Werkzeuge Virenerkennung
Jeder Computer sollte heutzutage ganz selbstverständlich über einen Virenscanner verfügen, der auch täglich auf den aktuellen Stand gehalten wird. Das gilt vor allem für Computer, die direkt mit dem Internet verbunden sind.
Doch auch auf Virenscanner ist nicht hundertprozentig Verlass, es gibt immer wieder Virenbefall, den der genutzte Virenscanner nicht erkennt. Auch ist es möglich, dass ein Virus den Virenscanner austrickst. Weil Virenscanner und Schadsoftware gleichzeitig auf dem gleichen System laufen kann selbst der beste Virenscanner mitunter nichts dagegen tun, ausgetrickst zu werden.
Abhilfe schafft in solch einem Fall nur eine Strategie: Das eventuell infizierte System darf gar nicht erst gestartet werden. Stattdessen bootet man von einer CD ein Betriebssystem samt Virenscanner und checkt die Festplatten des Computers so auf Virenbefall.
Mittlerweile haben zahlreiche Hersteller von Virenscannern sogenannte Rescue- oder Notfall-CDs zum kostenlosen Download. Man erhält in der Regel ein ISO-Image, also ein Abbild einer CD. Dieses lässt sich mit einem CD-Brennprogramm als Image auf eine CD brennen. Bei Nero z.B. mit Datei > Öffnen. (Ein Image (Abbild) brennen ist etwas anderes, als eine die Datei auf CD zu brennen. Letzteres wäre falsch.) Mit dieser CD kann man dann direkt booten und den Rechner checken. Natürlich muss hierfür der Computer im Bios so eingestellt sein, dass er auch von CD bootet.
Derzeit (7/2010) gibt es von folgenden Herstellern Rescue-CDs:
- Avira Antivir Rescue System
- F-Secure Rescue-CD
- Kaspersky Rescue Disk
- BitDefender Rescue CD
- AVG Rescue CD
- Norton Bootable Recovery Tool
Die Norton Bootable Recovery Tool CD braucht allerdings einen Registrierungsschlüssel, den man nur bekommt, wenn man eine gültige Lizenz für einen Norton Virusscanner hat.
Weiterhin hat die Zeitschrift CD des Heise-Verlages eine CD herausgebracht, auf der mehrere Virenscanner gleichzeitig enthalten sind. Sie nannte sich früher Knoppicillin und heißt neuerdings (2010) Desinfec't. Leider ist diese derzeit nicht Online herunterladbar, sondern befindet sich als Beilage in bestimmten CT-Heften.
Es macht auf jeden Fall Sinn, bei Verdacht mehrere Scanner laufen zu lassen.
Die meisten Rescue-CDs nutzen übrigens Linux als Betriebssystem. Das hat den Vorteil, dass man keine lizenzrechtlichen Probleme hat und man sie kostenlos verteilen kann. Beim Booten von Linux kann es je nach Rechner jedoch zu Problemen kommen, gerade bei neuester Hardware, die nicht richtig erkannt wird. Mitunter hängt dann auch der Bootvorgang. Machen kann man in so einem Fall kaum was.
Achtung!!! Software aus dem Internet nur aus vertraulichen Quellen herunterladen, z.B. aus Archiven von Computerzeitschriften. Es ist nicht selten, dass Programme zu Virenentfernung in Wirklichkeit selbst Schadsoftware ist.
Weitere Software:
- Hijack This - Erkennung von Veränderungen am System und Logfile-Erstellung, um verdächtige Systemkonstellationen zu erkennen.
- gmer - Rootkit Erkennung und Entfernung
- combofix - Scanner & Remover, Logfileerstellung
- Spybot Search&Destroy - Schadsoftware und Systemänderungen erkennen. Läuft permanent im Hintergrund.
Reparatur
Auch wenn man immer wieder Anleitungen findet, wie man ein verseuchtes System reparieren kann - es bleibt ein äußerst riskanter und fehleranfälliger Weg. Bei Millionen von Viren sind viele nicht gut genug erforscht, so dass man nicht wirklich weiß, wo überall der Virus sich einnistet. Somit ist ein sicheres Entfernen oftmals nicht möglich.
Insofern hilft nur, über die Systemwiederherstellung auf einen früheren Stand zurückzugehen, ein altes Festplatten-Image einzuspielen oder das System komplett neu einzurichten.
Achtung!!! Manche Viren nisten sich im Master Boot Record (MBR) ein. Hier nützt es nichts, nur die Systempartition zu restaurieren. Man muss auch den MBR neu schreiben. Das sollte die erste Aktion sein, bevor man einen älteren Stand der Systemplatte wieder einspielt. Über die Windows CD kann man die Recovery/Wiederherstellungs-Konsole starten (Bei der ersten Auswahl "R" drücken). Dort kann man dann den Befehl "fixmbr" eingeben. Auch mit dem Programm MBR Fix ist dies möglich.