Problembehandlung bei der Suche nach potenziell infizierten Dateien, wenn ein Virus nicht erkannt wurde
Technische Artikel ID:
KB53094
Zuletzt geändert am: 2021-01-25 14:37:10 Etc/GMT
Zuletzt geändert am: 2021-01-25 14:37:10 Etc/GMT
Umgebung
Alle McAfee-Antiviren-Produkte für Desktops und Server unter Microsoft Windows
Zusammenfassung
In diesem Artikel werden mehrere Vorgehensweisen und Speicherorte beschrieben, die Ihnen dabei helfen, verdächtige Dateien auf Ihrem Computer zu finden, wenn eine Infektion nicht von Ihren Antiviren-Produkten erkannt wurde.
Mögliche Symptome:
Mögliche Symptome:
- Verdächtiges Verhalten des Computers, z. B. hohe CPU-Auslastung bei unbekannten Prozessen.
- Deutlich erhöhter Netzwerkverkehr bzw. deutlich erhöhte Bandbreitenauslastung.
- Neue Dienste wurden hinzugefügt oder vorhandene Dienste wurden entfernt.
- Kein Zugriff auf Netzwerkressourcen, wie z. B. freigegebene Laufwerke.
- Anwendungen funktionieren nicht mehr oder Dateien können nicht aufgerufen werden.
- Unerwartete Registrierungsschlüssel wurden hinzugefügt.
- Die Startseite des Internet Explorer wurde ohne Berechtigung geändert.
WICHTIG: Aufgrund der Vielzahl an Malware und anderen Bedrohungen ist es nicht möglich, alle möglichen Infektionssymptome aufzuführen. Wenn Sie vermuten, dass Ihr System infiziert ist und die spezifischen Symptome hier nicht aufgeführt sind, sollten Sie trotzdem alle verfügbaren Vorsichtsmaßnahmen ergreifen. Achten Sie darauf, dass Ihre DAT-Dateien auf dem aktuellen Stand sind, und führen Sie einen On-Demand-Scan oder einen Befehlszeilen-Scan Ihres Systems durch. Sollte keine Infektion erkannt werden, befolgen Sie die in diesem Artikel enthaltenen Anweisungen zur Erfassung verdächtiger Beispieldateien, um sie an McAfee Labs zu senden.
Der Artikel enthält Verweise auf einige Tools von Drittanbieter. Anweisungen zu deren Verwendung finden Sie in den Hilfedateien der entsprechenden Produkte.
Vor der Suche nach verdächtigen Dateien:
Vor der Suche nach verdächtigen Dateien:
- Aktualisieren Sie Ihre DAT-Dateien, und vergewissern Sie sich, dass das neueste Scan-Modul installiert ist.
- Vergewissern Sie sich, dass Sie den neuesten Produkt-Patch oder HotFix verwenden.
- Installieren Sie die neuesten Microsoft-Sicherheits-Patches.
- Überprüfen Sie die Scan-Einstellungen für Ihre Produkte.
- Führen Sie einen vollständigen On-Demand-Scan durch, bei dem alle Scan-Einstellungen aktiviert sind.
- Wenden Sie die neuesten Beta-DAT-Dateien an, und führen Sie einen On-Demand-Scan durch.
Wenn als Ergebnis des On-Demand-Scans immer noch keine Bedrohungen erkannt wurden:
- Durchsuchen Sie die Windows-Konfigurationsdateien nach verdächtigen Einträgen.
- Durchsuchen Sie die Gruppe der Autostartprogramme nach unbekannten Elementen oder Anwendungen.
- Überprüfen Sie Speicherorte in der Registrierung, die häufig von Malware verwendet werden, auf verdächtige Einträge.
- Überprüfen Sie mithilfe von Windows Explorer Verzeichnisspeicherorte, die häufig von Malware verwendet werden, auf verdächtige Dateien.
- Suchen Sie in der Windows-Aufgabenplanung nach unbekannten Einträgen.
- Verwenden Sie weitere Tools von Intel Security und anderen Anbietern zur Erkennung von böswilligen Aktivitäten.
Lösung 1
Überprüfen Sie grundsätzlich Folgendes, bevor Sie sich an den technischen Support wenden:
Sicherstellen, dass die neuesten DAT- und Moduldateien verwendet werden
Laden Sie die aktuellen DAT- und Moduldateien von der Website für Sicherheitsaktualisierungen herunter:Sicherstellen, dass der neueste Produkt-Patch oder HotFix verwendet wird
- Beschaffen Sie sich die neuesten Sicherheitsaktualisierungen:
Eine DAT-, Modul-, XDAT- oder Stinger-Datei können Sie hier herunterladen: https://www.trellix.com/en-us/downloads/security-updates.html.
Sie benötigen diese Dateien möglicherweise, wenn beim automatischen Update ein Fehler auftritt oder Sie eine Extra.DAT-Datei auf einem infizierten System verwenden möchten.- Klicken Sie auf die Registerkarte DAT-Dateien, um die neueste DAT-Datei herunterzuladen. Das Dateiformat bezeichnet die DAT-Version dat-####.zip, wobei #### für die DAT-Version steht.
- Klicken Sie auf die Registerkarte Scan-Module, um das neueste Scan-Modul herunterzuladen.
- In der Spalte 'Version' ist das Freigabedatum der neuesten Scan-Modul-Version angegeben.
Microsoft-Sicherheits-Patches
- Ermitteln Sie die neueste Patch- und HotFix-Version. Die entsprechenden Informationen finden Sie im Artikel über unterstützte Plattformen für Ihr Produkt, der hier verfügbar ist.
- Ermitteln Sie, welcher Patch bzw. HotFix installiert ist. Die Vorgehensweise hängt vom Produkt ab, häufig kann es folgendermaßen ablaufen:
- Klicken Sie in der Taskleiste mit der rechten Maustaste auf das Produktsymbol, und wählen Sie Info aus.
- Öffnen Sie die Produktkonsole, und wählen Sie Hilfe und dann Info aus.
- Bei einigen Produkten ist ein Konsolenbefehl erforderlich, um zu ermitteln, ob ein Patch installiert ist. Informationen hierzu finden Sie in der entsprechenden Produktdokumentation.
Informationen zu Trellix Produktdokumenten finden Sie im Enterprise-Produkt Dokumentationsportal unter https://docs.trellix.com/.
- Laden Sie den neuesten Produkt-Patch herunter, und installieren Sie ihn. Zur Entfernung eines Virus müssen möglicherweise ein Produkt-Patch installiert und die DAT-Datei und/oder das Scan-Modul aktualisiert werden.
Software, Upgrades, Wartungsversionen und Dokumentation für McAfee-Produkte können auf der Produkt-Download-Site unter https://www.trellix.com/de-de/downloads/my-products.html heruntergeladen werden.
HINWEIS: Für den Zugriff benötigen Sie eine gültige Grant-Nummer. In KB56057 finden Sie zusätzliche Informationen zur Produkt-Download-Website und zu alternativen Download-Adressen für bestimmte Produkte.- Beschaffen Sie sich den neuesten HotFix.
HotFixes werden zur Behebung bestimmter Probleme erstellt und nicht öffentlich bereitgestellt. Sie sind jedoch über den technischen Support verfügbar.
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Installieren Sie die neuesten Microsoft-Sicherheits-Patches, um Angriffe auf Schwachstellen zu verhindern:Konfiguration von Einzelprodukten
- Windows-Aktualisierungen finden Sie unter http://update.microsoft.com/microsoftupdate/v6/muoptdefault.aspx?ln=en&returnurl=http://update.microsoft.com/microsoftupdate/v6/default.aspx?.
- Vergewissern Sie sich, dass die neuesten Patches und HotFixes heruntergeladen und installiert sind. Sie können in Windows einstellen, dass dies automatisch erfolgt.
Vergewissern Sie sich, dass für On-Access- und On-Demand-Scans die folgenden Optionen aktiviert sind:Vergewissern Sie sich, dass die folgenden Optionen aktiviert sind:
- Scannen auf Spyware
- Scannen auf möglicherweise unerwünschte Programme
- Heuristisches Scannen
- Buffer Overflow-Schutz
- Global Threat Intelligence in der höchsten Empfindlichkeitsstufe (siehe KB70130)
Einige dieser Optionen sind nur in VirusScan Enterprise verfügbar. Informationen und Anleitungen hierzu finden Sie im Produkthandbuch für Ihr Produkt.
Informationen zu Trellix Produktdokumenten finden Sie im Enterprise-Produkt Dokumentationsportal unter https://docs.trellix.com/.
Ausführen eines On-Demand-Scans, bei dem alle Scan-Einstellungen aktiviert sind
Führen Sie einen vollständigen On-Demand-Scan aller Dateien durch, bei dem Säubern als primäre Aktion eingestellt ist. Informationen zum Konfigurieren eines On-Demand-Scans finden Sie im Produkthandbuch für Ihr Produkt. Klicken Sie für VirusScan Enterprise auf Start, Programme, McAfee, On-Demand-Scan und dann auf Start.
