Home / How-To / Sicherheit
How-To

Bei Virenbefall am PC: Diese Schritte helfen im Notfall

Wir sagen, wie Sie sich gegen Erpresser-Trojaner wehren. Und mit welchen cleveren Tools Sie Ihre Dateien entschlüsseln, wenn die fiese Ransomware zugeschlagen hat.
Roland Freist
Von Roland Freist
PC-WELT
Virusalarm auf einem Notebook
Image: McLittle Stock / Shutterstock.com

Bei einer Vireninfektion, vor allem mit einer Ransomware, kommt es darauf an, schnell zu reagieren. Mit sofort eingeleiteten Maßnahmen können Sie die Ausbreitung der Malware verhindern und Ihr System umgehend wieder davon befreien

Oft beginnt es mit einem Signalton, etwa mit einer Art „Ping“. Gleichzeitig erscheint ein Fenster des Virenscanners und schlägt Alarm: Das Programm hat eine Schadsoftware entdeckt. In den meisten Fällen ist damit die Gefahr auch schon gebannt, denn der Scanner hindert den Virus sofort an der Ausführung und weiteren Verbreitung. Sie müssen lediglich noch angeben, ob die Malware in Quarantäne verschoben oder sofort gelöscht werden soll.

Tipp: Norton Security jetzt für 21,99 Euro

Immer wieder kommt es aber auch vor, dass ein Virus eine Zeit lang unentdeckt auf dem Rechner sitzt, bis er schließlich mit einem Mal aktiv wird. Dann heißt es, schnell zu handeln, will man nicht riskieren, dass die Schadsoftware in kürzester Zeit die Daten auf der eigenen Festplatte verschlüsselt und/oder sich auf weitere Rechner im Netzwerk ausbreitet.

In diesem Artikel zeigen wir, wie Sie nach der Entdeckung eines Virus aktiv werden, welche Aktionen in welcher Reihenfolge als Sofortmaßnahmen sinnvoll sind. Außerdem erfahren Sie, wie Sie sich auf einen Schädlingsbefall vorbereiten und welche Tools Sie für diesen Fall bereitlegen sollten.

So handeln Sie bei einem Virenbefall richtig

Wenn die Antiviren-Software anschlägt, ist schnelles Handeln erforderlich. Dies sind die empfohlenen Aktionen für die ersten Minuten nach der Meldung:

1. Den Rechner isolieren

Wenn Sie mehrere vernetzte Computer besitzen, gilt es in einem ersten Schritt, den potenziellen Schaden zu begrenzen und eine weitere Ausbreitung des Virus zu verhindern. Besitzen Sie ein kabelgebundenes Netzwerk, ziehen Sie an dem befallenen Rechner den Netzwerkstecker ab. Arbeiten Sie in einem WLAN, schalten Sie an Ihrem Router das Funknetzwerk ab oder – falls das Gerät keine entsprechende Taste besitzt – kappen Sie die Stromversorgung.

Aber selbst wenn bei Ihnen lediglich ein einziger PC aktiv ist, sollten Sie die Verbindung zum Router trennen, so dass die Malware keinen Kontakt zu einem Kontrollserver im Internet aufnehmen kann.

2. Den Computer ausschalten

Fahren Sie Ihren Rechner nun wie gewohnt über das Startmenü von Windows herunter. Überlegen Sie sich jetzt, von wo der Virus gekommen sein könnte. Die klassischen Einfallstore sind E-Mails, der Browser und verseuchte USB-Sticks.

Gehen Sie Ihre PC-Aktionen aus den letzten Minuten noch einmal durch:

  • Haben Sie eine obskure Website angesteuert?
  • Hat der Virenscanner sich gemeldet, nachdem Sie einen E-Mail-Anhang auf dem Computer gespeichert hatten?
  • Ertönte der Alarm, als Sie einen Stick angeschlossen und dort ein Programm ausgeführt hatten?

Wenn Sie auf diese Weise die Herkunft der Malware klären können, wissen Sie auch, wo Sie sie finden und wie Sie später eine erneute Infektion vermeiden können.

