Schritt-für-Schritt-Anleitung: Windows-Viren entfernen mit bootfähigem Rettungs-USB-Stick

Von Daniel Schräder
2. August 2011, 17:55 Uhr

Es kommt immer zum falschen Moment. Und es wird immer fieser. Denn während Computer-Schädlinge wie Viren, Würmer oder Trojaner vor zehn Jahren noch hauptsächlich daran interessiert waren, sich selbst zu verbreiten und vielleicht ein bisschen Schaden auf Disketten anzurichten, wollen sie jetzt an unser Geld. Und das mit verschiedenen Methoden. Sie übernehmen unsere Ebay- oder Paypal-Konten, leiten unsere Banküberweisungen um, klauen die Kontaktdaten unserer Freunde, um sie mit Viagra- und Geschlechtsteilverlängerungswerbung zu bombardieren oder verschlüsseln gar unsere Dokumente, um uns zu erpressen: Wer wieder Zugriff auf seine Bewerbungen, Lebensläufe oder Finanzkalkulationen haben will, muss Geld abdrücken, um das Passwort zu erhalten. Oder sie legen gleich ganz den Rechner lahm. Wer ihn wieder nutzen möchte, muss "nur" für ein paar Euro ein angebliches Sicherheitstool kaufen. Jaja. Aber selbst das Wissen, dass das natürlich alles kriminelle Schweinereien und keine "tollen" Angebote sind, bringt uns in dieser Situation nicht weiter.

Verseucht, also Finger weg!

Die Kiste läuft nicht mehr. Und nun? Die Steuererklärung oder Überweisungen sind überfällig, die Kündigung des Handy-Vertrags muss raus, bei eBay läuft die Auktion mit dem Auto zum Spottpreis aus - da macht es doch nichts, wenn der PDF-Reader etwas hakt. Könnte man meinen. Ist aber falsch. Beim ersten Anzeichen einer Virus-Infektion heißt es: Blos nichts mehr machen. Nichts verschicken, keine Passwörter eingeben, keine Passwörter von diesem Rechner aus ändern. Nichts drucken, nichts ersteigern, nichts speichern oder kopieren. Denn je länger der verseuchte Rechner läuft, um so mehr Schaden können die fiesen Computerprogramme anrichten. Weitere Rechner oder Dokumente beim Kopieren von Dateien oder einfach so übers Netzwerk oder Internet infizieren, zum Beispiel. Geldströme umleiten, Passwörter stehlen, Accounts übernehmen. Und so weiter. Also heißt es: möglichst schnell das Problem beheben.

Fehlermeldungen wie diese können ein Anzeichen für eine Virus-Infektion sein.

Jede Aktion am infizierten Rechner sollte man also vermeiden. Dazu zählt auch, einen eventuell vorhandenen, aber nicht aktuellen Virenscanner laufen zu lassen oder Sicherheitsupdates für Windows, Acrobat & Co. einzuspielen. Das Kind ist schon in den Brunnen gefallen, jetzt müssen wir es erst herausholen, bevor wir ihm den Eimer auf den Schädel werfen, um Wasser abzuschöpfen. Übrigens: Um sich etwas fieses einzufangen, muss man weder Jahresabos auf Porno-Webseiten abschließen noch an illegalen Glücksspielen im Internet teilnehmen oder gar "lustige Affen für den Windows-Desktop" herunterladen und installieren. Selbst halbwegs aktuell gehaltene Rechner infizieren sich gerne mal per "drive-by-download". Da reicht es schon, einmal eine falsche Webseite aufzurufen, und schon war's das. Diese Seiten befinden sich auch nicht ausschließlich im virtuellen Rotlichtmillieu - Online-Games, Schnäppchen- oder Gutscheinseiten, selbst vermeintlich harmlose Blogs können der Wirt eines Trojaners sein.

Die übliche Vorgehensweise nach einer Infektion ist es, zum Arzt zu gehen und sich mit Medikamenten zu versorgen. Das machen wir bei einer Computer-Infektion genauso, nur dass unser Arzt in diesem Fall ein Virenscanner ist und die Medikamente in Form von aktuellen Viren-Definitionen selbst mitbringt. Da man den Scanner ja tunlichst nicht auf dem kontaminierten Rechner laufen lassen sollte, brauchen wir also eine sichere Quarantäne-Umgebung, in der der Scanner handeln kann, ohne selbst zur Malware-Schleuder zu werden. Für diesen Fall haben sich seit Jahren sogenannte Rettungs-CDs durchgesetzt, die ein eigenes, kleines und virenfreies Linux-Betriebssystem mitbringen. Man bootet den PC also virenfrei von der CD, lässt einen Scanner laufen und die Schädlinge entfernen - und fertig ist die Laube. Danach darf das Windows wieder hochfahren und sollte "sauber" sein.

Nur: CDs sind unhandlich, Rohlinge im falschen Moment nicht griffbereit und das XP-Netbook hat nicht einmal ein optisches Laufwerk. Ausgerechnet, wo Windows XP doch als die größte Virenschleuder überhaupt gilt. Und hier kommt der Rettungs-USB-Stick mit Virenscanner und Online-Aktualisierung zum Zuge, der sich nicht nur in Minutenschnelle herstellen, sondern auch problemlos für den Notfall am Schlüsselbund befestigen lässt.

Bootfähigen USB-Rettungsstick vorbereiten

AVG, Hersteller von Antiviren-Software, stellt auf seiner Webseite ein Toolkit zum Erstellen eines Rettungs-Sticks zum Download bereit - dankenswerter Weise sogar völlig kostenlos. Das laden wir möglichst vor der Infektion, ansonsten auf einem nicht infizierten Rechner, herunter. Die circa 100 MByte große Datei findet sich etwas versteckt im Support-Center oder hinter diesem Link. Wichtig: Es stehen drei Varianten zur Auswahl. Das ISO-Image an erster Position lässt sich auf eine CD brennen, bei Positionen zwei und drei handelt es sich um die Ausführung für den USB-Stick, verpackt in ein RAR- oder ZIP-Archiv. Zwar ist die RAR-Variante minimal schlanker (100 zu 104 MByte), aber in Anbetracht flotter DSL-Verbindungen und der höheren Kompatibilität zu ZIP-Dateien greifen wir zur letzten Variante.

Alle Schritte vom Download bis zum virenfreien Rechner zeigen wir in dieser Fotostrecke.

Ist der Download abgeschlossen, entpacken wir die Datei per Rechtsklick in ein neues Verzeichnis. Nun benötigen wir einen USB-Stick, der um die 520 MByte freien Speicher hat, und stecken ihn an. Praktischerweise wird er nicht formatiert, steht also noch für Fotos, Videos, Musik & Co. zur Verfügung. Der nächste Schritt ist der Start der Datei setup.exe im neu angelegten Verzeichnis. Ein recht spartanisches Programm im Design der frühen 90er-Jahre erscheint und erinnert uns etwas an die gute, alte Windows-3.1-Zeit. Aber egal, einem geschenkten Gaul schaut man nicht ins Maul, und es erfüllt seinen Zweck. Es fragt alle angesteckten USB-Sticks ab und zeigt die zur Verfügung stehenden Laufwerke in einer Liste an. Ist nur ein Stick eingesteckt, taucht auch nur ein Laufwerksbuchstabe auf - perfekt. Wir klicken auf OK und lassen das Programm machen. Dateien werden kopiert, das dauert ein paar Minuten. Dann ist der Stick fertig.

Wichtig: Bevor wir ihn einfach aus der Buchse rupfen, melden wir ihn ordnungsgemäß vom System ab - etwa im Explorer per Rechtsklick und Wahl der Option Auswerfen. Ansonsten riskiert der Anwender, dass sein Rettungsschirm im Fall der Fälle dann doch nicht funktioniert.

Das eigentliche Setup für den Rettungs-Stick ist spartanisch, aber funktional.

Verseuchten PC vom Rettungs-Stick booten und Viren löschen

Nun haben wir ein wirksames Gegenmittel für einen großen Teil von Infektionen durch Malware in Form eines Sticks - und den im Idealfall einfach am Schlüsselbund. Um den infizierten PC von Trojanern, Würmern & Co. zu befreien, schalten wir ihn zunächst ab, um gegebenenfalls das Übertragen von Schadcode auf den USB-Stick zu verhindern. Ist der Computer aus, stecken wir den Stick an. Beim Einschalten müssen wir den Rechner oder das Note- oder Netbook nun auffordern, nicht von der Festplatte, sondern vom USB-Stick zu booten. Meist gibt es beim allerersten Bildschirm, der nach dem Einschalten erscheint - dem Bios - dafür eine Funktion, die mit Boot Sequence oder Boot-Reihenfolge beschriftet ist. Häufig wird die Funktion mit der Taste F12, seltener mit F10 oder F2 aufgerufen. Um sich etwas mehr Zeit zum Lesen und Überblick zu verschaffen, kann der Anwender kurz nach dem Einschalten die Pause-Taste auf seiner Tastatur drücken. Dann bleibt der Rechner an dieser Stelle stehen, bis man ihm mit der Return-Taste den Befehl zum Weiterlaufen gibt - oder einfach gleich mehrmals die passende F-Taste zum Aufruf des Boot-Menüs drückt.

Jetzt weisen wir den Computer an, vom USB-Stick zu booten. In der Liste ist der Eintrag häufig mit USB oder dem Laufwerksnamen des Sticks markiert, ansonsten hilft das Ausschlussverfahren: Er ist weder eine Festplatte (HDD), noch ein Diskettenlaufwerk (FDD) oder gar ein CD-ROM-Laufwerk (Optical). Bestätigt wird mit der Enter-Taste, und schon läuft der Bootvorgang. Das, was hier so aussieht wie DOS vor vielen Jahren, ist ein kleines Linux-Betriebssystem, das brav die Treiber für Tastatur, Netzwerkkarte & Co. lädt. Lediglich WLAN wird wohl nicht funktionieren - wer den Stick nicht frisch erstellt hat, sollte im Zweifelsfall besser ein Netzwerkkabel in den PC oder das Notebook einstecken, wenn er die aktuellen Viren-Definitionen herunterladen möchte.

Und genau das passiert, sobald der Bootvorgang beendet wird. Ein grafisches Menü fragt, ob es den Stick aktualisieren soll. Na klar, lautet hier die Antwort - eine schnelle Internet-Verbindung und ein eingestecktes Netzwerkkabel vorausgesetzt. Daraufhin werden die nötigen Dateien heruntergeladen.

Das eigentliche Scan-Programm ist übrigens nicht viel hübscher. Macht aber nichts, es ist kostenlos und hilft.

Danach geht es an den eigentlichen Scan, den wir im folgenden Menü in Auftrag geben. Der Anwender hat die Wahl zwischen ganzen Laufwerken (Volumes) oder einzelnen Verzeichnissen. Wer nicht genau weiß, was er tut, ist gut damit beraten, die kompletten Laufwerke zu prüfen. Dafür verlässt die Software das Menü dann wieder und gibt Statusmeldung und gegebenenfalls gefundene Schädlinge in Textform preis. Keine Angst, den Stift muss man hier nicht zücken, um die bösen Dateien aufzuschreiben - nach Abschluss des Scans zeigt der AVG-Virenscanner seine Funde noch einmal in der grafischen Oberfläche und bietet verschiedene Möglichkeiten, mit den Fieslingen umzugehen.

Wer - wieder einmal - nicht genau weiß, was er tut, sollte eventuelle Funde nicht unbedingt löschen, sondern umbenennen - mit Rename all, oder einzeln mit Rename. Denn Löschen ist entgültig, umbenennen ließe sich im Notfall wieder rückgängig machen. Weiternutzen sollte man infizierte Dateien aber auf keinen Fall. Nach Abschluss der Tätigkeit sollte der Rechner wieder keimfrei sein. Gegen Trojaner, Spione, Dialer & Co. hilft dann im Anschluss noch das kostenlose Windows-Programm Spybot Search&Destroy, das es hier zum Download gibt.

Fazit

Jaja, wir wissen es: Was schert mich die Sicherheit. Das gilt aber nur solange, bis der eigene Rechner den Dienst versagt. Das Vorbereiten eines USB-Rettungssticks dauert gerade einmal ein paar Minuten und klappt mit einem vorhandenen Stick, ohne Daten zu löschen - wenn gut 500 MByte freier Speicher zur Verfügung stehen. Dewswegen empfehlen wir jedem Windows-Nutzer: Macht es. Und nehmt den Stick immer mit. Euer Computer sowie die IT-Ausstattung eurer Freunde werden sich früher oder später dafür bedanken.