Leitfaden: Viren, Trojaner und Co. gründlich entfernen

Inhaltsverzeichnis:

  1. Erster Schritt bei Virenbefall
  2. Virus aus UEFI/BIOS entfernen
  3. Richtig Dateien sichern trotz Virus
  4. Festplatte Virenfrei bekommen - MBR/GPT löschen / Neu schreiben
  5. Vor dem Neuaufsetzen von Windows: Offline Updates und Treiber laden
  6. Windows Virenfrei neu installieren
  7. Windows Updates, Treiber und Systemsoftware neuinstallieren
  8. Firewall korrekt einrichten und Antivirus Lösung installieren

a) Gefahr erkannt - Gefahr gebannt

Sobald Sie merken, dass Ihr PC nicht mehr das tut was er soll bzw. was Sie möchten ist immer Grund zur Vorsicht geboten. Wenn ein Virus, Trojaner oder ähnliches festgestellt wurde bzw. Sie vermuten dass eine derartige Schadsoftware sich auf Ihrem Gerät eingenistet hat ist der sinnvollste Schritt den Computer vom Netz zu trennen und dann abzuschalten. Ist der Rechner erst einmal abgeschaltet kann vorerst nichts mehr passieren. Auch Verschlüsselungstrojaner (sogenannte Ransomware) die noch vor dem Verschlüsseln Ihrer Dateien daran gehindert wurde, ist machtlos gegen das physische Abschalten des Rechners.

Sonderfall: Bios Virus / UEFI Malware entfernen

Wenn sich die Malware direkt in Ihrem UEFI Bios bzw. Bios eingenistet hat, hilft nur ein Austausch bzw. flashen der entsprechenden Bausteine auf Ihrem Mainboard (Motherboard) weiter. In einem solchen Fall, ist vor allen nachfolgenden Schritten (Siehe b) der Virus bzw. Rootkit aus dem Bios zu entfernen. Sollten Sie unsicher sein ob Ihr Bios bzw. UEFI befallen ist, handeln Sie im Zweifel so als würde es sich um eine Infektion dieser Speicherbausteine handeln. Damit gehen Sie kein Risiko ein.

Da beim Starten bzwl laufenden Betrieb des PCs mögliche Schadsoftware in den Bios Bausteinen vor allen anderen Softwarebestandteilen geladen werden kann, ist das einfache Flashen eines EEPROM Chips nicht ausreichend um einen bösartigen UEFI Virus bzw. Trojaner zu eliminieren. Dieser kann den Schreibvorgang verhindern oder manipulieren. Selbst wenn das System auf den ersten Blick sauber erscheint, bleibt ein hohes Restrisiko dass noch Bestandteile der Schadsoftware auf den Speicherbausteinen vorhanden sind. Diese können dann persistent im System bleiben und bei Netzwerkzugang weiteren Schadscode nachladen. Ihr ganzer PC ist damit aus der Ferne steuerbar bzw. können Inhalte Ihres Bildschirms oder der Dateistruktur über das Internet eingesehen werden. Womöglich sind Sie Teil eines Botnetzwerkes ohne es zu bemerken.

Deshalb UEFI Bios austauschen / Eeprom Tausch bei Malware im UEFI / BIOS

Im besten Falle ist Ihr Mainboard Bios bzw. die UEFI Bestandteile auf einem Steckchip aufgespielt. Diese Art von Eeproms lässt sich ohne Löten aus dem Motherboard herauslösen und mit einem frisch programmierten Speicherbaustein ersetzen. Neue Bios-Eeproms bzw. UEFI Chips kann man fertig beschrieben kaufen. Es gibt eine Handvoll spezialisierter Anbieter die virenfreie Original Software auf die austauschbaren Chips aufspielen und diese dann versenden. Dieser Weg des Austauschs ist technisch weniger versierten Personen zu empfehlen. Es muss der Chip nur vom Mainboard abgesteckt, ggf. an den Anbieter geschickt und bei Erhalt des neuen Chips ein Austausch in anderer Richtung vorgenommen werden.

