Mir als Viel-Surfer passiert es ab und zu, dass ich auf eine Website gelange, die mir einen Virus oder andere Schadsoftware unterschieben will. In den allermeisten Fällen schlägt das Antivirenprogramm Alarm und bietet mir an, die Schadsoftware zu löschen. Dank meiner Vorkehrungen konnte bisher noch kein Virus Schaden auf meinem System anrichten.
Nicht immer können Vorkehrungen verhindern, dass ein Virus aktiv wird, sie können aber Schaden verhindern. Fiese Viren tarnen sich als Antiviren-Programm. Sie gaukeln dem Anwender vor, dass sie Viren auf seinem Computer gefunden hätten und bieten ihm an, diese Viren zu entfernen. Dies sieht zum Beispiel aus wie auf dem Bild.
Auf keinen Fall darf man in einem solchen Fall dem vermeintlichen Scanner erlauben, die Viren zu entfernen, denn damit würde man ihm die Rechte geben, Schadcode auf dem PC zu installieren!
Wenn also beim Surfen plötzlich ein Virenscanner aktiv wird, muss man sehr misstrauisch sein. Man muss überprüfen, ob es sich um den eigenen Virenscanner handelt oder nicht. Wie man am Bild sieht, imitiert der vermeintliche Scanner einen echten Scanner ziemlich gut. Ein erfahrener Anwender erkennt jedoch ungereimtheiten:
Ich habe diese Webseite analysiert. Hätte man Remove all oder irgendeine andere Schaltfläche oder einen Link dieser Seite angeklickt, hätte sie einen Virus heruntergeladen und ihn als Antivirus-Programm ausgegeben. Hätte man dieses Programm installiert, so hätte man damit einen Virus installiert, nicht ein Antivirenprogramm!
In diesem Fall konnte ich also den Virus einfach abwehren, indem ich das Browser-Fenster geschlossen habe.
Nicht immer lässt sich ein Virus so leicht abwehren. Einem Virus, der sich ebenfalls als Antiviren-Programm getarnt hat, ist es gelungen, mein echtes Antivirenprogramm zu beenden. Ich wollte den Virus natürlich sofort beenden. Dieser widersetzte sich jedoch allen Versuchen. Der Virus beendete sogar den Task-Manager, mit dem ich den Virus abschiessen wollte. Auch ein Abmelden und wieder Anmelden nützte nichts, der Virus war sofort wieder aktiv.
Zum Glück surfte ich mit einem eingeschränkten Benutzerkonto. So konnte der Virus noch keinen Schaden anrichten.
Viele Viren erstellen sofort mehrere Kopien von sich selbst und versuchen diese an möglichst vielen Stellen im System einzutragen, damit sie beim nächsten Systemstart sofort wieder aktiv werden können. Nur wenn man alle Kopien des Virus findet und löscht, ist das System danach wieder sauber.
Wenn das Antivirenprogramm vom Virus wie im letzten Fall deaktiviert worden ist, hat man keine Hilfe beim Löschen des Virus. Man muss also selbst Hand anlegen.
Zunächst gilt es, den Virus auf seinen Festplatten zu finden. Dazu eignet sich die Suchfunktion des Windows-Explorer. Da man natürlich nicht weiss, wie die Viren-Dateien heissen, muss man nach etwas anderem suchen. Der Windows-Explorer kann Dateien auch nach Datum suchen. Man sucht also alle Dateien, die z.B. höchstens einen Tag alt sind.
Starte den Windows-Explorer (z.B. durch gleichzeitiges Drücken der Windows-Taste und E). Wähle im linken Bereich Computer. Dann klickte oben rechts ins Suchfeld worauf sich ein Menu öffnet. Klicke dort auf Änderungsdatum und wähle im dann angezeigten Kalender den aktuellen Tag. Sofort beginnt der Explorer die Suche nach allen Dateien, die innerhalb der letzten 24 Stunden angelegt oder geändert worden sind.
Am besten lässt man die Liste nach Datei-Typ sortieren, indem man auf Typ im Listenkopf klickt. Dann sucht man in der Liste nach Dateien mit der Endung .exe, .bat und .com. Lösche alle enstprechenden Dateien, die als Datum den Zeitpunkt haben, an dem der Virus auf das System gelangt ist.
Wenn der Virus das Starten des Explorers verhindert, muss man den Computer im abgesicherten Modus starten und die beschriebene Prozedur in diesem Modus ausführen.
Nach dem Löschen der Viren-Dateien kann das System neu gestartet werden. Das echte Antiviren-Programm sollte nun wieder aktiv sein. Man sollte es aktualisieren und zur Sicherheit damit einen Scan des Systems machen lassen.
Ich konnte so den Virus löschen, bevor er Schaden anrichten konnte. Dass der Virus keinen Schaden anrichten konnte, verdanke ich aber auch den Vorkehrungen, die ich vorher getroffen habe:
Trotz aller Vorsichtsmassnahmen kann es passieren, dass man einen Virus alleine durch das Aufsuchen einer Website einfängt. Um dies möglichst auszuschliessen oder wenigstens den Schaden möglichst klein zu halten, sollte man folgende Vorkehrungen getroffen haben:
Fast alle DSL- und WLAN-Router sind heute NAT-fähig, d.h. in der Lage, Netzadressen zu übersetzen. Weil ein Verbindungsaufbau aus dem Internet auf die PC's hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen Herstellern als NAT-Firewall bezeichnet. Computer, die über einen solchen Router ans Internet angeschlossen sind, verbergen sich vor Computern im Internet, sodass ein mit einem Virus verseuchter PC im Internet den eigenen PC nicht zufällig findet und ebenfalls ohne eigenes Zutun verseuchen kann.
Die Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken. Sie überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Daten durchgelassen werden, oder nicht. In allen modernen Betriebssystemen ist eine Firewall integriert und standardmässig aktiv. Über die Systemsteuerung kann der Status der Firewall überprüft werden: Klicke auf Start und gibt im Eingabefeld Firewall ein, um zu den Firewall-Einstellungen zu gelangen.
Ein Antivirenprogramm ist absolute Pflicht und es muss auf dem neuesten Stand gehalten werden, d.h. es sollte automatisch in regelmässigen Abständen die neuesten Virensignaturen herunterladen! Es gibt gute Antivirenprogramme, die nichts kosten. Ich habe gute Erfahrungen mit Microsofts Security Essentials gemacht.
Zum Surfen im Internet sollte unbedingt ein eingeschränktes Benutzer-Konto ohne Administrator-Rechte angelegt und verwendet werden! Wenn man sich einen Virus einfängt, kann er das System nicht beschädigen, weil wichtige System-Dateien vor Veränderungen geschützt werden. Wie man ein solches Konto anlegt, kannst du z.B. unter Windows eingeschränktes Benutzerkonto nachlesen.