Tipps und Tricks zur Virenbeseitigung
Virenbeseitigung per Hand
/Edit: Abschrift aus PC-WELT - Ratgeber: Bei Virenbefall: So retten Sie Ihren PC vom 25. April 2006
gnarff / el moderador
Virenbeseitigung
Viren, Trojaner & Co. sind mittlerweile für jedes PC-System mit Internet-Anschluss ein ernstes Problem. Doch Gefahr für Ihre Daten droht nicht nur aus dem Internet; nach wie vor kursieren jahre alte Disketten und CDs mit Dateiviren. Auch mit Makroviren verseuchte Office-Dokumente werden häufig auf eine CD gebrannt und weitergegeben oder über das Netzwerk kopiert; bis zum Öffnen des Dokuments schlummern sie im Dornröschenschlaf.
Doch trotz der ernstzunehmenden Schreckensszenarien gibt es eine gute Nachricht: Ist auf Ihrem PC ein Virus aktiv, können Sie den Schaden durch umsichtiges Vorgehen begrenzen oder sogar ganz beseitigen. Wir zeigen Ihnen, was zu tun ist.
Vom Verdacht zur Gewissheit: Virus an Bord
Je nach Virenart gibt es bei einem Schädlingsbefall entweder recht früh Anzeichen dafür, keine erkennbaren Symptome, oder aber der Eindringling schlägt einmalig und hart zu und vernichtet Daten. Dass ein PC-System oberflächlich betrachtet fehlerfrei arbeitet, ist also noch kein sicheres Indiz für Virenfreiheit.
Gerade die hartnäckigsten Virenarten manipulieren Ihre Daten nur geringfügig oder verursachen unvermittelt einen kompletten Systemausfall. Diejenigen Schädlinge, die sich durch lästige Textmeldungen, so genannte Nagscreens, frühzeitig und freiwillig zu erkennen geben, sind in der Regel eher harmloser Natur, einige Varianten können allerdings wichtige Daten zerstören. Generell ist bei einem erfolgreichen Angriff fast immer ein mehr oder minder hoher Reparaturaufwand gegeben. Die sicherste Art der Viren- und Trojanerbekämpfung besteht daher in der Prävention.
Erster Schritt: Virentest von Diskette oder CD
Um eine Systemprüfung vorzunehmen, benötigen Sie ein virenfreies Bootmedium, sei es eine Boot-CD oder eine Bootdiskette. Von einem möglicherweise verseuchten System dürfen Sie keinesfalls ein Bootmedium anlegen, sonst besteht die Gefahr, dass Sie damit weitere PCs infizieren.
Haben Sie den Verdacht eines Virenbefalls, aber keine Startdiskette oder -CD zur Hand, sollten Sie diese unbedingt auf einem anderen PC erstellen. Selbst ein Bootmedium, das Sie von einem mit fast hundertprozentiger Sicherheit schädlingsfreien System hergestellt haben, sollten Sie vor seinem Notfalleinsatz mit einem aktuellen Virenscanner prüfen lassen, am besten auf einem dritten PC. Bei Bootdisketten sollten Sie auf jeden Fall nach der Herstellung den Schreibschutz aktivieren. Nur so bleibt das wiederbeschreibbare Medium immun gegen den potenziellen Schädling. Ansonsten reicht ein einziges Kommando möglicherweise schon dafür aus, dass der Virus auf das beschreibbare Medium überspringt. In diesem Fall könnte ein Schädling beispielsweise sogar die Prüfungsergebnisse des
Virenscanlaufs manipulieren. Wenn Sie ein verseuchtes Bootmedium einsetzen, kann sich die Virusinfektion zu einem späteren Zeitpunkt damit erneut ausbreiten.
Sofern ein Schädling unter Windows aktiv war, stoppen Sie ihn erst einmal, indem Sie das Betriebssystem herunterfahren und beim Neustart ein unverseuchtes Bootmedium verwenden. Nun geht es daran, den Schädling zu bekämpfen.
Viren-Check: Welcher Gegner hat zugeschlagen ?
Mit der Boot-CD oder der Bootdiskette und einer unter DOS lauffähigen Antiviren-Software starten Sie nun den Test auf Viren im Hauptspeicher, im für den Startvorgang des Betriebssystems elementar wichtigen Master Boot Record (MBR) sowie in den einzelnen Dateien. Ein solches Antiviren-Programm ist etwa das für private Nutzung kostenlose Knoppicillin oder F-Prot.
Sie entscheiden bei der Auswahl des Scanverfahrens, wie gründlich F-Prot unter DOS arbeitet, ob die Software also beispielsweise Archivdateien durchsucht oder die Virenheuristik verwendet. Reine DOS-Virenscanner können allerdings nur FAT16- und FAT32-Partitionen auf infizierte Dateien prüfen, nicht jedoch von Windows NT 4, 2000 oder XP angelegte NTFS-Partitionen.
Starten Sie den PC mit der Knoppicillin CD, können auch NTFS-Partitionen überprüft werden. Nach der Eingabe der Netzwerkdaten und einer Auswahl der verschieden Virenscanner werden die aktuellen Virenkennungen per Internet geladen und der Scanvorgang beginnt.
Der Virenscanner sucht nach bestimmten Mustern, die der Programmcode von verseuchten Dateien enthält. Bestimmte Folgen von Zeichen deutet der Scanner dann als Beweis für eine Infektion durch einen bestimmten Schädlingstyp. Dieses Vorgehen führt gelegentlich auch zu einem Fehlalarm, wenn in einer Datei zufällig die gleiche Mustersequenz auftritt.
Schutzmechanismen von Viren
Einige Schädlinge verfügen über Schutzmechanismen, um Virenjäger zu täuschen. So genannte polymorphe Viren sind in der Lage, die verdächtigen Virensignaturen durch sich verändernde Daten zu tarnen. Zusammen mit den allerneuesten Virenarten, deren Signaturen noch nicht in die Virenscanner integriert sind, bilden die polymorphen Viren die größte Bedrohung des Systems. Bei einem Scan unter DOS von Bootdiskette oder -CD sind diese Tarnmechanismen jedoch nicht aktiv und dadurch wirkungslos.
Ablauf protokollieren: Auch auf verseuchten Laufwerken
Aktivieren Sie beim Scanlauf die Protokollfunktion, um eine bleibende Übersicht der Infektionsherde sowie aller infizierten Einzeldateien zu erhalten. Diese Logdatei ist auch der Ausgangspunkt für die manuelle Reparatur des Systems. Damit das Bootmedium garantiert virenfrei bleibt, darf sie allerdings nicht darauf gespeichert werden. Falls Ihnen kein anderes beschreibbares Medium zur Verfügung steht, können Sie sie jedoch sogar auf einem infizierten Laufwerk, beispielsweise C: speichern. Denn die Protokolldatei wird von den meisten Programmen im reinen Textformat ausgegeben und kann daher nicht von einem Virus befallen werden.
Virus entfernen: Darauf sollten Sie achten
Der Viren-Check verrät zum einen, ob das System überhaupt infiziert wurde, und wenn ja, um welchen Virus es sich handelt. Zum anderen liefert der Virenscanner Informationen darüber, wie viele Einzeldateien des Systems in Mitleidenschaft gezogen wurden. Moderne Virenscanner durchsuchen auch Datenarchive wie CAB-Dateien. Je nach Virentyp bieten manche der Antiviren-Programme auch gleich an, die beschädigten Dateien zu reparieren. Darauf sollten Sie allerdings aufs Erste verzichten, da nicht sicher ist, ob diese Art der Reparatur tatsächlich die beste Lösung für Ihre Dateien darstellt. Holen Sie vielmehr zunächst von einem virenfreien PC aus - etwa bei einem Bekannten, Kollegen oder in einem Internet-Café - Informationen zu dem auf Ihrem PC gefundenen Virentyp ein. Im Internet gibt es zahlreiche Datenbanken, die nützliche Infos zum Schädling, zu seinem Verbreitungsgebiet und vor allem zu seiner Beseitigung bieten, beispielsweise www.sophos.de oder www.symantec.de .
Sofern spezielle Tools zum Entfernen eines bestimmten Schädlingstyps existieren, sind sie in solchen Datenbanken ebenfalls aufgeführt und häufig per Link erreichbar. Mit diesen Informationen lässt sich der Virus wesentlich effektiver bekämpfen, und auch die Chancen zur Rettung der Daten steigen, wenn der Virentyp bekannt ist.
Spezial-Tools gibt es beispielsweise für einige Klez-Ableger oder zum Löschen von bestimmten Makroviren in DOC-Dateien. Falls Sie für "Ihren" Schädling ein solches Tool im Internet finden, sollten Sie dieses bevorzugt einsetzen. Führen Sie nach der Säuberung einen weiteren Virenscan vom Startmedium durch, um sicher zu sein, dass Sie den Software-Schädling durch den Einsatz des Tools auch wirklich beseitigt haben.
Wichtig: Überschreiben Sie beim erneuten Virenscan nicht die ursprünglich erzeugte Protokolldatei mit den Namen aller infizierten Einzeldateien, denn diese Datei kann für Ihr weiteres Vorgehen noch wichtig sein. Die Logdatei benötigen Sie nämlich dann, wenn die automatische Virusentfernung nicht vollständig gelungen ist und Sie alle infizierten Einzeldateien manuell reparieren müssen.
Nach der Schlacht: Der erste Systemstart und die Reparatur
Meldet der Virenscanner keine Infektion mehr, können Sie das System wieder von der Festplatte starten. Die Reparaturarbeiten gestalten sich unter Windows wesentlich komfortabler als von der DOS Kommandozeile. Norton Antivirus gibt Entwarnung. Das Suchprotokoll lässt sich speichern. Beim Hochfahren von Windows stellt sich nun heraus, wie stark die vom Virus verursachten Schäden sind und wie gründlich das Tool zum Beseitigen des Schädlings gearbeitet hat.
Bei eher harmlosen Virenarten oder bei früh erkannten Infektionen sind die Datenschäden möglicherweise nur minimal.
Wenn allerdings schon beim Systemstart Probleme auftreten, etwa dergestalt, dass Windows nicht richtig hochfährt, ist eine manuelle Reparatur notwendig.
Die Protokolldatei des ersten Virenscans gibt Auskunft darüber, wie viele Dateien mit dem Viruscode infiziert waren.
Handelt es sich nur um einige wenige Dateien, so lassen sich die betroffenen Programme und Daten von Sicherungsmedien wie Streamer-Bändern oder CD-Backups eines nach dem anderen wiederherstellen - sofern Sie die dafür notwendige Datensicherung betrieben haben. Auf diese Weise erhalten Sie beispielsweise wieder funktionsfähige COM-, EXE- und DLL-Dateien, die durch die Virusinfektion oder Reparatur beschädigt wurden.
Sind jedoch Hunderte oder gar Tausende von Einzeldateien betroffen, kommen Sie über die Rücksicherung einzelner Dateien kaum ans Ziel. Experten in Sachen DOS-Stapelverarbeitung können sich unter Umständen damit behelfen, aus einer Kopie der Logdatei des Virenscanners eine Batchdatei herzustellen, die beispielsweise alle infizierten Programme durch Versionen von einer Backup-CD oder aus einer anderen Partition ersetzt.
Mit etwas Praxis beim Suchen und Ersetzen in Textverarbeitungsprogrammen und einem gerüttelten Maß an Erfahrung bei der Batchprogrammierung lassen sich auf diesem Weg selbst viele Tausend infizierter Dateien wieder instand setzen. Allerdings setzt dies ein relativ aktuelles Backup aller Systemdaten voraus, das zum einen virenfrei ist und auf das zum anderen auf DOS-Ebene Zugriff besteht - dies ist bei CDs und DVDs der Fall, nicht aber bei Streamer-Bändern.
Wenn Sie über Image-Dateien Ihrer Windows-Partition verfügen, sollten Sie zunächst ebenfalls alle wichtigen Dateien von der Festplatte sichern und danach die Partition über das Image wiederherstellen. Alternativ können Sie auch vorübergehend eine neue Festplatte einbauen und bestehende Backup-Dateien darauf wiederherstellen. Der Vorteil dieser Methode: Die Ursprungsdaten bleiben erhalten, so dass Sie bei Bedarf noch darauf zugreifen können.
Mit einer Festplatten-Imaging-Software können Sie nicht nur Image-Dateien von einer Partition erstellen, sondern auch Daten in bestehende Image-Dateien aufnehmen und daraus extrahieren. Wenn sich weder große Mengen defekter oder infizierter Dateien durch einen Stapelverarbeitungslauf ersetzen lassen noch ein Image zur Verfügung steht, hilft nur eines: Sichern Sie die wichtigsten Anwenderdateien von der Festplatte, und installieren Sie sowohl Windows als auch alle Anwendungsprogramme neu.
Problemfall NTFS: Partitionen unter DOS nicht verfügbar
Sofern Sie unter Windows NT 4, 2000 oder XP NTFS-Partitionen angelegt haben, sind diese unsichtbar, wenn Sie über eine DOS-Startdiskette oder -Start-CD booten. Sie können also nicht auf die Dateien der NTFS-Partition zugreifen.
Ohne weitere Tools ist ein auf Festplatte vorhandener Schädling daher unangreifbar. Es gibt jedoch einige - unterschiedlich aufwendige - Techniken, mit denen Sie in vielen Fällen dennoch an die Daten in NTFS-Partitionen gelangen können.
Über Erfolg oder Misserfolg entscheidet, welche Partitionsarten und Sicherheitseinstellungen Sie verwendet haben.
Der Zugriff auf sorgsam abgesicherte NTFS-Partitionen oder auf die in Win 2000 und XP verfügbaren dynamischen Datenträger wird mit großer Wahrscheinlichkeit misslingen. Da Sie in diesem Fall über das Startmedium nicht an die Dateien herankommen, lässt sich der Virus auf diesem Weg nicht beseitigen. Sofern Windows überhaupt nicht mehr startet, ist eine komplette Neuinstallation des Betriebssystems und aller Anwendungsprogramme unumgänglich.
Läßt sich Windows noch starten oder per Reparaturfunktion von der Windows-Installations-CD reparieren? Dann ist Vorsicht geboten, denn der Schädling ist auf Festplatte noch vorhanden, er ist weiterhin aktiv und könnte sogar auf Netzlaufwerke übergreifen. Trennen Sie daher die Netzwerkverbindung physikalisch, und versuchen Sie, den Virus mit Hilfe eines Windows-Virenscanners oder eines Spezial- Tools zu beseitigen.
In weniger heiklen Fällen hilft möglicherweise der englischsprachige DOS-Treiber Ntfsdos Professional 4.0 von Mark Russinovich und Bryce Cogswell weiter (39 KB, www.sysinternals.com ). Die kostenlose Version bietet allerdings nur Lesezugriff auf NTFS-Partitionen.
Sie können damit Virenscans durchführen, nicht aber die Daten auf der NTFS-Partition von DOS-Ebene aus überschreiben oder andere Reparaturen durchführen. Letzteres kann nur die Vollversion von Ntfsdos Professional - zum stolzen Preis von 300 US-Dollar.
Oft nützt aber bereits der Lesezugriff: Wenn Sie beispielsweise virenfreie Image-Dateien Ihrer Festplatte oder ein fast vollständiges virenfreies Backup zur Hand
haben, von dem Sie Ihre Windows-Installation zurücksichern können, fehlen Ihnen nur noch die Dateien, die seit dem Sicherungsdatum neu hinzugekommen sind. Mit der Windows-Suchfunktion - "Start, Suchen" - stöbern Sie diese Dateien später bequem auf.
Nach dem Sicherungsdatum des letzten Backups hinzugekommene Dateien lassen sich damit ganz einfach aufspüren und beispielweise auf eine andere Partition oder eine CD kopieren.
