Virus & Malware-Popups entfernen — Anleitung
Kurzantwort: Zuerst die Browser-Benachrichtigungsberechtigungen prüfen, bevor irgendetwas gescannt wird. Etwa 72% dessen, was Leute für einen Virus halten, ist nur eine Website, der sie versehentlich erlaubt haben, Benachrichtigungen zu senden — gefälschte Windows-Sicherheitswarnungen alle dreißig Sekunden, keine Malware involviert. Diese Berechtigungen zuerst blockieren. Wenn die Pop-ups bestehen bleiben oder die CPU am Anschlag ist ohne dass etwas läuft, dann mit Malwarebytes auf eine echte Infektion scannen.
Zuerst die Browser-Benachrichtigungsberechtigungen prüfen, bevor irgendetwas gescannt wird. Etwa 72% dessen, was Leute für einen „Virus” halten, ist tatsächlich nur eine Website, der sie versehentlich Benachrichtigungsberechtigung erteilt haben — ein Klick auf „Diese Website möchte Benachrichtigungen senden” und jetzt erscheinen alle dreißig Sekunden gefälschte Windows-Sicherheitswarnungen in der Ecke des Bildschirms. Der X-Button erzeugt noch mehr davon. Manche spielen eine Roboterstimme ab, die sagt, man solle nicht herunterfahren. Null Malware involviert.
Eine freiberufliche Designerin rief uns gegen 23 Uhr weinend an, genau deswegen. Popups mit „WINDOWS HAT 47 BEDROHUNGEN ERKANNT” erschienen schneller, als sie sie schließen konnte. Sie hatte auf irgendeiner kostenlosen Seite mit fünf verschiedenen „Download”-Buttons ein PDF konvertiert und ohne zu lesen auf Erlauben bei einer Benachrichtigungsanfrage geklickt. Wir führten sie durch Chrome-Einstellungen, Datenschutz und Sicherheit, Website-Einstellungen, Benachrichtigungen — die unbekannten Domains aus der „Erlaubt”-Liste entfernt, Browserdaten gelöscht, in zehn Minuten erledigt. Kein Scan nötig. Wenn die Popups speziell wie gefälschte Viruswarnungen aussehen, behandelt der Ratgeber, was passiert, wenn man versehentlich die angezeigte Telefonnummer anruft.
Browser-Bereinigung
Wenn die Symptome Benachrichtigungs-Popups sind, die Startseite auf eine Suchmaschine geändert wurde, die man noch nie gehört hat, zufällige neue Tabs mit Werbung aufgehen oder eine Toolbar letzte Woche aufgetaucht ist — das ist Browserebenen-Müll, keine System-Malware.
Erweiterungen zuerst. chrome://extensions in die Adressleiste eingeben. Alles, was nicht aktiv und regelmäßig benutzt wird, entfernen. Konsequent sein. Alles mit „search”, „toolbar”, „PDF Helper”, „Download Assistant” oder „Smart Coupon” im Namen von unbekannten Entwicklern ist fast sicher Adware im Tarnanzug. Ein Student hatte sechs Gutschein-Erweiterungen — jede schrieb stillschweigend seine Amazon-Affiliate-Links um, sodass irgendein Dritter bei jedem Einkauf Provision kassierte. Plus sie fraßen über 3 GB RAM.
Wenn Chrome „Wird von Ihrer Organisation verwaltet” sagt und man nicht auf einem Firmencomputer ist, das ist ein richtlinienbasierter Browser-Hijacker und es müssen Registry-Einträge bereinigt werden.
Nach den Erweiterungen den Benachrichtigungsspam killen (Einstellungen, Datenschutz und Sicherheit, Website-Einstellungen, Benachrichtigungen — alles Unbekannte aus der Erlaubt-Liste entfernen), dann einen vollständigen Browser-Reset machen. Chrome: Einstellungen, Einstellungen zurücksetzen, „Einstellungen auf die ursprünglichen Standardwerte zurücksetzen”. Firefox: about:support eingeben, „Firefox bereinigen” klicken. Der Reset entfernt Erweiterungen — was gut ist, da sie gerade bereinigt wurden. Lesezeichen und gespeicherte Passwörter überleben. Einige dieser Benachrichtigungen sind nicht mal Malware — Windows 11 hat eingebaute Werbefunktionen, die wie Adware aussehen, aber sich in den Einstellungen abschalten lassen.
Echte Malware
Wenn die Symptome anders sind — unbekannte Programme im Startmenü, Task-Manager zeigt etwas, das 80-100% CPU frisst, Windows Defender deaktiviert und lässt sich nicht wieder einschalten, Dateien mit seltsamen Erweiterungen umbenannt, Netzwerkaktivität im Leerlauf — das ist echte Malware und es muss gescannt werden.
Zuerst vom Internet trennen. Ein Typ im Januar hat zwei Stunden gescannt und bereinigt, dann zehn Minuten später war derselbe Trojaner zurück — weil die ganze Zeit über der Trojaner einen Remote-Server erreichte und Ersatzkopien so schnell nachzog, wie er sie löschte. Netzwerkkabel raus, WLAN aus.
In den Abgesicherten Modus mit Netzwerktreibern booten — Umschalttaste halten beim Klick auf Neu starten im Startmenü-Power-Button, dann Problembehandlung, Erweiterte Optionen, Starteinstellungen, 5 drücken. Der Abgesicherte Modus lädt nur die grundlegenden Microsoft-Treiber, also existieren die Autostart-Einträge der Malware in der Registry, werden aber nicht ausgeführt.
