AnleitungenNewsWindows 10

[Anleitung] So schützt ihr euren Windows Rechner vor Petya 2

Petya 2 VirusErst vor wenigen Wochen überflutete der WannaCry Virus das Internet. Bei dem Schädling handelt es sich um einen Erpressungstrojaner, der die Daten des Nutzers verschlüsselt und anschließend Lösegeld verlangt, damit die Daten wieder entschlüsselt werden. (Hierbei wird davon abgeraten, das Lösegeld zu überweisen, da die Dateien meist dennoch nicht entschlüsselt werden.) Doch der nächste Verschlüsselungsvirus folgt: Petya 2 nutzt die selbe Windows Lücke (NSA-Lücke Eternal Blue), die bereits WannaCry genutzt hat. Bereits jetzt wurden mehr als 500.000 Rechner infiziert.

Zwar hat Microsoft die Lücke schon zu Zeiten von WannaCry geschlossen und hierfür sogar ein Update für das nicht mehr Unterstützte Windows XP veröffentlicht. Doch auch mit diesem Pach Update seid ihr nicht sicher, denn, wenn ein anders Gerät, wie z.B. ein IoT Gerät, in eurem Netzwerk infiziert ist, kann dieser auch euren Rechner infizieren.

Da wir möglichst viele Nutzer vor Petya 2 schützen möchten, erklären wir hier, wie ihr eure Windows Computer schützen könnt.

Achtung: Diese Anleitung beinhaltet Veränderungen am System. WindowsUnited übernimmt keinerlei Haftung für Beschädigungen an eurer Soft- oder Hardware.

Um euch vor dem Virus zu schützen, müsst ihr folgendes machen:

Schritt 1: SMB1-Protokoll

Zuerst deaktivieren wir das SMB1-Protokoll, das bereits 30 Jahre auf dem Buckel hat und heutzutage kaum noch genutzt wird.

Windows 7:

  • Wenn ihr Windows 7 nutzt, müsst ihr zuerst den Registrierungs-Editor öffnen. (z.B. über das Drücken der Windows Taste und R und dem anschließenden Eingeben von „regedit.exe“.)
  • Hier angekommen navigiert ihr an folgenden Pfad: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters“
  • Im rechten Bereich des Programms klickt ihr nun rechts, um einen neuen DWORD-Wert (32-Bit) zu erstellen. Diesen nennen ihr „SMB1“ und übernehmt den Standard Wert 0

Windows 8 und 10:

Wenn ihr Windows 8(.1) oder 10 nutzt, könnt ihr euch diese Prozedur sparen, denn es gibt einen bequemeren Weg:

  • Ihr drückt die Windows Taste und R gleichzeitig und gebt hier „optionalfeatures.exe“ ein.
  • Nun öffnet sich ein kleines Fenster, in dem ihr lediglich den Haken bei „Unterstützung für die SMB 1.0/CIFS-Dateifreigabe“ entfernen müsst.Windows Features deaktivieren/aktivieren

Schritt 2: Windows Management Instrumentation

Im zweiten Schritt deaktivieren wir den Windows Management Instrumentation (WMI) Dienst, der von den meisten Nutzern nicht benötigt wird. Meist wird dieser in Firmen oder von Admins verwendet, um sich auf andere Rechner aufschalten zu können. Sollte dennoch ein Programm, das ihr nutzt WMI nutzen, dann wird dies beim Starten des Programmes automatisch mitgestartet. Von außen kann jedoch nicht mehr darauf zugegriffen werden, wodurch ihr sicher seid.

  • Zuerst startet ihr eine Eingabeaufforderung (CMD) mit Administratorrechten. (z.B. über das Startmenü –> Suche CMD –> Rechtsklick –> Als Administrator ausführen)
  • In CMD gebt ihr nun den Befehl „net stop winmgmt“ ein und schickt diesen mit Enter ab.
  • Während der Verarbeitung des Vorgangs, werdet ihr gefragt, ob ihr dies wirklich durchführen wollt. Dies bestätigt ihr durch die Eingabe von „J“.
  • Zum Rückgängigmachen nutzt ihr einfach den Befehl „net start winmgmt“

Update Anmerkung: Da einige Leser über die Tatsache verwundert und besorgt waren, dass das Windows Sicherheitscenter ebenfalls durch das Beenden des Windows Management Instrumentation Dienstes deaktiviert und beendet wird, muss an dieser Stelle nachträglich noch etwas klargestellt werden: Wie bereits im Text geschrieben, starten Programme, die den Dienst benötigen, diesen automatisch mit. Da das Windows Sicherheitscenter beim Starten von Windows sofort mitgestartet wird, muss der Computer lediglich neugestartet werden.

