Der Virendoktor
Wenn der Verdacht keimt, dass der Rechner infiziert sein könnte, der Virenscanner aber schweigt, hilft nur noch eine systematische Analyse des Systems. Damit kann man seinen Verdacht bestätigen und eine sinnvolle Therapie einleiten.
Von einem Tag auf den andern scheitern die Update-Versuche der Antiviren-Software. Aus heiterem Himmel warnt die Windows Firewall, dass sie aus Sicherheitsgründen Funktionen von "services" blockiert habe. Beim Versuch, den Virenscanner zu starten, erscheint nur kurz ein Fenster, das aber sofort wieder verschwindet. Der Internet Explorer begrüßt mit einer seltsamen Suchseite und Einträgen zu Viagra, Vicodin und Penisvergrößerung. Ohne konkreten Anlass blinken die LEDs des Routers hektisch. Die möglichen Anzeichen einer Infektion mit irgendwelchem Unrat sind vielfältig.
Die Gefahr, dass auch ein gut gepflegtes Windows-System infiziert wird, ist durchaus real. Selbst mit allen Patches und aktuellem Virenwächter finden sich immer wieder Schlupflöcher, über die ein Schädling eindringen könnte. Wer ist schon so ganz sicher, dass er immer von allen Programmen nur die aktuelle Version auf dem Rechner hat?
Außerdem zeigt die tägliche Erfahrung bei heise Security, dass oft Tage, manchmal Wochen vergehen, bis alle Virenscanner einen wirklich neuen Schädling erkennen und ihre Anwender zuverlässig vor der Gefahr schützen können. Zeit genug also, sich durch einen unbedachten Mausklick etwas einzufangen. Und sind sie einmal an den Schutzmechanismen vorbeigeschlüpft und aktiviert, haben die Schädlinge eine ganze Reihe von Tricks parat, einer zukünftigen Entdeckung zu entgehen.
Diagnostik
Verhält sich der Rechner also irgendwie verdächtig, kann man nur mit systematischem Vorgehen eine verlässliche Diagnose stellen und falls nötig die passende Therapie einleiten. Im ersten Schritt braucht man dazu so viel konkrete Informationen wie möglich. Dabei geht es noch nicht darum, den Rechner zu säubern; erst wenn man sicher weiß, welchen Schädling man sich eingefangen hat, kann man eine vernünftige Entscheidung über das weitere Vorgehen treffen. Und mit etwas Glück gibt es ja auch Entwarnung und es findet sich eine harmlose Erklärung für die seltsamen Phänomene.
Als Erstes konsultiert man den bereits installierten Virenscanner. Bessere Chancen auf ein verlässliches Ergebnis hat man im abgesicherten Modus von Windows. Man erreicht ihn für gewöhnlich über ein Menü, das erscheint, wenn man beim Booten des PCs mehrfach F8 drückt. Im abgesicherten Modus lädt Windows nur die unbedingt erforderlichen Programme und der Scanner kann hoffentlich ungestört seiner Arbeit nachgehen. Besser ist es, gleich ein garantiert sauberes System wie Desinfect von CD zu booten. Dort können sich dann gleich mehrere Virenscanner auf die Jagd machen.
Doch auch auf die Gefahr hin, als paranoid zu gelten: Ein – nach der verdrehten Medizinerlogik – negativer Befund (also: nichts gefunden) ist noch lange kein positives Ergebnis. Wie bereits erwähnt, vergehen manchmal Tage oder Wochen, bis aktuelle Signaturen eine zuverlässige Erkennung ermöglichen. Will man trotzdem sofort Gewissheit, muss man sich selbst auf die Suche begeben.
Wer es nicht ohnehin schon getan hat, sollte zu Beginn dieser Analyse unter "Extras/Ordneroptionen/Ansicht" beziehungsweise "Organisieren/Ordner- und Suchoptionen/Ansicht" unter WIndows 7 einige blinde Flecken des Explorer beseitigen. Standardeinstellungen wie "Erweiterungen bei bekannten Dateitypen ausblenden", "Geschützte Systemdateien ausblenden" und "Versteckte Dateien und Ordner ausblenden" verbergen Informationen, die von Nutzen sein können.
Autostart
Autostart
Fast alle Schädlinge wollen sich irgendwie verewigen – und zwar so, dass sie auch einen Neustart des Systems überleben. Die erste Anlaufstelle für die Suche nach Ungeziefer sind somit die sogenannten Autostarts, die das System irgendwann automatisch ausführt. Dummerweise gibt es unter Windows davon sehr viele und mit Bordmitteln wie msconfig findet man nur einen Teil davon. Das beste Tool zur systematischen Analyse ist Autoruns von SysInternals, das seit einiger Zeit Microsoft gehört. Am besten besorgt man sich gleich die komplette SysInternals-Suite, die noch weitere sehr nützliche Tools enthält.
Bereits auf einem neuen System findet Autoruns mehr Einträge, als man wirklich detailliert untersuchen möchte – und im Lauf der Zeit sammeln sich immer mehr an. Neben den wohl allseits bekannten Run-Keys in der Registry gibt es eine ganze Reihe weniger prominente Stellen, an denen sich Trojaner und insbesondere Spyware ins System einklinken. So installieren bestimmte Spyware-Programme beispielsweise einen sogenannten Layered Socket Provider (LSP). Das ist eine dokumentierte Schnittstelle zum TCP/IP-Stack, über die sich zusätzliche Netzwerkfunktionen realisieren lassen. Microsoft nutzt dies unter anderem, um Quality-of-Service-Erweiterungen einzubinden. Autoruns zeigt diese LSPs unter dem Register "Winsock Providers" an.
Eine vollständige Beschreibung aller Autostarts würde den Rahmen dieses Artikels sprengen. Doch die ist für eine gezielte Suche auch gar nicht unbedingt erforderlich. Mehr Übersicht verschafft das Ausblenden aller Einträge, die auf Programme mit digitaler Signatur von Microsoft verweisen ("Verify Code Signatures" und "Hide Signed Microsoft and WIndows Entries" unter "Options"). Die digitale Signatur bestätigt, dass dieses Programm von Microsoft stammt und nicht verändert wurde. Bereits das Ändern eines einzelnen Bytes in der EXE-Datei macht die Signatur ungültig. Nach dem Aktualisieren der Ansicht bleiben schon deutlich weniger Kandidaten übrig, die man nun systematisch abarbeiten muss.
Ab hier ist mühselige Detektivarbeit angesagt; auf eindeutige Beweise darf man nur noch in Ausnahmefällen hoffen. Erste Anlaufstelle sollten die Einträge ohne "Publisher" oder mit nicht überprüfbarem Hersteller sein. Allein der Name einer Datei sagt wenig aus, verwenden Schädlinge doch bevorzugt solche, die entweder ähnlich aussehen wie echte Systemdateien oder denen sogar gleichen und nur einen anderen Pfad aufweisen. Und wer weiß schon aus dem Kopf ganz sicher, ob lsass.exe in \Windows oder \Windows\system32 liegt? Aber eine angebliche Systemdatei wie "servce.exe" im Verzeichnis Windows\system32\ ohne Herstellerangabe ist verdächtig. Andersrum kann man eine Bibliothek von Symantec, die ordentlich im Ordner unter \Programme\Norton Internet Security\ abgelegt ist, in erster Näherung als o.k. betrachten – sofern man dieses Produkt installiert hat, versteht sich.
Weitere Indizien fördert vielleicht eine Google-Suche zum Dateinamen zu Tage, die über die rechte Maustaste zu erreichen ist. Bei der Recherche im Internet ist allerdings zu beachten, dass die dort verfügbaren Informationen nicht unbedingt sonderlich vertrauenswürdig sind und oft auch mal in die Irre führen können. Mit etwas gesundem Menschenverstand kann man jedoch die Spreu vom Weizen trennen.
Autoruns bietet auch die Möglichkeit, einzelne Einträge zu deaktivieren oder ganz zu löschen. Bevor man sich jedoch vergewissert hat, mit was man es überhaupt zu tun hat, sollte man nicht an einzelnen Symptomen herumdoktern.
Prozessbeobachter
Prozessbeobachter
Für die Analyse der laufenden Prozesse gilt Ähnliches wie für die Autostarts: Schon frisch installierte Systeme zeigen viel zu viele Einträge und der Windows-eigene Task Manager ist damit nahezu nutzlos. Auch hier springt ein Sysinternals-Tool in die Bresche: Der Process Explorer fördert eine Vielzahl von nützlichen Informationen über die aktuell laufenden Prozesse zu Tage. Autoruns kann im Übrigen auch direkt den Process Explorer mit den Eigenschaften eines Autostart-Prozesses öffnen und so die Spurensuche am lebenden Objekt einleiten. Erstes Ziel sind auch hier die Programme ohne gültige Signatur. Um sie aufzuspüren, muss man unter "View/Select Columns" die Spalte "Verified Signer" einblenden und dann die Option "Verify Image Signatures" aktivieren. Besondere Aufmerksamkeit verdienen Programme, bei denen das Überprüfen einer vorhandenen Signatur fehlschlägt. Sie markiert das Tool mit "(Unable to verify)". Möglicherweise hat ein klassischer Virus die Datei mit seinem Schadcode infiziert und damit verändert.
In den Eigenschaften eines Prozesses finden sich oft nützliche Hinweise auf seine Aktivitäten. Zeigt der TCP/IP-Reiter reihenweise SMTP-Verbindungen, hat man sich mit hoher Wahrscheinlichkeit einen Wurm eingefangen, der sich gerade massenweise an andere potenzielle Opfer verschickt. Allerhöchste Zeit also, die Netzwerkverbindung zu kappen. Unter Strings kann man im Programm vorhandene Zeichenketten inspizieren. Gepackte EXE-Dateien enthalten jedoch nur zusammenhanglose Zeichenfolgen. Hier hilft das Umschalten auf "Memory", wo sich oft schon die entpackten Daten finden. Taucht hier eine Liste von Antivirenprogrammen oder der Text einer verdächtig klingenden Mail auf, ist höchste Alarmstufe angesagt.
Eine verbreitete Methode, unbemerkt Schadcode einzuschmuggeln, ist das Laden von Bibliotheken in den Kontext von existierenden Prozessen. Gern genutzte Opfer sind Explorer und Internet Explorer. Auch hier verschafft der Process Explorer Einblick in das aktuelle Geschehen: Mit "View DLLs" (CTRL-D) erscheint eine Liste der aktuell genutzten Bibliotheken eines Prozesses. Aufgrund der schieren Menge empfiehlt es sich, zunächst nach Auffälligkeiten Ausschau zu halten. Eine lila markierte, weil komprimierte Bibliothek ohne Herausgeber im IE-Kontext lohnt auf jeden Fall einen zweiten Blick. Findet sich dann im Speicher beispielsweise der Text der zwangsweise eingeblendeten Homepage, hat man einen Treffer gelandet.
Mit der Tastenkombination Strg-H zeigt das Tool die offenen File-Handles an. Auch dies ist eine Möglichkeit, verdächtigen Aktivitäten von Viren oder Keyloggern auf die Spur zu kommen. Letztere legen ihre gesammelten Daten gerne in durchnummerierten Dateien ab.
Netzwerken
Netzwerken
Die dritte lohnenswerte Anlaufstelle für die Detektivarbeit sind die Netzwerkaktivitäten eines Systems. Das passende Sysinternals-Tool Tcpview verschafft einen Überblick. Es zeigt existierende Netzwerkverbindungen beziehungsweise aktive, aber derzeit nicht verbundene Netzwerkendpunkte und die zugehörigen Prozesse. Besonderes Augenmerk verdienen Absonderlichkeiten wie ständig aufpoppende SMTP-Verbindungen zu wechselnden Mail-Servern, die auf Wurmaktivitäten hinweisen. Bei unbekannten Diensten im Listen-Modus lohnt es, sich mit telnet localhost versuchsweise damit zu verbinden. Antwortet das System mit einer Passwortabfrage oder gar mit einem Kommandozeilenprompt, hat man es wahrscheinlich mit einer Hintertür zu tun.
Schließlich gibt es noch eine Reihe weiterer Ecken des Betriebssystems in denen man Indizien für eine Infektion aufstöbern kann. Im Internet Explorer können sich bösartige Browser Helper Objects einnisten, die unter "Extras/Internetoptionen/Programme/Add-ons verwalten" zu finden sind. Verdächtigen Festplattenaktivitäten kann Filemon auf den Grund gehen und beispielsweise die Aktivitäten eines klassischen Virus aufdecken, der nach und nach andere Dateien infiziert. Allerdings überflutet es den Anwender mit Details, deren Auswertung eine Wissenschaft für sich darstellt. Unbekannte Ausnahmeregeln für ein Programm in der Windows Firewall können auf eine Hintertür hinweisen, die von außen erreichbar ist.
Bei sorgfältiger Suche kann man nach unseren Erfahrungen mit diesem Handwerkszeug die meisten Schadprogramme aufspüren – zumindest sofern es sich um Stangenware handelt, die nicht speziell darauf optimiert wurde, sich auf dem System zu verstecken.
Fauler Kern
Doch leider kann man sich mittlerweile selbst auf die Ausgaben von Tools wie denen von Sysinternals nicht immer verlassen. Aktuelle Schädlinge verwenden immer häufiger Rootkit-Techniken, die die Ausgabe von Systemfunktionen so manipulieren, dass sie bestimmte Dateien, Prozesse, Registry-Einträge und Netzwerkverbindungen nicht mehr anzeigen. Da sich autoruns, Process Explorer & Co. auf diese Funktionen verlassen, werden solche Schädlinge für sie unsichtbar.
Zum Glück haben die Antiviren-Programme in diesem Bereich deutlich aufgeholt. Sie können mittlerweile viele der Standard-Rootkits erkennen und teilweise auch entfernen. Darüber hinaus helfen spezielle Rootkit-Spürhunde, die über eine Art Kreuzverhör Informationen auf verschiedenen Wegen beschaffen und dabei auftretende Unstimmigkeiten aufdecken. So liest Blacklight von F-Secure rohe Dateisystemdaten und vergleicht sie mit denen des Windows-API. Diskrepanzen sind ein Hinweis auf verdächtige Aktivitäten, die Dateien verstecken. Außerdem ermittelt Blacklight auf verschiedene Arten, welche Prozesse derzeit aktiv sind. Findet es einen versteckten, bietet es an, das zugehörige Programm umzubenennen. Rootkit Revealer von Sysinternals geht ähnlich vor, um verborgene Dateien und Registry-Einträge aufzuspüren.
Allerdings können auch normale Systemfunktionen verdächtige Unterschiede hervorrufen, wenn sie beispielsweise eine Datei während des Scan-Vorgangs ändern, löschen oder neu anlegen. Des Weiteren gibt es bereits speziell optimierte Rootkits, die die Spürhunde erkennen und dadurch austricksen, dass sie ihnen die ungefilterten Informationen liefern. Weitere Tools wie der Rootkit Hook Analyzer liefern oft nur spärlich kommentierte Systemtabellen, deren Interpretation dem Anwender weitgehend selbst überlassen bleibt. Außerdem haben die meisten Anti-Rootkit-Tools Probleme auf 64-Bit-Systemen.
Grundsätzlich gilt, dass man als Detektiv auf einem Rootkit-verseuchten Windows schlechte Karten hat und zur Analyse besser ein garantiert sauberes System wie Desinfect oder ein Bart-PE booten sollte. Die konkrete Gefahr durch Rootkits wird allerdings derzeit oft überbewertet. Die existierenden Rootkit-Funktionen von echten Trojanern sind in der Regel von öffentlich zugänglichen Rootkits wie FU oder Hacker Defender abgekupfert, deren Arbeitsweise gut bekannt ist und Rootkit Revealer oder Blacklight nicht täuschen kann. Damit das Duo Blacklight und Rootkit Revealer in Kombination mit dem Trio auf der Desinfect-CD ein Tarnkappen-Programm nicht aufspürt, muss es sich schon um eine sehr kreative Neuentwicklung oder ein speziell optimiertes Exemplar handeln.
Diagnose und Therapie
Die Diagnose
Hat man nach all der Vorarbeit eine konkrete Datei im Verdacht, kann man diese bei Virustotal oder Jotti hochladen, um die Diagnose von rund einem Dutzend Virenscannern einzuholen. Allerdings ist auch hier ein gewisses Misstrauen angebracht: Immer wieder führen zu allgemeine Signaturen auch zu Fehlalarmen, die man erst beim Studium der Beschreibungen als solche erkennt.
Die passenden Virenbeschreibungen findet man am einfachsten, indem man die Namen der gefundenen Viren in die Suchmaschine seiner Wahl füttert. Achten Sie darauf, dass die Beschreibung auch tatsächlich zu den Symptomen auf Ihrem Rechner passt. Stimmen Details wie beispielsweise Pfade oder Dateinamen nicht, bezieht sie sich eventuell auf eine Vorgängerversion und die neue Variante wurde durch eine generische Signatur ebenfalls entdeckt. Das bedeutet aber auch, dass möglicherweise weitere Funktionen hinzugekommen sind, die weder die Beschreibung noch die Reinigungsfunktion berücksichtigen.
Apropos Internet: Ein infizierter Rechner gehört nicht mehr ans Netz – weder an ein lokales noch ans Internet. Er kann sonst als Viren- und Spamschleuder aktiv werden, sich an verteilten Angriffen auf Server beteiligen oder noch mehr Unrat aus dem Internet nachladen. Nahezu alle aktuellen Schädlinge haben eingebaute Update-Funktionen, über die sie zusätzliche Module oder auch neue Versionen nachladen. Für die Recherche sollte man folglich einen anderen Rechner nutzen oder ein sauberes System starten.
Hat eine sorgfältige Suche dann immer noch keine verwertbaren Informationen geliefert, ist das System im Normalfall sauber. Natürlich besteht ein Restrisiko, dass ein unbekanntes, hochoptimiertes Hintertürprogramm allen Erkennungsversuchen entgangen ist. Doch das ist eine ähnliche Aussage wie die, dass Ihr Telefon möglicherweise überwacht wird oder es für einen guten Agenten technisch durchaus möglich wäre, in Ihrem Schlafzimmer unbemerkt eine Überwachungskamera einzubauen, die Sie trotz intensiver Suche nicht entdecken. Trotzdem wird man ohne einen etwas konkreteren Grund nicht umziehen.
Therapie
Nach der Informationsbeschaffung kann man sich an den nächsten Schritt wagen: die Therapie. Alle Antiviren- und Antispyware-Programme bieten Reinigungsfunktionen, auf die in den Virenbeschreibungen auch gern verwiesen wird. Bevor man sich darauf einlässt, sollte man sich etwas vor Augen führen, was in den Anleitungen der Hersteller für gewöhnlich nicht steht. Die Beschreibungen und auch die Reinigungsfunktionen sind immer unter großem Zeitdruck entstanden und nicht immer vollständig. Vor allem bei neuen Viren werden sie häufig schrittweise komplettiert und oft genug kam es bereits vor, dass ein Scanner zwar den aktiven Wurm gelöscht hat, die von diesem zwischenzeitlich nachgeladene Hintertür jedoch übersah.
Überhaupt laden viele Schädlinge im Lauf der Zeit neuere Komponenten oder auch anderen Unrat nach. Viele Bot-Netz-Betreiber bieten das sogar als Dienstleistung an. Sie installieren auf den inifizierten Rechnern etwa Nerv-Programme, die die Opfer dazu bringen sollen, angebliche Vollversionen zu kaufen. Für jede heimliche Installation kassiert der Bot-Netz-Betreiber ein paar Dollar. So kommt es, dass einmal infizierte Systeme oft schon bald einen ganzen Zoo an Unrat beherbergen. Schädlingen auf der Spur dokumentiert akribisch, wie ein falscher Klick mit einem ungepatchten Internet Explorer dazu führte, dass auf einem Windows-System 20 verschiedene Dateien mit insgesamt über 3 MByte installiert wurden. Diesen Müllhaufen bekommt man weder von Hand noch mit Reinigungsprogrammen wieder wirklich sauber.
Die Radikalkur
Wer sich einen Gefallen tun will, nimmt die Infektion zum Anlass, das System mal wieder komplett neu aufzusetzen: also die Festplatte zu formatieren und Windows und die wirklich benötigten Programme neu zu installieren. Sie werden sich wundern, wie viel Platz auf der vorher schon bedenklich gefüllten Festplatte plötzlich frei ist und wie flott ihr System startet.
Viele Anwender, die vor diesem Schritt zurückschrecken und ihr System lieber reinigen wollen, übersehen die möglichen Konsequenzen dieser Vorgehensweise. Bei jeder zukünftigen Merkwürdigkeit, jedem Programmabsturz werden Sie sich fragen, ob das vielleicht doch mit dem scheinbar beseitigten Virus zusammenhängt. Und nach Murphy wird das genau dann passieren, wenn Sie es am wenigsten brauchen können.
Bevor Sie sich also zu einer Reinigung entschließen, machen Sie sich ein paar Gedanken darüber, was Sie im schlimmsten Fall zu verlieren haben, wenn diese nicht vollständig gelingt und Rückstände entweder die Systemstabilität beeinträchtigen oder sogar eine erneute Kompromittierung erlauben könnten. Sind kritische Daten in Gefahr? Kommt ihr Rechner mit anderen, eventuell kritischen Systemen in Kontakt, beispielsweise wenn Sie ihn ans Firmennetz anschließen?
In vielen Fällen erweist sich die Neuinstallation nicht nur als der sicherere Weg zu einem funktionsfähigen, sauberen System, sondern auch als der schnellere. Wichtige Daten sowie mögliche Indizien, die es erlauben, den angerichteten Schaden zu beurteilen, sollte man natürlich vorher auf ein externes Medium sichern. Wer genug Platz zur Verfügung hat, erstellt vorsichtshalber ein Komplett-Image des gesamten Systems.
Doch es gibt natürlich auch Situationen, in denen man eine Reinigung des Systems guten Gewissens in Betracht ziehen kann – beispielsweise wenn man bereit ist, ein gewisses Restrisiko in Kauf zu nehmen, weil man nicht wirklich auf den Rechner angewiesen ist, sondern ihn ohnehin nur zum Spielen nutzt.
Gute Virenbeschreibungen erhöhen die Erfolgsaussichten. Hier gilt tatsächlich im Wortsinn: Geteiltes Leid ist halbes Leid. Weit verbreitete Schädlinge werden in der Regel schnell und gut analysiert, die Reinigungsfunktionen ausgiebig getestet. Handelt es sich bei einem Wurm um Massenware, ist auch das Risiko, dass man sich einen nicht erkannten Keylogger oder eine besonders gut versteckte Hintertür eingehandelt hat, vergleichsweise gering. Manche AV-Hersteller bieten zu weit verbreiteten Schädlingen spezielle Reinigungsprogramme an, die auf deren Eigenheiten abgestimmt sind. Sie bieten die besten Chancen, einen Schädling wirklich rückstandsfrei loszuwerden.
Die Reinigungsfunktionen von Virenscannern sind danach die zweite Wahl, da sie meist nur die erkannten Dateien entfernen, zusätzliche Hinterlassenschaften wie Registryeinträge oder gar neu eingerichtete Benutzerkonten aber oft übersehen. Eine freihändige Säuberung sollte nur als allerletzter Rettungsanker zum Einsatz kommen. Denn einen eindeutigen Hinweis auf einen Bösewicht zu finden, ist eine Sache, all seine Komponenten und deren eventuelle Hinterlassenschaften im System zu lokalisieren, eine ganz andere. Gerade bei Schädlingen mit Nachladefunktion wird das sehr schnell ein schier aussichtsloses Unterfangen.
Anschließend ist es unverzichtbar, anhand der Virenbeschreibung zu kontrollieren, ob auch wirklich alles entfernt wurde. Sicherheitshalber sollte man immer noch einen Blick auf wichtige Systemeinstellungen werfen. Dazu gehören die Benutzerkonten, Dateifreigaben, die Autostarts und die Einstellungen von Browser, Mailer und Windows Firewall. Häufig anzutreffende Überreste sind Einträge in der Hosts-Datei unter \windows\system32\drivers\etc\hosts, die Zugriffe auf wichtige Systeme ins Nirvana umleiten. Auf einem frischen Windows-System ist diese Datei normalerweise leer beziehungsweise nicht vorhanden; allerdings klinken sich etwa auch legitime Programme wie Virenwächter gelegentlich dort ein.
Zum Schluss bleiben dann noch die notwendige Schadensanalyse und die Nachsorge. Auch wer sein System neu installiert, sollte nach einem Befall mit einem Keylogger unbedingt alle Passwörter ändern – auch bei Online-Diensten und Mail-Zugängen. Zertifikate beispielsweise für VPN-Zugänge sind zu widerrufen, und unter Umständen sollte man auch Bank und Kreditkartenfirma benachrichtigen, um mit dem nächsten Kontoauszug keine bösen Überraschungen zu erleben.
Danach ist ein guter Zeitpunkt, sich Gedanken darüber zu machen, wie man solchem Ungemach zukünftig aus dem Weg geht. Das wurde alles bereits mehrfach in c't beschrieben; wichtige Stichpunkte sind automatisierte Updates, regelmäßige Backups und Images, das Arbeiten ohne Admin-Rechte und vor allem: ein bewusster Umgang mit Dateien, über deren Herkunft man sich nicht ganz sicher ist. Und vielleicht kommt ja auch ein Blick auf alternative Programme und Betriebssysteme in Frage, die nicht ganz so unter Beschuss stehen wie Internet Explorer, Adobe Reader oder Microsoft Office. (ju)
