Zitat
Original geschrieben von mangeder
Für alle Fälle von Spyware kann man diese empfehlen:
Spybot - Search & Destroy
[...]
Ad-Aware
[...]
HijackThis
[...]
Alles anzeigen
Zu Analysezwecken durchaus - allerdings nicht zur sicheren Entfernung von bereits aktiven Schädlingen auf einem Betriebssystem. Da gilt es entweder, solchen Infektionen bereits im Vorfeld effektiv vorzubeugen oder, für den Falle der Fälle, wenigstens ein sauberes Image für eine recht schnelle Wiederherstellung eines vertrauenswürdigen Zustandes bereitszuhalten.
Zitat
Original geschrieben von Mozart40
Für gängige Malware hat sich das SmitFraudFix bewährt. Herunterladen -> im abgesicherten Modus starten -> Programm starten -> Option 2 wählen -> Zum Schluß die Registryreinigung bejahen.
Diese Empfehlung, zudem ohne weitergehende Hinweise anderer Notwendigkeiten (Ändern der Passwörter, Notwendigkeit des Neuaufsetzens, Prüfen auf Schwachstellen in der verwendeten Software, usw.), ist dem Fragesteller gegenüber verantwortungslos - deswegen, weil er dadurch in dem Glauben belassen wird, auf diesem Wege sei eine sichere "Bereinigung" möglich. Sie ist es jedoch nicht - aus verschiedenen Gründen:
1.) Eine Infektion deutet immer darauf hin, dass eine Schwachstelle bestanden haben muss - entweder in der verwendeten Software, oder aber aufgrund des Nutzerverhaltens. Somit kann nicht ausgeschlossen werden, dass auf diesem Wege nicht nur die eine dann später vom User bemerkte Malware den Weg auf's System fand, sondern auch noch eine oder mehrere andere.
2.) Viele heutzutage verbreitete Schädlinge verfügen über Downloader-Funktionen - zum einen, um weitere (andere) Malware nachzuladen, zum anderen, um sich selbst zu aktualisieren oder "Features" hinzuzufügen. Man darf also auch daher nicht davon ausgehen, dass es mit der vermeintlichen Entfernung des offensichtlichen Schädlings getan sei. Es ist stets damit zu rechnen, dass diese eine Malware nicht die einzige ist.
Außerdem versuchen die Programmierer der Malware durch die permanente Selbstaktualisierung der Schädlinge, die Erkennung durch Virenscanner zu umgehen. Bringen die AV-Labs passende Signaturen heraus, ist längst schon die nächste Variante verbreitet bzw. installiert.
3.) Recht weit verbreitet sind auch sogenannte Trojan-Dropper. Gelangen sie zur Ausführung, entlassen sie nicht selten gleich mehrere Schädlingskomponenten ins System. Die ein oder andere Komponente wird möglicherweise vom Virenscanner erkannt - andere wiederum nicht. Meint man nun, damit sei alles entfernt, immerhin habe der Virenscanner ja eine erfolgreiche Bereinigung gemeldet, so kann dies ein folgenschwerer Trugschluss sein, weil bereits eine nicht erkannte Malware ausreicht, um Dritten im Weiteren den Fernzugriff auf das System zu ermöglichen.
4.) Schädlinge mit Backdoor-Funktion erlauben es Angreifern, aus der Ferne aktiv auf das kompromittierte System zuzugreifen, und somit auch die Installation weiterer (neuer) Malware.
5.) Besonders auffällige Schädlinge, die z.B. PupUps einblenden oder durch wildes Blinken, das unvermittelte Öffnen des Browsers, usw. auf sich aufmerksam machen, können nur der Ablenkung dienen. Während man annimmt, bei den beobachteten Symptomen handele es sich um die Hauptkomponente der Malware, ist es in Wirklichkeit nur eine "Nebenfunktion". Gelingt es dem User, diese Symptome zu beseitigen, nimmt er an, er habe damit das Übel an der Wurzel gepackt. Und auf genau diesen Effekt hofft der Verbreiter der Malware: Er will den User in Sicherheit wiegen, im Hintergrund werkelt jedoch die eigentliche Hauptkomponente der Malware.
6.) Weiterhin zunehmend ist das Auftreten von Verschleierungstechniken - so bleiben z.B. Rootkits oft unerkannt. Es stehen zwar diverse Rootkitscanner zur Verfügung, allerdings erfolgt deren Ausführung oft direkt auf dem kompromittierten System. Somit sind die Prüfprogramme durch die aktive Malware manipulierbar - sie können getäuscht werden. Das gilt im Übrigen nicht nur für Rootkits, es gilt für alle Prüfprogramme, die auf dem zu untersuchenden System zum Einsatz kommen.
7.) Werden ausführbare Dateien auf der Festplatte (z.B. Dateien installierter Programme) von einem polymorphen Schädling infiziert, muss ebenfalls mit erheblichen Erkennungsproblemen durch Virenscanner gerechnet werden, da sich die Malware auf diese Weise im Prinzip ständig neu schreibt. Allenfalls gute Heuristiken bei Malwarescannern können dem etwas entgegensetzen. Dennoch gilt:
8.) Virenscanner (und andere Programme, die zum Zwecke der "Bereinigung" und Wiederherstellung eines vertrauenswürdigen Zustandes eingesetzt werden), hinken den verbreiteten Schädlingen oft weit hinterher. Erst kürzlich hatte ich einen zunächst unterhalb der "Wahrnehmungsschwelle" (u.a. der AV-Labs) vereinzelt ITW aufgetauchten "Banking-Trojaner" vorliegen, der zwar seit April verbreitet ist, bereits Schäden verursachte, von den gängigen Virenscanner jedoch immer noch nicht flächendeckend erkannt wird.
Es ist also nichts weiter als eine Illusion, wenn man glaubt, mit einem Malwarescanner wieder einen vertrauenswürdigen Zustand herstellen zu können, falls bereits eine Infektion vorlag. Das Mittel der Wahl lautet daher stets "Neuaufsetzen" oder "Zurückspielen eines sauberen Images".
Weitere Informationen zu diesem Thema kann man sich z.B. auf den folgenden Seiten beschaffen:
http://malte-wetz.de/index.php?viewPage=sec-removal.html
http://www.microsoft.com/germa…bank/articles/600574.mspx
