Schädlingsbekämpfung per Hand - die Zusammenfassung - "Wenn es mal wieder schnell gehen muss!"

Zuletzt aktualisiert am 18. Oktober 2022 von Lars

malware-entfernenIn diesem Artikel findest du meine wichtigsten Schritte kurz und knapp für die Bereinigung eines mit  Schadsoftware befallenen Windows-Rechners.
Es gilt natürlich für die ganze Webseite, ich weisse hier aber noch einmal speziell darauf hin: Für Schäden keine Haftung! Folgen Sie den Anweisungen nur, wenn Sie wissen, was Sie tun. Erstellen Sie ein Backup. Wenn sie nicht selber der Benutzer des befallenen Computers sind, fragen Sie nach, ob der Benutzer alle Daten gesichert hat und Datenträger für das Betriebssystem vorhanden sind. Bei Virensuche ist die Gefahr gross, dass das befallene System später nicht mehr startet! Dokumentieren Sie Ihre Schritte und die gefundenen Schädlinge.

Rechner abgesichert MIT NETZWERK hochfahren und RKILL starten

  • Beim Starten F8 drücken
  • Abgesichert mit Netzwerk wählen
  • Einloggen
  • Internet-Explorer als Administrator starten.
  • RKill hier downloaden und ausführen. Dies sollte die Schadsoftware beenden.
  • Alternativ Malwarebytes Chameleon hier herunterladen und ausführen: svchost.exe oder andere Dateien im Archiv probieren, bis das eigentliche Malwarebytes Anti-Malware startet.

Hinweis: I. d. R. verhindert Malware den Start von bekannten Schädlingsbekämpfungs-Programmen. Sowohl rkill als auch Malwarebytes Chameleon kommen daher mit dem Namen von gängigen, benötigten Windows-Diensten daher, die der Schädling nicht abfangen kann.

Registry auf verdächtige Einträge prüfen

Häufig befinden sich Schädlinge im Benutzerprofil. Daher werfe ich erst einmal einen Blick auf die Benutzerregistrierung

  • Start
  • Ausführen
  • "regedit" eingeben
  • Den Key Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run (32 Bit-Betriebssystem) und Computer\ HKEY_LOCAL_MACHINE\ SOFTWARE\ WOW6432Node\ Microsoft\ Windows\ CurrentVersion\ Run (64 Bit-Betriebssysteme) überprüfen. Die Programme, auf die dort verwiesen wird, werden beim Start des Computers automatisch mit gestartet. Wenn Sie Glück haben, hat sich die Schadsoftware hier mit eingenistet.

Sollte eine Registry-Key nicht zu löschen sein, prüfen Sie die Berechtigungen (über rechte
Maustaste).

Bei Unsicherheiten, die Datei zu www.virustotal.com hochladen. Dort wird die Datei mit vielen verschiedenen Virenscannern überprüft.

Sollten Sie die schlimmsten Prozesse erwischt haben, können Sie jetzt wieder im normalen Modus weiter machen. I. d. R. befindet sich aber immer noch weitere Schadsoftware auf Lauerstellung, also sind wir noch nicht fertig.

TEMP-Verzeichnis löschen

  • Start
  • "cmd" eingeben
  • "cd %temp%" eingeben
  • Achten Sie darauf, dass Sie jetzt im Ordner TEMP stehen (zum Beispiel C:\Users\Lars\AppData\Local\Temp). Wenn Sie nicht richtig hinschauen und
    zum Beispiel noch in C:\Users\Lars stehen, dann löscht Ihnen der nächste Befehl ein paar Dateien zuviel und Sie haben ein Problem mehr!
  • "rd . /s /q" eingeben

Haben Sie Geduld mit dem Befehl, es dauert eine ganze Weile, bis der Temp-Ordner geleert ist. Sie werden die Meldung sehen "Der Prozess kann nicht
auf die Datei zugreifen, da sie von einem anderen Programm verwendet wird."
Diese Meldung ist normal, da das System immer Dateien im Temp-Ordner offen hat.
Der RD-Befehl kann keine offenen Dateien löschen.

CCleaner

CCleaner ist kein Virenscanner, sondern putzt nur weitere unnötige Einträge von der Platte. Damit wird die Scanzeit für die übrigen Tools verringert.

CCleaner kann man hier downloaden.

Bestseller Nr. 2
G DATA Internet Security 2024 | 3 Geräte | 1 Jahr | für PC, Mac, Android, iOS...
  • Höchste Sicherheit und Privatsphäre: G DATA Internet Security schützt Ihre...
  • Für alle Endgeräte verfügbar: Installieren Sie G DATA Internet Security auf...
  • Sicheres Online-Banking und -Shopping: Unsere patentierte BankGuard-Technologie...
  • Zusätzlicher Schutz dank Firewall: Unsere Internet Security enthält eine...

HijackThis

HijackThis liefert gerade bei Schädlingen, die den Internet-Verkehr oder die Browser stören, wichtige
Hinweise.  Als Ergebnis wird eine Log-Datei erzeugt, deren Interpretation nicht gerade einfach ist. In diese Lücke sprang die Webseite www.hijackthis.de. Diese ist jedoch eine ganze Weile schon nicht mehr erreichbar. In der Hoffnung, dass sie irgendwann wieder online geht, lasse ich den Link mal stehen. Man gibt dort die Log-Datei ein und bekommt diese interpretiert. Auch hier ist aber etwas Vorsicht angebracht: Manchmal wird aber harmloses, wie z.B. die pdfforgeToolbar als schädlich eingestuft.

HijackThis wird schon längere Zeit nicht mehr weiter entwickelt. Es gibt aber einen sogenannten Fork:

Haben Sie Einträge gefunden, die Sie wirklich löschen möchten? Markieren Sie die entsprechenden Einträge in HijackThis und klicken Sie auf "Fix checked".

Update: Avast Browser Cleanup

Noch wenig Erfahrung habe ich mit Avast Browser Cleanup. Diese Tool verspricht "gekaperte" Browser von allem schädlichen Balast befreien zu können. In jedem Fall einen Versuch wert...

Jetzt wird gescannt...

Meistens lass ich die folgenden Scanner auf den entsprechenden Rechner los:

Malwarebytes Anti-Rootkit

Link

RogueKiller - Alternative zu Malwarebytes Anti-Rootkit

Link

Super Antispyware (Free Edition)

Link

Ebenfalls gute Erfahrungen habe ich gemacht mit:

Malwarebytes Anti-Malware Gratis

Link

Eset Online Scanner

Link

HitManPro - Ebenfalls ein Online-Scanner, der für eine "zweite Meinung" geeignet ist

Link

Mit einer speziellen Variante hiervon kann man auch "erpresste" Rechner, die
nicht mehr zugänglich sind, "befreien".

Die erhältlichen Boot-CDs nutze ich nur sehr, sehr selten.

Sind System-Dateien infiziert, startet Windows später oft nicht mehr.

Vorsorge

  • Windows Updaten, Windows-Update auf automatisch stellen
  • Flash updaten
  • Java updaten (besser komplett deinstallieren)
  • StartupMonitor installieren (leider nicht mehr erhältlich)

Nach ein paar Tagen scannen Sie am besten noch einmal erneut. Wenn Sie nicht alles erwischt haben, sind in der Regel schon wieder weitere Schädlinge auf demPC.

Bei Misserfolg gilt es den Aufwand abzuschätzen. Eine intensivere Internet-Recherche kann nichts schaden, allerdings verbrät man sehr schnell sehr viel Zeit damit. Irgendwann wird eine Neuinstallation einfacher...

Alle Links zur Virenbereinigung auf einen Blick

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert