Wie man eine vorgetäuschte Virusinfektion entfernt

Verfasser: Carmen Cernev



Programmierer vorgetäuschter Virenschutzprogramme erstellen oft vertrauenswürdig wirkende Popup-Fenster, die für angebliche Virenschutz-Software werben. Diese Fenster tauchen oft auf, während Sie im Internet surfen. Eventuell werden sie als „Warnung“ auf einer Webseite angezeigt, die Sie darauf hinweist, dass Ihr System angeblich „infiziert“ ist.

Hier ein paar Beispiele vorgetäuschter Virenschutz-Software:

Die „Updates“ oder „Warnungen“ in den Pop-up-Fenstern fordern Sie auf, etwas zu tun, z. B. auf eine Schaltfläche zu klicken, um die Software zu installieren, empfohlene Updates zu akzeptieren oder unerwünschte Viren und Spyware zu entfernen. Wenn Sie der Aufforderung Folge leisten, wird das angebliche Sicherheitsprogramm auf Ihren Computer heruntergeladen.

Die meisten solcher vorgetäuschten Sicherheitsprogramme haben einen Trojaner im Gepäck, den der Benutzer unwissentlich installiert. Dieser Trojaner - eine kleines Programm, das dem Computer von innen schadet - tarnt sich meist als eins der Folgenden:

  • Ein Browser-Plugin oder eine Erweiterung (meist eine Symbolleiste/Toolbar)
  • Ein Bild, Bildschirmschoner oder Archiv, das als Anhang einer E-Mail angefügt ist
  • Als Multimedia-Codec, der angeblich zum Abspielen eines bestimmten Videos benötigt wird
  • auf Tauschbörsen angebotene Software
  • ein kostenloser Online-Viren-Scanner

Alle diese Dateien haben die Erweiterung EXE, was bedeutet, dass sie ausführbare Dateien sind. Sobald sie ausgeführt werden, ist der Computer infiziert.

Wir haben eine Anleitung zur Entfernung von vorgetäuschten Virenschutzprogrammen erstellt, sollte Ihr Computer mit einem infiziert sein.

Schritt 1: Computer im abgesicherten Modus mit Netzwerktreibern neu starten

In diesem Modus lädt Windows nur die wichtigsten Dienste, was bedeutet, das die meiste Malware nicht geladen wird. Beachten Sie, dass dies der Diagnosemodus des Betriebssystems ist, was bedeutet, dass die meisten Programme, auch Ihr Sicherheitsprogramm, nicht funktionieren werden.

So starten Sie unter Windows XP, Vista, Windows 7 das System im abgesicherten Modus mit Netzwerktreibern neu:

  1. Starten Sie den Computer neu
  2. Drücken Sie mehrmals die Taste F8, bevor Microsoft Windows geladen wird; drücken Sie die Taste F8 im mehrmals Abstand von 1 Sekunde, bis ein Textmenü angezeigt wird (die erweiterten Startoptionen);
  3. Wählen Sie „Abgesicherter Modus mit Netzwerktreibern“ wie in der Abbildung unten gezeigt.

So starten Sie unter Windows 8 das System im abgesicherten Modus mit Netzwerktreibern neu

  1. Drücken Sie auf Ihrer Tastatur die Windows-Taste + C
  2. Im rechten Bereich des Bildschirms wird ein neues Menü angezeigt. Wählen Sie dort den Punkt Einstellungen.
  3. Klicken Sie auf „Ein/Aus“, halten Sie die Umschalttaste Ihrer Tastatur gedrückt und klicken Sie auf „Neu starten“.
  4. Klicken Sie auf „Problembehandlung“.
  5. Klicken Sie auf Erweiterte Optionen.
  6. Klicken Sie auf Starteinstellungen.
  7. Klicken Sie auf „Neu starten“.
  8. Drücken Sie die Taste 5, um den abgesicherten Modus mit Netzwerktreibern zu aktivieren.
    Hinweise zum Neustart des Systems im abgesicherten Modus mit Netzwerktreibern unter Windows 8 finden Sie hier:
    //windows.microsoft.com/en-us/windows-8/windows-startup-settings-including-safe-mode

Melden Sie sich mit einem Administratorkonto an. Ein Informationsfenster wird angezeigt, das Ihnen die Wahl gibt, den abgesicherten Modus weiter zu benutzen oder die Systemwiederherstellung zu starten. Klicken Sie auf JA, um den abgesicherten Modus mit Netzwerktreibern weiter zu benutzen.

2. Manuell nach der infizierten Datei suchen und sie löschen

Wenn Sie ordnungsgemäß an Ihrem Windows-Benutzerkonto angemeldet sind, laden Sie sich bitte das folgende Programm herunter: Autoruns for Windows– mit diesem Tool finden Sie Malware auf Ihrem Computer ganz leicht.

Speichern Sie die Datei und entpacken Sie das Archiv (klicken Sie mit der rechten Maustaste auf den Ordner Autoruns.zip und wählen Sie „Hierher extrahieren“ oder doppelklicken Sie einfach auf den Ordner, um ihn zu öffnen).

In dem Ordner befinden sich zwei EXE-Dateien: Autoruns und Autorunsc. Klicken Sie mit der rechten Maustaste auf die Datei Autoruns und wählen Sie „Als Administrator ausführen“ (unter Windows 7, Vista oder Windows 8) oder doppelklicken Sie auf die Datei (unter Windows XP).

Das Programm wird gestartet und zeigt eine Liste der auf dem System laufenden Programme an (siehe Abbildung).

Wählen Sie im Programmfenster von Autoruns den Reiter „Logon“.

Gehen Sie die angezeigte Liste durch und suchen Sie nach eigenartigen Dateinamen. Malware ist oft seltsam benannt und hat keine Einträge in den Spalten „Description“ und „Publisher“. Überprüfen Sie die Information unter „Image Path“ für Dateien in den folgenden Speicherorten:

  • C:Users
  • C:Users„Seltsam benannter Ordner“
  • C:Users„Computerbenutzer“AppDataLocal
  • C:Users„Computerbenutzer“AppDataLocalTemp
  • C:Users„Computerbenutzer“AppDataLocal„Seltsam benannter Ordner“
  • C:Users„Computerbenutzer“AppDataRoaming
  • C:Users„Computerbenutzer“AppDataRoaming„Seltsam benannter Ordner“
  • C:ProgramData
  • C:ProgramData„Seltsam benannter Ordner“
  • C:Dokumente und EinstellungenAlle BenutzerAnwendungsdaten
  • C:Dokumente und Einstellungen„Computerbenutzer“Anwendungsdaten

In den meisten Fällen befindet sich die Malware unter dem Registrierungsschlüssel, der in Autoruns wie folgt gelistet ist: HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Gucken Sie sich unter Image Path auch an, welche Endung die Datei hat. Malware hat meist eine der folgenden: .exe, .dll, .com, .bat, .dat, .lnk, .js.

Weinen Sie eine verdächtige Datei gefunden haben, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Jump to Image“. Daraufhin wird ein Fenster des Ordners geöffnet, in dem sich die Malware befindet.

Löschen Sie die Datei, indem Sie mit der rechten Maustaste darauf klicken und Löschen wählen. Gehen Sie dann zurück zum Autoruns-Fenster, klicken Sie mit der rechten Maustaste auf die verdächtige Datei und wählen Sie „Jump to Entry“. Dadurch wird der Registrierungs-Editor geöffnet und der Registrierungsschlüssel angezeigt, durch den die Malware geladen wird.

Der entsprechende Registrierungsschlüssel wird standardmäßig markiert sein. Jetzt müssen Sie nur noch den Registrierungsschlüssel löschen, indem Sie mit der rechten Maustaste darauf klicken und Löschen wählen.

Sie können den Registrierungs-Editor und Autoruns jetzt schließen und den Papierkorb löschen.

3. Alle Wiederherstellungspunkte löschen

Es ist sehr wahrscheinlich, dass in der Zeit, in der Ihr Computer infiziert war, mindestens ein Wiederherstellungspunkt erstellt wurde. Das bedeutet, dass nach einer Systemwiederherstellung auch die Malware wieder da wäre.

Um alle Spuren der Infektion zu beseitigen, müssen Sie also auch alle Wiederherstellungspunkte löschen.

Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie die Systemsteuerung, wählen Sie „System und Sicherheit“ und anschließend „System“.
  2. Klicken Sie im linken Bereich des Fensters auf Computerschutz.
  3. Wenn Administratorrechte gefordert werden, klicken Sie auf Ja.
  4. Das Fenster „Systemeigenschaften“ wird geöffnet. Gehen Sie zum Reiter Computerschutz.
  5. Klicken Sie auf die Schaltfläche „Konfigurieren“.
  6. Ein neues Fenster wird geöffnet, in dem im oberen Bereich die Wiederherstellungsoptionen angezeigt werden. Im unteren Bereich des Fensters steht „Sie können alle Wiederherstellungspunkte dieses Laufwerks löschen“. Klicken Sie auf die daneben stehende Schaltfläche „Löschen“.
  7. Klicken Sie auf „Fortsetzen“ und nach Abschluss des Vorgangs auf „Schließen“.
  8. Klicken Sie auf OK, um die anderen Fenster zu schließen.

Jetzt wurden alle Wiederherstellungspunkte entfernt. Das heißt, dass sie bei einer künftigen Systemwiederherstellung nicht mehr Gefahr laufen, die alte Infektion ebenfalls wiederherzustellen.

4. Computer im Normalmodus neu starten

Melden Sie sich an ihrem Benutzerkonto an und beobachten Sie, wie sich Ihr System jetzt verhält. Die Infektion durch die vorgetäuschte Virenschutz-Software sollte jetzt vollständig beseitigt sein.

Computerprobleme? Dann wenden Sie sich vertrauensvoll an Bitdefender Tech-Assist. Wir sind ein Team von Computerexperten, die jederzeit gezielt und persönlich auf Ihr Problem eingehen. Tech-Assist ist rund um die Uhr verfügbar. Wählen Sie einfach den Dienst, der zu Ihren Anforderungen passt, und unsere Computerexperten kümmern sich per Fernzugriff über eine Hochsicherheitsverbindung um alles Weitere. Wir sparen Ihnen Zeit und Aufwand, damit Sie sich auf Wichtigeres konzentrieren können.