Es gibt jedoch auch Viren, die unbemerkt ins System schlüpfen und zunächst einige Zeit den Rechner auskundschaften, bevor sie auf Befehl ihres Kontrollservers aktiv werden. Für neue Malware existieren teilweise noch keine Virendefinitionen, mit denen die Schädlinge erkannt werden können. Falls Sie einen solchen Schädling erwischt haben, sollten Sie in einem späteren Schritt der Sofortmaßnahmen einen zweiten Virenscanner hinzuziehen.

3. Abgesicherten Modus starten

Über die „Starteinstellungen“ (rechte Seite, Mitte im Screenshot) erreichen Sie in Win RE die drei Varianten des abgesicherten Modus, die Windows bereithält. Wählen Sie die Version ohne Internet.

Über die „Starteinstellungen“ (rechte Seite, Mitte im Screenshot) erreichen Sie in Win RE die drei Varianten des abgesicherten Modus, die Windows bereithält. Wählen Sie die Version ohne Internet.

IDG

Um den Virus zu entfernen, fahren Sie den Rechner jetzt wieder hoch, allerdings dieses Mal im abgesicherten Modus. Dabei werden lediglich einige grundlegende Windows-Funktionen ausgeführt und nur ein Basissatz an Treibern geladen. Um mit Windows 10 und 11 in den abgesicherten Modus zu gelangen, ohne blitzschnell eine Taste drücken zu müssen, gehen Sie folgendermaßen vor:

Drücken Sie den Netzschalter, um den Computer zu starten. Sobald das erste Anzeichen erkennbar ist, dass der Bootvorgang von Windows begonnen hat, drücken Sie etwa zehn Sekunden lang den Netzschalter, bis der Rechner wieder ausgeschaltet ist. Wiederholen Sie diesen Vorgang zwei Mal. Beim dritten Mal erscheint die Windows-Wiederherstellungsumgebung (Win RE, Windows Recovery Environment) mit einem blauen Bildschirm.

Achtung: Bei einem Notebook funktioniert der Start von Win RE auf diese Weise nur, wenn sich der Akku entfernen lässt. Anstatt auf den Ein-/Ausschaltknopf zu drücken, ziehen Sie dort das Netzkabel. Klicken Sie in der Windows-Wiederherstellungsumgebung auf „Problembehandlung –› Erweiterte Optionen –› Starteinstellungen –› Neu starten“. Drücken Sie nach dem Neustart die Taste 4 oder F4.

4. Temporäre Dateien löschen

Mit der Datenträgerbereinigung entfernen Sie die temporären Dateien aus den Windows-Ordnern.

Mit der Datenträgerbereinigung entfernen Sie die temporären Dateien aus den Windows-Ordnern.

IDG

Einige Viren werden erst bei einem regulären Start von Windows aktiv. Bis dahin schlummern sie in den temporären Verzeichnissen des Betriebssystems. Entfernen lassen sie sich am einfachsten mit einem Windows-Tool.

Öffnen Sie das Startmenü und tippen Sie „Datenträgerbereinigung“ ins Suchfeld. Sobald in der Trefferliste das gleichnamige Programm angezeigt wird, starten Sie es mit einem Klick und wählen im ersten Fenster Laufwerk C: zur Untersuchung aus. Stellen Sie im folgenden Fenster sicher, dass „Temporäre Internetdateien“ markiert ist, und klicken Sie auf „OK“ und „Dateien löschen“, um die Files zu entfernen.

5. Virenscan durchführen

Führen Sie zum Beseitigen der Malware zunächst eine vollständige Überprüfung durch und anschließend in einem zweiten Durchgang einen Offline-Scan. Dieser startet Windows im abgesicherten Modus.

Führen Sie zum Beseitigen der Malware zunächst eine vollständige Überprüfung durch und anschließend in einem zweiten Durchgang einen Offline-Scan. Dieser startet Windows im abgesicherten Modus.

IDG

Starten Sie nun eine Virensuche auf Ihrer Festplatte/SSD. Lassen Sie Ihre Antiviren-Software sämtliche Dateien überprüfen und führen Sie, falls möglich, einen Offline-Scan durch, bei dem der Computer neu gestartet wird. Auf diese Weise entdeckt der Scanner auch solche Schadprogramme, die beim Booten des Rechners aktiv werden. Falls Sie beispielsweise den Windows Defender verwenden, klicken Sie doppelt auf sein Icon in der Taskleistenecke und wählen Sie „Viren- und Bedrohungsschutz –› Scanoptionen –› Vollständige Überprüfung“ und anschließend in einem zweiten Durchgang „Windows Defender Antivirus (Offlineüberprüfung)“.

Falls die Software einen Virus findet, sollten Sie die befallene Datei zunächst in Quarantäne verschieben und nicht sofort löschen. Handelt es sich um ein Dokument, das mit einem Makrovirus infiziert ist, können Sie die Inhalte auf diese Weise eventuell noch retten. Mit etwas Glück ist die Schadsoftware anschließend vollständig eliminiert. Sie können den Rechner nun wieder normal und ohne abgesicherten Modus neu starten.

6. Passwörter ändern

Da sich im Nachhinein schwer einschätzen lässt, wie lange der Virus bereits auf Ihrem Computer auf der Lauer lag, sollten Sie vorsichtshalber Ihre Passwörter austauschen. Das ist oftmals viel Arbeit und häufig auch unnötig, da die Malware Ihre Kennwort-Eingaben nicht abgefangen hat. Doch nach einer Virusinfektion empfiehlt sich immer die bestmögliche Sicherheit.

Was tun bei Ransomware-Befall?

Die bei Kriminellen beliebteste Schadprogrammgattung ist Ransomware, ein Virus, der die Dateien auf der Festplatte verschlüsselt. Erst nach Zahlung eines Lösegelds, normalerweise in Bitcoin, übermitteln die Täter ein Tool, mit dem sich die Daten wieder entschlüsseln lassen.

Falls Sie Opfer eines solchen Angriffs geworden sind und auf Ihrem Monitor eine entsprechende Meldung erscheint, sollten Sie sofort den Netzstecker ziehen, damit die Verschlüsselung gestoppt wird. Booten Sie Ihren PC anschließend von einem Rettungsstick und sichern Sie die noch unverschlüsselten Dateien. Danach gilt es, nicht in Panik zu verfallen. Denken Sie nach: Welche Dateien sind tatsächlich betroffen? Haben Sie noch Sicherungskopien oder ein Backup? Können Sie die Files vielleicht noch aus den E-Mails rekonstruieren, die bei Ihrem Provider auf dem Mail-Server liegen? Falls ja, ist die Lösung ganz einfach: Legen Sie mit dem Media Creation Tool von Microsoft an einem anderen PC einen Installationsdatenträger an und richten Sie Windows neu ein.

Über die Website ID Ransomware können Sie in vielen Fällen ermitteln, welcher Typ von Ransomware Ihre Daten verschlüsselt hat. Oftmals stehen auch Entschlüsselungstools bereit.

Über die Website ID Ransomware können Sie in vielen Fällen ermitteln, welcher Typ von Ransomware Ihre Daten verschlüsselt hat. Oftmals stehen auch Entschlüsselungstools bereit.

IDG

Wenn nicht, lautet die oberste Regel: Nicht bezahlen! Finden Sie stattdessen zunächst heraus, womit Sie es zu tun haben. Der Internetzugang Ihres PCs ist trotz Ransomware-Befall normalerweise noch in Betrieb – die Kriminellen wollen ja, dass Sie per Internet das Lösegeld überweisen. Besuchen Sie die Site ID Ransomware, und laden Sie die Datei mit der Lösegeldforderung oder ein von der Ransomware verschlüsseltes File hoch. In vielen Fällen kann die Website den Typ der Malware identifizieren und Ihnen ein passendes Entschlüsselungsprogramm zur Verfügung stellen. Auch auf der Site No More Ransom finden Sie zahlreiche Entschlüsselungswerkzeuge, ebenso auf der Ransomware-Seite des Windows Club.

Anschließend sollten Sie in einem ersten Schritt mit einem Rettungsstick die Ransomware von Ihrem Rechner entfernen. Danach können Sie dann mit den Tools von den angegebenen Seiten versuchen, die Verschlüsselung der Files aufzuheben.

Ransomware-Schutz: Die besten Tools im Überblick

Vorbeugende Maßnahmen für den Schutz von Daten und PC

Um Infektionen durch Malware zu verhindern und sie, falls es doch einmal geschieht, schnell und wirkungsvoll zu bekämpfen, gibt es eine Reihe von Schutzmaßnahmen:

1. Halten Sie Ihr System aktuell

Sehen Sie regelmäßig im Windows Update nach, ob es Aktualisierungen für das Betriebssystem gibt, und richten Sie sie am besten sofort ein. Über „Erweiterte Optionen“ holen Sie sich auch Updates für MS Office.

Sehen Sie regelmäßig im Windows Update nach, ob es Aktualisierungen für das Betriebssystem gibt, und richten Sie sie am besten sofort ein. Über „Erweiterte Optionen“ holen Sie sich auch Updates für MS Office.

IDG

Die Programmierer von Schadsoftware nutzen häufig Sicherheitslücken in Windows und seinen Anwendungen aus, um ihre Malware einzuschleusen oder sie zu verstecken. Sehen Sie daher regelmäßig in den „Einstellungen“ unter „Windows Update“ nach, ob dort neue Aktualisierungen warten, und installieren Sie sie. Besonders gefährdet ist zudem der Browser; Chrome, Firefox und Edge erhalten ihre Updates jedoch automatisch von den Herstellern. Überprüfen Sie aber auch die anderen Anwendungen auf Ihrem Rechner. Tools wie Ccleaner enthalten Software-Updater, die nicht mehr aktuelle Programme auflisten und teilweise auch direkt ein Update durchführen.

2. Sichern Sie Ihre Daten häufig

Windows lässt sich neu einrichten, Programme können neu installiert werden. Ihre Dokumente, Fotos und andere Mediadateien sind jedoch unersetzlich. Installieren Sie daher ein Backup-Tool wie etwa Aomei Backupper und stellen Sie eine regelmäßige, tägliche Sicherung dieser Daten auf ein externes Medium wie etwa eine USB-Festplatte oder ein NAS-Gerät ein. Gut geeignet sind auch Cloudspeicher, da sie immer eine Sicherungskopie der dort gelagerten Files anlegen. Trennen Sie den Datenspeicher nach dem Backup von Ihrem Computer beziehungsweise melden Sie sich bei der NAS-Oberfläche ab.

3. Rettungsstick bereithalten

Mit der Freeware Rufus und der ISO-Datei einer Notfall- Disk erzeugen Sie einen bootfähigen USB-Stick für die Beseitigung der Malware.

Mit der Freeware Rufus und der ISO-Datei einer Notfall- Disk erzeugen Sie einen bootfähigen USB-Stick für die Beseitigung der Malware.

IDG

Nicht alle Schadprogramme werden auch von sämtlichen Virenscannern entdeckt. Für den Scan in Schritt 5 der Sofortmaßnahmen sollten Sie sich daher eine Alternative bereitlegen.

Kaspersky und Avira bieten kostenlose Notfall-Disks mit ihren Virenscannern in Form von ISO-Dateien an. Laden Sie sich diese Files herunter, kopieren Sie die Programme mithilfe der Freeware Rufus auf einen USB-Stick und lassen Sie den infizierten PC von diesem Stick booten. Die Notfall-Disks basieren auf einem Linux- System; eine Windows-Schadsoftware kann ihnen nichts anhaben. Sie können daher auch die Internetverbindung wiederherstellen, damit die Antiviren-Software ihre Virendefinitionen aktualisieren kann. Anschließend lassen Sie die Programme Ihre Laufwerke untersuchen.

Säubern oder Neuinstallation?

Bei einem Virenbefall stellt sich die Frage, ob Sie versuchen sollen, die Malware per Antiviren-Software zu entfernen oder Ihre Dateien zu sichern und Windows anschließend komplett neu zu installieren. Sicherer ist die Neuinstallation von Windows. Einen ausführlichen Ratgeber zur Neuinstallation finden Sie hier. Sie können aber auch Ihrem Antivirenprogramm vertrauen und davon ausgehen, dass es alle Schädlingsteile beseitigt hat. In Tests von AV-Test funktioniert das für fast alle verbreiteten Schädlinge sehr gut.

Lesetipp: Diese Android-Apps sollten Sie sofort löschen – Malware im Play Store

vgwort

Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.

Aktuelle Beiträge von Roland Freist: