Spyware entfernen. / So geht’s
– ein kleiner Ausflug ins System /
Irgendwo in Deutschland, Februar 2005
VORWORT
Da es immer wieder zu Fragen ueber Browser-Hijacking und der Entfernung von Spyware kommt, verfasse ich dieses kleine How-To in der Hoffnung, damit etwas Licht ins Dunkel zu bringen. Aufgrund der Komplexitaet dieses Themas sollte jedem Leser bewusst sein, dass dieses How-To nur eine Hilfe darstellt und in keinem Fall als eine Universal-Loesung verstanden werden sollte. Die Variationen auf diesem Gebiet sind zu vielfaeltig, als das man sie auf neun Seiten unterbringen koennte. Ganz Eilige koennen direkt bei *Jetzt geht’s los* anfangen.
—————————————————————
ACHTUNG: Viele Programme, die sich als Anti-Spyware-Programme ausgeben, sind oftmals selbst Spyware. Also bitte nicht irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt.
Eine schoene Website und nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise!!!
—————————————————————
Alle Informationen basieren auf rein persoenlichen Erfahrungen; daher weise ich mit Nachdruck darauf hin, dass ich keinerlei Haftung fuer entstehende Schaeden, die durch die Verwendung dieses How-To?s entstehen, uebernehmen kann. Jeder Nutzer ist fuer sein eigenes Verhalten verantwortlich. Im Normalfall sollte es aber keine Probleme geben. Ich gehe weder auf die Funktionsweise noch die Konsequenzen von Spyware/Browser-Hijacking ein, da dies weitlaeufig bekannt sein sollten. Wenn nicht, empfehle ich eine Suchmaschine deiner Wahl. Ferner weise ich darauf hin, dass in diesem How-To nur auf Spyware in Form von Exe- und DLL-Files eingegangen wird, da diese die groe?ten Gefahren verursachen und sich am schwierigsten entfernen lassen. Da ich in den letzten Tagen ein System per Hand saeubern durfte und dabei ueber 100 Spywarekomponenten sowie Wuermer und andere Malware entfernt habe, wei? ich, dass es in diesem Bereich fuer manchen User zu massiven Problemen bei der *automatischen* Entfernung kommen kann. Mittlerweile schuetzt sich Spyware sehr gut gegen eine Entfernung durch Programme wie Spybot oder Adaware. In diesen Faellen ist es noetig, Hand anzulegen. Doch auch hier wird es nicht einfach, da auch wichtige Systemkomponenten wie etwa der Taskamanager gersperrt werden. Mit anderen Worten: Selbst als Administrator besitzt man kaum noch genuegend Einfluss, um das System zu saeubern. Ich gehe von dem Worst-Case-Szenario aus. Das System bootet, danach steht es fast, weil unzaehlige Prozesse die Rechenleistung in die Knie zwingen. Moeglicherweise hat die Spyware dem Browser auch noch eine neue *Toolbar* verpasst und es oeffnen sich nur noch bestimmte Seiten. Die meisten Systemprogamme sind blockiert. Reg-Edit, Taskmanager und Co sind au?er Funktion gesetzt. Also was tun? Zunaechst sollte man verstehen, was Spyware mit dem System macht, bzw. wie sie es schafft, das System zu kontrollieren.
Wie nistet sich Spyware im System ein und wie schuetzt sie sich selbst?