Zu sehen ist dies nach einem Neustart auch im Task-Manager unter dem Reiter Dienste:

Windows Sicherheitscenter läuft nach Beenden von Windows Management Instrumentation gezeigt im Taskmanager


Quelle: SemperVideo

Bildquelle: pixabay

Vorheriger Artikel

UWP gescheitert? Was Windows 10 ARM und Cshell schaffen müssen

Nächster Artikel

KB4022716 - Windows 10 Build 15063.447 steht zum Download bereit

Der Autor

Hannes Lüer

Hannes Lüer

Technik Freak und Windows Fan aus Leidenschaft

25
Hinterlasse einen Kommentar

avatar
12 Comment threads
13 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
16 Comment authors
neueinsteigerlinaTheUserHannes LLeonard Klint Recent comment authors
  Diskussion abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Firefly
Mitglied

Das Beenden von „winmgmt“ beendet allerdings auch das Sicherheits-Center (Win10 Build 15063.413). Ob das so ratsam ist?! 🤔⁉

Kari
Gast
Kari

Nein, nicht ratsam. Ausserdem wurde SMB mit den März-Patches gefixt. Also ist auch diese Einstellung unnötig.
Besser: Einfach MS Security-Patches installieren. Das reicht als Schutz vollkommen.

RBB
Mitglied

Hallo, ist die Anmerkung von Firefly richtig?
Ist Windows Mobil davon auch betroffen?
Danke

derkb
Mitglied

Hatte bei mir zur Folge (Schritt 1), dass sich beim Neustart OneDrive for Business nicht mehr starten lies…

ursusimpuratus
Mitglied

Schritt 1 ist keine gute Idee für Benutzer von Fritz NAS. Denn das Netzlaufwerk wird nicht mehr gefunden.

Adi Sitzmann-Raab
Mitglied

Bekomme jetzt die Fehlermeldung „Dienst „Windows-Sicherheitscenter“ aktivieren“. Wie krieg ich das weg?

lina
Mitglied

Neustarten😉

william
Mitglied

Ich weis ja nicht ob ich das gut finden soll, oder starten die Dienste nach einem Neustart wieder normal?
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\WINDOWS\system32> net stop winmgmt
Die folgenden Dienste hängen vom Dienst Windows-Verwaltungsinstrumentation ab.
Das Beenden des Dienstes Windows-Verwaltungsinstrumentation beendet auch diese Dienste.

Sicherheitscenter
IP-Hilfsdienst
Spybot-S&D 2 Security Center Service
McAfee CSP Service
Avira Service Host

Möchten Sie diesen Vorgang fortsetzen? (J/N) [N]:

Das würde sämmtliche Sicherheitsprogramme auf einmal schliessen.

Scaver
Mitglied

Eine Stellungnahme zu den hier genannten Bedenken wäre nicht schlecht.
Allerdings empfehlen andere die selben oder ähnliche Schritte:
http://www.iobit.com/de/tips-wie-schützt-man-sich-vor-petya/goldeneye-ransomware-97.php?p=db

Hans Müller
Gast

Vielen Dank, dass Sie ein hilfreiches Programm empfohlen haben.

wikinger2112
Gast

Also ehrlich, wenn ihr hier solche Tipps bringt dann sollte ihr auch darauf eingehen das das Sicherheits Center deaktiviert wird und was genau das bedeutet.
Vertrauenserwckend ist das irgendwie nicht, deshalb habe ich das umgehend rückgängig gemacht.
Hoffe das hatte keine ungewünschten Folgen.

BB8
Mitglied

Ein wichtiger Hinweis fehlt. Benutzung auf eigene Gefahr und das Business-User die Finger davon lassen sollten. Nur für Heimanwender und dann auch nur unter Vorbehalt. Besser wieder rausnehmen, den Artikel.

lina
Mitglied

Steht doch drinnen, dass es auf eigene Gefahr ist und, dass die Features meist von Firmen genutzt werden –> In dem Fall Finger weg

wikinger2112
Gast

Traurig das hier aus dem Team keiner mal eine Stellungmahme bringt.

Leonard Klint
Admin

Das Sicherheitscenter und alle anderen sicherheitsrelevanten Dienste, die bei dieser Methode ausgeschaltet werden, sind nach einem Neustart wieder aktiviert.

Wie die Kommentatoren bereits richtig sagen: Der beste Schutz ist sein System mit Sicherheitspatches aktuell zu halten. Die von uns beschriebene Methode ist, wie der Beitrag explizit erwähnt, nur auf eigenes Risiko durchzuführen.

Die gleiche Anleitung ist von mehreren seriösen Quellen durchgeführt worden.

TheUser
Mitglied

Wenn man die Anleitung durchgeführt hat, kann man kein Steam mehr ausführen (Anmeldung ist nicht möglich), da Steam anscheinend auf diesem Protokoll basiert.

Leonard Klint
Admin

Was ist nach neustart?

lina
Mitglied

Ist ja nur ne Abhilfe zu Sicherheitszwecken aber natürlich kein Optimum… Ist doch logisch, dass es in Windows keine Funktion gibt, die nur von Viren genutzt wird aber nicht von anderen Programmen. Scheinbar nutzt Steam eben noch SMB1

DonDoneone
Mitglied

Mal OT.. Mein PC funzt nimmer richtig. Der Defender zeigt mir an, das der Treiber defekt ist. Wenn ich ihn dann aktualisieren lasse, dann kann er das Problem nicht lösen. Was kann ich da machen?
Denn ich weiß nicht so recht ob ich einen neuen Treiber über zb Chip.de installieren soll..