Hat mein Computer einen Virus? So prüfst du es
Kurzantwort: Öffne den Task-Manager mit Strg+Umschalt+Esc und sortiere nach CPU. Wenn die Auslastung bei 80-100% liegt ohne dass sichtbar etwas läuft, untersuche das genauer — Kryptominer verstecken sich oft hinter gefälschten Namen wie WindowsUpdateService.exe (der echte Windows-Prozess ist svchost.exe). Prüfe die Autostart-Registerkarte und unbekannte Einträge in der Details-Registerkarte, dann bestätige mit einem Malwarebytes-Scan statt anzunehmen deine Hardware stirbt.
Task-Manager öffnen mit Strg+Umschalt+Esc, CPU-Spalte anklicken um nach Auslastung zu sortieren. Wenn die CPU bei 80-100% liegt und sichtbar nichts läuft, lohnt sich ein genauer Blick. Ein Kunde rief an weil sein drei Jahre alter Dell „unbenutzbar langsam” geworden war — er hatte schon eine neue SSD bestellt, überzeugt die Festplatte stirbt. Wir öffneten den Task-Manager und fanden „WindowsUpdateService.exe” mit 94% CPU-Auslastung. Das ist kein echter Windows-Prozess. Windows Update läuft über svchost.exe, nicht über eine eigenständige Executable mit diesem Namen. Es war ein Kryptominer der seit vier Monaten lief. Beendet, Malwarebytes gestartet, sieben weitere infizierte Dateien gefunden, alle bereinigt. Der Computer lief wie neu. Er stornierte die SSD-Bestellung.
Etwa 35% der infizierten Rechner die wir reinigen haben Kryptominer. Die meisten Besitzer dachten ihr PC wird einfach alt.
Task-Manager
Die meisten Prozesse im Task-Manager sind harmlos. „System” und „Leerlaufprozess” gehören dahin. „Antimalware Service Executable” ist Windows Defender beim Scannen — der springt für 10-20 Minuten hoch und fällt dann zurück. Mehrere svchost.exe-Instanzen sind normal. SearchIndexer.exe frisst Ressourcen auf Rechnern mit vielen Dateien. Wenn Chrome 3 GB über 40 Tabs verbraucht, ist das Chrome, keine Malware.
Was besorgniserregend sein sollte ist alles, was einen echten Windows-Prozess imitiert aber den Namen leicht falsch hat. Ich habe persönlich „svch0st.exe” gesehen, mit einer Null wo das O sein sollte. „csrrs.exe” mit zwei R’s wenn das echte nur eines hat. „lsas.exe” das sich als lsass.exe ausgibt. „RuntimeBroker32.exe” das „32” an einen legitimen Namen anhängt. Malware-Autoren wissen, dass niemand Prozessnamen auswendig kennt.
Rechtsklick auf verdächtige Prozesse, Dateipfad öffnen. Legitime Windows-Prozesse leben in C:\Windows\System32. Wenn die Datei in AppData, einem Temp-Ordner oder einem zufällig nummerierten Verzeichnis liegt — das stimmt nicht. Auch Eigenschaften prüfen, Registerkarte Digitale Signaturen. Echte Windows-Prozesse sind von „Microsoft Windows” signiert. Gar keine Signatur bei einem Prozess der nennenswert CPU verbraucht ist ein Warnsignal. Wenn du dir bei etwas unsicher bist, kopiere den Dateinamen und suche ihn auf virustotal.com — das prüft gegen 70+ Antivirus-Engines.
Wenn der Task-Manager hohe CPU zeigt aber nichts Offensichtliches sie frisst, deckt die Anleitung die spezifischen svchost- und WMI-Szenarien ab. Und wenn die Langsamkeit über Monate schleichend kam und der Task-Manager normal aussieht, ist es fast sicher kein Virus — es ist Alter, Autostart-Aufblähung oder eine sterbende Festplatte, und unsere Beschleunigungsanleitung behandelt das.
