Malware, Viren, Würmer und kein Ende

  • Mit Malware (steht für "malicious software") wird die Gesamtheit der unerwünschten, schädlichen und sich selbst verbreitenden Programme oder Codes bezeichnet. Abhängig vom Dateiformat und den verwendeten Infektionsroutinen wird Malware in verschiedene Kategorien eingeordnet. Neben dem Ausdruck "Virus" gibt es Bezeichnungen wie "Wurm" oder "Trojanisches Pferd". Die Grenze zwischen den verschiedenen Schädlingen ist manchmal gar nicht so leicht zu ziehen, manche Schadprogramme sind zugleich Virus, Wurm und/oder ein trojanisches Pferd. Virus, Wurm, Trojanisches Pferd - Was ist das eigentlich?

    • ***** Virus ***** Ein Virus ist ein Programm, das andere Programme "infizieren" kann, indem es sie so modifiziert, dass diese eine möglicherweise mutierte Kopie von dem Programm enthalten. Infiziert bedeutet, dass sich der Virus in die Befehlskette des ursprünglichen Programms einschleust, so dass der Versuch, ein legitimes Programm auszuführen, gleichzeitig oder stattdessen zur Ausführung des Virus führt. Schädigung durch einen Virus: Absichtliche Schäden, zum Beispiel Zerstörung oder Korruption von Dateien. Zufällige Schäden, zum Beispiel Korruption des Systembereichs, was dazu führt, dass das Wirts-System nicht booten kann. Nebensächliche Schäden, die nicht offensichtlich oder schwerwiegend sind, die jedoch auf die Tatsache der Infektion zurückzuführen sind (z. B. verringerte Speicherkapazität, Festplattenkapazität oder Prozessorzyklen). Versuche, die Existenz des Virus zu verstecken, kann außerdem zu bewussten oder zufälligen Beschädigungen führen, wenn die Umgebung manipuliert oder neu konfiguriert wird. Beispiele hierfür sind: Verschwinden von Word-Menüoptionen, die mit dem Vorhanden sein von Makros zu tun haben: Verschlüsselung oder Verschiebung von Systembereichen beispielsweise vom Master Boot Record Manipulation der Windows-Registry Zerstörung oder Korruption eines legitimen Makros während der Installation eines Makrovirus.
    • ***** Wurm ***** Ein Wurm ist ein Programm, welches in der Regel (aber nicht zwingend) ein Virus im Sinne der obigen Definition ist, das sich selbst kopiert und verbreitet, ohne sich an ein Wirts-Programm anzuhängen. Ein Wurm hangelt sich in der Regel über Netzwerkverbindungen von einer Maschine zur nächsten. Die "Absicht" der Würmer ist es, so viele Computer wie möglich innerhalb eines Netzwerks zu befallen. Würmer brauchen, sind sie erst einmal auf den Weg gebracht, kein menschliches Zutun, um sich innerhalb eines Firmennetzwerks oder über das Internet zu verbreiten. Während der "Internet Wurm" im Jahr 1988 es gerade mal auf 6.000 infizierte Systeme brachte, konnte Melissa innerhalb von nur drei Tagen 100.000 Systeme lahmlegen. Die Schäden sind dadurch natürlich ungleich höher als noch vor über 10 Jahren. Sind also die heutigen Würmer moderner und leistungsfähiger als ihre Vorfahren? Im Grunde genommen nicht: Explore Zip hat 1999 eine ähnliche Strategie verwendet wie der "Internet Wurm" 11 Jahre zuvor. Der große Erfolg von Würmern heutzutage ist auf ihre verbesserten "Lebensbedingungen" zurückzuführen. Außerdem hat die Programmierbarkeit von Computern stark zugenommen. Kaum ein fortschrittliches Office-Programm verzichtet noch auf Makros, die der Laie bequem nach Handbuch mit VBS (Visual Basic Script) anfertigen kann. Auch Würmer lassen sich mit dieser einfachen Programmiermethode rasch herstellen. Für den Loveletter dürften das Microsoft-Handbuch, ein Nachmittag und eine ordentliche Portion kriminelle Energie genügt haben, um einen Schaden von geschätzten 2,5 Milliarden Dollar weltweit anzurichten.
