Leser fragen, PC-WELT antwortet

Hilfe! Wie rette ich meinen verseuchten PC?

Donnerstag, 03.11.2011 | 14:33 von Andreas Frenzel
© iStockphoto/proxyminder
Windows ist mit Malware verseucht und startet erst gar nicht mehr? Dann hilft nur noch eine Notfall-DVD. Wir zeigen, wie Sie Ihre wertvollen Daten vor dem Untergang retten.
Bei stark mit Malware infizierten PCs benutzt man am besten eine Antiviren-DVD zum Scannen des Systems eine Antiviren-DVD. Diese untersucht die Festplatte beim Hochfahren auch ohne Windows auf Schädlinge (beispielsweise die PC-WELT-Sicherheits-DVD/CD ). Doch was kann man tun, wenn diese schon während des Scan-Vorgangs ein Rootkit meldet und anschließend abstürzt, bevor sie den Schädling löschen kann?

Lösung: Rootkits, also Tarnkappen-Viren, haben sich meist tief in Windows eingenistet, um im normalen PC-Betrieb unsichtbar zu sein. Entsprechend kompliziert ist es also auch, solche Schädlinge zu entfernen. Falls eine Antiviren-DVD daran scheitert, sollten Sie es zunächst mit einem Konkurrenzprodukt versuchen. Empfehlenswert ist zum Beispiel das Avira Antivir Rescue System .

Microsoft-Notfall-Tool rettet verseuchte PCs

Sollte auch das versagen, ist es ratsam, alle eigenen Benutzerdateien auf eine anderes Speichermedium zu sichern und dann die Festplatte zu formatieren. Sollte ein Zugriff auf Ihre Daten in Windows durch den Schädling bereits unmöglich sein, hilft Ihnenes meistens, die Festplatte an einem Zweitrechner anzuschließen und lediglich als Speichermedium zu verwenden. Über das bereits installierte Windows Ihres Zweirechners können Sie so auf Ihre Daten zugreifen, ohne die infizierte Windows-Version verwenden zu müssen.

Donnerstag, 03.11.2011 | 14:33 von Andreas Frenzel
Kommentieren Kommentare zu diesem Artikel (7)
  • dutschy 12:45 | 09.11.2011

    Virenverseuchter PC

    auch ich mußte mich mit einem verseuchten PC herumplagen. Zuerst bemerkte ich es, als ich ein Bild aus dem "Keller" wieder herraufholen wollte. Da waren mehr als 2000! (zweittausend!!) Bilder drauf. Ein Bruchteil davon waren von mir. Der Rest: Pistolen, Sturmhauben, Fotos eines Ladens von außen und nachts aufgenommen, Google-Auszüge, Landkarten von der Ostsee bis runter nach Bayern, sowohl auf der deutschen, wie auch von der anderen Seite, Privat-Fotos, ein paar Sexbilder, tschechische Suchanfragen, auch in kyrillischer Schrift verfasste Dokumente u.s.w. Als ich damit zur Polizei ging, zuckten sie nur mit den Schultern und rieten mir, meinen PC "nur" mit einem Passwort zu schützen und nicht, wie ich es mache, mit Rohos und Wondows SteadyState. Ich war richtig verärgert. Zu Hause schaute ich mir meinen PC genauer an und entdeckte bei dem Aufruf von SteadyState 3 neue, mir unbekannte Benutzerprofile. Sie waren passwort-geschützt. Jeglicher Versuch, sie zu entfernen scheiterte. Ich schrieb sie mir auf und ging in die Registry und löschte rigoros alle Schlüssel, die diese Namen dann enthielten, aber auch das half nichts. Dann erst, als ich in C:\Windows\ system32\lusrmgr per Rechtsklick ansteuerte, entdeckte ich sie. Als ich dieses trotz dll auch löschte, war der Spuck vorbei. die 3 "Besucher" hießen:IUSER, UPDATEUSER und IWAM Ich sollte wohl in die Irre geleitet werden, als sie diese Namen wählten.

