Mögliches Duplikat:
Der Computer ist mit einem Virus oder Malware infiziert. Was kann ich jetzt tun?
Ich bin infiziert mit dem "Systemüberprüfung" Scareware nicht nur einmal, sondern gleich zweimal -- nach einer Neuformatierung. Jetzt ist klar, dass ich unbedingt herausfinden muss, wie ich mich infiziert habe.
Einige Informationen:
- Ich bin nun schon seit 12 Jahren im Internet und dies ist das erste Mal in meinem Leben, dass ich mir einen Virus einfange.
- Nach meiner Neuformatierung habe ich keine nicht vertrauenswürdigen ausführbaren Dateien geöffnet. Tatsächlich habe ich nur sehr wenig getan, z. B. Firefox, Visual Studio und einige andere Programme installiert.
- Ich habe alle Windows-Updates heruntergeladen und installiert.
- Ich kontrolliere, welche TCP-Ports ich für eingehende Verbindungen geöffnet habe.
- Ich habe seit der Neuformatierung viele Websites besucht.
- Meine Festplatte E:\, die alle meine Daten enthält und nicht neu formatiert wurde, wurde nicht gemountet.
Kurzum: Die Infektion kann (zumindest beim zweiten Mal) nicht durch einen Anwenderfehler oder eine Kreuzkontamination verursacht worden sein.
Dadurch bleiben Exploits in der von mir verwendeten Software zurück. Und ich bin völlig verloren, da ich alles, was ich persönlich installiert habe, erneut heruntergeladen habe und es somit auf die neueste Version aktualisiert ist.
3 von 4 Antivirenprogrammen, die ich ausprobiert habe (einschließlich AVG), konnten „System Check“ nicht erkennen, obwohl es noch nicht entfernt worden war und noch lief. Das 4. hat es schließlich erkannt und außerdem eine infizierte Datei in: C:\Users\MyName\AppData\LocalLow\Sun\Java\Development\cache\6.0\56\6a3c9ff8-68fce308.
Java ist nicht auf die neueste Version aktualisiert (Version 6 Update 21; das neueste ist Update 30). Ich habe es nicht selbst installiert, es muss mit etwas anderem gekommen sein, das ich installiert habe (wahrscheinlich NetBeans), und ich werde verdammt sicher sein, dass ich die neueste Version beim nächsten Neuformatieren selbst installiere.
Ich mache mir jedoch immer noch Sorgen. Diese Datei könnte ein Fehlalarm gewesen sein. Version 30 könnte immer noch anfällig sein. Es könnte nichts mit Java zu tun haben und einfach ein Ort sein, an dem sich die Malware installiert hat, um verborgen zu bleiben. Es könnten 1000 andere Dinge sein.
Was kann ich machen?
Antwort1
Die beiden häufigsten Infektionswege für System Fix sind gefälschte Online-Scannerseiten und die Ausnutzung von Schwachstellen in Browser-Plugins wie Java oder möglicherweise in einer Browser-Skriptsprache wie Javascript oder VBScript (nur IE). Wenn Sie darüber nachdenken, macht das Sinn, da ein Plugin/Skript dem Angreifer ermöglicht, seinen Code auf Ihrem Computer auszuführen, sobald Sie eine infizierte Website besuchen; alles, was er braucht, ist eine Schwachstelle, die es ihm ermöglicht, aus der Sandbox zu entkommen.
Da die Malware im Java-Cache erkannt wurde, ist es wahrscheinlich, dass das veraltete Java-Plugin, das Sie verwendet haben, als Infektionsmedium diente. Sie müssten nur eine bösartige oder manipulierte Website besucht haben, um sich zu infizieren. Wenn es gut gemacht wurde, hätten Sie wahrscheinlich nicht einmal bemerkt, dass etwas Seltsames passierte.
Der beste Schutz gegen Plugin- und Skript-basierte Angriffe besteht natürlich darin, deren Ausführung zu verhindern. Dies kann selektiv mit einem Browser-Add-on wie NoScript oder global durch die Deaktivierung von Plugins und/oder Skripten erfolgen.