Zugriff auf NTFS-Partitionen: Wichtige Dateien sichern
Die Dateien lassen sich nun per Bootdiskette oder -CD mit dem Ntfsdos-Treiber lesen und auf ein externes Laufwerk sichern. Nachdem Sie das System-Backup eingespielt haben, müssen Sie nur noch die gesicherten Dateien auf Virenbefall scannen und bei Nicht-Infektion mit dem Windows-Explorer manuell an die richtigen Stellen kopieren.
Wenn der Zugriff per Ntfsdos-Treiber nicht zum Erfolg führt, Ihr System aber wertvolle Daten enthält, die Sie unbedingt wiederherstellen möchten, kommen noch andere Rettungstechniken in Betracht.
Zum einen ist es möglich, die Festplatte vorübergehend in einen anderen PC mit Win NT 4, 2000 oder XP einzubauen, auf dem entweder die gleiche oder eine neuere Version des Betriebssystems läuft. Je nach Partitionstyp und je nach den Sicherheitseinstellungen des infizierten Systems lassen sich die Partitionen der infizierten Windows-Installation dann möglicherweise als weitere Laufwerke im neuen PC ansprechen.
Sofern dies gelingt, können Sie den Virus dort mit einem Windows-Virenscanner aufspüren, beseitigen und schließlich die Festplatte wieder in den ursprünglichen PC einbauen. Ist eine Virenbeseitigung nicht möglich, lassen sich zumindest wichtige nicht verseuchte Dateien retten, bevor Sie Windows neu installieren.
Eine weitere Rettungsvariante für verseuchte Windows-Installationen besteht darin, Win NT 4, 2000 oder XP in einer Mini-Installation auf dem betroffenen PC zusätzlich zum bereits vorhandenen Windows einzurichten und damit den Zugriff auf die infizierten Partitionen vorzunehmen.
Um eine zusätzliche Windows- Installation aufzusetzen, benötigen Sie möglicherweise eine weitere Festplatte oder Partitions-Software wie Partition Magic 8.0 (für DOS, Windows 95/98/ME, NT 4, 2000 und XP, 23,2 MB, Demo unter www.powerquest.de, rund 70 Euro), mit der Sie bestehende Partitionen verkleinern.
Bleiben all diese Techniken erfolglos und enthält die Festplatte sehr wichtige Daten, so bleibt als letzte Rettung professionelle Hilfe, beispielsweise die auf
Datenwiederherstellung spezialisierte Firma Convar (www.convar.de). Je nach Größe des Datenträgers und dem zur Rettung Ihrer Daten erforderlichen Aufwand fallen hierbei allerdings schnell Kosten von weit über 1000 Euro an.
Booten von Windows unmöglich: Der Virus hat zugeschlagen
Malware zerstört oder manipuliert oft genau die Daten, die zum Starten des Betriebssystems nötig sind. Viele Schädlinge begnügen sich nicht damit, einzelne Anwenderdateien zu ändern, zu löschen oder mit einem Viruscode zu infizieren, sondern vernichten gleich ganze Partitionen und damit alle Daten, die sich auf diesen Laufwerken befinden.
Der Master Boot Record (MBR) ist dabei von großer Bedeutung. Der kleine Datensektor am Anfang der Festplatte enthält nicht nur Informationen der primären Partition dieser Festplatte, sondern auch einen Startcode zum Laden des eigentlichen Betriebssystems inklusive Fehlermeldungen.
Da dieser Programmcode immer beim Starten des PCs ausgeführt wird und der PC dabei praktisch schutzlos ist, gehört der MBR zu den bevorzugten Zielen von Virenangriffen. Hat sich hier ein Virus eingenistet, so sind mehrere Szenarien möglich.
Virus im MBR: Das kann geschehen
1. Befindet sich daher eine verseuchte Diskette mit einem Bootblockvirus im Laufwerk und wird davon gebootet, so springt der Virus auf die Festplatte über. Ein im MBR sitzender Virus wird schon beim Systemstart aktiviert
Unser Tipp: Damit sich Bootblockviren nicht ausbreiten können, sollten Sie vorbeugend im Bios das Booten von Diskettenlaufwerken abschalten. Falls von Diskette gebootet werden muss, können Sie die Reihenfolge im Bios-Setup immer noch für die Dauer der Reparaturarbeiten umschalten.
Zahlreiche Bios-Versionen bieten übrigens eine Virus-Warnfunktion, die durch einen Prüfsummenvergleich zwischen gespeichertem und aktuellem Wert aller MBR-Daten Änderungen am Bootblock bemerkt. Obwohl solche Änderungen nicht immer das Werk eines Virus sind, sollten Sie die Bios-Warnfunktion einschalten. Beim verbreiteten Award-Bios beispielsweise aktivieren Sie den Bootvirustest über die Funktion "Boot Virus Detection" im Menü "Boot".
2. Große Datenausfälle drohen, wenn der Virus im MBR Partitionsdaten löscht oder verfälscht. In den meisten Fällen ist ein Systemstart dann nicht mehr möglich. Oder es stellen sich erst beim Bootvorgang Probleme heraus. Wurden die Partitionsdaten verfälscht, könnten noch Dateien geladen werden, und es kommt erst später zum Crash.
3. Ein weiteres mögliches Szenario besteht darin, dass der Virus den Partitionstyp ändert. Wie zuvor schon im Hinblick auf NTFS-Partitionen erwähnt, erkennt, zeigt und verwendet jedes Betriebssystem nur bestimmte Partitionsarten. Bei DOS sind es FAT16-, bei unter Windows 95/98/ME erzeugten Bootdisketten zusätzlich FAT32-Partitionen.
Wenn der Schädling also die Typkennung einer FAT16- oder FAT32-Partition beispielsweise auf die ID verändert, die Linux-Partitionen entspricht, ist dieses Laufwerk für alle DOS- und Windows-Versionen gewissermaßen nicht vorhanden
Rettung des MBR: So beseitigen Sie die Probleme
Um das ID-Partitionsproblem zu beheben, benötigen Sie ein Partitionsprogramm wie Partition Magic 8.0 ( www.powerquest.de , rund 70 Euro). Wie Sie mit einem solchen Tool Änderungen vornehmen, erklärt das Handbuch zum Programm
Partition Magic eignet sich ideal dazu, Partitionen zu reparieren. Allerdings benötigen Sie dazu ein solides Basiswissen. Sofern Sie einen Bootmanager verwenden, um mehrere Betriebssysteme zu starten, gefährdet der Virenangriff auch diesen. Schlimmstenfalls wird die Verbindung zwischen Systemstart (MBR) und Bootmanager unterbrochen - die Folge: Keines der vorhandenen Betriebssysteme wird mehr aktiviert.
Bei Beschädigungen des Bootmanagers sollten Sie diesen von der Installations-CD oder einer Bootdiskette mit aktiviertem Schreibschutz neu einrichten. Die Partitionsdaten bleiben dabei erhalten, sofern sie die Malware nicht zuvor schon beschädigt hat.
Wenn der Virus den MBR unbrauchbar gemacht hat, können Sie nach dem Start per Bootmedium mit dem Befehl "fdisk /MBR" einen neuen MBR erzeugen. Sie sollten allerdings nur dann so vorgehen, wenn die Reparaturversuche mit einem Partitions-Tool keinen Erfolg gebracht haben und keine Sicherungskopie des MBR vorhanden ist - die meisten Anwender verzichten darauf, den MBR zu sichern. Da Fdisk nicht alle Partitionstypen unterstützt, klappt das Erzeugen eines neuen MBR nicht immer.
Sonderfall Makroviren: Gelöschte Dateien
Vor allem Makroviren betreiben oft Datensabotage, das heißt, sie löschen Dokumente von der Festplatte. Dazu bedienen sich die Makros der Programmiersprachen von Anwendungen wie Word, deren Befehlsrepertoire auch Anweisungen zum Löschen von Dateien enthält.
