Hilfe Virus! Was tun?

Ein Anwender, der auf seinem Rechner einen Virus findet, stellt sich zunächst viele Fragen: Handelt es sich um einen gefährlichen Virus? Was hat der Schädling auf meinem PC angerichtet? Wurden persönliche Daten geklaut? Befinden sich vielleicht noch mehr Viren auf dem PC?

Der Artikel zeigt zuerst, wie Sie zusätzliche Informationen über den Virus finden. Dann stellt er fünf Sicherheits-Tools vor, die weitere Viren auf dem PC aufspüren — meist installiert ein erster Schädling nämlich noch weitere Schadprogramme und versteckt sie.

Außerdem lesen Sie, wie Sie besonders hartnäckige Viren und ihre Reste löschen, wenn deren Dateien durch Windows gesperrt sind.

Der erste wichtige Schritt nach einem Virenfund ist die Suche nach weiteren Informationen über den Schädling. Dazu zählen insbesondere die verschiedenen Bezeichnungen, unter denen er erkannt wird, sowie die Anzahl der Kopien, die er von sich erstellt, und die Information, wo er sie ablegt. Dabei sind besonders die beiden Webseiten Virustotal und Threat Expert nützlich.

Als Beispiel dient eine Infektion mit dem Trojaner Bredolab, der sich vor allem über E-Mails und verseuchte Anhänge verbreitet.

Oft sind die Warnfenster der Virenscanner nicht sehr aussagekräftig. So meldet etwa Avast beim Versuch, eine mit Bredolab verseuchte Datei zu öffnen, eine Infektion mit „Win32:Trojan-gen“. Diese Bezeichnung ist sehr ungenau und beweist eigentlich nur, dass Avast nicht genau weiß, um welchen Virus es sich handelt. Erst ein Scan mit Virustotal zeigt, unter welchen Namen der Schädling bereits bekannt ist.

So geht’s: Verschieben Sie die fragliche Datei deshalb nicht sofort in die Quarantäne — von Avast „Container“ genannt. Laden Sie den Schädling auf Virustotal hoch und lassen Sie ihn dort von 42 Virenscannern prüfen.

Das Ergebnis ist im Fall von Bredolab eindeutig: Rund 39 der bei Virustotal eingebundenen Virenscanner haben den Schädling erkannt und in den meisten Fällen auch eine eindeutige Bezeichnung zurückgemeldet. Besonders häufig tauchen in der Liste sowohl die Bezeichnung „Bredolab“ als auch „Oficla“ auf. Es lohnt sich also, nach diesen Begriffen weiter zu suchen.

Weniger eindeutig ist das Ergebnis, wenn nur eine Handvoll Virenscanner bei Virustotal die von Ihnen hochgeladene Datei als Schädling einstufen. In diesem Fall sollten Sie die fragliche Datei bei Threat Expert hochladen, wie im übernächsten Abschnitt beschrieben. Vergessen Sie aber nicht, den Schädling nach den Tests in die Quarantäne zu verschieben. 

Die Virennamen, die Sie über Virustotal herausgefunden haben oder die Ihr Virenscanner gemeldet hat, dienen dazu, weitere Informationen und Tipps im Internet aufzuspüren.

So geht’s: Geben Sie die Namen einfach bei Google ein und rufen Sie einige der Ergebnisse auf. Speziell in Online-Foren finden sich oft gute Tipps zur Bereinigung.

Eine hilfreiche Informationsquelle ist auch die große Virendatenbank von Kaspersky Lab. Allein zu Bredolab finden sich in dieser Datenbank mehr als 9000 Einträge. Klicken Sie auf einen Eintrag, um zum Beispiel zu erfahren, welche Dateien der Schädling anlegt. 

Threat Expert ist ein kostenloser Online-Dienst, der hochgeladene Dateien in einer abgeschotteten Sandbox ausführt und analysiert. Zusätzlich prüft Threat Expert die Datei mit mehreren Virenscannern. Aus den Ergebnissen erstellt der Dienst einen ausführlichen Report, der viele nützliche Informationen zu dem Schädling enthält.

So geht’s: Senden Sie die fragliche Datei über Submit your sample an Threat Expert. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link zu dem Prüfergebnis. Außerdem ist der Nachricht eine Datei im ZIP-Format angehängt, die den kompletten Bericht enthält. Das Passwort, um dieses Archiv zu öffnen, lautet threatexpert.

Ein PC, auf dem ein Virus entdeckt wurde, sollte auf jeden Fall mit weiteren Sicherheitsprogrammen untersucht werden. Meist lädt ein Schädling weitere Viren herunter und installiert sie heimlich.

Im Folgenden finden Sie Tipps zu vier Sicherheits-Tools und einem Online-Dienst, die jeweils ihre eigene Scan-Technik und eigene Signaturen haben, um Viren aufzuspüren. Konflikte mit dem auf dem PC installierten Virenscanner sind nicht bekannt.

Der F-Secure Online-Scanner ist eine Java-Anwendung, die in jedem Browser läuft. Falls Java noch nicht auf Ihrem PC installiert ist, finden Sie alle benötigten Komponenten zumkostenlosen Download auf Java.com.

So geht’s: Rufen Sie zunächst die Seite von F-Secure auf. Setzen Sie dann ein Häkchen vor „Ich habe die Lizenzbedingungen gelesen und stimme diesen zu“ und klicken Sie auf „Prüfung durchführen“. Der Online-Scanner startet jetzt in einem separaten Fenster.

Wählen Sie „Vollständiger Scan“ aus und bestätigen Sie mit „Start“. Die Anwendung lädt nun alle benötigten Dateien herunter und startet danach automatisch. Sobald der Scan durchgelaufen ist, erhalten Sie eine Meldung, ob und wie viele Viren gefunden wurden.

Außerdem haben Sie die Möglichkeit, zu entscheiden, wie mit den Funden umgegangen wird. Wählen Sie „Ich möchte von Datei zu Datei entscheiden“ aus und klicken Sie auf „Weiter“. Auf der folgenden Seite sehen Sie eine ausführliche Übersicht über die Schädlinge. Klicken Sie auf „Weiter“, um die gefundenen Viren zu löschen.

Der kostenlose Virenscanner Bitdefender Free Edition verfügt über keinen Hintergrundwächter. Er eignet sich daher gut als Zweitscanner.

So geht’s: Nach der Installation und einem Neustart des Computers öffnen sich zwei Fenster automatisch. Über eins davon erfolgt die Registrierung bei Bitdefender. Aktivieren Sie hier die Option „Create a new BitDefender Account“, tragen Sie die nötigen Informationen ein und klicken Sie auf „Finish“. Nach kurzer Zeit erhalten Sie über die angegebene E-Mail-Adresse einen Freischaltlink. Klicken Sie diesen an. Danach aktivieren Sie die Option „Sign in to an existing BitDefender Account“. Tragen Sie Benutzernamen und Passwort ein und klicken Sie auf „Finish“.

Öffnen Sie dann die Bedienoberfläche mit einem Doppelklick auf das rote Bitdefender-Icon im System-Tray unten rechts. Klicken Sie auf der rechten Seite des Fensters unter „Tasks“ auf „Update Now“. Nachdem das Update erfolgt ist, klicken Sie auf das Register „Anitvirus“ und dann unter „Tasks“ auf „Full System Scan“. Standardmäßig ist der Scanner so eingestellt, dass gefundene Schädlinge automatisch gelöscht werden.

Die kostenlose Anti-Malware ist wegen der besonders schnellen und gründlichen Suche eines der besten Tools gegen Trojaner.

So geht’s: Nach der Installation aktualisiert Anti-Malware zuerst seine Signaturen. Sobald die Oberfläche des Schutz-Tools gestartet ist, markieren Sie unter „Scanner“ die Option „Vollständigen Suchlauf durchführen“ und klicken auf „Scan“. Markieren Sie in dem kleinen Einstellungsfenster, das sich jetzt öffnet, alle Laufwerke und bestätigen Sie mit „Scan starten“.

