Logo

Anleitung: So befreit ihr Windows von Schadsoftware

Malware BeseitigungImmer wieder werde ich von Freunden, Familienmitgliedern oder Kollegen angesprochen, wenn sich mal wieder jemand seinen Windows PC mit Schadsoftware (Malware) verseucht hat. Daher entschloss ich mich, eine entsprechende Anleitung zur Malware-Beseitigung zu schreiben. Dieses Tutorial ist nun etwas ausführlicher und hoffentlich umfassend und leicht verständlich geschrieben. Grundkenntnisse im Umgang mit Windows werden trotzdem vorausgesetzt, um den Rahmen des Tutorials nicht zu sprengen.

Eure Unterstützung
Ein kurzer Hinweis in eigener Sache: Dieser Artikel hat mich viel Zeit und Mühe gekostet. Wenn euch diese Anleitung gefallen und weiter geholfen hat, hinterlasst doch bitte einen Kommentar und empfehlt die Anleitung weiter. Auch über Ergänzungen, Korrekturen oder konstruktive Anregungen freue ich mich.

Diese Anleitung ist für Windows 7/Vista geschrieben, die meisten Schritte funktionieren aber so oder ähnlich auch unter Windows 8 und 10. Die Anleitung wird auch von Zeit zu Zeit aktualisiert, um sie auf dem neuesten Stand zu halten. Bevor es los gehen kann, noch ein obligatorischer Hinweis:

Haftungsausschluss
Diese Anleitung wurde nach bestem Wissen und Gewissen aufgrund langjähriger Erfahrung in diesem Bereich erstellt. Der Autor übernimmt trotzdem keinerlei Haftung für Schäden, die durch die Ausführung der hier beschriebenen Schritte eventuell entstehen könnten. Die Anwendung erfolgt auf eigene Gefahr!

 

Inhaltsübersicht

Kapitel 1: Ist der PC wirklich mit Schadsoftware befallen?
So findet ihr heraus, ob das merkwürdige Verhalten eures PC tatsächlich auf Malware zurück zu führen ist. Der zweite Abschnitt ist für etwas erfahrenere Anwender gedacht, die gerne etwas tiefer einblicken möchten. Ihr könnt Kapitel 1 überspringen, falls ihr schon zweifelsfrei wisst, dass das System infiziert ist.
Kapitel 2: Kampf der Malware! – im abgesicherten Modus
Hier erfahrt ihr, wie ihr ganz einfach über den abgesicherten Modus von Windows und mit Hilfe kostenloser Tools euer System von Schadsoftware befreien könnt.
Kapitel 3: Notfall-Boot-CD – Das Spezialkommando
Sollten die Schritte aus Kapitel 2 nicht zum Erfolg geführt haben, oder wollt ihr auf Nummer sicher gehen, erklärt euch dieses Kapitel wie ihr eine bootfähige Notfall-CD erstellt und einsetzt.
Kapitel 4: Abschließende Arbeiten und präventive Maßnahmen
Dieses Kapitel solltet ihr nicht überspringen und nach der erfolgreichen Bereinigung des Systems die aufgezeigten Schritte durchführen um einer erneuten Infektion vorzubeugen.

 

1. Ist der PC wirklich mit Schadsoftware befallen?

Windows verhält sich plötzlich merkwürdig, zeigt komische Meldungen, läuft sehr langsam oder stürzt häufig ohne erkennbaren Grund ab. Die Alarmglocken läuten. Nicht jeder Schädling gibt sich gleich als solcher zu erkennen. Und viele Windows-Zicken können auch allerelei andere Ursachen haben. Daher kann es sinnvoll sein, erst einmal die Windows-Installation auf verdächtige Verhaltensweisen zu prüfen. 

1.1 Eindeutige Symptome

Es gibt untrügliche Anzeichen für eine Malware-Infektion. Falls ihr eines oder gleich mehrere der folgenden Symptome am betreffenden PC beobachten könnt, ist die Frage bereits geklärt und ihr könnt bzw. solltet direkt mit der Bereinigung in Kapitel 2 fortfahren. Die folgenden Verhaltensweisen sind i.d.R. eindeutig auf einen Schädlingsbefall zurück zu führen:

  • Die Antiviren-Software funktioniert nicht mehr
    Das Antiviren-Programm ist nicht mehr aktiv oder dessen Wächter-Prozess läuft nicht mehr. Meistens wird dies schon durch ein Warnsymbol im Trayicon der Antiviren-Software angezeigt. Die Antiviren-Software lässt sich entweder nicht mehr neu installieren oder das Problem wird auch durch eine Neuinstallation nicht behoben.
  • Die Antiviren-Software hat einen Schädling gefunden, kann ihn aber nicht entfernen
    Bei einem manuellen Scan oder durch den Wächter-Prozess informiert euch eure Antiviren-Software über einen gefundenen Schädling. Obwohl die Antiviren-Software versucht hat, die Malware zu entfernen, erscheint die Meldung immer wieder.
    Hinweis: Standardmäßig werden infizierte Archive nicht gelöscht. Die lokalen Datendateien von E-Mail-Programmen (z.B. Outlooks PST-/OST-Datei) sind auch eine Archivdatei. Es kann durchaus vorkommen, dass das Antivirenprogramm einen verseuchten E-Mail-Anhang in einer solchen Datendatei findet, ihn aber nicht entfernen kann, weshalb die Meldung immer wieder erscheint.
  • Bestimmte Systemprogramme lassen sich nicht mehr starten
    Um das zu prüfen, öffnet das Startmenü und gebt in die Befehls-/Suchleiste „regedit“ ein und bestätigt mit der Eingabetaste (Enter). Versucht es danach auch noch mit „msconfig“. Sollten statt der entsprechenden Programmfenster irgendwelche Fehlermeldungen erscheinen, ist das ein Gruß von der Malware.
  • Besorgniserregende Meldungen eines euch fremden Programms
    Ein euch unbekanntes („Antivirus“-)Programm poppt plötzlich mit irgendwelchen Meldungen auf, euer PC sei infiziert und ihr mögt doch bitte hier mal klicken, da ansonsten die Akropalypse los bricht.
Nicht lange fackeln
Es genügt schon eines der obigen Symptome um von einer Systeminfektion durch Malware ausgehen zu müssen. Fahrt in diesem Fall sofort mit Kapitel 2 und der Bereinigung fort!

1.2 Spurensuche nach verdächtigen Hintergrundprozessen

Falls keine eindeutigen Symptome auftreten, heißt das nicht automatisch, dass alles in Ordnung ist. Es lohnt sich ein Blick hinter die Kulissen, um verdächtige Programme ausfindig zu machen. Dieses Kapitel erfordert evt. weitergehende Windows-Kenntnisse und mehr Zeit. Es ist bei einem Verdacht nicht unbedingt nötig, diese Schritte durchzuführen sondern dient als zusätzliches Hintergrundwissen.

Alles auf Anfang
Bevor ihr auf Spurensuche geht, schließt sämtliche Programme die evt. noch geöffnet sein könnten: Browser, E-Mail-Programm, Messenger, usw. Besser noch, startet den PC einmal neu und beendet dann ggfs. noch Anwendungsprogramme die sich beim Windows-Start automatisch mitstarten.

Ein schneller Check kann mit dem windowseigenen Task-Manager erfolgen. Drückt die Tastenkombination STRG+ALT+ENTF und wählt dann „Task-Manager starten“. Alternativ könnt ihr ihn auch per Rechtsklick auf die Taskleiste aufrufen. Wechselt in den Reiter „Prozesse“ und haltet Ausschau nach verdächtigen Prozessen, wie es weiter unter beschrieben ist. Klickt auf den Spaltenkopf „CPU“ um die Prozesse nach der Prozessorauslastung zu sortieren und schaut ob sich ein untypischer Prozess, vielleicht sogar mit hoher CPU-Auslastung findet:

Windows Task-Manager

Verdächtige Prozesse können u.U. schon mit Windows-Bordmitteln aufgespürt werden

Was macht einen Prozess verdächtig?
Im obigen Screenshot ist es am Beispiel meines Testvirus schön zu sehen: Ein unbekannter Prozess mit kryptischem Dateinamen und hoher dauerhafter Auslastung des Prozessors kann schon als verdächtig eingestuft werden. Allerdings kann u.U. auch ein legitimer Windows-Prozess in dieses Raster passen. Ich empfehle daher eine erweiterte Prüfung wie weiter unten beschrieben.

Ist eine Prozessor-Auslastung von 25 oder 50% denn hoch?
Wenn ihr von „hoher Prozessor-Auslastung“ hört, denkt ihr vielleicht an 80 oder 100%. Tatsächlich hängt das aber von der Anzahl der CPU-Kerne ab! Viele Schädlinge sind nämlich nur für die Nutzung eines einzelnen Kerns programmiert. Wenn ihr nun einen Vier- oder Achtkern-Prozessor in eurem PC habt, und nur ein Kern voll ausgelastet ist, wird die CPU-Auslastung des betreffenden Prozesses im Task-Manager mit nur 25 bzw. 13% angezeigt! Im Reiter „Leistung“ des Task-Manager seht ihr grafisch die Auslastung aller vorhandenen CPU-Kerne.

