Da schreibt mir doch jshong mal endlich wieder an meine webmaster-Adresse und will wohl unseren Kontakt aufbessern. Hm, jshong. Woher kenn ich den nur? War das Josef Stefan Hong? Oder Jupp Shong? Mist, mein Namensgedächtnis war auch schon mal besser.

Virus_mal_wieder

Klasse: Zwei Anhänge, einmal RAR-komprimiert und einmal als Zip. damit man auf jeden Fall irgendwie die Datei geöffnet kriegt. Ein Fuchs, der Absender.

Das Image, dass möchte ich natürlich gerne mal „nackt“ sehen und lade die Zip bei Jotti hoch.

Virus_erschreckend

Erschreckend oder? Gerade mal ein einziger Scanner findet die Dateiverschlüsselung „suspicious“.

Bei Virustotal waren es wenigstens 3 aus 49 und meine positive Meinung über malwarebytes wird einmal mehr bestätigt. Die anderen Scanner kenne ich allerdings auch nicht.

Virustotal_Malware

Ich hab es zwei Stunden später bei Virustotal noch einmal probiert, diesmal waren es dann 5 Scanner, darunter „Sophos“, den Namen kenne ich natürlich auch.

Predigt zum sicheren Surfen im Netz:

  • Halten Sie Ihr Betriebssystem aktuell
  • Halten Sie Ihre SIcherheitssoftware aktuell
  • Halten Sie sämtliche Programme aktuell
  • Halten Sie auch die Erweiterungen sämtlicher Programme aktuell, also die Plugins Ihres Browsers zum Beispiel.
  • Deinstallieren Sie alles, was Sie nicht an Software benötigen. In der Systemsteuerung (Programme) finden Sie meist die Information, wann das Programm zuletzt verwendet wurde
  • Ein aktueller Virenscanner ist Pflicht, auch für Macs und auch für Sm@rtphones
  • Aktivieren Sie Ihre Firewall.
  • Nutzen Sie ausschließlich seriöse Internetseiten, wenn Sie mit dem gleichen Computer auch Onlinebanking und andere private Dinge machen. Nutzen Sie nur legale Quellen für Software. Wer sich in Gefahr begibt…
  • Beim geringsten Verdacht: Prüfen Sie, ob alles in Ordnung ist!
  • Halten Sie die Peripherie aktuell, denn auch Router, Drucker, SAT-Receiver und Fernseher können Viren haben und gehackt werden, siehe auch:
    Golem: Botnetz infiziert Kühlschrank
  • Seien Sie misstrauisch: Fürs Onlinebanking oder -Shoppen benötigen Sie keine Erweiterungen und auch keine Updates. Fragen Sie ggf. bei Ihrer Bank nach.
  • Nutzen Sie exotische Programme: Exoten haben auch Sicherheitslücken, aber Betrüger nutzen diese nicht so häufig aus! Häufig sind diese auch noch günstiger und ressourcen-schonender. klassische Beispiele: Office Pakete und PDF-Reader
  • Informieren Sie sich regelmäßig über Updates und deinstallieren Sie Programme, die keine Updates mehr erhalten.

aufklappen: Situationsbeschreibung
Die „Effekte“, das Erscheinungsbild einer Schadsoftware sind vielfältig. Es kann zu simplen Darstellungsfehlern kommen, weiße Seiten oder fehlende Inhalte beim Browserbanking, Formulare können nicht abgeschickt werden, Anmeldungen funktionieren nicht, die Verbindung scheint langsam oder auch beim Banking mit einer Zahlungsverkehrssoftware ist die Datenübertragung (sporadisch) gestört bzw. Updates funktionieren nicht mehr.

Was ich daher immer zusätzlich und empfehle, wenn Störungen oder „Außergewöhnliches“ auftreten: Eine Prüfung mit einem zusätzlichen Scanner. Eine Infektion mit einem „Banktrojaner“ ist zwar unwahrscheinlich, dafür sind die Folgen aber umso unangenehmer und auch harmlosere Werbesoftware kann gewaltig stören.

