Warum *ich*?

MFromH

Liebe Security-Profis,

anlässlich meines 1. Postings sage ich erst einmal "Hallo" und "Guten Tag".

Letzten Donnerstag brachte mir ein Freund seinen PC (Windows XP Home), auf dem er sich beim Surfen "Windows XP Restore" Scareware / Rogueware eingefangen hatte. Sein G-Data Antivirus 2010 hatte das Teil zwar erkannt, aber offensichtlich trotzdem durchgelassen.

Ich kämpfte mich bis zur Eingabeaufforderung vor, sicherte mit Robocopy auf eine externe Festplatte und machte mich dann an den heldenhaften Kampf gegen die Malware. Details erpar ich uns mal, weil sie nicht Inhalt dieses Postings sind.

Nach einigen Stunden der Arbeit "sah" alles wieder prima aus. Da ich zur Kenntnis nehmen musste, dass G-Data Antivirus noch nicht einmal die Dateien erkannte, von denen ich durch Googleln bereits wusste, dass es Malware war, habe ich mir stattdessen Kaspersky Internet-Security besorgt.

Und jetzt kommt's: Beim Booten nach der Deinstallation von G-Data wird der Rechner geschreddert Die Autostart-Programme werden nicht ausgeführt, sondern in der Eingabeaufforderung angezeigt, weil der programme-Ordner weitgehend gelöscht wurde. Auch ließ sich hier nichts Neues installieren, weil angeblich die Rechte fehlten (obwohl ich Admin war).

Na gut, dachte ich mir, ist die Malware doch schlauer als ich. Mit XP-CD bewaffnet und für den nächsten Tag Neu-Installation des Systems geplant.

Da ich von G-Datas Leistung doch herb enttäuscht war, habe ich mir auch für mein eigenen Rechner Kaspersky gekauft, saß Sonntag abend mit dem Notebook auf dem Schoß vor dem "Tatort" und deinstallierte zunächst mein G-Data. Nach dem Booten musste ich dann zusehen, wie mein treuer Begleiter mit genau den oben beschriebenen Symptomen unbrauchbar gemacht wurde. Es war zum Heulen: 28 Jahre lang PC-Benutzer, von PC-Dos 2.1 bin Win 7 64 Bit alle PC-Betriebssysteme durchlitten, nie auf riskanten Seiten gesurft, nie ominöse E-Mails geöffnet, zig Leuten geholfen, wenn sie sich etwas eingefangen hatten, immer kostenpflichtige Antivirus-Programme namhafter Hersteller benutzt, nie Opfer eines Angriffs geworden und nun das ... :-(((((

Das Allerschlimmste - und damit komme ich nach langer Vorrede zur eigentlichen Frage - : Ich habe bis dato nicht die geringste Ahnung, wie die Malware auf meinen Rechner gekommen ist

Folgende Alternativen fallen mir ein:
1. G-Data selber ist der Schädling (buggy, gephishte oder gehackte Version ...) und schreddert den PC bei der Deinstallation.
2. Mein Notebook hatte eine Vorschädigung (Backdoor ...), und der "Schläfer" hat nur darauf gewartet, dass der Wächter verschwindet, um zuzuschlagen.
3. Die Malware vom PC meines Freundes ist irgendwie auf meinem Notebook gelandet.

Zu 1.: Ich installierte und deinstallierte die G-Data-Version, die auf beiden Rechnern ihren Dienst tat, in virtuellen Maschinen - ohne jede Auffälligkeit.

Zu 2.: Meine letzte (zum Glück sehr junge) Datensicherung habe ich mit Kaspersky und Emsisoft untersucht - ohne jeden Befund. Mein Notebook habe ich - da Windows den Dienst verweigert - mit Kaspersky Linux-CD untersucht - ebenfalls ohne Befund.

Wenn also 3. zutreffen würde, wird das Teil zumindestens von Kasperky nicht gefunden.

Mit anderen Worten: Ich habe keine Ahnung, warum es mir mein Notebook am Sonntag zerrissen hat, und ich weiß auch nicht, was ich tun soll, damit so etwas nicht wieder passiert :-(

Drei Fragen hätte ich jetzt an Euch:
1. Wie könnte die Malware auf meinen Rechner gekommen sein?
2. Gibt es für mein defektes Notebook noch bessere Linux-basierte Analyse-Programme als Kaspersky?
3. Wie kann ich herausbekommen, ob hier in meinem kleinen Netzwerk noch irgendwo ein "Schläfer" seinen Dienst tut, der nur darauf wartet, dass das Antivirus-Programm deinstalliert wird?

Kann jemand von Euch helfen? Danke schon mal im Voraus.

--
BFN
Michael