Virenbefallenes Windows noch zu retten?
Aus gegebenem Anlass:
WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
Auch zum Lesen:
http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha
http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24
Und jetzt der urspruengliche Artikel:
---------
> Ich verwende Windows XYZ
>
> folgendes trat auf
[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]
> Was ist zu Tun?
Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der einzige Ratschlag, der dir ernsthaft gegeben werden kann.
Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)
0) Zu Schritten der Beweissicherung befragst du am besten einen
Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
(diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.
Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern immer auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!
> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?
Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.
> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?
Die Antwort auf diese Fragen findest du u.a. dort:
LINKBLOCK
[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
oder als Kopie auf http://faq.jors.net/linkblock.html ]
!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!
[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]
> 5. Darf ich Outlook überhaupt verwenden?
Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.
Quelle
WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
Auch zum Lesen:
http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha
http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24
Und jetzt der urspruengliche Artikel:
---------
> Ich verwende Windows XYZ
>
> folgendes trat auf
[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]
> Was ist zu Tun?
Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der einzige Ratschlag, der dir ernsthaft gegeben werden kann.
Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)
0) Zu Schritten der Beweissicherung befragst du am besten einen
Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
(diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.
Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern immer auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!
> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?
Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.
> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?
Die Antwort auf diese Fragen findest du u.a. dort:
LINKBLOCK
[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
oder als Kopie auf http://faq.jors.net/linkblock.html ]
!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!
[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]
> 5. Darf ich Outlook überhaupt verwenden?
Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.
Quelle
Trackbacks
No Trackbacks
Comments
Display comments as Linear | Threaded