Besteht der Verdacht, dass man sich einen digitalen Plagegeist in Form eines Computervirus eingefangen hat, sollte man den Computer scannen. Allerdings nicht mit dem laufenden Virenscanner in Windows selbst. Sobald der Computer befallen ist, können Viren sich im laufenden Betrieb verstecken. Abhilfe schafft der Scan der Festplatte aus einem laufenden System heraus.
Videoanleitung
Anleitung
In unserem Beispiel wollen wir die Desinfect DVD des Heise-Verlages verwenden. Zwar bieten auch die Antivirenhersteller Rettungs-DVDs zum Download an, aber meine Erfahrung damit war ernüchternd. Bei einigen gelang nicht einmal das System zu booten, bei anderen fehlten Treiber, z.B. für WLAN. Damit waren dann keine Updates der Virensignaturen möglich. Mit teilweise recht veralteten Signaturen erkennt das System dann neue Viren nicht mehr.
Die DVD der c’t ist ebenfalls eine Linux-Live-DVD. Von dieser kann man ebenfalls direkt booten, für Systeme ohne DVD-Laufwerk kann ein bootbarer USB-Stick erstellt werden. In meinem Test haben WLAN und Zugriff auf die Windows-Partitionen problemlos geklappt. Vier verschiedene Virenscanner kommen auf Wunsch zum Einsatz. Vor dem Scan werden diese zudem auf aktuellen Stand gebracht.
Die DVD erlaubt zudem Zugriff auf die Windows-Partitionen. Somit kann das System auch zur Datenrettung bzw. Backup verwendet werden, falls Windows nicht mehr bootet. Die DVD gibt es nicht kostenlos, sondern als Heftbeilage für knappe 5 Euro. Ein sehr fairer Preis.
Windows vorbereiten
Zuerst sollte Windows ohne Schnellstart heruntergefahren werden. Am Einfachsten geht dies, wenn man statt Herunterfahren auf Neustarten klickt. Beim Herunterfahren geht der Computer in den Ruhezustand und speichert den Zustand in die Datei hiberfil.sys
. Dies kann zu Problemen in Verbindung mit dem Zugriff von Linux aus führen.
Booten von DVD oder USB-Stick
Vor dem Neustart legen wir die DVD ins Laufwerk. Computer ohne DVD-Laufwerk verwenden den erstellten USB-Stick oder ein USB-DVD-Laufwerk. Um von der DVD zu booten, muss das Bootmenü des BIOS aufgerufen werden. Dies ist bei jedem Computer unterschiedlich. Oft kommt eine Einblendung beim Start, mal muss man F12 drücken, mal F2. Oft lässt sich die Bootreihenfolge auch im Bios festlegen.
Die genaue Funktionsweise findet man schnell heraus, indem man bei Google danach sucht. Bei meinem Computer war es F12:
Hier wird nun das USB-Laufwerk als Bootgerät ausgewählt.
Hat das geklappt, sollte das Desinfect-Menü erscheinen. Hier bestätigt man einfach die ausgewählte Standardoption.
Hat das geklappt, sollte das Desinfect-Menü erscheinen. Hier bestätigt man einfach die ausgewählte Standardoption.
Nach Eingabe der Zugangsdaten kann man nun auch über den Browser nach Hilfestellungen im Internet suchen oder auch über das vorinstallierte Teamviewer Fernwartung erhalten.
Nun werden die Windows-Laufwerke eingebunden:
Dies erlaubt den Zugriff auf die Windows-Partition über den Datei-Explorer:
Falls das System von Viren befallen ist, Windows nicht mehr bootet, dies erlaubt uns in Verbindung mit einer USB-Festplatte zumindest ein Kopieren der Daten von der Festplatte.
Einen Virenscan zu starten, man wird es sich denken können, geht über das große auffällige Icon auf dem Desktop:
Es öffnet sich ein Wizard, hier kann im ersten Schritt ausgewählt werden, welche Scanner die Überprüfung durchführen sollen.
Für den Anfang genügt einer. Falls dieser etwas findet, kann man sich immer noch eine Zweitmeinung einholen. Es folgt die Auswahl der zu überprüfenden Partitionen oder Ordner:
Man kann einzelne Order oder die gesamte Windowsfestplatte überprüfen. Dann geht es auch schon los. Der gewählte Virenscanner wird zuerst mit neuen Updates versehen. Anschließend startet der Scan.
So eine Überprüfung kann schonmal eine Weile dauern. Die c’t-Redaktion hat für diesen Fall ein paar Spiele vorinstalliert, mit denen man sich die Wartezeit verkürzen kann.
Im Idealfall läuft der Scan ohne Ergebnisse durch. Das heißt: keine Viren auf dem System, aufatmen. Wer auf Nummer sicher gehen will, der führt den Scan noch mit den anderen Scannern durch.
Allerdings kann es auch vorkommen, dass er etwas findet:
In diesem Beispiel hat er zwei Dinge gefunden. Den Eicar-Testvirus, welchen ich auf dem System platziert habe und dann noch einen TR/Crypt.XPACK.Gen
. Was ist da wohl los?
Generell sollte man bei Virenbefall keine Panik schieben. Das System läuft derzeit nicht und der Virus kann keine weiteren Schäden anrichten. Zudem sind Virenscanner auch bekannt dafür Falschmeldungen zu erzeugen. Nach Ablauf des Scans schauen wir uns daher in Ruhe das Protokoll an.
Das Protokoll erlaubt es, verdächte Dateien direkt zum Online-Dienst VirusTotal hochzuladen. Der Dienst überprüft die Datei dann mit verschiedenen Virenscannern gleichzeitig.
Erst, wenn auch hier Scanner einen Virus melden, dann ist die Datei tatsächlich infiziert. In meinem Fall gibt es Entwarnung:
Bereinigung
Sollten sich doch Viren auf dem System befinden, dann sollte das System gründlich bereinigt werden. Meine Empfehlung: das System und die Festplatte komplett formatieren und neu aufsetzen. Bevor man dies erledigt, sollten aber die eigenen Daten gesichert werden. Sofern kein Backup vorhanden ist, sollten die Dateien auf eine USB-Festplatte kopiert werden. Dies geht auch direkt mit der Desinfect-DVD. Die gesicherten Dateien sollte man anschließend mit einem Virenscanner überprüfen, damit man den Virus nicht gleich mit aufs neue System kopiert.
Anschließend sollte die Festplatte formatiert und Windows neu installiert werden.