Ich habe mich gerade mit einem Problem rumgeschlagen, das ich hier gerne näher erläutern will.
Ich hatte schon früher einmal ein Problem mit einem Virus: Der hatte immer zwei Prozesse (so ähnlich wie unsichtbare Programme) am Laufen und immer, wenn man den einen gekillt (beendet) hat, hat der andere den wieder neu gestartet, so dass man nie beide gleichzeitig beenden konnte.
Heute ergab sich aber ein ganz anderes Problem: Gestern hatte ich mir einen Virus eingefangen, auch noch auf die dumme Tour. Ich wollte eine komprimierte Datei entpacken und habe selbst gesehen, dass die Datei "Name.rar.exe" hieß. Das Symbol war natürlich das von WinRar, dem verbreitesten Programm zum Entpacken von Rar-Dateien, aber ich konnte ja sehen, dass es eine Exe-Datei war. Ich dachte noch, dass es ja vielleicht ein selbstextrahierendes Archiv sein könnte, was aber Quatsch ist, da man dann nicht noch ein ".rar" im Dateinamen ergänzt. Das ganze war extra darauf ausgelegt, dass unter Windows die Standardeinstellung "bekannte Dateiendungen ausblenden" aktiviert ist, so dass die Endung ".exe" gar nicht erst angezeigt wird und der normale Benutzer nur das "Name.rar" sieht. - Und ich Idiot klicke trotzdem doppelt auf die Datei.
Der Virenscanner sprang natürlich an und hat gefährliche Zugriffe geblockt, aber leider war das noch zu wenig.
Erst heute sind mir die weiteren Auswirkungen aufgefallen: Ich wunderte mich nämlich, dass im Windows Explorer keine Dateiendungen mehr angezeigt wurden. Zu dem Zeitpunkt dachte ich noch an eine Windows-Macke und wollte das schnell beheben. Im Menü "Extras" unter "Ordneroptionen" kann man die Datei-Endungen ja wieder auf sichtbar schalten. Nur leider war unter "Extras" kein Menüeintrag "Ordneroptionen". Oha. Eine Suche im Internet bestätigte mir, dass man diesen Menüeintrag unsichtbar schalten lassen kann.
Die Konfiguration von Windows-Einstellungen geschieht in der sogenannten Registry. Dort kann jeder Futzel von Windows konfiguriert werden. Ein Programm zum Bearbeiten der Registry ist bei Windows dabei (der Registry-Editor "regedit"). Man muss zwar aufpassen, was man einstellt, da im schlimmsten Fall Windows gar nicht mehr läuft, aber ich weiß ja, was ich tue.
Also habe ich den Registry-Editor gestartet (mittels der Tastenkombination Windows + R, was einen Shortcut zu "Start" - "Ausführen" darstellt, das Dialogfenster zum Ausführen eines Programms geöffnet und dann "regedit" eingegeben und mit Return/OK bestätigt).
Tja, der Virus war gut (jetzt nicht im Sinne von nicht böse, sondern im Sinne von gut mitgedacht). Was ich dann zu sehen bekam war nicht der Registry-Editor, sondern eine Fehlermeldung: "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert."
Natürlich habe ich das nicht selbst deaktiviert. Aber unter Windows ist jeder Nutzer standardmäßig Administrator und wenn ich ein Programm starte, dann läuft das mit meinen Rechten. Das ist an sich in Ordnung, nur wenn ich einen Virus ausführe, dann kriegt der auch die Rechte eines Administrators und kann dann die Ordneransicht unsichtbar schalten und die Registrierung deaktivieren.
Na super. Das Aktivieren von Zugriffen auf die Registry ist nämlich gar nicht so einfach. Ob man auf die Registry zugreifen darf oder nicht, wird nämlich wie alle Einstellungen in der Registry gespeichert. Und genau auf die darf ich ja jetzt nicht mehr zugreifen. *grrr*
Ich habe ein paar Dinge ausprobieren müssen (anderen Registry-Editor ausprobiert, Einstellung geändert, Neustart des Rechners, Zugriff ist immer noch deaktiviert; Aufruf eines Skripts zum Ändern der Einstellungen, wo dann daraufhin eine neue Fehlermeldung kommt, dass der Skripting Host vom Administrator deaktiviert wurde; Versuch, die Einstellungen über eine Registry-Datei zusammenzufügen, der natürlich fehlschlug, weil die Registry ja gesperrt ist), bis ich auf eine Internetseite gestoßen bin, welche einen Befehl zum Ändern von Registry-Einträgen enthielt.
Mittels "cmd" kann man im Ausführen-Dialogfenster ein Befehlsfenster starten und dort konnte ich den Befehl zur Änderung einer Registry-Einstellung absetzen:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f
Damit wird in der Registry ein Wert gesetzt, der die Deaktivierung aufhebt. Juchu!
Anschließend konnte ich dann die Registry aufrufen und die Ordneroptionen wieder sichtbar schalten, indem ich unter
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
den Wert
NoFolderOptions
gelöscht habe.
Dann konnte ich endlich in einem neuen Windows-Explorer-Fenster im Menü "Extras" den Eintrag "Ordneroptionen" auswählen und im Dialogfenster den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" entfernen.
So weit, so gut. Beim Schreiben dieses Artikels fiel mir aber auf, dass die Registry schon wieder gesperrt wurde. Zudem war der Menüeintrag "Ordneroptionen" auch wieder verschwunden. Das bedeutet, dass wohl immer noch ein Programm im Hintergrund läuft und ständig die Einstellungen verändert. Da ich inzwischen mindestens einmal den Rechner neu gestartet habe, wird dieses Programm wohl automatisch beim Systemstart mit gestartet.
Ich werde jetzt mal live mitschreiben, was ich hier tue, um dieses Programm zu eliminieren.
Mit Hilfe des Registry Monitors von SysInternals filtere ich aus allen Zugriffen auf die Registry nur diejenigen, die mich interessieren: Über "Options" - "Filter/Highlight" setze ich "Include" auf "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System".
Nach einiger Zeit erscheint der böse Prozess mit drei Einträgen in der Auflistung, mit denen er den angegebenen Pfad geöffnet hat, den Wert zum Sperren des Zugriffs auf die Registry ("DisableRegistryTools") geschrieben hat und schließlich den Pfad wieder geschlossen hat. Mittels Rechtsklick auf einen der Einträge und Auswahl von "Processs Properties" erfahre ich dann auch wie der Dateipfad zu diesem Prozess lautet.
Mit Hilfe des Process Explorers (ebenfalls von SysInternals) versuche ich dann, diesen Prozess zu finden: Über das Menü "Find" kann ich den Eintrag "Find Handle or DLL..." auswählen und dann nach dem Namen "48676354" suchen. Es wird im unteren Bereich der komplette Baum des Prozesses angezeigt und ich kann sehen, dass lsass.exe (LSA Shell) diesen Prozess gestartet hat.
Ich wähle den bösen Prozess aus und führe im Process Explorer ein "Kill" aus, um den Prozess zu beenden.
Im angegebenen Pfad markiere ich das Executable und lösche es ebenfalls.
Schließlich untersuche ich mit Autoruns (und noch einmal von SysInternals) die automatischen Starts von Programmen beim Starten des Betriebssystems. Auch hier suche ich nach dem Namen ("File" - "Find...") und finde einen Eintrag unter dem Titel "Diagnostic Manager". Dieser Eintrag wird natürlich gelöscht.
Ich habe dann sicherheitshalber noch weiter nach diesem Namen gesucht und etwas links und rechts geschaut, aber das war dann wohl der einzige Eintrag dieser Art.
So, dann werde ich mal mein System neu starten und hoffe, dass dann alles wieder geht.
Ich hoffe, der Artikel hat ein wenig Aufschluss darüber gegeben wie böse Viren sein können, was für Aufwand man beim Bereinigen haben kann und ist ein guter Ratschlag, dass man nicht auf Alles klicken sollte, was einem verdächtig vorkommt, selbst wenn man einen Virenscanner verwendet.
Ich wünsche noch frohe Ostern und virenfreie Computer.
Keine Kommentare:
Kommentar veröffentlichen