Ein neues Bios bzw. UEFI auf einem Chip kostet zwischen 10 und 30 Euro und ist damit wesentlich günstiger als der Neukauf eines Motherboards oder das Bezahlen eines Dienstleisters, der den Eeprom Chip mit einem speziellen Eeprom Flasher neu beschreibt. Bitte beachten Sie, diese Methode hat nichts mit dem selbstflashen eines BIOS bzw. flashen eines UEFI Chips gemein. Beim selber flashen per USB Stick oder über die Update Routine des Mainboards ist kein gesichertes Entfernen bösartiger Malware sicher!

Nur ein Austausch des / der Chips bzw. das externe neubeschreiben bieten hier Abhilfe!

Eine weitere Möglichkeit ist, den noch aufgesteckten Chip kalt neu zu beschreiben. Dafür ist ein Eeprom Programmer nötig. Es gibt diverse Angebote bei Amazon die zwischen 20 und 30 Euro kosten und viele der gängigen Bios bzw. Uefi Chips direkt beschreiben können. Meist ist noch ein sogenannter SOIC8 (8 Pin) Adapter vonnöten. Diese oft als Steckklammer ausgeführten Adapter ermöglichen den Anschluss eines Eeprom Programmierers wie z.B. dem Wingoneer CH341A Writer & USB Programmer. Alternativ gibt es hier noch ein komplettes Set des Herstellers KeeYees. Bitte beachten Sie, dass es sich dabei um Amateur Hardware handelt. Das ganze ist eher etwas für den versierten Bastler und auch mit zusätzlichen Risiken verbunden. Wer garantiert z.B. dass die verwendete Software der Programmer virenfrei ist?

Wenn Sie keinen steckbaren Bios Chip haben und dennoch ihr Bios austauschen möchten, empfehlen wir deshalb einen Dienstleister in Anspruch zu nehmen, der Ihren Bios Chip bzw. UEFI Chip neu beschreibt. Dazu versenden Sie ihr gesamtes Mainboard an einen entsprechenden Dienstleister. Derartige Dienstleistungen liegen im Bereich zwischen 40 und 80 Euro, wobei reputable und langjährig am Markt befindliche Anbieter dies bereits für um die 60 Euro erledigen. Durch in Anspruchnahme eines solchen Anbieters, ist ihr Bios bzw. UEFI auf dem neuesten Stand und Virenfrei. Sie ersparen sich dadurch das herauslöten des Chips bzw. eigenhändige Bastelei.

UEFI / BIOS gesäubert bzw. es handelt sich um keinen BIOS/UEFI Virus

Wenn Sie ausschließen können,dass die Schadsoftware ihr UEFI oder legacy Bios befallen hat bzw. falls Sie einen Austausch dieser programmierbaren Speicherbausteine vorgenommen haben, können Sie ab jetzt mit den nachfolgenden Schritten beginnen um Ihren PC Virenfrei neu aufzusetzen und ihre Daten ohne Reinfektion zu sichern.

b) Korrekte Datensicherung bei Virenbefall

  1. Besorgen Sie sich ein sauberes Linux Image (z.B. von einer Heft CD eines reputablen Linux Magazins) oder ein Linux Image auf einem frischen USB Stick, das über einen nicht infizierten Rechner aufgespielt wurde. Das Image sollte das Programm Gparted beinhalten.
  2. Starten Sie den Rechner mit abgezogenem Netzwerkkabel und mit abgeklemmter Festplatte / HDD.
  3. Gehen Sie direkt beim PC Start in das BIOS bzw. die UEFI Einstellungen.
  4. Entfernen Sie alle Festplatten/SSD's aus der Boot-Reihenfolge (Boot Order).
  5. Stellen Sie das neue Bootmedium (CD-DVD oder USB) an vorderste Stelle der Bootreihenfolge
  6. Speichern Sie die Bios Einstellungen (Save and exit Bios)
  7. Schalten Sie den PC aus
  8. Klemmen Sie die Festplatte bzw. SSDs wieder an
  9. Wenn Sie die Daten auf eine separate HDD/SSD speichern möchten, klemmen Sie diese ebenfalls mit an
  10. Starten Sie den PC mit dem korrekten Linux Image
  11. Mounten Sie die Festplatten (Einhängen der Partition)