Wenn möglich solltet ihr statt des Windows Task-Manager gleich härtere Geschütze auffahren. Mit dem kostenlosen Tool Process Explorer bekommt ihr weitaus mehr Informationen zu allen Prozessen sowie mehr Aktionsmöglichkeiten an die Hand. Nach dem Download der ZIP-Datei müsst ihr diese nur noch entpacken, eine Installation ist nicht nötig. Startet den Process Explorer am besten mit Admin-Rechten per Rechtsklick auf die Datei procexp.exe -> „Als Administrator ausführen“.

Nicht erschrecken, das Programmfenster wirkt erst einmal bunt und unübersichtlich. Ihr seht nun alle laufenden Prozesse, jeweils mit Prozessor- und Speicherauslastung. Eine wichtige Funktion fehlt noch: Ihr könnt die Prozesse automatisch bei VirusTotal.com prüfen und die Ergebnisse anzeigen lassen. Aktiviert dazu die beiden Optionen im Menü „Options“ -> „VirusTotal.com“ -> „Check VirusTotal.com“ und -> „Submit Unknown Executables“:

Process Explorer - VirusTotal.com

Höchst verdächtig: Ein Prozess mit kryptischer Bezeichnung, voller Auslastung eines CPU-Kerns und mehrfachen Treffern bei VirusTotal.

Die Online-Abfrage bei VirusTotal.com kann einige Minuten in Anspruch nehmen. Manchmal gelingt die Online-Abfrage nicht sofort oder schlägt fehl. In diesem Fall kann es helfen, den Process Explorer zu beenden und nochmal neu zu starten. Bei einem Prozess, für den kein VirusTotal-Ergebnis angezeigt wird, könnt ihr per Rechtsklick -> „Check VirusTotal“ die Prüfung erneut anstoßen.

Nun findet ihr in der letzten Spalte zu jedem Prozess das Scanergebnis von Dutzenden Virenscannern. Solltet ihr in der Liste irgendwo einen oder mehrere verdächtige Einträge finden, genügt der Verdachtsmoment um von einer Systeminfizierung auszugehen. Fahrt in diesem Fall direkt mit Kapitel 2 fort.

Wolf im Schafspelz
Wenn ihr euch bei einem Prozessnamen nicht sicher seid, ob es sich hier um ein harmloses Programm handelt oder nicht, gebt den Dateinamen einfach in die Suchmaschine eures Vertrauens ein (z.B. Google) und schaut was das Internet dazu zu sagen hat. Manchmal aber tarnen sich Schädlinge auch mit dem Namen legitimer Windows-Prozesse. In diesem Fall kommt man hier mit der Recherche nicht weiter.

Interessant könnte im Process Explorer auch der Dialog „System Information“ sein. Ihr öffnet ihn über das Menü „View“ -> „System Information…“ oder mit der Tastenkombination STRG+I. Im folgenden Screenshot ist eine dauerhafte Prozessor-Auslastung sowie starke Festplattenaktivität zu sehen. Das muss nicht zwangsläufig von Malware verursacht werden. Da ihr aber Windows zu Anfang neu gestartet und alle sonstigen Anwendungen geschlossen hattet, gibt das Verhalten so oder so Anlass zum Handeln.

Werft auch kurz einen Blick in den Reiter „GPU“. Das ist die Recheneinheit der Grafikkarte. Manche Schädlinge benutzen den befallenen PC um ihn unbemerkt als „Sklaven“ für gewinnbringende Rechenaufgaben zu missbrauchen (z.B. für Bitcoin-Mining). Dabei leistet die GPU manchmal bessere Dienste als die CPU. Wenn die „GPU Usage“ hier eine dauerhafte, hohe Auslastung zeigt, sollte das ebenfalls eine Warnung sein.

Process Explorer System Information

Auf Anschlag: Im Dialog „System Information“ kann die Gesamtauslastung im zeitlichen Verlauf begutachtet werden.

Nichts auffälliges gefunden?
Dummerweise enttarnt sich längst nicht jeder Schädling auch mit einem kryptischen Dateinamen und hoher Systemauslastung. Falls die Suche mit dem Process Explorer keine eindeutigen Ergebnisse geliefert hat, und ein Treiber-, Software- oder Hardwareproblem für das merkwürdige Verhalten des PC ausgeschlossen werden kann, solltet ihr trotzdem die Bereinigung durchführen.

 

2. Kampf der Malware! – im abgesicherten Modus

Jetzt geht es dem Schädling an den Kragen! Wichtig: Startet den PC neu und Windows im abgesicherten Modus. Ihr benötigt einen Internetzugang mit LAN-Kabel (WLAN funktioniert im abgesicherten Modus nicht). Drückt dazu während des Boot-Vorgangs im 1-Sekunden-Takt jeweils einmal kurz die F8-Taste. Eventuell erscheint zuerst ein BIOS-Bootmenü, in dem ihr das Bootmedium ändern könnt. Normalerweise genügt es, mit der Eingabetaste (Enter) zu bestätigen. Sofort danach müsst ihr wieder die F8-Taste drücken. Es sollte das Windows-Bootmenü erscheinen. Wählt dort den „Abgesicherten Modus mit Netzwerktreibern“ und bestätigt mit der Eingabetaste:

Windows Abgesicherter Modus

Mit der Taste F8, während der PC neustartet, geht es in das Windows Boot-Menü

Wieso im abgesicherten Modus?
Egal welche Software ihr zur Malware-Beseitigung einsetzt – tut es entweder über ein separates Boodmedium oder im abgesicherten Modus! Wieso? Nun, wenn euer System tatsächlich infiziert ist, läuft der Schädling im normalen Modus aktiv im Hintergrund und sabotiert wahrscheinlich euren Säuberungsversuch. Viele Schädlinge kann man nicht einfach im laufenden Betrieb löschen – sie blockieren Zugriffsversuche oder haben „Backup-Routinen“ und stellen sich augenblicklich selbst wieder her sobald sie gelöscht werden. Im abgesicherten Modus von Windows jedoch werden nur die nötigsten Systembestandteile geladen. Die Chance ist hoch, dass der Schädling im abgesicherten Modus NICHT mitgestartet wird und problemlos entfernt werden kann.

2.1 Spezielle Anti-Malware-Software

Das Programm Malwarebytes Anti-Malware leistet sehr gute Dienste wenn es um die Entfernung von Schadsoftware geht. Wir benötigen dazu nicht die Premium-Version sondern lediglich die kostenlose Free-Version (Download Malwarebytes Anti-Malware). Nach dem Download der Installationsdatei müsst ihr diese noch ausführen. Folgt den Installationsanweisungen. Wichtig: Im letzten Schritt der Installation wird eine Option angeboten, um die *Testversion* zu aktivieren. Dieses Häkchen bitte raus nehmen, sonst wird die zeitlich beschränkte Demoversion aktiviert:

Malwarebytes Anti-Malware Setup

PRO-Testversion nicht aktivieren

Startet nun Anti-Malware, falls es nicht automatisch gestartet wurde, mit administrativen Benutzerrechten (Rechte Maustaste auf das Programmsymbol -> „Als Administrator ausführen“). Normalerweise wird nun direkt ein Datenbank-Update durchgeführt. Sollte die Programmoberfläche noch in englischer Sprache sein, könnt ihr dies über das Menü „Settings“ -> „General Settings“ -> „Language“ ändern. Aktiviert optional in den Einstellungen unter „Erkennung und Schutz“ die Option „Nach Rootkits suchen“.

Schließt evt. noch offene Programme wie Browser, etc. Schaut auf dem „Dashboard“ von Anti-Malware nach, ob die aktuellste Datenbankversion vorhanden ist (grüner Punkt), dann könnt ihr den Suchlauf starten. Anderenfalls klickt zuvor noch rechts daneben auf „Jetzt aktualisieren“.

Nach dem Datenbank-Update kann der Suchlauf gestartet werden

Nach dem Datenbank-Update kann der Suchlauf gestartet werden

Nach Abschluss des Suchlaufs werden alle Funde angezeigt. Wichtig: Ihr müsst nun noch auf „Auswahl entfernen“ klicken um die Bereinigung anzustoßen:

Die gefundenen Bedrohungen müssen nun noch beseitigt werden

Die gefundenen Bedrohungen müssen nun noch beseitigt werden

Nach der erfolgreichen Reinigung mit Anti-Malware werdet ihr von dem Programm aufgefordert, euren PC neuzustarten. Dies solltet ihr auch tun, und anschließend dann mit dem nächsten Abschnitt fortfahren.

