So geht Malware entfernen vom Windows PC (Tutorial Update 2022)

Zuletzt aktualisiert am 11. September 2023 von Lars

Dein Rechner ist mit Malware verseucht und du musst die Malware von deinem Windows-PC entfernen. In diesem Artikel erfährst du, wie du am besten vorgehst, damit dein Rechner wieder Virenfrei wird. 

Es gilt natürlich für die ganze Webseite, ich weisse hier aber noch einmal speziell darauf hin: Für Schäden keine Haftung! Folge den Anweisungen nur, wenn du verstehst, was du tust. Erstelle zuerst eine Datensicherung. Wenn du nicht selber der Benutzer des befallenen Computers bist, frage bitte nach, ob der Benutzer alle Daten gesichert hat und Datenträger für das Betriebssystem vorhanden sind. Bei der Entfernung von Malware ist die Gefahr gross, dass das befallene System später nicht mehr startet! Dokumentiere alle Schritte und die gefundenen Schädlinge.

Registry auf verdächtige Einträge prüfen

Hast du die wichtigsten Daten gesichert? Dann kann es losgehen.

Schädlinge werden automatisch geladen. Dies erfolgt über Einträge in der Registry. Daher werfe ich in der Regel erst einmal einen Blick in die Benutzerregistrierung.

  • Klick auf Suche
  • "regedit" eingeben
  • Die Zweige
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
  • kontrollieren
Verdächtige Einträge in der Registry

Im Screenshot fallen EXE-Dateien mit seltsamen Namen auf:

  • aviqui.exe
  • tetaw.exe
  • evykg.exe

Derartige EXE-Dateien sind untypisch. Am Anfang ist das sicher nicht einfach zu erkennen. Mit der Zeit bekommst man aber ein Gespür dafür. ctfmon und LightScribeControlPanel sind Dateien von Windows bzw. von der Brennsoftware.

Notiere die Funde und lösche die Registry-Zweige mit den verdächtigen Einträgen. Sollte eine Registry-Key nicht zu löschen sein, prüfe die Berechtigungen über die rechte Maustaste.

Verdächtige Dateien löschen

Als Nächstes müssen wir die entdeckten Dateien "killen". Damit die Dateien sichtbar werden, muss im Explorer folgendes eingestellt werden:

  • Extras
  • Ordneroptionen
  • Registerkarte Ansicht
  • Haken raus bei "Geschützte Systemdateien ausblenden"
  • Rubrik "Versteckte Dateien und Ordner" suchen
  • Option "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen"

Anschliessend gehen wir in den richtigen Ordner:

Verdächtige Unterordner im Anwendungsdaten-Ordner eines Users

Die gefundenen Dateien kann man erste einmal zu virustotal.com hochladen. Dort wird mit über 70 Virenscannern gleichzeitig gescannt. Möglicherweise wirst du feststellen, dass dein Virenscanner die Dateien noch nicht als Schadsoftware erkennt. Im Fall aus dem Screenshot haben nur ca. fünf der vielen Virenscanner auf VirusTotal die Dateien als Schädling erkannt.

Hier sehen wir sogar noch weitere verdächtige Einträge mit seltsamen Dateinamen. Beachte aber, dass die Entwickler von Schadprogrammen ihre Software oft ähnlich oder gleich wie bekannte Programme nennen. Kryptische Namen sind also nur ein Indiz, kein Beweis für Schadsoftware. Eben sowenig ist das Nichtvorhandensein von Ordnern mit kryptischen Namen kein Beweis, dass der Rechner frei von Malware ist.

Jetzt kann man die betreffenden Ordner (aber nur diese) durch Drücken der Entfernen-Taste löschen. Das klappt mit manchen, aber sicher nicht mit allen. Warum? Die EXE-Dateien, die automatisch beim Systemstart gestartet wurden, sind noch in Gebrauch und können nicht gelöscht werden. Da wir die Starteinträge aber gelöscht haben, kannst du den Rechner jetzt neu starten und es noch einmal versuchen. Anschliessend sollte das Löschen funktionieren.

Überprüfung mit dem Tool Autoruns

Schadsoftware kann nicht nur aus den oben genannten Registry-Einträgen gestartet werden, sondern auch von weiteren Stellen. Zum Beispiel kann Schadsoftware als sogenannter Dienst (Service) gestartet werden. Hier hilft die Überprüfung mit dem Tool Autoruns. Allerdings sieht man dort viel mehr Einträge, was das ganze für Einsteiger sehr verwirrend macht. Hat man aber definitiv Malware auf dem Rechner, muss man auch diese Einträge überprüfen.

Im Tool Autoruns kannst du einzelne Einträge einfach durch Deaktivieren des Hakens vor dem Eintrag vom automatischen Start ausnehmen.

autoruns-Tool - wichtige Hilfe bei der Malware Entfernung
Tool Autoruns erkennt automatisch gestartete Programme. Mittels rechter Maustaste lassen sich die Einträge auch bei virustotal.com überprüfen.

HijackThis

HijackThis kann als Alternative zu Autoruns verwendet werden, oder auch zur Ergänzung, damit man die Chance verringert, etwas Wichtiges zu übersehen. Auch HijackThis überprüft auf automatisch installierte Einträge.

Die aktuelle Version von HijackThis lädt man hier herunter.

Hast du Einträge gefunden, die du wirklich löschen möchtest? Markiere diese bitte in HijackThis und klicke auf "Fix checked".

TEMP-Verzeichnis löschen

Gehörst du zu den Menschen, die wichtige Dateien ins Temp-Verzeichnis legen? Gewöhne dir das bitte ab oder führe die nächste Aktion nicht durch.

Manche Schädlingsprogramme verstecken sich im Temp-Verzeichnis. Es kann also nichts schaden (ausser du gehörst zu den vorhergehend genannten Personen), wenn du den Inhalt des Temp-Verzeichnisses löscht. Zudem gehen die nachfolgenden Scans auch schneller.

Ich mache das am liebsten in der Eingabeaufforderung.

Also:

  • Klick auf Lupe.
  • "cmd" eingeben.
  • Rechte Maustaste
  • "Als Administrator ausführen"
  • "cd %temp%" eingeben
  • Achten Sie darauf, dass Sie jetzt im Ordner TEMP stehen (z.B.
    C:\Users\Lars\AppData\Local\Temp). Wenn Sie nicht richtig hinschauen und
    z.B. noch in C:\Users\Lars stehen, dann löscht Ihnen der nächste Befehl ein
    paar Dateien zu viel und Sie haben ein Problem!
  • "rd . /s /q" eingeben
Löschen des TEMP-Verzeichnisses

Habe Geduld mit dem Befehl, es dauert eine ganze Weile, bis der Temp-Ordner geleert ist. Du wirst die Meldung sehen "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Programm verwendet wird."
Diese Meldung ist normal, da das System immer Dateien im Temp-Ordner offen hat. Der RD-Befehl kann keine offenen Dateien löschen.

CCleaner

Vielfach wird empfohlen, den Rechner mit dem Tool CCleaner zu bereinigen. CCleaner findet Dateien, die nicht mehr notwendig sind und bereinigt diese. CCleaner hat im laufenden Betrieb aber auch "Nervcharakter", da es sich immer mal wieder meldet. Ich setze CCleaner daher nur ein, wenn es sehr viel Daten auf der Festplatte hat und lösche es nach der Entfernung von Malware meist wieder.

Am besten lädst du dir die portable Version hinunter, die muss nicht dauerhaft laufen. Diese kannst du hier herunterladen.

Achtung! CCleaner löscht per Standard auch Cookies. Das heisst, du musst dich bei allen Webdiensten wieder neu einloggen.

Malware entfernen - jetzt wird gescannt

Meistens lasse ich die folgenden Scanner auf den entsprechenden Rechner los. Hier reichen in der Regel die kostenlosen Varianten. Einige der Tools möchten gerne Probeversionen von kostenpflichtigen Programmen installieren. Ich empfehle, das abzulehnen.

Malwarebytes

https://www.malwarebytes.com/mwb-download

Super Antispyware (Free Edition)

http://www.superantispyware.com/download.html

Ebenfalls gute Erfahrungen habe ich gemacht mit:

Eset Online Scanner

http://www.eset.com/de/home/products/online-scanner

Die erhältlichen Rettungs-Boot-Sticks, wie zum Beispiel c't-Notfall-Windows 2022 nutze ich eher selten zur Bereinigung. Sind System-Dateien infiziert, startet Windows später oft nicht mehr. Dann ist nur noch ein Neu aufsetzen möglich.

Vorbeugen

War man erfolgreich, anschliessend unbedingt...

  • Windows updaten, Windows-Update auf automatisch stellen.
  • Flash updaten.
  • Java updaten (besser komplett deinstallieren).
  • StartupMonitor
    installieren - Die Freeware überwacht die Einträge im Windows Autostart und
    warnt entsprechend. Ob sie allerdings in der Lage ist auch
    Schädlingseinträge zu melden, kann ich nicht sicher sagen. Da aber jedes
    kleine Tool einen zumeist sinnfreien Eintrag machen will, sorgt es zumindest
    für einen performant bleibendes System.
    StartupMonitor wird vom Autor nicht mehr gepflegt. Über web.archive.org lässt sich die Software aber noch herunterladen. Den Einsatz von veralteter Software kann man aber nicht mehr empfehlen, da dadurch ebenfalls wieder Sicherheitslücken entstehen können.

Stelle gegebenenfalls die Ansicht im Explorer wieder zurück.

Nach ein paar Tagen scannst du am besten noch einmal erneut. Wenn du nicht alles erwischt hast, sind in der Regel schon wieder weitere Schädlinge auf dem PC.

Bei Misserfolg gilt es, den weiteren Aufwand kritisch abzuschätzen. Eine intensivere Internet-Recherche kann nichts schaden, allerdings verbrät man sehr schnell sehr viel Zeit damit. Irgendwann wird eine Neuinstallation einfacher...

Nun konntest du hoffentlich deine Malware entfernen. Diese Anleitung wird nur bei den einfacheren Schädlingen helfen. Nach meinen Erfahrungen machen diese jedoch - zum Glück - die Mehrheit aus.

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert