Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Ressourcen

Überprüfen Ihres Netzwerks

In diesem Artikel wird beschrieben, wie die Befehlszeilenversion des Sophos Anti-Rootkit-Tools verwendet wird, um Rootkits von Windows NT/2000/XP/2003-Computern im Netzwerk zu entfernen und eine erneute Infektion im Netzwerk zu verhindern.

Hinweis: Für die Netzwerkdesinfektion können Sie die grafische Benutzeroberflächenversion (GUI) des Sophos Anti-Rootkits nicht verwenden.

Vorgehensweise

  1. Einführung
  2. Vorbereitung zur Ausführung des Sophos Anti-Rootkits
  3. Gebrauch des Sophos Anti-Rootkits in einem kleinen Netzwerk
  4. Ausführen von Sophos Anti-Rootkit in großen Netzwerken

1. Einführung

Die Befehlszeilenversion des Sophos Anti-Rootkit-Tools kann über ein Netzwerk verwendet werden, um Rootkits von Windows NT/2000/XP/2003-Computern zu entfernen.

  • Systemvoraussetzungen
    Das Sophos Anti-Rootkit-Tool steht nur für Windows NT/2000/XP/2003-Computer zur Verfügung. Weitere Details finden Sie im Benutzerhandbuch (englisch).
  • Einzelcomputer
    Wenn Sie einen Einzelcomputer bereinigen, verwenden Sie das Windows-Tool sargui.exe auf diesem Computer. Dieses Tool befindet sich im gleichen Download wie das Befehlszeilen-Tool. Weitere Details finden Sie im Benutzerhandbuch (englisch).
  • Backups
    Wenn sich auf diesem Computer wichtige Daten befinden, erstellen Sie dafür eine Sicherungskopie auf einer CD oder DVD, bevor Sie schädliche Software entfernen.

Sophos Anti-Rootkit entfernt nur Rootkits. Überprüfen Sie danach Ihre Computer mit Antiviren-Software, um Trojaner usw. zu entfernen, die dort von dem Rootkit abgelegt worden sein könnten.

  1. Erforderliche Dateien
    • die Sophos Anti-Rookit-Dateien (darunter das Befehlszeilendienstprogramm sarcli.exe)
    • Antiviren-Software (zur Entfernung abgelegter Malware-Dateien)
  2. Weitere Informationen

Lesen Sie diese Hinweise bis zum Ende, bevor Sie Ihre Computer desinfizieren.

2. Vorbereitung zur Ausführung des Sophos Anti-Rootkits

Trennen Sie das infizierte Netzwerk vom Internet, indem Sie den Router herunterfahren usw. Wenn nötig, entfernen Sie den Verbindungsstecker. Die meisten Schadprogramme verbreiten sich über das Internet. Diese Maßnahme schützt vor einer weiteren Infektion.

Bereiten Sie dann auf einem virenfreien Computer eine schreibgeschützte Kopie des Anti-Rootkit-Tools auf einer CD oder einem anderen schreibgeschützten Medium vor:

  1. Laden Sie Sophos Anti-Rootkit herunter.
  2. Doppelklicken Sie auf die heruntergeladene Datei, um den Inhalt im Ordner SOPHTEMP zu entpacken.
  3. Kopieren Sie den Inhalt des Ordners SOPHTEMP auf ein Medium, das schreibgeschützt werden kann (in diesem Beispiel wird eine CD verwendet).
  4. Stellen Sie für die Diskette den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).

3. Gebrauch des Sophos Anti-Rootkits in einem kleinen Netzwerk

Wenn Sie über ein kleines Netzwerk (bis zu 30 Computer) oder ein Peer-to-Peer-Netzwerk verfügen, sollten Sie die Computer einzeln bereinigen. Starten Sie die grafische Benutzeroberflächenversion (GUI) des Sophos Anti-Rootkits von der von Ihnen erstellten CD nacheinander auf jedem Computer.

Hinweis: Wenn Sie ein Peer-to-Peer-Netzwerk einsetzen (Arbeitsgruppe), müssen Sie diese Methode verwenden, da Ihre Clients kein Login-Skript haben.

4. Ausführen von Sophos Anti-Rootkit in großen Netzwerken

Verwenden Sie die Befehlszeilenversion Sophos Anti-Rootkit-Tools, um eine Netzwerkdesinfektion durchzuführen. Weitere Details dazu finden Sie im Knowledgebase-Artikel über die Befehlszeilenversion.

Prüfen Sie, ob das Rootkit nur auf einigen Computern vorhanden ist oder ob es sich auf Ihren Domain Controller ausgebreitet hat.

Achtung: Während der Netzwerkbereinigung darf der Domain Controller nicht neu gestartet oder abgemeldet werden. Er könnte infiziert werden.

In diesem Beispiel sind alle Computer, außer dem Domain Controller, Arbeitsplatzrechner.

  1. Erstellen Sie den Ordner C:\SOPHTEMP auf dem Domain Controller und kopieren Sie den Inhalt von Ihrer Sophos Anti-Rootkit-CD.
  2. Geben Sie den Ordner C:\SOPHTEMP über das Netzwerk mit Lesezugriff frei.
  3. Erstellen Sie eine Sicherungskopie für das Login-Skipt aller Arbeitsplatzrechner. (Falls notwendig, erstellen Sie ein Login-Skript.) Fügen Sie dann diese Zeile hinzu:

    \\[SERVER]\SOPHTEMP\SARCLI.EXE

    Dabei ist [SERVER] der Name Ihres Domain Controllers.
    Durch diese Änderung des Login-Skripts werden Ihre Arbeitsplatzrechner auf Rootkits überprüft und die Protokolldatei %TEMP%\sarscan.log erstellt, wobei %TEMP% das temporäre Windows-Verzeichnis des überprüften Arbeitsplatzrechners ist.
  4. Melden Sie alle Arbeitsplatzrechner ab und wieder an, außer dem Domain Controller.
  5. Prüfen Sie mithilfe eines Domänenadministratorkontos, ob die Datei sarscan.log im temporären Windows-Verzeichnis in allen Windows NT/2000/XP/2003-Arbeitsplatzrechnern im Netzwerk vorhanden ist.
  6. Notieren Sie sich die Größe der Protokolldatei, die von einem virenfreien Arbeitsplatzrechner erstellt wird, und den Namen dieses Arbeitsplatzrechners (hier 'Canary'). Mithilfe dieser Informationen wird überprüft, welche Arbeitsplatzrechner infiziert sind.
    • Da die Arbeitsplatzrechner-Locale die Größe einer 'leeren' Datei beeinflussen kann, müssen Sie möglicherweise mehr als einen Indikator-Arbeitsplatzrechner verwenden.
    • Sie können auch ein Skript verwenden (z.B. eine Batch-Datei oder ein Perl- oder Python-Skript), um die Datei sarscan.log auf Ihren Arbeitsplatzrechnern auf das Vorhandensein der Wörter "Hidden:", "Error:" und "Warning:" zu überprüfen.
  7. Prüfen Sie den Inhalt der Datei sarscan.log auf einem Sample-Arbeitsplatzrechner.
    • Stellen Sie sicher, dass keine Dateien, die Sie behalten möchten, zur Entfernung markiert wurden. Sollte dies der Fall sein, kontaktieren Sie den Sophos Support mit einem Sample der Datei samples.sar aus dem temporären Windows-Verzeichnis des betroffenen Arbeitsplatzrechners.
    • Prüfen Sie, ob einige Dateien nicht bereinigt werden. Falls ja, stellen Sie fest, um welche es sich handelt.
  8. Wenn Sie sich vergewissert haben, dass die automatische Entfernung keine wichtigen Dateien löscht und dass die Bereinigung nicht durch Dateien gefährdet wird, die nicht entfernt werden, bearbeiten Sie die Zeile in Ihrem Login-Skript, um das Rootkit von Ihren Arbeitsplatzrechnern zu entfernen.

    \\[SERVER]\SOPHTEMP\SARCLI.EXE -clean -restart

    Dadurch wird Folgendes durchgeführt:
    • laufende Prozesse werden auf versteckte Objekte überprüft
    • die Windows-Registrierung wird auf versteckte Objekte überprüft
    • lokale Festplatten werden auf versteckte Objekte überprüft
    • Überprüfungsdaten werden zum bestehenden sarscan-Protokoll hinzugefügt
    • der Arbeitsplatzrechner wird neu gestartet, um alle versteckten Objekte zu bereinigen, die zur Entfernung empfohlen wurden (der Arbeitsplatzrechner wird nur neu gestartet, wenn ein Rootkit erkannt wird)
    • auf dem infizierten Arbeitsplatzrechner wird die Protokolldatei %TEMP%\sarclean.log erstellt, wobei %TEMP% das temporäre Verzeichnis dieses Arbeitsplatzrechners ist. (Wenn Sie eine zweite Überprüfung zur Bereinigung durchführen, wird dieses Protokoll überschrieben.)
  9. Melden Sie alle Computer in Ihrem Netzwerk ab und wieder an, bis auf den Domain Controller, um das bearbeitete Login-Skript zu starten. Alle infizierten Arbeitsplatzrechner werden während des Bereinigungsprozesses von dem Tool neu gestartet.
  10. Prüfen Sie mithilfe eines Domänenadministratorkontos die sarclean.log-Dateien im Temp-Verzeichnis aller bereinigten Arbeitsplatzrechner.
  11. Prüfen Sie die neue Größe der sarscan.log-Datei auf Ihrem virenfreien Arbeitsplatzrechner ('Canary').
  12. Untersuchen Sie alle Arbeitsplatzrechner, deren sarscan.log-Datei eine andere Größe hat, und die keine sarclean.log-Datei haben. (Sie können auch ein Skript verwenden, um die Protokolle auf das Vorhandensein der Wörter "Hidden:", "Error:" oder "Warning:" zu überprüfen.)
  13. Bearbeiten Sie diese Zeile in Ihrem Login-Skript, so dass eine abschließende Überprüfung gestartet wird, um sicherzustellen, dass alle Komponenten von den Arbeitsplatzrechnern entfernt wurden.

    \\[SERVER]\SOPHTEMP\SARCLI.EXE -log=%TEMP%\sarscan1.log
  14. Prüfen Sie mithilfe eines Domänenadministratorkontos die Größe der neuen sarscan1.log-Dateien. Sie sollten alle die gleiche Größe wie die Datei auf Canary haben (d.h. leer).
  15. Nachdem Sie Sophos Anti-Rootkit ausgeführt haben, um das Rootkit zu entfernen, führen Sie Folgendes durch:
    • Löschen Sie die Systemwiederherstellung auf allen betroffenen Windows XP-Computern.
    • Prüfen Sie Ihre Software- oder Hardware-Firewall, um sicherzugehen, dass sie korrekt ausgeführt wird.
    • Prüfen Sie, ob Ihre Antviren-Software korrekt ausgeführt wird.
    • Stellen Sie sicher, dass Ihr Netzwerk mit Microsoft-Patches up to date ist.
    • Ändern Sie alle Benutzernamen und Kennwörter, die möglicherweise nicht mehr sicher sind.
    • Führen Sie eine Überprüfung des gesamten Netzwerks mit Ihrer Antiviren-Software durch, um sicherzustellen, dass alle Computer nun virenfrei sind. In einem Knowledgebase-Artikel wird beschrieben, wie dies mithilfe der Enterprise Console durchgeführt wird.
    • Prüfen Sie mithilfe von Antiviren-Software, ob die Computer, auf denen andere Betriebssysteme eingesetzt werden (z.B. Windows 95/98/Me), und alle Netzwerkfreigaben frei von abgelegten Rootkit-Dateien sind.
    • Prüfen Sie Computer, die nicht zu Ihrem Hauptnetzwerk gehören (z.B. Laptops und Computer, die sich über das Internet verbinden).
  16. Wenn Sie sicher sind, dass das Rootkit entfernt wurde:
    • entfernen Sie die SARCLI.EXE-Zeile auf Ihrem Login-Skript
    • heben Sie die Freigabe für den Ordner SOPHTEMP auf dem Domain Controller auf

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.