21.02.2021 | 09:30 Uhr | Arne Arnold, Benjamin Schischka

Was tun, wenn sich ein Virus tief ins System einnistet und Windows verseucht ist? Mit unserem Anti-Virus-USB-Stick rücken Sie der Malware effektiv zu Leibe. Die kostenlosen Spezial-Tools spüren selbst gut versteckte Schädlinge auf.

Der ideale USB-Rettungsstick bietet nicht nur etliche Sicherheitstools, er ist auch bootfähig. So können Sie einen PC etwa auch dann starten, wenn sein Windows-Desktop von einem Erpresservirus gesperrt wurde. Wir zeigen Ihnen hier Schritt für Schritt, wie Sie Ihren eigenen USB-Rettungsstick erstellen.

Der hier vorgestellte Notfallstick hat drei Schwerpunkte: Er ist bootfähig und startet den PC mit den wichtigsten Antiviren-und Notfalltools. Er bietet eine Sammlung von portablen Analyse-und Notfallprogrammen. Sollte Windows auf dem Notfall-PC noch laufen, lassen sich diese Tools sofort einsetzen, da sie auch ohne Installation funktionieren. Und schließlich packen wir noch eine Sammlung von Tools speziell gegen Erpresserviren auf den Stick. Denn diese Schädlinge sind aktuell besonders stark verbreitet.

Sollten Sie einen USB-Stick übrig haben (Minimum 1 GB), dann ist Ihr persönlicher Rettungsstick zudem kostenlos. Denn die nötige Software dafür ist komplett gratis oder zumindest auch in einer Freewareversion erhältlich.

Der USB-Stick hat nicht nur den Vorteil, dass er in der Tasche immer dabei ist. Verhindert ein kontaminiertes Windows das Ausführen von Anti-Viren-Tools, können Sie beispielsweise vom Notfall-Stick aus neustarten und rücken dem Schädling einfach ohne Windows zu Leibe. Das funktioniert natürlich auch mit einer klassischen Notfall-CD oder -DVD – aber diese lässt sich nicht so einfach wie ein USB-Stick auf dem aktuellen Stand halten. Außerdem verfügen nicht alle Laptops über ein optisches Laufwerk. Dieses müssten Sie in einer portablen Variante dann zusätzlich mit sich herumschleppen.

Einen USB-Stick bootfähig zu machen ist gar nicht so schwer, wie viele Nutzer meinen. Sie benötigen nur die passenden Tools. Um den PC vom fertigen Stick zu booten, starten Sie den Rechner und drücken kurz nach dem Einschalten eine Bootmenü-Auswahltaste, meist F2, F8, F10 oder Esc. Welche das konkret ist, wird am Monitor angezeigt oder steht im Handbuch der Hauptplatine. Nach dem Drücken der Taste lässt sich der angeschlossene, bootfähige USB-Sick in einer Liste per Pfeil-Taste und Enter als Bootmedium auswählen.

Eine größere Hürde kann allerdings das Uefi bei neueren PCs sein. Zwar kommen gerade neuere PCs meist ohne DVD-Laufwerk, weshalb hier der Einsatz eines USB-Sticks zwingend ist. Doch neuere PCs nutzen nicht mehr das ältere Bios (Basic Input Output System), sondern das modernere Uefi (Unified Extensible Firmware Interface) . Es bietet unter anderem mehr Sicherheit, etwa durch den Modus Secure Boot. Der Nachteil am neuem Uefi: Einige ältere Bootsysteme unterstützen Uefi nicht. So können Sie zum Beispiel auf einen Uefi-PC zunächst kein Windows mit 32-Bit installieren, da es keinen signierten Bootloader für Secure Boot bietet. Das trifft leider auch auf ein paar eigentlich sehr gute, bootfähige Antivirensysteme zu.

Doch sollte der USB-Stick beim Booten eines Uefi-PCs mal streiken, gibt es dafür eine Lösung, denn der Modus Secure Boot lässt sich vorübergehend deaktivieren. Allerdings müssen Sie den Modus später wieder einschalten, da sonst das bereits installierte nicht mehr starten würde.

Bei allen gängigen PCs lässt sich im Uefi der Secure-Boot-Modus ausschalten und zudem noch ein Kompatibilitätsmodus einschalten. Der Weg ins Uefi ist aber nicht immer ganz einfach. Grundsätzlich geht das wie beim Bios: Starten Sie den PC und achten Sie darauf, welche Taste angezeigt wird, die Sie für den Aufruf des Setup drücken müssen, meist F2, F8, F10 oder Esc. Das Handbuch sollte die richtige Taste ebenfalls verraten. Neue PCs mit Windows 10 und SSDs booten aber derart schnell, dass man den richtigen Zeitpunkt für den Tastenpunkt meist nicht mehr erwischt. Der Uefi-Aufruf lässt sich aber auch über Windows (8 und 10) initiieren. Bei Windows 10 halten Sie die Umschalttaste gedrückt und gelangen dann über „Windows-Symbol -> Ein/Aus -> Neustarten“ zu einem PC-Neustart, der schließlich die Option „Erweiterte Option -> Uefi-Firmwareeinstellungen“ bietet. Unter Windows 8 versteckt sich der Neustartbefehl in der Charm-Leiste oder oben auf der Kacheloberfläche (Windows 8.1).

Im Uefi angekommen, schalten Sie als erste Maßnahme den „Secure Boot“ aus. Sollte das fürs Starten von USB-Stick noch nicht genügen, schalten Sie zudem den Kompatibilitätsmodus ein. Je nach Uefi-Hersteller wird dieser mal „Legacy“ mal „Compatibility Support Module“ oder ähnlich genannt. Nun sollte es mit allen Bootsticks klappen.

Ein gutes Tool, um ein Linux-Livesystem auf einen USB-Stick zu bringen, ist der Linux Live USB Creator . Sein einziges Manko ist, dass er keinen Multibootstick erstellten kann. Wer das möchte, greift zu dem Tool Sardu . Doch wenn Sie ohnehin nur ein einziges System auf Ihren USB-Stick bringen möchten, etwa die empfehlenswerte Kaspersky Rescue Disk , ist das Tool erste Wahl.

So geht’s: Stecken Sie Ihren USB-Stick an den PC. Installieren Sie den Linux Live USB Creator, und starten Sie ihn. Wählen Sie in dem Tool unter Schritt 1 den Stick aus. Bei Schritt 2 klicken Sie für unser Beispiel mit der Kaspersky Rescue Disk auf „ISO / IMP / ZIP“ und wählen die ISO-Datei von Kaspersky aus. Sie heißt kav_rescue_10.iso. Die meisten Livesysteme liegen als ISO-Dateien vor und lassen sich über diesen Weg auswählen. Die übrigen Einstellungen können Sie belassen. Vorhandene Daten werden nicht gelöscht, es sei denn, Sie haben unter Schritt 4 das Formatieren des Sticks gewählt. Um die Erstellung zu starten, klicken Sie abschließend auf das Blitzsymbol unten links.

Hacker-Check: So testen Sie Ihren PC mit Metasploit

Für Ihren perfekten Virenjägerstick benötigen Sie mehrere bewährte Antiviren-Notfallsysteme. Mit diesen starten Sie einen verdächtigen Rechner und scannen ihn auf Schädlingsbefall. Ideal für diese Zwecke ist das Tool Sardu (Shardana Antivirus Rescue Disk Utility). Es vereint mehrere bootfähige Antiviren-und Rettungssysteme bequem auf einem USB-Stick. Insgesamt bietet das Tool über 100 Livesysteme aus verschiedenen Rubriken zur Auswahl. Jedes System, dass Sie per Klick auf das Kästchen am Anfang einer Zeile auswählen, wird als ISO-Datei aus dem Internet heruntergeladen. Später erstellt Sardu aus allen geladenen Systemen den multibootfähigen USB-Stick. Multiboot bedeutet: Der Stick startet den PC bis zu einem Auswahlmenü mit allen enthaltenen Notfallsystemen. Sie müssen sich dann jeweils für ein System entscheiden, mit dem Sie den PC komplett booten. Möchten Sie den Rechner anschließend mit einem anderen Notfallsystem bearbeiten, müssen Sie ihn erneut vom USB-Stick starten.

Im Test funktioniert Sardu zuverlässig. Der Macher von Sardu gibt übrigens an, dass er zunächst selber ein solches Multiboot-Tool für sich gesucht hatte, aber keine zufriedenstellende Software finden konnte. So hat er selber ein Tool programmiert – und das, obwohl er bis dahin gar kein Entwickler war.

Vorteile der kostenpflichtigen Version von Sardu: Sardu gibt es in einer Freeversion, die nach einer kostenlosen Registrierung fast alle wichtigen Funktionen bietet. Allerdings unterstützt der fertige Multibootstick keine Uefi-PCs mit aktiviertem Secure Boot. Möchten Sie einen solchen Rechner mit dem Sardu-Stick starten, müssen Sie Secure Boot im Uefi ausschalten. Dieses Manko beseitigt die Pro-Version von Sardu (Pro Basic), die es für 9,90 Euro pro Jahr gibt. Ein weiterer Vorteil der Pro-Basic-Version: Sie erstellt einen bootfähigen Windows-PE-Stick, wenn man das entsprechende ISO parat hat.

