Aus gegebenem Anlass: WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG, DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST. http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx Auch zum Lesen: http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha http://isc.sans.org/diary.php?date=2004-07-23 http://isc.sans.org/diary.php?date=2004-08-23 http://isc.sans.org/diary.php?date=2004-11-04 http://isc.sans.org/diary.php?date=2004-11-24 Und jetzt der urspruengliche Artikel: --------- > Ich verwende Windows XYZ > > folgendes trat auf [Beschreibung typischer Symptome einer Virus/Wurm-Infektion] > Was ist zu Tun? Dein System ist kompromittiert, d.h. keine einzigen Komponente davon ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren ist der *einzige* Ratschlag, der dir ernsthaft gegeben werden kann. Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU BEACHTEN!) 0) Zu Schritten der Beweissicherung befragst du am besten einen Anwalt, der sich auf sowas spezialisiert hat. Ansonsten: 1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel) 2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk) 3) OS von original-Medien (oder sauberer kopien davon) neu installieren 4) alle vom Hersteller angebotenen Sicherheitspatches einspielen (diese solltest du auf einem sauberen Rechner herunterladen und dauf CD brennen oder als CD vom Hersteller deines OS einfordern) 5) OS gemaess den unten gelisteten URLs sicher konfigurieren 6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf einer CDR) 7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren. Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei allen Herstellern *immer* auch 5 und 6 nachzuziehen (manche Patches machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)! > 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert? Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner (1300 mails outgoing) bereits als "offen" getagged war, ist es sehr wahrscheinlich das neben der Erstinfektion noch weitere Backdoors eingebaut wurden, falls du mal auf die Idee kommst, mit nem Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich. > 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall? > 4. Wie schütze ich mich am besten? Die Antwort auf diese Fragen findest du u.a. dort: LINKBLOCK [Anm.: Der Linkblock liegt online unter http://www.linkblock.de/ oder als Kopie auf http://faq.jors.net/linkblock.html ] !!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!! [Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich sinnvoll (zumindest fuer mich ;) aktuell zu halten] > 5. Darf ich Outlook überhaupt verwenden? Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine offiziel vom Hersteller als "fuer die Virenreplikation entwickelte" Software. -- Dank an alle, die dazu beigetragen haben, das dieser Text entstehen konnte. (Keine Namen, da ich Schussel mit Sicherheit die Haelfte vergessen wuerde...) EOT