Frage Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?


Was kann ich tun, wenn mein Windows-Computer mit einem Virus oder einer Malware infiziert zu sein scheint?

  • Was sind die Symptome einer Infektion?
  • Was soll ich tun, nachdem ich eine Infektion bemerkt habe?
  • Was kann ich tun, um es los zu werden?
  • Wie kann man sich vor einer Infektion durch Malware schützen?

Diese Frage taucht häufig auf und die vorgeschlagenen Lösungen sind normalerweise gleich. Dieses Community-Wiki ist ein Versuch, als die definitive und umfassendste Antwort zu dienen.

Fühlen Sie sich frei, Ihre Beiträge über Änderungen hinzuzufügen.


431
2017-11-30 15:16


Ursprung


Eine Sache, die Sie auf keinen Fall tun sollten, ist die Installation von Anti-Malware-Tools, zu denen Sie aufgefordert werden, wenn Sie auf eine Webseite gelangen, auf der steht: "Ihr Computer ist von einem Virus infiziert!" Diese sind höchstwahrscheinlich Malware selbst. Sie dürfen nur Tools verwenden, die gut geprüft sind - (vermutlich) die unten genannten oder auf einer anderen vertrauenswürdigen Site. - Daniel R Hicks
@Gnoupi Dieser Artikel interessiert sich vielleicht maketecheasier.com/... - Simon
Für alle, die nur zu dieser Frage kommen und die tl; dr-Version haben wollen ... Einmal infiziert, gibt es keinen Weg (naja ... auf keinen Fall bringt es dich nicht, bereits Computeringenieur zu sein und investierst ein paar Jahre deines Lebens zur Durchführung einer digitalen Autopsie auf der Maschine) loswerden / sicher sein, dass Sie eine Infektion losgeworden sind. Malware kann sich in Ihren Dateien, Ihren Anwendungsprogrammen, Ihren Betriebssystemen und Ihrer Firmware verstecken ... Deshalb sollten Sie niemals einem Computer vertrauen, der sich infiziert hat. AV-Anbieter werden versuchen, Sie davon zu überzeugen, dass ihr Produkt die Wunderwaffe ist, die Ihr System repariert. Sie lügen. - Parthian Shot
@DanielRHicks tatsächlich führen sie in einigen Fällen zu einem legalen AV-Produkt. Das letzte Mal habe ich das auf Android mit seiner lästigen "Built-in-Ad-Support-Funktion" (die Anzeigenleisten, die unten auf der App und auf Webseiten erscheinen) gesehen. Zum Beispiel habe ich einfach einen "Virus entfernen" angetippt! Anzeige und ich landete im Google Play Store auf der 360 Sicherheit - Antivirus-Boost apps Seite. - David Balažic
Wenn wir über die Möglichkeiten von Virtual Rootkits und Firmware Rootkits nachdenken, können wir ziemlich viel sagen: Sie sind entbeint. Diese beiden Arten von Rootkits werden in Bereichen Ihres Computers gespeichert, die Sie nicht bereinigen können. Wenn Sie sie loswerden wollen, müssen Sie einen neuen Computer kaufen. Firmware-Rootkits sind selten und virtuelle Rootkits existieren noch nicht, aber immer noch: Die Existenz dieser beiden Rootkits beweist, dass es keine 100% funktionsfähige One-Fit-All-Lösung gibt, die Ihre Schädlings-Malware für die Ewigkeit und darüber hinaus freihält. Als Deutscher würde ich es einer "Eierlegenden Wollmilchsau" anvertrauen - BlueWizard


Antworten:


Hier ist die Sache: Malware in den letzten Jahren ist beides geworden hinterhältiger und fieser:

Sneakierweil es in Rudeln reist. Subtile Malware kann sich hinter offensichtlicheren Infektionen verstecken. Es gibt viele gute Tools in den Antworten, die 99% der Malware finden, aber es gibt immer 1%, die sie noch nicht finden können. Meistens ist das 1% Zeug, das ist Neu: Die Malware-Tools können es nicht finden, weil es gerade herauskam und einen neuen Exploit oder eine Technik benutzt, um sich zu verstecken, von denen die Werkzeuge noch nichts wissen.

Malware hat auch eine kurze Haltbarkeit. Wenn Sie infiziert sind, ist wahrscheinlich etwas von diesem neuen 1% ein Teil von deiner Infektion. Es wird nicht das sein ganze Infektion: nur ein Teil davon. Sicherheitstools helfen Ihnen dabei, die offensichtlichere und bekanntere Malware zu finden und zu entfernen und höchstwahrscheinlich alle sichtbaren zu entfernen Symptome (Sie können weiter graben, bis Sie soweit sind), aber sie können kleine Teile zurücklassen, wie ein Keylogger oder Rootkit, der sich hinter einem neuen Exploit versteckt, den das Sicherheitstool noch nicht zu überprüfen weiß. Die Anti-Malware-Tools haben immer noch ihren Platz, aber ich werde später darauf eingehen.

Bösartiger, dass es nicht nur Werbung zeigt, eine Toolbar installiert, oder deinen Computer als Zombie benutzt. Moderne Malware wird wahrscheinlich für die Bank- oder Kreditkartendaten geeignet sein. Die Leute, die dieses Zeug aufbauen, sind nicht mehr nur Script-Kiddies, die nach Ruhm suchen; Sie sind jetzt organisierte Profis, motiviert durch profitierenund wenn sie nicht direkt von dir stehlen können, werden sie danach suchen etwas sie können sich umdrehen und verkaufen. Dies kann Verarbeitung oder Netzwerkressourcen in Ihrem Computer sein, aber es könnte auch Ihre Sozialversicherungsnummer sein oder Ihre Dateien verschlüsseln und für Lösegeld halten.

Setzen Sie diese beiden Faktoren zusammen, und Es lohnt sich nicht einmal mehr, Malware von einem installierten Betriebssystem zu entfernen. Ich war sehr gut darin, dieses Zeug zu entfernen, bis zu dem Punkt, wo ich einen wesentlichen Teil meines Lebens auf diese Weise gemacht habe, und ich mache nicht einmal mehr den Versuch. Ich sage nicht, dass das nicht möglich ist, aber ich sage, dass sich die Kosten / Nutzen- und Risikoanalyseergebnisse geändert haben: Es lohnt sich einfach nicht mehr. Es steht zu viel auf dem Spiel, und es ist zu einfach, nur solche Ergebnisse zu erzielen scheinen effektiv sein.

Viele Leute werden mir darin widersprechen, aber ich fordere Sie heraus, dass sie die Konsequenzen des Scheiterns nicht stark genug abwägen. Bist du gewillt, deine Ersparnisse, deinen guten Kredit, sogar deine Identität einzusetzen, dass du besser darin bist als Gauner, die jeden Tag Millionen machen?  Wenn Sie versuchen, Malware zu entfernen und dann das alte System weiterlaufen zu lassen, heißt das genau was tust du.

Ich weiß, dass da draußen Leute sind, die diesen Gedanken lesen: "Hey, ich habe mehrere Infektionen von verschiedenen Maschinen entfernt und nichts ist jemals passiert." Ich auch mein Freund. Ich auch. In den vergangenen Tagen habe ich meinen Anteil an infizierten Systemen gereinigt. Nichtsdestotrotz schlage ich vor, dass wir jetzt "noch" zum Ende dieser Aussage hinzufügen müssen. Sie könnten zu 99% effektiv sein, aber Sie müssen sich nur einmal irren, und die Folgen des Scheiterns sind viel höher als früher; Die Kosten für einen einzigen Fehler können alle anderen Erfolge leicht überwiegen. Vielleicht hast du sogar schon eine Maschine, die noch eine tickende Zeitbombe hat, nur darauf wartend, aktiviert zu werden oder die richtigen Informationen zu sammeln, bevor du sie zurückmeldest. Selbst wenn Sie jetzt einen 100% effektiven Prozess haben, ändert sich dieses Zeug ständig. Denken Sie daran: Sie müssen jedes Mal perfekt sein; Die Bösen müssen nur einmal Glück haben.

Zusammenfassend ist es bedauerlich, aber ob Sie haben eine bestätigte Malware-Infektion, eine komplette Neugestaltung des Computers sollte der sein zuerst Stelle dich statt des letzten um.


So erreichen Sie das:

Bevor du infiziert bistStellen Sie sicher, dass Sie eine Möglichkeit haben, gekaufte Software, einschließlich des Betriebssystems, neu zu installieren, die nicht von etwas abhängt, das auf Ihrer internen Festplatte gespeichert ist. Zu diesem Zweck bedeutet das normalerweise nur, dass Sie sich an CD / DVDs oder Produktschlüssel hängen, aber das Betriebssystem erfordert möglicherweise, dass Sie selbst Wiederherstellungsdisketten erstellen. Verlassen Sie sich dabei nicht auf eine Wiederherstellungspartition. Wenn Sie nach einer Infektion warten, um sicherzustellen, dass Sie über das verfügen, was Sie neu installieren müssen, werden Sie möglicherweise wieder für die gleiche Software bezahlen. Mit dem Aufkommen von Ransomware ist es auch extrem wichtig, regelmäßige Backups Ihrer Daten zu machen (plus, Sie wissen, regelmäßige nicht-bösartige Dinge wie Festplattenausfall).

Wenn Sie vermuten, dass Sie Malware habenschau dir hier andere Antworten an. Es gibt viele gute Werkzeuge vorgeschlagen. Mein einziges Problem ist der beste Weg, sie zu benutzen: Ich verlasse mich nur auf sie für die Erkennung. Installieren und starten Sie das Tool, aber sobald es Anzeichen für eine echte Infektion findet (mehr als nur "Tracking-Cookies"), stoppen Sie einfach den Scan: Das Tool hat seine Aufgabe erfüllt und Ihre Infektion bestätigt.1

Zur Zeit einer bestätigten Infektion, die folgenden Schritte ausführen:

  1. Überprüfen Sie Ihre Kredit- und Bankkonten. Zu der Zeit, wenn Sie von der Infektion erfahren, wurde möglicherweise bereits ein echter Schaden angerichtet. Ergreifen Sie alle notwendigen Schritte, um Ihre Karten, Ihr Bankkonto und Ihre Identität zu sichern. Ändern Sie Kennwörter auf jeder Website, auf die Sie vom kompromittierten Computer aus zugegriffen haben. Verwenden Sie den kompromittierten Computer nicht, um dies zu tun. 
  2. Erstellen Sie eine Sicherungskopie Ihrer Daten (noch besser, wenn Sie bereits eine haben).
  3. Installieren Sie das Betriebssystem neu, indem Sie die mit dem separat gelieferten Computer gelieferten Disketten oder die Wiederherstellungsdiskette verwenden, die Sie erstellt haben sollten, als der Computer neu war. Stellen Sie sicher, dass die Neuinstallation ein vollständiges Neu-Formatieren Ihrer Festplatte umfasst. Eine Systemwiederherstellung oder Systemwiederherstellung ist nicht ausreichend.
  4. Installieren Sie Ihre Anwendungen neu.
  5. Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Software vollständig gepatcht und auf dem neuesten Stand sind.
  6. Führen Sie einen vollständigen Antivirus-Scan durch, um die Sicherung von Schritt 2 zu bereinigen.
  7. Stellen Sie die Sicherung wieder her.