Drei Scans
Windows Defender allein laufen lassen und es als erledigt betrachten ist wie ein Zimmer zu prüfen und das ganze Haus für sauber zu erklären. Hier ist der Ansatz den ich bei jeder Maschine verwende.
Microsoft Defender Offline zuerst — in Windows integriert. Windows-Sicherheit öffnen, Viren- & Bedrohungsschutz, Scanoptionen, Microsoft Defender Offline-Scan, Jetzt scannen. Der Computer startet in eine abgespeckte Umgebung und scannt bevor das volle Betriebssystem lädt. Malware die sich im laufenden Windows versteckt wird gefangen, weil sie in dieser Umgebung nicht laufen kann. Dauert etwa 15 Minuten.
Malwarebytes Free von malwarebytes.com als nächstes. Vollständiger Systemscan, nicht Schnellscan. Der Grund für die Kombination mit Defender ist, dass Malwarebytes das findet was Microsoft bewusst ignoriert — Browser-Hijacker, Adware-Bundles, potenziell unerwünschte Programme. Defender stuft die als „technisch keine Viren” ein und zuckt mit den Schultern. Direkt auf malwarebytes.com den Download holen — das oberste Google-Ergebnis war schon öfter eine gesponserte Anzeige für eine gefälschte Version. Malwarebytes aber nicht parallel zu Defender im Echtzeitschutz laufen lassen; zwei Scanner die jeden Dateizugriff gleichzeitig überwachen bringen die Maschine zum Stillstand. Installieren, scannen, schließen.
HitmanPro von hitmanpro.com ist der dritte Durchgang. Installiert sich nicht mal — läuft als portable Anwendung und nutzt cloudbasierte Verhaltensanalyse statt lokaler Signaturen. Findet neuere Bedrohungen die die anderen beiden noch nicht katalogisiert haben. Am langsamsten aber findet die Stealth-Infektionen.
Wenn alle drei sauber zurückkommen, ist die Maschine sauber. Wenn einer etwas findet, entfernen und alle drei nochmal laufen lassen zur Bestätigung.
Was wenn Scans etwas gefunden haben
Meistens quarantänisiert der Scanner automatisch — die Datei wird weggesperrt wo sie nicht laufen kann. Eine Woche quarantänisiert lassen. Wenn nichts kaputtgeht, löschen. Wenn ein Programm aufhört zu funktionieren, war die „infizierte” Datei möglicherweise ein Fehlalarm.
Bei hartnäckigen Infektionen die überleben oder wiederkommen, im abgesicherten Modus starten und nochmal scannen. Umschalt gedrückt halten beim Klick auf Neu starten, Problembehandlung, Starteinstellungen, 4 drücken. Der abgesicherte Modus lädt minimale Treiber, sodass die Autostart-Hooks der Malware nicht ausgeführt werden können. Wenn die Infektion auch nach dem Scan im abgesicherten Modus zurückkehrt, steckt etwas tiefer als Verbraucher-Scanner reichen — an dem Punkt ist eine saubere Windows-Neuinstallation die realistische Lösung, oder unsere vollständige Malware-Entfernungsanleitung deckt die manuelle Registry- und Aufgabenplanung-Bereinigung für hartnäckige Infektionen ab.
Bestätigen dass es weg ist
Task-Manager nochmal öffnen, Leistungs-Registerkarte. Im Leerlauf ohne offene Apps sollte die CPU bei 2-10% liegen, Datenträger bei 0-5% nach Abschluss der Boot-Aufgaben. Autostart-Registerkarte auf neue Einträge prüfen die vorher nicht da waren. Ereignisanzeige öffnen (Win+R, eventvwr.msc, Windows-Protokolle, Anwendung) und die letzten Einträge durchgehen — nach wiederholten Fehlern von der gleichen Quelle zur gleichen Tageszeit suchen, was ein Zeichen für Malware ist die nach Zeitplan nach Hause telefoniert.
