Spyware finden und sicher entfernen

Spyware finden und entfernen

Mehr zum Thema "Spyware und Sicherheit":

Einf�hrung
Internetexplorer anpassen
JAVA Virtual Machine ersetzen/entfernen
Sun-JavaVM Applet-Cache (Alle Browser)

Tools

Spybot-Search & Destroy / Adaware

SpywareBlaster

CWS-Shredder

HiJackThis

Spoonweg

Einf�hrung:

Unter Spyware versteht man Programme, Dateien und Funktionen, die Daten �ber das Surfverhalten an den Hersteller der Spyware verschicken.
Meistens kommen diese Anh�ngsel unbemerkt mit Free-/Shareware aufs System.

Nicht zu verwechseln mit Adware die meist nur Werbung in Programmen anzeigen oder als Popup auftauchen ohne dabei Daten zu verschicken.

Eine weitere h�ufig benutze Form sind Hijacker, die sich beim Surfen im Netz �ber verschiedene Methoden in Webseiten, im System festsetzen.

Diese ver�ndern dann die Start-/Suchseiten des Browsers und die hosts-Datei auf dem System.

Das �ussert sich in Werbefenstern, Popups oder beim Surfen landet man immer wieder auf bestimmten Seiten, auf die man eigentlich garnicht wollte.

Zur �bersicht...

Internetexplorer:

Eingeschr�nkten Schutz erziehlt man mit ein paar kleinen �nderungen in der Browserkonfiguration.

Dazu w�hlt man "Internet-Optionen" aus dem Men� "Extras" im Internet Explorer.
Dort wechselt man in den Reiter "Sicherheit" und �ndert die Sicherheitsstufe der Zone "Internet" mit dem Button "Stufe anpassen" wie folgt:

"Activex-Steuerelemente initialisieren und ausf�hren, die nicht sicher sind": -> deaktivieren
"Activex-Steuerelemente und Plugins ausf�hren": -> Auf Eingabeaufforderung setzen oder deaktivieren
"Download von unsignierten ActiveX-Steuerelementen": -> Deaktivieren
"Java-Einstellungen": -> Hohe Sicherheit

Mit "Ok" best�tigen Sie die �nderungen.

Ein weiterer Vorteil der Einstellungen ist, das sich Dialer nicht mehr so leicht einschleichen k�nnen.
Ein kleiner Nachteil k�nnte sein, das manche Webseiten nicht mehr korrekt dargestellt werden.

Alternativ kann man auch dar�ber nachdenken einen anderen Browser einzusetzen der weniger
Sicherheitsl�cken vorweisst.

Firefox ( Mozilla-Browser ohne E-Mail Client etc. )

Zur �bersicht...

JAVA Virtual Machine ersetzen/entfernen

Ein weiteres Risiko verursacht die fehlerbehaftete Java-Virual-Machine von Microsoft, die man besser durch die weiterentwickelte Sun-Java VM ersetzen sollte.

Wer die JavaVM von Microsoft komplett entfernen m�chte kann das folgendermassen tun:

Start->ausf�hren->Eingabe:
RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall

Startet die Deinstallation-> mit Ja/Yes best�tigen, danach den Rechner neustarten und in die
Registrierung gehen(start->ausf�hren->regedit) zu:

HkeyLocalMachine\Software\Microsoft\Java VM

und

HkeyLocalMachine\Software\Microsoft\Internet Explorer\AdvancedOptions\JAVA_VM

Beide Ordner Java VM und JAVA_VM l�schen

Dann m�ssen noch folgende Ordner/Dateien gel�scht werden:

%systemroot%\java Ordner

java.pnf im Ordner %systemroot%\inf

jview.exe and wjview.exe in %systemroot%\system32

(%systemroot% =Installationsordner von Windows zb c:\windows\ )

Danach neustarten und die Sun-Java installieren..

Zur �bersicht...

Sun-JavaVM Applet-Cache (Alle Browser)

In der Konfiguration der Sun-Java VM sollte man den Applet-Cache komplett deaktivieren, damit sch�dliche Applets beim schlie�en der Seiten auch gel�scht werden (gilt f�r alle Browser).

Dazu geht man zu
Start -> Einstellungen -> Systemsteuerung -> Java-Plugin ->Cache
und nimmt dort das H�kchen bei:
Cache aktivieren heraus.
�bernehmen und schlie�en und der Applet-Cache ist deaktiviert.

Zur �bersicht...

Spybot-Search & Destroy (Download)

Spybot-Hauptfenster
(Klicken für Detailansicht)

Mit diesem Tool kann ein Gro�teil der Spyware, Adware, Hijacker, Dialer etc. (eingeschr�nkt auch Trojaner/W�rmer) gefunden und entfernt werden.

Nach dem Installieren sollte man zuerst �ber die integrierte Update-Funktion das Programm auf den neuesten Stand bringen.
Will man alle Funktionen des Programms nutzen, kann man �ber Start->Programme->Spybot-Ordner das Tool im Advanced-Modus starten.
Die wichtigsten Funktionen sind aber auch �ber den Easy-Mode verf�gbar.

Klick man nun Links im Men� auf Search & Destroy kommt man zur �berpr�fen-Funktion.
Unten am Bildschirm kann man �ber 'Datens�tze' einstellen, nach was alles gesucht werden soll
(Spyware, Gebrauchsspuren, Systeminnereien etc. - Erkl�rung dazu gibt's �ber den Hilfe-Button)

Mit Klick auf �berpr�fen wird die Suche gestartet.

Rote Eintr�ge bedeuten Spyware-Probleme, die aus Sicherheitsgr�nden behoben werden sollten. Diese Art von Problemen ist von vorneherein schon gew�hlt..
Schwarze Eintr�ge sind Systeminnereien. Wenn Sie nicht genau wissen, worum es dabei geht, klicken sie auf den Eintrag und lesen dazu die Beschreibung falls vorhanden, ansonsten entweder nicht entfernen oder nachfragen.
Gr�ne Eintr�ge bedeuten Gebrauchsspuren. Diese zu entfernen bedeutet in aller Regel keinerlei Probleme.
Log-Eintr�ge bei NT/Win2000/XP, sollten niemals entfernt/verschoben werden, da dies zu Problemen f�hren kann.

Hat man nun alles markiert was entfernt/behoben werden soll, klickt man auf ' Markierte Probleme beheben'.

Eine weitere n�tzliche Funktion zur Vorbeugung ist 'Immunisieren'.
Beim Immunsieren wird eine Vielzahl der Spyware daran gehindert sich im System festzusetzen.

Dies erreicht man wenn man Links auf 'Immunsieren' klickt, dann wird �berpr�ft welche Spyware geblockt werden kann und welche schon geblockt ist.

Mit klick auf den Button Immuniseren nach der Suche wird die Funktion abgeschlossen, und man ist somit gegen diese geblockte Spyware nicht mehr anf�llig.

Diese Funktion sollte man nach jedem Update ausf�hren.

Weitere Funktionen:
Entfernt Tracking-Cookies
Suche nach Spyware/Adware - Programmen in Ordnern
Hosts-Datei sch�tzen / erweitern (Werbe-Blockierung)
Startupliste (�ndern, hinzuf�gen, l�schen, deaktivieren)
N�tzliche Infos zur weiteren Suche nach Sch�dlingen etc

Eine Alternative zu Spybot mit kleinerem Funktionsumfang und ohne Immunisierung ist Adaware

Zur �bersicht...

SpywareBlaster (Download / Alternative)

Spywareblaster - Hauptfenster
(Klicken für Detailansicht)

Bedienung:
1. Führen Sie als erstes ein Programmupdate durch, damit die Signaturen auf dem neusten Stand sind.
2. Nach dem Herunterladen werden alle neuen Signaturen im Anzeigefenster Rot angezeigt. Mit Klick auf 'Select All' werden alle neuen Signaturen markiert.
3. Mit Klick auf 'Protect Against Checked Items' wird der Rechner gegen die markierte Spyware imunisiert.

Erklärung:
Ein weiteres n�tzliches Tool zur Erg�nzung der Immunisieren-Funktion von Spybot oder in Verbindung mit Adaware ist Spyware-Blaster.
Es f�hrt auch eine Blockierung von Spyware durch, aber in einem sehr viel gr��erem Umfang als Spybot.
Durch die integrierte Update-Funktion ist man immer auf dem neusten Stand.
Spywareblaster gibt es leider nur auf English, die Bedienung ist aber recht simpel.

Zur �bersicht...

CWS-Shredder (Download)

CWS-Shreder-Hauptfenster
(Klicken für Detailansicht)

Bedienung:
1. Führen Sie als erstes ein Programmupdate durch, damit die Signaturen auf dem neusten Stand sind.
2. Mit Klick auf 'FIX->' wird der Rechner auf schadhafte Einträge gescannt und diese bei Auffinden entfernt.

Erklärung:
Durch Sicherheitsl�cken in der Microsoft Java-Virtual-Machine kommt es in letzter Zeit geh�uft vor das sich �ber diese Sicherheitsl�cken beim Surfen Trojaner einschleichen die alle unter dem Namen CoolWebSearch zusammengefasst sind z.B Java.Shinwow

Microsoft hat dazu auch 2 Patches bereit gestellt die man installieren sollte:
Security-Bulletin MS03-011
Security-Bulletin MS00-075

Alternativ kann man auch wie oben schon beschrieben die MS JavaVM gegen die weiterentwickelte SUN JavaVM austauschen.

Ist man schon infiziert, hilft das Tool CWS-Shredder den Sch�dling zu eliminieren

Zur �bersicht...

HiJackThis (Download / Alternative)

Hijackthis-Hauptfenster
(Klicken für Detailansicht)

Bedienung:
1. Mit klick auf 'Scan' werden alle relevanten Daten im Anzeigefenster aufgelistet. Danach wechselt die Beschriftung des Buttons von 'Scan' auf 'Save-Log'
2. Mit klick auf 'Save-Log' kann das Ergebnis in einer Log-Datei gespeichert werden. Der Inhalt dieses Logs (Hijackthis.log) kann im Forum gepostet werden um schädliche Einträge zu identifizieren.
3. Nachdem festgestellt wurde was schadhafte Einträge sind, können diese im Anzeigefenster markiert, und mit klick auf 'Fix checked' bereinigt werden.

Erklärung:
Wenn die vorherigen Ma�nahmen und Tools nicht weiterhelfen das Problem zu l�sen, kann mit HiJackThis die Entfernung manuell erfolgen.

Das Tool fasst folgende Dinge in einem Report zusammen:
Internet Explorer Start-/Suchseiten URLs
Programme im Autostart
Netscape/Mozilla Start-/Suchseiten URLs
Hosts-Datei Umleitungen
Browser Helper Objects (BHO's)
Internet Explorer toolbars
Aufgerufene/selbststartende Programme in der Registry
Versteckte Internetoptionen in der Systemsteuerung
Internetoptionen nur f�r Administrator
Regedit beschr�nkt auf Administrator
Zus�tzliche Optionen im Kontextmen� des IE's
Zus�tzliche Button's auf der IE-Standarschaltfl�chenleiste und im Extras-Men�
Winsock hijacker
Zus�tzliche Gruppen in den Erweiterten Optionen
IE-Plugins
IE-StandardPrefix hijack
'Webeinstellungen zur�cksetzen' hijack
Nicht gewollte Urls in Vertrauensw�rdige Sites
ActiveX Objecte (z.B Downloader)
Lop.com domain hijackers
Zus�tzliche Protokolle und Protokoll hijackers
Benutzer Stylesheet hijack

Zur �bersicht...

Spoonweg (Download)

Spoonweg-Hauptfenster
(Klicken für Detailansicht)

Bedienung:
Mit Klick auf 'Trojaner Suchen' wird der Prozess des Trojaners (SP.exe) beendet und die vorhandenen Aufrufe in der Registry die den Trojaner starten gelöscht. Zu guter letzt wird auch die Trojaner-Datei SP.exe vom Rechner gelöscht.

Erklärung:
Der Spooner Trojaner vertauscht im Browser vorhandene Links mit einem Link zu www.ntsearch.com und zeigt einige Webseiten nur leer im Browserfenster an. Spoonweg entfernt diesen Trojaner komplett von ihrem Rechner

Zur �bersicht...

von Nighty.


	Softwaretests: mehr... mehr... mehr... mehr... mehr... Alle Softwaretests