was tun wenn....

Wie vorgehen wenn es schon passiert ist? (Virusverdacht)

Bevor Sie sich an die Virenbeseitigung machen, kann es sinnvoll sein diese Seite auszudrucken. Wenn Sie am BIOS arbeiten, können Sie ja keine Webseiten anzeigen!

Was sind Hinweise, daß eine Infektion vorliegt?

 

  • Der PC startet gar nicht mehr  (könnte ein Bootvirus sein)
  • Das Arbeitstempo ist extrem verlangsamt  (unspezifisch)
  • Zeitweise „friert“ der Mauszeiger ein
  • Es kommen Emails an die darauf hinweisen daß eine Mail wegen verdĂ€chtiger AktivitĂ€ten geblockt wurde
  • Bei ganz normalen AktivitĂ€ten erscheinen Fehlermeldungen
  • Das Antivirusprogramm meldet eine Infektion

 

  • Erster, unvermeidlicher Schritt: fĂŒhren Sie einen Komplettcheck mit dem Antivirus(AV) durch. DafĂŒr mĂŒssen Sie in schwierigen FĂ€llen den PC mit einer Notfalldiskette/CD starten.
     PrĂŒfen Sie auch, ob das Programm auf dem neuesten Stand ist und die neuesten Updates bekommen hat. Sofern das AV den Virus findet, ist es einfach: entscheiden Sie sich fĂŒr löschen oder QuarantĂ€ne.
  • Wichtig: wĂ€hrend der PrĂŒfung den PC vom Internet und ggfs. lokalen Netz trennen, und keine Programme starten!

Es wird kein Virus gefunden....

  • Das heißt leider nicht, daß wirklich keiner vorhanden ist. Kein AV-Programm entdeckt alle Viren die es gibt.
  • Schließen Sie zunĂ€chst alle anderen Ursachen aus:
  • nachsehen, ob etwa die Festplatten voll sind (Arbeitsplatz, Eigenschaften der Laufwerke) – ggfs. Papierkorb leeren, nicht mehr benötigte Programme deinstallieren
  • Defragmentieren, wenn nötig (Arbeitsplatz, Eigenschaften der Laufwerke, „Extras“)
  • Sind vielleicht etliche Programme im „Autostart“ eingetragen die gar nicht benötigt werden?
  • HĂ€ngt ein Programm vielleicht? (Taskmanager, Anwendungen zeigt dann „keine RĂŒckmeldung“) – in diesem Fall das Programm per Taskmanager beenden
  • Taskmanager, Systemleistung: 100% Auslastung der CPU? In diesem Fall, vorausgesetzt sie haben die vorherigen Schritte ausgefĂŒhrt, liegt ein schwerer Fall vor.
    Das gilt natĂŒrlich auch, wenn der PC gar nicht erst startet.

 

Der Ernstfall – Virus vorhanden, AV beseitigt ihn nicht

Ruhig Blut – jetzt ist Geduld angesagt. Das kann dauern.

Fall1: Windows startet nicht

  • 1a) Versuchen Sie den Start mit dem abgesicherten Modus: beim Hochfahren <F8> drĂŒcken bis ein StartmenĂŒ erscheint. Wenn das auch nicht geht, weiter bei 1b
    Mit StartmenĂŒ: Im abgesicherten Modus ĂŒberprĂŒfen ob ein GerĂ€t defekt ist. GerĂ€temanager aufrufen (Arbeitsplatz, Eigenschaften, Hardware)
  • Wenn ein GerĂ€t gelb oder rot markiert ist, dessen Eigenschaften aufrufen: deaktivieren. Runterfahren, prĂŒfen ob Windows jetzt startet. Wenn ja, das betreffende GerĂ€t durch Treiberupdate zu retten versuchen; klappt das nicht, austauschen.
  • Wenn nein, dann...
  • 1b) Verdacht auf Bootvirus. Ein solcher Virus kann nicht vom AV entdeckt oder beseitigt werden. Er sitzt im BIOS.
  • Holen Sie sich einen Kaffee....das dauert...
  • - PC vom Netz trennen (Netzschalter, RĂŒckseite)
  • - öffnen Sie das PC-GehĂ€use. Suchen Sie die BIOS-Batterie  (Auf dem Mainboard). Diese herausnehmen und ein paar Minuten warten. In der Zeit könnten Sie schon mal nach der BIOS-Dokumentation suchen, sofern Sie eine haben.
  • - Batterie wieder einsetzen. Netzschalter auf ein, halten Sie die <ENTF>-Taste gedrĂŒckt bis das BIOS-MenĂŒ erscheint..
  • Das MenĂŒ gibts nur auf englisch, und die Maus können Sie nicht verwenden. Steuern Sie das MenĂŒ mit den Pfeiltasten. Am unteren Rand sind Hinweise welche Taste mit welcher Funkton belegt ist.
  • Laden Sie die „defaults“ (Grundeinstellungen) – meist rechte Seite, „load ....defaults“
  • Gehen Sie in die Grundeinstellungen (links oben, „Standard BIOS (oder CMOS) Features
  • Sind Ihre Festplatten aufgelistet? Wenn nicht, könnte „Auto“ eingetragen sein. Ältere BIOS-Versionen bieten auch „autodetect“ an – in diesem Fall benutzen Sie diese Funktion um die Festplatten zu erkennen. Floppies werden nicht gelistet, oft auch nicht die CD/DVD-GerĂ€te. Das macht nichts, verlassen Sie das MenĂŒ per <ESC> - Taste und...
  • Speichern Sie Ihre Einstellungen. „save and exit“
  • Nun sollte die Maschine starten. Tut sie das nicht, ist ein Fachmann erforderlich. Das kann an einer defekten Festplatte oder an anderen Komponenten liegen, die Sie nicht testen oder reparieren können. Wenn Sie startet und einigermaßen funktioniert, UND Sie das BIOS-Handbuch haben, solten Sie beim nĂ€chsten Start weitere Einstellungen im BIOS vornehmen.

Fall 2: Windows startet, ist aber extrem langsam

Öffnen Sie die OberflĂ€che Ihrer Firewall. Suchen Sie zunĂ€chst in der Liste der Programme nach EintrĂ€gen die Ihnen unbekannt sind . Sie können per googeln nachsehen ob das fragliche Programm zu Windows oder zu installierten Paketen gehört. Beispiel (Trojaner)

Wenn Sie also herausfinden daß Schadsoftware installiert ist,  sperren Sie zunĂ€chst den Internetzugang fĂŒr dieses Programm in der Firewall. (Den Eintrag löschen nutzt gar nichts!) Damit kann der Virus sich nicht weiter verbreiten, ist aber noch vorhanden.

Im seinem Eintrag finden Sie auch den Pfad zur Datei. Kopieren Sie ihn, und fĂŒgen Sie ihn in die Adresszeile des Windows-Explorers ein. Die Datei wird angezeigt. Nun versuchen Sie sie zu löschen. Geht das nicht, ĂŒberprĂŒfen Sie die Datei mit Ihrem Antivirus (KontextmenĂŒ)

Das AV sollte sie melden und vernichten. Geht auch das nicht, suchen Sie im Internet nach einem Tool zur Beseitigung (Suchbegriff z.B. “Win32 Idele Beseitigungstool”) - finden Sie eines, laden Sie es herunter, fĂŒhren Sie es aus und sehen Sie danach im Windows -Explorer nach ob die Datei wirklich nicht mehr vorhanden ist.

Danach können Sie den Eintrag in der Firewall löschen.

 

 

Spyware oder verdÀchtige Registry-EintrÀge

Wenn Sie den Begriff „Registry“ nicht verstehen, machen Sie sich gar nicht die MĂŒhe das Folgende zu lesen...

Starten Sie das Programm „Hijack This“ und fĂŒhren Sie einen Scan durch. Die Ergebnisse werden aufgelistet. Nun gehen Sie diese Liste Zeile fĂŒr Zeile durch: jede Zeile enthĂ€lt einen Registry-Eintrag, den Sie bewerten sollten.  Werden hier Programme oder Dienste gestartet die gar nicht benötigt werden, markieren Sie die Zeile (ganz links, Haken setzen) und klicken sie abschließend auf „fix checked“

Ob das Erfolg hatte, ĂŒberprĂŒfen Sie mit einem erneuten Scan.

Sie können sich informieren lassen, was ein Eintrag bedeutet (Info)

Das Programm hat weitere Features, die eher etwas fĂŒr Fachleute sind. Bitte aktivieren Sie nichts was Sie nicht verstehen!  Es wĂŒrde zu weit fĂŒhren hier eine Software komplett zu besprechen, zumal es sich um Funktionen handelt die fundierte Kenntnisse voraussetzen.

 

Sagen Sie nicht, es wÀre unmöglich...

Es ist wirklich passiert. In einer Firma streikte ein PC komplett. Der eigentlich gut orientierte Sachbearbeiter war schnell mit seinem Wissen am Ende; also rief er einen Kollegen zur Hilfe. Der diagnostizierte nach lÀngeren Versuchen einen schweren Fall von Bootvirus.

Sicherheitshalber rief man noch einen“Kenner“ dazu, der das nach weiteren Stunden bestĂ€tigte. Also, alles klar: PC muß zum Service.

Beim abstöpseln der Kabel wurde dann der Fehler gefunden: Irgendein Spaßvogel hatte das Stromkabel abgezogen...

 

zuletzt bearbeitet 01.03.2012