    • ***** Trojanisches Pferd ***** Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojanisches Pferd oder kurz Trojaner werden. Trojaner werden oft als Programme bezeichnet, die vorgeben, etwas Nützliches oder Wünschenswertes zu tun (dies vielleicht auch wirklich machen), die jedoch gleichzeitig eine bestimmte Aktion ausführen, die vom Opfer nicht erwartet oder gewünscht wurden. Zu diesen Aktionen gehören beispielsweise das Ausspähen von Passworten oder die totale Zerstörung des Wirts-Systems. Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirts-System Ports (Backdoors) ein, durch die ein Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen. Ein trojanisches Pferd kann sich nur von einem System zum nächsten fortpflanzen, wenn der Benutzer dazu "überredet" werden kann, es zu übertragen. Trojanische Pferde beinhalten keine eigene Infektionsroutine.
    • ***** Scherzviren (Hoaxes) ***** Hoaxes sind keine Viren, sondern Ketten-E-Mails, die vorgeben, vor Viren zu warnen. Typische Kennzeichen eines Scherzvirus sind die Behauptungen, dass der Virus extrem gefährlich ist und es derzeit kein Gegenmittel gibt sowie die Aufforderung, die Warnung an alle Bekannten weiterzuleiten. Gutgläubige Anwender reagieren meistens darauf und senden diese Mails weiter. Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus? Echte Viren werden niemals mit Vorwarnung in den Umlauf gebracht Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder "Virenwarnung" Als Quelle der vermeintlichen Virenwarnung wird gerne eine namhafte Firma genannt, der man eine solche Warnung abnimmt. Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch nie dagewesen formuliert. Was bedeutet das Wort Hoax? Das Wort Hoax leitet sich von Hocus (wie Hocus Pokus) ab. Den Begriff Hoaxes gibt es bereits seit dem 17. Jahrhundert. Es handelt sich hierbei um "trügerische Taten, die vor einem allgemeinen Publikum gespielt werden". Je größer das Publikum (bei den Scherzviren also die Zahl der Empfänger), umso besser. Was jeder zum eigenen Schutz tun kann. Im Web fallen alle Distanzen weg, d.h. der gute Nachbar von nebenan ist genauso weit entfernt wie der böse Kriminelle aus irgend einem entfernten dunklen Umfeld. Ihr geht doch auch nicht alleine und ohne Schutz nachts durch die dunkelsten Ecken von Mombasa (oder jeder anderen Großstadt), oder? Aber genau diese finsteren Elemente, vor denen ihr Euch im realen Leben in Acht nimmt, stehen bei jeder Online-Session direkt vor Eurer Tür. Es ist oftmals erschreckend, wie ahnungslos und gutgläubig viele online gehen, ohne die minimalen Schutzvorkehrungen getroffen zu haben. Die Schreiber von Viren, Würmern und Trojanern werden dabei immer "geschickter". Heutzutage braucht man längst nicht mehr auf einen Mailanhang zu klicken, um einen Virus weiter zu verbreiten. Dass das Öffnen einer Mail in vielen Fällen reicht, kann nahezu täglich in den neuesten Nachrichten der verschiedensten großen Herstellern von Anti-Viren Programmen nachgelesen werden. Es gibt mittlerweile sogar schon Viren, die sich ausbreiten, ohne dass ein Mailprogramm aktiv ist! Es reicht hierfür der Besuch einer entsprechenden Seite im Internet.

    Um die Gefahr von Malware zu minimieren gibt es mehrere Möglichkeiten:

    1. Einsatz eines alternativen Mailprogramms, welches nicht so weit verbreitet ist, wie Outlook bzw. Outlook Express. Da Outlook das meistbenutzte Mailprogramm ist, sind natürlich auch die meisten Mailviren hierauf "abgestimmt". Eine kostenlose Alternative für den Hausgebrauch ist zum Beispiel das englischsprachige "Pegasus-Mail". Zu beziehen unter http://www.pmail.com.

    2. Wenn man meint, unbedingt auf Outlook (auch Outlook Express) angewiesen zu sein, sollte man zumindest die automatische Vorschau deaktivieren. Diese automatische Vorschau ist technisch gesehen identisch mit dem Öffnen einer Email! Das Deaktivieren der automatischen Vorschau geht unter Outlook (ab Office 97) folgendermaßen: Im Bereich Posteingang geht man auf Ansicht. Dort gibt es je einen Button namens Vorschaufenster und Autovorschau. Je nach dem, wie die bisherige Einstellung ist, verändert man diese durch anklicken auf den jeweils anderen Wert. Diese Einstellungen sind auch für ggf. weitere vorhandene Verzeichnisse (insbesondere Gelöschte Objekte) vorzunehmen. Bei Outlook Express muss unter Ansicht => Layout das "Häkchen" für Vorschaufenster anzeigen entfernt werden.

    3. Pflege der Internet-Anwendungen! Dazu gehört alles, was mit dem Internet Kontakt aufnimmt, also Webbrowser, Email-Programm, Chat-Programm, Messenger, etc. und auch das Betriebssystem (Windows 9x/Me/NT/2000/XP, MacOS, Linux, etc). Regelmäßige Anfrage (mindestens einmal im Monat) auf den Internetseiten der Hersteller dieser Programme, ob es irgendwelche Sicherheitslücken gibt und ggf. Installation der angebotenen Sicherheits-Updates. Es gibt Viren, die diese Sicherheitslücken zum Angriff nutzen, und nicht alle Arten von Viren (insbesondere neue Varianten) werden vom Virenscanner erkannt! Es empfiehlt sich natürlich auch, möglichst die neusten Programmversionen zu verwenden, da bei denen die meisten Sicherheitslücken schon geschlossen sind. Updates und Patches für den Microsoft Internet-Explorer Auf dieser englischsprachigen Seite gibt es diverse Updates und Patches, je nach Browserversion. Mit den Patches für die Browserversionen wird jeweils auch die entsprechende Version von Outlook Express gepatcht. Updates für die Office-Produkte Unter anderem auch für Microsoft Outlook (Outlook Express wird zusammen mit der jeweiligen Webbrowser-Version aktualisiert).

    4. Größtmögliche Sicherheit bei den Internet-Anwendungen konfigurieren! In der Vergangenheit ist es oft so gewesen, dass diese Programme in Ihrer Standardeinstellung alles erlaubt haben (z.B. das Ablaufen von Skripten in MS Outlook). Glücklicherweise findet hier jetzt allmählich ein Umdenken bei den Herstellern statt.

    5. Wechsel des Browsers! Was im Bereich Mail für Outlook gilt, gilt entsprechend auch für den Internet-Browser. Der Internet-Explorer von Microsoft ist mit Abstand am weitesten verbreitet und schon deswegen beliebtestes Ziel für Angreifer. Besondere "Schwachstellen" können bei falscher Konfiguration die ActiveX-Komponenten sein (eine von Microsoft als Alternative zu Java-Applets eingeführte Technologie, die interaktive Inhalte auf Webseiten ermöglicht. Der Browser lädt ActiveX-Programmteile vom Server herunter und führt sie auf dem PC des Benutzers aus). Folgende Browser kommen beispielsweise ohne ActiveX-Komponenten daher: http://www.mozilla.org - Mozilla (englisch) http://www.mozilla.kairo.at - Mozilla (deutsch) http://www.mozilla.org/projects/firebird Firebird (englisch) - http://www.firebird-browser.de - Firebird (deutsch) - http://www.opera.com - Opera

    6. Wer sich heute ins Internet begibt oder Mails empfängt und versendet handelt schon fast fahrlässig, wenn er keinen Virenscanner auf seinem Rechner installiert. Einen für den privaten Gebrauch kostenlosen Virenscanner gibt es beispielsweise bei .Wichtig ist hierbei dann aber auch, dass die Virendefinitionsdateien regelmäßig und in kurzen Intervallen aktualisiert werden. In der Regel stellen die Anbieter mindestens einmal wöchentlich ein Update zur Verfügung.

