Virenalarm, was tun?

Virenalarm!

von - 28.01.2013
Spam-Mail mit Virus im Anhang: Solange Sie das Attachment nicht ausführen, bleibt Ihr PC sauber.
Spam-Mail mit Virus im Anhang: Solange Sie das Attachment nicht ausführen, bleibt Ihr PC sauber.
Viren gelangen über E-Mail-Anhänge, über Downloads oder über externe Datenträger auf Ihren PC. Die richtige Reaktion auf einen Virenalarm ist jeweils ein wenig anders.

1. Mail-Anhänge

Der häufigste Infektionsweg sind verseuchte E-Mails. Auf diese Gefahr lässt sich aber auch am leichtesten reagieren: Löschen Sie die E-Mail und öffnen Sie vor allem die anhängende Datei nicht. Fertig.
Verseuchte Spam-Mails werden wie mit einer Gießkanne massenhaft und meist wahllos verschickt. Die Versender probieren dabei immer wieder neue Kniffe aus und setzen darauf, dass ein Teil der Empfänger dem Inhalt der E-Mail glaubt und die anhängende Datei öffnet. Die Tricks reichen von angeblichen Rechnungen, Flug- oder Hotelbuchungen bis zu Drohbriefen im Namen diverser Behörden.
Verseuchte Mail-Anhänge: Avast enttarnt die vermeintliche Rechnung des Mavida Balance Hotels als das, was sie in Wirklichkeit ist — der Virus „Win32:Crypt-OCT“.
Verseuchte Mail-Anhänge: Avast enttarnt die vermeintliche Rechnung des Mavida Balance Hotels als das, was sie in Wirklichkeit ist — der Virus „Win32:Crypt-OCT“.
In der Regel sehen Sie eine Warnmeldung des Virenscanners bereits, wenn die Nachricht in Ihrem Mail-Programm eintrifft. Nur wenn Sie eine verschlüsselte Datenübertragung per SSL oder TLS aktiviert haben, kann der Scanner nicht auf die übertragenen E-Mails zugreifen. Er warnt erst dann, wenn Sie versuchen, die Datei zu öffnen oder auf der Festplatte zu speichern.
Das tun Sie: Wenn eine Mail von einem unbekannten Absender stammt und ein verdächtiges Attachment enthält, dann löschen Sie die E-Mail einfach. Es ist noch kein Schaden entstanden.
Stammt die E-Mail dagegen von einem bekannten Absender und Sie wollen das Attachment öffnen, dann speichern Sie es auf der Festplatte und laden die Datei zunächst bei Virustotal hoch. Wie Sie den kostenlosen Online-Dienst einsetzen, lesen Sie im Abschnitt Check mit Virustotal.

2. Downloads

Im Unterschied zu E-Mails, die Sie unaufgefordert erhalten, holen Sie einen Download selbst auf die Festplatte. Schlägt jetzt der Virenscanner Alarm, wird’s komplizierter.
Die erste Frage, die Sie hier stellen sollten, lautet: Müssen Sie die heruntergeladene Datei unbedingt ausführen? Lautet die Antwort nein, dann löschen Sie die Datei sofort. Es ist noch kein Schaden auf Ihrem PC entstanden. Lautet die Antwort hingegen ja, weil Sie die Datei benötigen, dann sollten Sie erst weitere Informationen über die Datei sammeln, bevor Sie sie eventuell dann doch ausführen.
So ist etwa von Bedeutung, von welcher Webseite Sie die Datei heruntergeladen haben. Handelt es sich um ein großes und bekanntes Download-Portal, das alle angebotenen Dateien vorher selbst prüft und das von zahlreichen Nutzern besucht wird? Oder ist die Quelle eher eine zusammengezimmerte Webseite, die keine Informationen über den Anbieter der Datei enthält? Gibt es ein gut besuchtes Forum, in dem über die Datei diskutiert wird? Dann ist sie in den meisten Fällen wahrscheinlich nicht verseucht. Es handelt sich also um einen Fehlalarm. Im Abschnitt Informationen sammeln finden Sie weitere Tipps, wie Sie verdächtige Dateien prüfen.
Übereifriger Virenalarm: Manche Virenscanner — hier Microsoft Security Essentials — warnen vor Tools wie Wireless Keyview, das aber keinen Schadcode enthält.
Übereifriger Virenalarm: Manche Virenscanner — hier Microsoft Security Essentials — warnen vor Tools wie Wireless Keyview, das aber keinen Schadcode enthält.
Ein Sonderfall sind Spezial-Tools, die auch als Hacker-Tools bezeichnet werden. Dabei handelt es sich meist um kleine Programme wie Wireless Keyview, das die in Windows gespeicherten WLAN-Schlüssel ausliest. Das ist harmlos, solange Sie das selbst auf Ihrem PC erledigen. Kriminelle schmuggeln dieses Tool aber auf gekaperte PCs und nutzen es dann heimlich. Hacker-Tools können also missbraucht werden, enthalten in der Regel jedoch keinen Schadcode. Trotzdem warnen einige Antivirenhersteller pauschal vor ihnen. Mehr zu diesen Tools steht im Abschnitt Check mit Virustotal.
Das tun Sie: In den meisten Fällen löschen Sie eine eben heruntergeladene Datei einfach, wenn der Virenscanner eine Infektion meldet. Solange Sie die Datei nicht gestartet haben, ist Ihr PC auch noch nicht verseucht.

3. Externe Datenträger

Auch wenn Ihr Virenscanner Alarm wegen eines Schädlings auf Ihrem USB-Stick auslöst, ist Ihr PC noch nicht infiziert. Lassen Sie den Virus auf dem Stick. Solange Sie ihn nicht starten, passiert auch nichts. Viele Anwender gehen immer noch davon aus, dass Dateien auf dem Stick automatisch ausgeführt werden können. Das ist aber nicht mehr möglich.
Microsoft hat diese Hintertür bereits mit einem Service Pack für Windows XP geschlossen. Windows 7 und Windows 8 waren von der Gefahr nie betroffen. Das ändert aber nichts daran, dass niemand doppelt auf eine verseuchte Datei klicken sollte.
USB Dummy Protect: Das Programm erstellt die Datei „dummy.file“, die den gesamten freien Platz auf Ihrem Stick belegt. Danach kann sich kein Wurm mehr heimlich auf den Stick kopieren.
USB Dummy Protect: Das Programm erstellt die Datei „dummy.file“, die den gesamten freien Platz auf Ihrem Stick belegt. Danach kann sich kein Wurm mehr heimlich auf den Stick kopieren.
Das tun Sie: Wenn Ihr Virenscanner eine verseuchte Datei auf dem Stick meldet, dann lassen Sie das Schutzprogramm diese Datei löschen oder in die Quarantäne verschieben. Wenn es sich allerdings um eine wichtige Datei handelt, dann prüfen Sie sie zuerst mit der Virustotal-Webseite.
Tipp: Eine simple, aber effektive Methode, Ihren USB-Stick vor einer Infektion an einem anderen PC zu schützen, bietet das kleine Freeware-Tool USB Dummy Protect.
Es erstellt per Doppelklick die Datei „dummy.file“ auf Ihrem USB-Stick, die genauso groß ist, wie der gesamte freie Speicher. Ein Wurm, der sich heimlich auf den Stick kopieren will, findet dann schlicht keinen freien Platz mehr vor. Ein erneuter Doppelklick auf USB Dummy Protect entfernt die Dummy-Datei dann wieder vom Stick. 

4. Test von außen: Viren auf der Festplatte

Kaspersky Rescue Disk 10: Wenn die Antiviren-CD Schädlinge auf Ihrem PC gefunden hat, sichern Sie den Scan-Bericht mit allen Virennamen mit einem Klick auf „Speichern“ auf der Festplatte.
Kaspersky Rescue Disk 10: Wenn die Antiviren-CD Schädlinge auf Ihrem PC gefunden hat, sichern Sie den Scan-Bericht mit allen Virennamen mit einem Klick auf „Speichern“ auf der Festplatte.
Viren können nicht nur versuchen, auf Ihren PC zu gelangen — sie können auch schon längst dort sein.
Die effektivste Methode, den eigenen PC zu überprüfen, ist ein Scan mit ei-ner bootfähigen Antiviren-CD wie der Kaspersky Rescue Disk 10. Weil Windows dabei selbst nicht läuft, starten bereits eingeschleppte Viren auch nicht und können ihren Selbstschutz nicht aktivieren.
Das tun Sie: Finden Sie einen oder mehrere Schädlinge mit der Kaspersky-CD, dann lassen Sie die Übeltäter löschen und speichern anschließend einen Bericht. Klicken Sie dazu auf „Bericht, Vollständiger Bericht, Speichern“ und wählen Sie einen Speicherort auf der Festplatte aus.
Die Namen der gefundenen Schädlinge helfen Ihnen später dabei, weitere Informationen und vielleicht sogar ein spezielles Reinigungs-Tool zu finden. Mehr zu diesem Thema lesen im Abschnitt Informationen sammeln.

5. Test von außen: System verseucht

Es macht einen gewichtigen Unterschied, wo Sie die Schädlinge mit der Kaspersky-CD auf Ihrem Computer gefunden haben.
Harmlos ist es meist, wenn der Scanner verseuchte Dateien in alten Sicherheitskopien früherer PCs gefunden hat. Viele Anwender bewahren dieses Dateien noch irgendwo auf der Festplatte auf. Löschen Sie in diesem Fall die Viren mit der Kaspersky-CD und lassen Sie den Scan noch einmal durchlaufen.
Weit schwieriger wird es, wenn Funde im Windows-Ordner und den darunter liegenden Verzeichnissen gemeldet werden. Dort lassen sie sich deutlich schwerer entfernen.
Windows wird nämlich später eventuell versuchen, die gelöschten Systemdateien wiederherzustellen. Dabei kann es vorkommen, dass Windows wieder verseuchte Dateien einspielt.
Das tun Sie: Wenn ein Virenalarm in einem Systemverzeichnis ausgelöst wurde, dann sollten Sie Ihren PC auf jeden Fall neu aufsetzen. Tipps dazu finden Sie im Abschnitt Windows neu installieren.

6. Gefälschte Alarme

Gefälschter Virenalarm: Die vier angeblich durch Antivirus System Pro gefundenen Schädlinge existieren nicht. Zum Entfernen der vorgetäuschten Funde sollen Sie das Programm kaufen.
Gefälschter Virenalarm: Die vier angeblich durch Antivirus System Pro gefundenen Schädlinge existieren nicht. Zum Entfernen der vorgetäuschten Funde sollen Sie das Programm kaufen.
(Quelle: Enigma Software)
Eine ganz andere Art von Virenalarmen geht von gefälschten Sicherheits-Tools aus. Sie haben meist seriös klingende Namen wie Win 7 Defender 2013, Antivirus System Pro oder Spyware Protect, sind aber keine echten Schutzprogramme.
Sie alle haben gemeinsam, dass sie dem Anwender eine Verseuchung seines PCs mit Dutzenden, manchmal auch Hunderten von Viren vorgaukeln. Der einzige Weg, diese vorgetäuschte Bedrohung wieder loszuwerden: Sie sollen eine kostenpflichtige Version des Programms kaufen. Manche dieser Programme haben sogar selbst Schadcode und schleusen Trojaner ein oder spionieren den Anwender aus.
Remove Fake Antivirus: Das Programm erkennt und entfernt 80 gefälschte Sicherheits-Tools (Bild 7).
Remove Fake Antivirus: Das Programm erkennt und entfernt 80 gefälschte Sicherheits-Tools.
Zahlen Sie auf keinen Fall. Damit fördern Sie nur die Masche der Betrüger und haben trotzdem nicht die Garantie, dass das Problem danach auch behoben ist. Denn die simple Logik der Betrüger lautet: Wer einmal erfolgreich gemolken wurde, der fällt auch wieder darauf herein.
Das Sicherheits-Tool Remove Fake Antivirus hat sich auf das Entfernen von solchen gefälschten Programmen spezialisiert. Starten Sie das Tool mit einem Doppelklick und klicken Sie auf „Start, Ja“. Nun sucht Remove Fake Antivirus nach gefälschten Sicherheits-Tools und entfernt sie auch gleich automatisch.
BKA-Trojaner: Ein Lösegeld-Trojaner hat den PC infiziert und gesperrt.
BKA-Trojaner: Ein Lösegeld-Trojaner hat den PC infiziert und gesperrt.
(Quelle: Eco-Verband/BSI)
Wenn Ihr PC dagegen mit einer Warnung des Bundeskriminalamts oder einer anderen Behörde den Start verweigert, dann haben Sie sich mit sehr hoher Wahrscheinlichkeit einen Lösegeld-Trojaner eingefangen.
Die Klasse der sogenannten BKA-Trojaner verseucht erst den PC und blendet anschließend bei jedem Systemstart die Aufforderung ein, eine Strafgebühr zu zahlen. Das Ganze ist aber komplett erfunden. Keine Behörde würde Ihren PC einfach sperren und Sie dann auffordern, eine Strafe über pseudoanonyme Dienste wie Ukash oder Paysafecard zu entrichten.
Wie bei den gefälschten Sicherheits-Tools gilt hier: Zahlen Sie auf keinen Fall. Sie begeben sich dadurch nur noch weiter in die Fänge der Cybermafia.
Das tun Sie: Starten Sie Ihren PC mit der Kaspersky Rescue Disk 10 und retten Sie zunächst Ihre persönlichen Daten. Setzen Sie anschließend Windows neu auf.
Verwandte Themen