Virenalarm, was tun?

Wenn der Virenscanner Alarm schlägt, bricht bei vielen Anwendern entweder Ratlosigkeit oder Panik aus. Beide Reaktionen sind jedoch nicht nötig. Ein Virenalarm bedeutet noch lange nicht, dass Ihr Computer bereits infiziert ist.

So kann der Empfang einer Spam-Mail mit Attachment den Virenscanner in Alarmbereitschaft versetzen. Solange Sie die anhängende Datei aber nicht ausführen, wird Ihr PC auch nicht geschädigt. Auch manche Hacker-Tools, vor denen Ihr Virenscanner warnt, sind nicht verseucht. Der Scanner schätzt das Programm als gefährlich ein, weil es von einem Hacker heimlich eingesetzt werden kann.

Dieser Artikel zeigt, wie Sie unberechtigte von berechtigten Virenalarmen unterscheiden und wie Sie die richtigen Maßnahmen ergreifen, wenn Ihr PC tatsächlich infiziert ist.

Viren gelangen über E-Mail-Anhänge, über Downloads oder über externe Datenträger auf Ihren PC. Die richtige Reaktion auf einen Virenalarm ist jeweils ein wenig anders.

Der häufigste Infektionsweg sind verseuchte E-Mails. Auf diese Gefahr lässt sich aber auch am leichtesten reagieren: Löschen Sie die E-Mail und öffnen Sie vor allem die anhängende Datei nicht. Fertig.

Verseuchte Spam-Mails werden wie mit einer Gießkanne massenhaft und meist wahllos verschickt. Die Versender probieren dabei immer wieder neue Kniffe aus und setzen darauf, dass ein Teil der Empfänger dem Inhalt der E-Mail glaubt und die anhängende Datei öffnet. Die Tricks reichen von angeblichen Rechnungen, Flug- oder Hotelbuchungen bis zu Drohbriefen im Namen diverser Behörden.

In der Regel sehen Sie eine Warnmeldung des Virenscanners bereits, wenn die Nachricht in Ihrem Mail-Programm eintrifft. Nur wenn Sie eine verschlüsselte Datenübertragung per SSL oder TLS aktiviert haben, kann der Scanner nicht auf die übertragenen E-Mails zugreifen. Er warnt erst dann, wenn Sie versuchen, die Datei zu öffnen oder auf der Festplatte zu speichern.

Das tun Sie: Wenn eine Mail von einem unbekannten Absender stammt und ein verdächtiges Attachment enthält, dann löschen Sie die E-Mail einfach. Es ist noch kein Schaden entstanden.

Stammt die E-Mail dagegen von einem bekannten Absender und Sie wollen das Attachment öffnen, dann speichern Sie es auf der Festplatte und laden die Datei zunächst bei Virustotal hoch. Wie Sie den kostenlosen Online-Dienst einsetzen, lesen Sie im Abschnitt Check mit Virustotal.

Im Unterschied zu E-Mails, die Sie unaufgefordert erhalten, holen Sie einen Download selbst auf die Festplatte. Schlägt jetzt der Virenscanner Alarm, wird’s komplizierter.

Die erste Frage, die Sie hier stellen sollten, lautet: Müssen Sie die heruntergeladene Datei unbedingt ausführen? Lautet die Antwort nein, dann löschen Sie die Datei sofort. Es ist noch kein Schaden auf Ihrem PC entstanden. Lautet die Antwort hingegen ja, weil Sie die Datei benötigen, dann sollten Sie erst weitere Informationen über die Datei sammeln, bevor Sie sie eventuell dann doch ausführen.

So ist etwa von Bedeutung, von welcher Webseite Sie die Datei heruntergeladen haben. Handelt es sich um ein großes und bekanntes Download-Portal, das alle angebotenen Dateien vorher selbst prüft und das von zahlreichen Nutzern besucht wird? Oder ist die Quelle eher eine zusammengezimmerte Webseite, die keine Informationen über den Anbieter der Datei enthält? Gibt es ein gut besuchtes Forum, in dem über die Datei diskutiert wird? Dann ist sie in den meisten Fällen wahrscheinlich nicht verseucht. Es handelt sich also um einen Fehlalarm. Im Abschnitt Informationen sammeln finden Sie weitere Tipps, wie Sie verdächtige Dateien prüfen.

Ein Sonderfall sind Spezial-Tools, die auch als Hacker-Tools bezeichnet werden. Dabei handelt es sich meist um kleine Programme wie Wireless Keyview, das die in Windows gespeicherten WLAN-Schlüssel ausliest. Das ist harmlos, solange Sie das selbst auf Ihrem PC erledigen. Kriminelle schmuggeln dieses Tool aber auf gekaperte PCs und nutzen es dann heimlich. Hacker-Tools können also missbraucht werden, enthalten in der Regel jedoch keinen Schadcode. Trotzdem warnen einige Antivirenhersteller pauschal vor ihnen. Mehr zu diesen Tools steht im Abschnitt Check mit Virustotal.

Das tun Sie: In den meisten Fällen löschen Sie eine eben heruntergeladene Datei einfach, wenn der Virenscanner eine Infektion meldet. Solange Sie die Datei nicht gestartet haben, ist Ihr PC auch noch nicht verseucht.

Auch wenn Ihr Virenscanner Alarm wegen eines Schädlings auf Ihrem USB-Stick auslöst, ist Ihr PC noch nicht infiziert. Lassen Sie den Virus auf dem Stick. Solange Sie ihn nicht starten, passiert auch nichts. Viele Anwender gehen immer noch davon aus, dass Dateien auf dem Stick automatisch ausgeführt werden können. Das ist aber nicht mehr möglich.

Microsoft hat diese Hintertür bereits mit einem Service Pack für Windows XP geschlossen. Windows 7 und Windows 8 waren von der Gefahr nie betroffen. Das ändert aber nichts daran, dass niemand doppelt auf eine verseuchte Datei klicken sollte.

Das tun Sie: Wenn Ihr Virenscanner eine verseuchte Datei auf dem Stick meldet, dann lassen Sie das Schutzprogramm diese Datei löschen oder in die Quarantäne verschieben. Wenn es sich allerdings um eine wichtige Datei handelt, dann prüfen Sie sie zuerst mit der Virustotal-Webseite.

Tipp: Eine simple, aber effektive Methode, Ihren USB-Stick vor einer Infektion an einem anderen PC zu schützen, bietet das kleine Freeware-Tool USB Dummy Protect.

Es erstellt per Doppelklick die Datei „dummy.file“ auf Ihrem USB-Stick, die genauso groß ist, wie der gesamte freie Speicher. Ein Wurm, der sich heimlich auf den Stick kopieren will, findet dann schlicht keinen freien Platz mehr vor. Ein erneuter Doppelklick auf USB Dummy Protect entfernt die Dummy-Datei dann wieder vom Stick. 

Viren können nicht nur versuchen, auf Ihren PC zu gelangen — sie können auch schon längst dort sein.

Die effektivste Methode, den eigenen PC zu überprüfen, ist ein Scan mit ei-ner bootfähigen Antiviren-CD wie der Kaspersky Rescue Disk 10. Weil Windows dabei selbst nicht läuft, starten bereits eingeschleppte Viren auch nicht und können ihren Selbstschutz nicht aktivieren.

Das tun Sie: Finden Sie einen oder mehrere Schädlinge mit der Kaspersky-CD, dann lassen Sie die Übeltäter löschen und speichern anschließend einen Bericht. Klicken Sie dazu auf „Bericht, Vollständiger Bericht, Speichern“ und wählen Sie einen Speicherort auf der Festplatte aus.

Die Namen der gefundenen Schädlinge helfen Ihnen später dabei, weitere Informationen und vielleicht sogar ein spezielles Reinigungs-Tool zu finden. Mehr zu diesem Thema lesen im Abschnitt Informationen sammeln.

