Schadsoftware - Weg mit Scareware, Ransomware und Spyware!

Geschrieben von Carsten Eilers am Donnerstag, 21. Juli 2011 um 09:00

Die sicherste Methode, ein infiziertes System zu reinigen, besteht wie bereits erwähnt darin, es zu löschen und neu aufzusetzen. In vielen Fällen ist es aber möglich, die Schadsoftware mehr oder weniger Rückstandsfrei zu entfernen. Dazu ein Hinweis vorweg: Prüfen Sie das System im Falle eines (Schadsoftware-Be)falles immer "von außen". Booten Sie den Rechner mit einem garantiert schadsoftwarefreien System, z.B. einer CD, und führen Sie den Virenscan dann von dort aus durch. Beim Prüfen des laufenden Systems besteht die Gefahr, das nicht jede Schadsoftware, vor allem natürlich Rootkits, erkannt wird.

Scareware - Echter Virenscanner gegen Fake-Virenscanner

Fangen wir mit der Scareware an. Hier sind (mindestens) drei Möglichkeiten zu berücksichtigen, je nachdem, ob und ggf. wie der Fake-Virenscanner bereits installiert wurde. Am einfachsten ist das entfernen, wenn Sie sich von der gefälschten Virenwarnung nicht haben täuschen lassen und diese Warnung lediglich vom Browser ausgegeben wurde. Bei dieser Einfachst-Variante reicht es, das Browserfenster zu schließen, und der Spuk ist vorbei. Da nichts auf Ihrem Rechner installiert wurde, müssen Sie auch nichts löschen.

Etwas schwieriger wird es, wenn Sie den Fake-Virenscanner bereits installiert haben. Je nachdem, wie raffiniert die Cyberkriminellen waren, kann der dann manuell oder nur von echten Virenscannern entfernt werden. Entsprechende Informationen erhalten Sie bei den Herstellern der echten Virenscanner, die für manche Schadsoftware auch eigenständige Tools zum Entfernen bereit stellen.

Sollte sich der Fake-Virenscanner im Rahmen einer Drive-by-Infektion selbst installiert haben, gilt im Grund das gleiche wie für eine von Ihnen installierte Version. Achten Sie aber darauf, ob wirklich nur der Fake-Virenscanner installiert wurde oder ob weitere Schadsoftware im Spiel ist. Zum einen könnte der Fake-Virenscanner weitere Schädlinge nachgeladen haben (was natürlich auch einer von Ihnen installierten Scareware möglich ist), wahrscheinlicher ist es aber, dass eine andere Schadsoftware, z.B. ein Wurm, den Fake-Virenscanner erst nachgeladen hat. Entfernen Sie dann nur die Scareware, bleibt die ursächliche Schadsoftware zurück und lädt munter weitere Schadsoftware nach.

Ransomware - Lassen Sie sich nicht erpressen!

Falls Sie das Opfer von Ransomware werden, gilt der Grundsatz "Lassen Sie sich nicht erpressen!". Zahlen Sie auf keinen Fall das geforderte Lösegeld, ob Sie ihre Daten wiederbekommen, ist zweifelhaft. Wer garantiert Ihnen denn, dass die Daten wirklich verschlüsselt und nicht einfach mit Zufallsdaten überschrieben wurden? Das gleiche gilt z.B. bei der das System sperrenden Ransomware - was ist, wenn die Schadsoftware einfach eine wichtige Datei überschrieben hat?

Ein aktueller Virenscanner sollte die Infektion verhindern bzw. ein infiziertes System reinigen können. Manche Antivirenhersteller stellen auch Programme zum Retten verschlüsselter Daten oder dem Freischalten gesperrter Systeme bereit, eine Suche bei der Suchmaschine Ihres geringsten Misstrauens wird Sie in vielen Fällen zu entsprechenden Rettungstools führen. Aber seien Sie misstrauisch, vor allem bei einem aktuellen Schadsoftware-Angriff besteht die Gefahr, dass (entweder die gleichen oder andere) Cyberkriminelle präparierte Seiten zu den entsprechenden Suchbegriffen per Suchmaschinenoptimierung an die Spitze der Suchergebnisse gemogelt haben und darüber z.B. Drive-by-Infektionen verbreiten.

Ansonsten gilt der übliche Standard-Ratschlag: Ein aktuelles Backup schützt vor manchem Ärger - egal ob durch Schadsoftware, einen Hardware-Defekt, dem unabsichtlichen Löschen einer wichtigen Datei oder was auch immer. Im Fall von Ransomware können Sie beim Vorhandensein eines aktuellen Backups einfach das System neu installieren und Ihre Daten aus dem Backup wiederherstellen.

Spyware - Weg mit dem Spion!

Spyware kann auf vielen Wegen auf Ihren Rechner gelangen: Zusammen mit einem gewollt installierten Programm als Adware, von einem Dritten installiert oder von anderer Schadsoftware nachgeladen. Alle Versionen sollten von aktuellen Virenscannern oder deren auf Spyware spezialisierten Kollegen, den Anti-Spyware-Programmen, entdeckt und in den meisten Fällen auch entfernt werden. Falls die die Spyware installierenden "Dritten" Ihr Arbeitgeber und die in seinem Auftrag agierenden Admins sind und der Rechner Ihnen vom Arbeitgeber zur Verfügung gestellt wurde, sollten Sie allerdings die Finger von der Spyware lassen. Ansonsten empfiehlt es sich, dem "Dritten" mal auf die Finger zu klopfen, damit er gar nicht erst auf die Idee kommt, die Spyware erneut zu installieren.

Ist die Spyware Bestandteil eines von Ihnen installierten Programms, sollten Sie auch dies Programm löschen. Zum einen besteht die Gefahr, dass die Spyware sonst erneut installiert wird, zum anderen haben die Entwickler und/oder Vertreiber ja gezeigt, was sie von Ihrer Sicherheit und dem Schutz Ihrer Daten halten. Wer weiß, was die noch anstellen?

Manche Spyware enthält Rootkit-Funktionen und lässt sich nur schwer entfernen. Notfalls hilft nur eine Neuinstallation des Systems, falls die Spyware aber von Dritten installiert wurde, müssen Sie darauf achten, dass die sie nicht einfach neu installieren.

In der nächsten Folge geht es den restlichen Arten von Schadsoftware an den Kragen: Viren, Würmern, Trojanern und Rootkits.

Carsten Eilers

Antiviren-Hersteller

Die folgende, alphabetisch sortierte Liste ist weder vollständig noch stellt sie irgend eine Form der Bewertung dar. Welcher Scanner für Sie der beste ist, müssen und können Sie nur selbst entscheiden. Sofern Sie die Möglichkeit haben, probieren Sie verschiedene Scanner aus, z.B. in separaten virtuellen Maschinen.

Die meisten Hersteller bieten außer Windows-Versionen auch Scanner für Linux und/oder Mac OS X an. Nur für den Mac gibt es die Virenscanner von Intego.