Was funkt denn da? Wer nutzt meinen PC?

Nur ein Rechner, der rechnet, ist ein guter Rechner. Könnte man meinen. Aber mindestens ebenso interessant ist die Frage, für wen er rechnet. Für Sie, weil Sie ihm eine Aufgabe übertragen haben. Oder für Schäubles Stasi 2.0, weil seine Schwarzmäntel schon mal ohne Rechtsgrundlage bei Ihnen im PC herumschnüffeln? Das würden die nie tun? In Afghanistan betreibt es unsere Verteidigungsarmee ad definitione einen Angriffskrieg ohne Rechtsgrundlage, da der vom Bundestag seinerzeit abgesegnete Natovertrag nur Verteidigungseinsätze auf europäischen Territorium vorsieht. So dürfte auch die Hemmschwelle bei Schäubles Bundesinnenministerium und dem Staatsschutz eher gering sein [siehe Blog.Merkwürdigkeiten: 'Von Terrorgefahr, Bürger-Überwachung und Angriffskriegen']. Aber vielleicht rechnet Ihr Rechner auch nur für einen oder mehrere Betreiber von Trojanern, welche diesen zum Spamversand, für komplexe Berechnungen oder zum Lahmlegen von Internetseiten gegen Bares nutzen.

Ich habe einen PC, habe Internet, ich schimpfe und mahne und liege damit in der Zielgruppe von Staatgewalt und Gaunern. Aber ich habe auch einen Torwächter, die Syg... Personal Firewall, mittels derer ich den gesamten ein- und ausgehenden Traffic sperren kann. Den gesamten Traffic? Nein, ein von unbeugsamen Programmcode geführter Trojaner hört nicht auf, der Firewall Widerstand zu leisten. Das Leben ist nicht leicht für die abwehrende Firewall, den Viren- und Trojanerscannern, die als Sicherheitssoftware in dem befestigten Lager 'Heimcomputer Kleinbonum' arbeiten.

Wenigstens ein Programm weigert sich also beharrlich, den Anweisungen der Firewall Folge zu leisten. Und funkt sowohl raus als auch rein mit ziemlich konstant 6,2 KB/Sekunde. Festgestellt habe ich es übrigens vermittels eines alten Windows-Tools: Anal... Netstat live, welches mir unabhängig von der ungenauen Traffic-Anzeige der Firewall eben dieses signalisierte.

Um Schäubles Schwarzmänteln respektive den Gaunern mit Seidenschal das Handwerk zu legen, scannte ich zunächst mit Onboard-Hausmitteln nach denselben:

• Lavas...'s Adaware fand immerhin zehn Trojaner,
• Spybot Search & Destroy fand immerhin noch acht weitere,
• der sehr spezielle Stin... von Mc. Affee fand nichts,
• dafür fand der Root... Remover drei mögliche Rootkits... .

Und dann deinstallierte ich mein seit Jahren bewährtes Av... Antiv.. Personal Edition Classic, um es mit dem von Computerbild hochgelobten und stetig promoteten Testsieger Kasper... Anti-Virus Personal zu ersetzen. Ab hier lief jedoch vieles schief:

Nach Installation und Neustart untersuchte Scandisk die Festplatte und fand erstmals 65 GB in fehlerhaften Sektoren und ungültigen Zuordnungseinheiten. Fast der gesamte freie Speicherplatz der Festplatte war über Nacht defekt. Nur 134 GB der 199 GB-HDD sollten noch intakt sein. Als der Rechner dann hochgefahren war, sah ich nur das Hintergrundbild - keine Taskleiste, keine Uhr und kein START-Button weit und breit. Ich ging über STRG+ALT+ENTF in den Tastmanager und startete von dort aus manuell eine Instanz des Explorers. Nun hatte ich zwar die vertraute Arbeitsumgebung, jedoch kein Internet. Zudem war von der Kaspers... Sicherheits Suite nichts zu sehen, so dass ich diese manuell startete. Das Programm erschien nun in der Taskleiste unten rechts :-) .

Ich startete den Rechner neu - dies dauerte gut viermal solange wie vor dem Wechsel des Virenscanners, klappte aber dafür reibungslos. Nur war jetzt die Schnellstartleiste weg und Kaspers... Virenscanner fand sich weder unten rechts in der Taskleiste noch im Taskmanager. Ich rief das Programm erneut auf und bekam nur die Meldung, ein anderer Benutzer hätte dieses Programm bereits gestartet. Nun reichte es mir. Also ab in die Systemwiederherstellung, um dem Elend ein Ende zu setzen, zum System-Sicherungspunkt vor dem Wechsel der Antivirensoftware zurückzukehren. Doch die Wiederherstellung des Systemhaltepunktes konnte nicht durchgeführt werden - vermutlich, weil ich den alten Virenscanner mit dessen Deinstallation entfernt hatte.

