196452

Bei Virenbefall: So retten Sie Ihren PC

04.07.2017 | 09:10 Uhr |

Ist das System von Viren, Trojanern oder Rootkits befallen, so gilt es schnell zu handeln, um den Schaden einzuschätzen und zu begrenzen. Antiviren-Tools sind dabei nur Teil einer sicheren Strategie – wichtiger ist Vorsorge.

Die Theorie von Computerviren ist so alt wie moderne Computersysteme: Der Mathematiker John von Neumann, auf den auch die Von-Neumann-Architektur heutiger Computer zurückgeht, philosophierte bereits 1944 in einer Vorlesung zu selbstreplizierenden Automaten über die Möglichkeit von Computerviren. Und tatsächlich wurden Programme, die sich selbst vervielfältigen, treue Begleiter der elektronischen Datenverarbeitungstechnik. Ging es den ersten Würmern und Computerviren ab den 70er- und 80er-Jahren noch darum, ein Konzept zu beweisen oder blindwütig Daten zu zerstören, so sind die Ziele heute höhergesteckt: Es geht um die Übernahme und Kontrolle befallener Systeme. Auf die Daten von Privatanwendern hat es eine neue Kategorie von Schadcode abgesehen: Crimeware – Erpresserviren, auch Ransomware genannt – gehen so weit, das System oder Benutzerdaten in Geiselhaft zu nehmen und Lösegeld über anonymisierte, digitale Zahlungswege zu fordern. Erpressungs-Software ist der aktuelle Star unter den Schadprogrammen. Sowohl Privatnutzer als auch Unternehmen sind zunehmend von Ransomware-Angriffen betroffen. Die Angriffe werden immer breiter angelegt und richten mehr Schaden an. Der medienwirksame Erfolg aktueller Ransomware-Attacken auf Unternehmen und Krankenhäuser, auch in Deutschland, dürfte noch mehr Cyberkriminelle dazu verleiten, kurzfristig auf diesen Zug aufzuspringen.

Windows 10: Die besten Tipps zu Sicherheit & Datenschutz

Windows-Bedrohungsszenarien: Virenprogramme im Wandel

Der typische Infektionsweg ist immer noch die Nachlässigkeit von Anwendern. Dazu gesellt sich in den letzten Monaten ein weiterer, sehr gefährlicher Infektionsvektor: Zero-Day-Exploits. Das sind Sicherheitslücken in Programmen, für die der Hersteller noch keinen Patch bereitgestellt hat, die praktisch ausgenutzt werden. Im schlimmsten Fall genügt dazu der Besuch einer infizierten Webseite. Besonders negativ fällt als Einfallstor seit einiger Zeit das Browser-Plug-in Adobe Flash auf.

Das üble Treiben von virulentem Code ist subtil und zu variantenreich geworden, als dass es ein bequemes Allround-Tool dagegen geben könnte. Das Patentrezept gegen Viren & Co. ist weiterhin Aufmerksamkeit und zeitnahe Updates von System, Programmen und der Firmware etwa in WLAN-Routern sowie Vorsorge in Form regelmäßiger Backups, um die eigenen Daten vor Erpresserviren zu schützen. Diese Form der Absicherung verlangt jedoch häufig die Mitwirkung des Benutzers, denn vielfach installieren sich Updates nicht automatisch.

Wenn der Virenscanner bei Ihrem Windows-PC Alarm schlägt

Alarmstufe rot! Hier schlägt das Wächterprogramm auf eine Hintertür im System eines Windows-Rootkits an. Eine Windows-Neuinstallation steht an.
Vergrößern Alarmstufe rot! Hier schlägt das Wächterprogramm auf eine Hintertür im System eines Windows-Rootkits an. Eine Windows-Neuinstallation steht an.

Die übliche Situation bei einer Infektion ist, dass der Virenscanner oder ein Virenwächter bei einem Prüfvorgang Alarm schlägt. Nun gilt es schnell zu handeln. Nicht jede Art von Schadcode verursacht bei einem Befall des Systems sofort eindeutige Anzeichen. Trojanische Pferde, kurz „Trojaner“, wollen üblicherweise möglichst unbemerkt ein System übernehmen. Eine so eingerichtete Hintertür, die sich im schlimmstenfalls unter Windows als „Rootkit“ tief ins System eingräbt, hat viele Möglichkeiten zur Tarnung, bis sie aktiv ausgenutzt wird. Feindliche Übernahmen dieser Art sind schwerer zu erkennen und erfordern die regelmäßige Überprüfung des Systems mit einem Virenscanner, der unabhängig vom installierten Windows arbeitet. Nur Scan-Programme in eigenen, startfähigen Live-Systemen, die Sie auf der Heft-DVD finden, können Rootkits zuverlässig aufspüren (siehe Kasten). Während des normalen Betriebs macht sich diese fortgeschrittene Malware oft durch ominöse Systemabstürze bemerkbar – denn auch die Malware-Entwickler machen Fehler und nutzen oft undokumentierte Teile der Windows-API. Ein Verdacht ist also auch dann angebracht, wenn das zuvor solide Windows-System unvermittelt zu wiederholten Abstürzen und Fehlermeldungen neigt.