    Antwort schreiben
  • IRON67 22:57 | 04.11.2011

    Zitat: mike2061
    Das "zuverlässig" hängt vom Virus ab.
    Nein. Ich weiß zwar, was du meinst, aber dein Gedankengang ist falsch. Zuverlässig hängt von deiner Konsequenz ab.
    Mit dem brutalen Vorgehen hat man recht, wenn...
    Was hat in einer Sicherheitsdiskussion eigentlich der Begriff "brutal" zu suchen?
    Selbst wenn man nicht alle Dateien wegbekommt hat man trotzdem Chancen zumindest in Ruhe alle Daten wirklich zu sichern, wenn man das System zumindest noch einige Tage, offline, nutzen kann. Denn wer weiss schon welche Daten alle erforderlich sind.
    Backups sind was Feines.
    Die Scanner bekommen zumeist die aktiven Teile weg, zurück bleiben oft reine passiven Logs und Datensammlungen.
    Das ist unangebrachter Optimismus. Ich erlebe täglich das Gegenteil.
    Frage mal wer in seinem Textverarbeitungsprogramm die automatische Ausführung der Makros deaktiviert hat.
    Darum macht man Betroffene auf dieses Problem ja auch aufmerksam.
    Und was Datenweiterreichung angeht ist ein minimal verseuchter Rechner ja zumeist ungefährlicher als eine übergrosse Aufbringung aller persöhnlichen Daten in Foren, sozialen Netzwerken, Handy's, SMS, Onlinebanking vom Handy aus.....
    Das ist der größte Unsinn, den ich je gelesen habe. Was heißt hier MINIMAL verseucht? Verseucht ist verseucht. Das ist schlecht für den eigenen Rechner und dessen Daten (und Passwörter), schlecht für alle angeschlossenen Wechseldatenträger - schlecht für George und Gracie (im Internet).
    P.S Mein Atari läuft heute noch.
    Ja, ich hab noch ein funktionierendes Win 3.1 anzubieten. Mit DOS 5.0

    Antwort schreiben
  • mike2061 18:08 | 04.11.2011

    Zitat: IRON67
    Soweit Zustimmung. Auch okay. [COLOR=Red]Und da gehts los[/COLOR], denn wie willst du das verifizieren. Ein gewaaaaltig großes WENN! Kein Virenscanner arbeitet zuverlässig, insbesondere nicht beim "Reinigen". Ganz schlecht. Derartige Tools richten mehr Schaden an, als zu helfen. [COLOR=Red]Nein.[/COLOR] Wenn ein PC infiziert ist, dann rettet man über ein Ubuntu-Live-System Daten und setzt das System dann komplett neu auf. [COLOR=Red]Alles andere ist Pfusch![/COLOR] Aber bitte solche, die sich wirklich damit auskennen und nicht Nachbars genialen Sohnemann.
    Das "zuverlässig" hängt vom Virus ab. Mit dem brutalen Vorgehen hat man recht, wenn ein regelmässiges altes "reines" Fullbackup vorliegt, das man danach aufbringen kann. Das tun selbst kleine Firmen oder Selbstständige selten regelmässig. Erlebe Fullbackups von 2009. Leider ist was Datenrettung angeht es oft nicht leicht, wenn z.B. die Dokumente mit Makroviren verseucht sind oder auf Excel Dateien geänderte Passwörter gesetzt wurden. Dann sichert man vor dem Formatieren ja die infizierten Daten. Und diese bringt man zu leicht wieder auf den gesäuberten Rechner auf. Selbst wenn man nicht alle Dateien wegbekommt hat man trotzdem Chancen zumindest in Ruhe alle Daten wirklich zu sichern, wenn man das System zumindest noch einige Tage, offline, nutzen kann. Denn wer weiss schon welche Daten alle erforderlich sind. Man denke nur an die Fälle in denen die Rechte auf downgeloadete Musiksoftware in versteckten Datendateien lagen und die Nutzer nach dem Neuinstallieren selbst von grossen Musikarchiven aufgefordert wurden alle Rechte erneut zu kaufen. Ein bekannter Fall eines Radiomitarbeiters lies so tausende Euro kosten. Zum Glück sind heute zumeist die Musikdateien nicht an beschränkte Nutzungsrechte gebunden. Die Scanner bekommen zumeist die aktiven Teile weg, zurück bleiben oft reine passiven Logs und Datensammlungen. Die heurestische Suche kann natürlich nur Dateien aufgreifen, bei deren Analyse Teilsegmente des Virus oder spezielle Schlüsselworte vorkommen. Eine hallo_anna.doc, in der die Logs der Keyscans versteckt sind findet selten ein Scanner. Aber da nützt das Datensichern hinsichtlich dieser passiven Datei nix, da zumeist dann Nutzer natürlich DOC's vor dem Formatieren sichern und wieder aufbringen. Frage mal wer in seinem Textverarbeitungsprogramm die automatische Ausführung der Makros deaktiviert hat. Ich selbst empfinde es viel schlimmer das selbst Grossbetriebe, Kleinbetriebe und Anbieter mit "vielen Gesichtern" oder "Büchern" oder Suchmaschinen nicht auf die Datensicherheit achten. Nur einzelne Betriebe nutzen wirklich getrennte Netze und Router mit aktivem Virenscan. Checke mal in dem man eine JPG manipuliert und in deren ein paar einzelne Pixel verändert. Oft reicht ein XXX oder ein Schlüsselwort radikaler Herkunft. Wenn die beim Empfänger ankommt ist der Router nicht 100 %ig gesichert. Bei Banken kommt die selten an, man kriegt dann die übliche Remail. Aber selbst Juristen habe ich schon solche Anhänge gesendet. Auch in Bilder verschlüsselt eingebrachte aktive Dateien kamen an. Man kann eines zum Wohlsein der deutschen Jugendlichen sagen. Deren Rechner stehen im Vergleich zu allen Rechnern von Industrienationen nicht schlecht da. Kleinunternehmen sind oft verseuchter wie Rechner in Kinderzimmern. Und was Datenweiterreichung angeht ist ein minimal verseuchter Rechner ja zumeist ungefährlicher als eine übergrosse Aufbringung aller persöhnlichen Daten in Foren, sozialen Netzwerken, Handy's, SMS, Onlinebanking vom Handy aus..... Was waren das noch gute Zeiten als das komplette Betriebssystem in nicht umprogrammierbaren Bausteinen steckte. Heute aber kann man selbst die Akkuüberwachung eines bekannten Herstellers aggresiv befallen lassen. P.S Mein Atari läuft heute noch.

    Antwort schreiben
  • IRON67 14:56 | 04.11.2011

    Zitat: mike2061
    Davon kann ich jedem unerfahrenen User meist abraten. Wenn er eine bootbare Festplatte in einen Rechner einbringt und diese eventuell in der Bootreihenfolge vor der sauberen liegt infiziert er eventuell den Rechner.
    Soweit Zustimmung.
    Infizierten Rechner mit einer bootfähigen CD von einem der grossen Antivirenprogrammhersteller booten und diese dabei mittels Netzwerk mit einer aktuellen Virendefinition aktualisieren. Diese CD's nutzen als Betriebssystemkernel Linux und sind dadurch von Windowsviren direkt nicht angreifbar. Findet man bei vielen Computerzeitschriften wie PC Welt in gewissen Abständen oder kann sie als ISO Datei beim Antivirenprogrammanbieter downloaden und brennen. Jeder sollte mindestens eine zuhause haben.
    Auch okay.
    Wenn ein Scan bzw. eine Virenreinigung mit einer solchen CD erfolgreich ist den Rechner direkt booten und mehrmals umfangreiche Scans aller Dateien und Bootbereiche samt Rootkits machen.
    [COLOR=Red]Und da gehts los[/COLOR], denn wie willst du das verifizieren. Ein gewaaaaltig großes WENN! Kein Virenscanner arbeitet zuverlässig, insbesondere nicht beim "Reinigen".
    Wenn dies erfogreich ist alle vorhandenen Systemwiederherstellungspunkte löschen indem man die Systemwiederherstellung aufhebt. Wenn er alle Systemwiederherstellungspunkte gelöscht hat [COLOR=Red]eine Säuberungssoftware wie CCleaner nutzen[/COLOR]
    Ganz schlecht. Derartige Tools richten mehr Schaden an, als zu helfen. [COLOR=Red]Nein.[/COLOR] Wenn ein PC infiziert ist, dann rettet man über ein Ubuntu-Live-System Daten und setzt das System dann komplett neu auf. [COLOR=Red]Alles andere ist Pfusch![/COLOR]
    Bevor man zu aggresiven Mitteln greift lieber andere User wie auch manchmal im Ort befindliche Gruppen um Hilfe bitten.
    Aber bitte solche, die sich wirklich damit auskennen und nicht Nachbars genialen Sohnemann.

    Antwort schreiben
  • Zucchi 14:30 | 04.11.2011

    Bitte um nähere Beschreibung

    Hallo, was verstehst Du genau unter einem "Tiefenscan"? Einen kompletten Systemscan, im Gegensatz zum Schnellscan der nur Systemdateien kontrolliert oder gibt es da spezielle Funktionen im Antvirenprogramm bzw. spezielle Tools, die man extra aus dem Internet beziehen muss? Oder kann ich das auch mit meinem Standardantivirus (bei mir Bitdefender Internet Security 2012) machen? Danke für die Info.

    Antwort schreiben
1036252