Grundregeln bei möglichem Schädlingsbefall (Malware)
Bitte die folgende Punkte in aller Ruhe durchlesen und - soweit möglich/erforderlich - komplett abarbeiten. Auf fünf Minuten hin oder her kommt es wirklich nicht an. Danke dafür.
Übersicht:
1. Ruhe bewahren!
2. Genaue Angaben zur Infektion
3. HJT Logfile: Wie mache ich das richtig?
4. Verdächtige Dateien online überprüfen lassen
5. VirusTotal - Bebilderte Anleitung[u]
1. Ruhe bewahren:
- Panik und unüberlegte Löschaktionen helfen auf keinen Fall weiter, auch bringt z.B. die nachträgliche Installation von weiteren Sicherheitsprogrammen nichts - im Gegenteil: Hier besteht höchstens die Gefahr dem System den Rest zu geben.
Falls ein Zweit-PC zur Verfügung steht, sollte der möglicherweise infizierte Rechner zunächst physikalisch von in- und externen Netzwerken getrennt werden (Verbindungsstecker/Netzwerkkabel ziehen). Hilfe zum weiteren Vorgehen kann dann über den Zweit-PC eingeholt werden.
2. Genaue Angaben zur Infektion:
- 1.) Wie lautet die vollständige Virenmeldung (genauer Dateipfad!)? Gegebenenfalls empfiehlt es sich das Log des Virenscanners zu posten. Zwei Beispiele:
Wurm ABC wird hier gefunden:
Spyware XYZ befindet sich dort:
2.) Welcher Scanner meldet dies? Wann zuletzt hatte er eine Aktualisierung der Signaturen erfahren, bevor es zu der vermeintlichen Infektion gekommen war?
3.) Welche Aktion wurde unmittelbar vor der Infektion durchgeführt (Besuch einer bestimmten Website oder das Öffnen einer Mail)? Wurde beispielsweise zuvor eine Datei heruntergeladen und ausgeführt, so sollte auch diese gesichert und nicht gelöscht werden - das gilt ebenfalls für Links aus Messengern, die man zugeschickt bekam: Alles sichern und dann im Zweifel im Forum nachfragen, was genau davon die helfenden User in diesem Fall benötigen.
Wichtig: Solch eine vermutlich "böse" Seite niemals als klickbaren Link posten, sondern z.B. folgendermaßen entschärfen: w*w.böseseite.com
4.) Um welches Betriebssystem handelt es sich bzw. auf welchem Servicepack-/Patchstand befindet es sich? Wann zuletzt wurden VOR der Infektion Aktualisierungen durchgeführt?
5.) Falls bereits Maßnahmen getroffen wurden: Welche genau?
3. Hijackthis (HJT) Logfile: Wie mache ich das richtig?
- Für Ferndiagnosen ist HijackThis praktisch unentbehrlich. Der Download und ein anschließender System Scan dauern höchstens ein paar Minuten. So erhalten die Helfenden einen schnellen ersten Überblick über das System.
1.) Ein sehr gute bebilderte Anleitung gibt es hier: http://sicher-ins-netz.info/analyse/hjt.html
2.) Es existiert eine recht bekannte automatische Auswertung für diese Logfiles. Diese ist aber keinesfalls fehlerfrei und sollte wenn überhaupt nur als grober Anhaltspunkt dienen.
Wichtig: Bitte auf gar keinen Fall im Alleingang einen von der Automatik angeprangerten "bösen" oder "unklaren" Eintrag mal eben so fixen oder löschen. Im schlimmsten Fall zerschießt man sich dadurch das System.
3.) Befinden sich im Logfile Namen oder sonstige persönliche Daten...
