Der entführte Browser

Teil 5: Ärger mit Spyware?

1. Spyware erkennen

Ärger mit Spyware?

© Archiv

Einfach sicher: Mit TrueImage lassen sich auf einfache Weise Abbilder von Partitionen erstellen und wieder einspielen.

Spyware macht sich oft nicht bemerkbar. Auffällig ist z.B., wenn die Firewall plötzlich einen neuen Prozess meldet, der ins Internet will. Wenn der Spion aber im IE steckt, so meldet sich nur dieser bei der Firewall. Am dreistesten sind Browser-Entführer, die eine neue Startseite einrichten oder Favoriten anlegen. Einen Spion, der Sie komplett im Stillen ausspioniert (Keylogger), finden Sie nur mit einem Tool wie Ad-Aware.

2. Image wiederherstellen

Ärger mit Spyware?

© Archiv

Gegenspionage: Der Online-Scan von Spywareguide ist fündig geworden und meldet den Spion Power Strip.

Wenn Sie den Verdacht haben, einen Schädling (Spyware, Dialer, Trojaner) zu haben, ist es das Einfachste und Sicherste, ein sauberes System aus einem Image wiederherzustellen. Denn die modernen Eindringlinge setzen sich so tief und komplex im System fest, dass es schwer ist, alle Quellen zu beseitigen. Selbst Tools schaffen das oft nicht. Dann geht es nur kurze Zeit gut, bis das Ärgernis wieder auftritt.

3. Anti-Spyware-Tools

Ärger mit Spyware?

© Archiv

Der Browser spinnt: In Foren tummeln sich Experten, die dem unbedarften Anwender weiterhelfen.

Sowohl Anti-Viren- als auch Anti-Spyware- Tools finden und beseitigen viele Bösewichte. Wie schon berichtet, versuchen die Spyware- Programmierer, die Wirkung dieser Tools auszuhebeln, sodass die Virenjäger sich erneut etwas einfallen lassen müssen, um dem Ärgernis beizukommen. So kann es dem Anwender passieren, dass die aktuelle Version der bei ihm aktiven Spyware nicht mit Tools beseitigt werden kann.

Dabei ist es durchaus sinnvoll, mehrere Hilfsprogramme durchzuprobieren. Die meisten können Sie kostenlos testen. Dann finden sie zwar die Schädlinge, entfernen sie aber nicht. Das gilt auch für Online-Scans.

Es gibt auch Tools, die auf bestimmte Keylogger, Trojaner oder Spione spezialisiert sind, z.B. Remove about:blank Buddy auf about:Blank; Suspicious File Locater auf CoolWebSearch; Privacy Keyboard auf Keylogger.

Ärger mit Spyware?

© Archiv

Gefahrenanzeige: Der Security Taskmanager zeigt alle Prozesse und bewertet, wie gefährlich sie sind.

Wer den Namen der Spyware kennt, die ihr Unwesen auf seinem Rechner treibt, sollte bei Google und in den einschlägigen Seiten nach einem Spezialisten suchen. Die Datenbank von Spywareguide.com z.B. weist bei jeder Spyware darauf hin, mit welchem Tool sie beseitigt werden kann.

Vorsicht ist aber auch bei Tools geboten. Denn inzwischen gibt es viele vermeintliche Anti-Tools, die nichts anderes bringen als - Spyware (z.B. Spy Wiper, Spy Deleter).

4. Windows neu installieren

Ärger mit Spyware?

© Archiv

Im Verborgenen: Der Security Taskmanager zeigt auch Dateien an, die aus ADS-Strömen gestartet wurden.

Hatten Sie bislang keinen Erfolg, so sollten Sie sich ernsthaft überlegen, an diesem Punkt Windows neu zu installieren. Wenn Sie CDs von allen Programmen haben, die Sie verwenden, ist das einfacher, als den Bösewicht von Hand zu jagen. Sichern Sie Ihre Daten und achten Sie darauf, dass die Installation die Windows-Partition neu formatiert. Anschließend vergessen Sie nicht, ein Image anzulegen.

5. Spyware von Hand entfernen

Ärger mit Spyware?

© Archiv

Hilfsobjekte: Seit dem Service Pack 2 zeigt der Internet Explorer alle Plug-ins und Browser-Helper an.

Wenn Sie sich dazu entschließen, beginnt ein Puzzlespiel, zu dem wir Ihnen nur noch allgemeine Hinweise geben können. Grundsätzlich sollten Sie so viele Informationen über Ihren Spion sammeln, wie Sie finden: Verhalten, angezeigte Webseiten/ Favoriten, verdächtige Prozesse, Meldungen des Anti-Trojaner-Tools etc. Damit recherchieren Sie bei Google und erkundigen sich in den einschlägigen Newsgroups und Foren. Dort erfahren Sie, wie andere Anwender vorgegangen sind und welche Prozesse bzw. Autostart-Einträge relevant sind. Da ein Tool die Spyware nicht beseitigen konnte, ist sie wahrscheinlich mit vielen Prozessen aktiv und hat mehrere Startpunkte. Wenn Sie einen nicht beseitigt haben, stellt dieser alles wieder her, oft mit neuen Namen. Dann müssen Sie ganz vorne wieder anfangen.

6. Prozesse prüfen

Jedes Programm erscheint als Prozess in der Prozessliste. Windows zeigt diese jedoch nicht vollständig an. Dafür gibt es spezielle Tools. Sehr gut geeignet zur Suche nach Schädlingen ist der Security Task Manager. Er zeigt nicht nur die Prozesse, Dienste und Treiber vollständig an, sondern versucht sie zu bewerten. Außerdem zeigt er zu jedem Task den Speicherort und den Startplatz an. Zu jedem Eintrag schickt das Tool auf Wunsch eine Anfrage ins Internet, die weitere Informationen zeigt, z.B. Bewertungen anderer Nutzer.

Einen Prozess zu beenden, reicht nicht. Sie müssen die zugehörige Datei löschen. Das wird Ihnen jedoch nur im abgesicherten Modus gelingen, da das Tool wie gesagt mehrere Prozesse laufen hat, die sich gegenseitig schützen. Abgesichert startet Windows nur das Nötigste. Es ist auch sinnvoll, die Prozessliste im abgesicherten Modus mir der im Normalbetrieb zu vergleichen. Dann sehen Sie, was wirklich zu Windows gehört. Alle verdächtigen Dateien sollten Sie aber zuerst umbenennen, bevor Sie sie löschen. Dann werden sie zwar nicht mehr gefunden, aber Sie können sie wiederherstellen, falls Sie doch aus Versehen eine System- oder Anwendungsdatei erwischt haben.

7. Autostart säubern

Die meisten Trojaner und Spyware starten mit dem Betriebssystem oder mit dem ersten Programm, das gestartet wird. Das heißt, der Quälgeist findet sich in einem Autostart. Davon gibt es bei Windows nun leider viele. Die meisten finden sich in der Registry. Eine vollständige Liste, die auch die Shell-Swapping-Einträge berücksichtigt, bietet diese Seite: www.gaijin.at/mantrojan. php. Verdächtige Einträge finden Sie z.B. mit dem Security Task Manager. Bevor Sie Einträge in der Registry ändern, sollten Sie ein Backup davon machen. Auch hier ist es sinnvoll, die Einträge umzubenennen, z.B. xyz davor zu setzen, und erst dann zu löschen, wenn es keinen Schaden gegeben hat. Und Änderungen sollten Sie wieder nur im abgesicherten Modus vornehmen, wenn die Spyware es nicht merkt. Das Forum board.protecus.de bietet ein Tool, das den Autostart ausliest. Die Ergebnisse können Sie dem Forum zur Diskussion stellen.

8. Browser-Gehilfen prüfen

Ein weiteres Refugium für Spyware sind die Browser-Helper-Objects (BHO). Das sind eigenständige Programme, die jedoch nur mit dem Explorer zusammenarbeiten. Sie erscheinen nicht in der Windows-Taskliste und melden sich nicht als eigener Prozess an der Firewall an. Außerdem starten sie mit dem Explorer und nicht über einen Autostart. Deswegen sind sie insgesamt schwer zu finden. Der IE ab Service Pack 2 zeigt Ihnen unter Extras/Add-Ons verwalten alle Browser-Erweiterungen mit Dateinamen an. Der Security Task Manager erkennt BHOs ebenfalls und bewertet ihre Gefährlichkeit. Auch das Anti-Spyware-Tool Spybot bietet eine ähnliche Funktion.

9. Verstecke im ADS-Strom

Immer mehr Viren und Schädlinge verstecken sich in den Alternate Data Streams (ADS, siehe auch den Artikel Viren im Versteck ab S. 20). Das sind Anhänge an Dateien im NTFS-Dateisystem. Windows nutzt sie für Metainfos, Bildbearbeitungsprogramme speichern Vorschaubilder darin.

Lästigerweise kann sich auch eine Spyware über ADS an eine Datei hängen. Im Explorer ist dies nicht sichtbar. Die Trägerdatei verändert ihre Größe nicht.

ADS-Spyware wird über ein Script oder den Autostart gestartet. Der oben schon erwähnte Security Taskmanager erkennt aber auch Prozesse, die aus einem Stream geholt wurden. Als Speicherort stehen der Name der Trägerdatei und dann der Name des Spions, mit Doppelpunkt getrennt:

C:	räger.txt:Spyware.exe

Ein seriöses Programm versteckt sich nicht in einem Stream.

Der Stream lässt sich nicht auf normalem Wege löschen. Am einfachsten ist es, die harmlose Trägerdatei in eine FAT- oder Linux- Partition zu verschieben. Dann verliert sie den ungewünschten Anhang. Haben Sie keine zur Hand, gibt es eine Reihe von DOS-Befehlen, die ADS nicht beherrschen. Hängt die Spyware z.B. an der Datei Text.txt, geben Sie im DOS-Fenster ein:

ren text.txt temp.txt 
type temp.txt > text.txt 
del temp.txt

Nun sind Sie den ADS-Bösewicht los.

10. Hatten Sie keinen Erfolg?

Kehren Sie zurück zu Punkt 4.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.