    7. Bei jeder Mail kritisch Absender (insbesondere auch dessen Schreibweise) und Betreffzeile anschauen. Dies gilt in der Zeit der "selbstverteilenden Viren" auch und gerade für Mails, die man von scheinbar vertrauenswürdiger Quelle empfängt. Z. B., wenn ein deutscher Mailkontakt mit einer englischsprachigen Betreffzeile beginnt, oder wenn von internationalen Kontakten Mails empfangen werden, die z. B. (natürlich in englisch) auffordern, diese Mail unbedingt sofort zu öffnen... Mails, die eine leere Betreffzeile oder hier lediglich ein "RE: " beinhalten bedürfen ebenfalls einer besonders kritischen Prüfung. Diese Vorsichtsmaßnahme verlangt viel Geduld vom Anwender. Schnell klickt man sich durch die Mails, vielleicht weil man es eilig hat oder keine Gefährdung erwartet. Aber gerade dieser Punkt ist so unheimlich wichtig und würde bei größerer Beachtung eine Vielzahl von Virenproblemen gar nicht erst so große Ausmaße annehmen lassen.

    8. Abgehangene Text-Dateien im Rich-Text-Format anstatt im DOC-Format senden, da DOC-Dateien Viren enthalten können. Vorsicht bei nicht angeforderten Exe-Dateien, Dokumenten, Tabellen etc. Solche Dateien auf keinen Fall starten, herunterladen oder weiterleiten. Sämtliche Dateien, die auf Ihrem PC gestartet werden, sollten zunächst auf Viren überprüft und ggf. anschließend freigegeben werden. Sämtliche E-Mails, die nicht erwartet werden, mit Vorsicht behandeln, auch wenn Sie (scheinbar) von einem Bekannten stammen. Keine Dateien öffnen, die eine doppelte Erweiterung haben (z. B. iamavirus.txt.vbs). Nichts spricht für den Erhalt oder die Verwendung solcher Dateien. Vorsicht beim Herunterladen von ausführbaren Dateien (z.B. *.exe, *.bat, ...) aus dem Internet. Mit solchen Dateien werden gerne Computerviren verbreitet. Obwohl JPG-, GIF- und MP3-Dateien nicht mit einem Virus infiziert werden können, können sich Viren als solche Dateien tarnen. Daher sollten Witze, Bilder, Grafiken, Bildschirmschoner und Filme mit derselben Vorsicht behandelt werden wie andere Dateitypen. Windows Scripting Host deaktivieren, wenn es nicht wirklich benötigt wird.

    9. Um die Verbreitung von "selbst verteilenden Viren" einzudämmen, sollte man nach Möglichkeit keine Mailadressen im Windows-Adresssbuch speichern! Diese Funktion ist für den Virus mindestens genauso bequem, wie für den Benutzer. Auch er kann die Einträge oftmals für eine möglichst "breite Streuung" nutzen.

    10. Es gibt Möglichkeiten, testen zu lassen, wie zugänglich ein PC während der Online-Zeit von Dritten ist: Der Datenschutzbeauftragte des Kantons Zürich, Schweiz führt zum Beispiel eine solche Browserdiagnose durch, die man bedenkenlos machen sollte. Nachdem sorgfältig lesend alle Punkte durchgegangen sind, surft man noch ein bisschen weiter. (Völlig ungefährlich und seriös, diese Datenschutz-Seite!). Nach Abschluss der Diagnose erhält man dann einen Report.

    11. 99 Prozent aller Malware verbreitet sich heute über das Internet bzw. via Email. Das verbleibende eine Prozent sollte man aber deshalb nicht außer Acht lassen. Bei der Benutzung von austauschbaren Datenträgern (Diskette, CD-ROM, DVD-ROM, ZIP-Drive, ...) gilt nach wie vor ebenfalls besondere Vorsicht! Diese Hinweise erheben keinen Anspruch auf Vollständigkeit oder Richtigkeit, sie sind auch kein "Allheilmittel" und richten sich in erster Linie an Internet-Anfänger. Sie helfen jedoch mögliche Gefahren von Malware zu verringern. Aber eines sollte immer klar sein: Einen hundertprozentigen Schutz hat nur der, der keinen Computer hat! In letzter Zeit gibt es aber auch andere Formen aggressiver Malware, Spyware und Adware. Spyware ist Software, die ohne Nachfragen Informationen (Passwörter, Bankverbindung, Kreditkartennummern...), die Dir bzw. Deinem Computer zugeordnet werden können, an eine Datenbank im Internet überträgt. Spyware ist üblicherweise nicht die Software, die man bewusst selbst installiert, sondern sie wird als Zugabe mitinstalliert. Man findet Spyware oft bei Programmen, die man sich kostenlos aus dem Internet herunterladen, bzw. von Computerzeitschriften installieren kann. In manchen, aber längst nicht in allen Fällen, lassen sich diese Zugaben während der Installation deaktivieren. Oftmals steht irgendwo in den Nutzungsbedingungen etwas davon, dass persönliche Daten übertragen werden, aber die meisten Benutzer lesen diese Nutzungsbedingungen wohl nicht bis zum Ende und wissen daher gar nicht, dass Spyware auf ihrem Computer vorhanden ist. Eine weniger bedrohliche Sorte ist Adware. Adware ist der Spyware ziemlich ähnlich, überträgt aber keine persönliche Informationen oder verspricht zumindest, diese nicht zu verkaufen oder weiterzugeben. Adware ist oft ein Nebeneffekt von Spyware, weil beides den gleichen Zweck verfolgt. Dein Surf-Verhalten zu beobachten und auf dich persönlich abgestimmte Werbung einzublenden. Die beiden wohl bekanntesten kostenlosen deutschsprachigen Programme zur Bekämpfung bzw. Entfernung von Spy- und Adware sind: http://www.lavasoft.de - Ad-Aware von Lavasoft und http://www.patrick.kolla.de - Spybot Search &.Destroi von Patrick M. Kolla Achtung: Einige Programme, die Spy- und/oder Adware mit sich bringen können nach Entfernung der Spionage-Dateien unter Umständen nicht mehr gestartet werden bzw. funktionieren nicht mehr richtig. ---> Unser aktuellster Schädling : Netzwerk-Wurm Sasser ! Maßnahmen zu Schutz und Entfernung :......... Seit der Nacht vom 30.04. zum 01.05. verbreitet sich der Windows Netzwerkwurm Sasser zunehmend stark. Er ist inzwischen in den vier Varianten a bis d im Umlauf (Stand: 03.05., 20 Uhr). Betroffene Systeme: Windows 2000, Windows XP, Windows Server 2003 Nicht betroffen: Windows 95, Windows 98, Windows ME, Windows NT 4.0 A.) Symptome: a.) Bei allen Varianten: Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird! Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung". Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden". Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten. b.) Unterschiedlich, je nach Wurmvariante: Sasser.a Folgende Dateien werden erzeugt: avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP); xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht; win.log im Rootverzeichnis (C:), also C:win.log; In die Registry erfolgt dieser Eintrag: Pfad zur avserve.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Sasser.b Folgende Dateien werden erzeugt: avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP); xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht; win2.log im Rootverzeichnis (C:), also C:win2.log; In die Registry erfolgt dieser Eintrag: Pfad zur avserve2.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Sasser.c Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant. Sasser.d Folgende Dateien werden erzeugt: skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP); win2.log im Rootverzeichnis (C:), also C:win2.log; xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht; In die Registry erfolgt dieser Eintrag:Pfad zur skynetave.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun B.) Ursache: Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese http://www.microsoft.com/germa…etin/bulletinms04-011.htm Sicherheitsupdates von Mitte April 2004 nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei! Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurm-typische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis. Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP: http://www.pits-security.de/Windows2000-KB835732-x86-DEU.EXE Patch für Windows 2000 http://www.pits-security.de/WindowsXP-KB835732-x86-DEU.EXE Patch für Windows XP C.) Vorgehen beim Auftreten der Symptome: 1.) Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken. 2.) Den passenden Patch für das Betriebssystem laden (siehe oben). http://download.nai.com/products/mcafee-avert/stinger.exe 3.) Dieses Entfernungstool von NAI (für Sasser.a, .b und .c, oder SASSGUI) http://www.sophos.com/support/cleaners/sassgui.com oder von Sophos für Sasser.a, .b und .d laden. 4.) Die Internetverbindung beenden. 5.) Das Entfernungstool ausführen (dazu die Datei stinger.exe bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware! 6.) Windows im abgesicherten Modus neu starten. 7.) Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000. 8.) Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, win.log bzw. win2.log sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen. Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen. Falls sich avserve.exe, avserve2.exe oder skynetave.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen. 9.) Die Registry-Einträge unter HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun, die auf avserve.exe, avserve2.exe oder skynetave.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z. B. mit http://hjt.klaffke.de/ HijackThis komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt. 10.) Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren. 11.) Windows neu starten. 12.) Dienste sicher konfigurieren gemäß href="http://www.ntsvcfg.de Anleitung, http://www.ntsvcfg.de/#_download wobei ein Script zur Verfügung steht, welches einen Großteil der Konfigurationsarbeit übernimmt - der Rest muss von Hand erledigt werden. Wie das geht, ist auf der Seite erläutert. http://windowsupdate.microsoft.com 13.) Ins Internet einwählen und sofort Windowsupdate.microsoft aufsuchen, um alle weiteren aktuellen Patches zu installieren. D.) Wichtige Hinweise: Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet. Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann. Allerdings müssen dann vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches - http://www.ntsvcfg.de - Konfigurieren der Dienste. Des Weiteren ist im Allgemeinen das stete Aktuell halten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss für jeden Internetnutzer. Alle 14 Tage sollte z. B. über einen Besuch der Seite http://windowsupdate.microsoft.com (siehe oben) geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Update-Möglichkeiten: Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender großer Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen werden). Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.

  • ich habe norton antivirus 2004 auf meinen rechner und seit gestern kann ich keine live ubdates ziehen und ihn auch net aktuallidieren!!!!
    wenn ich den vieren scann durch laufen lasse findet er 2 vieren
    ( bezeichnung : - Datainame : ?????????? Name der Betrohung : Bloodhound.W32.EP - Dateiname : 2B8B7280BE794BDFA64812029EF36FA6 name der Betrohung : Bloodhound.W32.EP )!!!!!er issoliert sie erst und dann löcht er sie,aber in wirklichkeit lassen sie sich nicht löchen und bleiben vorhanden!!!!
    habe mir jetzt ein neues gekauft und das lässt sich nicht installieren weil angeblich etwas in der Basic datei geändert wurde (antivirus)!!!was kann ich machen um sie runder zu bekommen und ein neues vieren programm drauf zu bekommen ohne das ich windows und den ganzen rechner neu machen muss!!!????
    Bitte um Antwort weis selber net mehr weiter!!!



    MFG Death

  • @ Death:


    Zitat

    was kann ich machen um sie runder zu bekommen und ein neues vieren programm drauf zu bekommen ohne das ich windows und den ganzen rechner neu machen muss!!!????


    Deine Anfrage ins Forum stellen!



    @ Maximillian:


    ja kann man. Wie wird dir hier aber keiner sagen.


    MfG,
    Mario Kramer
    Redaktion