Inhalt in Kürze
- Neun typische Symptome deuten auf eine Malware-Infektion hin: ungewohnte Langsamkeit, Abstürze, Pop-ups, fremde Programme, hohe Last, Speicherschwund, deaktivierter Virenschutz, Spam aus den eigenen Konten und Datei-Verschlüsselungen.
- Bei Verdacht zuerst Netzwerk trennen, dann Microsoft-Defender-Offline-Scan starten — niemals erst herunterfahren. Ransomware breitet sich über LAN und WLAN in Minuten aus.
- Defender allein reicht zuhause, im Unternehmen brauchen Sie zentrale Endpoint-Protection mit Forensik und Netzwerk-Isolation per Klick. Microsoft Defender for Business ab ca. 3 Euro pro Gerät, externe EDR ab 5 Euro.
- Laut BSI-Lagebericht 2025 entstehen täglich rund 280.000 neue Schadprogramm-Varianten — jede einzelne kann durch klassische Signaturerkennung schlüpfen. Verhaltensbasierte EDR ist deshalb für KMU 2026 Pflicht.
- Hamburger KMU mit Verdachtsfall rufen am besten direkt an, statt selbst zu basteln — wir trennen, isolieren und scannen das betroffene Gerät, bevor es Schaden im Netz anrichten kann.
Die meisten Anrufe, die wir samstags morgens bekommen, klingen ähnlich. “Mein Rechner ist seit gestern Abend irgendwie komisch — alles dauert ewig, und es kommen ständig diese Werbefenster. Habe ich mir was eingefangen?” Die ehrliche Antwort lautet oft: Wahrscheinlich ja. Die zweite ehrliche Antwort: Wenn Sie diesen Satz aus dem Büro heraus sagen, ist Eile geboten — denn was bei einem privaten Heim-PC eine ärgerliche Stunde Arbeit ist, kann im Firmennetz innerhalb weniger Minuten zum echten Cyberangriff werden.
Diese Anleitung zeigt Ihnen die wichtigsten Anzeichen für einen Virus auf dem PC, wie Sie mit Microsoft Defender einen Offline-Scan durchführen und welche Endpoint-Schutzlösungen wir Hamburger Mittelständlern 2026 empfehlen. Wer sich tiefer einlesen will, findet in unserem Beitrag zu versteckter Malware auf Endgeräten ergänzende Erkennungsmuster.
Hat mein PC einen Virus? Die kurze Antwort
Ein Virus auf dem PC zeigt sich selten durch ein einzelnes, eindeutiges Symptom. Verdächtig wird es, wenn mindestens zwei der folgenden Auffälligkeiten gleichzeitig auftreten: ungewohnte Langsamkeit beim Start oder beim Öffnen von Programmen, häufige Abstürze, plötzliche Pop-ups, fremde Browser-Toolbars oder neu installierte Programme, ungewöhnlich hohe Festplatten- oder Netzwerkaktivität bei scheinbarer Untätigkeit, schnell schrumpfender Speicherplatz, ein deaktivierter Virenschutz, Spam-Mails aus den eigenen Konten oder verschlüsselte Dateien.
In dem Fall sollten Sie systematisch prüfen — und im Firmennetz schnell handeln. Eine einzelne langsame Minute kann auch eine schlechte Hardware-Tagesform sein. Mehrere Symptome zusammen sind eine Sache für den Defender-Offline-Scan und im Zweifel für die IT.
9 Symptome: So erkennen Sie einen Virus auf dem PC
Wir gehen die wichtigsten Anzeichen in der Reihenfolge durch, in der unsere Hamburger Kunden sie typischerweise bemerken. Jedes einzelne kann auch eine harmlose Ursache haben — die Häufung ist das Warnsignal.
1. Der PC ist plötzlich langsam — ohne erkennbaren Grund
Windows startet ewig, Outlook braucht eine halbe Minute zum Laden, das Mausrad zuckt. Wer den Task-Manager öffnet (Strg + Shift + Esc), sieht oft eine CPU-Auslastung von 80 bis 100 Prozent — verursacht von einem Prozess, den man nicht zuordnen kann. Auf macOS leistet die App “Aktivitätsanzeige” denselben Dienst.
Bevor Sie an Malware denken: Erst harmlose Ursachen ausschließen. Ist der Datenträger zu mehr als 90 Prozent voll? Läuft im Hintergrund ein Windows-Update? Hat ein Antivirenscan begonnen? Wenn nichts davon zutrifft und die Last bleibt, ist das ein Hinweis. Cryptomining-Malware ist 2026 wieder häufiger — sie nutzt fremde Rechner, um Kryptowährung zu schürfen, und zeigt sich genau so: hohe CPU, kein erkennbarer Verursacher.
2. Häufige Abstürze und Bluescreens
Ein einzelner Bluescreen ist Pech. Drei in einer Woche sind ein Befund. Windows-Bluescreens (BSOD) entstehen, wenn ein Prozess so tief ins System greift, dass das Betriebssystem die Notbremse zieht. Treiber-Konflikte sind eine Ursache — Schadsoftware ist eine andere.
Schauen Sie sich die letzten Bluescreens an: Drücken Sie Windows + R, geben Sie eventvwr.msc ein. Im Ereignis-Anzeige-Fenster: Windows-Protokolle → System → nach “Critical” filtern. Wiederkehrende Fehler mit kryptischen Treibernamen, die Sie nie installiert haben, sind verdächtig.
3. Ungewollte Pop-ups, Toolbars und Browser-Umleitungen
Werbefenster auf dem Desktop, obwohl kein Browser offen ist. Die Startseite des Browsers ist plötzlich eine fremde Suchmaschine. In der Adressleiste taucht eine Toolbar auf, die Sie nicht installiert haben. Das ist klassische Adware oder ein Browser-Hijacker — meist beim Installieren kostenloser Software unbemerkt mitgekommen.
Adware ist die harmloseste Malware-Klasse — aber sie öffnet die Tür für gefährlichere Schadsoftware. Wer Pop-ups wegklickt, ohne sie genau zu lesen, installiert sich nicht selten den nächsten Trojaner. Wir haben zu den aktuellen Bedrohungslagen einen Überblick im Beitrag 7 neue und komplexe Malware-Typen gesammelt.
4. Fremde Programme im Autostart oder in der Programmliste
Öffnen Sie den Task-Manager (Strg + Shift + Esc) → Reiter “Autostart” (Windows 10) oder “Autostart-Apps” (Windows 11). Sehen Sie hier Einträge, die Sie nicht zuordnen können? Schauen Sie auch unter Einstellungen → Apps → Installierte Apps. Fremde Programme mit kryptischen Namen oder Hersteller-Angaben wie “Unknown Publisher” sind verdächtig.
Deinstallieren Sie verdächtige Programme nicht einfach — manche Schadsoftware blockiert die Deinstallation oder installiert sich danach sofort neu. Erst Defender-Offline-Scan, dann mit Ergebnis weitermachen. In der Zwischenzeit den Rechner vom Netzwerk trennen.
5. Hohe Festplatten- oder Netzwerkaktivität bei Untätigkeit
Sie tippen gerade nichts, der Rechner sollte ruhig sein — aber die Festplatten-LED flackert wie wild. Im Task-Manager → Reiter “Leistung” → “Datenträger 0” zeigt eine konstante Aktivität von 30 bis 100 Prozent. Genauso beim Netzwerk: dauerhaftes Senden und Empfangen, obwohl keine Cloud-Synchronisation, kein Update läuft.
Beides sind klassische Hinweise auf Schadsoftware, die im Hintergrund Daten exfiltriert (an Angreifer-Server schickt) oder fremde Dateien verschlüsselt. Bei Ransomware sieht man manchmal, wie die Festplattenanzeige Stunden lang läuft, während Daten still verschlüsselt werden — der Schaden zeigt sich erst, wenn man eine Datei öffnen will und nur Zeichensalat sieht.