Durch die letzte Viren/Spamwelle ist die „Trefferquote“ leider sehr hoch, sehr viele Windows-Rechner sind aktuell von Schadsoftware infiziert.

aufklappen: zum Verständnis
Ein installierter und vermeintlich aktueller Virenscanner kann „unterwandert“ werden und funktioniert dann nicht mehr wie vorgesehen. Denn auch die beste Sicherheitssoftware kann nur Schadsoftware identifizieren, die sie erkennt oder deren Arbeits-Methode bekannt ist. Siehe >>>hier <<< . Kommt es zu einer Infektion, kann ein VIrenscanner sogar von der Schadsoftware gezielt angegriffen und deaktiviert werden. Wer also glaubt, er habe doch einen teuren Virenscanner, was könne da schon passieren, der irrt.

Ich werde dazu sicherlich noch mehr ergänzen und/oder hier verlinken. Nun vorab hier in Kürze eine kleine Liste von Sicherheitsprogrammen für Windows zur zusätzlichen Prüfung neben dem bereits installierten Virenscanner. Beachten Sie bitte jeweils die Lizenzbedingungen der einzelnen Produkte.

Aktuell empfiehlt T-Online zur Diagnose den Malwarescanner von
Malwarebytes.org. Sie finden dort im Downloadbereich den Eintrag „Chameleon“, das als Zip-Datei für Schadsoftware unverfänglicher ist. Die Lösungen wurden auch von vielen Kundinnen und Kunden erschreckend erfolgreich getestet und „beißt“ sich nicht mit den üblichen Virenscannern. Nach dem erfolgreichen Durchlauf sollten Sie das Programm deinstallieren.

Den freien Browserschutz Malwarebytes Anti-Rootkit sollten Sie installieren, wenn Ihr installiertes Sicherheitspaket keinen Browserschutz bietet. Dies ist häufig bei den freien Antivirus-Lösungen der Fall. Gerade die beliebte Antivir-Software (roter Regenschirm) ergänzt sich mit dem Anti-Rootkit sehr gut.

Andere zusätzliche Prüfprogramme:

Autostart-Prüfung mit Autoruns von Sysinternals (Microsoft): Prüft seit Version 13 gegen die Virustotal-Datenbank. (05.02.15)
Safetyscanner von Microsoft: Ein Programm vom Hersteller des Betriebssystems. Der Ruf der Microsoft-Tools war früher nicht der allerbeste, aber Microsoft konnte einiges an Boden gut machen.

Eset online scanner: Scannt auf Anforderung, direkt per Klick und einfach zu bedienen.

Emsisoft: Deren Tools wurden mir gestern noch einmal empfohlen. Speziell das Emergency Kit, scheint mir eine spanndende Sache zu sein. Das Kit kann auf einem USB-Stick entpackt werden und das Anti-Malware Tool ist auch für den normalen Anwender verwendbar, während einige der anderen Programme eher für Fortgeschrittene geeignet sind. (21.09.2014)

Super Antispyware habe ich selbst noch nicht getestet, macht aber einen bedienbaren Eindruck. (21.09.2014)

Die Hitman-Tools von surfright kenne ich dagegen schon länger und kann es auch empfehlen, wenn man etwas Englisch kann. (21.09.2014)

zusätzlich Rootkitscanner gmer (eher für Fortgeschrittene): Ein sogenannter “Rootkitscanner”, der das Windowssystem auf Manipulationen untersucht.

aufklappen: Online Tests
https://www.check-and-secure.com/start/
ist der Onlinescan von https://www.botfrei.de
Mit den Tools habe ich kaum Erfahrung, die das System im weiteren Verlauf installieren möchte. Die Seite ist aber seriös und bietet viele hervorragende deutsprachige Informationen zum Thema Trojaner & Co.

Etwas gefunden? Keine Panik!
Es gibt viele Falschmeldungen und auch häufig Funde von bereits erkannten Schadprogrammen, die nicht mehr aktiv sind. Schauen Sie erstmal genau hin, was entdeckt wurde und in welchem Dateipfad. Häufig findet Tool A die Dateien im Quarantäneordner von Tool B. Suchen Sie im Netz nach den gefundenen Begriffen und bewerten Sie diese. Bedenken Sie: Die Hersteller von Antivirus-Programmen leben davon, Programme zu verkaufen und neigen dazu, zu „dramatisieren“.