Der Viren-Check per Live-DVD verrät zum einen, ob das System überhaupt infiziert wurde, und wenn ja, um welchen Virus es sich handelt. Zum anderen liefert der Virenscanner außerhalb von Windows Informationen darüber, wie viele Einzeldateien des Systems in Mitleidenschaft gezogen wurden.

Viren mit dem Live-System beseitigen

Ein installierter Virenscanner wie Bitdefender Internet Security 2017 findet bekannte Malware, ist aber oft machtlos bei bereits aktiven Rootkits. Es ist deshalb ratsam, das System intervallweise unabhängig vom installierten Windows-System über ein Live-System zu scannen. Ein Kontrollscan mit verschiedenen Antivirenprogrammen ist auch im Falle eines Malware-Funds wichtig, um Fehlalarme auszuschließen. Nutzen Sie dazu das PC-WELT-Notfallsystem in der Version 5.6 mit dem Virenscanner Clam AV sowie die Bitdefender Rescue-CD mit der Bitdefender-Engine. Beide Live-Systeme sind Linux-basiert und arbeiten unabhängig von Ihrem Windows. Eine Aktualisierung der Definitionen über eine Internetverbindung ist vor einem Suchlauf bei beiden Scannern Pflicht, eine Onlineverbindung ist für den Einsatz Voraussetzung.

Unabhängiger Virencheck: Da sich in einem laufenden Windows-System Rootkits gut verstecken, empfiehlt sich eine Virensuche von einem Live-System aus, zum Beispiel mit Clam AV über das PC-WELT-Notfallsystem.
Vergrößern Unabhängiger Virencheck: Da sich in einem laufenden Windows-System Rootkits gut verstecken, empfiehlt sich eine Virensuche von einem Live-System aus, zum Beispiel mit Clam AV über das PC-WELT-Notfallsystem.

PC-WELT-Notfallsystem: Hängen Sie über das Symbol „Festplatten einbinden“ (das dritte Symbol von links in der Hauptleiste) die zu überprüfenden Partitionen ein und setzen Sie einen Haken vor „schreibbar?“. Klicken Sie auf das Symbol „Menü“ ganz links oben und gehen Sie dann auf „Rettungswerkzeuge -> ClamAV“. Anschließend bestätigen Sie mit „Yes“ das Update der Virensignaturen. Warten Sie, bis das Update abgeschlossen ist. Danach sehen Sie das Fenster „Virensuche mit ClamAV“. Hinter „Zu scannendes Verzeichnis“ ist der Pfad „/media“ eingestellt, der die eingehängten Windows-Partitionen enthält. Der Punkt „Mit Unterverzeichnissen“ ist zwingend für eine vollständige Untersuchung der Datenträger. Ein Klick auf „Durchsuchen starten“ beginnt mit dem Suchlauf.

Bitdefender Rescue-CD: Das Live-System von Bitdefender ist ganz eng spezialisiert und liefert im Wesentlichen nur den Virenscanner mit. Nach der Bestätigung der Nutzungsbedingungen führt Bitdefender sogleich das Online-Update der Virensignaturen aus. Anschließend starten Sie Bitdefender über das unübersehbare B-Symbol auf dem Desktop und gehen auf „Jetzt scannen“.

Gewissheit erhalten: Identifikation der Malware auf Ihrem Rechner

Zweite Meinung einholen: Auf ein im Windows-System installiertes Antivirenprogramm allein ist kein Verlass. Bei Verdacht auf eine Infektion ist ein zusätzlicher Virenscan mit einem weiteren Programm zur Diagnose nötig.
Vergrößern Zweite Meinung einholen: Auf ein im Windows-System installiertes Antivirenprogramm allein ist kein Verlass. Bei Verdacht auf eine Infektion ist ein zusätzlicher Virenscan mit einem weiteren Programm zur Diagnose nötig.