6. Speicherplatz schwindet ohne erkennbaren Grund
Gestern hatten Sie noch 200 GB frei, heute sind es nur noch 50. Wer keine großen Downloads gemacht hat, sollte stutzig werden. Manche Malware-Varianten füllen die Festplatte mit Logfiles, Cache-Dateien oder Mining-Ergebnissen. Ransomware erzeugt während der Verschlüsselung temporäre Kopien — kurzzeitig braucht sie deutlich mehr Platz als üblich.
Tools wie WinDirStat (kostenlos, Open Source) zeigen visuell, was den Platz frisst. Auffällig große Ordner mit kryptischen Namen oder versteckte Dateien in Systempfaden gehören in den Defender-Scan.
7. Antivirenschutz oder Updates sind plötzlich deaktiviert
Sie öffnen die Windows-Sicherheit und sehen den roten Hinweis: “Echtzeitschutz ist deaktiviert.” Sie haben das nicht abgeschaltet — und finden auch keinen Schalter, der das wieder aktiviert. Klassisches Zeichen für Malware: Schadsoftware deaktiviert als Erstes ihren Gegner.
Manche Trojaner blockieren auch die Windows-Update-Funktion oder verändern die Hosts-Datei (C:\Windows\System32\drivers\etc\hosts), damit der Rechner keine Microsoft-Server mehr erreicht. Wer mit dem Standard-Windows-Update-Dialog plötzlich “Verbindung fehlgeschlagen” sieht, sollte das prüfen.
8. Freunde oder Kollegen melden Spam aus Ihren Konten
Eine Bekannte schreibt: “Du hast mir gerade einen seltsamen Link auf WhatsApp/Outlook geschickt — was war das?” Sie selbst haben nichts geschickt. Klassischer Befund für Account-Kompromittierung oder Spyware auf einem Ihrer Geräte. E-Mail-Spam aus dem eigenen Account, Direct Messages auf LinkedIn, Facebook oder Instagram — alles Hinweise.
Wichtig: Ändern Sie nicht einfach das Passwort vom infizierten Rechner aus. Die Spyware liest mit. Erst von einem sauberen Gerät (Smartphone, Tablet, Zweit-PC) das Passwort wechseln, dann Mehrfaktor-Authentifizierung aktivieren.
9. Dateien lassen sich nicht mehr öffnen — die schlimmste aller Symptome
Sie klicken auf eine Excel-Datei und Excel meldet “Dateiformat nicht erkannt”. Die Endung ist plötzlich .xlsx.locked oder .encrypted oder so etwas wie .urgent. In manchen Ordnern liegt eine Textdatei namens README_HOW_TO_DECRYPT.txt oder RECOVER_FILES.html. Das ist Ransomware. Sofortiges Handeln ist Pflicht — und genau dieser Fall ist der Grund, warum jedes KMU eine getestete Backup-Lösung für Unternehmen braucht. Was nach einem Verschlüsselungsangriff konkret zu tun ist, beschreiben wir im Beitrag Ransomware-Angriff: Was Sie tun können, anstatt das Lösegeld zu bezahlen.
1. Netzwerk-Kabel ziehen, WLAN aus. Sofort. 2. NICHT herunterfahren — RAM-Inhalt brauchen Forensiker später. 3. KEINE Lösegeld-Forderung bezahlen — das BSI rät ausdrücklich davon ab und Bezahlung garantiert keine Entschlüsselung. 4. IT informieren (telefonisch, nicht per E-Mail). 5. Beim Zentralen Ansprechpartner Cybercrime der Polizei (zacc.bka.de) melden — auch das wird oft vergessen.
Mehrere Symptome zusammen — was tun? Die richtige Reihenfolge
Wenn Sie zwei oder mehr Symptome gleichzeitig sehen, ist die Reihenfolge entscheidend. Wer falsch reagiert, macht den Schaden größer.
- Netzwerk trennen — sofort. LAN-Kabel ziehen, WLAN ausschalten. Damit verhindern Sie, dass Schadsoftware Daten ins Internet schickt oder sich auf andere Geräte ausbreitet. Im Firmennetz ist das der wichtigste Schritt überhaupt.
- NICHT herunterfahren. Bei einem laufenden Befall steckt im Arbeitsspeicher manchmal die einzige Spur, mit der ein Forensiker die Schadsoftware analysieren kann. Auch Ransomware-Schlüssel verschwinden beim Shutdown.
- Microsoft-Defender-Offline-Scan starten. Anleitung im nächsten Abschnitt. Dauer rund 15 Minuten. Erfasst auch Rootkits und Bootsektor-Viren.
- Im Firmenkontext: IT informieren — persönlich, nicht per E-Mail. Falls die Mailbox kompromittiert ist, lesen Angreifer mit. Lieber kurz an den IT-Schreibtisch laufen oder anrufen.
- Dokumentieren. Foto vom Bildschirm, Liste der Symptome, ungefähre Uhrzeit der ersten Auffälligkeit. Hilft sowohl der eigenen IT als auch externen Beratern bei der Ursachenanalyse.
Microsoft-Defender-Offline-Scan: Schritt für Schritt
Der Offline-Scan ist die mächtigste kostenlose Diagnose-Funktion in Windows 10 und 11. Anders als der normale Scan startet er den Rechner in eine geschützte Mini-Umgebung — Schadsoftware kann sich dort nicht verstecken oder den Scanner manipulieren. Microsoft empfiehlt diese Variante explizit für hartnäckige Verdachtsfälle, siehe Microsoft Learn.
- Alle offenen Dateien speichern. Der Rechner startet während des Scans neu. Was nicht gespeichert ist, ist weg.
- Windows-Sicherheit öffnen. Schild-Symbol unten rechts in der Taskleiste oder über die Suche "Windows-Sicherheit" eingeben.
- Viren- und Bedrohungsschutz wählen. Im linken Menü oder als erste Kachel auf der Startseite.
- Auf "Scanoptionen" klicken. Direkt unter dem großen "Schnellüberprüfung"-Button.
- "Microsoft Defender Antivirus (Offlineüberprüfung)" auswählen, dann auf "Jetzt überprüfen" klicken. Windows fordert einen Neustart an. Bestätigen.
- Rund 15 Minuten warten. Der Rechner zeigt einen blauen Scan-Bildschirm. Tee holen. Nicht abbrechen.
- Nach dem Neustart Ergebnis prüfen. Windows-Sicherheit → Schutzverlauf. Hier stehen alle Funde mit Bedrohungsgrad und durchgeführter Aktion.
Wenn der Defender-Offline-Scan nichts findet, der Rechner aber weiter komisch ist, eine Zweitmeinung holen: Malwarebytes Free (free.malwarebytes.com) bietet einen kostenlosen On-Demand-Scanner, der manche Adware-Familien besser erkennt. Beide Tools beißen sich nicht — Defender als Echtzeitschutz, Malwarebytes als gelegentlicher Zweit-Check.
Aus der Praxis: Wenn ein einzelner PC die ganze Firma lahmlegt
Bei einem unserer Kunden — ein Sanitärbetrieb in Hamburg-Wandsbek mit 22 Mitarbeitern — kam der Anruf an einem Donnerstagmorgen. “Bei uns geht nichts mehr. Alle Bildschirme zeigen einen roten Hintergrund mit englischem Text.” Der Chef, der dort selten am Computer sitzt, hatte am Vorabend per E-Mail eine angebliche Lieferschein-Datei geöffnet. Innerhalb von 14 Stunden hatte sich die Ransomware über die Netzwerkfreigabe auf den Buchhaltungsserver, den Auftragsverwaltungs-PC und den Lager-Rechner ausgebreitet.
Der Schaden: drei Monate Totalausfall, weil das Backup zwar lief, aber der Krypto-Trojaner schon zwei Wochen lang dort schlummerte. Erst nach mühsamer Wiederherstellung aus einer älteren Sicherung waren die wichtigsten Daten zurück.
Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Der Fall ist kein Einzelfall. Wir sehen ihn in der einen oder anderen Variante mehrmals pro Quartal — bei Hamburger KMU mit 10 bis 80 Mitarbeitern. Was sich verbessert, sobald wir die Kunden übernehmen: Endpoint-Detection (EDR) erkennt Verschlüsselungs-Verhalten, isoliert das Gerät automatisch, alarmiert uns. Aus “drei Monate Totalausfall” wird “eine Stunde Aufräumen, eine Datei verloren”.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Defender vs. EDR vs. XDR: Was KMU 2026 wirklich brauchen
Die Frage “reicht der eingebaute Defender?” stellen uns Geschäftsführer fast wöchentlich. Die kurze Antwort: Zuhause ja, im Büro nein. Die lange Antwort steht in der Tabelle.
| Lösung | Was es kann | Was fehlt | Empfehlung |
|---|---|---|---|
| Microsoft Defender (Free) | Echtzeitschutz, Offline-Scan, Cloud-Schutz, Firewall-Steuerung. AV-TEST 2026: Top-Werte bei Erkennung. | Keine zentrale Konsole, keine Reaktion auf Vorfälle, keine Forensik. | Privat-PC, Einzelplatz |
| Microsoft Defender for Business | Zentrale Verwaltung, EDR-Light, automatische Untersuchung, Geräte-Isolation. In M365 Business Premium enthalten. | Begrenzte Forensik gegenüber Vollwert-EDR, keine 24/7-Reaktion durch Microsoft. | KMU 5–250 Mitarbeiter mit M365 |
| EDR (Trellix, CrowdStrike, Bitdefender, SentinelOne) | Verhaltensanalyse, Threat Hunting, Live-Response, Netzwerk-Isolation per Klick, ausführliche Forensik. | Lizenzkosten 5–15 €/Endpoint/Monat. Setup-Aufwand. Gehört in Profi-Hände. | KMU mit erhöhtem Risiko, KRITIS, Compliance-Pflicht |
| XDR (extended detection and response) | EDR + Mail + Identity + Cloud korreliert. Beispiel: Microsoft Defender XDR über alle M365-Komponenten. | Komplex, braucht Tuning, lohnt sich erst ab ~50 Endpoints. | Mittelständler ab 50 MA, NIS-2-pflichtige Unternehmen |
| Managed EDR/MDR | Externer Anbieter überwacht 24/7, reagiert auf Vorfälle, isoliert Geräte. | Monatliche Servicekosten zusätzlich zur EDR-Lizenz. | KMU ohne eigene IT-Abteilung |
Im Hamburger Mittelstand sehen wir 2026 vor allem zwei sinnvolle Setups: Entweder Microsoft 365 Business Premium mit Defender for Business für die meisten Office-Betriebe (10–80 Mitarbeiter, durchschnittliches Risiko). Oder Microsoft Defender for Business + externe MDR-Partnerschaft für Kanzleien, Steuerberater, Gesundheitsdienstleister und alles, was unter NIS-2 & IT-Compliance fällt. Reine Stand-alone-EDR-Lösungen ohne 24/7-Überwachung empfehlen wir Mittelständlern selten — die Alarme laufen sonst ins Leere.
Was Sie als Geschäftsführer in Hamburg jetzt tun sollten
Drei konkrete Schritte, ohne grosses Projektgeschäft:
- Bestandsaufnahme machen. Welche Geräte (PCs, Laptops, Macs, Server) sind im Netzwerk? Auf welchen läuft welcher Virenschutz? Wer prüft die Logs? Wenn niemand die Frage beantworten kann: erster Handlungspunkt.
- Microsoft Defender als Mindeststandard erzwingen. Per Gruppenrichtlinie oder Intune. Echtzeitschutz, Cloud-Schutz, automatische Übermittlung von Beispielen aktivieren. Kostet nichts, wenn Windows 10/11 läuft.
- EDR-Strategie entwickeln. Brauchen Sie Defender for Business (in M365 Premium), externe EDR oder Managed Detection and Response? Wir ordnen das im Rahmen unserer [Managed IT Services Hamburg](/services/managed-it "Managed IT Services Hamburg — Festpreis, 24/7-Monitoring, Helpdesk") anhand Ihrer Branche, Mitarbeiterzahl und Compliance-Lage ein — und machen mit Hamburger Kunden gerne ein 30-Minuten-Gespräch dazu.
- Mitarbeiter sensibilisieren. Phishing bleibt der Haupteinfallsweg für Schadsoftware. Ein einmaliges [Security Awareness Training](/produkte/security-awareness "Security Awareness Training — hagel one awareness") reicht nicht — kontinuierliche kurze Übungen mit simulierten Phishing-Mails halten den Reflex wach.
Die größte Lücke, die wir bei Cyber-Risiko-Analysen aufdecken, ist nicht der fehlende Antivirus — den haben fast alle. Es ist die fehlende zentrale Sichtbarkeit: Wenn ein PC infiziert ist, weiß im Schnitt niemand davon, bis der Mitarbeiter selbst stutzig wird. Das kann Stunden dauern. Bei Ransomware sind Stunden zu lang.
Wann Sie uns anrufen sollten
Sie haben den Defender-Scan laufen lassen, finden aber keine Ruhe? Der Rechner verhält sich weiter komisch? Oder Sie wollen das ganze Thema “Endpoint-Schutz für unser Unternehmen” einmal sauber aufstellen?
Wir, hagel IT-Services aus Hamburg, betreuen Unternehmen mit 10 bis 250 Mitarbeitern in Hamburg, Bremen, Kiel und Lübeck. Bei akutem Verdacht greifen wir per Remote auf das betroffene Gerät zu, isolieren es vom Netz, machen einen Tiefen-Scan und entscheiden gemeinsam mit Ihnen, ob das Gerät neu aufgesetzt werden muss. Bei strategischer Frage (“wie schützen wir uns generell besser?”) nehmen wir uns 15 Minuten Zeit für ein Erstgespräch mit dem Geschäftsführer — kostenlos und ohne Vertriebsdruck.
Mehr zu unserem Cybersecurity-Ansatz finden Sie auf unserer Seite Cybersecurity Hamburg und unter Managed Security. Wenn Sie Microsoft 365 schon nutzen, gehört Defender for Business in vielen Fällen einfach dazu — sehen Sie sich dazu unsere Microsoft-365-Management-Seite an.
Verdacht auf Befall — oder einfach Klarheit zur Endpoint-Strategie?
15 Minuten. Kostenlos. Ehrliche Einschätzung Ihrer Lage — keine Verkaufsmaschine.
Erstgespräch buchen →Weiterführende Quellen
- BSI-Lagebericht 2025 — Die Lage der IT-Sicherheit in Deutschland — Aktueller Branchenüberblick mit konkreten Zahlen zu Schadprogrammen, Ransomware-Trends und Schwachstellen.
- Microsoft Learn: Microsoft Defender Offlineüberprüfung in Windows — Offizielle Anleitung zum Defender-Offline-Scan.
- Bitdefender: Fünf Anzeichen für Malware auf Ihrem PC — Hersteller-Blogbeitrag mit Praxisperspektive.
- Zentrale Ansprechstelle Cybercrime der Polizei — Anlaufstelle für Unternehmen bei Cyberangriffen.
