Jetzt kostenlos Anfragen
/
Jetzt kostenlos Anfragen
Leistungen
Webseiten
Website erstellen lassen
Individuelle Websites, die Kunden überzeugen
Online Shop erstellen lassen
Website Betreuung und Pflege
SEO
SEO-Agentur
Bessere Rankings bei Google & Co.
Local SEO Agentur
Google Unternehmensprofil
Google Unternehmensprofil Hilfe
Basis von 46+ Rezensionen Ihre Experten für Google Unternehmensprofil Hilfe...
Profilboost
Google Unternehmensprofil entsperren Notfall
Gesperrtes Profil reaktivieren
Google Unternehmensprofil erstellen lassen Neu
Neues Google Profil einrichten
Google Unternehmensprofil verifizieren Neu
Profil bei Google verifizieren

Soforthilfe

Website-Problem? Wir helfen sofort! Schnelle Hilfe bei Notfällen, Hacks oder technischen Ausfällen.

Jetzt Hilfe anfordern →
Lokales B2C Unternehmen
6x mehr Leads
Lokale Sichtbarkeit steigern
Fitness & Sport
Case Study lesen →
Technische Migration
Joomla Migration
Joomla 5 Migration mit pixelgenauem Design-Erhalt
IT-Services / B2B
Case Study lesen →
Nicht sicher welche Leistung? Kostenlose Beratung vereinbaren →
Technologie
WordPress
Wordpress
Wordpress vs. Joomla
Mehr erfahren →
So wird WordPress barrierefrei
Mehr erfahren →
Shopify
Shopify
Shopify SEO
Shopify Migration
Shopify-Entwicklung
Shopify Beratung
Migration zu Shopify
Mehr erfahren →
Shopify-Erstellungskosten
Mehr erfahren →
Joomla
Joomla agentur
Joomla-Website erstellen
Joomla Webdesign
Joomla Wartung
Joomla Update-Service
Joomla SEO
Joomla Schulung & Support
Joomla Programmierung
Joomla Hosting
Weitere Inhalte
Anatomie eines echten Angriffs: gsocket-Backdoor und JCE-Exploit
Hoster meldet „Schadsoftware gefunden": Was Sie jetzt tun sollten
Veraltete Joomla-Erweiterungen: das größte Einfallstor (und wie Sie es schließen)
JCE-Sicherheitslücke in Joomla: Warum Sie jetzt updaten sollten
Elementor Permalink Problem: Schritt für Schritt zur funktionierenden URL-Struktur
Technologieberatung gewünscht? →
Sie sind an anderen Technologien interessiert? Anfrage tätigen →
Referenzen
Referenzen
Webseitenerstellung
Suchmaschinenoptimierung (SEO)
Jahresberichte
Google Profile entsperrt 2025
Lokales B2C Unternehmen
6x mehr Leads
Lokale Sichtbarkeit steigern
Fitness & Sport
Case Study lesen →
Technische Migration
Joomla Migration
Joomla 5 Migration mit pixelgenauem Design-Erhalt
IT-Services / B2B
Case Study lesen →
10+ Jahre Erfahrung
1000+ Erfolgreiche Projekte
100% Empfehlung
Alle Fallstudien und Referenzen →
Beginnen Sie Ihre Erfolgsgeschichte! Jetzt anfragen →
Ressourcen
Kategorien
SEO & Google
Webseiten & Hosting
Künstliche Intelligenz & GEO KI
E-Commerce & Shops
Leitfäden & Kosten
Technik & Entwicklung
Nützliche Inhalte
Online Marketing für KMU – Chancen, Strategien & Praxisbeispiele 🔥 Beliebt
Website für ChatGPT optimieren: So werden Ihre Inhalte in KI-Antworten besser nutzbar KI
Barrierefreiheitsgesetz: Das ändert sich ab jetzt
Website erstellen Kosten: Was kostet eine Website?
Onlineshop Kosten: Einmalige und laufende Kosten im Überblick
Google Unternehmensprofil gesperrt: Ursachen und Sofortmaßnahmen
Tools
Bookicorn.net Neu
Hosting Checker
Shopify Theme Detector
Shopify Kostenrechner Neu
CMS Checker
Alle Tools anshen →
Kunden & Partner
Kundenportal ⭐ Kunden
Zentrale Übersicht zu Projektstatus, Anfragen und Statistiken
Showroom custom
Arbeitsproben und Inspiration über unser Leistungsspektrum
Unsere Tools
Vielfältige Tools (Rechner, Checker, ...,) für Analysen und Optimierung
Vermittlungsportal
Empfehlungen einreichen und Provisionsdashboard einsehen
Partnerportal 🚀 Partner
Eigener Bereich für Partner zur Projektübersicht und für Anfragen
Alle Ressourcen einsehen →
Über uns
Wer sind wir?
Jobs
Nachhaltigkeit
Portfolio
Sie sind an einer Zusammenarbeit interessiert? Jetzt Anfragen! →
Kontakt aufnehmen
Jetzt Starten!

Hoster meldet „Schadsoftware gefunden“: Was Sie jetzt tun sollten

Florian Konrad

Gründer und Digitalisierungs-Experte

Aktualisiert: Juni 29, 2026

Lesezeit ca.: 13 Minuten

Inhaltsübersicht
Inhaltsübersicht

Eine E-Mail vom Hoster mit dem Betreff „Schadsoftware gefunden“ ist erst einmal ein Schreck. Viele Betreiber löschen daraufhin reflexartig die genannte Datei und hoffen, dass damit alles erledigt ist. Genau das ist der häufigste Fehler. In einem Kundenprojekt im Juni 2026 haben wir aus erster Hand gesehen, warum: Die Hoster-Sperre einer Datei beseitigt nicht den Befall, sie macht ihn nur kurz unsichtbar.

Wenn Ihr Hoster „Schadsoftware gefunden“ meldet, ist das ein ernstes Warnsignal, aber keine Entwarnung und auch keine Bereinigung. In diesem Beitrag erfahren Sie, wie Sie prüfen, ob die Mail echt ist, was der Hoster wirklich tut und was nicht, und welche ersten Schritte jetzt richtig sind.

Auf einen BlickHoster wie IONOS, Strato, All-Inkl oder 1blu verschicken solche Schadsoftware-Mails, wenn ihr automatischer Viren-Scanner auf dem Webspace etwas findet. Der Hoster sperrt dann oft nur die einzelne erkannte Datei. Der eigentliche Befall mit Hintertür und Einfallstor bleibt aktiv. Wer nur die gemeldete Datei löscht, hat die Seite innerhalb von Stunden wieder infiziert. Richtig ist: Mail prüfen, Lage erfassen, dann sauber und in der richtigen Reihenfolge bereinigen.

Ist die E-Mail überhaupt echt?

Bevor Sie irgendetwas anklicken, klären Sie zuerst, ob die Nachricht wirklich von Ihrem Hoster kommt. Denn Kriminelle ahmen genau solche Warnmeldungen nach. Eine gefälschte „Ihr Webspace ist infiziert“-Mail mit einem Link zum „Bereinigen“ ist ein klassischer Phishing-Versuch, der an Ihre Zugangsdaten will.

So erkennen Sie eine echte Hoster-Meldung:

1Absender genau prüfen. Eine echte Mail kommt von der offiziellen Domain Ihres Hosters. Achten Sie auf vertauschte Buchstaben oder fremde Endungen. Anhänge oder Buttons, die zur „Sofort-Bereinigung“ auffordern, sind ein Warnzeichen.
2Keine Links aus der Mail anklicken. Loggen Sie sich nicht über einen Link in der E-Mail ein. Rufen Sie das Hoster-Panel immer selbst über die Ihnen bekannte Adresse auf und sehen Sie dort nach, ob eine Warnung hinterlegt ist.
3Inhalt abgleichen. Echte Meldungen nennen konkret Ihren Vertrag, das betroffene Hosting-Paket und meist auch den Dateinamen oder den Scan-Befund. Eine seriöse Mail droht nicht mit sofortiger Kontolöschung und verlangt kein Passwort per Antwort.
4Im Zweifel direkt nachfragen. Rufen Sie den offiziellen Support Ihres Hosters an oder schreiben Sie über das Support-Formular im Panel. So bestätigen Sie zweifelsfrei, ob die Meldung echt ist.
AchtungEine echte Hoster-Meldung ist kein Grund zur Panik, aber ein klares Signal zum Handeln. Wenn die Mail dagegen Passwörter abfragt, mit Fristen unter Druck setzt oder Sie auf eine fremde Login-Seite lotst, behandeln Sie sie als Phishing und melden Sie sie Ihrem Hoster.

Was der Hoster tut, und was nicht

Hier liegt das größte Missverständnis. Der automatische Scanner eines Hosters durchsucht den Webspace nach bekannten Mustern von Schadcode. Findet er eine Übereinstimmung, meldet er die Datei und stellt sie oft in Quarantäne, das heißt, er sperrt oder verschiebt diese eine Datei, damit sie nicht mehr ausgeführt wird.

Das klingt beruhigend, ist aber nur ein winziger Teil der Lösung. Der Scanner sieht meist nur das, was er kennt. Er entfernt nicht die Mechanismen, mit denen sich die Schadsoftware dauerhaft festsetzt, und er schließt nicht die Lücke, durch die der Angreifer hereingekommen ist.

Was die Hoster-Sperre wirklich tutIHR WEBSPACEgesperrt26 infizierte Dateien, der Hoster sperrt eine. Der Befall arbeitet weiter.
Der Scanner sperrt einzelne erkannte Dateien. Der aktive Befall im restlichen Webspace arbeitet ungestört weiter.

In unserem Kundenprojekt im Juni 2026 wurde genau das deutlich. Der Hoster meldete „Schadsoftware gefunden“ auf einer Joomla-5-Website auf Shared Hosting und sperrte einzelne als schädlich erkannte Dateien. Der eigentliche Befall blieb aber aktiv. Wir fanden mehrere Mechanismen, die der Scanner gar nicht angerührt hatte:

  • Persistenz: versteckte Vorkehrungen, die dem Angreifer auch nach dem Löschen einzelner Dateien weiter Zugriff sicherten.
  • Ein Dropper: ein Hilfsprogramm, das etwa alle 10 Minuten neue Schaddateien anlegte. Wer eine Datei löschte, hatte kurz darauf neue.
  • Ein gsocket-Relay: eine getarnte Fernverbindung, die nach außen Kontakt hält, auch durch Schutzmaßnahmen hindurch.
  • Gefälschte Zeitstempel: die Schaddateien trugen alte Datumsangaben, damit sie bei einem Blick auf „neue Dateien“ nicht auffielen.
  • Befall über mehrere Sites: der Befall hatte sich über mehrere Websites im selben Hosting-Account ausgebreitet.
KernpunktDie Sperre einer einzelnen Datei durch den Hoster ist keine Bereinigung. Sie behandelt ein Symptom, nicht die Ursache. Solange Persistenz und Einfallstor bleiben, ist die Seite weiter kompromittiert.

Genau deshalb scheitert der erste Reflex, einfach nur die gemeldete Datei zu löschen. Die Symptome verschwinden für ein paar Minuten, dann legt der Dropper neue Dateien an, oder der Angreifer nutzt erneut die offene Lücke. Das Ergebnis ist eine Seite, die sich immer wieder selbst infiziert.

Warum die Seite immer wieder infiziert wird1. Nur Schaddateien wegdie Symptome verschwinden kurz2. Einfallstor bleibt offendie alte Lücke ist noch da3. Reinfektion in Stundendie Seite ist wieder befallenDer Kreislauf beginnt von vorneDer Auswegzuerst das Einfallstor schließen, dann bereinigen. Sonst dreht sich der Kreis weiter.
Nur die Schaddatei zu löschen unterbricht den Kreislauf nicht. Erst das Schließen der Lücke durchbricht ihn.