Es macht einen gewichtigen Unterschied, wo Sie die Schädlinge mit der Kaspersky-CD auf Ihrem Computer gefunden haben.

Harmlos ist es meist, wenn der Scanner verseuchte Dateien in alten Sicherheitskopien früherer PCs gefunden hat. Viele Anwender bewahren dieses Dateien noch irgendwo auf der Festplatte auf. Löschen Sie in diesem Fall die Viren mit der Kaspersky-CD und lassen Sie den Scan noch einmal durchlaufen.

Weit schwieriger wird es, wenn Funde im Windows-Ordner und den darunter liegenden Verzeichnissen gemeldet werden. Dort lassen sie sich deutlich schwerer entfernen.

Windows wird nämlich später eventuell versuchen, die gelöschten Systemdateien wiederherzustellen. Dabei kann es vorkommen, dass Windows wieder verseuchte Dateien einspielt.

Das tun Sie: Wenn ein Virenalarm in einem Systemverzeichnis ausgelöst wurde, dann sollten Sie Ihren PC auf jeden Fall neu aufsetzen. Tipps dazu finden Sie im Abschnitt Windows neu installieren.

Eine ganz andere Art von Virenalarmen geht von gefälschten Sicherheits-Tools aus. Sie haben meist seriös klingende Namen wie Win 7 Defender 2013, Antivirus System Pro oder Spyware Protect, sind aber keine echten Schutzprogramme.

Sie alle haben gemeinsam, dass sie dem Anwender eine Verseuchung seines PCs mit Dutzenden, manchmal auch Hunderten von Viren vorgaukeln. Der einzige Weg, diese vorgetäuschte Bedrohung wieder loszuwerden: Sie sollen eine kostenpflichtige Version des Programms kaufen. Manche dieser Programme haben sogar selbst Schadcode und schleusen Trojaner ein oder spionieren den Anwender aus.

Zahlen Sie auf keinen Fall. Damit fördern Sie nur die Masche der Betrüger und haben trotzdem nicht die Garantie, dass das Problem danach auch behoben ist. Denn die simple Logik der Betrüger lautet: Wer einmal erfolgreich gemolken wurde, der fällt auch wieder darauf herein.

Das Sicherheits-Tool Remove Fake Antivirus hat sich auf das Entfernen von solchen gefälschten Programmen spezialisiert. Starten Sie das Tool mit einem Doppelklick und klicken Sie auf „Start, Ja“. Nun sucht Remove Fake Antivirus nach gefälschten Sicherheits-Tools und entfernt sie auch gleich automatisch.

Wenn Ihr PC dagegen mit einer Warnung des Bundeskriminalamts oder einer anderen Behörde den Start verweigert, dann haben Sie sich mit sehr hoher Wahrscheinlichkeit einen Lösegeld-Trojaner eingefangen.

Die Klasse der sogenannten BKA-Trojaner verseucht erst den PC und blendet anschließend bei jedem Systemstart die Aufforderung ein, eine Strafgebühr zu zahlen. Das Ganze ist aber komplett erfunden. Keine Behörde würde Ihren PC einfach sperren und Sie dann auffordern, eine Strafe über pseudoanonyme Dienste wie Ukash oder Paysafecard zu entrichten.

Wie bei den gefälschten Sicherheits-Tools gilt hier: Zahlen Sie auf keinen Fall. Sie begeben sich dadurch nur noch weiter in die Fänge der Cybermafia.

Das tun Sie: Starten Sie Ihren PC mit der Kaspersky Rescue Disk 10 und retten Sie zunächst Ihre persönlichen Daten. Setzen Sie anschließend Windows neu auf.

Wenn Ihr Virenscanner bei einer Datei Alarm schlägt, die Sie unbedingt benötigen oder bei der Sie sich wundern, dass sie verseucht sein soll, dann suchen Sie zunächst nach weiteren Informationen.

Laden Sie verdächtige Dateien bei zwei kostenlosen Online-Diensten hoch und lassen Sie sie dort auf Virenbefall testen. Die gefundenen Details und die Namen der Virennamen nutzen Sie dann, um mit Hilfe einer Suchmaschine weitere Informationen zu sammeln.

Untersuchen Sie jede verdächtige Datei mit dem Online-Dienst Virustotal, bevor Sie sie auf Ihrem PC ausführen. Virustotal scannt alle hochgeladenen Dateien mit mehr als 40 verschiedenen Antivirenprogrammen. Anschließend sehen Sie in einer Tabelle, welche Virenscanner die Datei als verseucht einstufen.

Rufen Sie die Seite www.virustotal.com im Browser aus und klicken Sie auf „Choose File“, um eine verdächtige Datei hochzuladen und auf Viren checken zu lassen. Wählen Sie die Datei aus und bestätigen Sie mit „Öffnen“ und „Scan it!“. Falls die Datei schon einmal von jemandem hochgeladen wurde, sehen Sie jetzt die Meldung „File already analysed“. Klicken Sie auf „Reanalyse“, um den Viren-Check mit den aktuellen Virensignaturen zu wiederholen.

Nun füllt sich das Browserfenster mit den Ergebnissen des Checks. Rote Einträge in der Spalte „Result“ weisen auf eine Infektion mit einem Virus hin. Stufen mehrere Virenscanner eine Datei als verseucht ein, sollten Sie sie auf keinen Fall starten. Nur wenn der Check keine Viren findet, ist die Datei — vermutlich — sauber. Eine hundertprozentige Sicherheit gibt es nicht, weil auch mehr als 40 Virenscanner nur das erkennen, was sie bereits als Signatur in ihren Datenbanken haben.

Tipp: Wenn Sie häufiger Dateien zu Virustotal hochladen, dann verwenden Sie das Tool VT Uploader, das Virustotal in das Kontextmenü des Windows-Explorers integriert.

Klicken Sie nach der Installation des Tools mit der rechten Maustaste auf eine verdächtige Datei und wählen Sie „Senden an, VirusTotal“ aus. Es öffnet sich ein kleines Upload-Fenster, das zeigt, wie die Datei hochgeladen wird. Ist der Upload fertig, öffnet sich automatisch ein Browserfenster mit dem Ergebnis des Viren-Checks.

Threat Expert ist ein weiterer kostenloser Online-Dienst, der hochgeladene Dateien auf Virenbefall prüft. Anders als Virustotal führt Threat Expert die Dateien in einer abgeschotteten Sandbox aus und analysiert sie anhand ihres Verhaltens. Zusätzlich prüft der Dienst die Datei mit mehreren Virenscannern. Aus den Ergebnissen erstellt Threat Expert einen ausführlichen Report, der viele nützliche Informationen enthält.

Senden Sie die fragliche Datei über www.threatexpert.com/submit.aspx an Threat Expert. Wenige Minuten später erhalten Sie eine E-Mail mit einem Link zu dem Prüfergebnis. Klicken Sie auf den Link, um den Bericht einzusehen. Zum Teil enthält er auch Screenshots.

Besonders wichtig ist der Bereich unter „Summary of the findings“. Stehen hier Einträge wie „Contains characteristics of an identified security risk“, dann führen Sie die Datei auf keinen Fall aus. Nur wenn hier keine verdächtigen Aktivitäten aufgeführt sind, ist die Datei ungefährlich.

Haben Sie mit Virustotal oder Threat Expert Hinweise auf Viren gefunden, dann geben Sie die Namen der Schädlinge zunächst bei Google oder Bing ein. Meist finden Sie unter den ersten zehn Treffern nützliche Informationen zu den Schädlingen.

Manche Antivirenhersteller bieten außerdem kostenlose Spezial-Tools gegen einzelne Schädlinge zum Download an. Laden Sie das Tool herunter und führen Sie es aus.

Weitere Informationsquellen finden Sie in der Tabelle unten. Oft stehen auf diesen Seiten auch Tipps, wie einzelne Viren entfernt werden können. Generelle Handlungshinweise lassen sich hier allerdings nicht geben. Dafür sind die einzelnen Schädlinge viel zu unterschiedlich.

