Der Virendoktor
Wenn der Verdacht keimt, dass der Rechner infiziert sein könnte, der Virenscanner aber schweigt, hilft nur noch eine systematische Analyse des Systems. Damit kann man seinen Verdacht bestätigen und eine sinnvolle Therapie einleiten.
Von einem Tag auf den andern scheitern die Update-Versuche der Antiviren-Software. Aus heiterem Himmel warnt die Windows Firewall, dass sie aus Sicherheitsgründen Funktionen von "services" blockiert habe. Beim Versuch, den Virenscanner zu starten, erscheint nur kurz ein Fenster, das aber sofort wieder verschwindet. Der Internet Explorer begrüßt mit einer seltsamen Suchseite und Einträgen zu Viagra, Vicodin und Penisvergrößerung. Ohne konkreten Anlass blinken die LEDs des Routers hektisch. Die möglichen Anzeichen einer Infektion mit irgendwelchem Unrat sind vielfältig.
Die Gefahr, dass auch ein gut gepflegtes Windows-System infiziert wird, ist durchaus real. Selbst mit allen Patches und aktuellem Virenwächter finden sich immer wieder Schlupflöcher, über die ein Schädling eindringen könnte. Wer ist schon so ganz sicher, dass er immer von allen Programmen nur die aktuelle Version auf dem Rechner hat?
Außerdem zeigt die tägliche Erfahrung bei heise Security, dass oft Tage, manchmal Wochen vergehen, bis alle Virenscanner einen wirklich neuen Schädling erkennen und ihre Anwender zuverlässig vor der Gefahr schützen können. Zeit genug also, sich durch einen unbedachten Mausklick etwas einzufangen. Und sind sie einmal an den Schutzmechanismen vorbeigeschlüpft und aktiviert, haben die Schädlinge eine ganze Reihe von Tricks parat, einer zukünftigen Entdeckung zu entgehen.
Diagnostik
Verhält sich der Rechner also irgendwie verdächtig, kann man nur mit systematischem Vorgehen eine verlässliche Diagnose stellen und falls nötig die passende Therapie einleiten. Im ersten Schritt braucht man dazu so viel konkrete Informationen wie möglich. Dabei geht es noch nicht darum, den Rechner zu säubern; erst wenn man sicher weiß, welchen Schädling man sich eingefangen hat, kann man eine vernünftige Entscheidung über das weitere Vorgehen treffen. Und mit etwas Glück gibt es ja auch Entwarnung und es findet sich eine harmlose Erklärung für die seltsamen Phänomene.
Als Erstes konsultiert man den bereits installierten Virenscanner. Bessere Chancen auf ein verlässliches Ergebnis hat man im abgesicherten Modus von Windows. Man erreicht ihn für gewöhnlich über ein Menü, das erscheint, wenn man beim Booten des PCs mehrfach F8 drückt. Im abgesicherten Modus lädt Windows nur die unbedingt erforderlichen Programme und der Scanner kann hoffentlich ungestört seiner Arbeit nachgehen. Besser ist es, gleich ein garantiert sauberes System wie Desinfect von CD zu booten. Dort können sich dann gleich mehrere Virenscanner auf die Jagd machen.
Doch auch auf die Gefahr hin, als paranoid zu gelten: Ein – nach der verdrehten Medizinerlogik – negativer Befund (also: nichts gefunden) ist noch lange kein positives Ergebnis. Wie bereits erwähnt, vergehen manchmal Tage oder Wochen, bis aktuelle Signaturen eine zuverlässige Erkennung ermöglichen. Will man trotzdem sofort Gewissheit, muss man sich selbst auf die Suche begeben.
Wer es nicht ohnehin schon getan hat, sollte zu Beginn dieser Analyse unter "Extras/Ordneroptionen/Ansicht" beziehungsweise "Organisieren/Ordner- und Suchoptionen/Ansicht" unter WIndows 7 einige blinde Flecken des Explorer beseitigen. Standardeinstellungen wie "Erweiterungen bei bekannten Dateitypen ausblenden", "Geschützte Systemdateien ausblenden" und "Versteckte Dateien und Ordner ausblenden" verbergen Informationen, die von Nutzen sein können.
