Spy- und Adware

Versteckte Malware aufspüren und entfernen

Viele Firmen wollen Ihnen Spam und Spyware unterschieben, selbst wenn es sich um seriöse Original-Software handelt. Lesen Sie hier, mit welchen Freeware Programmen Sie die lästige Malware am effektivsten entfernen können.

Viren Trojaner

© Wolfgang Nefzger

Viren Trojaner

Haben Sie das schon einmal erlebt? Plötzlich wimmeln seriöse Websites von billig gemachten Werbeanzeigen. Ständig erscheinen Reklame-Popups. Ihr Browser benutzt ohne Ihr Zutun eine andere Startseite und eine andere Suchmaschine. Wenn ja, läuft auf Ihrem Computer wahrscheinlich Adware, Spyware oder irgendein anderes lästiges Programm. Solche Software fasst man unter der Bezeichnung PUP (Potentially Unwanted Program) oder PUA (Potentially Unwanted Application), zu Deutsch potenziell unerwünschtes Programm/ Anwendung zusammen. Doch mit der richtigen Freeware lässt sich die Malware schnell entfernen.

Software-Wrapper sind Zeckennester

Wo kommen die unerwünschten Programme her? Ein weitverbreiteter Weg sind Software-Wrapper. Ein Beispiel: Sie laden sich ein seriöses Programm herunter. Bei derInstallation werden Sie gefragt, ob man zusätzlich andere Programme installieren will. Manchmal werden diese unerwünschten "Bonus-Programme" sogar ungefragt odergegen den ausdrücklichen Wunsch des Benutzers installiert. Diese Software-Zecken sind meist nicht so gefährlich wie echte Trojaner. Häufig geht es den Machern nur darum, Klicks auf die eigene Website umzuleiten, um an Werbegelder zu kommen.

Lesetipp: Die besten Antivirus-Programme 2015 im Vergleichstest

Das Patentrezept, um unerwünschte Programme zu entfernen, gibt es nicht. Wir schildern deshalb einen allgemeinen Weg, der in den meisten Fällen zum Erfolg führt. PUPs sind leicht zu entdecken, da sie sich selbst durch Popup-Fenster und Toolbars zu erkennen geben. Bei unklaren Anzeichen wie Performance-Verlusten oder unerklärlichen Fehlermeldungen hilft Ihnen ein Programm wie Process Explorer von Sysinternals weiter.

Unter Windows Vista, 7, oder Windows 8 klicken Sie das Programm procexp.exe mit der rechten Maustaste an und wählen Als Administrator ausführen. Auf der linken Seite sehen Sie jetzt eine Liste aller laufenden Programme auf Ihrem Computer. Auf der rechten Seite stehen Daten zu den einzelnen Prozessen. Sehen Sie hier unter den Spalten Description und Company Name nach. Schadprogramme verraten sich meistens durch seltsame oder fehlende Beschreibungen.

Die nervigsten solcher Adware-Installationen sehen Sie in unserer Galerie:

Bildergalerie

PC,Programme,Tools,Software
Galerie
Bildergalerie

Video Download Converter: Eigentlich will man Videos konvertieren, stattdessen sieht man immer und überall die Suchmaschine Ask.

Die meiste Adware zeigt brav den Hersteller an. Sie ist also leicht zu identifizieren. Doch auf die Beschreibung kann man sich nicht immer verlassen. Malware-Programme geben gerne Microsoft als Hersteller an, um keinen Verdacht zu erregen. Sieht ein angebliches Microsoft-Programm suspekt aus, klicken Sie es in der rechten Spalte mit der rechten Maustaste an und wählen Properties. Unter dem Reiter Image, der sich als Erstes öffnet, wählen Sie den Button Verify. In der Beschreibung ganz oben sollte jetzt der Ausdruck (Verified) auftauchen. Praktisch alle Microsoft-Programme sind digital signiert, Malware-Programme sind es hingegen nicht.

Sind Sie immer noch unsicher, klicken Sie wieder den entsprechenden Eintrag in der rechten Liste an und wählen diesmal Search Online. Jetzt sehen Sie im Web, was andere über das jeweilige Programm denken. Bei bekannter Schadsoftware fallen einem auf der Ergebnisseite sofort die Tipps zur Entfernung ins Auge. Jetzt heißt es aufpassen: Lassen Sie sich nicht verführen, eines der vielen angeblichen Entfernungstools herunterzuladen. Diese können selbst Malware enthalten. Zum Säubern des PCs haben wir unsere eigenen Werkzeuge.

