Was mache ich bei Befall mit Schadsoftware?

Technische Stufe : Standard

Zusammenfassung

Leider ist das Problem der Schadsoftware in den letzten Jahren nicht kleiner geworden. Was mache ich, wenn ich die Vermutung habe, dass das System mit Schadsoftware infiziert ist? Woran erkenne ich das überhaupt? Und wo kann ich Hilfe finden?

Dieser Wiki Artikel soll eine kleine Einführung dazu geben.

Er kann und soll nicht dazu dienen, für jede Schadsoftware eine konkrete Anleitung zur Entfernung zu bieten. Das kann das Wiki und auch das Forum nicht leisten.


Details

Es gibt eine ganze Menge verschiedener Kategorien von Schadsoftware und die Vorgehensweise zur Beseitigung ist dementsprechend auch unterschiedlich.

Womit hat man es heute mehrheitlich zu tun?

1. Unerwünschte Software, die z.B. Werbung anzeigt

Diese Kategorie ist meist relativ harmlos. Die Software, die von den Herstellern der Antivirensoftware zurückhaltend mit "****", ausgeschrieben "potentially unwanted software", d.h. etwa "potenziell unerwünschte Software" bezeichnet wird, bemerkt man recht schnell. Im Browserfenster taucht eine neue Toolbar auf oder das System zeigt plötzlich Werbefenster, wo nie welche waren. Vielleicht kommen auch ständig Aufforderungen, irgendwelche Software zu installieren, die das System schneller machen soll. Oder die etwas perfidere Methode, bei der angezeigt wird, der PC wäre mit Schadsoftware verseucht und man soll ein Programm herunterladen, um diese zu beseitigen.

Hier hilft oft zuerst schon ein Blick in die Liste der installierten Programme in der Windows Systemsteuerung. Findet sich dort etwas, was neu hinzugekommen ist? Man kann die Ansicht dort nach Datum sortieren und findet damit womöglich schnell unerwünschte Programme. Programme, die "Toolbar", "Search" oder "Browser" im Namen tragen, sind verdächtig.

Ein Werkzeug zur Entfernung ist hier der adwCleaner:

https://www.malwarebytes.com/adwcleaner/

http://www.heise.de/download/adwcleaner-1191313.html (deutschsprachiger Spiegel)

Seit Ende 2015 kann die Microsoft Antivirensoftware optional auch vor solchen Programmen schützen. Wie dieser Schutz aktiviert werden kann, ist in diesem Beitrag zu lesen:

http://answers.microsoft.com/de-de/protect/wiki/protect_defender-protect_scanning/adware-erkennung-in-microsofts-virenscannern/6950ba0f-8982-4582-9c21-319d78952c6d?tm=1448719410638

2. Trojaner

Historisch nicht ganz korrekt wird Software, die sich im System einnistet, als "Trojanisches Pferd" bezeichnet. Sie kommt dort nicht von ganz alleine hin und hat auch keine Möglichkeit, sich selber weiter zu verbreiten.

Hierbei kann es sich zum Beispiel um Programme handeln, die Passwörter oder Bank-Zugangsdaten stehlen oder auch Spam E-Mails verschicken. Trojaner werden oft als Anhang an E-Mails mit angeblichen Rechnungen oder Mahnungen verschickt.

Die Erkennung und Entfernung kann hier sehr komplex werden. Wenn die Vermutung besteht, dass mit dem System irgendetwas nicht stimmt, ist zuerst der Scan von einem sauberen System sinnvoll. Ist eine solche Schadsoftware aktiv geworden, beherrscht sie das Betriebssystem und alle darauf laufenden Programme. Es ist somit sinnvoll, mit einer Antivirus-Boot-CD das System zu scannen.

Antivirus-Boot-CDs finden sich z.B. hier zum Download:

Avira: http://www.avira.com/de/download/product/avira-rescue-system

G-Data: https://www.gdata.de/kundenservice/downloads/tools.html

Kaspersky: http://support.kaspersky.com/de/4162

Panda: http://www.pandasecurity.com/germany/homeusers/support/card?id=1681

Microsoft bietet eine ähnliche Lösung an, allerdings muss man hier für ältere Windows Versionen erst ein entsprechendes Bootmedium auf einem sauberen PC erstellen. Ist es dafür zu spät, ist eine der o.g. Lösungen zu bevorzugen.

http://windows.microsoft.com/de-DE/windows/what-is-windows-defender-offline

Windows 10 kommt mit der entsprechenden Funktion eingebaut. Unter Start / Einstellungen / Update & Sicherheit / Windows Defender kann die Offline-Überprüfung gestartet werden.

Hat eine der Boot-CDs tatsächlich Schadsoftware gefunden, kann sie diese evtl. entfernen. Oftmals werden dabei aber nur die eigentlichen Schadsoftware-Dateien entfernt, aber die sonstigen Änderungen, die die Schadsoftware möglicherweise am System vorgenommen hat, nicht wieder rückgängig gemacht. Es könnte also sein, dass weiterhin Hintertüren offen stehen.

Je nach Schadsoftware kann somit eine Neuinstallation des Systems oder das Zurückspielen eines sauberen Backups an dieser Stelle sinnvoller sein. Ob dies bei der jeweiligen Schadsoftware notwendig ist, muss im Einzelfall geklärt werden. Hilfe bieten dabei oft die Virenlexika der Antivirenhersteller.

Was mache ich nach einer Virenentfernung/Neuinstallation?

Falls Schadsoftware aktiv wurde, hat sie es oft auf Passwörter abgesehen. Wichtigster Punkt nach einer Neuinstallation ist also die Änderung von Passwörtern und Zugangsdaten, die auf dem PC genutzt werden.

Priorität haben dabei eventuelle Zugangsdaten zu Banken, Shoppingseiten, E-Mail Zugängen. Der Zugang zum Kaninchenzüchterforum dürfte weniger gefährdet sein als das Microsoft- oder Paypal-Konto oder der Online-Banking Zugang.

Falls ein Banking-Trojaner im Spiel war, sollte auf jeden Fall auch die jeweilige Bank verständigt werden. Die Banken haben ebenfalls Prozeduren für solche Fälle.

Wo kann ich weitergehende Hilfe und Infos finden?

Fragen zur Entfernung spezifischer Schadsoftware werden z.B. in folgenden Foren beantwortet:

http://www.trojaner-board.de/

http://www.trojaner-info.de/

Verschiedene Antivirenprogramme, teilweise auf bestimmte Kategorien spezialisiert:

http://de.malwarebytes.org/

http://www.safer-networking.org/de/spybotsd/index.html

http://www.emsisoft.de/de/software/download/

HiJack This, Tool zur Suche nach unbekannten Prozessen und Einträgen im System:

http://sourceforge.net/projects/hjt/

Autoruns listet alle Autostart-Prozesse:

http://technet.microsoft.com/de-de/sysinternals/bb963902

Herdprotect nutzt eine ganze "Herde" von Virenscannern in der Cloud, um lokale Dateien zu scannen:

http://www.herdprotect.com/

 
Forumartikelinfo

Letzte Aktualisierung am 14 August, 2018 Aufrufe 13.695 Gilt für: