Suspicious:W32/Malware!Gemini – System infection – was tun?

Heute mal ein Beitrag, der eigentlich kein Programmierthema beinhaltet, aber vielleicht trotzdem für den einen oder anderen interessant ist.

Ich verwende F-Secure 2011 (siehe hierzu auch meinen Erfahrungsbericht zur Software F-Secure Internet Security) Bei einer Überprüfung meiner Festplatte mit eingeschalteter Heuristik-Erkennung meldete mir F-Secure 2011 eine System infection – Suspicious:W32/Malware!Gemini.
Allerdings ohne mir zu sagen, welche Dateien davon betroffen wären.  Hierbei steht man nun vor einem Problem, denn entweder hat man ein Problem und das möchte man natürlich lösen, oder es handelt sich um einen Fehlalarm, was durchaus bei Heuristik-Erkennung vorkommen kann. Aber was tun?

Einfach bereinigen lassen? was, wenn es sich um Systemdateien handelt? und der PC danach vielleicht nicht mehr startet…? Aber was, wenn man nichts tun und hat einen Virus oder Trojaner auf der Platte?

Nun, um dies lösen zu können, muss man einfach wissen, welche Dateien betroffen sind. Nur: was, wenn man die Dateien einfach nicht benannt bekommt (diese sollte F-Secure eigentlich zeigen).

Nun meine Vorgehensweise war:

Verschiebe die Dateien zunächst in die Quarantäne-Zone – F-Secure speichert diese unter C:\ProgramData\f-secure\Quarantine

Zunächst einmal müssen Sie dafür sorgen, dass Sie überhaupt c:\programmdata sehen, wenn Sie z.B. den Windows-Explorer starten.

Hierzu (falls nicht ohnehin sichtbar):

  • wählen Sie im Windows Explorer aus dem Menü „Extras – Ansicht – Ordneroptionen“ und hier das Register „Ansicht“
  • Blättern Sie zu „Versteckte Dateien und Ordner“ und klicken Sie hier die Option an:
    Alle Dateien und Ordner anzeigen

Nun sollten Sie c:\programmdata sehen.

Allerdings haben Sie damit noch keinen Zugriff auf
C:\ProgramData\f-secure\Quarantine

Sie müssen sich also erst Zugang verschaffen.

  • Klicken Sie auf C:\ProgramData\f-secure\Quarantine mit rechts und wählen Sie aus dem Kontextmenü „Eigenschaften“.
  • Hier wechseln Sie zum Register „Sicherheit“. Wählen Sie nun „Bearbeiten“ unterhalb von Gruppen- und Benutzernamen.
  • Sie erhalten den Dialog „Sicherheit“. Klicken Sie hier auf „Hinzufügen“
  • In der Texteingabebox „Geben Sie den zu verwendeten Objektnamen ein“ geben Sie nun Ihren Windows-Benutzernamen an. Klicken Sie dann auf „Namen prüfen“, um einen schönen Objektnamen zu erhalten.
  • Wählen Sie dann „OK“, um die Box zu schließen. Der Benutzername wird nun im Dialog „Berechtigungen für Quarantine“ den Gruppen- und Benutzernamen hinzugefügt.
  • Markieren Sie den neuen Benutzernamen und markieren Sie bei den Einstelloptionen unter „Berechtigungen“ zumindest „Lesen / Ausführen“.

Nun haben Sie Zugriff auf die Quarantäne-Verzeichnisse.
In \Samples finden Sie die verschobenen Dateien in einer speziellen Form. Lassen Sie dieses Verzeichnis in Ruhe.
Informationen, welche Dateien dort sind, finden Sie in der XML-Datei, die Sie unter „Info“ finden. Öffnen Sie diese z.B. mit Notepad, aber verändern Sie diese möglichst nicht.

Mit Kenntnis, welche Dateien betroffen sind, haben Sie eine bessere Entscheidungsgrundlage, was Sie tun sollten. In meinen Fall handelte es sich übrigens ausnahmslos um einen Falschalarm, dementsprechend habe ich die Dateien über F-Secure wiederhergestellt, also aus der Quarantäne – Zone zurückverschoben.

Diese Vorgehensweise hat mit sehr geholfen. Da die obigen Schritte eigentlich nicht vorgesehen sind, kann ich aber keine Garantie übernehmen, dass dies eine Hilfe für andere ist. Auch müssen Sie selbst die Verantwortung übernehmen, falls Sie durch diese Schritte ein Problem verursachen. Wenn Sie nicht sehr erfahren sind mit Computern, so sollten Sie jemand zu Rate ziehen, der umfangreichere PC-Kenntnisse hat.

Zu den Angeboten der Woche

Verwandte Themen:


Comments are closed.