Bild: Andreas Martini
Das Suchen und Beseitigen von Schädlingen gehört traditionell zu den Grundfunktionen unseres Notfallsystems. Die aktuelle Ausgabe enthält gleich fünf Virenscanner und zwei Schnelltests.
Bild: Andreas Martini
Wenn Windows von einem Schädling befallen wurde, gilt der Patient der reinen Lehre zufolge als tot: Setzen Sie das Betriebssystem komplett neu auf und installieren Sie alle Anwendungen erneut. Leute, die gut vorbereitet sind (Sie wissen ja: kein Backup, kein Mitleid), spielen kurzerhand das zuletzt als virenfrei geltende Image der Installation zurück. Doch die Realität sieht oft anders aus. Und nur weil Sie selbst ein Image haben, gilt das nicht auch für jene Freunde und Verwandten, die Sie zur Hilfe rufen, weil sich Windows „irgendwie komisch“ verhält. Und ist das Image tatsächlich virenfrei, heile, vollständig und hinreichend aktuell?
Dann schlägt die Stunde unseres Notfallsystems. Damit können Sie Ihr Betriebssystem mit gleich fünf Virenscannern nach Schädlingen durchsuchen. Weil unser Notfallsystem vom Stick startet, haben Schädlinge auf dem internen Datenträger keine Chance, die Suche zu sabotieren – sie laufen ja nicht.
Bevor Sie aber mit den Scannern eine gründliche Virenprüfung anstoßen, die je nach Hardware und zu prüfender Datenmenge durchaus Stunden dauern kann, greifen Sie erst mal zu unseren Schnelltests. Die sind zwar bei Weitem nicht so gründlich und wenn dabei keine Schädlinge zu entdecken sind, können trotzdem welche vorhanden sein. Aber wenn Sie dabei Auffälligkeiten entdecken, dann wissen Sie wenigstens, dass die gründliche Suche mit den Virenscannern lohnt.
Weil bei einem Virenbefall die Hektik ohnehin groß genug ist, liefern wir für alle in diesem Betrag erwähnten Werkzeuge zur Virensuche wieder Schritt-für-Schritt-Anleitungen. Falls Ihnen diese Anleitungen bekannt vorkommen, täuschen Sie sich nicht, denn sie basieren auf Texten zu vorangegangenen Versionen. Wir haben sie für die aktuelle Ausgabe gründlich überprüft und überarbeitet. Verwenden Sie also besser nur die aktuellen Versionen der Anleitungen.
Vorab noch ein paar Worte zu den Schnelltests. Der erste steckt im Sysinternals-Programm „Autoruns“. Es kann alle Autostart-Einträge der Windows-Installation durchforsten und die gefundenen Programme auf einen Schlag von über 70 Scannern prüfen lassen. Das gelingt im Idealfall sogar rasend schnell, denn Autoruns lädt dazu Hashes der ausführbaren Dateien bei VirusTotal.com hoch. Das ist ein von Google betriebener Dienst. Nur bei dort unbekannten Hashes ist der Upload der zu prüfenden Datei selbst erforderlich.
Auch beliebige einzelne Dateien können Sie mit dem Notfall-Windows einem Schnelltest unterziehen. Klicken Sie dazu im Kontextmenü einer verdächtigen Datei auf „Senden an/Sigcheck“. Sigcheck ist ebenfalls ein Programm von Sysinternals. Es prüft erstens die Signatur der Datei, bildet zweitens diverse Prüfsummen (MD5, SHA1, SHA256 …) und lädt drittens ebenfalls einen Hash bei VirusTotal hoch. Das Ergebnis erscheint in einer zwar hässlichen, aber funktionalen Eingabeaufforderung.
Was die Interpretation der Ergebnisse betrifft: Es gilt im Wesentlichen dasselbe wie bei Autoruns. Sofern die Datei von einem bekannten Anbieter signiert ist und kein Virenscanner etwas zu meckern hat, ist sie wahrscheinlich harmlos – obwohl es keine Garantie gibt, dass dem wirklich so ist. Wenn hingegen die Signatur fehlt oder Seltsamkeiten aufweist, sollten Sie vorsichtig sein.
