Gute und schlechte Ratgeber
- Details
- Erstellt am Samstag, 19. November 2011 12:08
- Geschrieben von IRON
- Zugriffe: 3964
Viele Anwender sind nicht nur schockiert, wenn sie nach einer Malware-Infektion in einem Hilfe-Forum den Ratschlag erhalten, ihren Computer komplett neuaufzusetzen und alles neu zu installieren, sondern sie lehnen dies sogar oft kategorisch ab oder insistieren, ob es denn keine einfachere und weniger aufwendige Methode gäbe.
Betroffene glauben auch gerne, dass es sich die Helfer mit solch drastischen Ratschlägen leicht machen wollen. Das genaue Gegenteil ist der Fall, denn die Hilfestellungen zum Neuaufsetzen sind meist umfangreicher als die zum Löschen einzelner Dateien.
Der Grund für die Ablehnung ist natürlich klar: Backups und Datenträger zur Systemrettung, wie sie bei der Erstinstallation von Windows vorgeschlagen werden, existieren nicht oder sind beim letzten Umzug vom Hund des Nachbarn gefressen worden. Originale Installations-CDs gibts natürlich auch nicht (mehr) und außerdem weiß kaum jemand, wie er das Ganze machen soll.
Und dann gibts ja dank Google massenhaft Suchergebnisse mit Anleitungen zum einfachen Entfernen - nur funktioniert das immer irgendwie nicht...
Kurz und gut: Keiner will einsehen, dass wegen so einem blöden Trojaner oder Wurm gleich der ganze PC futsch ist und die Platte formatiert werden muss.
Hier nochmal in konzentrierter Form die Gründe, weshalb dies unerlässlich ist.
Sobald eine Malware auf dem System installiert wurde...
- klinkt sie sich in mehrere wichtige Systemprozesse und -programme ein und manipuliert deren Verhalten. So kann sie z.B. die Suchfunktion und die Anzeige von Dateien derart manipulieren, dass ihre eigenen Komponenten nicht aufzufinden sind. [Beispiel TDL-4 Rootkit] [Beispiel Zero Access (engl.)]
- manipuliert oder deaktiviert sie alles, was sie an "Schutzprogrammen" findet. [Beispiel 1] [Beispiel 2] [Beispiel 3]
- verhindert sie den Zugriff auf Systemprogramme wie den Task-Manager oder die Registrierdatenbank, so dass der Anwender praktisch ausgesperrt ist. (siehe BKA-Trojaner) [Beispiel 1] [Beispiel 2]
- lädt sie aus dem Internet weitere Malware nach, die wieder andere Fähigkeiten und Aufgaben hat. [Begriffsdefinition Downloader] [Beispiel 1] [Beispiel 2] [Beispiel 3]
- kann sie die Internetverbindung kontrollieren und z.B. verhindern, dass man die Seiten von Virenscanner-Herstellern aufruft. Ebenso unterbindet sie Windows-Updates oder Aktualisierungen der Virenscanner. [Beispiel]
(All dies ist seit vielen Jahren übliche Praxis und wird kontinuierlich weiterentwickelt und den Besonderheiten neuer Betriebssystem- und Antimalware-Software angepasst.)
Wenn ein Virenscanner z.B. meldet, dass die explorer.exe (oder eine beliebige andere Datei) diesen oder jenen Schädling enthält, dann bringt es nichts, diese Datei von der Platte zu löschen bzw. durch ein Original von der Windos-CD zu ersetzen, denn meist bezieht sich diese Fundmeldung auf die Kopie dieser Datei im ARBEITSSPEICHER. Das heißt, das Löschen oder Ersetzen bleibt im laufenden Betrieb völlig wirkungslos.
Zusätzlich installiert Malware i.d.R. Komponenten, die die Schadsoftware-Hauptkomponenten überwachen und ersetzen, falls sie zufällig gefunden und aus dem Arbeitsspeicher oder von der Festplatte entfernt werden - ob nun manuell oder durch "Schutzprogramme".
Außerdem ändert eine derartige Maßnahme idR. auch nichts an den Ursachen für die Infektion, die meist darin bestehen, dass das System nicht aktuell war und daher mehrere Sicherheitslücken aufweist, die nach wie vor eine neue bzw. weitere Infektion ermöglichen.
Ein weiteres, wenn nicht das Hauptproblem überhaupt, ist der Umstand, dass täglich tausende neue Varianten in Umlauf kommen, so dass kein einziges "Schutzprogramm" eine echte Chance hat, diese zu erkennen.
Schließlich kommt erschwerend noch hinzu, dass eine erfolgreich gestartete/installierte Malware praktisch IMMER weitere Komponenten aus dem Internet nachlädt, die ihrerseits dasselbe tun können und sich sogar automatisch aktualisieren, falls ältere Versionen schon vorhanden sind. Es gibt sogar Malware, die andere (bekannte) Malware deinstalliert, damit der Anwender nicht durch seinen Virenscanner auf diese ältere (od. schlechter programmierte) Malware aufmerksam wird und den Rechner plattmacht. [Beispiel 1] [Beispiel 2] [Beispiel 3]
Schließlich darf nicht vergessen werden, dass ein infizierter Rechner kein lokales Problem des Besitzers ist, sondern auch ein globales, solange er mit dem Internet verbunden wird und so andere Rechner infizieren und mit Spam belästigen kann.
Es hilft alles nichts - ein infiziertes System ist nicht mehr vertrauenswürdig - auch nicht teilweise - und muss zwingend neu aufgesetzt werden - inklusive Überschreiben des Master Boot Records und Formatieren der Festplatte. Wer etwas anderes behauptet, handelt unverantwortlich und wenn er dies öffentlich tut, in meinen Augen sogar kriminell oder zumindest zivilrechtlich relevant.
Bebilderte Anleitungen zum Neuaufsetzen des Systems über eine UBUNTU-Live-CD und das Überschreiben des MBR findet man z.B. im CHIP-Forum.