Virenalarm!

Heute durfte ich das erstmal in meinem Leben einen echten Trojaner in einem laufenden Computersystem bewundern. Meine bisherigen Berührungen mit Schädlingsprogrammen geschränkten sich bis dato auf zu DOS-Zeiten aus Spaß mal aufgesetzte DOS-Viren sowie den Fall einer verseuchten externen Festplatte eines Bekannten – aber ein direkt infiziertes Computersystem hatte ich bisher noch nicht vor der Nase.

Dabei war die Entdeckung dessen reiner Zufall – nur weil ich beim Start des Notebooks eines Bekannten ein DOS-Fenster mit einer sich startenden "svvchost-5.exe" gesehen hatte, kam ich überhaupt auf die Idee, die Sache mal zu kontrollieren. Das in solchen Fällen immer wieder extrem nützliche Tool "msconfig" (einfach diesen Begriff unter Start/Ausführen eingeben, im Zweifelsfall liegt es unter c:\windows\pchealth\helpctr\binaries) zeigte schon eindeutige Hinweise durch mehrere Starts einer "svvchost-5.exe" und einer "svvchost-xx.exe". Beides sind Anspielungen auf die Windows-Datei "svhost.exe", welche ganz regulär im Taskmanager mehrfach auftauchen kann und darf. Die vorgenannten Dateien "svvchost-5.exe" und "svvchost-xx.exe" haben damit natürlich nichts zu tun, denn sie starten nicht aus dem Windows-Systemverzeichnis heraus (c:\windows\system32), sondern wie nachfolgend zu sehen von völlig anderen Orten, unter anderem dem Temp-Verzeichnis, wo autostartende Dateien garantiert nicht hingehören.

MSConfig eines virenbefallenen Systems

Beide Anzeichen zusammen – Mehrfachstart derselben Anwendung und verrückte Startverzeichnisse (vor allem das Temp-Verzeichnis) waren ein eindeutiger Anhaltspunkt für die Existenz eines Schädlingsprogramms auf diesem Computer. Richtig interessant wurde die Sache aber erst dadurch, daß dieser Trojaner den Autostart des Avira-Virenscanners ausgeschaltet und scheinbar auch die in der Windows-Registry liegenden Pfade verändert hatte, so daß selbst ein manuell gestartetes Avira-Update und das manuelle Aktivieren der Autostart-Funktion von Avira nicht mehr möglich war. Selbst nach einem Neustart mit manuell aktiviertem Avira lief der Virenscanner also nicht. Hier hat der Trojaner ganze Arbeit geleistet.

Zur Lösung des Problems wurden zuerst alle suspekten Autostart-Einträge in der MSConfig herausgenommen, zudem wurde auch noch die Windows-Diensteverwaltung (unter Start/Systemsteuerung/Verwaltung/Dienste) auf ebenfalls suspekte Dienste hin kontrolliert. Nach einem Neustart wurde von ein von einem anderen Computer heruntergeladenes und mittels USB-Stick (welcher nachher auf einem Computer ohne automatischen Laufwerksstart blank formatiert wurde) transportiertes Avira-Antivirenprogramm installiert und danach mit einer Komplettprüfung des Systems betraut. Diese fand um die 20 Schädlingsdateien, welche nachfolgend entfernt wurden. Positiverweise war der Hauptspeicher des Systems scheinbar sauber, so daß die vorhergehende Aktion mit der Deaktivierung der suspekten Autostart-Einträge wohl schon erfolgreich gewesen war.

Wirklich vollständig sollte man sich darauf aber nicht verlassen, so daß Morgen noch ein weiterer Durchlauf mit einem alternativen Antivirenprogramm und ein nochmals gründlicher Check der autostartenden Programms mittels Sysinternals Autorun erfolgen wird. Dadurch, daß das Schädlingsprogramm einige Pfade in der Windows-Registry gelöscht hat (damit diverse Sicherheitstools nicht mehr funktionieren oder nicht mehr einfach erreichbar sind), hat diese Windows-Installation aber auch trotz der augenscheinlichen Entfernung des Schädlings einen gewissen Schaden genommen, so daß hier eine totale Neuinstallation anzuraten wäre. Gleichfalls ist das Ändern aller Passwörter (inklusive auch der scheinbar unwichtigen) dringend anzuraten, denn es ist nicht klar, ob von diesem infizierten Computer Daten gestohlen wurden.

Insbesondere die beiden letzten Punkte – anzuratende Neuinstallation und das zwingende Ändern aller Passwörter – sollten jedem klar machen, daß Vireninfektionen nicht auf die leichte Schulter zu nehmen sind, sondern trotz erfolgreicher Bekämpfung im nachhinein noch einiges an Arbeit nach sich ziehen können. Deswegen ist Vorsicht besser als Nachsicht und sollte die eigene Computersicherheit nie auf die leichte Schulter genommen werden.