Virenentfernung (I)

Da surft man nichtsahnend im Internet, um sich über ein Produkt oder Thema zu informieren – und unversehens blockiert der Rechner mit der Meldung, man müsse jetzt 100 Euro via Bezahldienst Ukash an eine Polizeibehörde zahlen. Was passiert ist: Ein Schädling hat sich auf dem Rechner eingenistet, da er eine Sicherheitslücke in veralteter Software ausnutzen konnte.

Nun ist guter Rat teuer: Wie bekommt man das wieder weg?

Am sichersten und zu hundert Prozent wirksam ist eine komplette Neuinstallation des Rechners. Die ist in relativ kurzer Zeit erledigt. Und wenn man von vornherein die Festplatte in mindestens zwei Bereiche aufteilt – einen für das Betriebssystem und Programme, den anderen für alle Daten -, ist damit eigentlich schon alles erledigt.

Möchte man eine Bereinigung versuchen, sollte man den Rechner zunächst aus­schalten und im abgesicherten Modus von Windows neu starten. Dazu muss man nach dem Einschalten die Taste F8 häufig drücken, wodurch das Windows-Bootmenü aufgerufen wird. Dort kann man auswählen, Windows im abgesicherten Modus zu starten. Dabei werden viele Dienste nicht gestartet und man kann einige Programme laufen lassen, beispielsweise den Virenscanner. Das sollte man als erstes probieren.

Wenn das keine Schädlingsfunde und Reinigungsmöglichkeiten ergibt, sollte man an einem anderen Rechner eine sogenannte RescueCD herunterladen (http://www.avg.com/de-de/avg-rescue-cd-download). Diese kann man auf CD brennen oder einen startbaren USB-Stick erstellen. Davon startet man den Rechner anschließend. Gegebenenfalls muss im BIOS des Rechners noch die Bootreihenfolge geändert werden (http://www.heise.de/ct/artikel/BIOS-Setup-Boot-Reihenfolge-aendern-1432891.html).

Von diesem garantiert virenfreien System kann man nun den Rechner erneut auf Schädlings­befall untersuchen lassen. Findet der Virenscanner auch von der RescueCD aus nichts, bietet diese jedoch noch weitere Werkzeuge wie den Registrierungseditor, mit denen fortgeschrittene Nutzer etwa die Einträge zum Rechnerstart korrigieren können. So sollte der Eintrag in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
im Schlüssel „Shell“ den Wert „Explorer.exe“ haben. Zudem sollten die Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sowie RunOnce und RunOnceEx kontrolliert werden, ob sich dort möglicherweise unerwünschte oder unbekannte Programme eingeschlichen haben; diese kann man dort dann entfernen.

Anschließend kann man den Rechner wieder normal starten und weitere Virenscanner auf das System loslassen. Bewährt hat sich eine weitere Kontrolle mit MicroWorlds Anti-Virus Toolkit, einem Virenscanner, der ohne Installation läuft (http://www.microworldsystems.com/akdlm/download/tools/mwav.exe). Nach dem Herunterladen sollte man die Virensignaturen aktualisieren und kann anschließend den Rechner von möglicherweise weiteren schädlichen Dateien bereinigen. Ebenfalls nützlich ist noch eine dritte Meinung mit dem als Bereinigungswerkzeug heraus­ragenden Malwarebytes AntiMalware Free (http://www.malwarebytes.org/mbam-download.php). Es repariert auch aggressiv verbogene Einträge in der Windows-Registry, an denen sich andere Programme die Zähne ausbeißen.

Falls diese Tools den Schädling noch nicht entfernen konnten, bleibt allerdings tatsächlich nur noch eine Neuinstallation des Rechners. Auf jeden Fall lohnt sich daher, regelmäßig ein automatisches Backup der eigenen Dateien anfertigen zu lassen. Damit spart man sich viel Bastelarbeit am System und kann im Schadensfall einfach und schnell den alten Zustand wiederherstellen (http://www.jakobsoftware.de/hersteller/langmeier-backup.html).

Geschrieben von Dirk Knop