Was tun wenn der Virenscanner „dreimal klingelt“? Statt in Panik zu verfallen kann folgende Vorgehensweise sinnvoll sein.
1. Analyse
Zunächst einmal sollte man sich fragen, wer überhaupt den Virusverdacht gemeldet hat. Die heutigen Virenscanner beinhalten unterschiedliche Wächtermodule wie z.B. Signaturerkennung, Heuristik (Virenmeldungen mit „heur“), Verhaltens-erkennung (Virenmeldungen mit „gen“) oder In-the-Cloud-Erkennung. Der Pfad und Dateiname der Virusmeldung ist festzuhalten. Die verdächtige Datei sollte zunächst nur gesperrt oder protokolliert werden, bevor Sie zu schnell auf Desinfizieren oder Löschen drücken. In vielen Fällen ist es sinnvoll erst mal von einem Notfall-System zu booten und eine Kopie der identifizierte (dann ungesperrten) Datei an einen Analysedienst im Internet zu schicken. Der Hinweis gilt umso mehr, wenn die Viruserkennung auf Heuristik oder Verhaltenserkennung basiert.
2. Informationen sammlen
Oft sind die Hinweise der Virenmeldungen wenig aussagekräftig. Ein spezialisierter Online-Dienst liefert meist mehr Informationen und ergänzt damit eine zweite Beurteilung.
2a. Virustotal
Virustotal scannt jede hochgeladene Datei mit mehr als 40 Virenscannern. Klicken Sie auf der Website zum Hochladen einer verdächtigen Datei auf „Durchsuchen.. “ Wenn die Datei schon bekannt ist, erscheint die Meldung „File already submitted“. In diesem Fall klicken Sie auf „Reanalyse“, um den mehrfachen Virenscan erneut mit aktualisierten Signaturen anzustoßen. Nach Abschluß des Virenscans weisen rote Einträge im Log auf eine virulente Datei hin. Mit den roten LOG-Einträgen ist eine weitere Recherche z.B. über google möglich.
2b. Threat Expert
Auch Threat Expert kann hochgeladene Dateien in einer Sandbox-Umgebung analysieren. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link auf das Prüfergebnis.
Eine Alternative bietet auch der speziell auf Malware optimierte Linux-basierte Virenscanner von Jotti.
2d. Virenlexikon
Noch speziellere Informationen bekommen Sie über ein Virenlexikon. Beispielsweise verwaltet Kaspersky Lab eine große Virendatenbank.
Entscheiden Sie aufgrund gesicherter Informationen, ob es sich tatsächlich um einen Virus oder ähnliches handelt. Bei Virenbefall können Sie meist selber über die Notfall-Live-CD den Virus manuell löschen. Vorsicht ist beim Löschen von Systemdateien geboten!
3. Online-Scanner
Wenn auf einem PC ein Virus entdeckt wurde, sind häufig noch mehrere Dateien betroffen. Nach einer ersten Virenbereinigung mit einem Offline-Einsatz einer Live-CD können Sie nach dem Reboot in ihre Produktionsumgebung einen Online Virenscanner zur weiteren Analyse starten
Der javabasierte Virenscanner kann nach dem Start mit „Prüfung durchführen“ und Auswahl „Vollständigen Scan“ gestartet werden. Entscheiden Sie pro Datei wie mit einem möglichen Virus umgegangen werden soll.
4. Einsatz von Live-CDs
Hier im Blog wurden schon mehrere Live-CDs zum Virenscan (Avira Antivir Rescue System, Kaspersky Rescue Disk, AVG/F-Secure Rescue CD, Desinfec’t, etc.) beschrieben. Entscheiden Sie je nach Konfiguration welches Rettungssytem für Sie geeignet ist.
5. Weitere Tools zur Virenbeseitigung
Sie können auch auf ihrem Produktionssystem weiter Virenscan-Tools installieren. Hier eine Auswahl:
Der kostenlose Virenscanner verfügt über einen Hintergrunddienst, der sich auch als Zweitscanner bzw. Zweitmeinung eignet.
5b. Anti-Malware
Anti-Malware ermöglicht eine schnelle und gründliche Suche nach Trojanern.
5c. Rootkit Buster
Das TrendMicro-Produkt Rootkit Buster analysiert tief im System nach Rootkits. Es werden Registry-Einträge untersucht, Prozesse und Treiber analysiert und auch der MBR geprüft.
5d. Blitzblank
Das Freeware-Tool Blitzblank läuft nicht als Dienst sondern integriert sich in den Windows-Explorer (ohne Installation). Beim Neustart des Computers können markierte (virulente) Dateien automatisch gelöscht werden.
5e. c’t-Helper
Im c’t Magazin 05/08 wurden 22 essenzielle Hilfswerkzeuge u. a auch zum Säubern von PC-Systemen vorgestellt. Das c’t-Projekt stellt Hilfsprogramm zur Seite, die quasi automatisch für die Aktualisierung der einzelnen SW-Produkte sorgen.
Säuberungs-Tools innerhalb c’t-Helper:
- CleanHandlers (entmistet AutoPlay-Handler unter XP und Vista),
- Disk Cleaner (säubert Browser-Caches, Temp-Verzeichnisse, Cookies, etc.),
- EasyCleaner (säubert Windows-Registry, auf Wunsch auch temporäre Dateien u.ä.),
- EasyCleaner Blacklist (Ausnahmen für Registry-Säuberer von EasyCleaner),
- ICSweep (säubert IE-Cache, TEMP-Verzeichnisse aller Anwender),
- RegAlyzer (umfangreicher Editor für die Registrierungsdatenbank)
Malware-Scanner innerhalb c’t-Helper:
- Ad-Aware 2007 Free (Inst., sucht und entfernt Ad- und Spyware),
- Ad-Aware 2007 Malware Definition File (Malware-Sign. für Ad-Aware 2007 Free),
- Avast Virus Cleaner (sucht und entfernt bestimmte Trojaner, Viren und Würmer),
- Catchme Userland Rootkit Detector (sucht und erkennt einfache Rootkits),
- F-Secure Blacklight Rootkit Eliminator (sucht und entfernt Rootkits),
- Gmer (Stickware, sucht und entfernt Rootkits auch auf Offline-System)
- McAfee Stinger (Inst., sucht und entfernt ausgewählte Trojaner, Viren und Würmer),
- McAfee Avert Stinger for W32_Polip (sucht u. entfernt W32/Polip, säubert infiz. Files),
- RootkitRevealer (spürt Rootkits auf von Sysinternals bzw. Microsoft),
- Spybot – S&D (Inst., sucht u. entfernt Ad- sowie Spyware, immunisiert PC),
- Spybot – S&D Detection Updates (Malware-Signaturen für Spybot aus Internet),
- Tool zum Entfernen bösartiger Software (sucht und entfernt Trojaner und Rootkits)
Neben Säuberungstools und Malwarescanner liefert c’t-Helper noch mehrere Analysewerkzeuge. Die Tool-Sammlung ist ein Muss für jeden sysadmin.