Wichtig: Wenn Sie sich selbst unsicher fühlen, fragen Sie bitte immer einen Fachmenschen. Ändern Sie ggf. Ihre Passwörter an einem anderen Rechner, das kann eh nie schaden.

letzte Änderungen:
08.07.2022

Wenn Seiten nicht „sauber“ aufgebaut werden, kann dies mehrere Ursachen haben.


erste Maßnahme:
Zuerst sollte man den Zwischenspeicher des Browsers, den sogenannten Cache löschen, damit alle Darstellungselemente und Bestandteile der Bankseiten noch einmal vom Server neu geladen werden. Dazu mehr >>> hier <<<.


Passiert „ungewöhnliches“?
Wenn Sie z.B. eine Abfrage von Daten erleben, die die Bank eigentlich haben sollte, dann sollte zur Sicherheit unbedingt eine separate Sicherheitsüberprüfung  gestartet werden oder fragen Sie zur Sicherheit Ihre Bank. Geben Sie auch niemals eine TAN ein, wenn Ihnen der Sinn nicht klar ist und prüfen Sie dazu immer die Anzeige im TAN-Gerät. Ist der Browser unter fremder Kontrolle, kann Ihre Browseranzeige beliebig manipuliert werden! Lesen Sie >>> hier mehr <<<.

Mit mobilem Browser unterwegs?
Läuft der Browser am normalen Computer als „mobiler“ Browser, dann werden viele Seiten im Design anders dargestellt, weil das Banksystem „glaubt“, es wäre jemand mit einem Mobilgerät online.  Schalten Sie den Modus ab.

Richtige Ausgangsseite?
Rufen Sie das Onlinebanking von der offiziellen Bankseite auf und nicht aus den eigenen Lesezeichen. Nutzen Sie auch nicht den Link eines Suchdienstes zum Einstieg, sondern geben Sie die Adresse selbst ein.

Anderen Browser bereits probiert?
Ich höre häufiger von Mac-Usern (meistens Safari), dass die Seiten nicht richtig oder nicht vollständig aufgebaut werden. Leider kenne ich die Ursache nicht. Ich empfehle in solchen Fällen probeweise den Firefox-Browser zu verwenden. Nicht unbedingt, weil dies wirklich der beste Browser ist, sondern weil er zumindest in Deutschland auf Desktoprechnern sehr weit verbreitet ist und kein Programmierer an ihm „vorbeikommt“.

Firefox: Starten ohne Plugins
Wenn Sie den Mozilla Firefox mit gedrückter Shift-Taste („Großschreibetaste“) aufrufen (vorher komplett beenden), dann wird der Browser ohne Plugins gestartet. Testen Sie damit den Seitenaufbau. Sollten Fehler verschwunden sein, sollten Sie Plugins und Browser-Erweiterungen prüfen.

Firefox: Icons fehlen? Stattdessen finden Sie Text-Einträge wie ic_chevron-down_24?

Chrome: Starten ohne Add-Ons
Wählen Sie über das Menü ein neues Inkognito-Fenster an oder nutzen Sie einfach die Tastenkombination „Strg“+“Shift“+“N“

Design „komisch“, weil „Nur-Text-Zoom“ oder „Zoom“ aktiviert?
Mit modernen Systemen kann die Darstellung im Browser selbst vergößert werden. Dies kann bei einem Touchpad mit dem Zweifinger-System funktionieren oder mit dem Mausrad. Auch die Tastenkombi STRG-plus und STRG-minus (gleichzeitig) vergrößert oder verkleinert die Darstellung. Diese Zoomfunktion kann man zumindest im Safari und Firefox auch auf den Text beschränken, das führt aber oft zu merkwürdigen Effekten. Bei Mozilla FF ist dies mit der Tastenkombi STRG-Null oder unter Ansicht Zoom abschaltbar (auf „Normal“ umstellen). Testen Sie die verschiedenen Zoomstufen, während Sie angemeldet sind.
Erreichbar ist das Menü übrigens durch Antippen oder Halten der Alt-Taste und „Ansicht/Zoom“.

Kontobezeichnungen zu lang
Im Onlinebanking kann man die Kontobezeichnungen selbst ändern und je nach Größe des Browserfensters oder Zooms führt ein langer Name zu Umbrüchen, die unschön wirken können. Stellen Sie einen kürzeren Namen ein, wählen Sie eine andere Zoomstufe.

Zwischenspeicher beim Internet-Explorer wird nicht aufgefrischt
Unter Einstellungen – Allgemein – Temporäre Internetdateien findet man die Auswahl „Neuere Versionen der Seite suchen“. Ist diese auf „Nie“ gesetzt, wird das Design etc. nicht aktualisiert. Bitte ändern Sie diese Einstellung auf „Automatisch“ und starten Sie den Browser neu.

nur noch sehr selten ein Problem:
Unterstützung der Designvorlagen CSS3 fehlt:

Das Onlinebanking der VR-Banken setzt mindestens CSS3 voraus. Dies wird vom alten Opera 12.x und anderen alten Browsern wie dem Microsoft Internet-Explorer bis Version 8 nicht oder nicht ausreichend unterstützt. Besonders von der Verwendung der alten Microsoft-Browser rate ich nicht nur aus Designgründen dringendst ab, denn Microsoft wird vermutlich keine Sicherheitslücken mehr reparieren. Unter aktuellen Windows-Versionen sollte daher der Edge-Browser genutzt werden und nicht der Internet-Explorer.

Apropos alte Browser: Dass dabei der liebgewonnene Browser auf der Strecke bleibt, mag individuell bedauerlich sein, aber ich bin der Meinung, dass es besser ist, hier eher auf modernere und zukunftssichere Standards zu setzen, als alten Ballast mitzuschleppen und aus Nostalgiegründen (?) alle Browser unterstützen zu wollen.

Nicht zuletzt: Die Verwendung eines alten Browsers, der nicht mehr gewartet wird, halte ich persönlich für grob fahrlässig und ich kann auch nur dringend von allen Tricks abraten, die alten Systemen noch etwas Leben einhauchen. Auch wenn z.B. ein Registry-Patch dem Uralt-XP (sofern dies überhaupt legal ist) noch Updates spendieren mag, so würde dies im Streitfall ziemlich schlecht aussehen.

Auf dem Weg zur Arbeit entspanne ich mich noch etwas und schaue noch einmal nach, was sich an der „Trojanerfront“ getan hat.

Nach einer Aktualisierung meldet sich nun auch der von Microsoft eingebaute Virenscanner. Gar nicht so schlecht für ein kostenloses Produkt. Der Virenscanner von Microsoft für Windows 8 hat auch bei einigen Tests relativ gut abgeschnitten.

Windows_Defender

Jetzt bin ich neugierig, ob nun alle anderen meinen „Griechen“ in der Zip-Datei auch errkennen. Ein neuer Scan zeigt nun 33 von 53. Folgende Antivir-Programme scheinen nicht zu funktionieren – oder taugen schlichtweg nichts. So ein Einzelergebnis ist sicherlich nicht repräsentabel, aber es handelt sich beim Fund um einen fiesen Vertreter der Man-in-the-Browser Trojaner, ZBot, bzw. ZeuS. Diese Gruppe ist eine wahre Pest unter den „Banktrojanern“ und Botnetzen.

AegisLab 20140528
Agnitum 20140527
AhnLab-V3 20140527
Baidu-International 20140527
Bkav 20140527
ByteHero 20140528
CAT-QuickHeal 20140527
CMC 20140526
ClamAV 20140528
Comodo 20140528
Jiangmin 20140528
K7AntiVirus 20140527
K7GW 20140527
NANO-Antivirus 20140528
SUPERAntiSpyware 20140528
TheHacker 20140528
TotalDefense 20140527
VBA32 20140527
ViRobot 20140528
Zillya 20140528

Ich scanne die gleiche Datei noch einmal bei jotti, einem Angebot wie Virustotal.

Jotti

Es ist erschreckend. Angeblich sind die Erkennungsdateien aktuell und trotzdem finden einige namhafte Hersteller nichts, die bei virustotal aber schon alles richtig identifiziert hatten. Mein vorläufiges Fazit: Diese Dienste sind in nützliches Tool, man sollte aber immer seinem gesunden Misstrauen trauen.

Und schon wieder erreichen mich massenhaft als Faxe getarnte Viren. So neu, dass mein Virenscanner keinen Alarm schlägt.

Faxnachricht [Caller-ID: +49(0)3032734xxx Seiten: 4. Datum: 2014-05-13 09:50:59 UTC. Kennziffer: DE5065AF3275BD6626BE.

Im Zip-Anhang befindet sich das Trojanische Pferd. Ok, eigentlich ist der Anhang ja selbst das trojanische Pferd, also befindet sich im Anhang „der Grieche“, richtig?

Erst in der Detail-Anzeige wird deutlich: Es handelt sich nicht um ein Fax, also eine Bilddatei oder ein PDF, sondern um eine Anwendung. Ausführen der Datei reicht also für die Infektion.

Je nach Ansicht erkennt man leider nicht, was sich im Pferd, also im Anhang verbirgt, bestenfalls das Icon könnte eine Ahnung aufkommen lassen, dass es sich nicht um das angekündigte Fax handelt. Erst nach Klick auf „Ansicht“ und „Details“ lässt sich erkennen, was los ist. Das System würde mir vor Ausführung einer solchen Datei einen Hinweis geben, Aber wer mit einem Fax rechnet (ich bekomme täglich welche), fällt eventuell schnell drauf rein.

Grieche noch getarnt

Der Typ „Anwendung“ verrät, dass es sich um ein ausführbares Programm handelt.

Datei im trojanischen Pferd

Ein Rechtsklick zeigt mir die Dateiendung und auch, wie alt die Datei ist. Hm, 26.05., also von gestern. Mal schauen, was die Virenscanner dazu sagen…

Eigenschaften_Grieche

Ich werde mal bei Virustotal nachsehen, einem Dienst, bei dem man u.a. verdächtige Dateien hochladen und von einer Flotte von Virenscannern prüfen lassen kann.

Virustotal_01Ich lade die Datei hoch und erhalte den Hinweis, dass diese Datei bereits gestern überprüft wurde. Also war jemand schon vor mir misstrauisch und hat die Datei bei Virustotal checken lassen. Ich gebe mich vorerst mit dem gestrigen Ergebnis zufrieden: Aha: Nur 2 (!) von 53 von Virenscannern haben beim ersten Scan diese Datei für verdächtig gehalten! Wenn ich also einer der ersten gewesen wäre, der dieses vermeintliche Fax erhalten hätte, dann hätte ich womöglich also eine knapp 4 prozentige Chance gehabt, dass mein Virenscanner sich gemeldet hätte?

Virustotal_Scan_01Gut, ich weiß ja, dass es Malware sein muss. Ich lasse erneut checken und inzwischen haben 16 von 53 einen Verdacht. Naja, auch noch nicht soo toll, oder?!

Ich lasse die Datei erneut scannen, mal sehen, was ein Scan einen Tag später ergibt. Schon besser, 16 Scanner schlagen Alarm. Aber so richtig toll ist das Ergebnis auch nicht, oder?Virustotal_Scan_02

Hier geht die Geschichte am nächsten Tag weiter.

Goldene Regel: Ist alles so wie gewohnt? Nein? Dann geben Sie keine TAN ein! Wenn Sie mit ungewohnten Menüs, Aufforderungen oder Fenstern oder auch Werbeseiten etc. überrascht werden, klären Sie vorher, was dahinter steckt! Einmal überwiesenes Geld ist meist weg (Ok, es ist nicht weg, es hat jemand anders)!

Predigt zur sicheren Benutzung des Sm@rtTAN-Verfahrens:

  • Lesen Sie immer die Anzeige vollständig und vergleichen Sie immer die Angaben mit Ihrem Auftrag!
  • Wenn dort eine Summe steht, dann wird Geld gebucht!
  • Es gibt keine Tests!
  • Ändern Sie regelmäßig Ihre PIN!
  • Ein seriöser Ansprechpartner der Bank würde Sie nie nach Ihrer TAN fragen.
  • Geben Sie Ihre Chipkarte nicht aus der Hand und geben Sie auch niemandem Ihre PIN
  • Es gibt keine Sicherheitserweiterungen, die für das TAN-Verfahren nachinstalliert werden müssten.
zuletzt aktualisiert: 27.06.2023
Schadsoftware entdeckt? Virus/Trojaner/Malware gefunden?

Rufzeichen_60In jedem Fall: Prüfen Sie unverzüglich, ob ein Schaden am Konto aufgetreten ist!
Wenn Sie einen sauberen Zweitrechner zur Verfügung haben (Freunde? Nachbarn?), ändern Sie unverzüglich Ihre PIN und Ihren Alias und prüfen Sie die Umsätze Ihres Kontos. Wenn Sie keinen Zweitrechner zur Verfügung haben, sperren Sie im Onlinebanking unter „Service & Verwaltung“ Ihren Onlinebanking-Zugang.
Prüfen Sie ebenfalls auf neu angelegte Daueraufträge und Terminbuchungen.
Ist bereits Geld unterwegs? Lassen Sie Ihre Bank einen Überweisungsrückruf wg. Betrugsverdacht machen und erstatten Sie Anzeige.

Dann nehmen Sie Kontakt mit Ihrer Bank auf.
Lassen Sie dort auch prüfen, ob Buchungen (Auslandsbuchungen) angelegt oder Buchungen terminiert (z.B. Daueraufträge) wurden. Bei PIN & TAN geht das bei vielen Banken am einfachsten mit einem Abgleich der verbrauchten TAN.

Dokumentieren Sie alle Änderungen (vorher-nachher) per Screenshot.

 

Prüfen und ändern Sie am „sauberen“ Rechner auch alle anderen Zugänge.

Eine unvollständige Liste zur ersten Hilfe:erste_Hilfe

  • sämtliche Bankzugänge, (klar, oder?) ändern Sie PIN und Anmeldenamen (Alias)
  • E-Mail-Konten
  • Passwörtern zu Apps
  • Zugang Ihres Internetanschlusses
  • Konten sozialer Netzwerke, Foren, Blogs, Twitter…
  • Shops für Handy & Co (iTunes, google Playstore, aber auch Xbox, etc.)
  • Kreditkarten (3D-Secure, Verified by visa,…)
  • Online-Shops und Payment (amazon, ebay, paypal,…)
  • Zugänge zu Abrechnungssystemen und Verwaltung (Mobilfunk-Vertrag?)
  • Spiele mit Internetanschluss, Browserspiele
  • Wallets (Kryptowährungen wie Bitcoin, Ether, etc.)
  • Microsoft Konto
  • HBCI-Signaturdateien (Schlüssel ändern und Passwort, lesen Sie bitte >hier weiter)
  • Zugangspassworte Ihrer FinTS/HBCI-Software oder -App
  • WLAN-Passwort/Schlüssel, Router Passwort
  • VPN Usernamen und die Passwörter tauschen, dazu Dyndns, Fritzbox..
  • Passwörter der Datensicherungen, z.B. der Festplattenverschlüsselung
  • Ihre Haussteuerung / der Controller Ihrer Solaranlage oder Heizung, Alarmanlage
  • Online-Radio, -video, -medien, pay per view (Netflix, Amazon, Sky, Apple-TV, Disney..)
  • Prepaid-Systeme und Bonuskarten (Telefon, aber auch Gutscheinsysteme)
  • Passwörter für Behörden (Elster)  oder Ausschreibungssysteme, Onlinebörsen, DATEV
  • prüfen Sie Legitimationsmedien mit eigenen Zugängen, wie PushTAN-Apps.
  • Elektronischer Personalausweis
  • online Telefonie und Kontaktsysteme (Skype, Videochat, etc.)
  • (Fern-) Wartungszugänge (Teamviewer, Netviewer, Cisco, etc.)
  • (Own-)Cloud-Zugänge, Speichersysteme wie online-Festplatten, Truecrypt, etc.
  • One-Click-Hoster (Share-Online, etc.)
  • (Abruf-)PIN Ihres Anrufbeantworters, Faxdienste
  • Serverpassworte, auch von Wartungszugängen, Backups etc.
  • Nutzen Sie eine Passwortverwaltungssoftware wie „Keepass“?
  • (GNU-)PGP-Schlüssel: Falls der Private-Key in falsche Hände geraten sein könnte: Sperren Sie diesen und reichen Sie neue Schlüssel auf den Verwaltungsservern ein
  • „Optimierungsdienstleister“ (z.B. Vertrags- und Aboverwaltungen, Versicherungsverbesserer…)
  • Porto und Briefdienstleister, Scandienste
  • Gas-/Stromanbieter, Energieverrechnungssysteme, Wärme
  • Portale für die Autoverwaltung, Mietauto, Tankkarten (auch Elektro), Tank-Apps und -Zugänge
  • Hausverwaltung, Nebenkosten

Prüfen Sie die Favoriten-Liste/Lesezeichen Ihres Browsers und die Liste Ihrer ggf. dort gespeicherten Passwörter. Gehen Sie davon aus, dass diese Liste in fremde Hände geraten ist.