Mit dem Tool Sardu  können Sie sich Ihre eigene Multiboot-DVD oder einen eigenen Multiboot-USB-Stick erstellen. Entpacken Sie das Programm Sardu in ein beliebiges Verzeichnis auf der Festplatte, etwa „C:\Sardu“. Öffnen Sie den Windows- Explorer, und wechseln Sie in das zuvor angelegte Sardu-Verzeichnis. Starten Sie das Programm per Doppelklick auf die Datei Sardu_3. exe. Stimmen Sie den Lizenzbestimmungen zu.

Sardu startet daraufhin mit einer englischsprachigen Programmoberfläche und fordert Sie auch auf, die genutzte Version kostenlos zu registrieren. Wenn Sie das nicht sofort erledigen wollen, lässt sich dieser notwendige Schritt über das Menü „Registrieren“ nachholen. Stellen Sie zuvor die Sprache über „Language –› de“ auf Deutsch um. Einige Menüs bleiben allerdings dennoch auf Englisch.

Klicken Sie auf der linken Seite in Sardu auf das Schildsymbol mit den Zeichen „AV“. Nun werden im mittleren Fensterbereich mehrere Live-Systeme in alphabetischer Reihenfolge aufgelistet.

Zum Download eines Systems doppelklicken Sie auf den Downloadpfeil am Ende der Zeile. Erst wenn Sardu die nötige ISO-Datei aus dem Internet geladen hat, lässt sich das System per Häkchen am Anfang der Zeile für den USB-Stick oder die eigene DVD auswählen. Die kostenlose Version von Sardu lädt immer nur eine ISO-Datei herunter. Wechseln Sie also nach der Wahl des ersten Systems in den Download-Bereich von Sardu (vorletztes Symbol links) und klicken Sie auf „Start“. Erst danach können Sie das nächste System auswählen und laden. Wenn Sie alle gewünschten Systeme geladen haben, setzen Sie unter „AV“ die Haken vor den Systemen.

Acht empfehlenswerte Antivirensysteme führen wir unten auf.

Stecken Sie einen ausreichend großen USB-Stick an und klicken Sie in Sardu auf „USB –› USB-Laufwerk suchen“. Im Dropdown-Menü rechts wählen Sie Ihren USB-Stick. Nun können Sie über „USB –› USB-Stick erstellen“ Ihren eigenen Multiboot-Stick erzeugen. Bis alle Systeme übertragen sind, vergehen einige Minuten. Die Installation ist beendet, sobald sich die Infozeile am unteren Rand des Fensters orange färbt.

Eine Multiboot-DVD erzeugen Sie mit „ISO –› ISO-Brennen –› Suche Brenner“. Alternativ lassen Sie sich von Sardu die ISO-Datei erstellen, die Sie anschließend auf DVD brennen.

Der letzte Test von Antivirenscannern für Linux – um diese handelt es sich bei den hier beschriebenen Tools – liegt leider schon einige Jahre zurück. Wir haben die Testergebnisse dennoch in der Tabelle folgenden aufgeführt. Unsere Empfehlungen gründen sich auf diese Ergebnisse, genauso wie auf unsere eigenen Tests sowie unsere Erfahrungen mit anderen Tools der jeweiligen Hersteller.

Nutzen Sie als Erstes das Tool Kaspersky Rescue Disk. Sollte auf dem betreffendem PC bereits Kaspersky für Windows installiert sein, setzten Sie gleich das nächste Tool ein, die Comodo Rescue Disk. Sie stammt vom Sicherheitsanbieter Comodo, der sich auf Unternehmenskunden spezialisiert hat. Testergebnissen zufolge schneidet sein Scanner vergleichsweise gut ab. Als drittes Suchtool bietet sich die AVG Rescue CD an. Sie nutzt ein Textmenü und läuft deshalb auch auf Rechnern, bei denen die Antiviren-CDs mit grafischem Menü vielleicht streiken.

Der Scanner von Kaspersky überzeugt mit guten Testergebnissen und ist eine Empfehlung als erster Scanner in einem Notfall. Der Scanner startet seine Bedienerführung automatisch und lädt danach auch automatisch Updates, was allerdings einige Zeit in Anspruch nehmen kann.

In der Bedienerführung wählen Sie die Festplatten aus, die Sie scannen lassen möchten. Die Untersuchung startet nach einem Klick auf „Start Objects Scan“, was allerdings nicht als Button oder Link gekennzeichnet ist. Immerhin findet sich der Befehl mittig in der Bedienerführung. Die Kaspersky Rescue Disk bietet neben dem Grafikmodus auch einen Textmodus.

In den Einstellungen der Comodo Rescue Disk können Sie das Scannen von sehr großen Dateien ausschließen. Das ist etwa für Festplat- ten mit einer umfangreichen Filmsammlung sinnvoll, da so der Scanvorgang erheblich beschleunigt wird. Die Comodo Rescue Disk lässt sich sehr einfach über eine grafische Oberfläche bedienen.

Nach dem Start der AVG Rescue CD prüfen Sie Ihr System mit der Wahl von „Scan“. Die Bedienung läuft rein über die Tastatur, da das Tool ohne grafische Bedienerführung auskommt. Deshalb eignet es sich auch für Rechner, auf denen andere Antivirensysteme den Start verweigern. Nach der Auswahl von „Scan“ per Pfeiltasten und drücken der Enter-Taste können Sie die Laufwerke auswählen, die gescannt werden sollen. Hier ist auch ein reiner Scan der Windows-Registry möglich. Das ist etwa sinnvoll, wenn Sie mit anderen Scannern bereits die Schädlingsdatei beseitigt haben, sich aber noch Reste in der Registry befinden. Sind Sie mit der AVG Rescue CD fertig, wählen Sie

„Exit“ und geben dann reboot ein, um den PC neu zu starten. 

Das System von Dr. Web bietet neben einem Virenscanner auch ein Tool, um die Windows-Registry zu bearbeiten. Die Bedienung des Editors ist mit dem Editor von Windows weitgehend identisch. Die Sprache der Bedienerführung lässt sich über das Globus-Symbol umstellen. Die Handhabung des Systems ist einfach. Allerdings hatten wir Probleme mit der Internetverbindung. Das Tool konnte sich somit keine Updates laden. Überprüfen Sie auf Ihrem System mit einem Klick auf „Update Virus Database“, ob das Antivirentool neue Virensignaturen laden kann.

Nostalgiker, die sich an den Dateimanager Norton Commander erinnern, werden sich bei Dr. Web über den Midnight Commander freuen. Es ist ein Norton-Clone mit typischer Zwei-Fenster-Bedienung.

Das Notfallsystem von Eset ist einfach zu bedienen. Allerdings wollte es auf einigen Testrechnern nicht starten. Ein Versuch ist das Tool dennoch wert, da es vom Hersteller gut gepflegt wird. Das System bietet auch den Partitionierer Gparted. Der kann mit fast allen Datenträgern umgehen und alle verbreiteten Dateisysteme erstellen.

Das Avira Rescue System bietet vor dem Start an, die Sprache von Englisch auf Deutsch umzustellen. Das geht durch Drücken der Pfeil- und Enter-Taste. Danach startet eine grafische Bedienerführung.

Achtung: Zum Testzeitpunkt konnte das Avira Rescue System keinen Updates laden. Die Virensignaturen waren damit hoffnungslos veraltet. Wir haben den Fehler an Avira gemeldet, aber bis zu Redaktionsschluss keinen Bugfix bekommen.

Ob das Update der Signaturen bei Ihnen wieder funktioniert, sehen Sie nach dem Start des Systems im Programm Avira Rescue System unter „Extras“. Vergleichen Sie die dortige Nummer hinter VDF-Version mit der Nummer . Auf der Website finden Sie die tagesaktuelle Versionsnummer der Virensignatur von Avira.

Das Avira-System ist aber auch jenseits seines Scanners interessant, denn es bietet einen einfachen Registry-Editor. Dieser lädt die Registry der Windows-Partition automatisch und lässt Sie Änderungen daran vornehmen.

Die Antivirus Live CD kommt mit dem Open-Source-Tool Clam AV. Das liegt allerdings in Vergleichstests von Antivirenprogrammen meist hinter der kommerziellen Konkurrenz. Dennoch hat die Antivirus Live CD auch einen Vorteil: Sie arbeitet komplett im Textmodus und kommt somit auch auf Systemen mit exotischen, ganz neuen oder ganz alten Grafikkarten klar. Sollten also Kaspersky & Co. versagen, versuchen Sie es mal mit diesem System.

Bedienung: Das System ist schnell gestartet und bietet zunächst an, das Tastaturlayout von Englisch auf Deutsch zu wechseln. Das geht per Taste z (was ein „y“ ergibt) und der Wahl von 1. Nach der Spracheinstellung der Tastatur führt ein Assistent durch den weiteren Vorgang.

Um das Antivirensystem Ubuntu MRT (Malware Removal Tool) zu starten, wählen Sie „live“ im zweiten Auswahlmenü oder warten 25 Sekunden.

Danach startet das Antivirentool allerdings nicht automatisch. Sie laden es über „Applications –› Malware Tools –› Virus Scanning –› AVG 8.5 For Linux –› AVGScan Cli”. Darüber öffnen Sie ein Terminal, in das Sie über die Eingabe avgscan / einen Scan aller Festplatten starten. Sie können diesen AVG-Scanner aber auch über die „AVG Rescue CD“ nutzen.

Das System Ubuntu MRT empfiehlt sich eher für Profis, die mit den anderen Tools unter „Applications –› Malware Tools“ Manipulationen an einem Rechner aufdecken wollen.

Vorweg eine Einschränkung: Die Antivirensysteme benötigen für ihren Startvorgang den älteren Bios-Modus. Zwar startet die Sardu-DVD oder der Sardu-Stick auch im Uefi-Modus bei deaktiviertem Secure Boot und zeigt dann das Auswahlmenü für die Antivirensysteme an, aber die Systeme selber starten anschließend nicht. Darum müssen Sie vor dem Start der Sardu-DVD bitte zunächst im Uefi den Modus „Compatibility Support Module“ (CSM) aktivieren. Ermitteln Sie zunächst die für Ihren Rechner spezifische Taste, mit der Sie nach dem PC-Start ins Uefi gelangen. Oft ist das Esc, F2, F10 oder ähnlich. Sie können das durch mehrmaliges Drücken der Tasten direkt nach dem Einschalten des PCs testen oder im Handbuch oder Internet nachlesen. Klappt das nicht, hilft Folgendes unter Windows 10: Gehen Sie über „Windows-Symbol –› Einstellungen –› Update und Sicherheit –› Wiederherstellung –› Erweiterter Start“ und weiter über „Problembehandlung –› Erweiterte Optionen –› Uefi-Firmwareeinstellungen –› Neu starten“.

Im Uefi angekommen, suchen Sie nach Optionen wie „CSM“ und/oder „Legacy Boot“, die meist unter Menüs mit Namen wie „Boot“ zu finden sind. Die Bios-Emulation CSM sorgt dafür, dass der PC im Bios-Modus booten kann – oder abhängig von der Uefi-Version auch in beiden Modi. Damit ist die Funktion Secure Boot meist automatisch deaktiviert. Sie finden die Angabe fast immer in der Nähe der Option CSM.

Wichtig: Wenn Sie nach dem Einsatz der Sardu-Multiboot-DVD wieder Windows starten möchten, müssen Sie die Option „Secure Boot“ wieder aktivieren. Zumindest trifft das dann zu, wenn Windows auf dem PC im Secure-Boot-Modus installiert wurde. Besondere Vorsicht gilt bei mit Bitlocker verschlüsselten Systemlaufwerken. Einige Systeme fordern Sie nach einer Änderung am Secure Boot auf, den Bitlocker- Wiederherstellungsschlüssel einzugeben. Prüfen Sie vorher, ob Sie diesen rund 50 Zeichen langen Schlüssel haben.

Starten Sie Ihren PC von Ihrer Multiboot-DVD oder Ihrem Stick. Nach dem Start begrüßt Sie das Auswahlmenü von Sardu, in dem Sie „Menu Antivirus“ per Pfeiltaste und Enter wählen. Nun stehen Ihnen die acht Antivirensystem zum Starten bereit. Wenn Sie eines per Pfeiltaste und Enter ausgewählt haben, bietet das Tool meist noch andere Bootoptionen. Wählen Sie zunächst immer die oberste. Es ist die Standard-Bootoption, die für die meisten PCs passen sollte.

Je nach System dauert der Start ein paar Sekunden bis einige Minuten. Nach dem Start steht als Erstes an, Updates für die Virenscanner zu laden.

Die Antivirensysteme auf dem Sardu-Stick oder -DVD sind nicht auf dem neuesten Stand. Sie benötigen unbedingt aktuelle Infos zu neuen Viren, also ein Update der Virensignaturen. Die gute Nachricht ist, dass die meisten Tools das nach dem Start automatisch erledigen. Damit das gelingt, benötigt der betroffene Rechner aber eine Internetverbindung. Problemlos funktioniert das Update, wenn Sie den PC mit dem LAN-Kabel an den Router anschließen. Wir empfehlen diese Methode.

Sollte das bei Ihnen nicht möglich sein, bieten die meisten der Antivirensysteme auch den Zugang per WLAN. Diesen müssen Sie nach dem Start aber erst noch einrichten. Das geht meist über den Netzwerk-Verbindungsmanager, den Sie in der Regel rechts unten im Infobereich oder über das Programmmenü aufrufen können. Dort wählen Sie, wie bei WLAN-Verbindungen gewohnt, Ihr Netzwerk aus und geben den WLAN-Schlüssel ein. In unserem Test hat das allerdings nicht immer zuverlässig funktioniert.

Welche Antivirensysteme sich grundsätzlich per WLAN mit dem Internet verbinden können, sehen Sie in der Übersicht unten in der Spalte „WLAN möglich“.

Bedienung der Antiviren-DVDs mit Textmenü: Alte Hasen am PC werden auch mit der Bedienung von Textmenüs keine Probleme haben. Ein solches bietet etwa die Antiviren-CD von AVG. Diese Menüs zeigen – obwohl sie überwiegend aus Text bestehen – einige einfache Auswahlelemente. Zu diesen navigieren Sie per Pfeiltasten oder der Tabulatortaste. Wenn Sie ein Element auswählen möchten, etwa die zu scannende Festplatte, erledigen Sie das mit der Leertaste. Die Entertaste startet eine Aktion. Die Systeme mit einem grafischen Menü lassen sich wie Windows bedienen.

Virensuche: Ein Scan der gesamten Festplatte kann mehreren Stunden dauern. Ein Job, den Sie zum Beispiel über Nacht laufen lassen können. Sollte der Scanner einen Schädling melden, kann er diesen meist löschen oder umbenennen. Mit Umbenennen machen Sie nichts falsch, denn das lässt sich im Falle eines Fehlalarms leicht rückgängig machen. Notieren Sie sich dazu den Dateinamen des ge- meldeten Schädlings inklusive Pfad sowie allen weiteren angebotenen Informationen.

Haben Sie mit einem Antivirensystem Ihren PC erfolgreich gescannt und möchten nun ein weiteres System nutzen, dann müssen Sie den PC neu von der Multiboot-DVD oder dem Stick starten.

Beenden der Systeme: Die grafischen Systeme bieten allesamt ein Menü, über das Sie den PC herunterfahren oder gleich neu starten können. Wenn Sie den Neustart wählen, fordern einige Systeme von Ihnen, dass Sie die DVD aus dem Laufwerk nehmen und anschließend zur Bestätigung die Enter-Taste drücken. Damit möchte das System verhindern, dass Sie es wieder booten und so scheinbar in einer Dauerschleife aus Antivirensystemen gefangen sind. Diese Aufforderung kommt etwa von Ubuntu. Möchten Sie aber ein weiteres Mal die Multiboot-Antiviren-DVD starten, belassen Sie diese im Laufwerk und drücken dennoch Enter.

Wichtig: Beim Neustart des PCs entladen einige der Antivirensysteme die DVD, indem sie die Schublade das DVD-Laufwerks ausfahren, so etwa bei Dr. Web Live CD. Wenn der PC dann schneller bootet, als die DVD wieder geladen werden kann, versucht Ihr Rechner, Windows zu starten. Sollte Windows auf Ihrem PC auf die Uefi-Funktion „Secure Boot“ angewiesen sein, klappt das nicht, und Ihr Rechner hängt. In diesem Fall starten Sie den PC erneut, etwa über die Reset-Taste, und booten ihn von der Multiboot-DVD, wenn Sie weitere Antivirensysteme der DVD nutzen möchten. Falls Sie zurück zu Windows wollen, ändern Sie die Uefi-Einstellungen auf die ursprünglichen Werte. 

Stecken Sie den Multiboot-USB-Stick an einem PC an, und starten Sie neu. Sind die Booteinstellungen korrekt auf einen USB-Stick festgelegt, erscheint nach wenigen Sekunden das Sardu-Bootmenü. Bewegen Sie die Markierung mit den Pfeiltasten nach unten beziehungsweise nach oben, und drücken Sie die Eingabetaste, um eines der vorhandenen Antiviren-Livesysteme zu starten. Für den anschließenden Start eines anderen Livesystems vom USB-Stick starten Sie den Rechner neu und treffen eine neue Auswahl im Bootmenü.

Bei allen Antivirensystemen sollte der PC per Kabel mit dem Router verbunden sein, damit sich der Scanner neue Updates holen kann. Ist er nur per WLAN mit dem Internet verbunden, müssten Sie zuerst den WLAN-Schlüssel eingeben, was bei einigen Systemen nur sehr umständlich oder gar nicht möglich ist.

Erpresserviren sperren den Zugang zu Windows oder verschlüsseln Ihre Daten und fordern dann für die Freigabe der Daten ein Lösegeld. Als Zahlungsmittel sind meist Bitcoins oder Paysafe-Karten vorgesehen, da so der Empfänger anonym bleiben kann. Wie man an Bitcoins kommt und damit dann den Erpressern bezahlt, ist meist sehr genau beschrieben. Schließlich haben die Gauner ein Interesse daran, an das Geld zu kommen.

Siehe auch: Die 10 besten Tipps zu Sicherheit und Datenschutz

Sollte Ihr PC oder der PC im vertrauten Umfeld mit einem Erpresservirus verseucht sein, stellt sich natürlich die Frage, ob man das Lösegeld bezahlen soll oder ob der Notfallstick die Daten retten kann.

Grundsätzlich gilt: Bei Erpresserviren, die den Zugang zu Windows sperren, haben Sie gute Chancen, das System wieder flott zu bekommen. Oft kommen Sie mit der Kaspersky Rescue Disk (per Sardu oder Linux Live USB Creator erstellt) an den Schädling heran und können Windows wieder normal starten.

Schwieriger wird es bei Opfern eines Verschlüsselungstrojaners. Denn hier ist der Schädling an sich meist gar nicht mehr auf der Festplatte. Eine klassische Virenbeseitigung ist damit gar nicht das Problem. Die Antivirensysteme auf dem Sicherheitsstick helfen also zumindest bei den Daten meist nicht weiter. Trotzdem ist ein Prüflauf mit einem Antivirentool sehr ratsam.

Es geht aber hauptsächlich darum, die verschlüsselten Daten wieder öffnen zu können. Sie benötigen also Entschlüsselungstools für die gekaperten Daten. Es sei denn, Sie haben ein vollständiges Backup Ihrer Daten. Dann können Sie ganz entspannt auf die verschlüsselten Dateien verzichten. Falls das nicht der Fall ist, müssen Sie prüfen, ob es gegen den Schädling ein Entschlüsselungstool gibt.

Einige Antivirenhersteller arbeiten laufend daran, neue Entschlüsselungstools für Opfer von Erpresserviren bereitzustellen.

Sehr aktiv ist etwa der Antivirenspezialist Emsisoft. Er bietet rund 20 Entschlüsselungstools (Stand Juli 2017) gegen Erpresserviren. Sie finden die Tools unter https://decrypter.emsisoft.com . Sie können sie direkt auf Ihren Sicherheitsstick laden, denn sie funktionieren ohne Installation.

Der Hersteller Eset bietet ein Entschlüsselungstool für die Opfer des Schädlings Teslacrypt namens Teslacrypt Decryptor an, das Sie ebenfalls auf Ihren Stick packen können.

Antivirenhersteller Kaspersky bietet schon länger Decrypter gegen einige Erpresserviren. Sie decodieren gefangene Dateien etwa der Schädlinge Autoit, Convault, CryptXXX, Bitcryptor, Rannoh und viele weitere. Sie finden die Tools unter https://noransom.kaspersky.com .

Oft lässt sich aus der Erpressernachricht der Name des Erpressertrojaners ersehen. So können Sie im Internet gezielt nach einem Gegenmittel suchen. Sollte nicht klar sein, welcher Schädling Ihre Dateien verschlüsselt hat, dann sehen Sie sich die neuen Dateiendungen der gekaperten Dateien an. Diese weisen oft eindeutig auf einen Erpressertyp hin. Entsprechende Infos gibt’s wiederum per Google. Klappt das nicht, dann scannen Sie den PC mit einem Antivirentool, etwa per bootfähigem USB-Stick oder mit einem der portablen Virenscanner wie dem F-Secure Online Scanner , der sich unter Windows vom Sicherheitsstick aus starten lässt. Im Scanergebnis sollte der Name des Erpresservirus auftauchen.

Die bootfähigen Antivirenprogramme, die Sie etwa mit dem Tool Sardu auf Ihren USB-Stick zaubern, sind die perfekte Grundlage für Ihren Sicherheitsstick. Die Entschlüsselungstools gegen Erpresserviren können im konkreten Notfall wertvolle Daten retten. Was jetzt noch fehlt, das sind eine Reihe von Sicherheitstools, die im Idealfall ohne Installation unter Windows funktionieren und beim Beseitigen von Problemen helfen. Aber auch Tools, die eine Installation erfordern, können unter Umständen hilfreich sein. Kopieren Sie die im Folgenden genannten Tools einfach dann auf Ihren Virenjägerstick, wenn Sie ihn mit Sardu bereits bootfähig gemacht haben. Die wichtigsten Tools stellen wir Ihnen hier kurz vor.

Das Antivirentool von F-Secure nennt sich zwar Online-Scanner, ist aber zunächst ein portables Windows-Programm. Dieses benötigt für seine Arbeit allerdings zwingend eine Internetverbindung, um sich neue Updates zu holen. Sie können das Tool für die Virensuche nutzen, wenn der PC noch mit Windows läuft, also bevor Sie ihn mit dem USB-Stick gebootet haben, oder nach Durchlauf der Antivirensysteme. Der Gratis-Virenscanner soll laut Hersteller die aktuellsten Bedrohungen erkennen und im Falle eines Schädlingsbefalls Ihr System reinigen können. Mit weniger als fünf MB ist das Tool sehr klein.

Das Programm Autoruns findet nahezu alle automatisch gestarteten Programme, Codecs und Treiber in Ihrem laufenden Windows-System. Das Tool verzeichnet sowohl Objekte, die über den Autostartordner geladen werden, wie auch die zumeist weitaus zahlreicheren Anwendungen, deren Start über die Registry erfolgt. Die anderen Register dienen der Einteilung der Autostarts in Gruppen.

Nach einem Rechtsklick auf einen Eintrag können Sie ihn löschen oder kopieren, im Registriereditor ansehen, den Ordner der zugehörigen Datei öffnen oder mit „Search online“ eine Google-Suche dazu starten. Gehen Sie die Liste in Ruhe durch, und überlegen Sie sich bei jedem Eintrag, ob Sie das Programm und seinen Zweck kennen und gutheißen. Doch seien Sie vorsichtig: Wenn „Microsoft Corporation“ als Publisher angegeben ist, handelt es sich oftmals um Systemprogramme von Windows, die Sie besser nicht anrühren sollten.

Schädlicher Code öffnet gelegentlich einen Port auf dem PC, um Daten von seinem Programmierer empfangen zu können, oder verrät sich über andere Netzwerkaktivitäten. Das Tool Softperfect Network Scanner zeigt Ihnen alle offene TCP-Ports in Ihrem Heimnetzwerk an. Die gefundenen Geräte listet das Tool übersichtlich auf und liefert alle weiteren Infos, die sich über das Netzwerk in Erfahrung bringen lassen. Nutzen Sie das Tool, wenn Sie Geräte im Netzwerk scheinbar nicht erreichen können oder wenn Sie wissen wollen, welche Geräte gerade aktiv sind.

Weitere Informationen über Ihr Netzwerk liefern Ihnen die Tools des Programmierers Nir Sofer, die Sie über www.nirsoft.net/network_tools.html erhalten. Profis analysieren damit die Datenströme zum und vom PC und finden heraus, ob nur legitime Daten gesendet werden. Empfehlenswert sind etwa die Tools Curr Ports fürs Aufspüren von offenen Ports, TCP Log View fürs Anzeigen aller TCP-Verbindungen von und zu Ihrem PC sowie Network Traffic View, das fast alle Infos zum Verkehr über die Netzwerkkarte anzeigt. Die Nir-Sofer-Tools laufen alle ohne Installation. Entpacken Sie die Tools einfach auf Ihren USB-Stick und starten Sie das gewünschte Programm über die EXE-Datei in ihrem jeweiligen Ordner.

Natürlich gibt es noch viele weitere portable Freeware- und Open-Source-Programme für den USB-Stick. Wir stellen eine praktische Auswahl in der folgenden Download-Galerie vor. Eines davon finden Sie sogar exklusiv nur bei PC-WELT.

Anti-Virus-Notfall-USB-Stick mit Freeware einrichten (Bild 1 von 14)

F-Secure Online Scanner Der F-Secure Online Scanner ist ein kleines kostenloses Sicherheits-Tool, welches Ihren PC nach Schädlingen durchsucht und entfernt.

Lösungen für Kleinunternehmen.

Download-Netzwerk und Alternative zum WWW.

Hier den Backforce One konfigurieren.

Vielseitiges Video Tool für nur 9,95 Euro

10.000€-PC mit GeForce RTX 3090 Ti & 36 Kernen

Die ZOTAC GeForce RTX 3080 Ti AMP! Holo kommt mit einem GPU-Boost-Takt von 1710 MHz und 12 GB GDDR6X-Videospeicher (1188 MHz).

Im Microsoft Store gibt es starke Angebote. Zum Beispiel verschiedenen Surface Konfigurationen, Office- oder Gaming-Produkte.

Autonomie und Freiheit für DevOps-Entwickler

Wichtig sind Offenheit und gute Workflows

Das CAPTIVA Highend Gaming I66-991 kommt mit 15,6" Full-HD Display, NVIDIA GeForce RTX 3070, AMD Ryzen 5, 32 GB RAM und 500 GB SSD.

Bei Lizengo gibt es neue Download-Software zu unschlagbaren Preisen z.B. Windows 10 Home für 35,99€.

Keine Wunschlisten, keine Wartezeiten, keine Vertragsbindung, kein Abo. Riesige Auswahl, portofreie Lieferung für Neukunden.

Zur Back-to-School-Aktion beim Spezialisten von Avast erhalten Sie die beliebten Schutzpakete wie Avast One mit 50 Prozent Rabatt.

Im PC-WELT Preisvergleich finden Sie viele Versionen des aktuellen Microsoft Betriebssystems zu super günstigen Preisen!

Ein guter Gaming-PC muss keine Unsummen kosten. Hier geben wir Beispiel-Konfigurationen in Preisbereichen zwischen 300 und 1000 Euro.

© IDG Tech Media GmbH - Content Management by InterRed