43090

Entfernen: Die ersten Schritte

06.08.2004 | 09:42 Uhr | David Wolski

Ein einzelner Virus oder Wurm lässt sich zwar entfernen. Hat dieser aber bereits Hintertüren auf dem PC geöffnet, bleibt wenig Spielraum. Eine saubere Neu-Installation des Systems ist dann die erste Wahl.

5. Plagegeister genau identifizieren

Der Virenscanner meldet eine befallene Datei. Versuchen Sie nun, sie genau zu identifizieren und ihre Herkunft zu ermitteln: Notieren Sie den Namen des erkannten Parasits. Die Hersteller von Antiviren-Software pflegen auf ihren Websites Datenbanken, in denen Sie dazu Detailinfos finden. Anlaufstellen sind etwa die Seiten www.sophos.de und www.symantec.com/region/de/avcenter/index.html .

6. Rechner in Quarantäne nehmen

Deuten die bisher gesammelten Infos darauf hin, dass ein verdächtiges Programm auf Ihrem Rechner läuft, dann nehmen Sie den PC sofort in Quarantäne. Das gilt auch, wenn inzwischen nichts mehr von dem Programm zu sehen ist. Es ist möglich, dass sich ein Virus nach getaner Arbeit selbst entfernt, während die installierte Backdoor unerkannt als Schläfer auf Befehle wartet.

Klemmen Sie den Rechner von allen Netzwerken und vom Modem ab. Bauen Sie WLAN-Karten gegebenenfalls aus. Alle Wartungsarbeiten müssen Sie offline durchführen. Ansonsten könnte ein Angreifer eine Hintertür nutzen oder das nach der Neu-Installation noch ungepatchte System sofort wieder Blaster, Sasser & Co. zum Opfer fallen. Gehen Sie erst wieder ins Netz, wenn das System wieder hundertprozentig vertrauenswürdig ist – das ist im schlimmsten Fall erst nach einer Neu-Installation.

Jetzt ist der Zeitpunkt, um Daten als Backup auf CD zu brennen oder auf Wechselmedien zu sichern. Speichern Sie dabei keine Programme, denn diese könnten infiziert sein, sondern nur Daten. Diese können zwar von unerwünschten Veränderungen betroffen sein (Siehe Punkt 8), stellen aber selbst kein Risiko dar.

7. Die Übeltäter verbannen

Gleich vorweg: Falls der Verdacht besteht, dass mit der Infektion eine Backdoor-Funktion auf Ihr System gelangt ist, dann betrachten Sie Ihren Rechner als kompromittiert – sprich: Gehen Sie davon aus, dass Sie die Kontrolle darüber verloren haben. Sie müssen natürlich selbst einschätzen, ob Sie Ihrem PC noch vertrauen und auf die Neu-Installation verzichten. Das ist aber nicht ungefährlich und ein unnötiges Risiko.

Je nach Windows-Version gibt es mehr oder weniger Grund zur Besorgnis: Windows 95, 98 und ME verfügen über gar keine wirksame Rechteverwaltung. Jedes Programm kann grundsätzlich alles, etwa Systemdateien ersetzen. Ist eines dieser Systeme befallen, ist es meist kompromittiert. Besser ist die Situation unter NT4, 2000 und XP, denn normale Benutzer können nicht einfach Windows-Komponenten ersetzen oder systemweite Registry-Einstellungen ändern (Siehe Punkt 11). Wenn ein Benutzer mit eingeschränkten Rechten nur einen gefährlichen Mailanhang ausgeführt hat, ohne über Administratorrechte zu verfügen, besteht Hoffnung, dass es genügt, die befallene Datei zu entfernen.

Informieren Sie sich auf den Websites der Hersteller von Antiviren-Software (Siehe Punkt 5), ob der identifizierte Parasit Backdoor-Funktionen besitzt oder als Träger für andere, gefährliche Programme dient. Ist das sicher nicht der Fall? Dann starten Sie Windows im abgesicherten Modus, und versuchen Sie, die befallenen Dateien zu löschen – entweder manuell oder mit einem Antiviren-Programm, falls dieses im abgesicherten Modus funktioniert. Gelingt das nicht, weil das Schadprogramm weiterhin läuft, dann beenden Sie es unter Windows 2000/XP über den Task-Manager. Bei Windows 98/ME hilft Ihnen das PCWELT-Tool pcwKill. In der Eingabeaufforderung können Sie mit dem Befehl „kill /f <Programmname>“ einen Prozess abschießen.

Einige Virenwächter und Scanner bieten an, infizierte Dateien zu löschen. Sollte es sich dabei um eine Datei in Ihrem Posteingang handeln, dann überlassen Sie das Löschen nicht dem Scanner, sonst droht der Verlust des gesamten Posteingangs. Entfernen Sie die Mail oder den Anhang im Mailprogramm.

Haben Sie Interesse daran, ein Schadprogramm zu Analysezwecken aufzuheben, dann packen Sie die Datei in ein passwortgeschütztes Archiv. Das gelingt beispielsweise mit dem Shareware-Packer Winrar. Wählen Sie dort im Pack-Dialog „Erweitert, Passwort festlegen“. Damit erstellen Sie ein ungefährliches Archiv, der Virus ist für Scanner unsichtbar.

Auf keinen Fall genügt es, eine befallene Datei einzeln zu löschen, wenn nicht klar ist, wann und auf welche Weise die Infektion eintrat und ob eine geöffnete Hintertür nicht schon ausgenutzt wurde.

PC-WELT Marktplatz

43090