Nun wurde es interessant. Denn André ohne Internet ist wie Manni ohne Manta. Allerdings war es tröstlich zu wissen, dass Schäubles Schwarzmäntel und all die anderen Gauner auf der dunklen Seite des Internet nun ebenfalls ohne Funkkontakt dastanden. Ich ging jetzt in 'START/SYSTEMSTEUERUNG/SOFTWARE', um Kasper... Anti-Virus Personal zu deinstallieren. Das Deinstallationssetup bat mich jedoch freundlich, aber bestimmt, vor der Deinstallation das Programm zu beenden. Das jedoch konnte ich nicht - weder ließ es mich über ALT+ TAB, noch über die Taskleiste auf dieses zugreifen. Und selbst der Taskmanager scheiterte bei dem Versuch, dieses aus dem Speicher zu werfen an einer Verweigerung des Zugriffs.

Ich hatte als alter Falschspieler jedoch noch einen Trumpf im Ärmel: Den abgesicherte Modus. Hierin endlich ließ sich Computerbilds hochgelobter Testsieger deinstallieren - jedoch nicht ohne zuvor einestundefünfzehnminutenlang die zur Beschleunigung der Virensuche angelegten 'NTFS-Ströme' zu entfernen, die es während der Installation in fünf Minuten angelegt hatte.

Nun ging's bergauf. Noch schnell die neueste Version von Av... Antiv.. Personal Edition Classic installiert - sogar mit Rootkit-Virenscanner(!) - und laufen gelassen. Und siehe da, es fand zehn weitere Viren und Trojaner. Und das Netzwerk/Internet ist auch wieder zugänglich. Nur Scandisk meldet noch unverändert 65 GB in fehlerhaften Sektoren.

Was lehrt mich nun der ganze Mist? Bleib bei dem, was installiert ist. Und update es nur gelegentlich.


PS: Irgendwas funkt immer noch mit ziemlich konstant 6,2 KB/sec...


Nachtrag vom 29.4.07: Nun wurde es kritisch. Nur eine Woche nach der Grundreinigung war mein System wieder total verseucht. Nun reichte es - ich brauche eine Firewall, die absolut dicht ist und nicht inkontinent. Also habe ich mich mit meiner Lieblingsfirewall Zonel... ZoneAl... beschäftigt. Bekanntlich brach bisher jeder Aufruf respektive jeder Installationsversuch mit der Fehlermeldung ab, Setup könne den 'True Vector Monitor' nicht beenden. Mein jüngerer Sohn hatte die Lösung im Handumdrehen gegoogelt: Nach der Deinstallation von Zone-Alarm einfach im Ordner '/SYSTEM32' des Windows Betriebssystem-Ordners den Zonealarm-Unterordner löschen. Danach ging dann alles wie von selbst, nur noch einmal die Festplatte geputzt und nun ist Ruh'.

Nachtrag vom 1.5.07: Der 'letzte Trojaner' ist entdeckt (durch Spybot Search & Destroy): Er heißt 'Win32.Agent.pz', nistet zum Teil im Windows Systemverzeichnis 'SYSTEM32/WSNPOEM' und besteht dort nur aus den Dateien 'AUDIO.DLL' und 'VIDEO.DLL'. Er ist unglaublich widerstandsfähig. Weder lässt er sich

• durch Spybot. in einem Neustart vor dem Laden derNicht-WindowsXP-Programme löschen
• noch im abgesicherten Modus löschen
• noch durch Anschluss des Bootlaufwerkes an einen anderen PC und dem dortigen Löschen dauerhaft beseitigen. Nach dem Rückbau und ersten Hochfahren war er wieder da.

Erst ein am 17.5.07 aktualisiertes Lavas... AdAw... machte diesem Trojaner den Garaus. Es erkannte ihn als W32.TrojanSpy.Peed mit einem 'TAC Rating' (Threat Assessment Chart) von 10 (Skala 1-10: 1=leichte, 10=schwere Infektion). Spybot konnte ihn vermutlich deswegen nicht beseitigen, weil es dessen Hauptprogramm 'ntos.exe' übersah.

Und dann meldete mir Anti... nach einem automatischen Update der Virendefinitionsdatei 2 Funde in 'C:\C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders' mit Namen 'IBM0003.dll' und 'IBM0004.dll'. Die ließen sich partout nicht löschen, in Quarantäne verschieben oder für den Zugriff sperren - erst nach einem Neustart ließen sie sich vom Virenschutzprogramm umbenennen und danach manuell löschen. Es bleibt spannend - wie immer.

(!! WEGEN ABMAHNUNGEN WERDEN HERSTELLER UND PROGRAMMBEZEICHNUNGEN NICHT MEHR MIT VOLLSTÄNDIGEN NAMEN GENANNT !!)