Wenn dies richtig gemacht wird, dauert es wahrscheinlich zwischen zwei und sechs Stunden Ihrer Zeit, verteilt über zwei bis drei Tage (oder sogar länger), während Sie auf die Installation von Apps, Windows-Updates oder große Backup-Dateien warten zu überweisen ... aber es ist besser, als später herauszufinden, dass Gauner Ihr Bankkonto aufgebraucht haben. Leider solltest du das selbst tun oder einen techy Freund für dich tun lassen. Bei einer typischen Beratungsrate von etwa 100 US-Dollar pro Stunde kann es billiger sein, eine neue Maschine zu kaufen, als einen Laden dafür zu bezahlen. Wenn Sie einen Freund für sich haben, tun Sie etwas Nettes, um Ihre Wertschätzung zu zeigen. Sogar Geeks, die es lieben, dir beim Einrichten neuer Dinge zu helfen oder kaputte Hardware oft zu reparieren Hass die Langeweile der Aufräumarbeiten. Es ist auch am besten, wenn Sie Ihr eigenes Backup machen ... Ihre Freunde werden nicht wissen, wo Sie welche Dateien ablegen oder welche wirklich wichtig für Sie sind. Sie sind in einer besseren Position, um ein gutes Backup zu erstellen, als sie sind.

Bald ist sogar all dies nicht mehr ausreichend, da es jetzt Malware gibt, die Firmware infizieren kann. Selbst wenn Sie die Festplatte ersetzen, wird die Infektion möglicherweise nicht beseitigt, und der Kauf eines neuen Computers ist die einzige Option. Glücklicherweise sind wir zu dem Zeitpunkt, an dem ich dies schreibe, noch nicht so weit, aber es ist definitiv am Horizont und nähert sich schnell.


Wenn du absolut darauf bestehst, dass du deine bestehende Installation wirklich putzen willst, anstatt neu anzufangen, dann stelle aus Liebe zu Gott sicher, dass jede Methode, die du verwendest, eine der folgenden zwei Methoden beinhaltet:

  • Entfernen Sie die Festplatte und verbinden Sie sie als Gastdiskette in einem anderen (sauberen!) Computer, um den Scan durchzuführen.

ODER

  • Starten Sie von einem CD / USB-Schlüssel mit eigenen Tools, die einen eigenen Kernel ausführen. Stellen Sie sicher, dass das Bild dafür erstellt und auf einem sauberen Computer gebrannt wird. Wenn nötig, lassen Sie einen Freund die Diskette für Sie erstellen.

Unter keinen Umständen sollten Sie versuchen, ein infiziertes Betriebssystem mit einer Software zu bereinigen, die als Gastprozess des kompromittierten Betriebssystems ausgeführt wird. Das ist einfach dumm.


Natürlich ist der beste Weg, um eine Infektion zu beheben, um es zu vermeiden, und es gibt einige Dinge, die Sie tun können, um damit zu helfen:

  1. Halten Sie Ihr System gepatcht. Stell sicher, dass du sofort Installieren Sie Windows-Updates, Adobe-Updates, Java-Updates, Apple-Updates usw. Dies ist weitaus wichtiger als Antivirensoftware, und in den meisten Fällen ist es nicht so schwer, solange Sie auf dem neuesten Stand sind. Die meisten dieser Unternehmen haben sich informell über die Veröffentlichung neuer Patches am selben Tag im Monat geeinigt. Wenn Sie also auf dem Laufenden bleiben, wird Sie das nicht oft unterbrechen. Windows Update-Unterbrechungen treten normalerweise nur auf, wenn Sie sie zu lange ignorieren. Wenn Ihnen das oft passiert, ist es an Sie um dein Verhalten zu ändern. Diese sind wichtig.
  2. Führen Sie nicht standardmäßig als Administrator aus. In neueren Windows-Versionen ist dies so einfach wie das Aktivieren der UAC-Funktion.
  3. Verwenden Sie ein gutes Firewall-Tool. Heutzutage ist die Standard-Firewall in Windows tatsächlich gut genug. Vielleicht möchten Sie diese Schicht mit etwas wie WinPatrol ergänzen, das schädliche Aktivitäten am Frontend stoppt. Windows Defender funktioniert in dieser Funktion auch in gewissem Umfang. Grundlegende Ad-Blocker-Browser-Plugins werden auch auf dieser Ebene als Sicherheitstool zunehmend nützlich.
  4. Setzen Sie die meisten Browser-Plugins (insbesondere Flash und Java) auf "Ask to Activate".
  5. Lauf Strom Antiviren Software. Dies ist ein entferntes Fünftel zu den anderen Optionen, da traditionelle A / V-Software oft nicht mehr so ​​effektiv ist. Es ist auch wichtig, den "Strom" zu betonen. Sie könnten die beste Antivirus-Software der Welt haben, aber wenn sie nicht auf dem neuesten Stand ist, können Sie sie auch einfach deinstallieren.

