Fakt ist: Jeder Download und jede E-Mail mit Link oder Anhang kann einen gefährlichen Angreifer auf Ihren PC bringen. Die Statistik belegt, dass dies die am meisten benutzten Wege sind: zu 98 Prozent.

Die Cyberangreifer werden immer geschickter und entwickeln mithilfe von künstlicher Intelligenz neue Techniken und Malware (Maliziös + Software = Malware). Falls es Ihren Windows-PC erwischt hat, gibt es keinen Grund, gleich aufzugeben und alles zu löschen. Gehen Sie geschickt gegen die Angreifer vor, reinigen Sie Ihr System und schliessen Sie die Lücken für die Zukunft. Wir zeigen Ihnen, wie das geht.

Die meisten Trojaner, Viren & Co. möchten nicht einmal Ihre Daten zerstören. Meistens versuchen die Angreifer, entweder Ihren PC zu versklaven, damit er in einem Bot-Netzwerk dient, oder Windows soll Aufgaben erledigen, wie Kryptowährung schürfen.

Bei Angriffen mit betrügerischen Phishing-E-Mails übernehmen die Angreifer manchmal auch nur das Steuer innerhalb Ihrer E-Mail-Software, um gefährliche Nachrichten von einer vertrauenswürdigen Mail­adresse zu verschicken, Bild 1. Falls aber gerade Zahlungsdaten oder Passwörter in Reichweite sind, greifen die Angreifer auch hier gerne zu.

Nur in wenigen Fällen sind Heimanwender mit einer Ransomware konfrontiert, die alle ihre privaten Daten verschlüsselt und erst wieder gegen ein Lösegeld freigibt. Denn die Angreifer haben gelernt, dass die Benutzer im Notfall auch ihre Daten abschreiben und nur im seltensten Fall bezahlen.

Auch wenn Sie eine gute Schutz-Software nutzen, kann es sein, dass ein Schadprogramm in Windows eindringt, Bild 2. Ist das der Fall, sollten Sie schnell reagieren und Windows reinigen. Dabei haben Sie die folgenden vier Möglichkeiten:

Bevor Sie klären, wie der Angreifer auf bzw. in Ihr System gelangt ist, sollten Sie alle externen Laufwerke und Netzlaufwerke sowie andere per LAN verbundene PCs oder sogar auch Macs trennen. Diese nutzen zwar ein unabhängiges Betriebssystem, aber manche Malware schickt zusätzlich kleine ausführbare Dateien auf verbundene Laufwerke. Diese können zwar selbst nicht ausrichten, aber ein falscher Klick reicht und ein verbundenes Windows-System wird erneut infiziert. Alle Systeme und Laufwerke sollten Sie später getrennt untersuchen, wenn der eigentliche Windows-PC wieder voll da und geschützt ist.

In den meisten Fällen bekommen Sie – wenn überhaupt – nur eine kurze Angriffs­aktion mit. Etwa nach einem Klick auf einen gefährlichen Link läuft die Attacke versteckt im Hintergrund ab und nutzt dazu sogar Windows-eigene Tools.

Wenn Sie sich sicher sind, dass der Angriff per E-Mail erfolgte, sollten Sie verdächtige E-Mails mithilfe Ihres Smartphones löschen. Ein vorhandenes Android- oder iOS-System ist nicht per Windows-Malware infizierbar.

Danach bringen Sie Ihre Windows-Schutz-Software per Update auf den neuesten Stand. Anschliessend starten Sie eine Untersuchung des «gesamten» PCs. Nutzen Sie den internen Microsoft Defender, sollten Sie darauf achten, dass dieser aktuell ist. Tipps dazu finden Sie auch in der Ausgabe PCtipp 8/2024 ab S. 12 (Abonnenten laden den Artikel unter dem Link go.pctipp.ch/3378 als PDF herunter).

Es kann sein, dass die Schutz-Software vor der Aktualisierung den Angreifer nicht erkannte – aber nach einem Update schon. In diesem Fall wurden Sie von einer 0-Day-Malware attackiert – also eine schädliche Software, die ganz neu im Netz unterwegs ist und im schlechtesten Fall mit Stunden oder sogar Tagen Verzögerung erst erkannt wird. Ist das der Fall, haben Sie nicht speziell viel Pech gehabt: Etwa alle vier Sekunden taucht im Internet eine neue Schad-Software auf (siehe av-atlas.org/de), Bild 3.

Noch ein Tipp: Wenn Ihre installierte Schutz-Software gegen den Angreifer machtlos ist, schalten Sie diese ab. Danach aktiviert sich der Microsoft Defender und kann vielleicht mit Scans weiterhelfen.

Wird der Angreifer von Ihrer Schutz-Software erkannt, startet das Programm automatisch die Bereinigung. Zur Kontrolle können Sie auch noch einen weiteren Onlinescanner nutzen, dessen Einsatz wir im nächsten Schritt erklären.

Leider gibt es keinen Online-Virenscanner, der online alles untersucht. Sie müssen immer erst einen kleinen Agenten auf Ihren Windows-PC laden und ausführen. Wenn Sie per Internetbrowser versuchen, die Adressen der Schutz-Software-Anbieter zu besuchen, kann es sein, dass die Seiten von der Malware geblockt werden. Ist das der Fall, lesen Sie gleich beim Punkt «Starkes Geschütz» ab Teil 4 weiter.

Es gibt zwar viele Onlinevirenscanner, aber wir nennen Ihnen empfehlenswerte und ein besonderes Kaspersky-Tool als Beispiel:

Alle drei funktionieren recht ähnlich: Zuerst laden Sie von der Webseite eine kleine ausführbare Datei. Diese führt eine Mini-Installation durch und besorgt online die neuesten Updates für den Virenscanner.

Egal, welches Tool Sie nutzen: Starten Sie immer einen Vollscan für den gesamten Computer. Bei dieser Aktion müssen Sie Geduld haben. Unter Umständen kann das einige Stunden dauern.

Die Schnellscans beziehen sich meist nur auf den Arbeitsspeicher und ein paar sehr wichtige Windows-Dateien. Erst der vollständige Scan bringt Ihnen Gewissheit, dass wirklich alle Dateien und Aktionen des Angreifers erkannt, isoliert und gelöscht sind, Bild 4 und Bild 5. Investieren Sie die Zeit – nur so sind Sie auf der sicheren Seite.

Nach der Bereinigung können Sie natürlich auch noch einen weiteren Onlineacanner über Ihr System schicken; etwa den Trend Micro HouseCall, Bild 6.

Das kostenlose Tool des russischen Herstellers Kaspersky unter dem Link kaspersky.de/downloads/free-virus-removal-tool lässt sich nur als Anwendung unter Windows ausführen oder zur Not auch als Windows-Programm von einem Stick starten. Es ist also kein richtiger Onlinevirenscanner – aber das Tool ist sehr gut.

Kleiner Tipp: Das Programm ist nach dem Start nur für die Prüfung des Speichers eingestellt. Unter Change parameters lassen sich alle Laufwerke etc. auswählen. Nach dem Start macht das Tool zuerst ein Update und scannt danach den gesamten PC. Gefundene Schädlinge werden sofort eliminiert, Bild 7.

Wenn Sie sich einen richtig gefährlichen Schädling eingehandelt haben, kann es sein, dass nach einem Onlinescan die Malware gefunden und gelöscht wird, aber kurz danach ist sie wieder da. Das kann passieren, wenn es die Anti-Malware-Software nicht schafft, den Fiesling aus dem Speicher zu löschen. Es kann auch sein, dass sich der Angreifer im Volume oder Master Boot Record (Startprogramm für BIOS-basierte Computer) versteckt. Darauf lässt sich während einer Windows-Sitzung nicht zugreifen. Das geht nur mit einem anderen Boot-Medium. Genauer gesagt: Man muss per USB-Stick oder Boot-CD ein anderes Betriebssystem starten und diese Bereiche reinigen. Wie Sie einen Stick oder eine CD/DVD booten, erklären wir Ihnen später. Erst einmal müssen Sie ein Medium anfertigen.

Auch dafür gibt es bereits praktische Tools. Auf folgende Arten bekommen Sie die Boot-Stick-Scan-Software:

Zum Beispiel Bitdefender bietet in seiner Schutz-Software den Punkt Rettungsumgebung. Nach der Wahl startet der PC neu und bootet eine besondere Instanz, um den PC im Speicher und Startbereich zu reinigen.

Eine ähnliche Funktion gibt es auch im Microsoft Defender. Wenn Ihre Schutz-Software den Angreifer nicht erkennt, schalten Sie diese aus. Danach aktiviert sich der Microsoft Defender wieder. Auch wenn der Defender vielleicht nicht direkt helfen kann, so finden Sie nun unter Windows Sicherheit/Viren- und Bedrohungsschutz/Aktuelle Bedrohungen/Scan­optionen/Microsoft Defender Antivirus (Offlineüberprüfung) als Option einen Boot-Scanner, Bild 8. Auch hier startet der Computer neu und führt eine Prüfung ohne aktives Windows aus.

Wenn Sie über ein CD- oder DVD-Laufwerk verfügen, können Sie sich auch eine CD-Abbild herunterladen – eine sogenannte ISO-Datei. Diese gibt es zum Beispiel kostenlos von Avira unter go.pctipp.ch/3379. An einem beliebigen, anderen Windows-PC lädt man einfach die ISO-Datei und brennt Sie unter Windows 10 oder 11 auf eine CD oder DVD. Danach müssen Sie von der CD oder DVD booten. Falls das nicht direkt funktioniert, müssen Sie in das Menü der Bootreihenfolge gelangen oder etwas im BIOS umstellen. Wie das geht, lesen Sie im Absatz «Per Stick booten» auf dem letzten Teil, da das Prozedere für CDs/DVDs und USB-Sticks dasselbe ist.

Sie können einen USB-Boot-Stick mithilfe einer ISO-Datei anlegen, die eigentlich für eine CD gedacht ist. Als Hilfs-Tool nutzen Sie das Freeware-Tool Rufus unter rufus.ie/de. Es formatiert für Sie einen Stick passend, macht ihn bootfähig und installiert eine zuvor gewählte Antivirenscan-Software darauf.

Besorgen Sie sich zuerst eine Boot-CD Ihrer Wahl, Bild 9. Hier ein paar Empfehlungen:

Wenn Sie den Boot-Stick an einem fremden Rechner anfertigen, verwenden Sie einfach die portable Rufus-Version die Sie online kostenlos downloaden. Dann müssen Sie nichts installieren. Als Erstes sollten Sie den USB-Stick einstecken. Dieser sollte auf keinen Fall kleiner als 2 GB sein – besser 4 GB. Die kleine Oberfläche von Rufus ist übersichtlich und sehr einfach gehalten.

Wählen Sie zuerst das Laufwerk, an dem der Stick steckt, Bild 10. Mit AUSWAHL bestimmen Sie eine Boot-CD, also die von Ihnen heruntergeladene ISO-Datei – etwa die Kaspersky Free Rescue Disk mit dem Namen krd.iso. Bei Dateisystem stellen Sie noch Fat32 ein und nun geht es mittels Start los.

Bei der letzten Abfrage wählen Sie den vorgeschlagenen ISO-Image-Modus. Die Rufus-Software ist in Grub programmiert. Es kann sein, dass Sie eine Meldung bekommen, dass Rufus noch eine Datei herunterladen muss. Stimmen Sie hier einfach zu. Bestätigen Sie die Warnung, dass alle Daten auf dem USB-Stick gelöscht werden. Anschliessend startet der Vorgang. Das Schreiben dauert etwas.

Um einen Stick am PC zu starten, muss man an fast jedem Computer etwas anders vorgehen. Meistens ist das Booten von Sticks und externen Laufwerken deaktiviert. Daher müssen Sie beim Rechnerstart entweder in das BIOS gelangen oder ein spezielles Startmenü für die Bootreihenfolge aufrufen. Die passenden Tasten oder Kombinationen blendet das System in der Regel beim Rechnerstart am unteren Bildrand ein. Sobald der fertige USB-Stick mit Rettungssystem angesteckt ist, starten Sie Ihren PC neu. Wenn Sie in das BIOS mit allen Einstellungen müssen, geht das meist über eine dieser Tasten: F2, F10 oder Del. Sie finden Hinweise darauf auch in Ihrem Handbuch zum PC.

Das Menü für die Bootreihenfolge erreichen Sie meist mit F12 bei Acer, Dell, Lenovo und Toshiba-Geräten. Bei HP und Samsung ist es die Taste ESC. Bei Asus sind es F8 oder ESC.

Sobald das Menü erscheint, erhalten Sie eine Liste mit verfügbaren Festplatten, SSDs und eben dem Boot-Stick. Wählen Sie diesen aus und starten Sie davon. Die späteren Antivirenscans gehen fast von allein.

Wenn Sie einen neueren PC nutzen, hat dieser vorwiegend ein UEFI-BIOS. Dort ist in der Regel der Secure-Boot-Modus aktiviert. Er soll eigentlich verhindern, dass Schad-Software beim Windows-Start ausgeführt wird. Aber er hindert Sie auch daran, vom USB-Stick zu starten. Daher müssen Sie beim PC-Start in Ihr UEFI-BIOS hinein, das Sie per F2, F10 oder Del erreichen. Dort schalten Sie unter dem Punkt Sicherheit die Option Secure-Boot-Modus aus. Speichern Sie die Einstellungen, starten Sie den PC neu und drücken Sie wieder die passende Taste, um ins Menü für die Boot-Reihenfolge zu gelangen.

Sofern Sie die Malware unter Windows 11 gewähren lässt, erreichen Sie das Startmenü für Geräte in Ihrem UEFI-BIOS auch so: Geben Sie im Suchfeld von Windows Sicherer Start ein und öffnen Sie danach den Punkt Optionen für den erweiterten Start ändern. Danach steht unter Erweiterter Start der Punkt Jetzt neu starten. Der bringt Sie in das Windows-11-Reparaturmenü, wo Sie den Befehl Ein Gerät verwenden anklicken. Dort können Sie USB Device wählen und der Rettungsstick wird gestartet.

Am Beispiel des Kaspersky-Rettungssticks: Nach dem Start wählen Sie als Sprache English und drücken Enter. Danach geht es zu Kaspersky Rescue Disk, Graphic mode. Drücken Sie Enter. Daraufhin sehen Sie eine grafische Oberfläche, Bild 11. Dort stimmen Sie den Anfragen zu und der Virenscanner steht bereit. Die Reinigung des Windows-PCs kann beginnen. Sobald der Schädling gefunden ist, wird er komplett gelöscht.