ComSafe - Systemüberprüfung auf versteckte Schädlinge

Systemüberprüfung

Achtung: Die auf dieser Seite vorgeschlagene Vorgehensweise hat sich in den meisten Fällen als vernünftig erwiesen. Es kann jedoch Computer-Attacken geben, bei denen es sich empfiehlt anders vorzugehen. Wenn Sie Informationen über die Art der Schädigung besitzen (Meldung der Antivirensoftware o. ä.), dann sollten Sie diese Information über eine sichere Internetverbindung (also nicht auf dem infizierten System) in eine Internet Suchmaschine eingeben, um nähere Information über Art der Schädigung und die weitere Vorgehensweise zu erhalten.

Nachdem Sie die Beseitigung der Viren, Würmer, Trojaner und Hijacker erfolgreich durchgeführt haben, sollten Sie Ihr System überprüfen. Nicht immer werden alle Schädlinge erkannt und vollständig beseitigt.

Systemüberprüfung mit HijackThis
Ein sehr effektives Programm zur Untersuchung des Computers auf versteckte Schädlinge ist HijackThis.

HijackThis

Laden Sie sich die neueste Version von HijackThis aus dem Internet.
Die gespeicherte Datei müssen Sie entzippen (Windows XP: rechte Maustaste -> Alle extrahieren).
Führen Sie das Programm aus (es muss nicht installiert werden). Wählen Sie Scan, und nach erfolgreicher Untersuchung Save log, speichern Sie die Log-Datei.
Die gespeicherte Log-Datei öffnet sich automatisch im Text-Editor. Markieren Sie alles (Tastenkombination Strg und A und kopieren Sie es (Strg + C).
Rufen Sie Ihren Browser auf und gehen Sie zur Seite http://www.hijackthis.de. Fügen Sie die kopierte Log-Datei in die vorgesehene Textbox (Strg + V) und drücken Sie den Button Auswerten.
Interessant in der Auswertung ist die Spalte Art (Gut, Böse, Unbekannt). Sollten hier "?" oder "!" vorkommen, können Sie das Ergebnis als Beitrag im Supportforum veröffentlichen. Dazu müssen Sie sich vorher anmelden - Fantasiename, Kennwort und (reale) Emailadresse reichen aus. Im Forum bekommen Sie Hilfestellungen zu Ihren einzelnen Einträgen.
Mit dem Button "Fix checked" werden im Programm markierte Einträge gelöscht. Seien Sie vorsichtig mit dem Deaktivieren, es könnte sich um harmlose aber für das fehlerfreie Arbeiten des Computers notwendige Einträge handeln. Vergewissern Sie sich vorher im Forum und lesen Sie die Hinweise im Programm (Button "Info on selected item...").

Download Programm Hijackthis

Systemüberprüfung mit MSConfig
Nach erfolgreicher Desinfektion können Sie die Starteinträge Ihres Systems überprüfen.

MSConfig

Programme und Dienste, und damit auch einige (wenn auch beileibe nicht alle) Schädlinge, die beim Starten des Betriebssystems automatisch geladen werden, lassen sich relativ einfach über das Hilfsprogramm MSConfig prüfen und gegebenenfalls deaktivieren oder löschen. Aufruf von MSConfig über Start -> Ausführen -> msconfig.
	Über den Reiter Systemstart gelangen Sie zu den Einstellungen für den Start des Betriebssystems.
	Die Einstellungen lassen sich einzeln durch Löschen des Häkchens deaktivieren. Im Systemstartverzeichnis sollten Sie den Virenscanner (im Beispiel das Programm kav des Kaspersky Antivirenprogramms) nicht deaktivieren - Sie verlieren sonst den Antivirenschutz!
	Unter dem Reiter Dienste finden Sie alle beim Systemstart auszuführenden Diensten. Die Microsoft-Dienste sollten Sie möglichst unverändert lassen, da sonst eventuell das Betriebssystem nicht lauffähig ist! Setzen Sie zuerst ein Häkchen bei Alle Microsoft-Dienste ausblenden. Die übrig gebliebenen Programme können Sie einzeln deaktivieren, Virenscanner (wie im Beispiel das Security Paket von F-Secure) sollten Sie nicht deaktivieren! Eventuell müssen Sie mit verschiedenen Einstellungen experimentieren, um potentielle Schädlinge zu erkennen. Sollten Sie unsicher sein, geben Sie den Namen eines suspekten Dienstes in eine Suchmaschine ein, und lesen Sie sich die Kommentare im Internet zu diesem Eintrag durch.

Abgesicherter Modus

Da sich einige Schädlinge sehr renitent verhalten und sich trotz aller Bemühungen nicht vollständig vom Computer entfernen lassen, empfehlen wir, die auf dieser Seite beschriebenen Überprüfungen und eventuell einen Virenscan im abgesicherten Modus des Betriebssystems zu starten.

Dazu müssen Sie den Computer neu booten und beim Neustart des Betriebssystems die Taste "F8" drücken.

Überprüfung mit einem sicheren System

Eine sichere Methode Neuinfektionen des Computers zu vermeiden, ist die Verwendung eines sicheren Prüfsystems. Hierzu wird von einem nichtbeschreibbaren Medium (CD oder DVD) ein sauberes Betriebssystem gebootet und von diesem System aus die Überprüfung der Festplattenlaufwerke des geschädigten Rechners vorgenommen. Einige Hersteller von Antivirenprogrammen bieten solche CDs als "Emergency Recovery Boot Disk" an. Ebenso wie bei der Datensicherheits-CD der Zeitschrift c´t, kommt hier in der Regel das Betriebssystem LINUX oder ein Derivat (z. B. Knoppix) zum Einsatz. Vor dem Scanvorgang müssen allerdings erst die neuestens Updates aus dem Internet heruntergeladen werden. Downloadlinks finden Sie hier.