    Aus diesem Grund empfehle ich derzeit Microsoft Security Essentials. (Seit Windows 8 ist Microsoft Security Essentials Teil von Windows Defender.) Es gibt wahrscheinlich weitaus bessere Scan-Engines, aber Security Essentials wird sich selbst auf dem neuesten Stand halten, ohne jemals eine abgelaufene Registrierung zu riskieren. AVG und Avast funktionieren auch auf diese Weise gut. Ich kann einfach keine Antivirensoftware empfehlen, für die Sie wirklich bezahlen müssen, weil es viel zu häufig ist, dass ein kostenpflichtiges Abonnement ausbleibt und Sie mit veralteten Definitionen enden.

    Es ist auch erwähnenswert, dass Mac-Benutzer jetzt auch Antivirensoftware ausführen müssen. Die Zeiten, in denen sie ohne sie davonkommen konnten, sind längst vorbei. Nebenbei, ich denke es ist urkomisch Ich muss jetzt Mac-Benutzern empfehlen, Antiviren-Software zu kaufen, aber Windows-Benutzern dagegen zu raten.

  6. Vermeiden Sie Torrent-Websites, Warez, raubkopierte Software und raubkopierte Filme / Videos. Dieses Zeug wird oft von der Person injiziert, die es geknackt oder gepostet hat - nicht immer, aber oft genug, um das ganze Durcheinander zu vermeiden. Es ist ein Teil davon, warum ein Cracker dies tun würde: oft werden sie einen Gewinn kürzen.
  7. Verwenden Sie Ihren Kopf beim Surfen im Internet. Sie sind das schwächste Glied in der Sicherheitskette. Wenn etwas zu gut klingt, um wahr zu sein, ist es wahrscheinlich. Der offensichtlichste Download-Button ist selten der, den Sie beim Herunterladen neuer Software verwenden möchten. Lesen Sie daher vor dem Klicken auf diesen Link alles auf der Webseite. Außerdem sollten Sie die Software und Updates / Upgrades lieber direkt von einem Anbieter oder Entwickler als von einer Drittanbieter-Datei-Hosting-Website herunterladen.

1 Dies ist ein guter Zeitpunkt, um darauf hinzuweisen, dass ich meinen Ansatz im letzten Jahr etwas gemildert habe. Heute fallen die meisten "Infektionen" in die Kategorie der potenziell unerwünschten Programme (PUPs) und der Browser-Erweiterungen, die mit anderen Downloads enthalten sind. Oft können diese PUPs / Extensions mit herkömmlichen Mitteln sicher entfernt werden. Dies ist jetzt ein ausreichend großer Prozentsatz an Malware, den ich an dieser Stelle möglicherweise nicht mehr verwenden kann. Versuchen Sie einfach, die Funktion "Software" oder die normale Browseroption zu verwenden, um eine Erweiterung zu entfernen. Aber beim ersten Anzeichen von etwas Tieferem - irgendein Hinweis darauf, dass die Software nicht einfach normal deinstalliert wird - und es geht darum, die Maschine wieder zu reparieren.


257



Dies scheint heutzutage der weiseste zu sein. Ich möchte hinzufügen, dass ein weiterer Grund dafür ist, dass einige Malware hinterhältig ist: Sie bleiben inaktiv und nutzen Ihren Computer für andere Aktivitäten. Könnte Proxying sein, Dinge mehr oder weniger illegal speichern oder Teil eines DDOS-Angriffs sein. - Gnoupi
@ConradFrix Zu früh um zu sagen ... Ich musste das noch nicht mit einem Windows 8 PC machen ... aber ich bin pessimistisch, weil es nicht zu einer Neuformatierung des Laufwerks führt. Windows 8 enthält mehrere Sicherheitsverbesserungen, einschließlich der Ausführung von Antivirensoftware ab der Zeit 0 als Teil des Betriebssystems, so dass ich hoffentlich niemals für Windows 8 arbeiten muss. - Joel Coehoorn
@DanielRHicks las den ganzen Satz. Es sind zwei bis sechs Stunden Ihrer Zeit, verteilt auf einen oder drei Tage, an denen Sie effizient sind, etwas wegzuschmeißen und später noch einmal nachzusehen. Wenn du Babysitter bist, dann ja: es wird eine Weile dauern. - Joel Coehoorn
@ JoelCoehoorn Ist es nur ich, oder Malware, die so weit fortgeschritten ist, würde auch Firmware auf alle Arten von Komponenten infizieren, was jegliche Entfernungsversuche vergeblich macht? - Enis P. Aginić
Bitte denken Sie daran, dass wenn Sie ein Backup machen, NACHDEM Sie die Infektion entdeckt haben, ist es sehr wahrscheinlich, dass das Backup selbst infiziert ist. Bitte scannen Sie das Backup, bevor Sie eine Wiederherstellung versuchen. - Tejas Kale


Wie kann ich feststellen, ob mein PC infiziert ist?

Allgemeine Symptome für Malware können alles sein. Die üblichen sind:

  • Die Maschine ist langsamer als normal.
  • Zufällige Fehler und Dinge, die nicht zutreffen sollten (z. B. einige neue Viren setzen Gruppenrichtlinienbeschränkungen auf Ihren Computer, um zu verhindern, dass Task-Manager oder andere Diagnoseprogramme ausgeführt werden).
  • Der Task-Manager zeigt eine hohe CPU an, wenn Sie der Meinung sind, dass sich Ihr Computer im Leerlauf befindet (z. B. <5%).
  • Anzeigen erscheinen zufällig.
  • Viruswarnungen, die von einem Antivirenprogramm auftauchen, an das Sie sich nicht erinnern können (das Antivirenprogramm ist eine Fälschung und versucht zu behaupten, dass Sie gruselig klingende Viren mit Namen wie 'bankpasswordstealer.vir' haben. Sie sollten dafür bezahlen, diese Programme zu bereinigen ).
  • Popups / falscher blauer Bildschirm des Todes (BSOD), in dem Sie aufgefordert werden, eine Nummer anzurufen, um die Infektion zu beheben.
  • Internet-Seiten, die umgeleitet oder blockiert werden, zum Beispiel Homepages von AV-Produkten oder Support-Websites (www.symantec.com, www.avg.com, www.microsoft.com), werden auf Seiten mit Werbung oder gefälschten Seiten, die gefälschte Anti-Spam-Werbung verbreiten, weitergeleitet Virus / "hilfreiche" Entfernungstools, oder sind vollständig blockiert.
  • Erhöhte Startzeit, wenn Sie keine Anwendungen (oder Patches) installiert haben ... Diese ist peinlich.
  • Ihre persönlichen Dateien sind verschlüsselt und Sie sehen eine Lösegeldforderung.
  • Wenn Sie Ihr System "kennen", wissen Sie normalerweise, wenn etwas sehr falsch ist.

Wie werde ich das los?

Verwenden einer Live-CD

Da der Virenscanner des infizierten PCs möglicherweise kompromittiert ist, ist es wahrscheinlich sicherer, das Laufwerk von einer Live-CD zu scannen. Die CD bootet ein spezielles Betriebssystem auf Ihrem Computer, das dann die Festplatte scannt.

Es sind beispielsweise, Avira Antivir Rettungssystem oder ubcd4win. Weitere Vorschläge finden Sie unter KOSTENLOSE Anti-Virus-Notfall-CDs Download-Liste sowie:

  • Kaspersky Rettungs-CD
  • BitDefender Rettungs-CD
  • F-Secure Rettungs-CD
  • Avira Antivir Rettungsdiskette
  • Trinity Rescue Kit CD
  • AVG Rettungs-CD

Verbinden der Festplatte mit einem anderen PC

Wenn Sie die infizierte Festplatte mit einem sauberen System verbinden, um sie zu scannen, stellen Sie sicher, dass Sie die Virendefinitionen für alle Produkte, die Sie zum Scannen des infizierten Laufwerks verwenden, aktualisieren. Wenn Sie eine Woche warten, bis die Antiviren-Anbieter neue Virendefinitionen veröffentlichen, können Sie Ihre Chancen verbessern, alle Viren zu erkennen.

Stellen Sie sicher, dass Ihr infiziertes System nicht mit dem Internet verbunden ist, sobald Sie feststellen, dass es infiziert ist. Dadurch wird verhindert, dass unter anderem neue Ausgaben von Viren heruntergeladen werden können.

Beginnen Sie mit einem guten Tool wie Spybot Search und Destroy oder Malwarebytes 'Anti-Malware und führen Sie einen vollständigen Scan durch. Probiere auch ComboFix, und SuperAntiSpyware. Kein einzelnes Antivirus-Produkt wird über jede Virusdefinition verfügen. Die Verwendung mehrerer Produkte ist der Schlüssel (nicht für Echtzeitschutz). Wenn nur ein Virus auf dem System verbleibt, kann er möglicherweise die neuesten Editionen neuer Viren herunterladen und installieren, und alle bisherigen Bemühungen wären umsonst gewesen.

Entfernen Sie verdächtige Programme vom Systemstart

  1. Starten Sie im abgesicherten Modus.
  2. Benutzen msconfig um festzulegen, welche Programme und Dienste beim Systemstart gestartet werden (oder unter Task-Manager in Windows 8 gestartet werden).
  3. Wenn Programme / Dienste verdächtig sind, entfernen Sie sie aus dem Start. Sonst gehe ich zur Live-CD über.
  4. Neustart.
  5. Wenn die Symptome nicht verschwinden und / oder das Programm sich beim Start selbst ersetzt, versuchen Sie es mit einem Programm namens Autoruns um das Programm zu finden und es von dort zu entfernen. Wenn Ihr Computer nicht gestartet werden kann, verfügt Autoruns über eine Funktion, mit der er von einem zweiten PC mit der Bezeichnung "Offline-PC analysieren" ausgeführt werden kann. Achten Sie besonders auf die Logon und Scheduled tasks Registerkarten.
  6. Wenn das Entfernen des Programms immer noch nicht erfolgreich ist und Sie sicher sind, dass dies die Ursache für Ihre Probleme ist, starten Sie den normalen Modus, und installieren Sie ein Tool namens Unlocker
  7. Navigieren Sie zum Speicherort der Datei, die dieser Virus ist, und versuchen Sie, ihn mit unlocker zu töten. Ein paar Dinge können passieren:
    1. Die Datei wird gelöscht und beim Neustart nicht mehr angezeigt. Dies ist der beste Fall.
    2. Die Datei wird gelöscht, erscheint aber sofort wieder. Verwenden Sie in diesem Fall ein Programm namens Prozessüberwachung um das Programm zu finden, das die Datei neu erstellt hat. Sie müssen dieses Programm ebenfalls löschen.
    3. Die Datei kann nicht gelöscht werden, unelzer wird Sie auffordern, sie beim Neustart zu löschen. Tun Sie das und sehen Sie, ob es wieder erscheint. Wenn dies der Fall ist, müssen Sie ein Programm im Boot haben, das das verursacht, und die Liste der Programme, die beim Booten ausgeführt werden, erneut untersuchen.