2.2 Online-Virenscanner

Diverse Antiviren-Hersteller bieten auch einen kostenlosen Online-Virenscanner an, den man direkt im Webbrowser ausführen kann. Zu empfehlen ist hier z.B. der ESET Online Scanner. Zusätzliche Kandidaten könnten sein: Bitdefender QuickScan, Norton Security Scan.

Für den Online-Virenscanner sollte der Browser mit Administratorrechten gestartet werden (Rechtsklick auf das Browsersymbol -> „Als Administrator ausführen“). In der Regel wird beim Start des Online-Scanners ein Browserplugin installiert. Ihr müsst die Installation zulassen und evt. noch weitere Abfragen bestätigen.

Die Installation des ESET Online Scanner ist wegen der vielen Abfragen zwar etwas nervig, bringt allerdings gute Ergebnisse. Gefundene Schädlinge werden noch während des Suchlaufs sofort in Quarantäne gestellt.

ESET Online Scanner

ESET Online Scanner entfernt gefundene Schädlinge direkt bei der Prüfung und zeigt die Ergebnisse an

Norton Security Scan lädt erstmal ein dickes Datenbank-Update von über 300MB herunter, und das über eine langsame Serververbindung. In mehreren Versuchen an unterschiedlichen Rechnern und Netzen bekam ich den Norton Security Scan nicht ein einziges Mal zum Laufen. Daher keine Empfehlung.

Der Bitdefender QuickScan ist am schnellsten startbereit und benötigt nur wenig Systemressourcen. Allerdings scheint er nur sehr oberflächlich bestimmte Systembereiche zu scannen und auch nur bekannte Bedrohungen zu erkennen. Bitdefender fand weder den offiziellen EICAR-Testvirus, noch meine eigene Kreation eines Testvirus.

2.3 Weg mit der Werbung!

Und wenn wir schon beim Aufräumen sind, solltet ihr euch auch gleich der Adware annehmen. Die ist nicht direkt gefährlich, aber nicht minder nervig. Adware nistest sich vor allem gerne in Browsern ein, in Form von Toolbars, der Startseite oder Suchanbietern (bekanntester Vertreter: Ask.com). Um die unerwünschten Werbeprogramme zu beseitigen, könnt ihr das kostenlose Tool AdwCleaner verwenden. Ladet es von der Herstellerseite herunter und führt die Datei mit Adminrechten aus. Es ist keine Installation nötig. Beendet vor dem Suchlauf alle anderen noch offenen Programme, vor allem Browser! Drückt nun auf „Suchlauf“ und wartet, bis euch die Ergebnisliste angezeigt wird:

AdwCleaner BereinigungAbschließend werden euch alle gefundenen Einträge gezeigt. Noch wurde nichts bereinigt, ihr müsst erst noch die Schaltfläche „Löschen“ betätigen, damit die Adware entfernt wird. Eventuell werdet ihr zu einem Windows-Neustart aufgefordert.

Fertig! Oder doch nicht?
In der Regel dürfte die Kombination aus Malware- und Viren-Scanner schon viele Schadprogramme gefunden und unschädlich gemacht haben. Es gibt aber auch Härtefälle, die sich selbst im abgesicherten Modus nicht löschen lassen. Dafür – und auch um auf Nummer sicher zu gehen – gibt es noch die letzte Lösung, spezielle kostenlose Boot-CDs mit eigenem Betriebssystem, die völlig unabhängig von Windows starten und auch hartnäckigen Schädlingen an den Kragen gehen.

 

3. Notfall-Boot-CD – Das Spezialkommando

Einige Antiviren-Hersteller bieten kostenlos eine bootfähige Notfall-CD an, ausgerüstet mit einem Linux-Live-System und dem Virenscanner. Keine Sorge, ihr müsst kein Linux-Experte sein um diese Notfall-CDs handhaben zu können.
So gehts: Ihr müsst die entsprechende Image-Datei herunter laden und auf einen CD-Rohling brennen. Anschließend startet ihr den PC mit der erstellten Boot-CD neu. Euer PC muss in der Lage sein, von einer CD zu booten. In der Regel ist das immer der Fall, ihr müsst lediglich evt. die Bootreihenfolge ändern (dazu später mehr).

Ich empfehle die Kaspersky Rescue Disk. Weitere Kandidaten wären die AVG Rescue CD oder die Acronis Antimalware CD. In dieser Anleitung zeige ich es anhand der Kaspersky Rescue Disk. In jedem Fall müsst ihr die entsprechende ISO-Datei herunter laden und dann auf einen leeren CD-Rohling brennen. Das geht ab Windows Vista/7 ganz einfach per Rechtsklick auf die ISO-Datei -> „Öffnen mit“ -> „Windows-Brenner für Datenträgerabbilder“. Für Windows XP, oder falls es mit dem windowsinternen Brenner Probleme gibt, könnt ihr das Tool ISO Recorder verwenden.

ISO brennen auf CD

Ab Windows Vista kann eine ISO-Imagedatei per Rechtsklick als CD gebrannt werden.

Hinweise und Tipps zur Kaspersky Rescue Disk
⊕ Leider werden SATA-Controller von AMD nicht unterstützt. In diesem Fall wird die Festplatte bzw. deren Partitionen (z.B: „C:“) im Scandialog nicht zur Auswahl angezeigt.
⊕ Da der Update-Vorgang für die Virendefinitionen sehr lange dauert, könnt ihr sie alternativ mit dem kostenlosen Tool „Kaspersky Rescue Disk Updater“ vorab herunter laden und eine neue ISO-Datei erzeugen lassen.

Nach dem Brennen der Rescue Disk startet ihr den PC neu. Die CD muss dabei im Laufwerk eingelegt sein. Drückt während des Boot-Vorgangs im 1-Sekunden-Takt jeweils einmal kurz die F8-Taste. Bei vielen modernen Mainboards erscheint nun ein BIOS-Bootmenü, in dem ihr das Bootmedium auswählen könnt. Wählt dort das entsprechende DVD-Laufwerk und bestätigt mit der Entertaste. Sollte kein BIOS-Bootmenü angeboten werden, müsst ihr händisch die Bootreihenfolge im BIOS ändern. Wenn ihr nicht wisst, wie das geht, hilft euch diese oder diese Anleitung weiter.

Wenn der PC dann von der Kaspersky Rescue Disk bootet, sollte ihr Startbildschirm zu sehen sein. Hier müsst ihr schnell eine beliebige Taste drücken, da ansonsten nach einigen Sekunden Windows startet:

Kaspersky Rescue Disk - StartbildschirmNach der Auswahl der Sprache bestätigt ihr noch die Lizenz mit der Taste 1. Im Startmenü der Rescue Disk solltet ihr den Grafikmodus wählen (1. Punkt). Dies ist die komfortable Variante. Bei Problemen mit der grafischen Version wählt ihr stattdessen den Textmodus.

Kaspersky Rescue Disk - StartmenüAls erstes sollte ein Datenbank-Update durchgeführt werden. Klickt dazu auf den Reiter „Update“ und dann auf „Update ausführen“. Für das Update muss eine Internetverbindung bereit stehen, am besten per LAN-Kabel. Man kann zwar über den Punkt „Netzwerk konfigurieren“ im Startmenü (das blaue Symbol ganz links in der Taskleiste) auch eine WLAN-Verbindung einrichten. Das klappt aber nicht immer.

Kaspersky Rescue Disk - UpdateDas Update kann einige Zeit dauern. Nach erfolgreichem Update färbt sich die Status-Anzeige oben rechts von Rot nach Grün (1). Nun könnt ihr im Reiter „Untersuchung von Objekten“ den Suchlauf starten (3). Stellt vorher aber sicher, dass in der Liste der zu untersuchenden Objekte auch alle lokalen Laufwerk (z.B. C:) ausgewählt sind (2):

Kaspersky Rescue Disk - Suchlauf startenAchtung! Der Suchlauf kann SEHR lange dauern und durchaus mehrere Stunden in Anspruch nehmen. Unterbrecht den Suchlauf nicht! Und erschreckt nicht, wenn der Bildschirm nach einiger Zeit plötzlich schwarz wird, das ist lediglich der „Bildschirmschoner“. Sobald ihr die Maus bewegt sollte nach einigen Sekunden wieder ein Bild erscheinen.