...sollten diese unkenntlich gemacht werden:
4.) Wichtig: Zusätzlich sollten vor dem Posten hier im Forum von möglicherweise "schädlichen Infos" - und das können auch Links innerhalb des automatisch erstellen HJT-LogFiles sein - bei "Links automatisch umwandeln" der Haken herausgenommen werden:
5.) Hier ein Muster-Log:
4. Verdächtige Dateien online überprüfen lassen
- Dafür bietet sich VirusTotal - http://www.virustotal.com/de/ sehr gut an. Es gibt auch diverse andere, wobei VirusTotal wegen der Mehrzahl der Scanner und der durchschnittlich geringeren Auslastung vorzuziehen ist.
Leider kommt es aber hier immer wieder zu Missverständnissen bzw. die geposteten Angaben sind ungenau/fehlerhaft. Daher eine kleine bebilderte Anleitung:
5. VirusTotal - Bebilderte Anleitung
1.) "Datei hochladen":
1. Möglichkeit: Durch klicken des "Durchsuchen"-Buttons hangelt man sich im Explorer zu der verdächtigen Datei, wählt diese aus und klickt schließlich auf den Button "Senden der Datei".
2. Möglichkeit: Man gibt den Dateipfad (z.B. einen verdächtigen Eintrag aus dem HJT Logfile) direkt in das Fenster ein und wählt ebenfalls "Senden der Datei".
In beiden Fällen sollte es dann so aussehen:
2.) "Abwarten":
Nachdem die Datei zu VirusTotal hochgeladen wurde, dauert es je nach Auslastung bis man an der Reihe ist. Geduld lautet das Zauberwort...
3.) "Die Prüfung beginnt":
Die einzelnen Ergebnisse bauen sich jetzt nacheinander auf:
4.) "Prüfung beendet":
5.) "Filtern der Ergebnisse":
Um es zu vermeiden viele unnötige Informationen der Virustotal-Hauptseite zu posten, genügt ein Klick auf das "Filter"-Symbol:
Es erscheint dieses Fenster:
Hier wählt man via Rechtsklick "Alles markieren", mit einem weiteren Rechtsklick und "Kopieren" befördert man alles in die Zwischenablage und fügt diese schließlich in einem Posting wieder ein (Rechtsklick "Einfügen").
6.) "Posten der Ergebnisse"
Wichtig: Alle Informationen sind relevant und müssen so 1:1 im Forum gepostet werden, selbst wenn es (wie auch in diesem Beispiel) keinen einzigen Ausschlag bei den Virenscannern gibt. Bitte nichts weglassen, die Zeilen ganz unten unter "weitere Informationen" werden beispielsweise ebenfalls für eine vernünfige Analyse benötigt.
So sähe also ein Musterposting von einer überprüften Datei aus:
Datei Virustotal___berpr__fung_l__uft.j empfangen 2007.11.13 20:17:42 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.13 -
BitDefender 7.2 2007.11.13 -
CAT-QuickHeal 9.00 2007.11.13 -
ClamAV 0.91.2 2007.11.13 -
DrWeb 4.44.0.09170 2007.11.13 -
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5291 2007.11.13 -
Ewido 4.0 2007.11.13 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 -
F-Secure 6.70.13030.0 2007.11.13 -
Ikarus T3.1.1.12 2007.11.13 -
Kaspersky 7.0.0.125 2007.11.13 -
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2655 2007.11.13 -
Norman 5.80.02 2007.11.13 -
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 -
Rising 20.18.11.00 2007.11.13 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.13 -
Webwasher-Gateway 6.0.1 2007.11.13 -
weitere Informationen
File size: 40560 bytes
MD5: 6cf4dce966e0f5fcf733c52b8b47ff2c
SHA1: a78dad2eb807b87d95fcc38b87f6e589c09eb53e
Ich bedanke mich fürs Lesen. Und wie schon geschrieben, wir versuchen zu helfen sind aber keine Garantie für lösungen.
Bitte die folgende Punkte in aller Ruhe durchlesen und - soweit möglich/erforderlich - komplett abarbeiten. Auf fünf Minuten hin oder her kommt es wirklich nicht an. Danke dafür.
Übersicht:
1. Ruhe bewahren!
2. Genaue Angaben zur Infektion
3. HJT Logfile: Wie mache ich das richtig?
4. Verdächtige Dateien online überprüfen lassen
5. VirusTotal - Bebilderte Anleitung[u]
1. Ruhe bewahren:
- Panik und unüberlegte Löschaktionen helfen auf keinen Fall weiter, auch bringt z.B. die nachträgliche Installation von weiteren Sicherheitsprogrammen nichts - im Gegenteil: Hier besteht höchstens die Gefahr dem System den Rest zu geben.
Falls ein Zweit-PC zur Verfügung steht, sollte der möglicherweise infizierte Rechner zunächst physikalisch von in- und externen Netzwerken getrennt werden (Verbindungsstecker/Netzwerkkabel ziehen). Hilfe zum weiteren Vorgehen kann dann über den Zweit-PC eingeholt werden.
2. Genaue Angaben zur Infektion:
- 1.) Wie lautet die vollständige Virenmeldung (genauer Dateipfad!)? Gegebenenfalls empfiehlt es sich das Log des Virenscanners zu posten. Zwei Beispiele:
Wurm ABC wird hier gefunden:
C:\WINDOWS\System32\sxxchost.exe
Spyware XYZ befindet sich dort:
C:\Programme\Gemeinsame Dateien\updater.exe
2.) Welcher Scanner meldet dies? Wann zuletzt hatte er eine Aktualisierung der Signaturen erfahren, bevor es zu der vermeintlichen Infektion gekommen war?
3.) Welche Aktion wurde unmittelbar vor der Infektion durchgeführt (Besuch einer bestimmten Website oder das Öffnen einer Mail)? Wurde beispielsweise zuvor eine Datei heruntergeladen und ausgeführt, so sollte auch diese gesichert und nicht gelöscht werden - das gilt ebenfalls für Links aus Messengern, die man zugeschickt bekam: Alles sichern und dann im Zweifel im Forum nachfragen, was genau davon die helfenden User in diesem Fall benötigen.
Wichtig: Solch eine vermutlich "böse" Seite niemals als klickbaren Link posten, sondern z.B. folgendermaßen entschärfen: w*w.böseseite.com
4.) Um welches Betriebssystem handelt es sich bzw. auf welchem Servicepack-/Patchstand befindet es sich? Wann zuletzt wurden VOR der Infektion Aktualisierungen durchgeführt?
5.) Falls bereits Maßnahmen getroffen wurden: Welche genau?
3. Hijackthis (HJT) Logfile: Wie mache ich das richtig?
- Für Ferndiagnosen ist HijackThis praktisch unentbehrlich. Der Download und ein anschließender System Scan dauern höchstens ein paar Minuten. So erhalten die Helfenden einen schnellen ersten Überblick über das System.
1.) Ein sehr gute bebilderte Anleitung gibt es hier: http://sicher-ins-netz.info/analyse/hjt.html
2.) Es existiert eine recht bekannte automatische Auswertung für diese Logfiles. Diese ist aber keinesfalls fehlerfrei und sollte wenn überhaupt nur als grober Anhaltspunkt dienen.
Wichtig: Bitte auf gar keinen Fall im Alleingang einen von der Automatik angeprangerten "bösen" oder "unklaren" Eintrag mal eben so fixen oder löschen. Im schlimmsten Fall zerschießt man sich dadurch das System.
3.) Befinden sich im Logfile Namen oder sonstige persönliche Daten...
C:\Dokumente und Einstellungen\Hans Meier\Desktop\HiJackThis202.exe
...sollten diese unkenntlich gemacht werden:
C:\Dokumente und Einstellungen\**** *****\Desktop\HiJackThis202.exe
4.) Wichtig: Zusätzlich sollten vor dem Posten hier im Forum von möglicherweise "schädlichen Infos" - und das können auch Links innerhalb des automatisch erstellen HJT-LogFiles sein - bei "Links automatisch umwandeln" der Haken herausgenommen werden:
5.) Hier ein Muster-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:52, on 04.10.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\Free Download Manager\fdm.exe
D:\ObjectDock\ObjectDock.exe
D:\Mozilla Firefox\firefox.exe
F:\SICHERHEIT\HIJACK THIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Free Download Manager] d:\FREEDO~1\fdm.exe -autorun
O4 - Startup: Stardock ObjectDock.lnk = D:\ObjectDock\ObjectDock.exe
O13 - Gopher Prefix:
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
--
End of file - 2052 bytes
4. Verdächtige Dateien online überprüfen lassen
- Dafür bietet sich VirusTotal - http://www.virustotal.com/de/ sehr gut an. Es gibt auch diverse andere, wobei VirusTotal wegen der Mehrzahl der Scanner und der durchschnittlich geringeren Auslastung vorzuziehen ist.