Nachdem der Suchlauf beendet ist, klicken Sie auf „OK“ und „Ergebnisse anzeigen“. Schließen Sie alle geöffneten Anwendungen, bevor Sie mit „Entferne Auswahl“ die gefundenen Schädlinge in Quarantäne verschieben.

Das kostenlose und bootfähige Avira Antivir Rescue System spürt auch Schädlinge auf, die sich erfolgreich vor Ihrem Virenscanner verbergen. Einziger Nachteil: Das Ergebnisprotokoll nach einem Scan lässt sich nicht abspeichern.

So geht’s: Brennen Sie zuerst eine bootfähige CD, die ein schlankes Linux-System und den Avira-Scanner enthält. Dazu genügt ein Doppelklick auf die EXE-Datei, die Sie auf Heft-CD und -DVD sowie kostenlos unter der genannten Webadresse finden.

Lassen Sie die gebrannte CD im Laufwerk und starten Sie Ihren PC neu, um nach Viren zu suchen. Sobald das Boot-Menü erscheint, drücken Sie die Eingabetaste und warten, bis die grafische Oberfläche geladen ist. Klicken Sie jetzt auf „Update, Ja“, um die Signaturen zu aktualisieren.

Die eigentliche Suche nach Schädlingen starten Sie mit „Virenscanner, Virenscanner starten“. In der Standardeinstellung meldet der Virenscanner gefundene Schädlinge nur, löscht sie aber nicht. Diese Einstellung lässt sich unter „Konfiguration, Aktion bei Malware-Fund“ ändern. Optimal sind die beiden Einstellungen „Versuchen, infizierte Dateien zu reparieren“ sowie „Dateien umbenennen, wenn sie nicht repariert werden können“.

Unter „Sonstiges“ finden Sie den Punkt „Herunterfahren“, um Ihren PC nach dem Scan auszuschalten. Entfernen Sie beim nächsten Start zuerst die CD, um Windows normal zu booten.

Das kostenlose Programm Rootkit Buster sucht in verborgenen Dateien, in Registry-Einträgen, Prozessen und sogar in Treibern sowie dem Master Boot Record (MBR) nach Rootkits. Die Beta-Version unterstützt Windows XP, Vista und 7, allerdings noch keine 64-Bit-Systeme.

So geht’s: Entpacken Sie das ZIP-Archiv mit Rootkit Buster und starten Sie das Tool mit einem Doppelklick auf „RootkitBuster.exe“. Die Suche nach Rootkits beginnen Sie mit „Scan Now“.

Findet Rootkit Buster Hinweise auf verborgene Schädlinge, listet das Programm sie unter „Scan Results“ auf. Wählen Sie mit der Maus den ersten Eintrag in der Liste aus und scrollen Sie bis ans Ende der Liste. Halten Sie [Umschalt] gedrückt, während Sie auf den letzten Eintrag klicken. So markieren Sie die komplette Liste. Falls Sie einzelne Einträge vom Löschvorgang ausnehmen wollen, klicken Sie darauf und halten Sie währenddessen [Strg] gedrückt.

Mit „Delete Selected Items“ entfernen Sie die gefundenen Rootkits von Ihrem PC. Eventuell muss dazu der Computer neu gestartet werden.

Wenn ein Virus oder eine verseuchte Datei sich partout nicht löschen lassen, dann helfen die beiden Spezial-Tools Unlocker und Blitzblank.

Manche aktive Viren lassen sich nicht löschen, weil Windows die Datei nicht freigibt. Hier hilft Unlocker, das sich direkt in den Windows-Explorer integriert und über einen Hintergrundagenten verfügt

So geht’s: Während der Installation bietet Ihnen Unlocker an, die Browser-Toolbar Quickstores Bar mitzuinstallieren. Wenn Sie dies nicht wollen, entfernen Sie das Häkchen vor „Install the new QuickStores Bar“. Entfernen Sie im folgenden Dialog auch gleich das Häkchen vor „Ebay shortcuts (…)“.