Ausführen von scan.exe mit den neuesten Beta-DAT-Dateien
Wenn die Infektion durch den On-Demand-Scan und die Standard-DAT-Dateien nicht erkannt wurde, dann helfen möglicherweise die zusätzlichen Signaturen in den Beta-DAT-Dateien.
- Hier können Sie die Beta-DAT-Dateien herunterladen: https://www.trellix.com/en-us/downloads.html.
- So wenden Sie die Beta-DAT-Dateien an:
- Automatisch (mithilfe der neuesten ausführbaren SuperDAT-Datei):
- Starten Sie avvwin_xdatbeta.exe auf dem infizierten Computer. Dadurch werden alle Produkte aktualisiert, die DAT-Dateien verwenden.
- Führen Sie je nach Produkt einen On-Demand-Scan auf allen Festplatten bzw. Datenbanken durch, nachdem die Aktualisierung erfolgreich abgeschlossen wurde.
- Manuell (mithilfe der neuesten DAT-Datei):
Die Anweisungen zum manuellen Aktualisieren der DAT-Dateien für Ihr Produkt finden Sie im entsprechenden Artikel.
LinuxShieldSaaS Endpoint Protection KB53768 Security for SharePoint VirusScan Enterprise
Lösung 2
Auffinden verdächtiger Dateien
Verdächtige Einträge befinden sich besonders häufig in den Startordnern und in der Windows-Registrierung. Überprüfen Sie die folgenden Pfade.
ACHTUNG: Dieser Artikel enthält Informationen zum Öffnen oder Ändern der Registrierung.
Verdächtige Einträge befinden sich besonders häufig in den Startordnern und in der Windows-Registrierung. Überprüfen Sie die folgenden Pfade.
ACHTUNG: Dieser Artikel enthält Informationen zum Öffnen oder Ändern der Registrierung.
- Die folgenden Informationen richten sich an Systemadministratoren. Änderungen an der Registrierung können nicht rückgängig gemacht werden und können einen Systemfehler hervorrufen, wenn sie nicht ordnungsgemäß vorgenommen werden.
- Bevor Sie diesen Vorgang fortsetzen, sollten Sie unbedingt die Registrierung sichern. Außerdem sollten Sie mit dem Wiederherstellungsprozess vertraut sein. Weitere Informationen finden Sie unter http://support.microsoft.com/kb/256986.
- Führen Sie keine REG-Datei aus, deren Import aus der Registrierung nicht bestätigt ist.
Systemkonfigurationsdateien:
- Win.ini
Diese Datei wurde von früheren Windows-Versionen während des Systemstarts verwendet. Ab Windows 7 wird der Inhalt dieser Datei in der Registrierung gespeichert. - System.ini
Diese Windows-Initialisierungsdatei wurde hauptsächlich bei früheren Windows-Versionen verwendet. Aus Gründen der Rückwärtskompatibilität ist diese INI-Datei jedoch auch in neueren Windows-Versionen enthalten. - Autoexec.bat
Diese Systemstartdatei ist aus Gründen der Rückwärtskompatibilität auch in höheren Windows-Versionen enthalten und wird im Hauptverzeichnis des Systemlaufwerks gespeichert. Diese Stapelverarbeitungsdatei führt Befehle beim Systemstart aus. - Config.sys
Diese ältere Windows-ASCII-Textdatei enthält Konfigurationsanweisungen, die über msconfig aufgerufen werden können.
So zeigen Sie die Systemkonfiguration mithilfe von msconfig an:
- Klicken Sie auf Start und dann auf Ausführen, geben Sie msconfig ein, und drücken Sie die EINGABETASTE.
- Überprüfen Sie die Registerkarte Systemstart.
- Überprüfen Sie die Einträge win.ini und system.ini.
Stellen Sie für die Ordneransicht Details ein, und sortieren Sie die Dateien nach der Spalte Erstelldatum:
- \Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
- \winnt\Profile\All Users\Startmenü\Programme\Autostart
Registrierungspfade
Überprüfen Sie die folgenden Pfade in der Registrierung, die beim Systemstart gestartet und häufig von Malware verwendet werden:
Überprüfen Sie die folgenden Pfade in der Registrierung, die beim Systemstart gestartet und häufig von Malware verwendet werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
Malware-spezifisch:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
Malware-spezifisch:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon
Häufig von Viren verwendete Verzeichnispfade
C:\
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%TEMP%
%ALLUSERSPROFILE%\Startmenü\Programme\Autostart
%userprofile%\Lokale Einstellungen\Temp
%userprofile%\Anwendungsdaten
%userprofile%\Lokale Einstellungen\Anwendungsdaten
C:\Programme\
C:\Temp
C:\Recycler
C:\Dokumente und Einstellungen
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%TEMP%
%ALLUSERSPROFILE%\Startmenü\Programme\Autostart
%userprofile%\Lokale Einstellungen\Temp
%userprofile%\Anwendungsdaten
%userprofile%\Lokale Einstellungen\Anwendungsdaten
C:\Programme\
C:\Temp
C:\Recycler
C:\Dokumente und Einstellungen
Überprüfen der Registrierung auf verdächtige Aktivitäten oder Malware
Ausführliche Informationen über die Dienstprogramme, die in den folgenden Schritten genannt werden, finden Sie in KB72766.
- Analysieren Sie die Registrierung mit dem Rootkit-Entdeckungsprogramm IceSword.
- Klicken Sie auf Start, Programme, McAfee, On-Demand-Scan und dann auf Start, um einen On-Demand-Scan auszuführen.
- Sollte mit dem On-Demand-Scan keine Bedrohung erkannt werden, überwachen Sie die Aktivität mit den kostenlosen Dienstprogrammen FPort und Vision.
HINWEIS: Die folgenden Dienstprogramme anderer Anbieter können die Protokollierung böswilliger Dateiaktivitäten erleichtern:- Process Explorer
- TCPView
- ProcMon
- Autoruns
- RootkitRevealer
Lösung 3
Vor der Kontaktaufnahme mit dem technischen Support
- Sammeln Sie verdächtige Proben.
Bringen Sie alle Dateien oder die oben aufgeführten Methoden, die Ihnen verdächtig erscheinen, an einem Ort zusammen. Achten Sie darauf, dass alle Dateiproben in einer einzigen kennwortgeschützten ZIP -Datei enthalten sind. Das Kennwort muss infiziert lauten.
- Senden Sie Proben an McAfee Labs.
Laden Sie die Proben über das ServicePortal oder das Platinum Portal hoch. Eine entsprechende Anleitung finden Sie in KB68030.
- Erfassen Sie die Ergebnisse des MER-Tools (Minimum Escalation Requirements) für Ihre Produkte, und senden Sie sie ein:
- Führen Sie das MER-Tool für Ihre Produkte aus. Ausführliche Informationen über die MER-Tool-Liste für Sicherheitsprodukte finden Sie in KB59385.
- Halten Sie die Datei Results.tgz bereit, wenn Sie sich an den technischen Support wenden.
Themenbezogene Informationen
Einsendungen
Informationen zum Einsenden einer potenziell infizierten Datei, einer möglicherweise falschen oder falsch klassifizierten Datei oder einer Unternehmens-Software bzw. eines Unternehmens-Images an McAfee Labs finden Sie in KB68030.
DAT-Dateien
Informationen zum Kombinieren mehrerer extra.DAT-Dateien über das ServicePortal oder das Platinum Portal finden Sie in KB68061.
Informationen darüber, wie Sie alle Produkte finden, die DAT-Dateien verwenden, sowie Antworten auf häufig gestellte Fragen zu anderen DAT-Dateien finden Sie in KB55986.
Befehlszeilen-Scans
Informationen zum Durchführen eines Befehlszeilen-Scans unter Microsoft Windows finden Sie in KB51141.
EICAR
GetSusp
Häufig gestellte Fragen zu GetSusp finden Sie in KB69385.
Global Threat Intelligence (Artemis)
Informationen zum Überprüfen der ordnungsgemäßen Installation von Global Threat Intelligence finden Sie in KB53733.
Informationen zum Einsenden einer potenziell infizierten Datei, einer möglicherweise falschen oder falsch klassifizierten Datei oder einer Unternehmens-Software bzw. eines Unternehmens-Images an McAfee Labs finden Sie in KB68030.
DAT-Dateien
Informationen zum Kombinieren mehrerer extra.DAT-Dateien über das ServicePortal oder das Platinum Portal finden Sie in KB68061.
Informationen darüber, wie Sie alle Produkte finden, die DAT-Dateien verwenden, sowie Antworten auf häufig gestellte Fragen zu anderen DAT-Dateien finden Sie in KB55986.
Befehlszeilen-Scans
Informationen zum Durchführen eines Befehlszeilen-Scans unter Microsoft Windows finden Sie in KB51141.
EICAR
EICAR ist eine Standardtestdatei für Malware-Schutzprogramme. Informationen zum Beziehen und Verwenden von EICAR finden Sie in KB59742.
GetSusp
Häufig gestellte Fragen zu GetSusp finden Sie in KB69385.
Global Threat Intelligence (Artemis)
Informationen zum Überprüfen der ordnungsgemäßen Installation von Global Threat Intelligence finden Sie in KB53733.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: