Anti-Trojaner-Stick
Trojaner-Infektionen passieren auch den Pro s. Bereiten Sie sich rechtzeitig vor mit unseren Programmen für Ihren individuellen Anti-Trojaner-Stick.
Erpresser und Schädlinge besiegen
V irus gefunden! Der Virenscanner schlägt an. Das ist der Alptraum eines jeden Benutzers. Was tun? Wenn Sie die Tools auf unserer Heft-DVD benutzen, haben Sie sofort eine Antwort. Denn hier nden Sie Virenscanner, Diagnose-Tools und weitere Antiviren-Programme, mit denen Sie im Kampf gegen Malware gute Karten haben. Also kopieren Sie diese Tools auf einen USB-Stick oder besser noch auf eine CD (wegen des Schreibschutzes). Wie Sie einen bootfähigen USB-Stick mit Notfallsystem und Virenscanner einrichten, lesen Sie in der Textbox Anti-TrojanerStick einrichten.
Vage Alarme
Wenn Sie eine Virusmeldung bekommen, sollten Sie zur Sicherheit die Maßnahmen in der Textbox Erste Hilfe bei Malware befolgen. Solche Meldungen sind immer ernst zu nehmen, trotzdem bedeutet nicht jeder Schluckauf eines Virenscanners gleich eine gefährliche Infektion. Ein Beispiel sind generische Warnungen vor Schadprogrammen, die keinen richtigen Namen haben, wie Downloader.AB oder AdwareTrojanC. Das bedeutet meist, dass das jeweilige Programm irgendwelche Verhaltensweisen zeigt, die dem Virenscanner verdächtig vorkommen.
Vertrauenswürdig oder nicht?
Wenn das Programm mit der unklaren Virenmeldung aus einer seriösen Quelle (von bekannten Download-Sites für legale Programme, von der Site eines bekannten Herstellers) stammt und einen guten Ruf hat (eigene gute Erfahrung, viele Tausend Downloads, gute Anwender- und Magazin-Rezensionen), müssen Sie nicht gleich löschen. Stammt die Datei aber aus einem E-Mail-Anhang, aus einem Peer-toPeer-Netzwerk oder der Site eines kleinen, unbekannten Herstellers, sollten Sie diese entfernen und Ihr System einem Virenscan unterziehen. Fragen Sie sich in diesem Zusammenhang auch, ob Sie die Datei tatsächlich von der Site des Herstellers bekommen haben. Cyber-Kriminelle verschicken DownloadLinks zu Sites, die denen bekannter Anbieter verblüffend ähneln, aber voll mit Malware sind. Bei vertrauenswürdigen Programmen hilft eine Recherche im Web auf einem Zweitgerät meist weiter. Das kann das Smartphone sein oder ein zweiter Laptop im Haushalt. Der in zierte Rechner sollte ja möglichst nicht mit einem Netzwerk verbunden wer-
den. Vielleicht nden Sie in den Foren oder im Support-Bereich des jeweiligen Programmherstellers einen Hinweis auf einen False Positive, also einen Fehlalarm des jeweiligen Virenscanners. Wenn Sie dem Hersteller vertrauen, können Sie auch diesem Hinweis vertrauen. Aber Vorsicht, MalwareProduzenten fordern gezielt Benutzer auf, ihre Scanner auszuschalten, um einem angeblichen Falschalarm zu entgehen.
Zweite Meinung zum Virus
Gibt es keine eindeutigen Aussagen oder bleiben Zweifel, löschen Sie das Programm und scannen Ihren Rechner mit einem Virenscanner auf mögliche weitere Infektionen. Benötigen Sie das Programm tatsächlich dringend, sollten Sie vor dem Löschen eine zweite Meinung einholen. Dazu dienen die Tools des Trojaner-Sticks auf der HeftDVD. Hier gibt es zum Beispiel Hitman Pro, Sophos Free Virus Removal Tool oder Malwarebytes. Kopieren Sie zum Beispiel die Installationsdatei von Malwarebytes vom Trojaner-Stick auf den Rechner und führen Sie diese aus. Malwarebytes hat den Ruf, durch seine Heuristik besonders gut im Aufspüren von Bedrohungen zu sein. Klicken Sie nach der Installation das Icon rechts unten im System-Tray an und wählen Sie Malwarebytes öffnen. Ganz links im Menü des Tools klicken Sie auf Scan. Wählen Sie Benutzerde - nierter Scan/Scan kon gurieren. Im nächsten Menü suchen Sie den Ordner, in dem die verdächtige Datei liegt. Alle anderen Optionen bleiben unverändert. Nach einem Klick auf Jetzt scannen erhalten Sie eine zweite Meinung zur verdächtigen Datei. Wenn Ihnen auch das zu unsicher ist, benutzen Sie den kostenlosen Dienst von Virus Total ( virustotal.com). Hier bekommen Sie die Meinung von über 60 Sicherheits rmen (AV-Herstellern) zu der jeweiligen verdächtigen Datei. Fällt die Beurteilung positiv aus, können Sie davon ausgehen, dass der Alarm ein Fehler war. Noch einmal: grundsätzlich weisen Alarme von Virenscannern auf eine Gefahr hin. Die sicherste Methode ist, die jeweilige Datei zu löschen und nach einer Alternative zu suchen. Meist gibt es Software mit derselben Funktionalität, die nicht gleich einen AVAlarm auslöst.
Verdächtige Aktivitäten
Wurde die Start-Homepage Ihres Browsers geändert? Liefert eine Websuche nur noch unbrauchbare Ergebnisse? Sehen Sie plötzlich überall Pop-ups und Werbeeinblendungen, die Sie vorher noch nie gesehen haben? Dann ist Ihr Computer wahrscheinlich mit lästiger Werbesoftware verseucht worden. Keine Angst: Mit den Tools auf Ihrem Trojaner-Stick werden Sie solche unerwünschten Programme ( PUA,Potentially Unwan-
ted Application) wieder los. Hitman Pro und Malwarebytes eignen sich besonders gut zur Entfernung solcher PUA.
Adware gefasst
Zum Aufspüren von Adware eignen sich auch die Tools von Sysinternals: Starten Sie die 32-Bit-Version von Autoruns mit Administratorrechten, und Sie bekommen einen Überblick über alle Programme, die zusammen mit dem Betriebssystem starten. Klicken Sie dazu auf den Reiter Everything. Sehen Sie sich jetzt die Spalte Publisher an. Programme ohne Publisher und ohne Beschreibung (grau markiert) sind potenziell verdächtig. Klicken Sie einen solchen Eintrag rechts an und wählen Sie im Kontextmenü Search Online. Jetzt sehen Sie, was Ihre Standard-Suchmaschine zu dem jeweiligen Eintrag weiß. Unter der Spalte Virus Total sehen Sie ein Rating der oben erwähnten Sicherheits-Site. Als erste Zahl sollte hier eine Null stehen. Das bedeutet, dass die Datei von keinem AV-Hersteller als Gefahr angesehen wird. Process Explorer zeigt Ihnen alle laufenden Prozesse auf Ihrem PC an, was der einge- baute Windows Task-Manager nicht tut. Obendrein gruppiert Process Explorer zusammengehörige Prozesse und markiert sie zum Beispiel als Dienst, vom Benutzer gestarteten Prozess oder angehaltenen Prozess. Das erleichtert die Analyse.
Registry unter der Lupe
Mit den genannten Sysinternals- Tools bekommen Sie einen guten Überblick über den Zustand Ihres Systems. Werfen Sie zusätzlich mit Farbar Recovery Scan Tool, kurz FRST, einen Blick in die Windows Registry. Starten Sie FRST mit Administratorrechten und bestätigen Sie die DisclaimerMeldung mit OK. Das Programm ist ein Analysewerkzeug, kann aber auch Registry-Änderungen durchführen. Das ist aber nur für sehr erfahrene Anwender empfehlenswert. Wir benutzen in diesem Beitrag nur die Suchfunktionen. Solange Sie nur den Button Untersuchen verwenden, kann nichts passieren. FRST nimmt am System keine Änderungen vor. Es analysiert die Registry auf verdächtige Einträge und legt einen Bericht im .txt- Format in dem Ordner ab, in dem Sie FRST gestartet haben. Für einen ersten Suchlauf lassen Sie alle Optionen in der Standardkon guration und klicken auf Untersuchen. FRST erzeugt einen ausführlichen Bericht.