Generell ist es empfehlenswert, schon beim kleinsten Verdacht vom größten anzunehmenden Unfall auszugehen und von da aus das Problem einzugrenzen. Die Meldung eines Virenwächters zu einer einzelnen Datei, die gerade erst per Download oder per Kopie von USB-Laufwerken und Netzwerkfreigaben auf den Rechner gelangte, ist aber noch kein Beleg, dass dieses Schadprogramm auch tatsächlich schon aktiv ist. Ob es sich einfach um einen noch harmlosen, weil passiven Überträger handelt, können Sie mit einem Check per Live-System feststellen:

1. Fahren Sie das System sauber herunter – Windows Vista und 7 einfach über den entsprechenden Punkt im Startmenü. In Windows 8.1 und 10 müssen Sie hingegen dafür sorgen, dass Windows ohne aktivierten Fast Boot herunterfährt, der einen schnellen Systemstart ermöglicht. Diese Beschleunigung funktioniert, indem Windows sich nicht mehr komplett beendet, sondern in einen besonderen Ruhezustand gefahren wird.

Der schnellere Boot resultiert aus einer Mischung von normalem Kaltstart und einem Start aus dem Ruhezustand, wobei geöffnete Dateien der Benutzer in der Datei „Hiberfil.SYS“ zwischengespeichert werden. Bei einer Überprüfung des Windows-Systems ist dies nicht gewünscht. Öffnen Sie zum kompletten Herunterfahren eine Eingabeaufforderung und geben Sie dort den Befehl

shutdown -s -t 0  

ein, um Windows 8.x/10 ohne Fast Boot und damit vollständig abzuschalten.

2. Starten Sie den PC nun von Heft-DVD neu, auf der sich der bootfähige Clam-AV-Virenscanner befindet, und lassen Sie alle Laufwerke nach Malware absuchen. Am besten führen Sie anschließend mit der Bitdefender Rescue-CD einen weiteren Suchlauf auf allen System- und Datenpartitionen aus.

3. Wann ist das System als kompromittiert zu werten? Es liegt natürlich immer im Ermessen des Anwenders, ob er einem befallenen Computer noch vertraut. Wenn ein Benutzer lediglich einen üblen Mailanhang oder eine virulente Programmdatei auf dem System gespeichert, aber nicht ausgeführt hat, so besteht Hoffnung, dass die Entfernung der Datei schon genügt.

4. Weitgehend hoffnungslos ist die Sache aber immer, wenn nicht klar ist, wann und auf welche Weise die Infektion eintrat, und ob eine geöffnete Hintertür nicht schon ausgenutzt wurde. Falls sich laut Scanner bereits mehrere infizierte Dateien auf der Festplatte tummeln, und noch dazu in Programmordnern oder im Windows-Ordner, dann gibt es nur noch wenig zu deuten: Das System ist infiziert und der infektiöse Code befindet sich aller Wahrscheinlichkeit nach schon länger auf dem PC. In diesem Fall müssen Sie davon ausgehen, dass der PC bereits vollständig verseucht ist. Dann sind weder installierte Antivirenprogramme, Virenwächter noch Windows selbst noch vertrauenswürdig.

Tipp: So erkennen Sie Hackerangriffe und Vireninfektionen

Zusätzlichen Kontroll-Check mit Online-Virenscanner machen

Je nach Malware-Typ bieten manche der Online-Virenscanner gleich an, die beschädigten Dateien zu reparieren. Andere beschränken sich auf einen Infektionsbericht mit Angaben zu den gefundenen Schädlingen.
Vergrößern Je nach Malware-Typ bieten manche der Online-Virenscanner gleich an, die beschädigten Dateien zu reparieren. Andere beschränken sich auf einen Infektionsbericht mit Angaben zu den gefundenen Schädlingen.

Zur Verifizierung des Virenfunds können Sie sich eine weitere Einschätzung durch einen zusätzlichen Online-Virenscanner einholen. Einen solchen Test starten Sie etwa mit den Online-Scannern von F-Secure , Trend Micro oder Eset . Diese prüfen das System meist in wenigen Minuten. Einen kompletten Scan, der auch nach nicht aktiven Viren auf der Festplatte sucht, starten Sie etwa mit Panda Activescan . Bis dieser abgeschlossen ist, können allerdings ein paar Stunden vergehen. Der populäre Multi-Onlinescanner Virustotal eignet sich übrigens nicht für eine Windows-Komplettprüfung, da der Dienst nur einzelne Dateien auf Malware testen kann.

Für die erste Nutzung der Online-Scanner im Browser benötigen Sie ein Benutzerkonto mit Administratorrechten.

Ein Online-Scanner verschafft Ihnen Klarheit darüber, ob Ihr System mit Malware infiziert ist oder nicht. Im Idealfall findet er nicht nur alle Schädlinge auf einem PC, sondern kann sie auch beseitigen. Das bieten allerdings nicht alle Dienste, manche beschränken sich auf einen reinen Malware-Report. Das ist nicht ideal, aber dennoch hilfreich. Die Scanner verraten schließlich, wo sich der Schädling befindet und wie er heißt.

Virenverseuchten Rechner wieder sauber bekommen

Malwarebytes Anti-Malware wechselt nach Ablauf der 14-Tage-Probezeit in den kostenlosen Nutzermodus. Auch damit erkennt und entfernt es Malware, Spyware und Rootkits in vielen Fällen vom Rechner.
Vergrößern Malwarebytes Anti-Malware wechselt nach Ablauf der 14-Tage-Probezeit in den kostenlosen Nutzermodus. Auch damit erkennt und entfernt es Malware, Spyware und Rootkits in vielen Fällen vom Rechner.

Wenn keine Zeit für eine Windows-Neuinstallation ist, können Sie versuchen, den Rechner von Malware zu säubern. Hier bleibt auch bei einer erfolgreichen Bereinigung generell ein großes Restrisiko, Schädlinge unentdeckt zu lassen, die für eine baldige Neu-Verseuchung Ihres Systems sorgen können. Das Entfernen von Schädlingen ist daher gegenüber einer Neuinstallation nur zweite Wahl.

Versuchen Sie zunächst, die Viren wie beschrieben mit einer Antivirus-Boot-DVD und einem zusätzlichen Online-Virenscanner zu entfernen. Anschließend ist ein weiterer Suchlauf mit Malwarebytes Anti-Malware empfehlenswert. Im Test zeigte das Tool bereits in der Gratis-Variante eine sehr gute Reinigungsleistung. Die Nutzung der Software ist recht einfach. Nachdem Sie die neueste Version des Programms von der Hersteller-Website heruntergeladen und installiert haben, starten Sie das Programm.

Zunächst wird die Datenbank der Software mit Malware-Signaturen und Erkennungsmustern aktualisiert. Klicken Sie danach auf „Jetzt durchsuchen“ um Ihr System zu scannen. Der Vorgang kann einige Minuten dauern.

Danach sehen Sie alle auf Ihrem Rechner als infiziert eingestufte Dateien aufgelistet. Setzen Sie jeweils einen Haken daneben, und klicken dann auf „Auswahl entfernen“, um die Schädlinge von Ihrem System zu tilgen.

Siehe auch: So entfernen Sie Erpresser-Viren von Android-Geräten

Beseitigt Malware allumfassend: Neuinstallation von Windows

Letzter Ausweg bei einem kompromittierten System: Auch wenn es stets ungelegen kommt und viel Aufwand bedeutet – eine saubere Neuinstallation ist nach einer Infektion meist unumgänglich.
Vergrößern Letzter Ausweg bei einem kompromittierten System: Auch wenn es stets ungelegen kommt und viel Aufwand bedeutet – eine saubere Neuinstallation ist nach einer Infektion meist unumgänglich.

Ist ein System laut Scanner von Viren, Würmern oder gar Rootkits befallen, dann bringen nachträgliche Aufräumaktionen häufig nichts mehr. Wenn ein Virus auf Ihren Rechner vorgedrungen ist und sich dort schon eine Zeit lang aufhalten konnte, ist das System schlicht nicht mehr das eigene. Bei einem kompromittierten System ist eine Neuinstallation von Windows der einzig sichere Ausweg.

Nahezu alle aktuellen Schadprogramme sind darauf aus, eine Hintertür auf dem PC zu installieren, um weiteren Code nachzuladen oder den PC zu einem ferngesteuerten Zombie zu machen. Auch wenn es viele Anwender nicht wahrhaben wollen, da dieser Schritt immer eine Menge unangenehme Arbeit bedeutet: Eine gründliche Neuinstallation von Windows und der verwendeten Programme ist nach einem Virenfund der mit Abstand sicherste Weg, wieder ein dauerhaft sauberes Betriebssystem herzustellen.

Vor Neuinstallation des Systems: Wichtige Daten sichern

Vor einer Neueinrichtung müssen Sie persönliche Daten und dabei alle unverdächtigen Dateien sichern. Um dazu nicht das infizierte Windows-System einzusetzen, ist der bessere Weg wieder über das bootfähige PC-WELT-Notfallsystem, das Sie zur Datensicherung unabhängig vom installierten System booten. Es bietet einen handlichen Dateimanager, kann NTFS-Partitionen lesend und schreibend einhängen und erkennt angeschlossene externe Datenträger.

Partitionen einbinden: Im laufenden Notfallsystem gelangen Sie in der oberen Menüleiste über das Festplatten-Symbol zum Einhängen der Festplatten im PC. Hier müssen die Partitionen eingehängt werden, von welchen Sie Dateien sichern möchten. Sie sehen eine Liste mit den gefundenen Partitionen, in der Sie beispielsweise auf „Partition 2 (sda2, ntfs) einbinden“ klicken. Die zweite Partition ist in der Regel die Windows-Systempartition, die erste ist die Bootpartition.

Datensicherung auf externe Datenträger: Verbinden Sie das USB-Gerät mit dem PC und binden Sie ebenfalls dessen Partitionen ein. Ist das geschehen, so öffnet sich automatisch der Dateimanager. Haben Sie diesen bereits geschlossen, können Sie ihn im Fenster „Laufwerke“ über „Inhalt anzeigen“ jederzeit wieder öffnen. Gehen Sie in das Verzeichnis auf der Partition, aus der Sie Daten kopieren möchten. Markieren Sie die gewünschten Dateien oder Ordner und drücken Sie die Tasten Strg-C. Wechseln Sie nun zum Fenster mit dem Ziellaufwerk und hier in den gewünschten Ordner.

Online-Passwörter ändern: Das PC-WELT-Notfallsystem enthält auch den Browser Firefox. Dieser ist nützlich, um bei dieser Gelegenheit auch gleich die Passwörter für genutzte Online-Dienste zu ändern. Denn durch Backdoor-Programme können diese Zugangsdaten bereits in fremde Hände gelangt sein und die Änderung der Zugänge sollte nicht zu lange aufgeschoben werden.

Geordneter Rückzug: Windows neu einrichten

Sofern eine Installations-DVD von Windows vorliegt, sollten Sie das System von dieser neu installieren und nicht etwa die Optionen zur Reparaturinstallation oder zum Upgrade wählen. Löschen Sie dann die alte System-Partition und installieren Sie dort Windows neu. Bei Notebooks und Komplett-PCs, die mit vorinstalliertem Windows 8 oder 10 ausgeliefert werden, verzichtet der Hersteller auf Setup- DVDs, zumal viele Computer sowieso kein optisches Laufwerk mehr haben. In diesen Fällen bietet Windows selbst unter den „Einstellungen -> Update und Sicherheit -> Wiederherstellung“ eine Reparatur mit dem Punkt „Windows neu installieren“ („Reset“) an.

Läuft das frische Betriebssystem wieder, so ist als Nächstes eine gründliche Aktualisierung aller Komponenten über das Windows-Update nötig. Installieren Sie dann ein Antivirenprogramm, beispielsweise Bitdefender Internet Security 2017 aus einer sauberen Quelle, und führen Sie auf allen Festplatten einen kompletten Suchlauf durch. Erst dann beginnt die eigentliche Arbeit – die Einrichtung aller benötigen Programme von den originalen, vertrauenswürdigen Installationsmedien und das Zurückkopieren der persönlichen Dateien mit anschließendem Viren-Check.

Das Zurückkopieren von nicht ausführbaren Dateien aus dem angelegten Backup ist in aller Regel unbedenklich. Musik, Videos, Fotos und Office-Dateien stellen kein großes Risiko dar. Vorsicht jedoch bei PDF-Dateien aus fremden Quellen: Sicherheitslücken über manipulierte PDFs sind heute eine echte Infektionsgefahr. Wer auch Mails lokal in seinem E-Mail-Programm verwaltet, muss darauf achten, möglicherweise infizierte Dateien in Mailanhängen später nicht abermals auszuführen.

Die Themen in Tech-up Weekly #71: +++ EU streicht Roaming-Gebühren ab Juni +++ Mozilla-Veteran: Anti-Viren-Software ist sinnlos +++ WhatsApp verrät bald Standort der Kontakte +++ Quick-News der Woche +++ Fail der Woche: Tim Sweeney attackiert Microsoft (schon wieder)

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

196452