Was, wenn mein Computer infiziert ist?

Leider kann es manchmal passieren, dass ein Antivirus-Programm trotz aller aktuellen Updates nicht in der Lage ist, einen neuen Virus, Wurm oder Trojaner zu entdecken. Traurig aber wahr: Keine Antivirus-Lösung kann eine hundertrpozentige Sicherheitsgarantie geben. Wenn Ihr Computer infiziert wurde, müssen Sie dies zunächst feststellen, die inifzierte Datei identifizieren und diese an den Hersteller schicken, dessen Produkt den Schädling übersehen hat und ihren Computer nicht schützen konnte.
Doch normale Anwender bemerken oft gar nicht, dass ihr Computer infiziert wurde, außer das Antiviren-Programm hilft ihnen dabei. Viele Würmer und Trojaner verbergen ihre Präsenz im System. Wobei es auch hier Ausnahmen gibt: Manche Trojaner informieren den Anwender direkt, dass der Computer infiziert worden ist – sie verschlüsseln Dateien und verlangen ein Lösegeld für die Entschlüsselung. Ein Trojaner installiert sich aber normalerweise heimlich auf dem Computer, nutzt oft spezielle Verschleierungsmethoden und führt seine Aktionen heimlich aus. Eine Infizierung kann also oft nur durch indirekte Beweise entdeckt werden.

Symptome eine Infizierung

Eine Erhöhung des ausgehenden Datenverkehrs ist ein generelles Anzeichen für eine Infizierung; das gilt sowohl für einzelne Computer, als auch für Firmennetzwerke. Wenn keine Nutzer innerhalb einer bestimmten Zeit im Internet arbeiten (zum Beispiel in der Nacht), aber weiterhin Web-Verkehr zu bemerken ist, kann das bedeuten, dass jemand anderes auf dem System aktiv ist – und meist handelt es sich dann um eine schädliche Aktivität.

Wenn auf dem System eine Firewall konfiguriert ist, können Versuche unbekannter Programme, eine Internet-Verbindung aufzubauen, ein Zeichen für eine Infizierung sein. Zahlreiche Werbe-Popups beim Besuch von Web-Seiten können ein Signal für Adware sein. Wenn ein Computer oft einfriert oder komplett abstürzt, kann das ebenfalls durch die Aktivität von Schadprogrammen kommen. Solche Fehlfunktionen werden aber oft auch durch Hardware- oder Software-Fehler statt Virenaktivitäten ausgelöst. Wenn allerdings ähnliche Symptome gleichzeitig auf mehreren Computern im Netzwerk auftauchen, verbunden mit einem dramatischen Anstieg des internen Datenverkehrs, deutet das ziemlich sicher auf einen Netzwerk-Wurm oder einen Backdoor-Trojaner hin, der sich über das Netzwerk ausgebreitet hat.
Eine Infizierung kann auch indirekt durch Symptome, die nicht am Computer selbst zu sehen sind, festgestellt werden: Etwa wenn auf Telefonrechnungen Anrufe oder SMS-Nachrichten auftauchen die niemand getätigt hat. Das kann auf einen Telefon-Trojaner hindeuten, der im Computer oder auf dem Handy aktiv ist. Und wenn Zugriff auf Ihr Bankkonto erlangt oder Ihre Kreditkarte ohne Erlaubnis verwendet wurde, kann das ein Zeichen für eine Spyware in Ihrem System sein.

Das können Sie tun

Als erstes sollten Sie sicherstellen, dass die Antivirus-Datenbank aktualisiert ist und dann Ihren Computer scannen. Wenn das nicht hilft, kann vielleicht die Antivirus-Software eines anderen Herstellers das Problem lösen. Viele Hersteller bieten kostenlose Versionen für Tests oder Einmal-Scans – wir empfehlen Ihnen, eines dieser Produkte auf Ihrem Computer laufen zu lassen. Wenn es einen Virus oder Trojaner entdeckt, sollten Sie eine Kopie der infizierten Datei an den Hersteller der Antivirus-Lösung schicken, die diesen nicht entdeckt hat. Das hilft dem Hersteller, schneller einen Schutz dagegen zu entwickeln und schützt andere Anwender davor, das gleiche Infizierungsschicksal zu erleiden.

Wenn auch eine alternative Antivirus-Lösung kein Schadprogramm findet, empfehlen wir, den Computer vom Internet oder dem lokalen Netzwerk zu trennen, WLAN-Verbindungen und das Modem (falls vorhanden) auszuschalten, bevor Sie nach der infizierten Datei suchen. Verwenden Sie das Netzwerk nicht, außer es ist absolut notwendig. Verwenden Sie auf keinen Fall Zahlungssysteme oder das Online-Banking. Vermeiden Sie Hinweise auf persönliche oder vertrauliche Daten und verwenden Sie keine Web-Dienste, bei denen Sie Namen und Passwörter eingeben müssen.

Wie kann man infizierte Dateien finden?

Einen Virus oder Trojaner im Computer zu finden, kann kompliziert sein und eventuell braucht man dafür einiges technisches Wissen. In manchen Fällen kann es aber auch sehr einfach sein – das hängt ab von der Komplexität des Schadprogramms und den Methoden, die zum Verbergen des Schädlings im System, genutzt werden. In schweren Fällen, wenn spezielle Methoden (etwa Rootkit-Technologien) zum Verstecken des schädlichen Codes im System verwendet werden, kann es für normale Anwender oft unmöglich sein, die infizierte Datei zu finden. In solchen Fällen braucht man oft spezielle Tools oder muss besondere Aktionen durchführen, etwa die Festplatte ausbauen und an einen anderen Computer anschließen oder den infizierten Computer von einer CD starten. Wenn es sich aber um einen normalen Wurm oder einfachen Trojaner handelt, können Sie ihn wahrscheinlich mit ganz einfachen Methoden aufspüren.

Die Mehrheit der Würmer und Trojaner muss beim Systemstart die Kontrolle übernehmen. Dafür gibt es zwei Möglichkeiten:

  • ein Link zu der infizierten Datei wird in die Autorun-Keys der System Registry geschrieben
  • die infizierte Datei wird in den Autorun-Ordner von Windows kopiert

Den Autorun-Ordner finden Sie unter Windows 2000 und XP hier:

%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
%Documents and Settings%\All Users\Start Menu\Programs\Startup\

Es gibt mehrere Autorun-Keys in der System Registry – zu den beliebtesten gehören Run, RunService, RunOnce und RunServiceOnce, die Sie in den folgenden Registry-Ordnern finden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]

Am wahrscheinlichsten ist, dass eine Suche in den oben genannten Bereichen mehrere Keys zu Tage bringen wird, deren Namen nicht viele Informationen geben und deren Pfade zu den ausführbaren Dateien führen. Besonders beachten sollten Sie die Dateien, die im Windows-Systemkatalog oder im Root-Verzeichnis zu finden sind. Merken Sie sich die Namen dieser Dateien, denn diese werden Sie für die weitere Analyse brauchen.

Ebenfalls sehr häufig ist, dass Schädlinge in den folgenden Key schreiben:
[HKEY_CLASSES_ROOT\exefile\shell\open\command\]
Der Standardwert für diesen Key lautet „%1″ %*“.

Das Windows-Systemverzeichnis (und das system-32-Verzeichnis) sowie das Root-Verzeichnis sind die praktischsten Speicherorte für Würmer und Trojaner. Das liegt an zwei Dingen: Die Inhalte dieser Bereiche werden nicht standardmäßig im Windows Explorer angezeigt und sie enthalten eine Vielzahl verschiedener Systemdateien, deren Funktionen normalen Anwendern komplett unbekannt sind. Selbst für erfahrene Nutzer ist es schwer zu sagen, ob eine Datei namens winkrnl386.exe ein echter Teil des Bestriebssystems ist oder nicht.

Empfehlenswert ist, einen Dateimanager zu verwenden, der die Dateien nach ihrem Erstellungs- und Modifizierungsdatum sortieren und auch die Dateien in den oben genannten Verzeichnissen verarbeiten kann. Dadurch sehen Sie alle kürzlich erstellten und modizifierten Dateien – und genau diese sind im Infizierungsfall interessant. Wenn eine dieser Dateien mit denen in den Autorun-Keys identisch ist, ist das ein erster Hinweis.

Fortgeschrittene Anwender können auch offene Netzwerk-Ports prüfen, etwa mit dem Standard-Tool Netstat. Wir empfehlen, eine Firewall einzurichten und die Prozesse mit Netzwerkaktivitäten zu überwachen. Ebenfalls empfehlenswert ist, die Liste der aktiven Prozesse zu überprüfen, am besten mit speziellen Tools mit erweiterten Funktionen statt den Standard-Tools von Windows – denn viele Trojaner schaffen es, von den Standard-Windows-Tools nicht gesehen zu werden.

Leider kann man für Infizierungsfälle keine universellen Tipps geben, denn es gibt immer wieder fortschrittliche Würmer und Trojaner, die nur schwer zu finden sind. In diesem Fall sollten Sie mit dem Support Ihres Computerhändlers, mit dem Hersteller des von Ihnen genutzten Antivirus-Programms oder einer IT-Beratung sprechen, oder in Internet-Foren weitere Tipps suchen und dort um Hilfe fragen.