Leider kommt es aber hier immer wieder zu Missverständnissen bzw. die geposteten Angaben sind ungenau/fehlerhaft. Daher eine kleine bebilderte Anleitung:
5. VirusTotal - Bebilderte Anleitung
1.) "Datei hochladen":
1. Möglichkeit: Durch klicken des "Durchsuchen"-Buttons hangelt man sich im Explorer zu der verdächtigen Datei, wählt diese aus und klickt schließlich auf den Button "Senden der Datei".
2. Möglichkeit: Man gibt den Dateipfad (z.B. einen verdächtigen Eintrag aus dem HJT Logfile) direkt in das Fenster ein und wählt ebenfalls "Senden der Datei".
In beiden Fällen sollte es dann so aussehen:
2.) "Abwarten":
Nachdem die Datei zu VirusTotal hochgeladen wurde, dauert es je nach Auslastung bis man an der Reihe ist. Geduld lautet das Zauberwort...
3.) "Die Prüfung beginnt":
Die einzelnen Ergebnisse bauen sich jetzt nacheinander auf:
4.) "Prüfung beendet":
5.) "Filtern der Ergebnisse":
Um es zu vermeiden viele unnötige Informationen der Virustotal-Hauptseite zu posten, genügt ein Klick auf das "Filter"-Symbol:
Es erscheint dieses Fenster:
Hier wählt man via Rechtsklick "Alles markieren", mit einem weiteren Rechtsklick und "Kopieren" befördert man alles in die Zwischenablage und fügt diese schließlich in einem Posting wieder ein (Rechtsklick "Einfügen").
6.) "Posten der Ergebnisse"
Wichtig: Alle Informationen sind relevant und müssen so 1:1 im Forum gepostet werden, selbst wenn es (wie auch in diesem Beispiel) keinen einzigen Ausschlag bei den Virenscannern gibt. Bitte nichts weglassen, die Zeilen ganz unten unter "weitere Informationen" werden beispielsweise ebenfalls für eine vernünfige Analyse benötigt.
So sähe also ein Musterposting von einer überprüften Datei aus:
Datei Virustotal___berpr__fung_l__uft.j empfangen 2007.11.13 20:17:42 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.13 -
AVG 7.5.0.503 2007.11.13 -
BitDefender 7.2 2007.11.13 -
CAT-QuickHeal 9.00 2007.11.13 -
ClamAV 0.91.2 2007.11.13 -
DrWeb 4.44.0.09170 2007.11.13 -
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5291 2007.11.13 -
Ewido 4.0 2007.11.13 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 -
F-Secure 6.70.13030.0 2007.11.13 -
Ikarus T3.1.1.12 2007.11.13 -
Kaspersky 7.0.0.125 2007.11.13 -
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2655 2007.11.13 -
Norman 5.80.02 2007.11.13 -
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 -
Rising 20.18.11.00 2007.11.13 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.13 -
Webwasher-Gateway 6.0.1 2007.11.13 -
weitere Informationen
File size: 40560 bytes
MD5: 6cf4dce966e0f5fcf733c52b8b47ff2c
SHA1: a78dad2eb807b87d95fcc38b87f6e589c09eb53e
Ich bedanke mich fürs Lesen. Und wie schon geschrieben, wir versuchen zu helfen sind aber keine Garantie für lösungen.
MfG
Alan.G