Hijacker & Co. entfernen
Spione im PC entfernen

SicherheitSicherheitsmanagementVirus

Je schneller Online-Verbindungen werden, desto leichter gelangen digitale Schädlinge mit den Datenströmen unbemerkt auf den PC. Virenwächter finden nur bekannte Spione. Der Workshop zeigt, wie Sie versteckte Hijacker aufspüren und vernichten.

Opfer des Hijackers

Hijacker & Co. entfernen

Stellen Sie sich vor, Sie geben www.google.de in Ihrem Webbrowser ein und statt der Suchmaske erscheint eine Seite mit pornografischen Inhalten. Dann sind Sie mit Sicherheit das Opfer eines Hijackers geworden. Wie der Name schon sagt, sind Hijacker Entführer. Und wie bei der realen Entführung geht es auch beim Browser-Hijacking um Geld. Zwar wird das Opfer nicht selbst erpresst.

Dafür kann der Betreiber auf mannigfaltige Art und Weise durch den PC-Besitzer zu Geld gelangen. Zum einen spionieren Hijacker das Surfverhalten aus. Dazu setzen sie entsprechende Tracking-Cookies, anhand derer der Weg durchs Netz zurückverfolgt werden kann. Zum anderen lassen sie Werbeeinblendungen erscheinen und verdienen mit, wenn Sie im Internet unterwegs sind.

Zwar ist dies beim einzelnen Anwender nicht viel, sind jedoch Millionen von Rechnern befallen, ist dies eine sehr einträgliche Einnahmequelle. Auf über zwei Milliarden Dollar jährlich schätzt das Internet Advertising Bureau das Werbeaufkommen durch Hijacker. Dies sind 25 Prozent der weltweiten Online-Werbeausgaben.


Hijackers treiben ihr Unwesen

Hijacker & Co. entfernen

Noch einen Schritt weiter in die Kriminalität geht es, wenn der Betreiber des Hijackers den Rechner übernimmt, um von dort aus Spam-E-Mails zu verschicken. Diese sind besonders beliebt, weil die einschlägigen Mailserver bereits von allen Spamfiltern erkannt werden. Der Rechner einer Privatperson hingegen wird nicht als typischer Spammer betrachtet und von den Spamfiltern durchgelassen. Einer der ärgerlichsten Nebeneffekte der Hijacker ist dabei, dass sie im Hintergrund arbeiten, immense Systemressourcen benötigen und somit den Rechner zum Teil erheblich verlangsamen.

Ein klarer Fall für die strafrechtliche Verfolgung sind Trojaner. Wie die Vorbilder aus Homers Ilias, die sich im hölzernen Pferd in die Mauern von Troja einschlichen und von innen heraus die Stadt eroberten, sind auch Trojaner digitale Eindringlinge, die der gutgläubige Benutzer selbst in den Kern seines Systems lässt. Von dort aus arbeiten sie im Hintergrund wie Spione und liefern Informationen wie Passwörter oder Onlinebanking-Zugangsdaten an ihren Schöpfer.


Im Handumdrehen infiziert

Hijacker & Co. entfernen

Doch wie kommen die Hijacker und Trojaner auf den PC? Der klassische Weg führt über Downloads aus dem Internet. Hier hängen sich die digitalen Schädlinge an ausführbare Programme an und werden gleichzeitig mit dem gewünschten Tool gestartet, wie beispielsweise bei Anwendungen, die sich über Werbung finanzieren, so genannte Adware. Daneben sind Tauschbörsen eine wahre Brutstätte für Spionageprogramme.

Aber auch vor Internet-Seiten, auf denen »Warez«, also illegale Software, angeboten wird, kann man nur warnen. Meist währt die verbotene Freude über ein geknacktes Programm nur kurz. Denn es liegt nahe, dass kreative Geister mit krimineller Energie, die es schaffen, Programmcode zu knacken, auch vor der Privatsphäre des Benutzers nicht Halt machen. Daneben nutzen Trojaner und Hijacker auch konventionelle Verbreitungstechniken wie E-Mails, freigegebene Laufwerke in LAN und Internet sowie nicht geschlossene Sicherheitslücken in Windows.


Digitaler Selbsterhaltungstrieb

Hijacker & Co. entfernen

Wie auch normale Programme müssen Hijacker, Viren und Trojaner vom System als ausführbares Programm oder Script geladen werden. Ein Schädling, der nur als Datei auf der Festplatte liegt, kann dem System nichts anhaben. Wird er aber ausgeführt, kann er sein Werk tun. Da der Benutzer den Schädling in der Regel nicht freiwillig startet, nisten sich die Angreifer an all jenen Stellen ein, an denen Windows Programme automatisch startet. Dies sind einerseits der Autostart-Ordner und die NT-Dienste, andererseits aber auch zahlreiche Einträge in der Registrierungsdatenbank.

Besonders die Registry wird von aktivierten Hijackern permanent kontrolliert. Entfernt der Benutzer den Registry-Eintrag, fügt ihn der im Hauptspeicher befindliche Eindringling sofort wieder hinzu, um seinen Fortbestand auch nach dem nächsten Systemstart zu gewährleisten. Noch gemeiner ist das Zusammenspiel mehrerer Hijacker, die gleichzeitig im Hauptspeicher sind. Löscht der Anwender den einen Schädling, wird dieser vom anderen Hijacker sofort wieder gestartet.


Grundsäuberung des Systems

Hijacker & Co. entfernen

Der erste Schritt einer groß angelegten Säuberungsaktion führt über einen Virenscanner und automatische Adware-Vernichter. Sollte Ihr System nicht mit einem aktuellen Scanner geschützt sein, installieren Sie beispielsweise die kostenlose Variante von Antivir. Zusätzlich hilft die Software Ad-Aware, die ebenfalls kostenlos unter www.lavasoft.com zum Download bereitsteht.

