine Prüfung des Routers freilich schwierig - daher um so wichtiger, dass von ihm vorher die noch vergleichsweise(!) einfachen Dinge, wie das Ändern von Standardpasswörtern, umgesetzt werden.
Nun kommt der Moment, in dem es darum geht, die externe Festplatte mit ihren Daten ins Spiel zu bringen...
Wie gehst du da vor?
Ich beantworte diese Frage zunächst isoliert, bezogen auf Deine vorgegebene Situation, und versetze mich dabei in die Position des Laien, beschreibend, wie dieser mindestens vorzugehen hätte, wenngleich dies nicht, wie ich später noch weiter begründen werde, meine präferierte Empfehlung zum generellen Vorgehen in solchen Situationen darstellt.
A.) 1.) Das System wurde frisch aufgesetzt (XP von vornherein mind. mit SP3). Zunächst erfolgte die Treiberinstallation von der Original-Hersteller-CD (Chipsatztreiber, Grafik, etc.), ein eingeschränktes Benutzerkonto ist eingerichtet, das Adminkonto mit sicherem Passwort versehen.
2.) Im Rahmen der ersten Internetverbindung erfolgte die Aktivierung von Windows, gleich darauf der Aufruf des Windowsupdates mit Installation aller wichtigen Service-Packs und Updates, für XP und Vista auch der optionalen Updates (ausgenommen dort angebotene Treiber). Begründung: Deaktivierung von Autorun ist bei dieser Konstellation zwingend erforderlich, die entsprechenden Patches für XP und Vista werden allerdings nur über die optionalen Aktualisierungen offeriert.
3.) Sowohl im Admin- als auch im Benutzerkonto ist sodann in den Ordneroptionen folgendes so umzustellen. dass alles angezeigt wird:
- Bekannte Dateinamenerweiterungen
- Versteckte Dateien und Ordner
- Versteckte/geschützte Systemdateien-/Ordner
So wird sichergestellt, dass einem die wesentlichen Informationen zu den nicht vertrauenswürdigen Dateien und Ordnern auf der externen, nicht vertrauenswürdigen Platte, nicht vorenthalten werden.
Zusatz: Das Öffnen von Dateien sollte auf "Doppelklick" belassen werden, um ein versehentliches Ausführen einer Malwaredatei nicht zu erleichtern.
4.) Im Benutzerkonto kann die externe Platte angeschlossen und gesichtet werden. Sollten Dateien, z.B. Fotos, die ursprünglich auf der externen Platte gespeichert waren, nicht aufgefunden werden können, so kann versucht werden, diese sofort und vor jeglichen Schreibzugriffen mit Hilfe von Spezialprogrammen (Recuva usw.) zu rekonstruieren.
5.) Danach sind alle ausführbaren Dateien zu löschen, und auch sofort aus dem Papierkorb zu entfernen.
Deine Vorgabe lässt aber noch eine andere Option offen, die ich an zweiter Stelle favorisieren würde: Den Spezialeinsatz des sauberen USB-Sticks. Und zwar wie folgt:
B.) 1.) Siehe Vorgehen A.) 1.) bis 3.)
2.) Zum Beispiel Unetbootin laden und installieren, den USB-Stick anschließen, mittels Unetbootin eine einfach zu bedienende Linux-Live-Distribution laden (z.B. Mint, Ubuntu oder Parted Magic, letzteres als schlanke Option für User mit Schmalband-Internet auf dem Lande) und bootfähig auf den Stick bringen lassen.
3.) Anschließend das System vom Stick booten, wenn fertig, die externe Platte anschließen und Sichtung sowie Sortierung und Löschen von Dateien darüber vornehmen. Die Gefahr eines versehentlichen Ausführens von Windows-Malware entfällt dabei. Ich persönlich würde allerdings auch im Live-System, und auch, wenn es ein Linux-OS ist, zuvor die dortige Autoplay-Funktion abschalten.
(Ich erwähne dies explizit, um auch an dieser Stelle Mitlesern noch einmal zu verdeutlichen, dass im wesentlichen der Nutzer selbst durch entsprechende Konfigurationen betriebssystemunabhängig gefordert ist.)
Sodann ist eine Kopie der nicht gelöschten Dateien in einen Ordner auf der Festplatte des frisch aufgesetzten Systems möglich, denn wichtige Daten müssen ja mehrfach vorhanden sein. Allerdings ist diese nachträgliche Sicherung immer einem vernünftigen Backupkonzept im laufenden Betrieb hintan zu stellen, nicht zuletzt deswegen, weil etliche Schädlinge Nutzerdaten verschlüsseln bzw. löschen, oder durch Fehler als Nebeneffekt unbrauchbar machen. Spätestens ist's nix mehr mit nachträglicher Sicherung.
Nun abschließend mein favorisierter Weg, den ich z.B. so umsetzen würde, wenn ich jeweils vor Ort wäre:
C.) 1.) Erstellen eines Live-Systems von einem sauberen System aus, wahlweise auf einem USB-Stick, einer bootfähigen externen Festplatte oder einer CD/DVD.
2.) Diese(s) booten am infizierten Rechner.
3.) Sichten aller Dateien, sowohl auf der internen als auch der externen Platte. Vorteile dabei unter anderem:
- Alle Dateiendungen sind ohne Weiteres ersichtlich, alle Informationen zu Dateitypen, Dateigröße, MIME Type, etc. sind vertrauenswürdig.
- Kopiervorgänge laufen von Malware unbeeinflusst ab.
- Es ist eine nachträgliche Integritätskontrolle der kopierten Dateien möglich.
- Autorun-Infektionen werden zuverlässig unterbunden
4.) Kopierendes Sichern nicht ausführbarer Dateien von der internen auf die externe Platte, Löschen ausführbarer Dateien
5.) Überschreiben des MBR / PBS vom Live-System aus mit Nullen/Zufallszahlen.
6.) Tätigen von Downloads für die folgende Windows-Neuinstallation via Live-System (z.B. Service-Packs, Browser, Treiber), und speichern derselben auf der externen Platte in einem separaten Ordner, oder auf einer bereits über das Live-System eingerichteten Nicht-Systempartition der internen Platte.
6.) Neuinstallation des Windows-Systems.