Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?

297118
Gnoupi

Was kann ich tun, wenn mein Windows-Computer mit einem Virus oder Malware infiziert zu sein scheint?

  • Was sind die Symptome einer Infektion?
  • Was muss ich tun, wenn ich eine Infektion bemerkt habe?
  • Was kann ich tun, um es loszuwerden?
  • Wie kann man eine Infektion durch Malware verhindern?

Diese Frage wird häufig gestellt und die vorgeschlagenen Lösungen sind normalerweise die gleichen. Dieses Community-Wiki ist der Versuch, als endgültige, möglichst umfassende Antwort zu dienen.

Fühlen Sie sich frei, Ihre Beiträge über Bearbeitungen hinzuzufügen.

435
One thing to definitely NOT do is to install any of the "anti-malware" tools that you're urged to when you get to a web page that says "Your computer is infected by a virus!" These are almost certainly malware themselves. You must only use tools that are well-vetted -- (presumably) those named below or on another trusted site. Daniel R Hicks vor 11 Jahren 65
@Gnoupi Dieser Artikel ist möglicherweise von Interesse http://www.maketecheasier.com/understanding-viruses-worms-trojans-spyware-malware/ Simon vor 10 Jahren 0
Für alle, die nur zu dieser Frage kommen und die tl; dr-Version wünschen ... Einmal infiziert, gibt es keine Möglichkeit (naja ... keine Möglichkeit, dass Sie nicht bereits ein Computertechniker sind und ein paar Jahre Ihres Lebens investieren eine digitale Autopsie auf der Maschine durchführen), um eine Infektion loszuwerden. Malware kann sich in Ihren Dateien, Ihren Anwendungsprogrammen, Ihren Betriebssystemen, der Firmware verstecken. Aus diesem Grund sollten Sie niemals einem Computer mit einer Infektion vertrauen. AV-Anbieter werden versuchen, Sie davon zu überzeugen, dass ihr Produkt die silberne Kugel ist, mit der Ihr System repariert wird. Sie lügen. Parthian Shot vor 9 Jahren 20
@DanielRHicks führen in einigen Fällen tatsächlich zu einem seriösen AV-Produkt. Letztes Mal habe ich das auf Android mit seiner nervigen "eingebauten Anzeigenunterstützungsfunktion" (die Anzeigenleisten am unteren Rand der App und der Webseiten) gesehen. Zum Beispiel habe ich gerade ein "Remove virus!" ad und ich bin im Google Play Store auf der Apps-Seite [360 Sicherheit - Antivirus Boost] (https://play.google.com/store/apps/details?id=com.qihoo.security&hl=de) gelandet. David Balažic vor 8 Jahren 0
Wenn wir die Possierbarkeit von virtuellen Rootkits und Firmware-Rootkits betrachten, können wir ziemlich viel sagen: Sie sind entbeint. Diese beiden Rootkit-Typen werden in Bereichen Ihres Computers gespeichert, die Sie nicht bereinigen können. Wenn Sie sie loswerden möchten, müssen Sie einen neuen Computer kaufen. Firmware-Rootkits sind selten und virtuelle Rootkits gibt es noch nicht, aber dennoch: Das Vorhandensein dieser beiden Rootkits beweist, dass es keine 100% ige One-Fit-All-Lösung gibt, die Ihre Malware für die Ewigkeit und darüber hinaus frei hält. Als Deutscher würde ich es zu einer "Eierlegende Wollmilchsau" machen BlueWizard vor 8 Jahren 0
@ JonasDralle: Wenn Sie Rootkits für virtuelle Maschinen meinen, existieren sie tatsächlich. Ein Argument gegen die Verwendung von .NET bei der Entwicklung einer Anti-Malware-Lösung. 0xC0000022L vor 7 Jahren 0
@ 0xC0000022L Ich habe das Thema für einen Schulaufsatz recherchiert. Zum Zeitpunkt der Veröffentlichung (August 2015) war in der Wildnis noch kein Rootkit für virtuelle Maschinen zu sehen. Es ist nicht sicher, ob sie einfach nicht wild sind oder ob sie so unglaublich gut versteckt sind, dass sie noch nicht beobachtet wurden. BlueWizard vor 7 Jahren 0
@ JonasDralle: Nun, das ist das Problem mit deiner Formulierung. Meinen Sie damit Hypervisor-Rootkits (dh solche, die einen Hypervisor wie VirtualBox oder VMware und somit VM-Gäste betreffen) oder die virtuellen Maschinen-Rootkits (wie die für den .NET-Bytecode). Dies sind zwei verschiedene Kategorien. Zum ersten gab es bereits seit einiger Zeit Prototypen (2008?), Und es wäre fürchterlich schwierig - wenn nicht gar unmöglich -, sie zu erkennen, wenn Sie ein Anti-Malware-Programm sind, das "in der Matrix" läuft. Der andere Typ wurde seit 2008 beschrieben und wäre einfacher zu implementieren. 0xC0000022L vor 7 Jahren 0
@DanielRHicks Bei Websites mit "solchem" Inhalt handelt es sich um Websites, die ähnlich aussehen wie einige bekannte Websites. Beispiel: "fileh ** o ** stguru.com" ist eine Originalwebsite mit dem Buchstaben ** "o" und "fileh ** 0" ** stguru.com "ist eine Website mit ** Nummer ** mit der Nummer ** '0'. Ich würde nicht sagen, dass die Website" Makeup "Ihren PC möglicherweise schädigen kann. Ich würde jedoch vorschlagen, dass Sie nur Ergebnisse in Google sehen und sie nicht besuchen . Mukul Kumar vor 7 Jahren 0

19 Antworten auf die Frage

261
Joel Coehoorn

Hier ist die Sache: Malware ist in den letzten Jahren sowohl hinterlistiger als auch bösartiger geworden :

Hinterlistiger, weil es in Packs reist. Subtile Malware kann sich hinter offensichtlichen Infektionen verstecken. Es gibt viele gute Tools, die in den Antworten aufgeführt sind, die 99% der Malware finden können, aber es gibt immer 1%, die sie noch nicht finden können. Meistens handelt es sich bei 1% um Neuerungen : Die Malware-Tools können sie nicht finden, weil sie gerade herausgekommen sind und einen neuen Exploit oder eine neue Technik verwenden, um sich selbst zu verbergen, von dem die Tools noch nichts wissen.

Malware hat auch eine kurze Haltbarkeit. Wenn Sie infiziert sind, ist etwas von diesem neuen 1% wahrscheinlich ein Teil Ihrer Infektion. Es ist nicht die ganze Infektion, nur ein Teil davon. Sicherheitstools helfen Ihnen dabei, offensichtliche und bekannte Malware zu finden und zu entfernen. Wahrscheinlich werden alle sichtbaren Symptome entfernt (da Sie so lange weitergraben können), aber sie können kleine Teile wie einen Keylogger hinterlassen oder Rootkit, das sich hinter einem neuen Exploit versteckt, von dem das Sicherheitstool noch nicht weiß, wie es zu prüfen ist. Die Anti-Malware-Tools haben immer noch ihren Platz, aber dazu komme ich später.

Böser, da es nicht mehr nur Werbung anzeigt, eine Symbolleiste installiert oder den Computer als Zombie verwendet. Moderne Malware ist wahrscheinlich für die Bank- oder Kreditkarteninformationen geeignet. Die Leute, die dieses Zeug bauen, sind nicht mehr nur Drehbuchkinder, die nach Ruhm suchen. Sie sind jetzt organisierte Profis, die aus Profitgründen motiviert sind. Wenn sie Sie nicht direkt stehlen können, suchen sie nach etwas, das sie umdrehen und verkaufen können. Dies können Verarbeitungs- oder Netzwerkressourcen auf Ihrem Computer sein, es kann sich jedoch auch um Ihre Sozialversicherungsnummer handeln, oder Sie verschlüsseln Ihre Dateien und halten sie für Lösegeld.

Wenn Sie diese beiden Faktoren zusammenfassen, lohnt es sich nicht mehr, Malware von einem installierten Betriebssystem zu entfernen . Ich war sehr gut darin, dieses Zeug zu entfernen, bis zu dem Punkt, an dem ich einen bedeutenden Teil meines Lebens auf diese Weise gemacht habe, und ich mache den Versuch nicht mehr. Ich sage nicht, dass dies nicht möglich ist, aber ich sage, dass sich die Ergebnisse der Kosten / Nutzen- und Risikoanalyse geändert haben: Es lohnt sich einfach nicht mehr. Es steht zu viel auf dem Spiel und es ist zu einfach, Ergebnisse zu erzielen, die nur effektiv zu sein scheinen .

Viele Leute werden mir diesbezüglich nicht zustimmen, aber ich fordere sie auf, die Folgen eines Scheiterns nicht stark genug abzuwägen. Sind Sie bereit, Ihre Ersparnisse, Ihre gute Kreditwürdigkeit und sogar Ihre Identität einzusetzen, dass Sie besser sind als Gauner, die jeden Tag Millionen von Menschen dazu bringen? Wenn Sie versuchen, Malware zu entfernen und das alte System dann weiter auszuführen, tun Sie genau dies.

Ich weiß, dass es da draußen Leute gibt, die diesen Gedanken lesen: "Hey, ich habe mehrere Infektionen von verschiedenen Maschinen entfernt und nichts Schlimmes ist passiert." Ich auch mein Freund. Ich auch. In den vergangenen Tagen habe ich meinen Anteil infizierter Systeme gesäubert. Trotzdem schlage ich vor, dass wir am Ende dieser Aussage noch "noch" hinzufügen müssen. Sie sind vielleicht zu 99% effektiv, aber Sie müssen sich nur einmal irren, und die Folgen eines Scheiterns sind viel höher als früher. Die Kosten eines einzigen Ausfalls können alle anderen Erfolge leicht überwiegen. Möglicherweise haben Sie sogar bereits eine Maschine, die noch eine tickende Zeitbombe enthält, die nur darauf wartet, aktiviert zu werden oder die richtigen Informationen einzuholen, bevor Sie sie zurückmelden. Selbst wenn Sie jetzt einen 100% igen effektiven Prozess haben, ändert sich dieses Zeug ständig. Denken Sie daran: Sie müssen jedes Mal perfekt sein.

Zusammenfassend ist es unglücklich, aber wenn Sie eine bestätigte Malware-Infektion haben, sollte eine vollständige Neuinstallation des Computers der erste Ort sein, an dem Sie sich wenden, anstatt den letzten.

So können Sie das erreichen:

Vergewissern Sie sich vor der Infektion, dass Sie die gekaufte Software einschließlich des Betriebssystems erneut installieren können, die nicht von auf der internen Festplatte gespeicherten Daten abhängt. Zu diesem Zweck bedeutet dies normalerweise nur das Aufhängen an CD / DVD oder Produktschlüssel, aber das Betriebssystem erfordert möglicherweise, dass Sie selbst Wiederherstellungsdisketten erstellen. 1 Verlassen Sie sich dafür nicht auf eine Wiederherstellungspartition. Wenn Sie bis nach einer Infektion warten, um sicherzustellen, dass Sie über das verfügen, was Sie erneut installieren müssen, bezahlen Sie möglicherweise erneut für dieselbe Software. Mit dem Aufkommen der Ransomware ist es auch äußerst wichtig, regelmäßige Sicherungen Ihrer Daten zu erstellen (und Sie wissen, regelmäßige nicht bösartige Dinge wie Festplattenausfälle).

Wenn Sie vermuten, dass Sie über Malware verfügen, finden Sie hier weitere Antworten. Es werden viele gute Werkzeuge vorgeschlagen. Mein einziges Problem ist der beste Weg, sie zu verwenden: Ich verlasse mich nur auf die Erkennung. Installieren und starten Sie das Tool, aber sobald es Anzeichen für eine echte Infektion findet (mehr als nur "Cookies verfolgen"), beenden Sie einfach den Scan: Das Tool hat seine Aufgabe erfüllt und Ihre Infektion bestätigt. 2

Führen Sie zum Zeitpunkt einer bestätigten Infektion die folgenden Schritte aus:

  1. Überprüfen Sie Ihre Kredit- und Bankkonten. Wenn Sie von der Infektion erfahren, sind möglicherweise bereits echte Schäden entstanden. Ergreifen Sie alle erforderlichen Schritte, um Ihre Karten, Ihr Bankkonto und Ihre Identität zu sichern. Ändern Sie die Kennwörter auf jeder Website, auf die Sie vom betroffenen Computer aus zugegriffen haben. Verwenden Sie den angegriffenen Computer nicht dazu.
  2. Machen Sie eine Sicherungskopie Ihrer Daten (noch besser, wenn Sie bereits eine haben).
  3. Installieren Sie das Betriebssystem erneut mit Originalmedien, die Sie direkt vom Herausgeber des Betriebssystems erhalten haben. Stellen Sie sicher, dass die Neuinstallation eine vollständige Neuformatierung Ihrer Festplatte enthält. Eine Systemwiederherstellung oder eine Systemwiederherstellung reicht nicht aus.
  4. Installieren Sie Ihre Anwendungen erneut.
  5. Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Software vollständig gepatcht und auf dem neuesten Stand sind.
  6. Führen Sie einen vollständigen Antivirus-Scan aus, um die Sicherung von Schritt zwei zu bereinigen.
  7. Stellen Sie die Sicherung wieder her.

Bei korrekter Ausführung dauert dies wahrscheinlich zwei bis sechs reale Stunden, verteilt auf zwei bis drei Tage (oder sogar länger), während Sie auf die Installation von Apps, das Herunterladen von Windows-Updates oder große Sicherungsdateien warten zu überweisen ... aber es ist besser als später herauszufinden, dass Gauner Ihr Bankkonto erschöpft haben. Leider sollten Sie dies selbst tun oder einen technisch versierten Freund für Sie tun. Bei einer typischen Beratungsrate von etwa 100 USD / Stunde kann der Kauf einer neuen Maschine billiger sein, als dafür einen Laden zu bezahlen. Wenn Sie einen Freund für Sie haben, tun Sie etwas Schönes, um Ihre Wertschätzung zu zeigen. Selbst Geeks, die gerne beim Einrichten neuer Dinge oder beim Beheben von defekter Hardware helfen, hassen es oftdie Langeweile der Aufräumarbeiten. Es ist auch am besten, wenn Sie Ihr eigenes Backup machen ... Ihre Freunde wissen nicht, wo Sie welche Dateien ablegen oder welche für Sie wirklich wichtig sind. Sie sind in einer besseren Position, um ein gutes Backup zu machen, als sie sind.

In Kürze kann dies sogar nicht ausreichen, da inzwischen Malware in der Lage ist, Firmware zu infizieren. Selbst das Ersetzen der Festplatte kann die Infektion nicht beseitigen und der Kauf eines neuen Computers ist die einzige Option. Zum Glück sind wir zu diesem Zeitpunkt noch nicht an diesem Punkt, aber es ist definitiv am Horizont und nähert sich schnell.

Wenn Sie über alle Gründe hinaus absolut darauf bestehen, dass Sie Ihre vorhandene Installation wirklich reinigen möchten, anstatt von vorne zu beginnen, dann stellen Sie für die Liebe Gottes sicher, dass für jede Methode, die Sie verwenden, eine der beiden folgenden Methoden besteht:

  • Entfernen Sie die Festplatte und verbinden Sie sie als Gastdiskette auf einem anderen (sauberen!) Computer, um den Scan auszuführen.

ODER

  • Starten Sie von einer CD / einem USB-Stick mit einem eigenen Satz von Tools, die einen eigenen Kernel ausführen. Stellen Sie sicher, dass das Bild dafür auf einem sauberen Computer erstellt und gebrannt wurde. Wenn nötig, lassen Sie einen Freund die Diskette für Sie erstellen.

Unter keinen Umständen sollten Sie versuchen, ein infiziertes Betriebssystem mit Software zu reinigen, die als Gastprozess des betroffenen Betriebssystems ausgeführt wird. Das ist einfach nur dumm.

Natürlich können Sie eine Infektion am besten beheben, indem Sie sie überhaupt vermeiden. Es gibt einige Möglichkeiten, die Sie dabei unterstützen können:

  1. Halten Sie Ihr System gepatcht. Stellen Sie sicher, dass Sie Windows-Updates, Adobe-Updates, Java-Updates, Apple-Updates usw. umgehend installieren. Dies ist sogar viel wichtiger als Antivirensoftware. Meistens ist es jedoch nicht so schwer, solange Sie auf dem neuesten Stand sind. Die meisten dieser Unternehmen haben sich informell darauf geeinigt, alle neuen Patches jeden Monat an demselben Tag zu veröffentlichen. Wenn Sie also auf dem Laufenden sind, unterbricht dies Sie nicht oft. Windows Update-Unterbrechungen treten normalerweise nur auf, wenn Sie sie zu lange ignorieren. Wenn dies oft passiert mit Ihnen, dann ist es auf Sie, Ihr Verhalten zu ändern. Dies ist wichtig und es ist nicht in Ordnung, ständig die Option "Später installieren" zu wählen, auch wenn dies momentan einfacher ist.
  2. Führen Sie nicht standardmäßig als Administrator aus. In aktuellen Windows-Versionen ist es so einfach, die UAC-Funktion aktiviert zu lassen.
  3. Verwenden Sie ein gutes Firewall-Tool. In diesen Tagen ist die Standard-Firewall in Windows tatsächlich gut genug. Vielleicht möchten Sie diese Ebene mit etwas wie WinPatrol ergänzen, das dazu beiträgt, böswillige Aktivitäten im Frontend zu stoppen. Windows Defender funktioniert in gewissem Umfang auch in dieser Funktion. Browser-Plugins für grundlegende Ad-Blocker werden auf dieser Ebene auch zunehmend als Sicherheits-Tool von Nutzen.
  4. Setzen Sie die meisten Browser-Plug-Ins (insbesondere Flash und Java) auf "Ask to Activate".

  5. Führen Sie aktuelle Anti-Viren - Software. Dies ist ein weit entferntes Fünftel der anderen Optionen, da herkömmliche A / V-Software oft nicht mehr so ​​effektiv ist. Es ist auch wichtig, den "Strom" hervorzuheben. Sie könnten die beste Antivirensoftware der Welt haben, aber wenn sie nicht auf dem neuesten Stand ist, können Sie sie genauso gut deinstallieren.

    Aus diesem Grund empfehle ich derzeit Microsoft Security Essentials. (Seit Windows 8 ist Microsoft Security Essentials Teil von Windows Defender.) Es gibt wahrscheinlich weitaus bessere Scan-Engines, aber Security Essentials wird sich selbst auf dem neuesten Stand halten, ohne jemals eine abgelaufene Registrierung zu riskieren. AVG und Avast funktionieren auch auf diese Weise gut. Ich kann keine Antiviren-Software empfehlen, für die Sie tatsächlich bezahlen müssen, denn es ist viel zu üblich, dass ein kostenpflichtiges Abonnement verfällt und Sie mit veralteten Definitionen enden.

    Erwähnenswert ist auch, dass Mac-Benutzer nun auch Antivirensoftware ausführen müssen. Die Tage, als sie ohne wegkommen konnten, sind lange vorbei. Abgesehen davon finde ich es komisch, dass ich jetzt Mac-Benutzern den Kauf von Antivirensoftware empfehlen muss, aber Windows-Benutzer davon abraten sollte.

  6. Vermeiden Sie Torrent-Sites, Warez, Raubkopien von Software und raubkopierte Filme / Videos. Dieses Zeug wird von der Person, die es geknackt oder gepostet hat, häufig mit Malware infiziert - nicht immer, aber oft genug, um das ganze Chaos zu vermeiden. Es ist ein Teil des Grundes, warum ein Cracker das tun würde: Oft werden sie jeden Gewinn einschränken.
  7. Verwenden Sie Ihren Kopf beim Surfen im Internet. Sie sind das schwächste Glied in der Sicherheitskette. Wenn etwas zu gut klingt, um wahr zu sein, ist es wahrscheinlich auch so. Die naheliegendste Schaltfläche zum Herunterladen ist selten die, die Sie beim Herunterladen neuer Software mehr verwenden möchten. Lesen Sie sich daher die gesamte Webseite durch, bevor Sie auf diesen Link klicken. Wenn Sie ein Popup sehen oder eine akustische Meldung hören, in der Sie gefragt werden, ob Sie Microsoft anrufen oder ein Sicherheitstool installieren möchten, ist dies eine Fälschung.
    Ziehen Sie es auch vor, die Software und Updates / Upgrades direkt vom Anbieter oder Entwickler herunterzuladen, anstatt von Websites, die Websites von Drittanbietern bereitstellen.

1 Microsoft veröffentlicht jetzt die Windows 10-Installationsmedien, damit Sie legal ein Flash-Laufwerk mit 8 GB oder mehr legal herunterladen und schreiben können. Sie benötigen immer noch eine gültige Lizenz, aber Sie benötigen für das Basisbetriebssystem keine separate Wiederherstellungsdiskette mehr.

2 Dies ist ein guter Zeitpunkt, um darauf hinzuweisen, dass ich meine Herangehensweise etwas gedämpft habe. Die meisten "Infektionen" fallen heute unter die Kategorie "PUPs" (potentiell unerwünschte Programme) und Browsererweiterungen, die in anderen Downloads enthalten sind. Häufig können diese PUPs / Erweiterungen auf herkömmliche Weise sicher entfernt werden. Sie stellen mittlerweile einen ausreichend hohen Prozentsatz an Malware dar, die ich an diesem Punkt unterbrechen könnte. Versuchen Sie einfach, die Erweiterung mit der Funktion "Software" oder mit der Option "normaler Browser" zu entfernen. Beim ersten Anzeichen von etwas Tieferem - jeder Hinweis, dass die Software nicht einfach normal deinstalliert wird - und die Maschine muss erneut gespeichert werden.

Dies scheint heutzutage der klügste zu sein. Ich füge hinzu, dass es einen weiteren Grund gibt, warum einige Malware hinterlistig ist: Sie bleiben im Ruhezustand und verwenden Ihren Computer für andere Aktivitäten. Könnte Proxy sein, Dinge mehr oder weniger illegal speichern oder Teil eines DDOS-Angriffs sein. Gnoupi vor 11 Jahren 5
hmm denkst du an [Windows 8 reset] (http://blogs.msdn.com/b/b8/archive/2012/01/04/refresh-and-reset-your-pc.aspx) für den ersten Schritt # 2 Conrad Frix vor 11 Jahren 0
@ConradFrix Zu früh, um zu sagen ... Ich habe das noch nicht mit einem Windows 8-PC gemacht ... aber ich bin pessimistisch, weil das Laufwerk nicht neu formatiert wird. Windows 8 enthält mehrere Sicherheitsverbesserungen, einschließlich der Ausführung von Antivirensoftware ab dem Zeitpunkt 0 als Teil des Betriebssystems. Ich hoffe, dass ich dies unter Windows 8 niemals tun muss. Joel Coehoorn vor 11 Jahren 2
I would question the statement that it takes "between two and six hours" to reinstall the system. I had to do this a few months ago (for corruption unrelated to spyware issues) and it took tens of hours over several days. Simply installing the backlog of Windows updates takes hours. Daniel R Hicks vor 11 Jahren 0
@DanielRHicks las den ganzen Satz. Es sind zwei bis sechs Stunden Ihrer Zeit, verteilt auf einen oder drei Tage, an denen Sie effizient arbeiten können, wenn Sie etwas loslegen und später nachschauen. Wenn Sie alles Baby sitzen, dann ja: Es wird eine Weile dauern. Joel Coehoorn vor 11 Jahren 5
@JoelCoehoorn Geht es nur um mich oder um Malware, die mit dieser fortschrittlichen Software auch Firmware aller Arten von Komponenten infizieren würde, ist der Entfernungsaufwand sinnlos. Enis P. Aginić vor 9 Jahren 2
Ich installiere und laufe neue Freeware in einem Sandkastenmodus mit Sandboxy. Nachdem ich die Software und die installierten Dateien ausgecheckt habe, lasse ich sie in das echte Installationsverzeichnis migrieren. Oder ich lösche einfach alles, wenn ich nicht traue. jiggunjer vor 9 Jahren 0
@TaylorGibb Es wäre ratsam, ein solches Bild auf dem neuesten Stand zu halten, um zu vermeiden, dass Sie sich versehentlich bloßstellen, wenn Sie einen Klon davon verwenden Andrea vor 8 Jahren 0
"Es ist auch erwähnenswert, dass Mac-Benutzer jetzt auch Antivirensoftware ausführen müssen" - trifft dies für Linux (aufgrund seiner geringen Beliebtheit) immer noch zu? Mateusz Konieczny vor 7 Jahren 0
Bitte denken Sie daran, dass wenn Sie ein Backup machen, nachdem Sie die Infektion entdeckt haben, die Wahrscheinlichkeit hoch ist, dass das Backup selbst infiziert ist. Bitte scannen Sie die Sicherung, bevor Sie eine Wiederherstellung durchführen. Tejas Kale vor 7 Jahren 2
Ich stimme der Aussage, dass Microsoft Security Essentials die Beste ist, sehr zu, obwohl sie nicht allgemein bekannt ist (* Ich denke, weil die anderen kommerziellen Antivirenprogramme eine sehr starke Werbung haben *) Vladimir Bershov vor 7 Jahren 1
199
William Hilsum

Wie kann ich feststellen, ob mein PC infiziert ist?

Allgemeine Symptome für Malware können alles sein. Die üblichen sind:

  • Die Maschine ist langsamer als normal.
  • Zufällige Fehler und Ereignisse, wenn dies nicht der Fall ist (z. B. führen einige neue Viren zu Gruppenrichtlinieneinschränkungen auf Ihrem Computer, um die Ausführung des Task-Managers oder anderer Diagnoseprogramme zu verhindern).
  • Der Task-Manager zeigt eine hohe CPU an, wenn Sie der Meinung sind, dass Ihre Maschine im Leerlauf sein sollte (z. B. <5%).
  • Zufällig auftauchende Werbung.
  • Virenwarnungen, die aus einem Antivirus-Programm hervorgehen, an das Sie sich nicht erinnern können (das Antivirus-Programm ist eine Fälschung und versucht zu behaupten, dass Sie unheimlich klingende Viren mit Namen wie "bankpasswordstealer.vir" haben.) Sie sollten dieses Programm dafür bezahlen ).
  • Popups / gefälschte Blue Screen of Death (BSOD) bitten Sie, eine Nummer anzurufen, um die Infektion zu beheben.
  • Umgeleitete oder gesperrte Internetseiten, z. B. Homepage von AV-Produkten oder Support-Websites (www.symantec.com, www.avg.com, www.microsoft.com), werden zu mit Werbung gefüllten Sites oder gefälschten Websites weitergeleitet, die gegen betrügerische Anti-Werbung werben Virus / "hilfreiche" Tools zum Entfernen, oder sind insgesamt blockiert.
  • Erhöhte Startzeit, wenn Sie keine Anwendungen (oder Patches) installiert haben ... Dies ist umständlich.
  • Ihre persönlichen Dateien werden verschlüsselt und Sie sehen eine Lösegeldforderung.
  • Wenn Sie Ihr System "kennen", wissen Sie normalerweise, wenn etwas sehr falsch ist.

Wie kann ich das loswerden?

Live-CD verwenden

Da der Virenscanner des infizierten PCs möglicherweise gefährdet ist, ist es wahrscheinlich sicherer, das Laufwerk von einer Live-CD zu scannen. Die CD startet ein spezielles Betriebssystem auf Ihrem Computer, das dann die Festplatte durchsucht.

Es gibt zum Beispiel das Avira Antivir Rescue System oder ubcd4win . Weitere Vorschläge finden Sie unter dem Gratis - Bootable Antivirus Rescue - CDs Download - Liste wie zum Beispiel:

  • CD von Kaspersky Rescue
  • BitDefender-Rettungs-CD
  • F-Secure Rettungs-CD
  • Avira Antivir Rettungsdiskette
  • Trinity Rescue Kit CD
  • AVG-Rettungs-CD

Festplatte an einen anderen PC anschließen

Wenn Sie die infizierte Festplatte mit einem sauberen System verbinden, um sie zu scannen, stellen Sie sicher, dass Sie die Virendefinitionen für alle Produkte aktualisieren, die Sie zum Scannen der infizierten Festplatte verwenden. Wenn Sie eine Woche warten, bis die Antivirenanbieter neue Virendefinitionen veröffentlichen, können Sie die Wahrscheinlichkeit erhöhen, alle Viren zu erkennen.

Stellen Sie sicher, dass Ihr infiziertes System vom Internet getrennt wird, sobald Sie feststellen, dass es infiziert ist. Dadurch wird verhindert, dass unter anderem neue Editionen von Viren heruntergeladen werden können.

Beginnen Sie mit einem guten Tool wie Spybot Search and Destroy oder Malwarebytes Anti-Malware und führen Sie einen vollständigen Scan durch. Probieren Sie auch ComboFix und SuperAntiSpyware aus . Kein einzelnes Antivirus-Produkt hat alle Virendefinitionen. Die Verwendung mehrerer Produkte ist von zentraler Bedeutung ( nicht für Echtzeitschutz ). Wenn nur ein Virus auf dem System verbleibt, kann es möglicherweise in der Lage sein, die neuesten Editionen neuer Viren herunterzuladen und zu installieren, und der bisherige Aufwand wäre umsonst gewesen.

Entfernen Sie verdächtige Programme vom Booten

  1. Starten Sie im abgesicherten Modus.
  2. Verwenden Sie msconfigdiese Option, um festzustellen, welche Programme und Dienste beim Start (oder beim Start unter Task-Manager in Windows 8) gestartet werden.
  3. Wenn verdächtige Programme / Dienste vorhanden sind, entfernen Sie diese vom Systemstart. Ansonsten können Sie mit einer Live-CD fortfahren.
  4. Neustart.
  5. Wenn die Symptome nicht verschwinden und / oder das Programm sich beim Start selbst ersetzt, versuchen Sie es mit einem Programm namens Autoruns, um das Programm zu finden, und entfernen Sie es von dort. Wenn Ihr Computer nicht gestartet werden kann, verfügt Autoruns über eine Funktion, mit der es von einem zweiten PC namens "Analyze offline PC" ausgeführt werden kann. Achten Sie besonders auf die Registerkarten Logonund Scheduled tasks.
  6. Wenn das Entfernen des Programms immer noch nicht erfolgreich ist und Sie sicher sind, dass dies die Ursache Ihrer Probleme ist, starten Sie den regulären Modus und installieren Sie ein Tool mit dem Namen Unlocker
  7. Navigieren Sie zum Speicherort der Datei, in der sich der Virus befindet, und versuchen Sie, den Unlocker zu verwenden, um ihn zu beenden. Ein paar Dinge können passieren:
    1. Die Datei wird gelöscht und erscheint beim Neustart nicht mehr. Das ist der beste Fall.
    2. Die Datei wird gelöscht, erscheint aber sofort wieder. Verwenden Sie in diesem Fall ein Programm namens Process Monitor, um herauszufinden, welches Programm die Datei neu erstellt hat. Sie müssen dieses Programm ebenfalls löschen.
    3. Die Datei kann nicht gelöscht werden, der Unlocker fordert Sie auf, die Datei beim Neustart zu löschen. Tun Sie das und sehen Sie, ob es wieder erscheint. Wenn dies der Fall ist, müssen Sie ein Programm im Boot haben, das dies verursacht, und die Liste der Programme, die beim Booten ausgeführt werden, erneut überprüfen.

Was ist nach dem Wiederherstellen zu tun?

Jetzt sollte es (hoffentlich) sicher sein, in Ihr (zuvor) infiziertes System zu booten. Halten Sie trotzdem Ihre Augen für Anzeichen einer Infektion offen. Ein Virus kann Änderungen auf einem Computer hinterlassen, die eine erneute Infektion auch nach der Entfernung des Virus einfacher machen.

Wenn zum Beispiel ein Virus die DNS- oder Proxy-Einstellungen geändert hat, leitet Ihr Computer Sie zu gefälschten Versionen legitimer Websites um, so dass das Herunterladen eines scheinbar bekannten und vertrauenswürdigen Programms tatsächlich einen Virus herunterladen könnte.

Sie könnten Ihre Passwörter auch erhalten, indem Sie auf gefälschte Bankkontoseiten oder auf gefälschte E-Mail-Sites umgeleitet werden. Überprüfen Sie unbedingt Ihre DNS- und Proxy-Einstellungen. In den meisten Fällen sollte Ihr DNS von Ihrem Internetdienstanbieter bereitgestellt oder automatisch von DHCP abgerufen werden. Ihre Proxy-Einstellungen sollten deaktiviert sein.

Überprüfen Sie Ihre hostsDatei ( \%systemroot%\system32\drivers\etc\hosts) auf verdächtige Einträge und entfernen Sie sie sofort. Stellen Sie außerdem sicher, dass Ihre Firewall aktiviert ist und Sie über die neuesten Windows-Updates verfügen.

Schützen Sie als Nächstes Ihr System mit einem guten Antivirus-Programm und ergänzen Sie es mit einem Anti-Malware-Produkt. Microsoft Security Essentials wird häufig zusammen mit anderen Produkten empfohlen .

Was tun, wenn alles versagt?

Es ist zu beachten, dass manche Malware Scanner sehr gut vermeiden kann. Es ist möglich, dass nach der Infektion Rootkits oder ähnliches installiert werden können, um unsichtbar zu bleiben. Wenn die Dinge wirklich schlecht sind, besteht die einzige Möglichkeit darin, die Festplatte zu löschen und das Betriebssystem von Grund auf neu zu installieren. Manchmal zeigt ein Scan mit GMER oder Kasperskys TDSS Killer an, ob Sie ein Rootkit haben.

Vielleicht möchten Sie Spybot Search and Destroy ein paar Mal ausführen. Wenn nach drei Durchläufen ein Befall nicht entfernt werden kann (und Sie es nicht manuell ausführen können), sollten Sie eine Neuinstallation in Betracht ziehen.

Ein weiterer Vorschlag: Combofix ist ein sehr leistungsfähiges Tool zum Entfernen, wenn Rootkits verhindern, dass andere Dinge ausgeführt oder installiert werden.

Die Verwendung mehrerer Scan-Engines kann sicherlich dazu beitragen, Malware am besten versteckt zu finden. Dies ist jedoch eine anspruchsvolle Aufgabe, und eine gute Backup / Restore-Strategie wird effizienter und sicherer.

Bonus: Es gibt eine interessante Videoserie, die mit Mark Russinovich, dem Erfinder von Sysinternals ProcessExplorer & Autoruns, zum Thema "Malware-Bereinigung " beginnt und mit dem Thema "Malware verstehen: Viren und Spyware" beginnt .

Das Abwischen des Laufwerks ist oft die schnellste und sicherste Route, die auf dieser Website als "beste Antwort" vorgeschlagen wird. Ivo Flipse vor 14 Jahren 72
@Wil - Ich würde auch empfehlen, entweder Anti-Malware-Software im abgesicherten Modus auszuführen (sofern die Software dies zulässt), um sicherzustellen, dass alle als infiziert gefundenen Dateien oder Malware-bezogenen Dateien vollständig entfernt werden können. Isxek vor 14 Jahren 0
Aus meiner Erfahrung würde ich Spybot nicht als meine erste Wahl ansehen. Avira, Kaspersky Virus Removal Tool & AVG sind eine gute freie Wahl gemäß AV-Vergleich http://www.av-comparatives.org/ & AV-Test.org: http://blogs.pcmag.com/securitywatch/2009/12 /av-testorg_releases_real-world.php fluxtendu vor 14 Jahren 1
Ich würde auch vorschlagen, das Sysclean-Tool von Trend Micro zu verwenden, das Sie hier finden: http://www.trendmicro.com/download/dcs.asp. Sie müssen sowohl die Antivirus- als auch die Antispyware-Definitionsdateien herunterladen, die zum vollständigen Scannen Ihres Computers und zur Entfernung von Malware erforderlich sind. Isxek vor 14 Jahren 0
Das einzige Problem ist, dass dies keine schrittweise Anweisungen zum Entfernen der Malware enthält. Da sich Malware ständig ändert, müssen sich die Anweisungen zum Entfernen immer weiterentwickeln, um sie zu bekämpfen. James Watt vor 13 Jahren 0
Ein Vorschlag ist, dass viele dieser Malware-Programme Kennwörter und Bankdaten stehlen, es ist also keine schlechte Idee, die Verbindung zum Internet zu trennen, sobald Sie einer Infektion gegenüber verdächtig werden. Es kann durchaus zu spät sein, aber es besteht die Möglichkeit, dass Datenverluste begrenzt werden oder die Aktualisierung der Malware verhindert wird, bis Sie die Reinigung erfolgreich abgeschlossen haben. emgee vor 13 Jahren 17
Wenn Sie keinen anderen Backup-Computer zur Verfügung haben, können Sie immer eine andere Festplatte als Master verwenden, Ihre aktuelle Festplatte als Slave-Slave einrichten und einen Scanvorgang durchführen. Fahad Uddin vor 12 Jahren 0
@emgee Gute Daumenregel bei der Datenexfiltration: Wenn Sie Zweifel haben, ziehen Sie sie heraus (den Ethernet-Stecker). Nate Koppenhaver vor 12 Jahren 3
Combofix.org ist nicht der offizielle Download-Speicherort von Combofix und ist nicht autorisiert oder vom Autor von Combofix empfohlen. Der offizielle Download ist [hier] (http://www.bleepingcomputer.com/download/anti-virus/combofix). Andrew Lambert vor 12 Jahren 5
Ich hatte tatsächlich einen Kunden, der einen Anrufer gewährte, der sich als Microsoft Remote-Zugriff auf ihren Computer ausgab. Selbst nachdem sie alle Scans online und von einer Live-CD bestanden hatte, forderte sie ihr technischer Support bei der Arbeit auf, sie neu zu installieren. Ich dachte nicht, dass das notwendig wäre, aber ich tat es, und dann öffneten sich eine ganze Reihe von Fenstern (NACH DEM Neuinstallieren). Da ich dachte, sie hätten vielleicht einen Bootsektor-Virus oder so etwas fallen gelassen, begann ich von vorne, zuerst mit einer Live-CD und 'sudo dd bs = 1M if = / dev / zero von = / dev / sda'. Ich bin jetzt mit einem ähnlichen Projekt beschäftigt, obwohl dieses durch eine E-Mail an 'Upgrade auf Windows 7' nicht per Telefon gelöscht wurde conspiritech vor 12 Jahren 0
86
quack quixote

Jeff Atwoods Tipps zur Beseitigung eines Windows-Spyware-Infekts enthalten einige großartige Tipps zur Malware-Bekämpfung . Hier ist der grundlegende Prozess (lesen Sie den Blogbeitrag für Screenshots und andere Details, die in dieser Zusammenfassung beschrieben werden):

  1. Stoppen Sie die aktuell ausgeführte Spyware. Der eingebaute Task-Manager von Windows schneidet es nicht ab. Holen Sie sich Sysinternals Process Explorer .
    1. Führen Sie den Process Explorer aus.
    2. Sortieren Sie die Prozessliste nach Firmenname.
    3. Beenden Sie alle Prozesse, die keinen Firmennamen haben (außer DPCs, Interrupts, System und System Idle-Prozess) oder mit Firmennamen, die Sie nicht kennen.
  2. Stoppen Sie den Neustart der Spyware, wenn das System das nächste Mal gestartet wird. Auch das eingebaute Windows-Tool MSconfig ist eine Teillösung, aber Sysinternals AutoRuns ist das zu verwendende Werkzeug.
    1. Führen Sie AutoRuns aus.
    2. Gehen Sie die gesamte Liste durch. Deaktivieren Sie verdächtige Einträge - solche mit leeren Publisher-Namen oder anderen Publisher-Namen, die Sie nicht kennen.
  3. Starten Sie jetzt neu.
  4. Prüfen Sie nach dem Neustart erneut mit Process Explorer und AutoRuns. Wenn etwas "zurückkommt", müssen Sie tiefer graben.
    • In Jeffs Beispiel kam ein verdächtiger Fahrereintrag in AutoRuns zum Vorschein. Er spricht, indem er den Prozess auffindet, mit dem er in Process Explorer geladen wurde, den Ziehpunkt schließt und den schädlichen Treiber physisch löscht.
    • Er fand auch, dass eine DLL mit seltsam benannten DLL-Dateien in den Winlogon-Prozess eingebunden wurde, und demonstriert, wie die Prozessthreads gefunden und beseitigt werden, die diese DLL laden, sodass AutoRuns die Einträge endgültig entfernen kann.
Trend Micro [HijackThis] (http://free.antivirus.com/hijackthis/) ist ein kostenloses Dienstprogramm, das einen ausführlichen Bericht über die Registrierungs- und Dateieinstellungen Ihres Computers erstellt. Ich werde warnen, dass dies gutes und schlechtes Zeug findet und keinen Unterschied macht, aber Google ist unser Freund, wenn wir misstrauisch sind. Umber Ferrule vor 12 Jahren 3
Der Sysinternals Process Explorer-Link ist tot. Diese Antworten finden sich bei einigen Google Top-Ergebnissen. Kann jemand dies mit einem aktualisierten Link aktualisieren? Ich suche auch danach. Malavos vor 9 Jahren 2
Autoruns ist fantastisch, aber der Vorschlag, sich auf den Publisher zu verlassen, ist möglicherweise nicht nützlich. Diese Stackoverflow-Frage zeigt, wie die Versionsinformationen leicht modifiziert (und daher gefälscht) werden können [http://stackoverflow.com/questions/284258/how-do-i-set-the-version-information-for-an-existing- exe-dll]. Ich habe dies auf einer Java-DLL ausprobiert und Autoruns zeigte den Publisher falsch an. AlainD vor 8 Jahren 0
Ihre Systernals-Autorun-Verbindung ist unterbrochen Daniel vor 6 Jahren 0
49
Tom Wijsman

Meine Methode, Malware zu entfernen, ist effektiv und ich habe noch nie einen Fehler gesehen:

  1. Laden Sie Autoruns herunter und wenn Sie noch einen 32-Bit-Download durchführen, laden Sie einen Rootkit-Scanner herunter.
  2. Starten Sie im abgesicherten Modus und starten Sie, falls möglich, Autoruns. Fahren Sie dann mit Schritt 5 fort.
  3. Wenn Sie nicht in den abgesicherten Modus gelangen können, verbinden Sie die Festplatte mit einem anderen Computer.
  4. Starten Sie Autoruns auf diesem Computer, gehen Sie zu Datei -> Analyses Offline-System und füllen Sie es aus.
  5. Warten Sie, bis der Scan abgeschlossen ist.
  6. Wählen Sie im Menü "Optionen" alles aus.
  7. Lassen Sie es erneut durch Drücken von F5 scannen. Dies wird schnell gehen, wenn Dinge zwischengespeichert werden.
  8. Durchsuchen Sie die Liste und deaktivieren Sie alles, was auffällig ist oder über keine geprüfte Firma verfügt.
  9. Optional: Führen Sie den Rootkit-Scanner aus.
  10. Lassen Sie einen Top-Virenscanner alle verbleibenden Dateien entfernen.
  11. Optional: Führen Sie Anti-Malware- und Anti-Spyware-Scanner aus, um Junk zu beseitigen.
  12. Optional: Führen Sie Tools wie HijackThis / OTL / ComboFix aus, um Junk zu beseitigen.
  13. Starten Sie neu und genießen Sie Ihr sauberes System.
  14. Optional: Führen Sie den Rootkit-Scanner erneut aus.
  15. Stellen Sie sicher, dass Ihr Computer ausreichend geschützt ist!

Einige Anmerkungen:

  • Autoruns wurde von Microsoft geschrieben und zeigt somit alle Positionen an, die automatisch gestartet werden ...
  • Wenn Software nicht von Autoruns abgehakt wird, startet sie nicht und kann Sie nicht daran hindern, sie zu entfernen.
  • Für 64-Bit-Betriebssysteme gibt es keine Rootkits, da diese signiert werden müssten ...

Es ist effektiv, da dadurch Malware / Spyware / Viren vom Starten abgehalten wird.
Sie können optionale Tools ausführen, um den auf Ihrem System verbleibenden Müll zu entfernen.

44
Moab

Folgen Sie der unten angegebenen Reihenfolge, um Ihren PC zu desinfizieren

  1. Erstellen Sie auf einem nicht infizierten PC eine Boot-AV-Disc, booten Sie dann von der Disc auf dem infizierten PC, scannen Sie die Festplatte und entfernen Sie alle gefundenen Infektionen. Ich bevorzuge die Windows Defender Offline- Boot-CD / USB, da diese Bootsektor-Viren entfernen kann. Siehe "Hinweis" unten.

    Sie können auch andere AV-Boot-Discs ausprobieren .

  2. Nach dem Scannen und Entfernen von Malware mithilfe der Startdisk installieren Sie MBAM kostenlos, führen Sie das Programm aus, wechseln Sie zur Registerkarte Update und aktualisieren Sie es. Wechseln Sie dann zur Registerkarte Scanner, und führen Sie einen kurzen Scan durch, wählen Sie alle gefundenen Objekte aus und entfernen Sie sie.

  3. Wenn die MBAM-Installation abgeschlossen ist, installieren Sie die SAS- freie Version. Führen Sie einen Schnell-Scan durch und entfernen Sie die Auswahl, die automatisch ausgewählt wird.

  4. Wenn Windows-Systemdateien infiziert wurden, müssen Sie möglicherweise SFC ausführen, um die Dateien zu ersetzen. Möglicherweise müssen Sie dies offline tun, wenn es aufgrund des Entfernens der infizierten Systemdateien nicht booten kann. Ich empfehle Ihnen, SFC auszuführen, nachdem die Entfernung von Infektionen abgeschlossen ist.

  5. In einigen Fällen müssen Sie möglicherweise eine Startreparatur ausführen (nur Windows Vista und Windows7), um den Neustart zu ermöglichen. In extremen Fällen sind möglicherweise drei Startreparaturen in Folge erforderlich.

MBAM und SAS sind keine AV-Softwares wie Norton. Sie sind On-Demand-Scanner, die beim Ausführen des Programms nur nach Verspottungen suchen und den installierten AV nicht beeinträchtigen. Sie können einmal pro Tag oder in der Woche ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Stellen Sie sicher, dass Sie sie vor jedem täglichen / wöchentlichen Scan aktualisieren.

Hinweis: Das Windows Defender Offline-Produkt kann sehr gut permanente MBR-Infektionen entfernen, die heutzutage üblich sind.

.

Für fortgeschrittene Benutzer:

Wenn Sie eine einzelne Infektion haben, die sich als Software darstellt, z. B. "System Fix", "AV Security 2012" usw., finden Sie auf dieser Seite spezifische Entfernungsleitfäden

.

Ein zweiter Computer für die Virenprüfung ist wahrscheinlich die beste Lösung, da Sie nicht auf das infizierte Laufwerk Ihres Systems angewiesen sind. Ich bezweifle jedoch, dass neben den Computerfirmen viele Leute eine solche Lösung haben. Gnoupi vor 13 Jahren 3
Wenn kein dedizierter PC verfügbar ist, kann ein ähnlicher Vorgang durch Starten des Systems mit einer Live-CD ausgeführt werden Ophir Yoktan vor 13 Jahren 2
@Ophir: Live-CD? Fahad Uddin vor 12 Jahren 0
zum Beispiel: [http://distro.ibiblio.org/tinycorelinux/welcome.html(((ttp://distro.ibiblio.org/tinycorelinux/welcome.html) Ophir Yoktan vor 12 Jahren 1
Der [Microsoft Standalone System Sweeper] (http://connect.microsoft.com/systemsweeper) ist nur [der alte Name] (http://forum.thewindowsclub.com/windows-security/33602-difference-). between-windows-defender-offline-beta-standalone-system-sweeper.html (post163803) von Windows Defender Offline, falls dies auch jemand fand. Scott Chamberlain vor 12 Jahren 0
36
ChrisF

Wenn Sie eines der Symptome bemerken, sollten Sie die DNS-Einstellungen Ihrer Netzwerkverbindung überprüfen.

Wenn diese entweder von "DNS-Serveradresse automatisch beziehen" oder von einem anderen Server als dem, den es sein sollte, geändert wurden, ist dies ein gutes Zeichen, dass Sie eine Infektion haben. Dies ist die Ursache für die Weiterleitung von Anti-Malware-Websites oder der völlige Fehler, die Site überhaupt zu erreichen.

Es ist wahrscheinlich eine gute Idee, Ihre DNS-Einstellungen vor einer Infektion zu notieren, damit Sie wissen, was sie sein sollten. Die Details sind auch auf den Hilfeseiten der Website Ihres ISP verfügbar.

Wenn Sie die DNS-Server nicht kennen und die Informationen auf Ihrer ISP-Site nicht finden können, ist die Verwendung der Google DNS-Server eine gute Alternative. Sie sind unter 8.8.8.8 und 8.8.4.4 für den Primär- bzw. Sekundärserver zu finden.

Durch das Zurücksetzen des DNS wird das Problem zwar nicht behoben, doch können Sie a) die Anti-Malware-Websites erreichen, um die Software zu erhalten, die Sie zum Reinigen des PCs benötigen, und b) wenn die Infektion erneut auftritt, wenn sich die DNS-Einstellungen erneut ändern.

31
harrymc

Die möglichen Lösungen für eine Virusinfektion sind in der richtigen Reihenfolge: (1) Antivirus-Scans, (2) Systemreparatur, (3) vollständige Neuinstallation.

Stellen Sie zunächst sicher, dass alle Ihre Daten gesichert sind.

Laden und installieren Sie einige Antivirenprogramme, stellen Sie sicher, dass sie auf dem neuesten Stand sind, und scannen Sie Ihre Festplatte gründlich. Ich empfehle mindestens Malwarebytes Anti-Malware zu verwenden . Ich mag auch Avast.

Wenn dies aus irgendeinem Grund nicht funktioniert, können Sie einen Rettungs-Live-CD-Virenscanner verwenden: Am besten gefällt mir das Avira AntiVir Rescue System, da es mehrmals täglich aktualisiert wird und die Download-CD daher auf dem neuesten Stand ist. Als Boot-CD ist sie autonom und funktioniert nicht mit Ihrem Windows-System.

Wenn kein Virus gefunden wird, reparieren Sie wichtige Windows-Dateien mit "sfc / scannow".
Siehe diesen Artikel .

Wenn dies auch nicht funktioniert, sollten Sie eine Reparaturinstallation durchführen .

Wenn nichts funktioniert, sollten Sie die Festplatte formatieren und Windows neu installieren.

Als ich kürzlich mit einem Virus / Trojaner infiziert wurde, benutzte ich Knoppix auf einem USB-Stick, ließ apt-get wine laufen, installierte Dr. Web Cure-It in meiner Weinsitzung und ließ dies meine Infektion säubern. Ich musste es so machen, weil mein Laptop einige der anderen Live-CD-Alternativen nicht starten konnte. PP. vor 14 Jahren 2
31
DanBeale

Es gibt eine Vielzahl von Malware. Einiges davon ist trivial zu finden und zu entfernen. Einiges davon ist schwieriger. Einige davon sind wirklich schwer zu finden und sehr schwer zu entfernen.

Aber selbst wenn Sie eine leichte Malware haben, sollten Sie unbedingt das Betriebssystem reformieren und neu installieren. Dies ist darauf zurückzuführen, dass Ihre Sicherheit bereits ausgefallen ist. Wenn eine einfache Malware fehlschlägt, sind Sie möglicherweise bereits mit schädlicher Malware infiziert.

Personen, die mit vertraulichen Daten oder in Netzwerken arbeiten, in denen vertrauliche Daten gespeichert sind, sollten unbedingt die Löschung und Neuinstallation in Betracht ziehen. Menschen, deren Zeit wertvoll ist, sollten unbedingt die Option zum Abwischen und erneuten Installieren in Betracht ziehen (die schnellste, einfachste und sicherste Methode). Personen, die mit den fortschrittlichen Tools nicht vertraut sind, sollten das Löschen und Neuinstallieren in Betracht ziehen.

Aber Leute, die Zeit haben und Spaß am Nudeln haben, können Methoden ausprobieren, die in anderen Beiträgen aufgeführt sind.

Richtig. Dieses Zeug ist für Sicherheit, Reinigung und profane Betriebssystembenutzung ausgelegt. Nimm nicht an einem Wettrüsten teil. Nulltoleranz ist die einzige Richtlinie. XTL vor 12 Jahren 3
29
Ben N

Ransomware

Eine neuere, besonders schreckliche Form von Malware ist Ransomware . Diese Art von Programm, das normalerweise mit einem Trojaner (z. B. einem E-Mail-Anhang) oder einem Browser-Exploit ausgeliefert wird, durchläuft die Dateien Ihres Computers, verschlüsselt sie (macht sie völlig unkenntlich und unbrauchbar) und fordert ein Lösegeld, um sie wieder nutzbar zu machen Zustand.

Ransomware verwendet im Allgemeinen eine asymmetrische Verschlüsselung, die zwei Schlüssel umfasst: den öffentlichen und den privaten Schlüssel . Wenn Sie von Ransomware erfasst werden, stellt das auf Ihrem Computer ausgeführte Schadprogramm eine Verbindung zum Server der bösen Jungs (Command and Control, C & C) her, der beide Schlüssel generiert. Es sendet nur den öffentlichen Schlüssel an die Malware auf Ihrem Computer, da dies alles ist, um die Dateien zu verschlüsseln. Leider können die Dateien nur mit dem privaten Schlüssel entschlüsselt werden, der niemals in den Arbeitsspeicher Ihres Computers gelangt, wenn die Ransomware gut geschrieben ist. Die bösen Jungs geben normalerweise an, dass sie Ihnen den privaten Schlüssel geben werden (damit Sie Ihre Dateien entschlüsseln können), wenn Sie bezahlen, aber natürlich müssen Sie ihnen vertrauen.

Was du tun kannst

Die beste Option ist, das Betriebssystem neu zu installieren (um jede Spur von Malware zu entfernen) und Ihre persönlichen Dateien aus den zuvor erstellten Sicherungen wiederherzustellen. Wenn Sie jetzt keine Backups haben, wird dies schwieriger. Machen Sie es sich zur Gewohnheit, wichtige Dateien zu sichern.

Wenn Sie bezahlen, können Sie wahrscheinlich Ihre Dateien wiederherstellen, aber bitte nicht . Dies unterstützt ihr Geschäftsmodell. Ich sage auch "wahrscheinlich lassen Sie sich erholen", weil ich mindestens zwei Stämme kenne, die so schlecht geschrieben sind, dass sie Ihre Dateien irreparabel beschädigen. Selbst das entsprechende Entschlüsselungsprogramm funktioniert nicht wirklich.

Alternativen

Zum Glück gibt es eine dritte Option. Viele Ransomware-Entwickler haben Fehler gemacht, durch die gute Sicherheitsleute Prozesse entwickeln können, die den Schaden aufheben. Der Prozess dafür hängt vollständig von der Belastung der Ransomware ab, und diese Liste ändert sich ständig. Einige wundervolle Leute haben eine große Liste von Ransomware-Varianten zusammengestellt, einschließlich der Erweiterungen, die auf die gesperrten Dateien angewendet werden, und den Namen der Lösegeldforderung, mit deren Hilfe Sie feststellen können, welche Version Sie verwenden. Für einige Sorten hat diese Liste auch einen Link zu einem freien Entschlüsseler! Befolgen Sie die entsprechenden Anweisungen (Links befinden sich in der Decryptor-Spalte), um Ihre Dateien wiederherzustellen. Bevor Sie beginnen, sollten Sie die anderen Antworten auf diese Frage verwenden, um sicherzustellen, dass das Ransomware-Programm von Ihrem Computer entfernt wird.

Wenn Sie nicht nur anhand der Namen der Erweiterungen und der Lösegeldforderung feststellen können, was Sie getroffen haben, suchen Sie im Internet nach ein paar eindeutigen Ausdrücken aus der Lösegeldforderung. Rechtschreib- oder Grammatikfehler sind in der Regel ziemlich eindeutig und Sie werden wahrscheinlich auf einen Forenthread stoßen, der die Ransomware identifiziert.

Wenn Ihre Version noch nicht bekannt ist oder Sie keine Möglichkeit haben, die Dateien zu entschlüsseln, geben Sie die Hoffnung nicht auf! Sicherheitsforscher arbeiten daran, Ransomware rückgängig zu machen, und Strafverfolgungsbehörden verfolgen die Entwickler. Es ist möglich, dass schließlich ein Entschlüsseler erscheint. Wenn das Lösegeld zeitlich begrenzt ist, ist es denkbar, dass Ihre Dateien auch nach der Entwicklung des Updates wiederhergestellt werden können. Auch wenn nicht, zahlen Sie bitte nicht, es sei denn, Sie müssen es unbedingt tun. Stellen Sie während des Wartens sicher, dass Ihr Computer frei von Malware ist, und verwenden Sie die anderen Antworten auf diese Frage. Sichern Sie die verschlüsselten Versionen Ihrer Dateien, um sie sicher zu halten, bis der Fix herauskommt.

Wenn Sie so viel wie möglich wiederhergestellt haben (und Sicherungskopien davon auf externe Medien erstellen!), Sollten Sie das Betriebssystem unbedingt von Grund auf installieren. Dies wird wiederum alle Malware, die sich tief im System angesiedelt hat, wegblasen.

Zusätzliche Variantenspezifische Tipps

Einige Ransomware-Variantenspezifische Tipps, die noch nicht in der großen Tabelle enthalten sind:

  • Wenn das Entschlüsselungsprogramm für LeChiffre nicht funktioniert, können Sie mit einem Hex-Editor alle außer den ersten und letzten 8 KB der Daten jeder Datei wiederherstellen. Springe zu Adresse 0x2000 und kopiere alle bis auf die letzten 0x2000 Bytes. Kleine Dateien werden komplett zerstört, aber mit etwas Fummeln können Sie vielleicht etwas Größeres aus dem Weg räumen.
  • Wenn Sie mit WannaCrypt getroffen wurden und Windows XP ausführen, seit der Infektion nicht neu gestartet wurden und Glück haben, können Sie den privaten Schlüssel möglicherweise mit Wannakey extrahieren .
  • Bitdefender verfügt über eine Reihe kostenloser Tools, um die Variante zu identifizieren und einige spezifische Varianten zu entschlüsseln.
  • (andere werden hinzugefügt, sobald sie entdeckt werden)

Fazit

Ransomware ist böse und die traurige Realität ist, dass es nicht immer möglich ist, sich davon zu erholen. Um in Zukunft sicher zu sein:

  • Halten Sie Ihr Betriebssystem, Ihren Webbrowser und Ihr Virenschutzprogramm auf dem neuesten Stand
  • Öffnen Sie keine E-Mail-Anhänge, die Sie nicht erwartet haben, insbesondere wenn Sie den Absender nicht kennen
  • Vermeiden Sie skizzenhafte Websites (dh Websites mit illegalen oder ethisch fragwürdigen Inhalten)
  • Stellen Sie sicher, dass Ihr Konto nur auf Dokumente zugreifen kann, mit denen Sie persönlich arbeiten müssen
  • Verfügen Sie über funktionierende Backups auf externen Medien (nicht an Ihren Computer angeschlossen)!
Es gibt jetzt einige Programme, die Sie angeblich vor Ransomware schützen, zum Beispiel: https://www.winpatrol.com/WinAntiRansom/ (ein kommerzielles Programm). Ich habe das noch nie verwendet, weil ich nicht mehr unter Windows bin, aber das WinPatrol-Produkt dieses Unternehmens ist ein Produkt, das ich seit Jahren verwende und häufig empfohlen habe. Einige Antiviren-Entwickler verfügen über Anti-Ransomware-Tools, die manchmal kostenpflichtig sind. fixer1234 vor 7 Jahren 0
Informationen speziell zum Entfernen von Petya-Ransomware finden Sie auch in dieser Frage und Antwort: http://superuser.com/questions/1063695/i-am-a-victim-of-the-petya-ransomware-isthere-a-solution -de-entschlüsseln-meine-Platte fixer1234 vor 7 Jahren 0
Ich füge der Schlussfolgerung noch eine weitere Sache hinzu: Vermeiden Sie den Besuch von Websites, die illegales oder amoralisches Verhalten fördern, wie etwa Medien- und Softwarepiraterie. Inhalte, die in den meisten Teilen der Welt verboten sind; usw. Diese Websites schließen häufig Verträge mit den * am wenigsten * angesehenen Werbeanbietern ab, die keine wirklichen Anstrengungen unternehmen, um den Inhalt ihrer "Anzeigen" überhaupt zu filtern, wodurch es Kriminellen leicht gemacht wird, Ihre Webseite mit Inhalten zu versehen, die Malware oder Exploitversuche enthalten Ihr Browser, um Zugriff auf Ihr System zu erhalten. Manchmal wird sogar ein guter Adblocker dieses Zeug vermissen. Horn OK Please vor 7 Jahren 2
@allquicatic Ich habe einen Punkt in dieser Vene hinzugefügt. Lassen Sie mich wissen, ob noch etwas erweitert werden kann. Vielen Dank! Ben N vor 7 Jahren 0
24
Scott Chamberlain

Ein weiteres Werkzeug, das ich zur Diskussion hinzufügen möchte, ist der Microsoft-Sicherheitsscanner . Es wurde gerade vor ein paar Monaten veröffentlicht. Es ist ein bisschen wie das Tool zum Entfernen bösartiger Software, aber für den Offline-Gebrauch konzipiert. Es enthält die neuesten Definitionen zum Zeitpunkt des Herunterladens und ist nur 10 Tage lang nutzbar, da die Definitionsdatei als "zu alt für die Verwendung" betrachtet wird. Laden Sie es mit einem anderen Computer herunter und führen Sie es im abgesicherten Modus aus. Es funktioniert ziemlich gut.

Verwandte Probleme