Windows Defender Offline-Scan zuerst — Windows-Sicherheit, Viren- & Bedrohungsschutz, Scanoptionen, Microsoft Defender Offline-Überprüfung. Es startet den PC neu und scannt bevor Windows vollständig lädt, sodass Malware nie die Chance hat, sich zu verstecken. Dauert 15-20 Minuten. AV-TEST Institut bewertet Defender mit 99,7% Erkennung, auf Augenhöhe mit Kaspersky und Bitdefender.
Dann Malwarebytes Free. Vollständige Überprüfung, nicht Schnellüberprüfung. Direkt auf malwarebytes.com gehen — nicht bei Google suchen und das erste Ergebnis anklicken, weil das Top-Ergebnis schon öfter als einmal eine gesponserte Anzeige für eine Fälschung war. Alles in Quarantäne verschieben, was gefunden wird.
Der Aufgabenplaner ist der Grund, warum es zurückkommt
Das ist der Teil, der mich frustriert, weil fast kein Entfernungsratgeber ihn erwähnt. Win+R drücken, taskschd.msc eingeben. Durch die Aufgabenplanerbibliothek blättern. Nach Aufgaben mit zufälligen Zeichenkettennamen suchen, oder Aufgaben, die bei Anmeldung, beim Start oder mit einem wiederkehrenden Timer geplant sind, die man nicht erstellt hat.
Im April habe ich einen Rechner bereinigt, bei dem Malwarebytes die Malware-Datei dreimal entfernt hat. Drei saubere Durchläufe. Sie kam innerhalb einer Stunde jedes Mal zurück. Eine geplante Aufgabe lief alle 60 Minuten, kontaktierte einen Server und zog eine frische Kopie. Die Scanner töteten immer das Symptom, aber nicht den Mechanismus.
Auch den Autostart-Reiter im Task-Manager prüfen — Rechtsklick auf alles Unbekannte und „Dateipfad öffnen” wählen. Wenn die Datei in einem Temp-Ordner liegt oder in irgendeinem Verzeichnis namens j2k9df83, ist das nicht legitim. Die echte svchost.exe lebt in C:\Windows\System32. Eine gefälschte lebt, wo die Malware sie abgelegt hat.
Wenn all das oben nicht hilft und die Maschine sich immer noch seltsam verhält, hat man wahrscheinlich ein Rootkit oder eine dateilose Infektion unterhalb dessen, wo Verbraucherscanner operieren. An dem Punkt ist eine saubere Windows-Installation der Weg — aber das Microsoft Media Creation Tool nutzen, um einen bootfähigen USB zu erstellen und das Laufwerk während der Installation zu formatieren, nicht „Diesen PC zurücksetzen” aus den Einstellungen. Der eingebaute Reset verwendet Teile der bestehenden Installation wieder und Infektionen überleben das manchmal.
Die vier Gewohnheiten, die eine Neuinfektion verhindern: bei jeder Benachrichtigungsanfrage auf Blockieren klicken, es sei denn, es ist eine Seite, deren Updates man aktiv vermissen würde, Software-URLs direkt eintippen statt das erste Google-Ergebnis anzuklicken (besonders gesponserte Anzeigen), Windows Defender anlassen und uBlock Origin installieren, um bösartige Ad-Skripte zu blockieren. Wenn Malware Dateien gelöscht oder verschlüsselt hat, bevor man sie erwischt hat, sind sie vielleicht noch wiederherstellbar — und wenn etwas Tieferes los ist, können wir Enterprise-Grade-Scanner per Fernzugriff ausführen, die erkennen, was die kostenlosen Tools übersehen.
Häufig gestellte Fragen
Wie erkenne ich, ob mein Computer einen Virus hat?
Häufige Anzeichen: unerwartete Popups, Browser-Weiterleitungen zu seltsamen Seiten, neue Toolbars, die man nicht installiert hat, langsame Leistung, abstürzende Programme oder ein Antivirusprogramm, das ohne eigenes Zutun deaktiviert wurde.
Kann ich einen Virus selbst kostenlos entfernen?
Ja — Windows Defender (in Windows 10/11 integriert) erkennt die meisten Bedrohungen. Für hartnäckige Infektionen ist der Malwarebytes Free-Scanner das beste Zweitmeinungstool. Wenn beide versagen, hat man wahrscheinlich ein Rootkit oder Bootkit, das professionelle Entfernung erfordert.
Entfernt ein Windows-Reset alle Viren?
Eine vollständige Neuinstallation (nicht 'Diesen PC zurücksetzen') entfernt 99% der Infektionen. Allerdings kann fortgeschrittene Malware im UEFI-Firmware oder der Wiederherstellungspartition überleben. Wenn eine Neuinstallation nötig ist, beinhaltet unser Windows-Installationsservice einen gründlichen Pre-Install-Scan.
Reicht Windows Defender allein aus?
Für die meisten Leute ehrlich gesagt ja. AV-TEST gibt ihm eine konsistente 99,7%-Erkennungsrate bei bekannten Bedrohungen. Wo er Schwächen hat, ist bei brandneuer Adware und Browser-Hijackern, die technisch nach Microsofts Definition keine 'Malware' sind. Da füllt Malwarebytes die Lücke.
Wie habe ich mir Malware eingefangen?
Die häufigsten Infektionswege, die wir sehen, sind gefälschte Download-Buttons auf Freeware-Seiten, E-Mail-Anhänge von unbekannten Absendern, Raubkopien mit gebündelter Payload und Browser-Benachrichtigungsberechtigungen, die an dubiose Websites erteilt wurden.