Falls ein Schädling Dateien gelöscht hat, sollten Sie auf dem betroffenen Laufwerk möglichst nicht mehr arbeiten, denn dies verringert die Reparaturchancen. Der Löschbefehl entfernt nämlich nicht die Datei selbst vom Datenträger, sondern nur den entsprechenden Ordnereintrag. Genauer gesagt, es entfällt nicht einmal dieser Eintrag, sondern das erste Zeichen des Dateinamens wird zum Kennzeichen der Löschung.
Das Betriebssystem betrachtet diese Verzeichnisposition nun als frei verfügbar. Zugleich gibt der Löschbefehl auch die Cluster in der Dateibelegungstabelle frei, die zusammen die gelöschte Datei gebildet haben. Auch diese Cluster liegen so lange vor, bis das Betriebssystem den Platz tatsächlich benötigt.
Aufgrund dessen lassen sich gelöschte Dateien so lange wiederherstellen, bis entweder der Verzeichniseintrag oder Daten-Cluster der Datei physikalisch überschrieben wurden. Zur Instandsetzung gelöschter Dateien setzen Sie ein Programm wie Norton Unerase ein, das wie auch Norton Antivirus Bestandteil der Norton System Works 2003 ist (für Windows 98/ME, 2000 und XP, www.symantec.de , rund 90 Euro).
Norton Unrease, Bestandteil von Norton Sysstem Works 2003, reaktiviert verlorene Daten. Je schneller Sie das Tool einsetzen, desto größer sind die Chancen einer Dateirettung.
Sie haben die Reparatur-Software noch gar nicht installiert? Idealerweise bietet ein solches Programm einen Modus an, in dem es sich zum Instandsetzen gelöschter Dateien direkt von der Programm- CD starten lässt. Bei System Works erreichen Sie dies nach dem Booten von CD über "Utilities von CD starten, Norton UnErase".
Bietet die Reparatur- Software keinen CD-Modus an, so lohnt es sich möglicherweise sogar, kurzfristig eine weitere Festplatte einzubauen und das Rettungs-Tool dorthin zu installieren. Kommt das nicht in Frage, dann nutzen Sie zur Installation unbedingt ein nicht von Löschungen betroffenes Laufwerk.
Achtung: Wurden auf Ihrem PC Dateien gelöscht, so dürfen Sie auf keinen Fall einen Defragmentierlauf über "Start, Programme, Zubehör, Systemprogramme, Defragmentierung" starten. Hierbei würden sowohl die als frei markierten Verzeichniseinträge als auch die als frei markierten Cluster mit anderen Daten überschrieben werden. Die Instandsetzung gelöschter Dateien ist danach nicht mehr möglich.
Sollte sich ein Defragmentierlauf unter den geplanten Vorgängen befinden, so deaktivieren Sie ihn temporär über "Start, Programme, Zubehör, Systemprogramme" und dann "Geplante Tasks" oder "Geplante Vorgänge".
Virenbeseitigung per Hand
Deaktivieren Sie unter Windows XP die Systemwiederherstellung auf allen Laufwerken.
Überprüfen Sie die laufenden Prozesse. Mit ALT+CRTL+Entf gelangen Sie in den "Windows Task Manager". Navigieren Sie zu der Registerkarte Prozesse.
Überprüfen Sie die Prozessliste nach Einträgen, die mit "xxxx32.xxx" oder "falsch geschriebenen Windowsprozessen (z. B:. Exploder.exe)" aufgelistet sind. Finden Sie verdächtige Dateien, dann suchen Sie bitte mit einem virenfreien PC unter Google im Internet nach diesem Prozess. Enthält die Trefferliste Links zu Antivirensoftware Herstellern, navigieren Sie zu dieser Seite und lesen Sie die Informationen.
Werden Sie in der Prozessliste nicht fündig, dann starten Sie bitte den Registrierungseditor unter
Ausführen
regedit
Navigieren Sie zu:
HKey_Local_Machine
Software
Microsoft
Current Version
Run
Dort sehen Sie alle Programme und Prozesse, die beim Systemstart automatisch gestartet werden. Auch dort suchen Sie wieder nach "verdächtigen Namen". Sollten Sie solche finden, merken Sie sich den Pfad zu dieser Datei, überprüfen dies im Internet und löschen den Eintrag.
In 90% der Fälle befinden sich diese Dateien im Systemordner unter System32. Diese Datei/n müssen Sie ebenfalls löschen. Diese Dateien können nur gelöscht werden, wenn sie nicht mehr in der Prozessliste gestartet sind. Können Sie die Dateien nicht löschen oder den Prozess beenden, dann starten Sie den Rechner im abgesicherten Modus und die Prozesse sollten nicht gestartet sein. Damit können Sie die Programme löschen.
Leeren Sie auf jedenfalls den Papierkorb
Starten Sie den Rechner neu und überprüfen Sie die Prozessliste und die Registry.
Führen Sie einen Komplettscan mit einem aktuellen Virenscanner durch.
Anhang
Würmer verbreiten sich selbständig innerhalb eines Netzwerks, sausen jedoch bevorzugt kreuz und quer durch das Internet, wo sie optimale Bedingungen vorfinden. Im günstigsten Fall besteht ihr Ziel in ihrer endlosen Vermehrung und der Belegung von Speicherressourcen - dadurch sinkt die Rechenleistung eines infizierten PCs. Auch gibt es viele Würmer, deren Code mit den Eigenschaften von Viren kombiniert wurde. Einige haben sogar trojanischische Pferde als Schadfracht mit an Bord.
Trojaner bezeichnet im Computer-Jargon ein scheinbar harmloses Programm mit einer verdeckten Schadensfunktion: einem Virus, Wurm oder Spyware. Der Zweck vieler Trojaner ist, unbemerkt sensible Daten wie Passwörter für Homebanking oder Mail-Accounts, Kreditkarten-nummern und ähnliches auszuspähen und zu übermitteln. Eine besonders gefährliche Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Hierbei handelt es sich um Hilfsprogramme, durch die ein Hacker auf fremde Rechner zugreifen kann. Auch der Internet-Wurm Blaster sowie seine Varianten haben Backdoor-Trojaner an Bord.
Datei- oder Link-Viren befallen ausführbare Programm-Dateien, die zum Beispiel mit den Dateinamenserweiterungen ".exe", ".com" oder ".scr" gekennzeichnet sind. Betroffen sind davon fast alle Bestandteile von Windows und installierte Programme. Da diese Viren-Spezies ihren Code in die jeweilige Datei hineinschreiben, wird das Virus beim Start eines infizierten Programmes automatisch (mit) ausgeführt.
Makroviren verstecken sich nicht in Programmen, sondern in Word- oder Excel-Dokumenten. Makros werden in einer Office-eigenen Programmiersprache geschrieben; vor allem, um Arbeitsabläufe zu automatisieren. Beim Laden des verseuchten Dokuments beginnt das Virus automatisch mit seiner Schadensroutine. Diese reicht von einfachen Scherzen, wie etwa das Verstecken von Menü-Einträgen, bis hin zum Löschen von Dateien. Hinzu kommt, dass einige Varianten erst an einem bestimmten Tag oder nach einer bestimmten Anzahl von Starts aktiv werden.
Hoaxes bedeutet an sich "schlechter Scherz" und wird im Internet für falsche Warnungen vor bösartigen Viren verwendet. Ergänzt wird die Meldung meistens um die Bitte, die eMail an Freunde und Bekannte weiterzuleiten. Wirklich gefährlich werden solche "Scheinviren" erst dann, wenn ein Opfer die empfohlene Schutzmaßnahme wirklich durchführt. Einige dieser Hoaxes fordern den PC-Nutzer zum Beispiel auf, bestimmte und zum Teil wichtige System-Dateien zu löschen.
McAfee AVERT Stinger ( Tool zur Virenbeseitigung )
Link: http://vil.nai.com/vil/stinger/
Quellen:
T-Online
PC-Welt
Symantec
selbst
/Edit: Abschrift aus PC-WELT - Ratgeber: Bei Virenbefall: So retten Sie Ihren PC vom 25. April 2006
gnarff / el moderador
Virenbeseitigung
Viren, Trojaner & Co. sind mittlerweile für jedes PC-System mit Internet-Anschluss ein ernstes Problem. Doch Gefahr für Ihre Daten droht nicht nur aus dem Internet; nach wie vor kursieren jahre alte Disketten und CDs mit Dateiviren. Auch mit Makroviren verseuchte Office-Dokumente werden häufig auf eine CD gebrannt und weitergegeben oder über das Netzwerk kopiert; bis zum Öffnen des Dokuments schlummern sie im Dornröschenschlaf.
Doch trotz der ernstzunehmenden Schreckensszenarien gibt es eine gute Nachricht: Ist auf Ihrem PC ein Virus aktiv, können Sie den Schaden durch umsichtiges Vorgehen begrenzen oder sogar ganz beseitigen. Wir zeigen Ihnen, was zu tun ist.
Vom Verdacht zur Gewissheit: Virus an Bord
Je nach Virenart gibt es bei einem Schädlingsbefall entweder recht früh Anzeichen dafür, keine erkennbaren Symptome, oder aber der Eindringling schlägt einmalig und hart zu und vernichtet Daten. Dass ein PC-System oberflächlich betrachtet fehlerfrei arbeitet, ist also noch kein sicheres Indiz für Virenfreiheit.
Gerade die hartnäckigsten Virenarten manipulieren Ihre Daten nur geringfügig oder verursachen unvermittelt einen kompletten Systemausfall. Diejenigen Schädlinge, die sich durch lästige Textmeldungen, so genannte Nagscreens, frühzeitig und freiwillig zu erkennen geben, sind in der Regel eher harmloser Natur, einige Varianten können allerdings wichtige Daten zerstören. Generell ist bei einem erfolgreichen Angriff fast immer ein mehr oder minder hoher Reparaturaufwand gegeben. Die sicherste Art der Viren- und Trojanerbekämpfung besteht daher in der Prävention.
Erster Schritt: Virentest von Diskette oder CD
Um eine Systemprüfung vorzunehmen, benötigen Sie ein virenfreies Bootmedium, sei es eine Boot-CD oder eine Bootdiskette. Von einem möglicherweise verseuchten System dürfen Sie keinesfalls ein Bootmedium anlegen, sonst besteht die Gefahr, dass Sie damit weitere PCs infizieren.
Haben Sie den Verdacht eines Virenbefalls, aber keine Startdiskette oder -CD zur Hand, sollten Sie diese unbedingt auf einem anderen PC erstellen. Selbst ein Bootmedium, das Sie von einem mit fast hundertprozentiger Sicherheit schädlingsfreien System hergestellt haben, sollten Sie vor seinem Notfalleinsatz mit einem aktuellen Virenscanner prüfen lassen, am besten auf einem dritten PC. Bei Bootdisketten sollten Sie auf jeden Fall nach der Herstellung den Schreibschutz aktivieren. Nur so bleibt das wiederbeschreibbare Medium immun gegen den potenziellen Schädling. Ansonsten reicht ein einziges Kommando möglicherweise schon dafür aus, dass der Virus auf das beschreibbare Medium überspringt. In diesem Fall könnte ein Schädling beispielsweise sogar die Prüfungsergebnisse des
Virenscanlaufs manipulieren. Wenn Sie ein verseuchtes Bootmedium einsetzen, kann sich die Virusinfektion zu einem späteren Zeitpunkt damit erneut ausbreiten.
Sofern ein Schädling unter Windows aktiv war, stoppen Sie ihn erst einmal, indem Sie das Betriebssystem herunterfahren und beim Neustart ein unverseuchtes Bootmedium verwenden. Nun geht es daran, den Schädling zu bekämpfen.
Viren-Check: Welcher Gegner hat zugeschlagen ?
Mit der Boot-CD oder der Bootdiskette und einer unter DOS lauffähigen Antiviren-Software starten Sie nun den Test auf Viren im Hauptspeicher, im für den Startvorgang des Betriebssystems elementar wichtigen Master Boot Record (MBR) sowie in den einzelnen Dateien. Ein solches Antiviren-Programm ist etwa das für private Nutzung kostenlose Knoppicillin oder F-Prot.
Sie entscheiden bei der Auswahl des Scanverfahrens, wie gründlich F-Prot unter DOS arbeitet, ob die Software also beispielsweise Archivdateien durchsucht oder die Virenheuristik verwendet. Reine DOS-Virenscanner können allerdings nur FAT16- und FAT32-Partitionen auf infizierte Dateien prüfen, nicht jedoch von Windows NT 4, 2000 oder XP angelegte NTFS-Partitionen.
Starten Sie den PC mit der Knoppicillin CD, können auch NTFS-Partitionen überprüft werden. Nach der Eingabe der Netzwerkdaten und einer Auswahl der verschieden Virenscanner werden die aktuellen Virenkennungen per Internet geladen und der Scanvorgang beginnt.
Der Virenscanner sucht nach bestimmten Mustern, die der Programmcode von verseuchten Dateien enthält. Bestimmte Folgen von Zeichen deutet der Scanner dann als Beweis für eine Infektion durch einen bestimmten Schädlingstyp. Dieses Vorgehen führt gelegentlich auch zu einem Fehlalarm, wenn in einer Datei zufällig die gleiche Mustersequenz auftritt.
Schutzmechanismen von Viren
Einige Schädlinge verfügen über Schutzmechanismen, um Virenjäger zu täuschen. So genannte polymorphe Viren sind in der Lage, die verdächtigen Virensignaturen durch sich verändernde Daten zu tarnen. Zusammen mit den allerneuesten Virenarten, deren Signaturen noch nicht in die Virenscanner integriert sind, bilden die polymorphen Viren die größte Bedrohung des Systems. Bei einem Scan unter DOS von Bootdiskette oder -CD sind diese Tarnmechanismen jedoch nicht aktiv und dadurch wirkungslos.
Ablauf protokollieren: Auch auf verseuchten Laufwerken
Aktivieren Sie beim Scanlauf die Protokollfunktion, um eine bleibende Übersicht der Infektionsherde sowie aller infizierten Einzeldateien zu erhalten. Diese Logdatei ist auch der Ausgangspunkt für die manuelle Reparatur des Systems. Damit das Bootmedium garantiert virenfrei bleibt, darf sie allerdings nicht darauf gespeichert werden. Falls Ihnen kein anderes beschreibbares Medium zur Verfügung steht, können Sie sie jedoch sogar auf einem infizierten Laufwerk, beispielsweise C: speichern. Denn die Protokolldatei wird von den meisten Programmen im reinen Textformat ausgegeben und kann daher nicht von einem Virus befallen werden.
Virus entfernen: Darauf sollten Sie achten
Der Viren-Check verrät zum einen, ob das System überhaupt infiziert wurde, und wenn ja, um welchen Virus es sich handelt. Zum anderen liefert der Virenscanner Informationen darüber, wie viele Einzeldateien des Systems in Mitleidenschaft gezogen wurden. Moderne Virenscanner durchsuchen auch Datenarchive wie CAB-Dateien. Je nach Virentyp bieten manche der Antiviren-Programme auch gleich an, die beschädigten Dateien zu reparieren. Darauf sollten Sie allerdings aufs Erste verzichten, da nicht sicher ist, ob diese Art der Reparatur tatsächlich die beste Lösung für Ihre Dateien darstellt. Holen Sie vielmehr zunächst von einem virenfreien PC aus - etwa bei einem Bekannten, Kollegen oder in einem Internet-Café - Informationen zu dem auf Ihrem PC gefundenen Virentyp ein. Im Internet gibt es zahlreiche Datenbanken, die nützliche Infos zum Schädling, zu seinem Verbreitungsgebiet und vor allem zu seiner Beseitigung bieten, beispielsweise www.sophos.de oder www.symantec.de .
