Malware entfernen Teil-5: Combofix
24. Oktober 2016Manche Virenschutzlösungen kratzen bei Scan-Jobs nur an der Oberfläche. Dies gilt vor allem, wenn sich Schädlinge in einem System breit gemacht haben, die eigentlich durch ein entsprechendes Anti-Malware-Programm geschützt sein sollte. Denn in diesem Fällen konnte der Schädling entweder Lücken im Betriebssystem oder in Anwendungsprogrammen (Exploits) nutzen, oder wurde vom Virenschutz (noch) nicht erkannt. In diesem Fall sind viele Malware-Programme darauf ausgelegt, den aktiven Virenschutz zu unterlaufen, oder diesen (zumindest teilweise) zu deaktivieren.
Das soll sicherstellen, dass die Schadprogramme nicht zu einem späteren Zeitpunkt – etwa wenn der Scanner die aktuellen Virensignaturen per Internet-Update erhalten hat – entfernt werden können. Im Vorfeld stoppen die Systembetreuer alle laufenden Prozesse der Schadsoftware, falls möglich, danach wenden sich die IT-Betreuer Tools wie Hijackthis oder FRST zu, um die Art der Malware zu bestimmen. Handelt es sich dabei nur um vermeintlich „harmlose“ Werbesoftware (Adware), kann diese meist leicht entfernt werden. Falls es sich aber um „echte“ Schädlinge handelt, wird es Zeit härtere Bandagen anzulegen.
Stehen die Systembetreuer vor einen derartigen Fall, so ist es oftmals zielführend, das System komplett neu aufzusetzen. Falls ein entsprechendes Backup eingespielt werden kann, auf dem der Schädling noch nicht „enthalten“ ist, sparen sich die Systembetreuer oftmals einiges an Arbeitszeit. Falls diese Alternative nicht in Betracht bezogen werden kann müssen sich die Systembetreuer an die Desinfizierung wagen. Dies ist etwa der Fall, wenn das Backup ebenfalls „verseucht“ wurde, oder wenn von sehr wichtigen Daten auf dem System (noch) keine Datensicherung erstellt wurde.
Hilft auch der (hoffentlich) vorhandenen Virenschutz bei der Entfernung nicht weiter, sollten die IT-Betreuer das System mit Spezialwerkzeugen „bearbeiten“ – an dieser Stelle eignet sich besonders das Tool „Combofix“. Vorhandene Schutzprogramme sollten vor der Ausführung des Tools deaktiviert werden. Zudem empfiehlt es sich, Combofix im „abgesicherten Modus“ zu starten. Zudem werden Administrator-Berechtigungen vorausgesetzt.
Das Werkzeug macht sehr viele Schädlinge „sichtbar“ und entfernt diese (oftmals) auch gleich von der Festplatte. Nach einem Combofix-Durchlauf gilt die folgende Regel: Immer einen erneuten Komplett-Scan mit dem „normalen“ Virenscanner starten, und diesen (sicherheitshalber) nach einem Neustart nochmals wiederholen. Im Anschluss daran sollten die Malware-Komponenten entfernt sein. Dies können die Systembetreuer im Combofix-Logfile überprüfen. Das Werkzeug steht auf der Seite von Bleepingcomputer zum kostenlosen Download bereit.