Sollte Ihr PC vom Hijacker CWS (Cool Web Search) befallen sein, reichen Ad-Aware und Antivir allerdings nicht aus, um ihn zu eliminieren. Mit dem ebenfalls kostenlosen Tool CWShredder kann aber auch diesem sehr resistenten Hijacker das Lebenslicht ausgeblasen werden.

Das Problem sämtlicher Tools ist naturgemäß, dass sie nur so aktuell sind, wie ihre Entwickler sie geschaffen haben. So bleiben ganz neue oder rare Hijacker oft außen vor. Hier muss der Benutzer selbst Hand anlegen, um die unerwünschten Programme von seinem Rechner zu entfernen. Dies sollte unbedingt im abgesicherten Modus von Windows geschehen, weil hier nur die nötigsten Systemprogramme geladen werden. Um in diesen Modus zu gelangen, drücken Sie beim Start Ihres Rechners mehrfach die Taste [F8], bis das Auswahlmenü erscheint, in dem der abgesicherte Modus aktiviert werden kann.


Die Registry überwachen

Hijacker & Co. entfernen

Das Überleben von Trojanern und Hijackern hängt davon ab, dass sie bei jedem Start erneut den Weg in den Hauptspeicher finden. Daher überwachen diese Programme ständig die Registrierungsdatenbank von Windows. Mit dem kostenlosen Tool Regmon können Sie die unerwünschten Registry-Abfragen und -Änderungen kontrollieren.

Nach dem Start von Regmon erscheint eine tabellarische Aufstellung sämtlicher Prozesse, die gerade dabei sind, Registry-Einträge auszulesen oder sie zu verändern. Um nicht im Wust der Einträge zu ertrinken, klicken Sie auf bekannte Prozesse mit der rechten Maustaste und wählen Sie den Eintrag Exclude process. Wiederholen Sie dies mit allen Prozessen, die Sie zuordnen können.

Fällt Ihnen das schwer, suchen Sie beispielsweise unter www.liutilities.com/products/wintaskspro/processlibrary, ob es sich beim jeweiligen Prozess um Spyware handelt. Googeln Sie alternativ nach dem Namen des Prozesses und Sie finden schnell die Information, ob dieser schädlich ist oder nicht. Notieren Sie sich sämtliche unerwünschten Prozesse.

Ist die Liste komplett, öffnen Sie mit [Strg + Alt + Entf] den Windows-Task-Manager. Klicken Sie auf das Register Prozesse und dann auf den Spaltentitel Name, um die Prozesse nach Namen sortiert anzuzeigen. Markieren Sie nun zügig nacheinander die notierten Prozesse und löschen Sie sie mit [Entf]. Warten Sie anschließend eine Weile und sehen Sie nach, ob die Prozesse nachgeladen werden. Ist dies der Fall, haben Sie eine Spyware übersehen, die ihre Kollegen nachlädt.


Den Rechner analysieren

Hijacker & Co. entfernen

Sind alle schädlichen Prozesse analysiert und mit dem Task-Manager deaktiviert, können Sie mit dem Programm Hijack This verhindern, dass diese beim nächsten Systemstart wieder in den Hauptspeicher gelangen.

Laden Sie zunächst von www.hijackthis.de das ZIP-Archiv herunter und entpacken Sie es. Das Programm selbst kann ohne Installation gestartet werden. Klicken Sie nach dem Start auf die oberste Schaltfläche. Hijack This analysiert sämtliche Autostart-Bereiche des Systems und listet diese auf. Zusätzlich erzeugt das Programm eine Reportdatei, die auch gleich im Editor geöffnet wird. Markieren Sie den gesamten Editor-Inhalt mit [Strg + A] und kopieren Sie den Text in die Zwischenablage.

Öffnen Sie im Browser die Seite www.hijackthis.de und fügen Sie im Eingabefeld den Inhalt der Zwischenablage ein. Klicken Sie dann auf die Schaltfläche Auswerten. Die ansonsten eher kryptischen Informationen von Hijack This werden nun in lesbare umgesetzt. Interessant sind vor allem sämtliche Einträge, die ein Fragezeichen oder ein rotes Ausrufezeichen aufweisen. Jene rot markierten Elemente sind mit größter Wahrscheinlichkeit Spionageprogramme. Suchen Sie die zugehörigen Einträge innerhalb von Hijack This und markieren Sie sie mit einem Häkchen.


Windows neu starten

Hijacker & Co. entfernen

Als Nächstes prüfen Sie sämtliche gelb markierten Einträge, indem Sie wie oben beschrieben Google oder liutilities.com befragen, ob es sich um einen Schädling handelt. Sollte das der Fall sein, markieren Sie diesen ebenso in der Hijack-This-Liste. Klicken Sie dann auf Checked Fixed, werden sämtliche markierten Verknüpfungen aus den Starteinträgen gelöscht.

Starten Sie anschließend Windows neu und überprüfen Sie, ob Sie den Rechner erfolgreich von den unerwünschten Programmen gesäubert haben.

Hinweis: Dem Eindringling Cool Web Search ist mit Hijack This ebenso wenig beizukommen wie mit Antivir und Ad-Aware. Der Schädling weiß, dass Hijack This für ihn und seinesgleichen ein Problem darstellt und hindert das Programm daran, gefixte Einträge auch wirklich zu löschen. Haben Änderungen in Hijack This keine Wirkung, führen Sie also als Erstes den CWShredder aus.

Autor: natalie
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen