Leitfaden bei Virenbefall

Falls Sie den begründeten Verdacht hegen, dass Ihr Rechner von einem Virus infiziert wurde ("verhält sich merkwürdig") oder Sie von Kollegen oder Systemadministratoren an der Universität darauf hingewiesen wurden, dass Ihr Rechner Ausgangspunkt für Angriffe im Netz ist, so kann Ihnen die folgende Checkliste Hilfestellung bei der Problembeseitigung geben:

  • Zuallererst: Keine Panik!
  • Informieren Sie uns sofort von dem Virenbefall, damit die Netzwerkadresse Ihres Rechners (sofern von uns nicht bereits vorgenommen) gesperrt werden kann und er somit für andere Anwender keine Gefahr mehr darstellt. Wenden Sie sich dazu an unseren Helpdesk.
  • Trennen Sie Ihren Rechner auch physikalisch vom Daten-Netzwerk (Stecker ziehen). Hiermit ist nicht die Stromversorgung Ihres Rechners gemeint! Strom brauchen Sie natürlich, damit Sie Ihren Rechner in den folgenden Schritten vom Virus befreien können.
  • Sofern der Virus bereits identifiziert ist, informieren Sie sich über die Auswirkungen des Virus und die Chancen einer "sanften" Reparatur, die ohne Neuinstallation auskommt. Die Virus Libraries von z.B. NAI oder Symantec bieten dazu ausgiebige Hinweise.
  • Entscheiden Sie für Ihren Einzelfall, ob eine Neuinstallation Ihres PCs ratsam ist, etwa weil der Virus auch von Scanprogrammen nachweislich nur schwer oder gar nicht zu entfernen ist, oder wenn er Ihrem PC bereits durch das Löschen von Dateien einen zu großen Schaden zugefügt hat. Wenn Sie sich für eine Neuinstallation entscheiden, dann können Sie diese prinzipiell auch durchführen ohne die Festplatte zu formatieren, sodass Ihre Dateien erhalten bleiben. Andererseits ist aber zu bedenken, dass Ihre Dateien möglicherweise bereits durch den Virus infiziert sind und Sie diesen beim Öffnen der Datei wieder aktivieren.
  • Falls Sie die Möglichkeit haben, eine lokale Datensicherung auf Diskette, Bandlaufwerk oder CD-ROM Brenner vorzunehmen, so sollten Sie dies tun. Weniger ratsam ist es, wenn Sie Ihre Dateien einfach auf einen anderen PC oder einen Server Ihrer Abteilung sichern. Erstens haben Sie durch die IP-Sperrung eventuell bereits keinen Zugang mehr zum Netzwerk und zum anderen könnten Sie dadurch den Virus auf andere Rechner verbreiten. Sollten Sie dennoch die Datensicherung auf einen anderen Rechner vornehmen wollen, so stellen Sie wenigstens sicher, dass dort ein Virenscanner mit den aktuellsten Virensignaturen installiert ist und alle übertragenen Dateien auch überprüft werden. Bevor Sie Dateien von einem infizierten PC auf einen Server sichern, sollten Sie mit dem zuständigen Administrator sprechen!
  • Wann immer ein Rechner befallen war, kann man davon ausgehen dass ALLE Passwörter die auf und an dem System eingegeben wurden kompromittiert sind. Die Backdoors laufen unter System-Privilegien und kommen fast immer mit sogenannten Keyloggern. Hier werden die Tastatureingaben in Anmeldefenstern mitprotokolliert.
    Desweiteren gibt es sehr viele Tools die den ganzen Rechner nach Passwörtern absuchen und auch erschreckend oft zum Ziel führen.
    Es nützt also nichts, wenn man das System frisch installiert und sich nicht auch neue Passwörter ausdenkt. Sofort ist der Rechner wieder neu befallen, versucht andere zu infizieren und wird wieder gesperrt.

Falls Sie sich für eine Neuinstallation entschieden haben

  • Installieren Sie Ihr Betriebssystem von den mitgelieferten Installationsmedien. Falls Sie zuvor Ihre Daten gesichert haben, formatieren Sie die Festplatte neu. Dadurch wird sichergestellt, dass von der alten Installation nichts übernommen wird.
  • Bevor der Rechner wieder an das Netz angeschlossen wird, müssen Sie den systemeigenen oder einen systemfremden Firewall installieren. Die durchschnittliche Inkubationszeit ist momentan unter 10 min sofern man nicht alle aktuellen Security Updates, die Services betreffen, installiert hat.
  • Konfigurieren Sie Ihren Rechner für den Betrieb am Netzwerk (IP-Adresse, Gateway, Subnet-Mask etc.).
  • Veranlassen Sie beim kiz die Freischaltung der ggf. gesperrten IP-Adresse. Benutzen Sie dazu unser Online-Formular zur Wiederfreischaltung.
  • Nachdem der Rechner wieder am Netz ist, spielen Sie sofort das aktuelle Servicepack und alle darauf aufsetzenden Sicherheitsupdates ein. Bei Windows verwenden Sie dabei den Windows Update Dienst. Diesen können Sie ggf. auch mit dem folgenden Link direkt aufrufen: http://windowsupdate.microsoft.com. In jedem Fall wird dadurch eine Verbindung zum Update-Server von Microsoft hergestellt, und es werden automatisch die erforderlichen Updates in der richtigen Reihenfolge und Sprachversion heruntergeladen.
  • Nach der Installation der Updates und dem erforderlichen Neustart, installieren Sie bitte sofort einen Virenscanner auf Ihrem Rechner. Falls noch nicht geschehen, können Sie beim kiz den Virenscanner Bitdefender erhalten. Lesen Sie dazu unsere Informationen zu den Bitdefender Endpoint Security Tools.
  • Aktualisieren Sie den Virenscanner mit den neuesten Virensignaturen.
  • Führen Sie einen kompletten Scan Ihres Systems durch.
  • Installieren Sie Ihre Anwendungsprogramme neu.
  • Stellen Sie Ihre Daten vom Backup wieder her, sofern Sie sich für den sicheren Weg entschieden haben und die Festplatte bei der Neuinstallation formatiert wurde.
  • Richten Sie Ihren Virenscanner so ein, dass er automatisch (am besten täglich) ein Update der Virensignaturen vornimmt.

Falls Sie sich für eine Reparatur Ihrer Installation entschieden haben

  • Besorgen Sie sich (z.B. mit Hilfe eines Kollegen, der noch "online" ist) das stand-alone Utility Stinger von NAI/McAfee. Es ist speziell dafür vorgesehen, infizierte Rechner zu säubern und enthält alle nötigen Definitionen zur Erkennung von Viren. Dieses Tool ist kostenlos und ohne Registrierung herunterzuladen.
  • Um die Scansoftware auf den infizierten Rechner zu transferieren, müssen Sie Disketten verwenden oder zuvor eine CD-ROM brennen.
  • Starten Sie den infizierten Rechner im abgesicherten Modus (F8 bei Windows).
  • Starten Sie das Utility "Stinger" und nehmen Sie einen kompletten Scan Ihres Systems vor. Wenn Sie Glück haben, dann kann dadurch der Virus bereits entfernt werden. Es ist aber auch möglich, dass der Virus die Ausführung des Scanners verhindert. In diesem Fall informieren Sie sich bitte auf der Homepage des Herstellers des Virenscanners (s.o.), ob er eine manuelle Anleitung zum Entfernen dieses Virus bereitstellt.
  • Nachdem der Rechner vom Virus befreit wurde, veranlassen Sie beim kiz die Freischaltung der ggf. gesperrten IP-Adresse. Benutzen Sie dazu unser Online-Formular zur Wiederfreischaltung.
  • Sobald der Rechner wieder am Netz ist, spielen Sie sofort das aktuelle Servicepack und alle darauf aufsetzenden Sicherheitsupdates ein. Bei Windows verwenden Sie dabei den Windows Update Dienst. Diesen können Sie ggf. auch mit dem folgenden Link direkt aufrufen: http://windowsupdate.microsoft.com. In jedem Fall wird dadurch eine Verbindung zum Update-Server von Microsoft hergestellt, und es werden automatisch die erforderlichen Updates in der richtigen Reihenfolge und Sprachversion heruntergeladen.
  • Besorgen Sie sich beim kiz den Virenscanner Bitdefender. Lesen Sie dazu unsere Informationen zu den Bitdefender Endpoint Security Tools. Sie können natürlich auch einen anderen Virenscanner verwenden. Das Utility "Stinger", das Sie zur Säuberung Ihres Rechners verwendet haben, ist kein Ersatz für einen richtigen Virenscanner.
  • Richten Sie Ihren Virenscanner so ein, dass er automatisch (am besten täglich) ein Update der Virensignaturen vornimmt.

IP-Sperrungen

Selbstverständlich wird das Netzwerk der Universität Ulm ständig überwacht. Virenverseuchte PCs machen sich meist schnell durch die massenhafte Versendung von E-Mails, durch (Denial of Service-)Attacken auf kontrollierte Server oder anderes "ungewöhnliche" Verhalten bemerkbar. Die Netzwerkadministratoren sperren dann sofort die IP-Adresse des verursachenden Rechners. Damit kann er außerhalb des jeweiligen Subnetzes keinen Schaden mehr anrichten. Sofern möglich, wird der zuständige Systembetreuer sofort benachrichtigt, um den infizierten Rechner auch physikalisch vom Netz zu trennen. Ein Wiederanschluss des Rechners wird erst dann gestattet bzw. ermöglicht, wenn der Virus entweder entfernt oder der Rechner neu installiert und mit allen Sicherheitsupdates versehen wurde. Bei WLAN-Zugängen können vom kiz weitere, accountbezogene Maßnahmen ergriffen werden.

Eine ständig aktualisierte Übersicht der momentan gesperrten IP-Adressen ist aus unserer IP-Blacklist ersichtlich.

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
    Mo - Fr  8 - 18 Uhr
    +49 (0)731/50-30000
    helpdesk(at)uni-ulm.de
    Kundenportal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.
    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM):

    • Berechtigungen verwalten
    • Dienste abonnieren
    • Passwörter ändern
    • ...

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz.
    A-Z-Liste
    Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht: Redaktion

mehr zu: Leitfaden bei Virenbefall