Anleitung Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
550
#1
Zur Diskussion

Bitte bei Malwareverdacht/-infektion vorerst keine anderen als die unten aufgeführten Programme verwenden, keine voreiligen Löschungen vornehmen und Folgendes beachten:

[size=+1]1. Symptome, Fundmeldungen etc.​
[/size]
Welche Symptome treten auf?
Lassen sich diese auf eine Aktion(Besuch einer Website, Installation eines Programms etc.) zurückführen?
Etwaige Links bitte nicht klickbar posten.

Gibt es Fundmeldungen eines AV-Programms?
Wenn dem so ist, diese bitte exakt zur Verfügung stellen, also z.B.:
Code:
In der Datei 'C:\System Volume Information\_restore{08A3E5BE-4500-4F89-BDB3-EBE26902D848}\RP16\A0010758.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.CodecPack.kzk' [trojan] gefunden.
Welche Aktion(löschen, in Quarantäne stellen etc.) wurde ausgeführt?

[size=+1]2. Analyse mittels FRST​
[/size]
Farbar Recovery Scan Tool(FRST) von Farbar ist ein Programm, um Systeme bei Malwareverdacht/-infektion zu untersuchen und gegebenenfalls zu bereinigen.

Die 64-bit-Version bitte hier http://download.bleepingcomputer.com/farbar/FRST64.exe auf den Desktop herunterladen, die für 32-bit-Systeme hier http://download.bleepingcomputer.com/farbar/FRST.exe.

Nach dem Ausführen im folgenden Fenster



"Ja" und dann



"Scan" anklicken.

Wenn der Suchlauf beendet ist, zweimal bestätigen.



Es erscheinen zwei Logs, FRST.txt und Addition.txt.
Bitte beide Berichte posten/anhängen.

Achtung: das Programm wird mitunter von AV-Lösungen als schädlich eingestuft. Hierbei handelt es sich um Fehlalarme.

[size=+1]3. Persönliche Daten​
[/size]
Wenn sich in den Berichten persönliche Daten wie z.B. C:\Dokumente und Einstellungen\Klaus Schulze befinden, sollten diese durch Asterisken(C:\Dokumente und Einstellungen\***) ersetzt werden.

[size=+1]4. Einsatz von RKill​
[/size]
Es gibt Malware, die das Ausführen von Programmen mit einer Meldung wie z.B. "The file [...] is infected." blockt.
In solchen Fällen bietet sich der Einsatz von RKill(erstellt von Grinler) an.
Das Programm muss mit Adminrechten angewendet werden.

Download-Links:
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.scr

Analysetools wie FRST müssen direkt nach der Anwendung von RKill gestartet werden.

Wenn ein Schädling meldet, dass rkill.* infiziert sei, diese Warnung ignorieren und das Programm nochmals ausführen.
Sollte das auch trotz mehrfacher Anläufe nicht zum gewünschten Erfolg führen, bitte die Anwendung der umbenannten Kopien des Tools versuchen:
http://download.bleepingcomputer.com/grinler/iExplore.exe
http://download.bleepingcomputer.com/grinler/eXplorer.exe

Informationen zu RKill:
http://www.bleepingcomputer.com/forums/topic308364.html

Man beachte, dass es auch hier mitunter zu Fehlalarmen kommt.
 

Anhänge

Zuletzt bearbeitet:
Top