Sofern spezielle Tools zum Entfernen eines bestimmten Schädlingstyps existieren, sind sie in solchen Datenbanken ebenfalls aufgeführt und häufig per Link erreichbar. Mit diesen Informationen lässt sich der Virus wesentlich effektiver bekämpfen, und auch die Chancen zur Rettung der Daten steigen, wenn der Virentyp bekannt ist.
Spezial-Tools gibt es beispielsweise für einige Klez-Ableger oder zum Löschen von bestimmten Makroviren in DOC-Dateien. Falls Sie für "Ihren" Schädling ein solches Tool im Internet finden, sollten Sie dieses bevorzugt einsetzen. Führen Sie nach der Säuberung einen weiteren Virenscan vom Startmedium durch, um sicher zu sein, dass Sie den Software-Schädling durch den Einsatz des Tools auch wirklich beseitigt haben.
Wichtig: Überschreiben Sie beim erneuten Virenscan nicht die ursprünglich erzeugte Protokolldatei mit den Namen aller infizierten Einzeldateien, denn diese Datei kann für Ihr weiteres Vorgehen noch wichtig sein. Die Logdatei benötigen Sie nämlich dann, wenn die automatische Virusentfernung nicht vollständig gelungen ist und Sie alle infizierten Einzeldateien manuell reparieren müssen.
Nach der Schlacht: Der erste Systemstart und die Reparatur
Meldet der Virenscanner keine Infektion mehr, können Sie das System wieder von der Festplatte starten. Die Reparaturarbeiten gestalten sich unter Windows wesentlich komfortabler als von der DOS Kommandozeile. Norton Antivirus gibt Entwarnung. Das Suchprotokoll lässt sich speichern. Beim Hochfahren von Windows stellt sich nun heraus, wie stark die vom Virus verursachten Schäden sind und wie gründlich das Tool zum Beseitigen des Schädlings gearbeitet hat.
Bei eher harmlosen Virenarten oder bei früh erkannten Infektionen sind die Datenschäden möglicherweise nur minimal.
Wenn allerdings schon beim Systemstart Probleme auftreten, etwa dergestalt, dass Windows nicht richtig hochfährt, ist eine manuelle Reparatur notwendig.
Die Protokolldatei des ersten Virenscans gibt Auskunft darüber, wie viele Dateien mit dem Viruscode infiziert waren.
Handelt es sich nur um einige wenige Dateien, so lassen sich die betroffenen Programme und Daten von Sicherungsmedien wie Streamer-Bändern oder CD-Backups eines nach dem anderen wiederherstellen - sofern Sie die dafür notwendige Datensicherung betrieben haben. Auf diese Weise erhalten Sie beispielsweise wieder funktionsfähige COM-, EXE- und DLL-Dateien, die durch die Virusinfektion oder Reparatur beschädigt wurden.
Sind jedoch Hunderte oder gar Tausende von Einzeldateien betroffen, kommen Sie über die Rücksicherung einzelner Dateien kaum ans Ziel. Experten in Sachen DOS-Stapelverarbeitung können sich unter Umständen damit behelfen, aus einer Kopie der Logdatei des Virenscanners eine Batchdatei herzustellen, die beispielsweise alle infizierten Programme durch Versionen von einer Backup-CD oder aus einer anderen Partition ersetzt.
Mit etwas Praxis beim Suchen und Ersetzen in Textverarbeitungsprogrammen und einem gerüttelten Maß an Erfahrung bei der Batchprogrammierung lassen sich auf diesem Weg selbst viele Tausend infizierter Dateien wieder instand setzen. Allerdings setzt dies ein relativ aktuelles Backup aller Systemdaten voraus, das zum einen virenfrei ist und auf das zum anderen auf DOS-Ebene Zugriff besteht - dies ist bei CDs und DVDs der Fall, nicht aber bei Streamer-Bändern.
Wenn Sie über Image-Dateien Ihrer Windows-Partition verfügen, sollten Sie zunächst ebenfalls alle wichtigen Dateien von der Festplatte sichern und danach die Partition über das Image wiederherstellen. Alternativ können Sie auch vorübergehend eine neue Festplatte einbauen und bestehende Backup-Dateien darauf wiederherstellen. Der Vorteil dieser Methode: Die Ursprungsdaten bleiben erhalten, so dass Sie bei Bedarf noch darauf zugreifen können.
Mit einer Festplatten-Imaging-Software können Sie nicht nur Image-Dateien von einer Partition erstellen, sondern auch Daten in bestehende Image-Dateien aufnehmen und daraus extrahieren. Wenn sich weder große Mengen defekter oder infizierter Dateien durch einen Stapelverarbeitungslauf ersetzen lassen noch ein Image zur Verfügung steht, hilft nur eines: Sichern Sie die wichtigsten Anwenderdateien von der Festplatte, und installieren Sie sowohl Windows als auch alle Anwendungsprogramme neu.
Problemfall NTFS: Partitionen unter DOS nicht verfügbar
Sofern Sie unter Windows NT 4, 2000 oder XP NTFS-Partitionen angelegt haben, sind diese unsichtbar, wenn Sie über eine DOS-Startdiskette oder -Start-CD booten. Sie können also nicht auf die Dateien der NTFS-Partition zugreifen.
Ohne weitere Tools ist ein auf Festplatte vorhandener Schädling daher unangreifbar. Es gibt jedoch einige - unterschiedlich aufwendige - Techniken, mit denen Sie in vielen Fällen dennoch an die Daten in NTFS-Partitionen gelangen können.
Über Erfolg oder Misserfolg entscheidet, welche Partitionsarten und Sicherheitseinstellungen Sie verwendet haben.
Der Zugriff auf sorgsam abgesicherte NTFS-Partitionen oder auf die in Win 2000 und XP verfügbaren dynamischen Datenträger wird mit großer Wahrscheinlichkeit misslingen. Da Sie in diesem Fall über das Startmedium nicht an die Dateien herankommen, lässt sich der Virus auf diesem Weg nicht beseitigen. Sofern Windows überhaupt nicht mehr startet, ist eine komplette Neuinstallation des Betriebssystems und aller Anwendungsprogramme unumgänglich.
Läßt sich Windows noch starten oder per Reparaturfunktion von der Windows-Installations-CD reparieren? Dann ist Vorsicht geboten, denn der Schädling ist auf Festplatte noch vorhanden, er ist weiterhin aktiv und könnte sogar auf Netzlaufwerke übergreifen. Trennen Sie daher die Netzwerkverbindung physikalisch, und versuchen Sie, den Virus mit Hilfe eines Windows-Virenscanners oder eines Spezial- Tools zu beseitigen.
In weniger heiklen Fällen hilft möglicherweise der englischsprachige DOS-Treiber Ntfsdos Professional 4.0 von Mark Russinovich und Bryce Cogswell weiter (39 KB, www.sysinternals.com ). Die kostenlose Version bietet allerdings nur Lesezugriff auf NTFS-Partitionen.
Sie können damit Virenscans durchführen, nicht aber die Daten auf der NTFS-Partition von DOS-Ebene aus überschreiben oder andere Reparaturen durchführen. Letzteres kann nur die Vollversion von Ntfsdos Professional - zum stolzen Preis von 300 US-Dollar.
Oft nützt aber bereits der Lesezugriff: Wenn Sie beispielsweise virenfreie Image-Dateien Ihrer Festplatte oder ein fast vollständiges virenfreies Backup zur Hand
haben, von dem Sie Ihre Windows-Installation zurücksichern können, fehlen Ihnen nur noch die Dateien, die seit dem Sicherungsdatum neu hinzugekommen sind. Mit der Windows-Suchfunktion - "Start, Suchen" - stöbern Sie diese Dateien später bequem auf.
Nach dem Sicherungsdatum des letzten Backups hinzugekommene Dateien lassen sich damit ganz einfach aufspüren und beispielweise auf eine andere Partition oder eine CD kopieren.
Zugriff auf NTFS-Partitionen: Wichtige Dateien sichern
Die Dateien lassen sich nun per Bootdiskette oder -CD mit dem Ntfsdos-Treiber lesen und auf ein externes Laufwerk sichern. Nachdem Sie das System-Backup eingespielt haben, müssen Sie nur noch die gesicherten Dateien auf Virenbefall scannen und bei Nicht-Infektion mit dem Windows-Explorer manuell an die richtigen Stellen kopieren.
Wenn der Zugriff per Ntfsdos-Treiber nicht zum Erfolg führt, Ihr System aber wertvolle Daten enthält, die Sie unbedingt wiederherstellen möchten, kommen noch andere Rettungstechniken in Betracht.
Zum einen ist es möglich, die Festplatte vorübergehend in einen anderen PC mit Win NT 4, 2000 oder XP einzubauen, auf dem entweder die gleiche oder eine neuere Version des Betriebssystems läuft. Je nach Partitionstyp und je nach den Sicherheitseinstellungen des infizierten Systems lassen sich die Partitionen der infizierten Windows-Installation dann möglicherweise als weitere Laufwerke im neuen PC ansprechen.
Sofern dies gelingt, können Sie den Virus dort mit einem Windows-Virenscanner aufspüren, beseitigen und schließlich die Festplatte wieder in den ursprünglichen PC einbauen. Ist eine Virenbeseitigung nicht möglich, lassen sich zumindest wichtige nicht verseuchte Dateien retten, bevor Sie Windows neu installieren.
Eine weitere Rettungsvariante für verseuchte Windows-Installationen besteht darin, Win NT 4, 2000 oder XP in einer Mini-Installation auf dem betroffenen PC zusätzlich zum bereits vorhandenen Windows einzurichten und damit den Zugriff auf die infizierten Partitionen vorzunehmen.
Um eine zusätzliche Windows- Installation aufzusetzen, benötigen Sie möglicherweise eine weitere Festplatte oder Partitions-Software wie Partition Magic 8.0 (für DOS, Windows 95/98/ME, NT 4, 2000 und XP, 23,2 MB, Demo unter www.powerquest.de, rund 70 Euro), mit der Sie bestehende Partitionen verkleinern.
Bleiben all diese Techniken erfolglos und enthält die Festplatte sehr wichtige Daten, so bleibt als letzte Rettung professionelle Hilfe, beispielsweise die auf
Datenwiederherstellung spezialisierte Firma Convar (www.convar.de). Je nach Größe des Datenträgers und dem zur Rettung Ihrer Daten erforderlichen Aufwand fallen hierbei allerdings schnell Kosten von weit über 1000 Euro an.
Booten von Windows unmöglich: Der Virus hat zugeschlagen
Malware zerstört oder manipuliert oft genau die Daten, die zum Starten des Betriebssystems nötig sind. Viele Schädlinge begnügen sich nicht damit, einzelne Anwenderdateien zu ändern, zu löschen oder mit einem Viruscode zu infizieren, sondern vernichten gleich ganze Partitionen und damit alle Daten, die sich auf diesen Laufwerken befinden.
Der Master Boot Record (MBR) ist dabei von großer Bedeutung. Der kleine Datensektor am Anfang der Festplatte enthält nicht nur Informationen der primären Partition dieser Festplatte, sondern auch einen Startcode zum Laden des eigentlichen Betriebssystems inklusive Fehlermeldungen.
Da dieser Programmcode immer beim Starten des PCs ausgeführt wird und der PC dabei praktisch schutzlos ist, gehört der MBR zu den bevorzugten Zielen von Virenangriffen. Hat sich hier ein Virus eingenistet, so sind mehrere Szenarien möglich.
Virus im MBR: Das kann geschehen
1. Befindet sich daher eine verseuchte Diskette mit einem Bootblockvirus im Laufwerk und wird davon gebootet, so springt der Virus auf die Festplatte über. Ein im MBR sitzender Virus wird schon beim Systemstart aktiviert
Unser Tipp: Damit sich Bootblockviren nicht ausbreiten können, sollten Sie vorbeugend im Bios das Booten von Diskettenlaufwerken abschalten. Falls von Diskette gebootet werden muss, können Sie die Reihenfolge im Bios-Setup immer noch für die Dauer der Reparaturarbeiten umschalten.
Zahlreiche Bios-Versionen bieten übrigens eine Virus-Warnfunktion, die durch einen Prüfsummenvergleich zwischen gespeichertem und aktuellem Wert aller MBR-Daten Änderungen am Bootblock bemerkt. Obwohl solche Änderungen nicht immer das Werk eines Virus sind, sollten Sie die Bios-Warnfunktion einschalten. Beim verbreiteten Award-Bios beispielsweise aktivieren Sie den Bootvirustest über die Funktion "Boot Virus Detection" im Menü "Boot".
2. Große Datenausfälle drohen, wenn der Virus im MBR Partitionsdaten löscht oder verfälscht. In den meisten Fällen ist ein Systemstart dann nicht mehr möglich. Oder es stellen sich erst beim Bootvorgang Probleme heraus. Wurden die Partitionsdaten verfälscht, könnten noch Dateien geladen werden, und es kommt erst später zum Crash.
3. Ein weiteres mögliches Szenario besteht darin, dass der Virus den Partitionstyp ändert. Wie zuvor schon im Hinblick auf NTFS-Partitionen erwähnt, erkennt, zeigt und verwendet jedes Betriebssystem nur bestimmte Partitionsarten. Bei DOS sind es FAT16-, bei unter Windows 95/98/ME erzeugten Bootdisketten zusätzlich FAT32-Partitionen.
Wenn der Schädling also die Typkennung einer FAT16- oder FAT32-Partition beispielsweise auf die ID verändert, die Linux-Partitionen entspricht, ist dieses Laufwerk für alle DOS- und Windows-Versionen gewissermaßen nicht vorhanden
Rettung des MBR: So beseitigen Sie die Probleme
Um das ID-Partitionsproblem zu beheben, benötigen Sie ein Partitionsprogramm wie Partition Magic 8.0 ( www.powerquest.de , rund 70 Euro). Wie Sie mit einem solchen Tool Änderungen vornehmen, erklärt das Handbuch zum Programm
Partition Magic eignet sich ideal dazu, Partitionen zu reparieren. Allerdings benötigen Sie dazu ein solides Basiswissen. Sofern Sie einen Bootmanager verwenden, um mehrere Betriebssysteme zu starten, gefährdet der Virenangriff auch diesen. Schlimmstenfalls wird die Verbindung zwischen Systemstart (MBR) und Bootmanager unterbrochen - die Folge: Keines der vorhandenen Betriebssysteme wird mehr aktiviert.
Bei Beschädigungen des Bootmanagers sollten Sie diesen von der Installations-CD oder einer Bootdiskette mit aktiviertem Schreibschutz neu einrichten. Die Partitionsdaten bleiben dabei erhalten, sofern sie die Malware nicht zuvor schon beschädigt hat.
Wenn der Virus den MBR unbrauchbar gemacht hat, können Sie nach dem Start per Bootmedium mit dem Befehl "fdisk /MBR" einen neuen MBR erzeugen. Sie sollten allerdings nur dann so vorgehen, wenn die Reparaturversuche mit einem Partitions-Tool keinen Erfolg gebracht haben und keine Sicherungskopie des MBR vorhanden ist - die meisten Anwender verzichten darauf, den MBR zu sichern. Da Fdisk nicht alle Partitionstypen unterstützt, klappt das Erzeugen eines neuen MBR nicht immer.
Sonderfall Makroviren: Gelöschte Dateien
Vor allem Makroviren betreiben oft Datensabotage, das heißt, sie löschen Dokumente von der Festplatte. Dazu bedienen sich die Makros der Programmiersprachen von Anwendungen wie Word, deren Befehlsrepertoire auch Anweisungen zum Löschen von Dateien enthält.
Falls ein Schädling Dateien gelöscht hat, sollten Sie auf dem betroffenen Laufwerk möglichst nicht mehr arbeiten, denn dies verringert die Reparaturchancen. Der Löschbefehl entfernt nämlich nicht die Datei selbst vom Datenträger, sondern nur den entsprechenden Ordnereintrag. Genauer gesagt, es entfällt nicht einmal dieser Eintrag, sondern das erste Zeichen des Dateinamens wird zum Kennzeichen der Löschung.
Das Betriebssystem betrachtet diese Verzeichnisposition nun als frei verfügbar. Zugleich gibt der Löschbefehl auch die Cluster in der Dateibelegungstabelle frei, die zusammen die gelöschte Datei gebildet haben. Auch diese Cluster liegen so lange vor, bis das Betriebssystem den Platz tatsächlich benötigt.
Aufgrund dessen lassen sich gelöschte Dateien so lange wiederherstellen, bis entweder der Verzeichniseintrag oder Daten-Cluster der Datei physikalisch überschrieben wurden. Zur Instandsetzung gelöschter Dateien setzen Sie ein Programm wie Norton Unerase ein, das wie auch Norton Antivirus Bestandteil der Norton System Works 2003 ist (für Windows 98/ME, 2000 und XP, www.symantec.de , rund 90 Euro).
Norton Unrease, Bestandteil von Norton Sysstem Works 2003, reaktiviert verlorene Daten. Je schneller Sie das Tool einsetzen, desto größer sind die Chancen einer Dateirettung.
Sie haben die Reparatur-Software noch gar nicht installiert? Idealerweise bietet ein solches Programm einen Modus an, in dem es sich zum Instandsetzen gelöschter Dateien direkt von der Programm- CD starten lässt. Bei System Works erreichen Sie dies nach dem Booten von CD über "Utilities von CD starten, Norton UnErase".
Bietet die Reparatur- Software keinen CD-Modus an, so lohnt es sich möglicherweise sogar, kurzfristig eine weitere Festplatte einzubauen und das Rettungs-Tool dorthin zu installieren. Kommt das nicht in Frage, dann nutzen Sie zur Installation unbedingt ein nicht von Löschungen betroffenes Laufwerk.
Achtung: Wurden auf Ihrem PC Dateien gelöscht, so dürfen Sie auf keinen Fall einen Defragmentierlauf über "Start, Programme, Zubehör, Systemprogramme, Defragmentierung" starten. Hierbei würden sowohl die als frei markierten Verzeichniseinträge als auch die als frei markierten Cluster mit anderen Daten überschrieben werden. Die Instandsetzung gelöschter Dateien ist danach nicht mehr möglich.
Sollte sich ein Defragmentierlauf unter den geplanten Vorgängen befinden, so deaktivieren Sie ihn temporär über "Start, Programme, Zubehör, Systemprogramme" und dann "Geplante Tasks" oder "Geplante Vorgänge".
Virenbeseitigung per Hand
Deaktivieren Sie unter Windows XP die Systemwiederherstellung auf allen Laufwerken.
Überprüfen Sie die laufenden Prozesse. Mit ALT+CRTL+Entf gelangen Sie in den "Windows Task Manager". Navigieren Sie zu der Registerkarte Prozesse.
Überprüfen Sie die Prozessliste nach Einträgen, die mit "xxxx32.xxx" oder "falsch geschriebenen Windowsprozessen (z. B:. Exploder.exe)" aufgelistet sind. Finden Sie verdächtige Dateien, dann suchen Sie bitte mit einem virenfreien PC unter Google im Internet nach diesem Prozess. Enthält die Trefferliste Links zu Antivirensoftware Herstellern, navigieren Sie zu dieser Seite und lesen Sie die Informationen.
Werden Sie in der Prozessliste nicht fündig, dann starten Sie bitte den Registrierungseditor unter
Ausführen
regedit
Navigieren Sie zu:
HKey_Local_Machine
Software
Microsoft
Current Version
Run
Dort sehen Sie alle Programme und Prozesse, die beim Systemstart automatisch gestartet werden. Auch dort suchen Sie wieder nach "verdächtigen Namen". Sollten Sie solche finden, merken Sie sich den Pfad zu dieser Datei, überprüfen dies im Internet und löschen den Eintrag.
In 90% der Fälle befinden sich diese Dateien im Systemordner unter System32. Diese Datei/n müssen Sie ebenfalls löschen. Diese Dateien können nur gelöscht werden, wenn sie nicht mehr in der Prozessliste gestartet sind. Können Sie die Dateien nicht löschen oder den Prozess beenden, dann starten Sie den Rechner im abgesicherten Modus und die Prozesse sollten nicht gestartet sein. Damit können Sie die Programme löschen.
Leeren Sie auf jedenfalls den Papierkorb
Starten Sie den Rechner neu und überprüfen Sie die Prozessliste und die Registry.
Führen Sie einen Komplettscan mit einem aktuellen Virenscanner durch.
Anhang
Würmer verbreiten sich selbständig innerhalb eines Netzwerks, sausen jedoch bevorzugt kreuz und quer durch das Internet, wo sie optimale Bedingungen vorfinden. Im günstigsten Fall besteht ihr Ziel in ihrer endlosen Vermehrung und der Belegung von Speicherressourcen - dadurch sinkt die Rechenleistung eines infizierten PCs. Auch gibt es viele Würmer, deren Code mit den Eigenschaften von Viren kombiniert wurde. Einige haben sogar trojanischische Pferde als Schadfracht mit an Bord.
Trojaner bezeichnet im Computer-Jargon ein scheinbar harmloses Programm mit einer verdeckten Schadensfunktion: einem Virus, Wurm oder Spyware. Der Zweck vieler Trojaner ist, unbemerkt sensible Daten wie Passwörter für Homebanking oder Mail-Accounts, Kreditkarten-nummern und ähnliches auszuspähen und zu übermitteln. Eine besonders gefährliche Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Hierbei handelt es sich um Hilfsprogramme, durch die ein Hacker auf fremde Rechner zugreifen kann. Auch der Internet-Wurm Blaster sowie seine Varianten haben Backdoor-Trojaner an Bord.
Datei- oder Link-Viren befallen ausführbare Programm-Dateien, die zum Beispiel mit den Dateinamenserweiterungen ".exe", ".com" oder ".scr" gekennzeichnet sind. Betroffen sind davon fast alle Bestandteile von Windows und installierte Programme. Da diese Viren-Spezies ihren Code in die jeweilige Datei hineinschreiben, wird das Virus beim Start eines infizierten Programmes automatisch (mit) ausgeführt.
Makroviren verstecken sich nicht in Programmen, sondern in Word- oder Excel-Dokumenten. Makros werden in einer Office-eigenen Programmiersprache geschrieben; vor allem, um Arbeitsabläufe zu automatisieren. Beim Laden des verseuchten Dokuments beginnt das Virus automatisch mit seiner Schadensroutine. Diese reicht von einfachen Scherzen, wie etwa das Verstecken von Menü-Einträgen, bis hin zum Löschen von Dateien. Hinzu kommt, dass einige Varianten erst an einem bestimmten Tag oder nach einer bestimmten Anzahl von Starts aktiv werden.
Hoaxes bedeutet an sich "schlechter Scherz" und wird im Internet für falsche Warnungen vor bösartigen Viren verwendet. Ergänzt wird die Meldung meistens um die Bitte, die eMail an Freunde und Bekannte weiterzuleiten. Wirklich gefährlich werden solche "Scheinviren" erst dann, wenn ein Opfer die empfohlene Schutzmaßnahme wirklich durchführt. Einige dieser Hoaxes fordern den PC-Nutzer zum Beispiel auf, bestimmte und zum Teil wichtige System-Dateien zu löschen.
McAfee AVERT Stinger ( Tool zur Virenbeseitigung )
Link: http://vil.nai.com/vil/stinger/
Quellen:
T-Online
PC-Welt
Symantec
selbst
Please also mark the comments that contributed to the solution of the article
Content-ID: 12580
Url: https://administrator.de/contentid/12580
Printed on: December 14, 2024 at 16:12 o'clock
7 Comments
Latest comment
lol, gut kopiert;
siehe http://www.pcwelt.de/know-how/sicherheit/31561/index.html
siehe http://www.pcwelt.de/know-how/sicherheit/31561/index.html