PC,Browser,Adware,Spyware,AdwCleaner

© Screenshot/Entwickler

Trotz einer Säuberung mit AdwCleaner hat Malwarebytes Anti-Malware noch einige Spuren von unerwünschten Programmen entdeckt.

PUP-Jäger im Einsatz

Haben Sie einen begründeten Verdacht auf Ad- und Spyware, sollten Sie sich in der Windows-Systemsteuerung den Punkt Programme und Features ansehen (unter Windows 8: [Strg-X] und Programme und Features). Viele PUP haben wie nützliche Programme ein Deinstallationsprogramm, das Sie hier aufrufen können. Erledigen Sie diese Deinstallation als Erstes. Haben unsere Adware-Jäger ihre Arbeit einmal getan, funktionieren die Uninstall-Routinen nämlich häufig nicht mehr.

Auch wenn es einen Uninstaller gab, stehen die Chancen gut, dass Sie noch Adware-Reste auf dem System haben. Bei unserer Jagd nach diesen Spuren gilt das Prinzip "Viele Jäger sind des Hasen Not". Wahrscheinlich kann keines unserer kostenlosen Tools alleine alle Schädlinge restlos beseitigen. Zusammengenommen ist ihre Reinigungsleistung jedoch beachtlich.

PC,Browser,Adware,Spyware,AdwCleaner

© Screenshot/Entwickler

Mit einem Klick auf Löschen entfernen Sie in unserem Beispiel die unerwünschten Einträge in der Registry.

Haben Sie Toolbars und Werbe-Popups im Browser, beginnen Sie die Arbeit mit Avast Browser Cleanup. Die Benutzung ist einfach. Schon beim Start untersucht dasTool die vorhandenen Browser und bietet an, Addons mit schlechter Bewertung zu entfernen. Entfernen Sie das Häkchen vor Plugins mit guter Bewertung ausblenden, können Sie alle Browser-Erweiterungen von hier aus kontrollieren.

Hartnäckige Fälle

Nach diesen Arbeitsschritten sollten nur noch die hartnäckigen Fälle übrig sein. Das ist ein Fall für AdwCleaner. Achtung! Unter Windows 7 und Windows 8 wird das Programmals nicht vertrauenswürdig eingestuft. Das ist ein falscher Alarm.

Klicken Sie in AdwCleaner zunächst auf Suchen. Jetzt wird Ihr System auf unerwünschte Programme geprüft. Hat das Tool seine Arbeit beendet, sehen Sie unter den einzelnen Reitern Dienste, Ordner, Dateien, und so weiter, wahrscheinlich verschiedene Spuren von Adware. Klicken Sie jetzt auf Löschen, und die Fundstellen werden gesäubert. Wahrscheinlich müssen Sie Ihr System neu starten, dann erscheint ein Rechenschaftsbericht von AdwCleaner.

PC,Browser,Adware,Spyware

© Screenshot/Entwickler

Autoruns von Sysinternals zeigt an, über welchen Eintrag in der Registry die unerwünschte Software VideodownloadConverter gestartet wird.

Als Nächstes starten Sie den ESET Online Scanner. Dazu wird ein kleines Programm auf Ihren Rechner geladen, welches mithilfe von Online-Signaturen Ihren PC auf PUP und Malware untersucht. Das Programm kann die schädlichen Programme und Programmteileauch gleich löschen.

Zur Sicherheit scannen wir es noch mit der kostenlosen Version von Malwarebytes Anti-Malware (Download). Bei der Installation entfernen Sie den Haken vor Aktiviere kostenlosen Test von Malwarebytes Anti-Malware PRO. Die anderen Optionen, insbesondere aktualisiere Malwarebytes Anti-Malware lassen Sie unangetastet. Unter dem Reiter Suchlauf wählen Sie Vollständigen Suchlauf durchführen und klicken auf Scannen. Anschließend können Sie die Laufwerke auswählen, die Malwarebytes Anti-Malware Pro untersuchen soll. Nach dem Scan sehen Sie eine Liste der gefundenen Spuren. Klicken Sie ein Vorkommnis rechts an und wählen Sie im Kontextmenü Alle auswählen.

PC,Browser,Adware,Spyware

© Screenshot/Entwickler

Auch Browsererweiterungen lassen sich mit Autoruns aufspüren. In unserem Beispiel sehen wir die Such- Toolbar VideodownloadConverter.

Kontrolle ist besser

Nach diesen drei Scans sollten die Quälgeister verschwunden sein. Prüfen Sie zunächstdie Symptome der Infektion. Treten diese immer noch auf, starten Sie noch einmal den Process Explorer und suchen wie beschrieben nach verdächtigen Prozessen. Finden Sie noch immer einen, können Sie versuchen, ihn von Hand zu beseitigen.

Klicken Sie das Programm wieder im rechten Fenster mit der rechten Maustaste an und wählen Sie Properties. Unter dem Reiter Image finden Sie die Rubrik Autostart Location. Das ist der Ort in der Windows Registry, an dem der jeweilige Prozess gestartet wird. Klicken Sie auf Explore und der Registry-Editor öffnet sich mit dem richtigen Key im Fokus. Ist der Key gelöscht, wechseln Sie zurück zu Process Explorer und wählen diesmal Kill Process. Der Prozess sollte damit verschwunden sein.

Lesetipp: Adware vermeiden - so bleibt der Rechner sauber

Besonders hartnäckige Schadprogramme starten zwei Prozesse, die sich gegenseitig schützen. Versuchen Sie nun einen Trick: Frieren Sie beide Prozesse zunächst mit Suspend ein. Danach kann man sie getrost einzeln abschalten. Von Sysinternals gibt es noch das Tool Autoruns , mit dem Sie alle Programme analysieren können, die von Windows automatisch aufgerufen werden.

Starten Sie das Programm wieder mit Administratorrechten. Unter dem Tab Internet Explorer zum Beispiel sehen Sie die Programme, die sich in den Microsoft-Browser einhängen. Interessant sind außerdem die Rubriken Services, Logon, Drivers, AppInit und KnownDLLs. Sie können auch gleich unter Everything die lange Liste der Autostarts durchforsten.

Process Explorer,Adware-Prozesse

© Screenshot/Entwickler

Der Process Explorer zeigt die Adware-Prozesse, deren Namen sämtlich mit einer 4 beginnen. Beachten Sie die unprofessionelle Produktbeschreibung.

Neben dem erwähnten Autoruns gibt es noch andere Analysetools wie das klassische HijackThis, Farbar Recovery Scan Tool oder OldTimer's List-It. Diese Programme durchsuchen bekannte Winkel Ihres Windows-Systems, in denen sich Malware und PUP verstecken. Die Ergebnisse der Suche schreiben sie in eine Textdatei. Mit ein wenig Expertenwissen und der Hilfe einer Web-Suchmaschine kann man in diesen Logdateien auch gut versteckte Schadprogramme aufspüren. Trauen Sie sich eine Auswertung des Logs nicht selbst zu, bekommen Sie sicher Hilfe in einschlägigen Sicherheitsforen wie Trojaner Board, Botfrei.de oder Protectus.

Sollten Sie nach den gezeigten Reinigungsversuchen immer noch Probleme mit IhremSystem haben oder verdächtige Spuren finden, haben Sie es vermutlich mit einem richtigen schädlichen Trojaner oder Spyware zu tun. Hier helfen Tools wie Spybot Search and Destroy (Download) oder die kostenlose Kaspersky Rescue CD 10.

Download: Tabelle

Mehr zum Thema

Firefox 20 als Download veröffentlicht: Mozilla stellt eine neues Version seines Browsers bereit.
Zum 15. Mozilla-Geburtstag

Mozilla verkündet zum 15. Geburtstag die Veröffentlichung des Downloads von Firefox 20. Die neue Version bringt u.a. neue Features für mehr…
Logo, WhatsApp
Sicherheitslücke beim SMS-Ersatz

WhatsApp speichert die History unter iOS unverschlüsselt in der iCloud. Die bequeme Datenübertragung stellt also ein Sicherheitsrisiko dar.
Mit unseren Tipps richten Sie die Whatsapp-Alternative sicher ein.
Whatsapp-Alternative

Die Whatsapp-Alternative Threema bringt Sicherheit, indem sie Messages mit individuellen Codes verschlüsselt. Hier sind Tipps zur Installation und…
Firefox 32 bringt viele neue Features mit.
Neues Kontextmenü & Malware-Scan

Ab sofort steht Firefox 32 zum Download bereit und zeigt sich mit überarbeitetem Kontextmenü sowie erhöhtem Malware-Schutz.
Whatsapp Alternativen
Für Android, iPhone, iPad & Co.

Es gibt keine Whatsapp-Alternative? Quatsch! Diese 10 Messenger-Apps für Android, iOS und Windows Phone sind der perfekte Ersatz.