Aus gegebenem Anlass:

WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Auch zum Lesen:

http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha

http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24

Und jetzt der urspruengliche Artikel:
(Ich glaube diese Version war Message-ID: <1467.1193.1061130282@news.jors.net>)

---------
> Ich verwende Windows XYZ
> 
> folgendes trat auf

[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]

> Was ist zu Tun?

Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der *einzige* Ratschlag, der dir ernsthaft gegeben werden kann.


Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)

0) Zu Schritten der Beweissicherung befragst du am besten einen
   Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
   (diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
   brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
   externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
   einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.

Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern *immer* auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!

> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?

Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.
 
> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?

Die Antwort auf diese Fragen findest du u.a. dort:

LINKBLOCK

[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
 oder als Kopie auf http://faq.jors.net/linkblock.html ]


!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!

[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]

> 5. Darf ich Outlook überhaupt verwenden?

Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.

-- 

Dank an alle, die dazu beigetragen haben, das dieser Text entstehen konnte.
(Keine Namen, da ich Schussel mit Sicherheit die Haelfte vergessen wuerde...)
EOT
Valid HTML 3.2!