Die Variationen sind vielfaeltig. Entweder wird Spyware in Programmen versteckt oder aber auf Webites platziert. Besucht ein User diese Site, ist es oft nicht noetig einen Download zu starten, um sich zu *infizieren*. Mittels bekannter Sicherheitsluecken wird der Browser ueberlistet und der Schaedling auf das System des Users uebertragen. In der Regel wird eine Datei im Temp-Verzeichnis des B
rowsers abgelegt und meist auch dort gestartet. Im Falle des Internet-Explorers befindet sich die Datei also in *Temporary Internet Files* und/oder unabhaengig vom Browser im Temp-Verzeichnis. Entweder wird gleich eine ausfuehrbare Datei (*.exe, *.scr, *pif, etc) auf das System uebertragen, oder aber Scripte ausgefuehrt (meist Java-Script), um wiederum den Download einer Datei zu starten. Details sind hier nicht weiter wichtig. Wichtig ist nur, dass wir die besagten Ordner nicht vergessen 😉 Nachdem die ausfuehrbare Datei gestartet wurde, installiert diese mindestens eine neue Exe oder setzt neben der Exe auch gleich noch mindestens eine DLL im System ab. Eintraege in der Registry und/oder Dateien werden zeitgleich durchgefuehrt um den zukuenftigen Start der Schaedlinge sicherzustellen.
Registry:
Eintraege erfolgen unter anderem in:
Windows 95-XP
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnceEx
-HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Common Startup
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Common Startup
-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup
-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\NetworkPath
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\UpdateMode
-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @=“\“%1\“ %*“
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Windows 98 – XP
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ShellServiceObjectDelayLoad
Windows 2000 und XP
-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
-HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts
-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell
-HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup
Autostart ueber Dateien:
Windows 95-98
– C:\Winboot.ini
– C:\Config.sys, Eintraege „Device=“, „Install=“, „Devicehigh=“ und „Installhigh=“
– C:\Autoexec.bat
– C:\Win.bat
– C:\Windows\Dosstart.bat
– Winstart.bat
Windows 95-ME
– C:\Msdos.sys
– C:\Windows\Wininit.ini
– C:\Windows\System.ini, Eintrag „Shell=“
– C:\Windows\Win.ini, Eintraege „run=“ und „load=“
– C:\Windows\Startmenue\Programme\Autostart
– C:\Windows\Profiles\
– C:\Windows\AllUsers\Startmenue\Programme\Autostart
Nur Windows ME
– C:\Window\Command\Cmdinit.bat
Nur Windows 2000
– C:\Winnt\Autoexec.nt und Config
.nt
Nur Windows XP
– C:\Windows\Autoexec.nt und Config.nt
Windows 2000 und XP
– C:\Dokumente und Einstellungen\
– C:\Dokumente und Einstellungen\All Users\Startmenue\Programme\Autostart
Die Files (Exe, DLL) werden im Windows-Verzeichnis oder System32 Verzeichnis abgelegt. Aber auch abgelegenere Plaetze sind moeglich, wie etwa: MsAgent, Drivers, Im Grunde ist es egal, wo sich die Dateien befinden. Wir werden sie finden 😉 Spyware schuetzt sich durch verschieden Mechanismen. Ist eine Datei von Windows in Verwendung, kann sie nicht geloescht werden. Windows verwehrt den Zugriff darauf. Der einfachste Weg ist also, den laufenden Prozess ueber den Taskmanager zu beenden. Oft startet die Anwendung aber einfach neu. Andere Prozesse ueberwachen den beendeten Prozess und starten ihn wieder. Es ist nicht moeglich, alle Prozesse gleichzeitig zu beenden. Startet man den Rechner neu, starten die Programme auch erneut durch die Eintraege in der Registry. Entfernt man die Eintraege werden auch diese wieder neu angelegt. Man dreht sich also im Kreis. Wenn die Spyware jetzt auch noch den Zugriff auf den Taskmanager und Regedit unterbindet, dann ist man ausgesperrt. Die Prozesse lassen sich nicht beenden. Au?erdem besteht die Moeglichkeit, dass Dateien im Temp-Ordner von Windows und/oder des Browsers neue Dateien aus dem Internet laden. Nein, das ist noch nicht alles. Um den User auch noch auf bestimmte Seiten umzulenken (z.B. um noch mehr Spyware zu installieren), wird die HOSTS-Datei von Windows auch noch geaendert. Die HOSTS-Datei enthaelt Eintraege zu bestimmten IP-Adressen verknuepft mit dem DNS-Namen eines HOSTS. In der Regel ist diese Datei nicht weiter noetig, doch hat sie Prioritaet fuer Windows, wenn dort Eintraege vorhanden sind. Windows verwendet sie gewisserma?en wie einen *lokalen DNS-Server* um Hostnamen aufzuloesen. Wird diese Datei mit Eintraegen gefuellt, dann befolgt Windows brav diese Eintraege. Steht dort z.B.: 123.123.123.123 www.google.de dann wuerde bei dem Aufruf von www.google.de statt der realen IP von Google die IP 123.123.123.123 aufgerufen werden. Damit waere der Browser also schon umgeleitet. 123.123.123.123 stellt natuerlich nur ein Beispiel fuer eine IP Adresse dar. Die HOSTS-Datei laesst sich jedoch beliebig fuellen. Unter Windows XP befindet sich die Datei unter C:\WINDOWS\system32\drivers\etc und kann mit jedem normalen Editor bearbeitet werden. Bei anderen Windows-System muss jeder User selbst nachsehen. Ich wei? es nicht auswendig Normalerweise stehen keine Eintraege in dieser Datei bzw. sind die Eintraege mit # ausgenommen und werden ignoriert. Also, was tun?
Jetzt geht’s los.
Vorbereitung:
1.) HOSTS-Datei pruefen, wenn das oben genannte Problem mit umgeleiteten Websites auftritt und Eintraege entfernen oder mit # ausnehmen.
2.) Programme downloaden: Spybot – Search and Destroy. Adaware, einen guten (!) Virenscanner (F-Secure, Kaspersky) sowie Prozess-Radar von http://www.delphi-soft.de/. Ggf. noch Winpatrol von www.winpatrol.com
3.) Einen anstaendigen Browser 😉 www.mozilla.org
4.) Einen Onlinescan ausfuehren (www.bitdefender.com, www.mcafee.com) und versuchen im Vorfeld bestimmte Schaedlinge entfernen zu lassen. Online-Scanner haben den Vorteil, nicht installiert werden zu muessen. Und gerade das wird von aktiver Spyware oft unterbunden.
Entfernen von Spyware:
1.) Den Rechner im abgesicherten Modus starten. Dadurch werden weniger bis keine Spyware-Komponenten geladen. Internetverbindung trennen. Danach den Browse
r oeffnen und alle temporaeren Dateien loeschen. Beim IE geht das ueber *Extras* -> Internetoptionen ->Dateien loeschen. *Alle Oflline-Inhalte loeschen* markieren und OK klicken. C.\Windows\temp und C:\tmp oeffnen und alle Dateien loeschen. Papierkorb auch mal ausleeren 😉
2.) ueber Start -> ausfuehren -> *msconfig* und der Registerkarte *Systemstart* lassen sich alle startenden Prozesse ansehen. Alle unbekannten Prozesse kann man hier deaktivieren. Bringt aber nicht immer etwas.
3.) Wir versuchen mal den Taskmanager zu oeffnen. Startet er? Super. Welche Prozesse laufen? Kann man die Prozesse zuordnen? In jedem Fall empfehle ich hier den Einsatz von Prozess-Radar. Egal ob der Taskmanager startet oder nicht, mit Prozess-Radar hat man einen perfekten Ueberblick ueber alle laufenden Prozesse, nebst Modulen und Pfad zur jeweiligen Datei. Windows 95/98/2000-User koennen gleich zu Schritt 6 springen.
4.) Jetzt koennten wir anfangen, die Prozesse zu beenden. Fast jedenfalls. Denn spaetestens jetzt sollten wir noch die Laufwerksueberwachung fuer alle Laufwerke deaktivieren, damit die Systemwiederherstellungsfunktion von Windows ME/XP die entfernten Dateien nicht wiederherstellt. 😉 User von Windows 95/98/200 koennen diesen Part ueberspringen und direkt an Punkt 5 fortfahren.