Wenn Sie eine Internetseite pflegen: Ändern Sie unbedingt auch hier sämtliche (ftp-)Passwörter, bzw. lassen Sie sich ggf. neue Passwörter senden. Ihre Seite könnte sonst in kürzester Zeit selbst zu einer Virenschleuder werden. Tauschen Sie ggf. die Verschlüsselungszertifikate.

Überlegen Sie ganz genau, wo Ihnen Schaden entstehen könnte, weil Daten entwendet wurden.

Sind Sie als Unternehmen betroffen? Beachten Sie, dass Sie ggf. sogar den Angriff melden müssen, wenn der Datenschutz Ihrer Kunden betroffen sein könnte.

Lesen Sie hier: Rechner desinfizieren oder alles neu installieren?

Denken Sie über Ihre Datensicherung nach: Wann haben Sie alle Daten zuletzt gesichert, existieren eventuell wichtige, unwiederbringliche Daten – und wenn es nur die Urlaubsfotos sind – die Sie vermissen würden? Es gibt erpresserische Schadsoftware (sogenannte „Ransomware“), die nimmt Ihre Daten als Geisel…

Fragezeichen_100Frage: Soll man nun versuchen, den Rechner zu desinfizieren oder muss das komplette System neu installiert werden?

Stellen Sie sich selbst folgende wichtige Frage, bevor Sie an die Sache herangehen: Ist Ihr Computer womöglich ein Beweismittel? So lange Sie dies nicht mit einem klaren Nein beantworten können, sollten Sie keine Spuren verwischen!

Die einen Fachleute empfehlen eine komplette Neuinstallation (nach einer Sicherung der kompletten Daten), eine andere, kleinere Fraktion empfiehlt nach Analyse eine gezielte Desinfektion. Die einen sagen: Einem einmal infizierten Rechner kann man nicht mehr trauen, die anderen sagen: Eine Neuinstallation sei zu aufwändig und erzeugt bei der Installation neue Sicherheitslücken, da eine ganze Zeit ohne aktuelles System gearbeitet werden muss.

Ich bin der Meinung, dass eine Desinfektion nur dann sinnvoll ist, wenn wirklich jemand mit Fachwissen zur Verfügung steht, der/die

a) genau weiß, was er/sie tut,erste_Hilfe
b) die Desinfektion signifikant günstiger ist oder
c) keine Alternative besteht, weil z.B. die Nach-Installation einiger unverzichtbarer Programme nicht mehr möglich ist, z.B., weil Programm-CDs nicht mehr zur Verfügung stehen.
d) und nicht zuletzt: Die entdeckte Malware eher harmlos ist – und wer kann dies schon wirklich beurteilen?

Dazu kommt noch der Kostenfaktor. Eine Neuinstallation kann zeitlich und finanziell günstiger sein und hat mit dem Aufräumen auch häufig einen „Jungbrunneneffekt“ für ältere Rechner.

Prüfen Sie vor allen Aktionen unbedingt, ob Sie sämtliche wichtigen Daten gesichert haben. Schauen Sie nach, ob Sie sämtliche Lizenznummern und Aktivierungscodes gesichert haben.

Erstellen Sie ggf. eine Image Ihrer Festplatte, also ein Komplettbackup, dass Ihr System komplett wieder herstellen kann. Bekannte Tools sind z.B. Norton Ghost, Acronic Disk Image.

Tipp: Überlegen Sie, ob der Einbau einer neuen Festplatte nicht praktische Vorteile bietet: Die alte, eventuell noch verseuchte Platte können Sie in ein externes USB-Gehäuse einbauen (lassen) und damit über das System säubern. Die neue, meist größere und schnellere Platte dient dann der Neuinstallation Ihres Betriebssystems. Lassen Sie sich beraten, da diese Lösung nicht immer funktioniert, bei verschlüsselten Datenträgern z.B. kann es gewaltig schief gehen.

Die alte Platte können Sie erstmal zur Seite legen und in Ruhe die neue Platte einbauen und dort das Betriebssystem installieren. An der Stelle: Was halten Sie davon, bei der Gelegenheit einen Teil der Platte einem alternativen Betriebssystem, nämlich Linux zur Verfügung zu stellen? Hier ist die Virengefahr vorhanden und das Surfen und E-Mail funktioniert dort genauso gut, wie unter Windows. An die Bedienung werden Sie sich schnell gewöhnen.