Software Malware Entfernen

Entfernen von Software-Malware

Diese Freeware-Programme entfernen die Malware. Zur Malware-Entfernung gibt es verschiedene Programme. Malware: Wie man Malware erkennt, entfernt und verhindert. Nicht genug, um alle Malware zu entfernen.

Das beste Werkzeug: Erkennung und Entfernung von Trojanern

Schädlinge sind eine Bedrohung für jeden Computer. Besonders die Anzahl der trojanischen Pferde steigt rapide an. Egal ob es sich um den ersten Twitter-Wurm oder andere Malware handelt, die Nachrichten über Malware hören nie auf. Dies ist auf die ständig wachsende Anzahl von Malware im Einsatz zurückzuführen. Allein im Monat Mai 2009 zählte G-Data rund 93.800 neue Arten von Malware.

An der Spitze - und der Trend nimmt weiter zu - stehen die trojanischen Pferde. Es gibt viele Möglichkeiten, wie man mit Trojanern und Rootskits den Computer erreichen kann: Sobald sie sich auf den Computer ausgebreitet haben, durchdringen sie das ganze Organ. Mit Hilfe von Rootskits werden auf dem Computer trojanische Pferde oder Keylogger versteckt, so dass sie von gängigen Antivirenprogrammen nicht erkannt werden.

An dieser Stelle setzt Avira Antivir Rootkit Protection an: Das Programm findet die aktiven Roots. Es gibt aber auch Wurzelkits, die rechtmäßig in einem Programm verwendet werden. Trojaner suchen und eliminieren Trojaner. Zusätzlich können eigene Regeln für den Trojaner-Handling angelegt oder vorhandene bearbeitet werden. Anti-Malware bytes Anti-Malware ist ein Werkzeug zur Erkennung und Entfernung von Malware.

Die Software sucht nach Computerviren, Wurm, Trojanern, Wurm, Rootkit, Dialern, Malware und anderen Schadprogrammen. Der Datenbestand der Software wird tagesaktuell aktualisiert. Sie können auch geschützte Daten vom Computer entfernen. Search&Destroy ist ein populärer freier Trojaner und Malware-Entferner. Dabei werden nicht nur angesiedelte Spionageprogramme, sondern auch Dialerprogramme, so genannte Keyloggers und andere ungewollte Vorgänge erkannt.

Das Besondere: Nicht alles, was Sybot erkennt, wird einfach gelöscht.

Manuelles Entfernen von Malware

Bei der Bekämpfung von Malware geht es in der Regel darum, wie gut Sicherheits-Software Rechner vor bösartiger Software schütz. Der Schutz vor Malware (in der Regel Viren- und Anti-Malware-Software) ist zweifellos einer der bedeutendsten Abwehrmechanismen für Rechner. Die Installation eines Sicherheitsprogrammes reicht dann nicht aus, um alle Malware zu entfernen. Idealerweise erkennt dieser Virenscanner alle Malware, aber das funktioniert nicht immer aus unterschiedlichen Gründen: Die Malware konnte sich bereits unbehindert einrichten - ob die Sicherheits-Software ausgefallen oder gar nicht auf dem Rechner war, bleibt abzuwarten.

Es kann sich aber auch vor Erkennung oder Entfernung schützen. Es kann sich auch um eine bisher nicht bekannte oder sehr rare Variante handeln, die noch nicht auffindbar ist. Einige Malware kann auch dafür Sorge tragen, dass kein Schutzprogramm eingerichtet oder gestartet werden kann und somit kein Scannen durchführbar ist.

Allerdings muss das Progamm vor der ersten Ausführung der Malware ausgeführt werden, um die Infizierung zu vermeiden. Auch wenn das Betriebssystem einwandfrei gescannt werden kann, wird manchmal nur ein Teil oder gar nichts von der Malware entdeckt. Falls der Rechner noch angesteckt ist, können Sie die Malware manuell entfernen.

Dies kann sehr gefährlich sein - vor allem, wenn Sie noch nie viel damit zu tun hatten, Malware zu identifizieren oder gar zu entfernen. Woher wissen Sie, ob eine Akte, ein Verzeichnis oder ein Registry-Eintrag böswillig ist? Nachfolgend haben wir beschlossen, Ihnen die Malwareentfernung mit Autoruns zu erklÃ?ren.

Falls Malware auf ein anderes Gerät kommt, sorgt sie dafür, dass es jedes Mal neu startet, wenn der Computer hochfährt. Die erste Anlaufstelle bei der Suche nach Malware ist daher die so genannte Lade-Adresse. Falls Sie sie gefunden haben, bekommen Sie in der Regel bereits einen Tipp, wo sich die Malware in Ihrem Filesystem aufhält.

Autoruns (d.h. "automatische Ausführung") bietet, wie der Titel schon sagt, eine komfortable Übersicht über die meisten unter Windows verwendbaren Lade-Adressen. Vor einer simplen Malware-Infektion schauen wir uns zunächst einen Beispiel-Eintrag in einer virenfreien Windows-10-Installation an. Bei der ersten dieser Dateien handelt es sich um cmd.exe unter dem AlternateShell-Registrierungsschlüssel.

Für die Feststellung, ob die Akte rechtmäßig ist oder nicht, sind zwei Dinge entscheidend: Sind die Daten glaubwürdig? Also ist es die wirkliche cmd.exe von Windows oder ist es etwas anderes, das uns nur mit dem gleichen Titel reinlegen will? Sind die Ladeadressen für die Dateien gemeinsam? Zugleich gibt es aber auch Anwendungsbeispiele, wie Malware diesen Filenamen verwendet.

Damit es sich wirklich um eine richtige Windowsdatei handeln kann, können wir statt dessen den Ort prüfen (standardmäßig den Ordner System32) oder die Dateien mit Hilfe von VirenTotal durchsuchen. Klicken Sie mit der rechten Maustaste auf den entsprechenden Menüeintrag und klicken Sie auf "Check VirusTotal". Dann ist die Akte rechtmäßig. Betrachten wir nun ein Beispiel für eine Malware-Infektion.

Autostarts sortieren die erfassten Informationen bequem nach der Adresse. Außerdem wird der Ort für jede Lastadresse in der Registry oder im Filesystem angegeben. Nach Autoruns sind die Eingaben in: Diese beiden Orte werden am meisten als Lastadressen sowohl für normale Applikationen als auch für Malware verwendet.

Wenn Sie sichergehen wollen, dass eine Applikation beim Windowsstart läuft, verwenden Sie einen dieser beiden Server. Nach Autoruns liegt in diesem Verzeichnis die File "edf6e17148b3b3408342ac7be2e79536.exe". Es gibt zwei verdächtige Punkte: In der Regel sind keine eigentlichen Programmdateien (.exe) im Startordner abgelegt, sondern nur Shortcuts (.lnk), die dann beim Programmstart eine Applikation auslösen.

Sie würden den Dateinamen als Hinweis darauf verstehen, welche Applikation gerade heruntergeladen wird.... und natürlich, dass diese Applikation auf Ihrem Rechner liegt. Zur Bestätigung unseres Verdachts können wir in Autoruns mit der rechten Maustaste auf das entsprechende Ziel klicken und die Funktion "Check VirusTotal" auswählen.

Sie werden dann einen Verweis auf die Scanergebnisse von VirusTotal erhalten, der bestätigt, dass die Dateien wirklich schädlich sind und gelöscht werden müssen. Betrachten wir nun die andere Lade-Adresse, und zwar den Ausführwert. Diesen können wir im Registry-Editor mit der rechten Maustaste anklicken und "Zum Eingang springen...." auswählen.

Die Daten beziehen sich auf eine in einem temporären Ordner befindliche Konfigurationsdatei namens "svhost.exe". Dies ist nicht zu vergleichen mit der legalen Windowsdatei "svhost.exe", die sich in der Regel im Verzeichnis \Windows\System32 wiederfindet. Danach können wir erkennen, dass Autoruns weitere Daten liefert und auch die Meta-Daten der Dateien gesammelt hat. Wir können sie prüfen, indem wir mit der rechten Maustaste auf die entsprechende Zeile klicken und "Eigenschaften" wählen (siehe Abb. 4): Der Name des Produkts der Windows-Dienstdatei ist ersichtlich.

Abschließend wird durch eine Überprüfung von VirusTotal festgestellt, dass diese Dateien ebenfalls gefährlich sind. Durch den Vergleich der beiden VirusTotal-Berichte können Sie auch prüfen, ob beide Dateien zur gleichen Infizierung passen oder nicht. Lassen Sie uns daher der tatsächlichen Distanz nachgehen. Autostarts hat eine Lösch-Funktion, aber die Malware kann noch ausgeführt werden (was sie eigentlich auch tut).

Malware kann sich, wie bereits gesagt, nach dem Entfernen selbst wiederherstellen oder gar Löschversuche verhindern. Autoruns kann in diesem Falle die Gegenstände nicht entfernen. Man könnte die Malware mit dem Task-Manager von Microsoft stoppen, aber das ist auch eine eingeschränkte Möglichkeit. Besser ist es - besonders bei der Malwareentfernung - den Process Explorer zu verwenden.

Wir haben die Malware bereits erkannt. Sie sehen in Abb. 5, dass nur ein einziger Datensatz zu allen Details der Malware passt: der Dateiname svhost.exe, die Bezeichnung "Windows-Dienst" und der temporäre Ordner als Ort (wird beim Verschieben des Cursors auf die Linie angezeigt). Dabei ist es sehr hilfreich, dass alle Spezifikationen stimmen, da die "svchost.exe" auch eine Windows-Datei sein kann.

Ist dieser Vorgang abgeschlossen (Rechtsklick > Vorgang abbrechen), können alle von Autorun erkannten Eingaben ohne Probleme rückgängig gemacht werden. Es ist zu berücksichtigen, dass eine solche Konfiguration auch dann noch von Hand vorgenommen werden muss, wenn der Autorun die Adresse nicht mehr in der Registry ausgibt. Hoffentlich hat Ihnen diese Einführung in die Malware-Entfernung Spaß gemacht.

webinare ankündigung: Elisa wird am 21. mai um 21:00 Uhr (MEZ) ein englischsprachiges online-seminar zum Thema Malware-Entfernung durchführen, um die in diesem Beitrag beschriebenen Vorgehensweisen vorzustellen. Malware gibt es viele verschiedene Arten und für viele von ihnen ist ein anderer Weg zur Entfernung notwendig.

Ich wünsche Ihnen eine angenehme (malwarefreie) Zeit!

Mehr zum Thema