Wenn Sie keine Möglichkeit finden, Ihren PC wieder zu säubern, dann bleibt Ihnen nur noch, das komplette System neu aufzusetzen.

Das ist auf jeden Fall der sicherste Weg, um wieder ein sauberes System zu haben. Viele Sicherheitsexperten raten sogar, nach jedem Virenbefall den PC neu aufzusetzen. Der Grund dafür ist, dass man nie sicher sein kann, auch wirklich alle Schädlinge aufgespürt zu haben. Hat ein Angreifer nämlich erst einmal einen Schädling eingeschleust, dann installiert er meist noch weitere.

Wenn Sie den Namen eines Schädlings kennen, denn helfen Ihnen diese Webseiten dabei, weitere Informationen über ihn zu sammeln.

Webseite Beschreibung Anti-Botnet Beratungszentrum Infos und Tipps zu Lösegeld-Trojanern Avira Virenlabor Beschreibungen zu mehr als 7000 Viren Hoax-Info Infos zu falschen Alarmen Security Response Vireninfos und Analysen von Symantec Threat Encyclopedia Umfangreiche Virendatenbank von Trend Micro Viruslist Virenbeschreibungen und Sicherheits-Tipps von Kaspersky Threat Encyclopedia Umfangreiche Virendatenbank von Trend Micro Viruslist Virenbeschreibungen und Sicherheits-Tipps von Kaspersky

Wenn Ihr Computer verseucht ist, dann ist jetzt der richtige Zeitpunkt, Ihre Daten zu retten. Am besten besorgen Sie sich eine externe Festplatte, die Sie per USB anschließen und die ausreichend Platz für alle wichtigen Daten bietet.

Günstige USB-Festplatten mit 320 GByte Platz gibt es zum Beispiel bei Alternate für unter 50 Euro.

Das ist der einfachste Fall. Wenn Windows noch weitgehend normal funktioniert, dann schließen Sie Ihre USB-Platte an den PC an und nehmen sich dann ausreichend Zeit, um alle wichtigen Dateien wie Dokumente, Excel-Sheets und Fotos auf den externen Datenträger zu kopieren.

Vergessen Sie nicht, auch Ihre E-Mails, Ihre Bookmarks und Ihr Browserprofil zu sichern. Das beste Programm, um Ihre E-Mails zu sichern, ist Mailstore Home.

Installieren Sie Mailstore Home und starten Sie das Programm. Klicken Sie dann auf „E-Mails archivieren“. Wählen Sie bei „E-Mail-Programme“ die Software aus, die Sie als Mail-Client verwenden — zum Beispiel „Mozilla Thunderbird“. Ein neues Fenster öffnet sich, in dem Sie Ihr Thunderbird-Profil markieren. Bestätigen Sie mit „Weiter“ und „Fertigstellen“.

Wählen Sie anschließend unter „Gespeicherte Profile“ den neuen Eintrag aus und klicken Sie darunter auf „Starten“. Mailstore Home archiviert nun Ihre E-Mails. Sobald das erledigt ist, klicken Sie links auf „Verwaltung“ und dann bei „E-Mails und Einstellungen“ auf „Im Explorer anzeigen“. Der Windows-Explorer öffnet sich. Kopieren Sie den Ordner „MailStore Home“ auf Ihren externen Datenträger. Dieses Mail-Archiv lässt sich dann später mit Mailstore Home wieder in einen Mail-Client Ihrer Wahl importieren.

Wenn Sie nach dem Retten Ihrer Daten auf Nummer sicher gehen wollen, dann installieren Sie Windows neu. Das ist die beste Methode, um den PC wieder sauber zu bekommen.

Wenn Windows nicht mehr startet, kommen Sie nur noch mit einer bootfähige Live-CD an Ihre Daten. Mit dieser starten Sie Ihren PC, öffnen dann einen Dateimanager und kopieren Ihre Daten auf den externen Datenträger.

Prinzipiell funktioniert das mit jeder halbwegs aktuellen Linux-Distribution, die Windows-Laufwerke automatisch einbindet. Das kann zum Beispiel Ubuntu sein, aber auch die Kaspersky Rescue Disk 10, die Sie bootfähig auf Heft-DVD finden.

So geht’s mit der Antiviren-CD von Kaspersky: Schließen Sie zuerst Ihre USB-Festplatte an den PC an, legen Sie die Kaspersky-CD/DVD ein und starten Sie den Rechner. Sobald der grüne Startbildschirm erscheint, drücken Sie eine beliebige Taste. Wählen Sie anschließend „Deutsch“ aus und drücken Sie die Eingabetaste und dann [1], um die Lizenzbedingungen zu akzeptieren. Wählen Sie „Kaspersky Rescue Disk. Grafikmodus“ aus und drücken Sie erneut die Eingabetaste. Das Antivirensystem startet und bindet dann auch automatisch die Festplatte in Ihrem PC ein sowie die angeschlossene USB-Platte.

Links sehen Sie nun mehrere blaue Ordner. Für jede Festplatte oder Partition legt Kaspersky automatisch einen Ordner an. Klicken Sie doppelt auf eines der Symbole, um den Dateimanager zu starten. Navigieren Sie zu den Ordnern auf der Festplatte Ihres PCs und kopieren Sie alle wichtigen Dateien auf die externe Festplatte. Nachdem Sie Ihre Daten gesichert haben, installieren Sie Windows neu.

Lassen Sie den Virenscanner der Kaspersky Rescue Disk nach dem Sichern der Dateien auf die externe Festplatte einmal über alle geretteten Daten laufen. Das gewährleistet, dass Sie den Virus nicht mitgesichert haben.

Wenn sich ein Virenalarm als berechtigt herausgestellt hat und Sie tatsächlich einen oder mehrere Viren auf Ihrem PC gefunden haben, dann sollten Sie nach dem Retten Ihrer Daten den Computer neu aufsetzen. Nur so stellen Sie sicher, dass kein Schadcode auf dem PC übrig bleibt.

In der Standardeinstellung versucht das Setup-Programm von Windows allerdings nur, dass System zu reparieren. Die meisten der Dateien auf der Festplatte und damit die vorhandenen Viren bleiben erhalten. Achten Sie deswegen darauf, dass Sie wirklich ein komplett frisches System aufsetzen, bei dem alle vorhandenen Daten überschrieben werden.

Legen Sie die Setup-DVD von Windows ein und starten Sie den PC neu. Klicken Sie dann im Dialog „Wählen Sie eine Installationsart aus“ auf „Benutzerdefiniert (erweitert)“.

Markieren Sie im nächsten Schritt die Hauptpartition Ihres Computers. In der Regel ist dies die größte Partition in der Übersicht „Wo möchten Sie Windows installieren?“. Die nur 100 MByte große Systempartition enthält den Bootloader von Windows und darf nicht überschrieben werden.

Klicken Sie auf „Weiter“ und bestätigen Sie die Sicherheitsabfrage mit einem Klick auf „OK“. Windows wird nun frisch installiert.

Wenn Sie einen DSL-Router mit Firewall haben, dann bringen Sie Ihr neues Betriebssystem anschließend mit dem Update-Assistenten von Windows auf den neuesten Stand. Ihr PC wird auch im ungepatchten Zustand durch die Firewall geschützt.

Nur wenn Sie noch ein altes DSL-Modem nutzen und nicht durch eine Hardware-Firewall geschützt sind, sollten Sie alle Windows-Updates vorher herunterladen und dann offline einspielen.

Das ist aufwendig, aber in diesem Fall die einzig sichere Methode, um eine Infektion durch einen Wurm zu vermeiden. Der Artikel PC von Viren säubern beschreibt Schritt für Schritt, wie Sie Ihren Computer neu aufsetzen.