Soforthilfe: die ersten Schritte

Wenn Sie eine echte Hoster-Meldung erhalten haben, gehen Sie ruhig und strukturiert vor. Diese ersten Schritte verschaffen Ihnen Überblick und verhindern, dass Sie die Lage versehentlich verschlimmern.

1Ruhe bewahren, nichts überstürzen. Löschen Sie nicht sofort wahllos Dateien. Ein unüberlegtes Löschen zerstört Spuren, die für eine saubere Bereinigung wichtig sind, und beseitigt den Befall ohnehin nicht.
2Mail aufheben und dokumentieren. Speichern Sie die Hoster-Meldung samt genanntem Dateinamen und Zeitpunkt. Diese Angaben sind später bei der Bereinigung und im Austausch mit dem Support wertvoll.
3Passwörter ändern. Ändern Sie die Zugangsdaten für das Hosting-Panel, für FTP und für die Joomla-Administration. Tun Sie das von einem sauberen Gerät aus, nicht über einen Link aus der verdächtigen Mail.
4Umfang einschätzen. Prüfen Sie, ob auf demselben Hosting-Account weitere Websites liegen. Ein Befall springt oft von Site zu Site im selben Account. Beziehen Sie alle Seiten in die Prüfung ein.
5Nicht nur die eine Datei löschen. Widerstehen Sie dem Reflex, einfach die gemeldete Datei zu entfernen und die Seite für sauber zu halten. Ohne das Schließen der Lücke und das Entfernen der Persistenz kommt der Befall zurück.

Diese Schritte sind die Soforthilfe. Die eigentliche Bereinigung folgt einer klaren Reihenfolge: zuerst die dauerhaften Mechanismen entfernen, dann laufende Schadprozesse beenden, dann die Dateien löschen und zuletzt das Einfallstor schließen. Wie das im Detail funktioniert, beschreiben wir im Beitrag Joomla-Website gehackt: so bereinigen Sie richtig. Einen kompletten Leitfaden vom Erkennen bis zum dauerhaften Schutz finden Sie unter Joomla gehackt: erkennen, bereinigen, schützen.

Hoster-Meldung erhalten und unsicher, was jetzt?

Wir prüfen Ihre Joomla-Seite zügig, klären den Umfang des Befalls und bereinigen sauber in der richtigen Reihenfolge. Über unsere Soforthilfe erreichen Sie uns, wenn es schnell gehen muss.

Soforthilfe anfragen

Häufige Ursachen

Wenn der Scanner Schadcode findet, ist die spannendere Frage: Wie kam er dort hinein? In den allermeisten Fällen war eine veraltete Erweiterung das Einfallstor. Erweiterungen sind die Zusatzprogramme, die Joomla um Funktionen ergänzen. Werden sie nicht aktualisiert, bleiben bekannte Lücken offen, und genau die werden automatisiert ausgenutzt.

Ein prominentes Beispiel ist der weit verbreitete Editor JCE, mit vollem Namen JoomlaContentEditor, technisch die Komponente com_jce. In Versionen unter 2.9.99.5 erlaubte ein Fehler in den Editor-Profilen das Hochladen von Dateien ohne Anmeldung. Das ist ein sogenannter unauthentifizierter Datei-Upload, bei dem ein Fremder ohne Konto und Passwort Dateien auf den Server legen kann. Behoben ist das in den Versionen 2.9.99.5 und 2.9.99.6.[1] In unserem Kundenprojekt war genau eine veraltete JCE-Erweiterung die Eintrittstür.

Gut zu wissenWenn Sie nach einer Hoster-Meldung nur aufräumen, ohne die Ursache zu beheben, schließen Sie die Tür nicht. Prüfen Sie deshalb immer, ob veraltete Erweiterungen installiert sind, und aktualisieren Sie diese. Wie Sie die JCE-Lücke konkret prüfen und schließen, lesen Sie im Beitrag JCE-Sicherheitslücke in Joomla: jetzt updaten. Warum veraltete Komponenten generell das größte Risiko sind, erklärt der Beitrag veraltete Joomla-Erweiterungen als Sicherheitsrisiko.

Wann Sie einen Profi holen sollten

Nicht jede Hoster-Meldung lässt sich allein im Joomla-Backend lösen. Sobald sich der Befall festgesetzt hat, reicht das einfache Löschen einzelner Dateien nicht mehr, und die Bereinigung erfordert Zugriff auf Server-Ebene und Erfahrung. Holen Sie sich spätestens dann Unterstützung, wenn einer dieser Punkte zutrifft:

1Dateien kommen wieder. Sie löschen die gemeldete Datei, und kurz darauf taucht neuer Schadcode auf. Das ist ein klares Zeichen für einen aktiven Dropper und Persistenz.
2Mehrere Seiten betroffen. Liegen weitere Websites im selben Account, hat sich der Befall vermutlich ausgebreitet. Eine saubere Bereinigung muss dann alle Seiten umfassen.
3Sie sind unsicher beim Server-Zugang. Eine gründliche Bereinigung verlangt oft Zugriff per SSH, das Sichten von Prozessen und geplanten Aufgaben. Wenn Sie sich hier nicht sicher fühlen, ist Hilfe sinnvoll.
4Die Seite ist geschäftskritisch. Wenn über die Website Umsatz läuft oder sie für Ihre Außenwirkung wichtig ist, sollten Sie bei der Bereinigung kein Risiko eingehen. Eine unvollständige Reinigung führt zur Reinfektion und zu möglichen Warnungen bei Suchmaschinen.

Eine professionelle Bereinigung entfernt nicht nur den sichtbaren Schadcode, sondern alle dauerhaften Mechanismen, beendet laufende Schadprozesse und schließt das Einfallstor. Anschließend lässt sich die Seite mit laufenden Updates und Monitoring dauerhaft absichern. Für allgemeine Fragen oder eine Einschätzung erreichen Sie uns über das Kontaktformular.

Ihre nächsten Schritte

Eine Hoster-Meldung über Schadsoftware ist ein Warnsignal, das Sie ernst nehmen, aber nicht in Panik beantworten sollten. Prüfen Sie zuerst, ob die Mail echt ist. Verstehen Sie, dass die Hoster-Sperre nur ein Symptom behandelt. Und denken Sie daran: Erst wenn Persistenz entfernt und die Lücke geschlossen ist, ist die Seite wirklich sauber.

Schadsoftware-Meldung sauber abarbeiten lassen

Sie haben eine Hoster-Meldung erhalten und wollen sichergehen, dass Ihre Joomla-Seite danach wirklich sauber ist? Über unsere Soforthilfe melden wir uns schnell, prüfen den Umfang, bereinigen in der richtigen Reihenfolge und schließen das Einfallstor. Auf Wunsch halten wir Ihre Seite anschließend dauerhaft aktuell.

Jetzt Soforthilfe anfragen

Häufige Fragen

Mein Hoster hat die Datei gesperrt. Ist meine Seite jetzt sauber?
Nein. Die Sperre einer einzelnen Datei ist keine Bereinigung. Der Scanner sieht meist nur einen Teil des Befalls. Persistenz, also dauerhafte Zugriffsmechanismen, und das Einfallstor bleiben aktiv. Solange beides nicht entfernt ist, kann der Befall zurückkommen.
Reicht es, die gemeldete Datei einfach zu löschen?
In der Regel nicht. Genau dieser erste Reflex führt zur Reinfektion. Oft legt ein verstecktes Hilfsprogramm in kurzen Abständen neue Schaddateien an, oder der Angreifer nutzt erneut die offene Lücke. Erst die Bereinigung in der richtigen Reihenfolge und das Schließen des Einfallstors lösen das Problem.
Woran erkenne ich, ob die Schadsoftware-Mail echt ist?
Prüfen Sie den Absender genau, klicken Sie keine Links in der Mail an und loggen Sie sich stattdessen direkt über die Ihnen bekannte Adresse ins Hoster-Panel ein. Echte Meldungen nennen konkret Ihren Vertrag und den Befund und verlangen niemals ein Passwort per Antwort. Im Zweifel fragen Sie beim offiziellen Support nach.
Welche Hoster verschicken solche Mails?
Praktisch alle größeren Anbieter mit automatischen Viren-Scannern, zum Beispiel IONOS, Strato, All-Inkl oder 1blu. Der Wortlaut unterscheidet sich, der Kern ist gleich: Der Scanner hat auf dem Webspace etwas gefunden. Wie der jeweilige Hoster danach vorgeht, steht im Kundenbereich Ihres Anbieters.
Was ist die häufigste Ursache für solche Befälle?
Veraltete Erweiterungen mit bekannten Lücken. Ein typisches Beispiel ist der Editor JCE in Versionen unter 2.9.99.5, der einen Datei-Upload ohne Anmeldung erlaubte. Behoben ist das in den Versionen 2.9.99.5 und 2.9.99.6. Aktualisieren Sie deshalb nach einer Bereinigung immer alle Erweiterungen und den Joomla-Kern.
Können auch andere Websites im selben Account betroffen sein?
Ja. Ein Befall springt oft von Seite zu Seite innerhalb desselben Hosting-Accounts. Liegen mehrere Websites in einem Paket, müssen Sie alle prüfen und gegebenenfalls bereinigen. Sonst infiziert eine übersehene Seite die frisch gereinigten erneut.
Wann sollte ich einen Profi holen?
Spätestens, wenn gelöschte Dateien wiederkommen, mehrere Seiten betroffen sind, Sie sich beim Server-Zugang unsicher fühlen oder die Seite geschäftskritisch ist. Eine gründliche Bereinigung verlangt Erfahrung und Zugriff auf Server-Ebene. Über unsere Soforthilfe übernehmen wir das schnell und vollständig.

Quellen

1BSI: Informationen und Empfehlungen zu gehackten Websites und Schadsoftware
Bundesamt für Sicherheit in der Informationstechnik, 2026
2Google Search Central: Hilfe für gehackte Websites
Google Developers, offizielle Dokumentation, 2026

Rate this post
Florian Konrad
Florian Konrad

Florian Konrad, Mitbegründer und Geschäftsführer der Unicorn Factory, begann bereits in der Schule mit Webentwicklung und Online-Marketing. Mit Jahren der Erfahrung hat er umfassende Expertise in SEO, Automatisierung und Webentwicklung entwickelt.

Florian Konrad
Florian Konrad

Florian Konrad, Mitbegründer und Geschäftsführer der Unicorn Factory, begann bereits in der Schule mit Webentwicklung und Online-Marketing. Mit Jahren der Erfahrung hat er umfassende Expertise in SEO, Automatisierung und Webentwicklung entwickelt.

Diesen Beitrag teilen!

Ihre Joomla-Agentur

Professionelle Joomla-Lösungen

Custom Joomla Entwicklung
Template Design & Anpassung
Performance Optimierung
Sicherheit & Updates
Migration & PHP
Joomla SEO

Haben Sie Fragen oder benötigen Hilfe?

Mehr erfahren

Kostenlose Erstberatung

Weitere Beiträge
Bereit für den nächsten Schritt?

Lassen Sie uns Ihre Ideen zum Leben erwecken. Ob Beratung oder konkrete Anfragen – wir freuen uns darauf, von Ihnen zu hören!

Daniel Haenle

Gründer & Ihr Ansprechpartner
Persönlich. Verlässlich. Auf Augenhöhe.

Wir glauben an eine offene und ehrliche Kommunikation. Mit Daniel Haenle haben Sie einen Ansprechpartner, der Ihre Bedürfnisse versteht und gemeinsam mit Ihnen die besten Lösungen findet.

  • Klare und transparente Kommunikation
  • Individuelle Lösungen, die überzeugen
  • Verlässlicher Support für Ihre Projekte
  • Jahrelange Erfahrung und Expertise