![\"virus06\"](\"https:\/\/www.krombusch.de\/wp-content\/uploads\/2013\/03\/virus06.jpg\")
<\/a><\/p>\n<\/p>\n
Wir ben\u00f6tigen die Sch\u00e4dlinge aber nicht zur Beweissicherung und l\u00f6schen sie kurzerhand. USB-Datentr\u00e4ger vom Typ Massenspeicher sind nur \u00dcbertr\u00e4ger: Viel wichtiger ist der Wirt.
\nDer Verdacht f\u00e4llt auf ein Netbook, das betriebsbedingt schon durch mehrere H\u00e4nde gewandert ist. Wenn ein solches Ger\u00e4t eines Virenbefalls verd\u00e4chtigt wird, sollte man es zun\u00e4chst vom Netz trennen und einfach mal laufen lassen.<\/p>\n
Der Systemstart ist unauff\u00e4llig, die Ereignisanzeige zeigt in der Vergangenheit nur vereinzelt dhcp-Fehler. Erstmal nichts Besonderes.\u00a0Auff\u00e4llig hingegen ist, dass sich der Taskmanager nicht aufrufen l\u00e4sst. Der DisableTaskMgr-RegistryKey ist ein typisches Virusanzeichen, allerdings k\u00f6nnte der Aufruf auch vom Admin gesetzt worden sein.<\/p>\n
Ohne gleich die Sysinternals-Armee zu bem\u00fchen, gehen wir mit dem hauseigenen \u201emsconfig\u201c den Systemstart von Windows durch. Hier besteht die gro\u00dfe Kunst der Virendistributoren darin, m\u00f6glichst unauff\u00e4llige, weil vertraut anmutende Eintr\u00e4ge zu erzeugen. Im Bild sieht die rundll32 wesentlich unauff\u00e4lliger aus als bsp. eine \u201e24vdcsx.exe\u201c. Nur, was sucht diese wichtige Windows-Systemdatei denn im %appdata%-Ordner? Darin k\u00f6nnte sie schlie\u00dflich nur vom entsprechenden Benutzer ausgef\u00fchrt werden (das Netbook hat immerhin ein NTFS-Dateisystem).<\/p>\n Der Vergleich auf dem Screenshot zeigt: Die echte rundll32.exe gibt es noch; sie wurde auch von Microsoft signiert. Die Autostart-rundll32 hingegen l\u00e4sst dieses Merkmal einer Windows-Systemdatei vermissen und ist \u00fcberdies noch mit dem hidden-Attribut versehen (Extras–>Ordneroptionen–>Alle Dateien anzeigen\/Systemdateien nicht ausblenden). Mehr als komisch.<\/p>\n Als n\u00e4chstes f\u00e4llt auf, dass das Netbook schon seit einem Jahr von den monatlichen Windows-Updates nichts mehr mitbekommen hat. Und das trotz laufendem Update-Dienst und stabiler Internetverbindung (es gibt gen\u00fcgend tempor\u00e4re Dateien im Browsercache). Sehr ungew\u00f6hnlich, zumal Windows XP erst zum Juni 2014 abgek\u00fcndigt ist. In %WINDIR%\\windowsupdate.log finden sich dazu eher nichtssagende Fehlermeldungen.<\/p>\n Machen wir den USB-Test. Dazu wird ein mit Schreibschutz versehener Stick ans Netbook angesteckt. Windows nimmt dieses Ereignis wahr, findet das Device anhand seiner ID noch nicht und installiert einen Treiber. Soweit alles normal. Weniger normal ist die Reaktion im folgenden Bild; als so besitzergreifend gilt der Messenger nun auch nicht. Ab jetzt sind wir sicher: hier ist ein Sch\u00e4dling aktiv.<\/p>\n <\/p>\n Vor Beseitigungsma\u00dfnahmen ist noch eine Kleinigkeit zu beachten:\u00a0Die Windows-Systemwiederherstellung ist zun\u00e4chst eine n\u00fctzliche Sache, weil man nach Abst\u00fcrzen o.