M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Wenn ein Rechner von einem Computer-Virus befallen ist, sollte das Anti-Viren-Programm dies anzeigen. Dafür muss es natürlich auf dem aktuellsten Stand sein. Anzeichen für einen Virenbefall können außerdem unerklärliches Systemverhalten, unerklärlicher Ressourcenverbrauch oder unerwartete Netz-Zugriffe sein.
Anti-Viren-Programme können erkannte Infektionen automatisch entfernen. Dabei werden infizierte Dateien (Wirtsdateien) bereinigt, d. h. der originale Dateizustand wird wieder hergestellt. Eigenständige Schadprogramme können vom Anti-Viren-Programm gelöscht werden. Alternativ werden die infizierten Dateien in Quarantäne gestellt.
Benutzer sollten vor allem folgende Punkte beachten:
- Ruhe bewahren!
- Falls möglich, holen Sie einen fachkundigen PC-Betreuer zur Hilfe.
- Beenden Sie die laufenden Programme.
Die weiteren Schritte sollte möglichst ein Administrator durchführen.
- Booten Sie den Rechner von einem virenfreien, schreibgeschützten Datenträger. Hierzu können Sie eine System- bzw. Boot-Diskette benutzen (die Notfalldiskette, siehe M 6.24 Erstellen eines Notfall-Bootmediums). Alternativ kann auch von einer aktuell erstellten, virenfreien, bootfähigen CD-ROM oder einem USB-Stick gebootet werden. Hierzu kann beispielsweise Knoppix verwendet werden, eine komplett von CD-ROM lauffähige Zusammenstellung von GNU/Linux-Software (siehe www.knoppix.org).
- Eventuell muss vorher noch die Boot-Reihenfolge im CMOS-Setup geändert werden (siehe M 4.84 Nutzung der BIOS-Sicherheitsmechanismen).
- Überprüfen Sie den Rechner mit einem aktuellen Anti-Viren-Programm um festzustellen, ob tatsächlich ein Computer-Virus aufgetreten ist und um welchen Computer-Virus es sich handelt. Dabei sollte ein Protokoll erstellt werden.
- Führen Sie eine Datensicherung durch, aber überschreiben Sie keine aktuelle Datensicherung.
- Entfernen Sie den Virus und überprüfen Sie mit dem Anti-Viren-Programm die Festplatte erneut.
- Untersuchen Sie alle anderen Datenträger (Disketten, Wechselplatten) auf Virenbefall und entfernen Sie die Computer-Viren.
- Warnen Sie andere IT-Benutzer, wenn ein Datenaustausch mit dem infizierten Rechner erfolgte.
Windows-Betriebssysteme haben Schutzmechanismen, die eine Desinfektion des Systems verhindern können. Zur Entfernung der Infektion müssen diese Schutzmechanismen zunächst deaktiviert werden. Daher sollten folgende Schritte durchlaufen werden:
- Deaktivieren Sie die Windows Systemwiederherstellung.
- Starten Sie den. Computer im abgesicherten Modus neu (mit Administratorberechtigung), damit das zuvor aktualisierte Anti-Viren-Programm Zugriff auf normalerweise geschützte Dateien und Systembereiche hat.
- Entfernen Sie die Infektion mit dem Anti-Viren-Programm.
- Starten Sie das System wieder mit voller Funktionalität.
- Überprüfen Sie den Rechner zur Kontrolle erneut auf Virenbefall.
- Aktivieren Sie die Systemwiederherstellung wieder.
Hinweis: Nachdem alle Schadprogramme entfernt worden sind, sollten alle von diesem Rechner aus genutzten Zugangskennungen und Passwörter geändert werden, um Missbrauch vorzubeugen.
Sollte der Computer-Virus Daten gelöscht oder verändert haben, versuchen Sie, die Daten aus den Datensicherungen (siehe M 6.32 Regelmäßige Datensicherung) und die Programme aus den Sicherungskopien der Programme (siehe M 6.21 Sicherungskopie der eingesetzten Software) zu rekonstruieren.
Ergänzende Kontrollfragen:
- Sind diese Verhaltensregeln allen Mitarbeitern bekanntgegeben worden?
- Gibt es fachkundige Personen, die im Bedarfsfall die oben genannten Schritte durchführen können?