Wie entfernt man einen Virus/Trojaner von einem Windows Computer

29. Mai 2009 // Posted in Datenrettung, Tips, Windows  

Um es gleich vorne weg zu nehmen: man sollte sich mit dem Gedanken anfreunden, den PC komplett platt zumachen (also die Festplatte zu formatieren). Unter Umständen ist das die schnellere und sichere Variante den Virus los zu werden. Vorher muß man natürlich wichtige Daten sichern. Außerdem möchte ich alle beruhigen: jedem kann es passieren das er sich einen Virus auf dem PC einfängt. Mir ist das auch schon passiert. Ich habe nur eine Webseite angesurft und der Browser (diesmal leider Firefox) hat ewig gebraucht um die Webseite zu laden. Das Firefox dann aber abstürzt macht mich doch etwas stuzig. Ein Blick auf die Aktivität der LAN-Verbindung unter Windows XP brachte dann auch die Gewissheit, das etwas nicht stimmen kann. Ich hatte keine Anwendung offen bzw es lief auch im Hintergrund kein Dienst der auf das Internet zugegriffen hat. Trotzdem war Netzwerkverkehr auf der LAN-Verbindung wie bei einem Download. Hier war also ein Spam-Bot am werkeln.

Falls man sowas oder ähnliches komisches Verhalten am eigenen PC beobachtet muß man als erstes den PC vom Internet trennen. Damit hat der Spambot/Trojaner o.ä. keine Möglichkeit mehr, um Updates runterzuladen oder private Daten oder Spam-Mails hochzuladen bzw. zu verschicken.

Ideal wäre jetzt ein zweiter PC um die nötigen Programme runterzuladen (falls man dies nicht schon vorher getan hat). Folgende Programme kann ich empfehlen:

* F-Secure Rescue-CD
* Adaware von LavaSoft
* Spybot S&D von Safer-Networking Limited
* HijackThis von TrendMicro
* autoruns von Sysinternals/Microsoft
* pstools von Sysinternals/Microsoft
* Antivir von Avira – für Privatanwender kostenloses Antiviren-Programm
* clamav – OpenSorce-Antiviren-Programm (für jeden kostenlos)

Als erstes sollte man den befallenen PC mit der Rescue-CD von F-Secure scannen. Falls es eine Rettungs-CD von einem anderen Antiviren-Hersteller gibt, würde diese natürlich auch funktionieren. Nachdem man den PC mit der CD gestartet hat, muß man den Computer wieder an das Internet anschliessen (funktioniert nur bei externem DSL-Modem/Router). Falls jetzt jemand der Meinung ist, man könnte doch auch mit dem unter Windows installiertem Antivirus-Programm oder mit einem Webscanner von einem Antivirus-Hersteller den PC überprüfen hat durchaus Recht. Das Problem dabei ist, das das installierte Antiviren-Programm vom Virus deaktiviert oder manipuliert sein könnte. Bei gestartetem Windows kann sich ein Rootkit sehr leicht vor jedem Scanner verstecken.

Von der Rescue-CD wird ein eigenes Betriebssystem gestartet und das kann nicht vom auf der Festplatte vorhandenen Virus manipuliert werden. Ich habe die Erfahrung gemacht, das die CD zwar (fast) jeden Virus findet. Es ist aber durchaus möglich, das sie nicht in der Lage ist, den Virus zu entfernen.

Für den PC-Anfänger (ist absolut nicht abwertend gemeint) wird jetzt nicht anderes übrigbleiben, als die Festplatte zu formatieren. Alles andere würde wahrscheinlich so oder so in einem defektem Windows enden. Falls man eine Recovery-CD von seinem PC/Laptop-Hersteller zur Hand hat ist diese Variante die sicherste, schnellste und einfachste. Vorher unbedingt daran denke, alle wichtigen Daten (Office-Dateien, Bilder, lokale Emails, Bookmarks usw…) auf einer CD/DVD/externen Festplatte sichern.

Für die etwas Mutigeren bzw. fortgeschrittenen Computer-Anwender bieten sich jetzt noch mehrere Möglichkeiten zur Entfernung des Virus/Trojaners. Zum einen kann man mit den pstools versuchen den entsprechenden Viren/Trojaner-Prozess zu beenden. Falls man einen Prozess nicht kennt kann man einfach bei google den kompl. Dateinamen eingeben. Google findet mit sicherheit Informationen zum jedem Prozess. Mit autoruns oder ähnlichen Tools kann man versuchen den Virus aus dem Autostart zu löschen. Statt der Tools kann man auch versuchen, den Virus/Trojaner direkt aus der Registry zu entfernen. Mit Regedit (einfach über Start->Ausführen->regedit aufrufen) kann man die Windows-Registry z.B. nach dem Dateinamen (falls man diesen gefunden hat) durchsuchen. Außerdem sollte man in den Autostart-Ordner der Registry schauen, ob sich dort etwas eingenistet hat. Wo man genau schauen muß findet man hier bzw. hier.

Viren/Trojaner, welche sich als Windows-Dienst installiert und getarnt haben, kann man über Start->Systemsteuerung->Verwaltung->Dienste zu Leibe rücken. Hier sollte man nach einem Dienst ausschau halten den es mit Sicherheit nicht geben kann. Eine Firewall64 gibt es z.B. mit Sicherheit nicht. Eine Windows-Firewall gibt es aber schon.

Nicht jeden Virus/Trojaner kann mann so finden. Programme wie Adaware/Spybot bzw HijackThis können zusätzliche Hinweise geben, wo sich der Virus/Trojaner versteckt. Rootkits sind Viren, welche sich so tief in das Windows-System eingraben, das man es mit ziemlich großer wahrscheinlichkeit nicht so ohne weiteres entfernen kann. Deswegen sollte man immer abwägen wie lannge man versucht den Virus/Trojaner zu entfernen oder ab wann man die Festplatte einfach formatiert und alles neu installiert.

Abschliessend noch einen Tip um sich das neuinstallieren von Windows etwas zu erleichtern. Ich empfehle jedem seine Festplatte in mind. 2 Partitionen aufzuteilen. Windows und Programme sollten auf der ersten Partition installiert werden und wichtige Daten o.ä. auf der 2. Partition. Das hat den Vorteil, das man Windows einfach neuinstallieren kann ohne Datensicherung., da man ja nur die erste Partition löscht. Bookmarks o.ä. muß man aber doch sichern.

Quelle: f-secure.com, lavasoft.de, clamav.net, microsoft.com, free-av.de, trendsecure.com, safer-networking.org

This entry was posted on 29. Mai 2009 at 22:23 and is filed under Datenrettung, Tips, Windows (Tags: , , , , , , , , ). You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Comments (4)

  • Julian sagt:

    Ich kann noch Killbox empfehlen. Damit lassen sich auch Dateien entfernen, die in Verwendung sind.
    http://virus-protect.org/killbox.html

    Damit habe ich schon so einiges säubern können.

  • admin sagt:

    Das ist richtig. Es gibt sicher noch mehr Tools zum entfernen von Viren. Man sollte aber immer abwägen, ob man die Zeit bzw. die Kenntnisse hat, einen Virus sicher zu entfernen. Mit Acronis Trueimage bzw. Ghost4Linux kann man ein Festplatten-Image erstellen. Damit kann man den PC sehr schnell wieder herstellen. Ob Ghost4Linux mit Vista kompatibel ist weiß ich aber nicht.

  • Nice template , what is the name of tamplate you used in your site

  • admin sagt:

    it’s Dark Side 1.0.3 from Helldesign

Leave a Reply (name & email required)

Spam Protection by WP-SpamFree