Nach Abschluss des Suchlaufs wird automatisch ein Bericht gespeichert. Gefundene Schadsoftware wird nicht automatisch gelöscht! Deshalb müsst ihr nun auf „Bericht“ am oberen Fensterrand klicken. Wechselt dann in den Reiter „Erkannte Bedrohungen“ und klickt am unteren Fensterrand auf „Alle desinfizieren“. Es erscheint dann ein Popup, bei dem die Aktion erfragt wird. Wählt hier „Desinfizieren“ oder „Löschen“ und markiert das Häkchen „Auf alle Objekte anwenden“:

Kaspersky Rescue Disk - Säuberung Nach erfolgreichem Abschluss der Bereinigung färbt sich die Statusanzeige wieder grün und der PC kann neu gebootet werden. Dazu unten in der Leiste ganz links auf das blaue Symbol klicken und im Startmenü auf „Neustart“ klicken:

Kaspersky Rescue Disk - Neustart

 

4. Abschließende Arbeiten und präventive Maßnahmen

Nachdem ihr eure Festplatte nun hoffentlich von jeglicher Schadsoftware befreit habt, solltet ihr noch ein paar letzte Schritte durchführen. Diese beinhalten auch vorbeugende Maßnahmen um euer Betriebssystem vor einer erneuten Infektion effektiver zu schützen. Bootet dazu den PC ganz normal und lasst Windows im normalen Modus starten.

  • Antiviren-Software neu installieren
    Eure Antiviren-Software ist von dem Schädling evt. kompromittiert worden und damit im gegenwärtigen Zustand unbrauchbar. Deinstalliert das Programm komplett über die Systemsteuerung. Startet anschließend den PC neu und löscht dann den verbliebenen Ordner auf der Festplatte (meist zu finden unter „C:\Program Files\<Hersteller/Marke/Programm>“ bzw. „C:\Program Files (x86)\<Hersteller/Marke/Programm>„. Nun installiert ihr eure Antiviren-Software neu. Die Installationsdatei ladet ihr am besten frisch von der Website des Herstellers herunter.
  • Ein letzter Virenscan
    Nachdem ihr eure Antiviren-Software reinstalliert habt, führt ihr mit diesem idealerweise direkt noch einen Virenscan des kompletten Systems durch. Darin inbegriffen sind alle lokalen Festplattenlaufwerke. Habt ihr auch eine externe Festplatte, schließt diese vorher an und lasst sie ebenfalls vom Virenscanner prüfen.
  • Alles aktuell?
    Ihr solltet regelmäßig überprüfen, ob das Betriebssystem, alle sonstigen Programme wie Browser, Messenger, etc., sowie auch Plugins und Frameworks (Adobe Flash, Java, .Net, usw.) auf dem neuesten Stand sind. Dabei kann euch das kostenlose Programm Secunia Personal Software Inspector gute Dienste erweisen. Manche Antiviren-Programme, wie z.B. Avast, bieten diese Funktionalität mittlerweile auch an.
  • Vorsicht bei Browser-Add-ons
    Ich habe früher gerne das Add-on WOT (Web Of Trust) empfohlen, welches für verschiedene Browser zur Verfügung steht und den Benutzer vor betrügerischen Websites schützen soll. Kürzlich wurde dann bekannt, dass der Anbieter dieses Add-ons ungefragt detaillierte Surfdaten von zig Millionen Usern verkauft. Und es scheint noch mehr solcher unseriöser Anbieter zu geben, die das bestehende Vertrauen der Anwender schamlos ausnutzen. Daher gilt: So wenig Browser-Erweiterungen wie möglich installieren. Denn sie sitzen direkt im Browser und können technisch gesehen alles mitschneiden – da nützt keine verschlüsselte Verbindung etwas, weder per https noch über VPN.

 

11 Kommentare

Hannes Schurig
2. November 2014 um 13:58 Uhr

Ein ausführlicher Artikel, Respekt. Ich wusste gar nicht, dass der Process Explorer alle Prozesse bei VirusTotal nachschlagen kann, sehr geiler Tipp!
Als Antivirensystem würde ich jedoch nicht Malwarebytes empfehlen. Ich habe es auch lange genutzt weil es einfach war, die Scans schnell und es mit nur wenigen Benachrichtigungen genervt hat. Jedoch habe ich das Tool mittlerweile besser kennengelernt, auch im Unternehmenseinsatz, und bin recht enttäuscht. Unglaublich verbuggt, unglaublich viele False Positives, je länger die Software ohne Neustart läuft, desto eher spinnt sie rum.
Aber naja, für ein spontanen Reinigungsauftrag ist sie noch zu gebrauchen.
LG, Hannes

Aufschnürer
23. November 2014 um 11:34 Uhr

Vielen Dank für deinen Kommentar. Ich würde Malwarebytes auch nicht als Ersatz für ein Antiviren-Programm nutzen. Es gibt ja die Möglichkeit, Malwarebytes auch als kostenlose On-Demand-Variante zu installieren (wie in der Anleitung beschrieben). Man benutzt/startet es also nur im Notfall bei Bedarf, es läuft nicht ständig im Hintergrund – dafür ist die reguläre Antiviren-Software zuständig.