Nun können Sie über den Linux Dateimanager die zu sichernden Daten gefahrlos von einer Festplatte auf die andere transferieren, ohne das eine Infektion der neuen Festplatte droht. Sichern Sie alle für Sie relevanten Daten. Danach beide Festplatten per Software aushängen (Demount). Nun können Sie die Backup Festplatte / SSD auf der Sie die Daten der alten Platte gespeichert haben vom SATA Stecker trennen. Wer ganz sicher gehen möchte, schaltet den PC aus und klemmt die Platte komplett ab. Danach ein Neustart ins Linux.

c) Platte mit Virenbefall richtig formatieren / Partitionieren

Die Festplatte / SSD gründlich säubern. Um eine Reinfektion zu verhindert muss die Festplatte oder SSD komplett platt gemacht werden. Das geschieht am besten durch mehrfaches Überschreiben inkl. dem MBR (Master Boot Record).
  1. Um die alte Platte nun komplett zu säubern, starten Sie innerhalb Linux Gparted.
  2. Wählen Sie die zu säubernde Festplatte bzw. deren Partitionen aus und klicken Sie auf Formatieren (Format to). Wählen Sie beliebige Einstellungen und formatieren Sie die Partition bzw. Partitionen.
  3. Danach klicken Sie auf Partition, Löschen und löschen Sie dann alle vorhandenen Partitionen durch bestätigen der Eingabe.
  4. Klicken Sie auf Partition, Neu und erstellen Sie eine beliebige neue Partition mit Dateisystem ext4 und bestätigen Sie (Haken anklicken).
  5. Klicken Sie jetzt auf Gerät (Device) und dann auf Create Partition Table, wählen Sie Mac oder Bsd aus und bestätigen Sie die Eingabe.
  6. Jetzt wiederholen Sie Schritt 5, diesmal jedoch mit der Auswahl des korrekten MBR (gpt oder msdos für Windows Systeme). gpt für MAC (bzw. mac für ältere Apple Betriebssysteme)
  7. Nun können Sie über Partition, Partition erstellen eine oder mehrere Partitionen erstellen. Für Windows im NTFS Format, Für Linux im Ext4 Format etc.
  8. Wenn Sie Windows von DVD oder USB neu installieren möchten, können Sie den vorherigen Schritt einsparen. Bei der Installation legt Windows automatisch neue Partitionen an. Wichtig ist, dass Sie vorher den MBR neu beschrieben sowie die vorhandenen Partitionen gelöscht haben (Schritte 1-6)

d) Vor dem Betriebssystem: Windows Offline-Updates, Treiber etc. herunterladen

Bevor Sie auch nur daran denken, Windows neu zu installieren, besorgen Sie sich einen neuen am besten unbenutzten USB Stick. Starten Sie wie in den vorherigen Schritten beschrieben ein Linux Live System von DVD oder USB Stick. Auf diesem werden Sie alle wichtigen Programme und Treiber speichern, bevor Windows neu installiert wird. Dadurch muss ihr ungeschützter Rechner nicht mit dem Microsoft Internet Explorer oder einer alten Edge Version ins Internet gehen, während noch alle Sicherheitslücken des ungepatchten Windows offen sind.

  1. USB Stick in Gparted formatieren wie im vorherigen Abschnitt beschrieben (MBR löschen), MSDOS Partitionstabelle erstellen und eine FAT32 Partition aus dem leeren Speicherplatz machen.
  2. Schließen Sie den PC ans Netzwerk / Internet an
  3. Browser öffnen und den UpdatePack für Ihr Betriebssystem herunterladen: WinFuture UpdatePacks oder Chip Update Packs für Windows
  4. Speichern Sie den Update Pack auf Ihrem USB Stick
  5. Laden Sie aktuelle Versionen Ihrer benötigten Software herunter und speichern diese auf dem USB Stick.
  6. Wichtig: Das gilt insbesondere für: Virenschutz Software (Suchen Sie auf der Herstellerseite nach einem Offline Installer)
  7. Laden Sie weitere Software herunter wie Browser, E-Mail Programm.
  8. Laden Sie Treiber für Grafikkarte, Soundkarte etc die nicht in Windows integriert sind mit herunter.
  9. Entfernen Sie den USB Stick (Hardware sicher entfernen, USB Medium aushängen)
  10. Entfernen Sie den USB Stick durch abziehen vom Rechner

e) Betriebssystem neu aufspielen

  1. Starten Sie den Computer mit abgeklemmten Netzwerkkabel aber mit angeklemmter Systemfestplatte / SSD (ohne die Backup Festplatte)
  2. Stellen Sie im Bios die Bootreihenfolge anhand Ihres Bootmediums korrekt ein (CD-DVD / USB an erste Stelle) an zweite Stelle Ihre HDD / SDD auf der das Betriebssystem installiert werden soll
  3. Lassen Sie das Setup von CD/DVD/USB starten und installieren Sie wie gewohnt Ihr Betriebssystem
  4. Nach der Installation loggen Sie sich ein und erstellen ein Standardbenutzerkonto mit einem Passwort. Vergeben Sie zusätzlich ein Passwort für das Administratorkonto
  5. Lassen Sie den PC in diesem Zustand noch nicht ins Internet

f) Windows Updates und Software offline installieren (WSUS Offline Update)

Damit ihr Rechner nicht ungeschützt im Netz unterwegs ist installieren Sie als erstes die UpdatePacks, Ihre Treiber und entsprechende Antivirussoftware.
  1. Entfernen Sie den USB-Stick mit den Offline-Updates und Treibern bevor Sie den PC starten. Starten Sie generell niemals einen PC mit angestecktem USB Speicher. Schalten Sie die Boot from USB Funktion immer ab, sofern Sie sie nicht explizit benötigen
  2. Schalten Sie den Rechner ein und loggen Sie sich in das Administratoren Konto ein
  3. Kopieren Sie alle Inhalte de USB Sticks mitsamt der Treiber und Software auf das Systemlaufwerk (Meist C:\)
  4. Entfernen Sie nach Abschluss des Kopiervorgangs den USB Stick
  5. Starten Sie vom Systemlaufwerk aus den Update Pack und folgen Sie den Anweisungen (Die Auswahl: "Rechner automatisch neu starten" spart Ihnen viel Zeit)
  6. Lassen Sie die Windows Updates durchlaufen bis zum Abschluss. Dies kann mehrere Stunden dauern. Rechnen Sie etwa mit 1-3 Stunden. Nach Abschluss startet der Rechner ggf. ein letztes Mal neu.
  7. Installieren Sie danach über das Administratorenkonto nun wie gewohnt alle Treiber für Grafikkarte und Co.
  8. Dabei wird Ihr Rechner vermutlich nochmals mehrfach neu starten
  9. Lassen Sie ihn dabei weiterhin vom Internet getrennt

g) Antiviruslösung bzw. Firewall einrichten

Bevor Sie Ihren Rechner nach alldem ins Netz lassen, richten Sie Ihre Firewall korrekt ein und installieren Sie eine Antiviruslösung per Offlineinstaller. Wenn ihr Antivirusprogramm keinen Offlineinstaller anbietet sollten Sie über einen Wechsel nachdenken! Einen Rechner ohne adäquaten Schutz ins Internet zu lassen ist gefährlich und kein AV-Hersteller sollte Sie dazu nötigen.
  1. Im Zweifel konfigurieren Sie die Windows Firewall so, dass bei jeder eingehenden und ausgehenden Verbindung nachgefragt werden soll ob die Verbindung zulässig ist bevor Sie ins Netz gehen.
In einem separaten Artikel werden wir darauf eingehen, wie man die Windows Firewall korrekt konfiguriert. Ab diesem Zeitpunkt können Sie dann wieder wie gewohnt ins Netz gehen. Ihr PC sollte hiermit in 99,9% der Fälle wieder Virenfrei sein.

Das tückische: Selbst in der Firmware von Peripherie-Geräten können sich Viren und Rootkits verstecken.

 

Security Tools

Browserschutz

NoScript

ScriptSafe

IE Dev Toolbar


HIPS

Trend Micro Deep Security


NIPS

Snort


Intrusion Detection

AIDE


Anti Spam

Spamihilator

Spambayes


Adware / Spyware

Spybot S&D

AdAware