Virus erkannt
Sollte Ihr PC Opfer einer RansomwareInfektion geworden sein, so haben Sie mit unserem Trojaner-Stick eine gute Chance, wieder an Ihre Daten zu kommen. Hier nden Sie eine Reihe von Spezial-Tools gegen Anti-Ransomware zum Beispiel aus den Sammlungen von Emsisoft, Avira und Kaspersky. Darunter ist auch Wanakiwi, das bei Infektionen mit der Wanna-Cry-Ransomware helfen soll. Kopieren Sie diese Zip- Datei auf den in - zierten Rechner und entpacken Sie diese dort. Wichtig! Wanakiwi lief bis Redaktionsschluss nur unter Windows XP,7,Windows Server 2003, jeweils in den 32-Bit-Versionen. Das Tool funktioniert laut Autor nicht auf Windows 8 und 10. Außerdem sollte der Rechner seit der Infektion nicht neu gestartet worden sein. Wollen Sie eine Rettung versuchen, klicken Sie im Windows Explorer bei gedrückter [Umschalt]- Taste den Ordner rechts an, in dem sich wanakiwi.exe be ndet. Wählen Sie im Kontextmenü Eingabeaufforderung hier öffnen. Tippen Sie in der Eingabeaufforderung wanakiwi.exe ein und starten Sie das Programm. Mit etwas Glück kann das Tool alle verschlüsselten Dateien wieder entschlüsseln. Dabei werden entschlüsselte Kopien erzeugt, die verschlüsselten „Originale“bleiben erhalten. Wanakiwi entfernt nicht die Wanna-CryMalware. Sichern Sie deshalb die entschlüsselten Daten auf einem externen Speichermedium. Anschließend versuchen Sie, Wanna Cry mit Spezial-Tool, einem Virenscanner oder der Kaspersky Rescue CD zu entfernen. Falls es nicht gelingt, installieren Sie das gesamte System neu. Die Daten sind ja gesichert.
Die beste Vorbeugung gegen eine MalwareInfektion ist nicht unbedingt ein Virenscanner – der kann getäuscht werden –, sondern ein gutes Backup auf einem externen Datenträger, also auf einem USB-Stick, einer externen Festplatte oder in der Cloud. Wichtig ist nur, dass dieser Datenträger die meiste Zeit nicht mit dem Rechner verbunden ist. Sonst kann sich eine Infektion leicht auch auf das Backup verbreiten. Unter unseren Trojaner-Stick-Tools nden Sie das kostenlose Personal Backup, das genau diese Aufgabe erfüllt. Der Vorteil: Es bietet alle Planungs- und Kopierfunktionen, die man sich als Heimanwender wünschen kann. Obendrein verwendet es keine proprietären Container für die Backups, sodass man die Dateien im Originalformat oder als Zip- Archiv auch ohne das Programm sicher wiederherstellen kann. Als Nächstes benötigen Sie einen Virenscanner, der E-Mail-Anhänge überprüft. Denn diese Attachments, meist MicrosoftOf ce- Dateien, gehören zu den häu gsten Infektionsquellen. Viele Provider verhin- dern zwar das Versenden von verseuchten Dateianhängen, trotzdem ist Vorsicht angebracht. Das Scannen von Attachments erledigen zum Beispiel die kostenlosen Scanner von AVG und Avast auf unserer Heft-DVD. Bewegen Sie sich in unbekannten Gebieten des Webs, sollten Sie einen abgesicherten Browser wie Browser in the Box verwenden. Treffen Sie damit auf eine in zierte Website, hat Schadsoftware kaum eine Chance, sich auf den Rechner auszubreiten ( siehe Kasten). Zum News-Lesen und für andere Alltagsaufgaben benutzen Sie weiter Ihren gewohnten Browser. Sind Browser und E-Mail gesichert, haben Sie die größten Einfalltore für Malware geschlossen. tr