Hilfsmittel zur Untersuchung und Bereinigung bei Sicherheitsvorfällen

Das Entdecken eines Sicherheitsvorfalls ist nicht immer einfach. Manchmal zeigen sich Schadsoftware-Infektionen durch Fehlermeldungen oder schlechte Reaktionszeiten eines betroffenen Systems. Häufig kann auch bereits eine lokale Überprüfung mit einem anderen Virenscanner als dem normal genutzten, z. B. Malwarebytes, Hinweise auf eine Infektion liefern.

Um das betroffene System genauer zu untersuchen und zu bereinigen, wird eine virenfreie Umgebung benötigt. Idealerweise benutzt man hierfür ein bootfähiges Medium (CD/DVD/USB). Es ist empfehlenswert ein System mit verschiedenen Virenscannern zu testen, um die größte Erkennungsrate, die je nach Produkt sehr unterschiedlich ist, zu erhalten.

Bootbare Antiviren-Systeme/Rettungssysteme

Die Computerzeitschrift c't bietet mit dem Desinfec't-Projekt eine jährlich aktualisierte, kostenpflichtige bootfähige Linux-CD/DVD/USB  mit mehreren Virenscannern an. Dies vereinfacht die Überprüfung mit verschiedenen Virenscannern.

Viele Antivirenhersteller bieten aber auch kostenlose Varianten mit ihren eigenen Virenscannern an, meistens sogenannte Rettungssysteme, mit denen man ein System starten und scannen kann, z.B. das  Avira Rescue System, die Kaspersky Rescue Disk oder das ESET SysRescue Live. Falls kein CD-/DVD-Laufwerk vorhanden ist, lassen sich die CD-Images mit Hilfe von UNetbootin auf einen USB-Stick übertragen. Mit dem Windows Defender Offline bietet Microsoft mittlerweile auch ein Tool an, um ein Windows-Rettungssystem auf einer bootfähigen CD/DVD bzw. einem bootfähigem USB-Stick zu erzeugen.

Experten Hilfsmittel

Die Windows Sysinternals Anwendungen können für eine lokale Untersuchung auf Auffälligkeiten hilfreich sein.

Mit Intrusion Detection Systemen (IDS), wie z.B. Snort [en] oder Suricata [en], lassen sich infizierte Systeme durch auffällige Aktivitäten im Netzwerk aufspüren. Oft wird man jedoch erst von außen auf eine Infektion hingewiesen.