Drei volle Tage abwarten bevor du den Sieg erklärst. Manche Infektionen kontaktieren ihren Befehlsserver alle 24-48 Stunden um sich selbst neu herunterzuladen. Wenn die Maschine ein langes Wochenende lang mit normaler Ressourcennutzung sauber bleibt, bist du wirklich durch. Wenn du irgendeinen Info-Stealer hattest — oder nicht sicher bist welcher Typ es war — ändere Passwörter für E-Mail, Banking und alles Sensible von einem anderen Gerät, und prüfe Kontoauszüge ein paar Monate zurück. Wenn die Infektion immer wiederkommt oder alle drei Scanner sauber sagen aber die Maschine sich immer noch seltsam verhält, können wir Enterprise-Tools per Fernzugriff einsetzen die finden was die kostenlosen übersehen.
Häufig gestellte Fragen
Woher weiß ich ob mein Computer einen Virus hat oder einfach langsam ist?
Öffne den Task-Manager (Strg+Umschalt+Esc) und prüfe die Leistungs-Registerkarte. Wenn die CPU bei 80-100% liegt ohne dass sichtbar etwas läuft, ist das verdächtig — besonders wenn du Prozesse findest die Windows-Systemdateien imitieren aber leicht abweichen (wie svch0st.exe mit einer Null statt einem O). Wenn die Langsamkeit über Monate schleichend kam und der Task-Manager normal aussieht, ist es fast sicher kein Virus — es ist Alter, zu viele Autostart-Programme oder eine sterbende Festplatte.
Reicht Windows Defender um alle Viren zu erkennen?
Windows Defender erkennt etwa 95% der bekannten Bedrohungen, ignoriert aber absichtlich Browser-Hijacker, Adware und potenziell unerwünschte Programme (PUPs) die es als 'technisch keine Viren' einstuft. Für eine gründliche Prüfung drei Scans durchführen: Microsoft Defender Offline (startet in eine minimale Umgebung), Malwarebytes Free (fängt die PUPs die Defender überspringt) und HitmanPro (cloudbasierte Verhaltensanalyse für verstecktere Bedrohungen). Alle drei sind kostenlos und der gesamte Vorgang dauert etwa 45 Minuten.
Was sind die häufigsten Malware-Typen 2026?
Die drei häufigsten Typen die wir von Kundenrechnern entfernen sind Kryptominer (etwa 35% der Infektionen — kapern die CPU zum Kryptowährungs-Mining, machen den PC unerträglich langsam), Browser-Hijacker (ändern Startseite und Suchmaschine, leiten Klicks durch Werbeseiten um) und Info-Stealer (laufen komplett im Verborgenen, erfassen Passwörter und Tastatureingaben, senden Daten an entfernte Server). Kryptominer und Hijacker sind leicht zu erkennen; Info-Stealer zeigen null Symptome und können nur durch spezialisierte Scan-Tools gefunden werden.
Wie bestätige ich dass ein Virus nach der Entfernung wirklich weg ist?
Task-Manager prüfen — CPU sollte im Leerlauf bei 2-10% liegen, nicht bei 80%. Autostart-Registerkarte auf verdächtige neue Einträge prüfen. Ereignisanzeige (eventvwr.msc) öffnen und nach wiederholten Fehlern zur gleichen Tageszeit suchen. Dann 72 Stunden beobachten — manche Infektionen kontaktieren alle 24-48 Stunden ihren Server um sich neu zu installieren. Wenn die Maschine drei Tage sauber bleibt, bist du durch. Bei einem Info-Stealer alle Passwörter von einem anderen Gerät ändern.
Wann sollte ich einen Profi rufen statt Malware selbst zu entfernen?
Rufe einen Profi wenn: die gleiche Infektion nach Safe-Mode-Scan wiederkommt, dein Antivirus jedes Mal beendet wird wenn du es aktivierst, Rootkit-Bedrohungen auftauchen (MBR oder Boot-Sektor), oder alle drei Scanner sagen die Maschine ist sauber aber sie verhält sich trotzdem komisch. Auch wenn du mehr als drei Stunden daran sitzt — ab dem Punkt kostet DIY dich mehr an Zeit als professionelle Entfernung an Geld kosten würde.