\u00e4. die Systemdateien wiederherstellen kann. Bl\u00f6d ist nur, dass sich dieses Verhalten auch ein Virus zu Nutze machen kann. Der Schlingel w\u00fcrde Prinzip bedingt nach der aufw\u00e4ndigen Entfernung gem\u00fctlich vom Betriebssystem wieder an dieselbe Stelle geschoben. Deshalb m\u00fcssen wir das Feature in diesem Fall ausschalten und damit die vorhandenen Wiederherstellungspunkte l\u00f6schen. Vor dem n\u00e4chsten Windows-Update \/ folgenden Installationen werden wir sie wieder einschalten.<\/p>\n Wir deaktivieren zum Schluss noch die nicht zwingend notwendigen Dienste und starten den Rechner neu (kein abgesicherter Modus). Zuvor haben wir testweise die o.g. rundll32 aus dem Applikationsordner des Benutzers gel\u00f6scht und deren Starteintrag via msconfig entfernt. W\u00e4re der Virus nach dem Neustart aktiv \u2013 was wir testen wollen \u2013 w\u00fcrde er sich an genau dieser Stelle schon wieder bemerkbar machen.<\/span><\/p>\n Einschub: Nach dem Neustart bleibt es ruhig und Windows scheint sich einigerma\u00dfen wohl zu f\u00fchlen. Jetzt ist die Zeit der S\u00e4uberung gekommen. Das klappt systembedingt am besten \u00fcber ein Offline-System; jeder gro\u00dfe Hersteller von Antiviren-Software bietet hierzu eine LiveCD mit aktuellen Definitionen an. Wir entscheiden uns f\u00fcr die Avira-Rescue-CD, aber Tools wie das desinfec’t (fr\u00fcher knoppicilin) von Heise w\u00e4ren aufgrund mehrerer Virenscanner die sicherste (aber auch langwierigste) Wahl. Wir gehen auf Nummer sicher und bem\u00fchen im Anschluss noch ein Live-Windows-System. Hier\u00fcber kann man via BartPE auf die Registry des zu analysierenden Systems zugreifen und m\u00f6gliche \u00dcberbleibsel der Virenattacke sicher entfernen.\u00a0Es folgen Neustart, isolierte Netzanbindung (z.B. \u00fcber einen Smartphone-Hotspot) und Versorgung mit Windows-Updates. Wenn sich das Netbook anst\u00e4ndig verh\u00e4lt, darf es wieder zu seinen Freunden ins Netzwerk.<\/p>\n Aber ist es wirklich sauber? Ein Kollege kann keinen seiner USB-Sticks mehr an den Rechner anst\u00f6pseln. Auch beim Anschluss der Digitalkamera meldet sich der Virenscanner. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-192","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=192"}],"version-history":[{"count":9,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/192\/revisions"}],"predecessor-version":[{"id":1130,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/192\/revisions\/1130"}],"wp:attachment":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n
\nEs ist ein g\u00e4ngiges Prinzip von Viren, gegenseitig aufeinander aufzupassen. Wurde somit ein Unruheherd vom Virenscanner entfernt, so erzeugt ihn der Aufpasser sofort im Anschluss neu. Der L\u00f6sungsweg \u00fcber das vorherige \u201eEinschl\u00e4fern der W\u00e4chter\u201c vor dem L\u00f6schen l\u00f6st so eine Problemstellung auf.<\/p>\n
\nAvira r\u00e4umt ordentlich ab und entfernt den ganzen M\u00fcll. Es handelt sich dabei um Ausw\u00fcchse des Win23\/Sality, dessen Umtriebigkeit hier beschreiben wird: Win32\/Sality<\/a><\/p>\n
\nPhilosophisch und mit einem Blick XP sagen wir mal: Bis auf Weiteres.<\/p>\n","protected":false},"excerpt":{"rendered":"