Maßnahmen bei Virenbefall
Dieses Dokument beschreibt wie Sie einem Virus von Ihren PC entfernen, sollte dieser trotz aller Vorsicht befallen sein.
- Arbeit beenden: Nach einen Virenbefall sollte die Arbeit am PC schnellst möglich beendet werden. Alle Dokumente sollten geschlossen und Onlinesessions beendet werden. Insbesondere sollte ab jetzt nicht mehr Online gearbeitet werden. Auf alles, was nach einem Virenbefall zugegriffen wird, kann auch der Virus zugreifen und dem Angreifer übermitteln. Wenn alles beendet wurde, sollte der Netzstecker gezogen werden.
- PC-Auslastung prüfen: Sollte jetzt noch eine hohe CPU-Auslastung (Lüfter läuft unüblich laut, Taskmanager zeigt annähernd 100% CPU-Auslastung an) und/oder eventuell eine hohe I/O-Belastung bestehen (viele Zugriffe auf die Festplatte oder Netzwerk), sollten der PC herunterfahren und dieses Dokument von einem anderem Gerät weiter gelesen werden. In diesem Fall ist der PC mit einer bootfähigen Antiviren-CD (DVD oder USB-Stick) zu überprüfen. Der PC sollte erst wieder normal eingeschaltet(gebootet) werden, wenn der Virus erfolgreich entfernt werden konnte.
- Hilfe suchen: Das Dokument sollte unbedingt bis zum Ende durchgelesen werden, um zu entscheiden, wie weiter fortgefahren werden soll. Sollten Sie nach dem Durchlesen immer noch nicht wissen, was Sie tun sollen, können Sie auch den Admin ihrer Struktureinheit oder einen kompetenten BTU-Mitarbeiter bzw. Kommilitonen um Hilfe bitten.
- Auf Viren prüfen: Zuerst sollte mit dem bereits installierten Virenscanner eine vollständige Überprüfung aller Laufwerke durchgeführt werden. Anschließend sollte man sicherheitshalber noch einen Virenscan von einer bootfähigen Antiviren-CD/USB-Stick (Kurzanleitung) durchführen. Dieser Schritt ist auch durchzuführen, wenn der installierte Virenscanner einen Virus gefunden hat.
- Alternative Virenscanner: Wurde kein Virus gefunden, können Sie es mit anderen Virenscannern (siehe Punkt 9) versuchen oder ein paar Tage warten, bevor Sie die Überprüfung erneut durchführen, denn bei neuen Viren kann es ein paar Tage dauern bis alle Antivirenprogramme den Virus erkennen. Das Gerät sollte solange vom Netz getrennt und am besten ausgeschaltet bleiben.
- Kritische Systeme/Daten: Handelt es sich um ein kritisches System bzw. befinden sich kritische Daten auf dem Gerät oder kann der Virus nicht gefunden bzw. entfernt werden, sollte der Rechner neu aufgesetzt werden. Nur nach einer Neuinstallation sind alle Viren (auch noch unbekannte) vollständig entfernt. Vor der Neuinstallation sollten alle wichtigen Daten gesichert werden. Dazu sollte, wenn möglich, die Festplatte an einem anderen Rechner angeschlossen oder der Rechner für das Backup von einer LiveCD gestartet werden. Die gesicherten Daten sollten anschließend mit einem Virenscanner überprüft und mit Vorsicht genutzt werden, insbesondere Dateien mit aktiven Inhalten. Je nach Anzahl der Dateien und sofern es der Datenschutz erlaubt, können einzelne Dateien auch zu Virustotal.com hochgeladen und analysiert werden. Virustotal.com analysiert die Datei mit sehr vielen unterschiedlichen Virenscannern und erkennt auch ganz neue Viren.
- Nachbearbeitung: Nach dem erfolgreichen Entfernen des Viruses, sollten alle Passwörter geändert werden, die während der Infektion des Systems benutzt wurden. Auch Passwörter und Logins die unverschlüsselt oder nicht sicher auf dem System gespeichert wurden, können kompromittiert sein und sollten geändert werden.
- Dokumentation: Befallene System sollten an security(at)b-tu.de gemeldet werden. Hierzu kann folgendes Formular verwendet werden. Das Erfassen von Sicherheitsvorfällen ist wichtig zur Analyse von Viren und um gezielte Gegenmaßnahmen entwickeln zu können.
- Virenscanner: Die BTU bietet allen Mitarbeitern eine kostenlose Version von Avira an. Es gibt aber auch andere gute Virenscanner (Test auf www.chip.de und kostenlose Versionen (z.B. von Avast).