Ein einziger Virus oder Wurm lässt sich meist ohne großen Aufwand entfernen. Hat der Schädling aber ein Programm mitgebracht, das Hintertüren auf dem PC öffnet, kann das Entfernen aufwendig werden. Die Suche nach den Änderungen, die der Schädling auf Ihrem PC vorgenommen hat, dauert dann wahrscheinlich länger als die Neuinstallation des Betriebssystems inklusive aller Anwendungen.
Meldet Ihr Virenscanner einen Schädling, sollten Sie sich erst einmal genau über die Art der Infektion und die Schadfunktion informieren. Viele Viren und Würmer bestehen nicht nur aus einer verdächtigen Datei, sondern nehmen Änderungen in der Registry vor oder manipulieren wichtige Systemdateien. Antivir öffnet bei einem Fund einen Dialog, der den Namen des Schädlings als Hyperlink anzeigt. Sie erfahren zudem, ob es sich um einen heuristischen Treffer handelt oder ob eine Virensignatur erkannt wurde. Mit einem Klick auf den Link erhalten Sie weitere Informationen. Dazu gehört etwa, ob sich der Virus selbst weiter verbreitet, die Registry oder weitere Dateien manipuliert und ob er eine Schadfunktion besitzt oder nicht. Die meisten Hersteller von Sicherheits-Software bieten auf ihren Websites Infos über aktuelle Bedrohungen an (zum Teil in englischer Sprache), etwa Sophos oder Symantec. In einigen Fällen gibt es hier auch spezielle, kostenlose Tools und Anleitungen zum Entfernen bestimmter Schädlinge.
Stecken Sie den PC in Quarantäne
Bestätigen die Infos den Verdacht, dass ein verdächtiges Programm auf Ihrem Rechner läuft, dann nehmen Sie den Rechner umgehend in Quarantäne. Das gilt auch, wenn inzwischen nichts mehr von dem Programm zu sehen ist. Es ist nämlich möglich, dass sich ein Virenprogramm selbst wieder abschaltet und löscht, während die installierte Backdoor unerkannt – quasi als Schläfer – weiter auf Befehle wartet.
Klemmen Sie den Rechner von allen Netzwerkverbindungen ab und entfernen Sie externe USB-Laufwerke. Diese sollten Sie später mit einem externen Virenscanner noch einmal genau untersuchen. Alle Wartungsarbeiten müssen Sie offline durchführen. Ansonsten könnte ein Angreifer eine Hintertür nutzen oder das nach der Neu-Installation noch ungepatchte System sofort befallen. Sichern Sie jetzt wichtige Daten auf DVD oder auf ein externes Laufwerk. Speichern Sie dabei keine Programme – sie könnten infiziert sein –, sondern nur Daten. Auch diese können von unerwünschten Veränderungen betroffen sein, stellen aber in der Regel selbst kein Risiko dar. Gehen Sie erst wieder ins Netz, wenn das System vertrauenswürdig ist.
Beseitigen Sie die Übeltäter
Besteht der Verdacht, dass mit der Infektion eine Backdoor auf Ihr System gelangt ist, dann betrachten Sie Ihren PC als kompromittiert. Gehen Sie davon aus, dass Sie die Kontrolle über ihn verloren haben. Sie müssen natürlich selbst einschätzen, ob Sie Ihrem Computer noch trauen und auf eine Neu-Installation verzichten. Das ist aber nicht ungefährlich. Wenn Sie nicht als Benutzer mit administrativen Rechten gearbeitet haben, ist der Schaden in der Regel überschaubar. Denn dann konnten Sie nicht einfach Windows-Komponenten ersetzen oder systemweite Registry-Einstellungen ändern. Wenn ein Benutzer mit eingeschränkten Rechten nur einen gefährlichen Mailanhang ausgeführt hat, besteht Hoffnung, dass es genügt, die befallene Datei zu entfernen.
Konnten Sie den Schädling eindeutig identifizieren? Informieren Sie sich auf den Websites der AV-Hersteller, ob er Backdoor-Funktionen besitzt oder als Träger für andere, gefährliche Programme dient. Ist das sicher nicht der Fall, dann starten Sie Windows im abgesicherten Modus. Versuchen Sie, die befallenen Dateien zu löschen – entweder manuell oder mit einem Antiviren-Programm, falls dieses im abgesicherten Modus funktioniert. G
elingt das nicht, weil das Schadprogramm weiterhin läuft, dann beenden Sie es unter Windows 2000/XP über den Taskmanager. Es genügt nicht, eine einzelne befallene Datei zu löschen, wenn unklar ist, wann und wie die Infektion eintrat und ob eine Hintertür nicht schon ausgenutzt wurde. Vorsicht: Einige Virenscanner bieten an, infizierte Dateien zu löschen. Sollte es sich um eine Datei im Posteingang handeln, überlassen Sie das Löschen nicht dem Scanner. Denn es droht der Verlust des gesamten Posteingangs. Entfernen Sie den Mailinhalt oder -anhang besser im Mailprogramm.
Letzter Ausweg – Sie installieren neu
Wenn alle Maßnahmen nicht zum Erfolg geführt haben, müssen Sie Ihr Windows und die Anwendungen komplett neu installieren. Das ist die einzig sichere Lösung. Mit dem gerade installierten System können Sie nicht online gehen. Das Risiko, sich einen Wurm einzufangen, ist zu groß.
Erstellen Sie auf einem anderen, garantiert sauberen System eine Windows-Installations-CD/DVD mit allen Updates. Richten Sie Ihr System damit ein. Das Tool pcwPatchLoader hilft Ihnen dabei. Infos gibt´s im Artikel "pcwPatchLoader: Sicherheitsupdates offline verfügbar machen". Starten Sie das Windows-Setup von CD/DVD, und formatieren Sie alle Partitionen, die ausführbare Programme enthalten. Ändern Sie alle Passwörter, die Sie auf dem kompromittierten PC verwendet haben, auch die Kennwörter für Mail- und Website-Zugänge. Verwenden Sie aktuelle Versionen und alle Updates. Sichern Sie das Backup Ihrer Dateien (Bilder und Office-Dokumente) zurück.
Prüfen Sie die Dateien dann mit einem Virenscanner. Nicht ausführbare Dateien werden Ihren PC nicht neu infizieren, aber Schädlinge könnten sie manipuliert haben. Vorsicht ist bei PDF-Dateien aus dem Web geboten, die Sicherheitslücken im Adobe Reader ausnutzen.
Quelle: PC-Welt