1.Falls auch nur der geringste Verdacht auf einen Erpressungstrojaner besteht: Rechner sofort hart ausschalten! Anschließend Notfall-Windows booten und alles an Daten retten, was noch unverschlüsselt ist.
Der Schnelltest mit Autoruns prüft nur das, was Windows beim Hochfahren automatisch mitstartet. Hier ist es der harmlose EICAR-Testvirus.
Hässlich, aber schnell: Im Explorer des Notfall-Windows können Sie eine einzelne Datei in deren Kontextmenü unter „Senden an“ an unser Skript „Sigcheck“ schicken. Sie erfahren dann ruckzuck, was über 70 Virenscanner von ihr halten.
2.Sonst das auf der Platte installierte Windows laufen lassen, aber alle Netzwerkverbindungen kappen.
1.Explorer öffnen, im Kontextmenü der Windows-Partition (üblicherweise C:) „Eigenschaften“ auswählen, auf „Bereinigen“ klicken, um die Datenträgerbereinigung zu starten. Dort „Systemdateien bereinigen“ anklicken, Nachfrage bestätigen, alle Häkchen setzen, Nachfragen bestätigen.
3.Browser-Cache leeren. Firefox: „Einstellungen/ Datenschutz und Sicherheit/Chronik löschen“. Edge: im Drei-Punkte-Menü klicken auf „Einstellungen/Datenschutz, Suche und Dienste/Browserdaten jetzt löschen: Zu löschende Elemente auswählen“. Chrome: Strg+Umschalt+Entf drücken, den „Zeitraum“ auf „Gesamte Zeit“ umstellen, „Daten löschen“ anklicken.
4.Im Mailclient Papierkorb und Spam-Ordner leeren.
1.Notfall-Windows booten, Netzwerkverbindung herstellen, Windows-Partition auf der Festplatte identifizieren (siehe Artikel „Probleme lösen mit dem Notfall-Windows“).
2.Aus dem Startmenü „Autoruns“ aufrufen.
3.Laufenden Scan bei Eile durch Drücken der Esc-Taste abbrechen.
4.In der Menüleiste unter „Options“ auf „Scan Options“ klicken. Häkchen vor „Check VirusTotal.com“ setzen. Auf „Rescan“ klicken.
5.In der Menüleiste auf „File“ und „Analyze Offline System“ klicken. Im Dialog hinter „System Root“ den Pfad zum Windows-Ordner eintragen (üblicherweise C:\Windows), hinter „User Profile“ den Pfad des Nutzerprofils (C:\Users\<Kontoname>).
6.Nach dem Scan in der Spalte „Virus Total“ nachschauen (Anzeige dazu eventuell nach rechts scrollen): Steht hier hinter einem Autostart-Eintrag „0/76“, hat kein Scanner etwas gefunden. Die Zahl hinter dem Schrägstrich ist die Anzahl der prüfenden Scanner und variiert, entscheidend ist die Zahl vor dem Schrägstrich. Steht hier eine andere Zahl als 0, kommts drauf an: Ist es nur eine 1, handelt es sich vermutlich um einen Fehlalarm, bei 2 oder 3 womöglich auch. Spätestens bei höheren Zahlen ist aber eine gründliche Recherche angebracht.
7.Sollten auf dem PC verschiedene Nutzerkonten verwendet werden, Vorgang mit deren Nutzerprofilen wiederholen.
8.Bei Windows-Parallelinstallationen bitte beachten: Jede Windows-Installation muss vom Notfall-Windows mit dem Laufwerksbuchstaben eingebunden sein, den sie selbst zu haben glaubt. Wenn sich also beide Installationen jeweils auf C: wähnen, wird sie das Notfall-Windows trotzdem als C: und D: einbinden, und dann müssen Sie vor der Prüfung von D: mit Autoruns die Buchstaben D: und C: in der Datenträgerverwaltung tauschen. Details dazu haben wir in [1] beschrieben.
1.Notfall-Windows booten, Netzwerkverbindung herstellen, Windows-Partition auf der Festplatte identifizieren (siehe Artikel „Probleme lösen mit dem Notfall-Windows“).
2.Im Explorer verdächtige Datei auswählen, in ihrem Kontextmenü auf „Senden an“ und „Sigcheck“ klicken. Die Ausgabe erscheint in einer Eingabeaufforderung.
3.Zeile „Verified“ prüfen: „Signed“ deutet auf Vertrauenswürdigkeit hin. Alles andere ist ein Alarmsignal, vor allem, wenn die Datei von einer großen Firma wie Microsoft und Google stammen soll. Das gilt für „Unsigned“ ebenso wie für eine vorhandene, aber als nicht vertrauenswürdig eingestufte Signatur (beispielsweise: „Die digitale Signatur des Objekts konnte nicht bestätigt werden“, „Ein Zertifikat wurde explizit durch den Aussteller gesperrt“ oder „Eine Zertifikatskette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden“).
4.Steht ziemlich weit unten in der Zeile „VT detection“ als Ergebnis „0/76“, hat keiner der auf VirusTotal.com versammelten Scanner etwas Verdächtiges gefunden. Die Zahl hinter dem Schrägstrich ist die Anzahl der beteiligten Scanner und variiert, entscheidend ist die Zahl vor dem Schrägstrich. Der Link zur Ergebnisseite der Prüfung steht eine Zeile tiefer. Sie können ihn wie gewohnt mit der Maus markieren, per Strg+C in die Zwischenablage kopieren und in Firefox in die Adresszeile einfügen.
Gleich fünf Virenscanner finden Sie im Startmenü der aktuellen Ausgabe unseres Notfallsystems.
1.Notfall-Windows booten, Windows-Partition auf der Festplatte identifizieren (siehe Artikel „Probleme lösen mit dem Notfall-Windows“).
2.Wichtig: Vor dem Start eines Scanners Netzwerkverbindung herstellen.
3.Scanner nacheinander (!) laufen lassen (siehe folgende Anleitungen). Die Reihenfolge ist egal. Vor jedem weiteren Suchlauf das Notfallsystem neu starten und wieder bei der Anleitung „Virensuche …“ beginnen.
1.Vorab: Der Defender kann nur 64-Bit-Windows-Installationen prüfen. Falls bei Ihnen ein 32-Bit-Windows installiert ist: weiter beim nächsten Scanner. Dasselbe gilt, wenn Microsofts Virenscanner Fehlermeldungen auswirft (er verwendet Systemdateien von C:, was nicht immer klappt)
2.Aus dem Startmenü „Defender“ aufrufen. Das Programm beginnt sofort mit der Virensuche, brechen Sie diese durch einen Klick auf „Cancel scan“ ab.
3.Im Reiter „Update“ auf „Update definitions“ klicken. Warten, bis die frischen Virendefinitionen geladen sind.
4.Im Reiter „Home“ unter „Scan Options“ „Custom“ auswählen, auf „Scan now“ klicken.
5.Laufwerke auswählen, auf „OK“ klicken, die Virensuche beginnt.
1.Aus dem Startmenü „Emsisoft“ aufrufen.
2.Lizenzvereinbarung annehmen.
3.Update abwarten.
4.Im Feld „Scannen“ auf „Eigener Scan“ klicken.
5.Die Laufwerke des Notfall-Windows (B:\ und X:\) durch Klick auf das rote Kreuz daneben aus der Auswahl entfernen.
6.Option unter „Scan-Einstellungen“ nach Wunsch aktivieren.
7.Auf „Weiter“ klicken (dazu je nach Display-Auflösung erst etwas nach unten scrollen). Das Programm überprüft nun die Laufwerke.
1.Nach dem Booten einige Sekunden warten. Aus dem Startmenü „Eset“ aufrufen, auf „Erste Schritte“ klicken, Nutzungsbedingungen abnicken.
2.Es kann passieren, dass die Software als Nächstes eine neue Produktversion von sich herunterlädt und sich dann beendet. Wie sich die künftige Version verhalten wird, lässt sich nicht vorhersagen, aber falls es wie bisher läuft, geht es so weiter: Programm einfach erneut starten und, wichtig: Häkchen vor „Neueste Produktversion herunterladen“ entfernen.
3.Im Dialog „Bevor wir beginnen“ nach Wunsch entscheiden.
4.„Benutzerdefinierter Scan“ anklicken, Laufwerke auswählen und dann auf „Speichern und Fortfahren“ klicken.
5.Über Quarantäne von potenziell unerwünschten Anwendungen entscheiden (Vorsicht, alle Dateien in der Quarantäne liegen in der RAM-Disk, gehen also beim Beenden des Notfall-Windows verloren!). Unten links auf den blauen Link „Erweiterte Einstellungen“ klicken, Einstellungen prüfen, auf den Zurück-Knopf oben klicken.
6.Auf „Prüfung starten“ klicken. Programm aktualisiert sich, die Virensuche beginnt.
1.Aus dem Startmenü „McAfee“ aufrufen. Nutzungsbedingungen akzeptieren.
2.Oben rechts auf „Advanced“ und dann auf „Settings“ klicken. Unterhalb von „Scan Targets“ und „Scan Options“ alles anhaken. Unterhalb von „On threat detection“ („was tun bei Virenfund?“) wählen: „Remove“ verschiebt in Quarantäne, „Report“ weist nur auf den Fund hin. Letzteres ist für eine weitere Analyse sinnvoll (siehe Schritt-für-Schritt-Anleitung „Virenfund“). Pull-down-Menü „GTI settings – Sensitivity“ auf „Very High“ ändern (also auf den höchsten Heuristik-Level). „Save“ anklicken.
3.Unterhalb der Schaltfläche „Scan“ auf den Link „Customize my scan“ klicken. Laufwerke auswählen, „Scan“ anklicken, Virensuche startet.
4.Falls Sie nach dem Ende des Suchlaufs weitere Programme starten wollen, klicken Sie mit der rechten Maustaste auf das Schildsymbol im Infobereich der Taskleiste (neben der Uhr), wählen Sie „Remove Real Protect“ und bestätigen Sie die Nachfrage. Bei unseren Tests kam es sonst zu Abstürzen unter anderem von Firefox.
1.Aus dem Startmenü „Trend Micro“ aufrufen. Mit Klick auf „Next“ die Datenschutz-, im nächsten Dialog die Lizenzbestimmungen bestätigen („I accept …“).
2.Auf den Link „Settings“ klicken. Im Reiter „Smart Feedback“ auf Wunsch das Häkchen vor „Enable Trend Micro Smart Feedback“ entfernen (sonst schickt die Software Informationen zu Ihren Dateien an den Hersteller).
3.In den Settings im Reiter „Scan Type“ „Custom Scan“ auswählen, dann ein Häkchen vor die zu prüfenden Laufwerke setzen, danach mit „OK“ bestätigen.
4.Wahlweise Häkchen vor „Include my home Network“ entfernen oder lassen, auf „Scan now“ klicken. Die Virensuche beginnt.
1.Entscheiden, ob die infizierten Dateien in Quarantäne geschoben, gelöscht oder ignoriert werden sollen. Obacht: Die Quarantäne liegt in der RAM-Disk, wird also beim Beenden des Notfall-Windows gelöscht!
2.Infizierte Datei für genauere Analyse in Firefox bei VirusTotal.com hochladen.
3.Auf Wunsch: Infizierte Datei für weitere Recherche an einen sicheren Ort kopieren, am besten per kennwortgeschütztem Zip-Archiv, welches Sie mit 7-Zip erstellen (im Startmenü unter „Alle Programme/Utilities“).
4.Infizierte Datei löschen.
1.Noch unter dem Notfallsystem die Hosts-Datei kontrollieren (C:\Windows\System32\Drivers\etc): per Rechtsklick mit Notepad öffnen, dann unbekannte Zeilen mit # auskommentieren oder löschen.
2.Auf 64-Bit-Systemen auch prüfen, ob es unter „C:\ Windows\SYSwow64\Drivers\etc“ eine weitere Datei namens „hosts“ gibt; die dann genauso behandeln.
3.Installiertes Windows starten.
4.Kontrollieren: Firewall, Virenscanner, Plug-ins von Browser und Mail-Client, Proxy-Einstellungen von Windows, Browser und Mailclient.
5.Erst danach Netzwerkverbindung wieder herstellen.
6.Aktualisieren: Windows Update, Virenscanner, Browser, Mailclient, PDF-Reader.
7.Möglichst noch prüfen: Netzwerkfreigaben, Autostarts, laufende Prozesse.
(axv) 