Was nach dem Wiederherstellen zu tun ist

Jetzt sollte es (hoffentlich) sicher sein, in Ihr (früher) infiziertes System zu booten. Halten Sie dennoch die Augen offen für Anzeichen einer Infektion. Ein Virus kann Änderungen auf einem Computer hinterlassen, die eine erneute Infektion erleichtern, auch wenn der Virus entfernt wurde.

Wenn beispielsweise ein Virus die DNS- oder Proxy-Einstellungen geändert hat, würde Ihr Computer Sie zu gefälschten Versionen legitimer Websites weiterleiten, sodass beim Herunterladen eines bekannten und vertrauenswürdigen Programms möglicherweise ein Virus heruntergeladen wird.

Sie können Ihre Passwörter auch erhalten, indem Sie Sie auf falsche Bankkonten oder gefälschte E-Mail-Sites umleiten. Überprüfen Sie Ihre DNS- und Proxy-Einstellungen. In den meisten Fällen sollte Ihr DNS von Ihrem ISP bereitgestellt oder automatisch von DHCP bezogen werden. Ihre Proxyeinstellungen sollten deaktiviert sein.

Überprüfe dein hosts Datei (\%systemroot%\system32\drivers\etc\hosts) für verdächtige Einträge und entfernen Sie diese sofort. Stellen Sie außerdem sicher, dass Ihre Firewall aktiviert ist und Sie über die neuesten Windows-Updates verfügen.

Als nächstes schützen Sie Ihr System mit einem guten Antivirenprogramm und ergänzen Sie es mit einem Anti-Malware-Produkt. Microsoft Security Essentials wird oft empfohlen zusammen mit anderen Produkten.

Was tun, wenn alles schief geht?

Es sollte beachtet werden, dass einige Malware Scannern sehr gut ausweichen kann. Es ist möglich, dass, sobald Sie infiziert sind, kann es installieren Rootkits oder ähnlich, um unsichtbar zu bleiben. Wenn die Dinge wirklich schlecht sind, ist die einzige Option, die Festplatte zu löschen und das Betriebssystem von Grund auf neu zu installieren. Manchmal ein Scan mit GMER oder Kaspersky TDSS-Mörder kann Ihnen zeigen, wenn Sie ein Rootkit haben.

Vielleicht möchten Sie ein paar Runs von Spybot Search and Destroy durchführen. Wenn es nach drei Durchläufen nicht möglich ist, einen Befall zu entfernen (und Sie dies nicht manuell tun), ziehen Sie eine Neuinstallation in Betracht.

Ein anderer Vorschlag: Combofix ist ein sehr mächtiges Tool zum Entfernen, wenn Rootkits verhindern, dass andere Dinge ausgeführt oder installiert werden.

Die Verwendung mehrerer Scan-Engines kann sicherlich dazu beitragen, dass Malware am besten versteckt wird, aber es ist eine anspruchsvolle Aufgabe und eine gute Backup- / Wiederherstellungsstrategie wird effizienter und sicherer.


Bonus: Es gibt eine interessante Videoserie, beginnend mit, "Malware verstehen und bekämpfen: Viren, Spyware " mit Mark Russinovich, dem Erfinder von Sysinternals ProcessExplorer & Autoruns, über Malware-Reinigung.


197



Das Löschen des Laufwerks ist oft die schnellste und sicherste Route, wie es auf der ganzen Seite als "beste Antwort" vorgeschlagen wird. - Ivo Flipse♦
Aus meiner Erfahrung würde ich Spybot nicht als meine erste Wahl vertrauen. Avira, Kaspersky Virus Removal Tool & AVG sind nach AV-Vergleich gut frei wählbar av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
Ein Vorschlag ist, dass viele dieser Malware-Programme machen Stehlen Sie Passwörter und Bankdaten, also ist es keine schlechte Idee, sich vom Internet zu trennen, sobald Sie Verdacht auf eine Infektion haben. Es ist sehr wahrscheinlich zu spät, aber es besteht die Möglichkeit, dass Sie Datenlecks begrenzen oder verhindern, dass sich die Malware selbst aktualisiert, bis Sie erfolgreich gereinigt haben. - emgee
@Emgee Gute Faustregel bei der Datenexfiltration: Im Zweifelsfall, zieh es raus (der Ethernet-Stecker) - Nate Koppenhaver
Combofix.org ist nicht der offizielle Download-Standort von Combofix und wird nicht vom Autor von Combofix autorisiert oder empfohlen. Der offizielle Download ist Hier. - Andrew Lambert


In Jeff Atwoods gibt es einige Tipps zum Malware-Kampf "Wie man einen Windows-Spyware-Befall aufräumt". Hier ist der grundlegende Prozess (lesen Sie den Blogpost für Screenshots und andere Details durch, die diese Zusammenfassung beschönigt):

  1. Stoppen Sie derzeit laufende Spyware. Der eingebaute Task-Manager von Windows wird es nicht schneiden; bekommen Sysinternals Prozess-Explorer.
    1. Führen Sie den Prozess-Explorer aus.
    2. Sortieren Sie die Prozessliste nach Firmenname.
    3. Beseitigen Sie alle Prozesse, die keinen Firmennamen haben (mit Ausnahme von DPCs, Interrupts, System- und System Idle-Prozessen) oder Firmennamen haben, die Sie nicht kennen.
  2. Stoppen Sie den Neustart der Spyware beim nächsten Systemstart. Auch hier ist Windows eingebautes Tool, MSconfig, eine Teillösung, aber Sysinternals AutoRuns ist das zu verwendende Werkzeug.
    1. Führen Sie AutoRuns aus.
    2. Gehe durch die gesamte Liste. Deaktivieren Sie verdächtige Einträge - solche mit leeren Publisher-Namen oder einem Publisher-Namen, den Sie nicht kennen.
  3. Jetzt neu starten.
  4. Nach dem Neustart, überprüfen Sie mit Process Explorer und AutoRuns. Wenn etwas "zurückkommt", müssen Sie tiefer graben.
    • In Jeffs Beispiel kam ein verdächtiger Treibereintrag in AutoRuns zurück. Er redet durch das Verfolgen des Prozesses, der es in Process Explorer geladen hat, schließt das Handle und löscht den Rogue-Treiber physisch.
    • Er fand auch eine seltsam benannte DLL-Datei, die sich in den Winlogon-Prozess einklinkte, und demonstrierte, dass die Prozess-Threads, die diese DLL laden, gefunden und gelöscht wurden, sodass AutoRuns die Einträge schließlich entfernen konnte.

86



Auch Trend Micro HijackThis ist ein kostenloses Dienstprogramm, das einen detaillierten Bericht über Registrierungs- und Dateieinstellungen von Ihrem Computer erstellt. Ich werde warnen, dass dies gute und schlechte Sachen findet, und macht keinen Unterschied, aber Google ist unser Freund, wenn wir misstrauisch sind. - Umber Ferrule
Sysinternals Process Explorer-Verknüpfung ist Dead. Diese Antworten sind auf einigen Google Top-Ergebnissen. Kann jemand das mit einem aktualisierten Link aktualisieren? Ich suche auch danach. - Malavos
Autoruns ist fantastisch, aber der Vorschlag, sich auf den Publisher zu verlassen, ist möglicherweise nicht nützlich. Diese Stackoverflow-Frage zeigt, wie die Versionsinformationen leicht geändert (und somit gefälscht) werden können.stackoverflow.com/questions/284258/.... Ich versuchte dies auf einer Java DLL und Autoruns zeigte den Herausgeber falsch. - AlainD
Ihr systernals Autorun Link ist defekt - Daniel


Meine Art, Malware zu entfernen, ist effektiv und ich habe noch nie einen Fehler bemerkt:

  1. Herunterladen Autoruns und wenn Sie immer noch 32-Bit-Download einen Rootkit-Scanner herunterladen.
  2. Starten Sie den abgesicherten Modus und starten Sie Autoruns, wenn Sie dazu in der Lage sind, und fahren Sie mit Schritt 5 fort.
  3. Wenn Sie nicht in den abgesicherten Modus gelangen können, verbinden Sie die Festplatte mit einem anderen Computer.
  4. Starten Sie Autoruns auf diesem Computer, gehen Sie zu Datei -> Offline-System analysieren und füllen Sie es aus.
  5. Warten Sie, bis der Scan abgeschlossen ist.
  6. Wählen Sie im Menü Optionen alles aus.
  7. Lassen Sie es erneut scannen, indem Sie F5 drücken. Das wird schnell gehen, wenn Dinge zwischengespeichert werden.
  8. Gehe durch die Liste und deaktiviere alles, was auffällig ist oder keine verifizierte Firma hat.
  9. Wahlweise: Führen Sie den Rootkit-Scanner aus.
  10. Lassen Sie einen Top-Virenscanner alle verbleibenden Dateien entfernen.
  11. Wahlweise: Führen Sie Anti-Malware- und Anti-Spyware-Scanner aus, um Junk zu entfernen.
  12. Wahlweise: Führen Sie Tools wie HijackThis / OTL / ComboFix aus, um Junk zu entfernen.
  13. Starten Sie und genießen Sie Ihr sauberes System.
  14. Wahlweise: Führen Sie den Rootkit-Scanner erneut aus.
  15. Stellen Sie sicher, dass Ihr Computer ausreichend geschützt ist!

Einige Anmerkungen:

  • Autoruns wird von Microsoft geschrieben und zeigt somit Orte von Dingen, die automatisch starten ...
  • Sobald Software von Autoruns deaktiviert ist, wird es nicht gestartet und kann nicht verhindern, dass Sie es entfernen ...
  • Es gibt keine Rootkits für 64-Bit-Betriebssysteme, da sie signiert werden müssten ...

Es ist effektiv, weil es das Starten von Malware / Spyware / Viren verhindert.
Sie können optionale Tools ausführen, um den auf Ihrem System verbliebenen Müll zu entfernen.


49





Befolgen Sie die unten angegebene Reihenfolge, um Ihren PC zu desinfizieren

  1. Auf einem PC, der nicht infiziert ist, machen Sie eine Boot-AV-Disk, dann starten Sie von der Disc auf dem Infizierten PC und scannen Sie die Festplatte, entfernen Sie alle gefundenen Infektionen. Ich bevorzuge die Windows Defender offline Booten Sie CD / USB, da Bootsektorviren entfernt werden können, siehe "Hinweis" unten.

    Oder Sie können einige ausprobieren andere AV-Boot-Discs.

  2. Nachdem Sie mit der Bootdiskette Malware gescannt und entfernt haben, installieren Sie kostenlos MBAMFühren Sie das Programm aus, wechseln Sie zur Registerkarte "Update" und aktualisieren Sie es. Rufen Sie dann die Registerkarte "Scanner" auf und führen Sie einen schnellen Scan durch. Wählen Sie alle gefundenen Objekte aus und entfernen Sie sie.

  3. Wenn MBAM fertig ist, installieren Sie SAS kostenlose Version, führen Sie einen schnellen Scan, entfernen Sie, was es automatisch wählt.

  4. Wenn Windows-Systemdateien infiziert wurden Möglicherweise müssen Sie SFC ausführen um die Dateien zu ersetzen, Sie müssen dies möglicherweise offline tun wenn es aufgrund der Entfernung der infizierten Systemdateien nicht startet. Ich empfehle, dass Sie SFC ausführen, nachdem eine Infektion entfernt wurde.

  5. In einigen Fällen müssen Sie möglicherweise Führen Sie eine Startup-Reparatur durch (Nur Windows Vista und Windows7), damit es wieder korrekt bootet. In extremen Fällen können 3 Startreparaturen in Folge erforderlich sein.

MBAM und SAS sind keine AV-Softwares wie Norton, sie sind On-Demand-Scanner, die beim Ausführen des Programms nur auf Schädlinge scannen und nicht in Ihr installiertes AV eingreifen. Diese können einmal täglich oder wöchentlich ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Stellen Sie sicher, dass Sie sie vor jedem täglichen wöchentlichen Scan aktualisieren.

Hinweis: Das Windows Defender Offline-Produkt kann sehr gut entfernt werden persistente MBR-Infektionen die heutzutage üblich sind.

.

Für fortgeschrittene Benutzer:

Wenn Sie eine einzelne Infektion haben, die sich selbst als Software darstellt, dh "System Fix" "AV Security 2012" usw., Auf dieser Seite finden Sie spezifische Anleitungen zum Entfernen

.


44



Es ist wahrscheinlich die beste Lösung, einen zweiten PC für das Virenscannen zu haben, da Sie sich nicht auf das infizierte Laufwerk für Ihr System verlassen müssen. Ich bezweifle jedoch, dass neben Computerberatungsfirmen viele Menschen solche Lösungen haben. - Gnoupi
Wenn kein dedizierter PC verfügbar ist, kann ein ähnliches Verfahren durchgeführt werden, indem das System mit einer Live-CD gestartet wird - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
beispielsweise: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Genau wie eine Notiz der Microsoft Standalone System Sweeper ist nur der alte Name von Windows Defender Offline, falls jemand das auch gefunden hat. - Scott Chamberlain


Wenn Sie eines der Symptome bemerken, sollten Sie die DNS-Einstellungen Ihrer Netzwerkverbindung überprüfen.

Wenn diese entweder von "DNS-Server-Adresse automatisch beziehen" oder von einem anderen Server als dem, den sie sein sollte, geändert wurden, ist dies ein gutes Zeichen dafür, dass Sie eine Infektion haben. Dies wird die Ursache für die Weiterleitung von Anti-Malware-Websites oder einen vollständigen Fehler beim Erreichen der Website sein.

Es ist wahrscheinlich eine gute Idee, Ihre DNS-Einstellungen vor einer Infektion zu notieren, damit Sie wissen, was sie sein sollten. Die Details finden Sie auch auf den Hilfeseiten der Website Ihres Internetdienstanbieters.

Wenn Sie keine Notiz von den DNS-Servern haben und die Informationen auf Ihrer ISP-Site nicht finden können, ist die Verwendung der Google DNS-Server eine gute Alternative. Sie können bei 8.8.8.8 und 8.8.4.4 für den primären bzw. sekundären Server gefunden werden.

Während das Zurücksetzen des DNS das Problem nicht beheben wird, können Sie a) die Anti-Malware-Sites erreichen, um die Software zu erhalten, die Sie benötigen, um den PC zu säubern und b) feststellen, ob die Infektion erneut auftritt, da sich die DNS-Einstellungen wieder ändern.


35





Die möglichen Lösungen für eine Virusinfektion sind in Reihenfolge: (1) Antivirusscans, (2) Systemreparatur, (3) Gesamtinstallation.

Stellen Sie zunächst sicher, dass alle Ihre Daten gesichert sind.

Laden und installieren Sie einige Antivirenprogramme, stellen Sie sicher, dass sie auf dem neuesten Stand sind, und scannen Sie Ihre Festplatte gründlich. Ich empfehle mindestens zu verwenden Malwarebytes 'Anti-Malware. Ich mag auch Avast.

Wenn das aus irgendeinem Grund nicht funktioniert, können Sie einen Rettungs-Live-CD-Virenscanner verwenden: Ich mag es am besten Avira AntiVir Rettungssystem weil es mehrmals am Tag aktualisiert wird und die Download-CD somit aktuell ist. Als Boot-CD ist es autonom und funktioniert nicht mit Ihrem Windows-System.

Wenn kein Virus gefunden wird, verwenden Sie "sfc / scannow", um wichtige Windows-Dateien zu reparieren.
Sieh dir das an Artikel.

Wenn das auch nicht funktioniert, solltest du Führen Sie eine Reparaturinstallation durch.

Wenn nichts funktioniert, sollten Sie die Festplatte formatieren und Windows neu installieren.


31



Als ich mit einem neuen Virus / Trojaner infiziert wurde, benutzte ich Knoppix auf einem USB-Stick, führte apt-get wine, installierte Dr. Web Cure-It in meiner Weinsitzung und führte das aus, um meine Infektion zu säubern. Ich musste es so machen, weil mein Laptop einige der anderen Live-CD-Alternativen nicht booten würde. - PP.