System: Trojaner, Adware, Spyware oder Virus problem! - Seite 2
19. November 2014 um 21:37 Uhr

[…] […]

Michi
8. März 2015 um 16:12 Uhr

Danke für die super Anleitung. Steckt richtig viel Arbeit dahinter.
Ich empfehle Windows Usern immer den Rechner neu aufzusetzen, wenn er Mucken macht. Daher macht auch ein aktuelles und vor allem sauberes Image viel Sinn.

Viele Grüße
Michi

nadine
12. April 2015 um 16:25 Uhr

vielen vielen Dank für die super geschriebene Anleitung …. Ich bin froh das ich es hiermit selber meinen of befreien konnte… Tausend Dank 🙂

Daniel Feustel
2. November 2015 um 18:57 Uhr

Hi..
Vieleicht hast Du eine Lösung für mein Problem.
Ich habe Windows 8.1
Habe aber mal Windows 10 ausprobiert. Hat mir nicht gefallen und hab es wieder mit Windows zurückgestellt auf Windows 8.
Nun das Problem.
Ich hatte den Antivirus Bitdefender plus 2015 installiert.
Alles lief reibungslos. Aber,
Nun hat sich der On-Demand Skanner von Bitdefender in mein Bootsystem geladen.
Bei jedem Start komm ich nicht mehr in Windows, oder in den Abgesicherten Modus.
über Assistent Taste an meinem Sonys Laptop gelange ich zumindest ins BIOS. .
Hilft mir aber auch gar nicht weiter..
Wie bekomme ich das Programm runter?

Bitdefender Support habe ich mit unzähligen Anrufen und @Mail zugebombt..ohne Erfolg! !

Hatte eine Exemplar zum löschen aller Bitdefender Programme geladen..
All das brachte nichts..

Evtl eine Idee??

Aufschnürer
3. März 2016 um 08:54 Uhr

Hallo Daniel, klingt so als würde Bitdefender im Bootsektor der Festplatte feststecken. Suche mal im Internet nach „bootsektor reparieren windows 8“. Da gibt es gute Anleitungen wie du das wieder beheben kannst.

Daniel Feustel
2. November 2015 um 18:58 Uhr

Ps;

Rechner auch schon platt gemacht und neu aufgesetzt..

Silke Bolsinger
3. Februar 2016 um 17:38 Uhr

Vielen Dank für diese echt hilfreiche Fleißarbeit!
Ich hätte wahrscheinlich immer noch mein Kaspersky in Frage gestellt, wenn ich nicht auf deine Ausführungen und hilfreichen Tipps gestoßen wäre. War echt am Verzweifeln. Alles sprach für einen Virus aber Kaspersky konnte es nicht elemenieren. Zum Haare ausraufen.
Nachdem ich den Anweisungen gefolgt bin, wurden tatsächlich 102 Bedrohungen gefunden!
Ich bin jetzt gespannt ob sich die Macken des Pc jetzt in Luft aufgelöst haben. Ansonsten weiß ich ja jetzt was zu tun ist.
Vielen, vielen Dank!

Doro
15. Januar 2017 um 17:39 Uhr

Hallo,
klasse Artikel und geschrieben für jedermann 🙂
Habe alles versucht und auch meine CPU Auslastung unter Kontrolle bekommen in dem ich die windows updates (Dienste) deaktiviert hab. Habe trotz alledem noch 71 Prozesse am laufen (alle User) und eine CPU von 20%. Sobald ich nun mein F-Secure öffne steigt meine CPU auf 80%. Bei einem scann bleibt das Laptop wie eingefroren stehen und es geht nichts mehr.
Surfe ich normal im Internet passiert nicht nur sobald ich etwas mit virenprogramm öffne geht das Laptop in diesem Standbild Zustand. Hat jemand vielleicht eine Idee wie ich dies reparieren kann?
Vorab besten Dank

Aufschnürer
31. Januar 2017 um 14:33 Uhr

Hallo Doro, also die Windows Updates solltest du auf keinen Fall (dauerhaft) deaktivieren. Welche Windows-Version ist denn auf dem Notebook installiert? Kann es sein, dass mehr als nur eine Antivirensoftware installiert ist? Das führt dann meist nämlich dazu, dass das System komplett ausgebremst wird. Wenn du magst, helfe ich dir gerne weiter. Meine E-Mail-Adresse findest du unten im Impressum.



Sag deine Meinung