Anschließend genügt ein Rechtsklick auf eine gesperrte Datei und die Auswahl „Unlocker“, um das Lösch-Tool zu öffnen. Wählen Sie unten links „Löschen“ aus und bestätigen Sie mit „OK“.

Zudem öffnet sich das Tool fortan automatisch, wenn Sie eine Datei löschen wollen und Windows dies verhindert.

Das kostenlose Freeware-Tool Blitzblank integriert sich nicht in den Windows-Explorer und hat keinen Hintergrundagenten. Es bietet aber mehr Möglichkeiten, um Dateien, Ordner und sogar Registry-Einträge zu löschen. Der eigentliche Löschvorgang erfolgt dabei erst beim nächsten Neustart Ihres Computers. Ein Virus kann sich so nicht aktivieren und vor dem Löschen schützen.

So geht’s: Blitzblank benötigt keine Installation. Nach dem Starten richten Sie unter „Neustart-Aktionen“ Ihre Löschaufgaben ein.

Klicken Sie dazu zuerst auf das leere Feld unter „Typ“ und wählen Sie „File“ aus, um eine Datei zu löschen. Danach klicken Sie in derselben Zeile in das Feld unter „Objekt“ und dann auf den Button mit den drei Punkten. Wählen Sie die zu löschende Datei aus und bestätigen Sie mit „Öffnen“. In der Spalte „Aktion“ lässt sich nun noch zwischen „Delete“ für Löschen und „Move“ für das Verschieben der Datei auswählen.

Wählen Sie „Folder“ in der Spalte „Typ“ aus, um einen ganzen Ordner zu löschen. Mit „RegKey“ beziehungsweise „RegValue“ entfernen Sie Einträge aus der Registrierungsdatenbank.

Sobald Sie alle Löschaufträge angelegt haben, klicken Sie auf „Jetzt ausführen“. Der Rechner startet neu und führt noch während des Bootens die angelegten Aufgaben aus.

Es gibt zwei Arten von Fehlalarmen, bei denen ein Virenscanner harmlose Dateien als gefährlich einstuft. Oft sind fehlerhafte Signaturen schuld an einem Fehlalarm. Diese Signaturen verteilen die Hersteller von Antivirensoftware automatisch über ihre Update-Routinen. So hatten kürzlich Kaspersky und F-Secure die beliebte Videoplayer-Software VLC versehentlich als Trojaner eingestuft. Virenscanner warnen auch gern vor bestimmten Programmen, die sich für Angriffe auf fremde PCs missbrauchen lassen. Ein Beispiel ist die Fernsteuerungssoftware Real VNC. Das Programm ist kein Virus. Hacker könnten mit ihm aber auch versuchen,fremde Rechner unerlaubt zu steuern.

Nur wer die wichtigsten Abkürzungen in Virennamen kennt, kann eine Warnmeldung richtig einschätzen. Die wichtigsten Abkürzungen sind „Win32“, „gen“ und „TR“. „Win32“ steht für die Plattform, auf der der Schädling aktiv ist. In diesem Beispiel also Windows in 32 Bit.

Die Abkürzung „gen“ steht für generic und bedeutet, dass der Virenscanner den Virus nicht eindeutig erkennt, sondern ihn einer größeren Schädlingsfamilie zuordnet. Oder er hält ihn einfach nur für verdächtig. „TR“ schließlich ist die Abkürzung für Trojaner, die heutzutage häufigste Schädlingsart.

Stehen am Ende eines Schädlingsnamens ein oder zwei meist kleingeschriebene Zeichen, handelt es sich oft um eine Klassifizierung nach dem Alphabet. So unterscheidet sich „Virus.Win32.Sality.c“ nur minimal von „Virus.Win32.Sality.b. heur.suspicious“ bedeutet, dass der Virenscanner keine Signatur in seiner Datenbank gefunden hat, die Datei aber trotzdem anhand einiger Merkmale als verdächtig einstuft. Man nennt dieses Verfahren Heuristik, daher auch die Abkürzung „heur“.