WindowsME-User: Klicke auf „Start“ > „Einstellungen“ > „Systemsteuerung“. Doppelklicke auf „System“. Klicke dann auf der Registerkarte „Leistungsmerkmale“ auf „Dateisystem“. Auf der Regiisterkarte „Problembehandlung“ bitte das Haekchen „Systemwiederherstellung deaktivieren“ anklicken. Klicke auf „OK“. Klicke auf „Ja“, wenn Du dazu aufordert wirst, Windows neu zu starten. WindowsXP-User: Arbeitsplatz oeffnen, klicke mit rechter Maustaste auf Eigenschaften, klicke anschlie?end auf die Registerkarte *Systemwiederherstellung* und setze ein Haekchen bei *Systemwiederherstellung auf allen Laufwerken deaktiveren*.
5.) Welche Prozesse boesartig sind, muss jeder User fuer sich entscheiden. Es gibt mehrer Quellen im Netz, die alle Systemprozesse sowie Treiber auflisten. z.B.: http://www.liutilities.com/products/wint…library/system/
6.) Windows 95/98-User muessen Prozess-Radar verwenden, da Prozesse unter diesen Systemen nicht angezeigt werden. Bei Windows ME bin ich mir nicht sicher.
7.) Wir killen also mit dem Taskmanager (Win2000/XP) oder Prozess-Radar die verdaechtigen Prozesse. Alle Prozesse, die mit Userrechten ausgefuehrt werden, sind oftmals kritisch. Sehr selten wird Spyware mit Systemrechten ausgefuehrt. In solchen Faellen wuerde ich das System komplett neu installieren. Laeuft Spyware mit Systemrechten, sieht es nicht gut aus. L Im Normalfall laeuft die Spyware jedoch mit Benutzer-Rechten.
8.) Wer jetzt mit dem Windows-Taskmanager arbeitet, kann schon mal anfangen, die Dateien, die im Taskmanager laufen oder auch in *msconfig* eingetragen sind, mittels Windows-Suche zu suchen. ACHTUNG: Im Explorer die Ansicht fuer versteckte Dateien und Systemdateien deaktiveren, so dass versteckte Dateien angezeigt werden. In der Windowssuche unter Optionen (bei XP) *auch versteckte Objekte durchsuchen* anklicken.
9.) Prozess-Radar-User koennen stattdessen einfach den Pfad zur Datei in der Tabelle auslesen und die Datei dann im jeweiligen Verzeichnis loeschen.
10.) Wenn alle Dateien entfernt wurden, kann man einen Scan mit Spybot, Adaware sowie dem Virenscaner oder Online-Scanner wagen. Wird noch immer Spyware gefunden? Kann die Spyware entfernt werden?
11.) Sollte es jetzt immer noch zu Problemen bei der Entfernung kommen, rate ich zu einem Neustart. Aber auch hier bitte nur in den ab
gesicherten Modus booten!
12.) Erneut scannen. Im Normalfall lassen sich Reste und Fragmente automatisch entfernen. Sollte es dennoch zu weiteren Problemen kommen, dann muss wieder bei Schritt 8 angefangen werden. Ich kenne kein System, bei dem dies bisher noetig gewesen waere. Die Entwicklung von Spyware ist genau wie die Entwicklung von Malware einem permanenten Wandel unterworfen. Deshalb kann dieses How-To nur als Hilfe angesehen werden und nicht als Universal-Loesung.
13.) Wenn das System soweit clean ist, empfiehlt sich die Installation von Winpatrol. Dadurch lassen sich Prozesse ueberwachen und neue Eintraege in der Registry werden gemeldet. Man kann unerwuenschte Programme bzw. deren Eintraege problemlos aus der Registry entfernen und Tasks nach dem Beenden loeschen. Ein Neueintrag wird dann unterbunden. Auch ein neuer Browser sollte jetzt installiert werden.
Antworten
Du musst angemeldet sein, um einen Kommentar abzugeben.