Herunterladen - Strato Demo Downloadshop
Transcription
Herunterladen - Strato Demo Downloadshop
eload 24 Spam und Spyware loswerden CHIP Communications GmbH Rubrik Thema Umfang eBooklet Preis Internet Sicherheit 23 Seiten 00614 2,95 Euro Autor CHIP Communications GmbH Mit Hilfe von Fachbüchern kann man eine Menge lernen. Das ist gut. Wenn man genügend Zeit hat. Für die anderen Momente gibt es eload24: Digitale Bücher ohne jeden Ballast zu exakt definierten Themen, geschrieben von etablierten Fachautoren, unschlagbar preiswert und zum direkten Download. So bekommen Sie immer exakt die Informationen, die Sie wirklich brauchen. 24 Stunden am Tag. Klicken, Lesen, Weitermachen. So einfach geht das. eload 24 Spam und Spyware loswerden CHIP Communications GmbH eload24 AG Sonnenhof 3 CH-8808 Pfäffikon SZ info@eload24.com www.eload24.com Inhalt Spam und Spyware ade........................................................ 3 Nie mehr Spam-Terror.......................................................... 4 Spamihilator: Das Top-Tool gegen Spam................................. 4 Prüfstationen inbegriffen: Spezialfilter einrichten..................... 5 Copyright © 2008 eload24 AG Alle Rechte vorbehalten. Trotz sorgfältigen Lektorats können sich Fehler einschleichen. Autoren und Verlag sind deshalb dankbar für Anregungen und Hinweise. Jegliche Haftung für Folgen, die auf unvollständige oder fehlerhafte Angaben zurückzuführen sind, ist jedoch ausgeschlossen. Copyright für Text, Fotos, Illustrationen: CHIP Communications GmbH Autoren: Stephan Goldmann, Valentin Pletzer Coverfoto: © Randolph Pamphrey – iStockphoto.com Richtig anlernen: Echte Mails von Spam trennen...................... 6 IE7pro: Internet Explorer ohne Werbung................................ 9 Adblock Plus: Firefox von Werbung befreien............................ 9 Verrät Ihre Webseite E-Mail-Adressen?................................. 10 Spyware entlarven............................................................. 12 SpySheriff: Falsche Anti-Spyware restlos entfernen................ 13 Vundo: Fiesen Hijacker löschen........................................... 16 Zlob: Gefährliche Video-Codecs sicher entfernen.................... 19 Software-Tipp: Diese Tools killen jede Spyware...................... 22 Spyware-Verstecke in der Registry....................................... 23 eload 24 lösungen auf einen klick. Spam und Spyware ade Aktien, Viagra, Gewinnspiele – Schwärme ob SpySheriff, Vundo oder Zlob. Daher zeigen von Werbemails überfallen uns. Wie Krähen wir Ihnen, wie Sie die Hightech-Tarnung auf- über die Saat fallen Spamroboter über Mail fliegen lassen und die Schädlinge loswerden. adressen im Internet her. Auf irgendeiner Seite pickt eine dieser Krähen Ihre Anschrift heraus – und dann nimmt der Spamterror kein Ende mehr. Besonders Nachrichten mit PDF-Anhängen attackieren derzeit den geplagten User. Als wäre das noch nicht genug, stechen dem Surfer im Web auch noch grell blinkende Werbebanner in die Augen und kreischen ihm Flash-Sounds in die Ohren. Genug! In diesem eBooklet erfahren Sie, wie Sie die Spam-Attacken stoppen. „Sie kommen in Schafskleidern, inwendig aber sind sie reißende Wölfe.“ Dieses Bibelwort passt exakt auf die neuen Superviren – copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 3 eload 24 lösungen auf einen klick. Nie mehr Spam-Terror Der Spamihilator hat einen großen Vorteil gegenüber den Filtern von GMX und Co.: Er Zeit für eine Radikallösung: Der ganze Wer- lässt sich genau auf die Spammails anpas- bemüll muss weg – dauerhaft! Fangen Sie sen, die den Anwender am meisten quälen – mit dem Mailprogramm an, danach nehmen etwa der Aktienspam mit PDF-Dateien oder Sie sich die Browser vor, Firefox und Internet Botschaften auf Russisch oder Chinesisch. Explorer. Wir zeigen Ihnen die unkomplizierte Lösung – die aber noch viel Potenzial für Feinjustage bietet. Spamihilator: Das Top-Tool gegen Spam Welchen Mailclient Sie auch verwenden, bei allen hilft eine bequeme und zuverlässige Lösung gegen Spam: die Freeware Spamihilator (www.spamihilator.com). Sie hängt sich zwischen Postfach und Mailprogramm und sortiert gleich bei der Übertragung lästige Werbebotschaften aus. Einfach installieren und dem Assistenten folgen – schon sind Sie eine gehörige Portion Spam los. copyright © 2008 eload24 AG Spam und Spyware loswerden Nervend: Spam-Nachrichten, in PDF-Dokumente verpackt, preisen den Kauf bestimmter Aktien an. CHIP Communications GmbH Seite 4 eload 24 lösungen auf einen klick. Der kleine Wermutstropfen: Bisher stürzt Mails durch eine Kette von Prüfstationen der Spamihilator beim Abrufen von IMAP- Der effektivste Filter wird gleich mitinstal- Postfächern ab. IMAP steht für „Internet Mes- liert: DCC – die Abkürzung für „Distributed sage Access Protocol“ und bedeutet, dass alle Checksum Clearinghouse“. Er funktioniert so: Mails auf dem Mailserver bleiben und dort Jeder PC mit diesem Filter schickt eine Prüf- verwaltet werden. GMX und andere Freemail- summe über die eben erhaltene Mail an einen Dienste bieten solche Postfächer für wenige der DCC-Server. Der Server zählt die Häu- Euro im Monat an. figkeit einer Checksumme. Überschreitet ein Zähler die kritische Masse, stuft DCC diese Spamihilator-Autor Michael Krämer arbeitet Mail als Spam ein. Die Checksumme berück- daran, die Fehler zu beheben. Alternativen sichtigt sogar Variationen, wie sie in Spam- gibt es allerdings sowieso kaum: Denn die mails vorkommen. Einziger Nachteil: Das meisten Freeware-Lösungen aus dem Bereich Abfragen der Daten kostet Zeit – beim Mail- Spamschutz haben die E-Mail-Abfrage per Aufkommen im Test fiel das jedoch kaum ins IMAP gar nicht erst auf der Agenda. Gewicht. Prüfstationen inbegriffen: Falls der DCC-Filter versagt, springen an- Spezialfilter einrichten dere ein, etwa ein Wortfilter, der klassische Spambegriffe aussiebt, ein Bayes-Filter, der copyright © 2008 eload24 AG Was den Spamihilator so gut macht: Er setzt die Ansammlung bestimmter Begriffe („Sex“, nicht nur auf einen Filter, sondern jagt die „Viagra“ usw.) untersucht und sich sogar trai- Spam und Spyware loswerden CHIP Communications GmbH Seite 5 eload 24 lösungen auf einen klick. nieren lässt, ein Attachment-Plugin, das nicht ■■ nur unerwünschte, sondern sogar gefährliche Nachrichten aufhält – und weitere Filter RFC Validator: Erkennt Mails, die nicht dem Standardformat entsprechen. ■■ mehr. Scripts: Filtert alles, was gefährliche Programmzeilen im HTML-Code aufweist. ■■ Server Tester: Enttarnt gefälschte Ab- Und wie bekommen Sie die Spams mit PDF- senderadressen, wie sie gern von Spam- Anhängen oder in kyrillischer Schrift weg? mern genutzt werden. Ganz einfach: mit weiteren Spamfiltern, die Sie unter der Adresse www.spamihilator.com/ Die Plugins installieren Sie per Doppelklick plugins finden, etwa diese: auf die heruntergeladene Datei. Und voilà, die Vogelscheuchen-Armee gegen Spam-Krä- ■■ Alphabet Soup: Verscheucht mit sinn- hen steht Gewehr bei Fuß! losen Zeichenketten versehene Mails. ■■ Empty Mail: Sortiert Nachrichten aus, Richtig anlernen: Echte Mails die keinen oder nur wenig Text enthal- von Spam trennen ten – derzeit noch ein typisches Kennzei■■ copyright © 2008 eload24 AG chen für PDF-Spams. Wo gehobelt wird, fallen Späne. Auch der Mystic Signs: Schmeißt Mails in kyril- Spamihilator schmeißt zunächst Mails in den lischer Schrift raus – und wehrt Versuche Papierkorb, die dort nicht hineingehören. ab, andere Filter mit Sonderzeichen zu Newsletters etwa sind immer in Gefahr, aus- verwirren. sortiert zu werden – dies ist aber nicht im Spam und Spyware loswerden CHIP Communications GmbH Seite 6 eload 24 lösungen auf einen klick. Sinne des Anwenders. Die Lösung: Schalten Newsletter kommt, sollen sich die anderen Sie den Newsletter-Filter vor alle anderen. Filter erst gar nicht mit ihm aufhalten. Also Denn er lässt anhand einer Whitelist die er- gehen Sie wieder in die Einstellungen und wünschten Infomails passieren. Dafür muss klicken unter Filtereigenschaften auf Reihen- man ihm jedoch erst sagen, welche das sind. folge. An dieser Stelle markieren Sie einen Filter und schieben ihn mit den Pfeiltasten Dazu öffnen Sie die Einstellungen, indem Sie mit der rechten Maustaste auf das Spamihilator-Icon rechts unten klicken und Einstellungen wählen. Dort suchen Sie Newsletter | copyright © 2008 eload24 AG links nach oben oder unten – je weiter oben er steht, desto eher greift er. Eine mögliche Reihenfolge ist etwa: Signaturen und klicken auf den Button Neu. 1. Newsletter-Plugin Geben Sie nun einen typischen Begriff aus 2. Scripts-Filter dem Betreff des Newsletters ein, beispiels- 3. Mystic-Signs-Filter weise „ShortNews“. Die meisten Rundmails 4. DCC-Filter gehen an eine bestimmte sichtbare Adresse – 5. Server Tester alle anderen Empfänger sind ausgeblendet. 6. RFC Validator Diese Adresse geben Sie noch im Bereich 7. Empty-Mail-Filter Newsgroups ein, und ab sofort ist der News- 8. Alphabet Soup letter gerettet. Die Kunst besteht jetzt darin, 9. Attachment-Filter die Mailfilter in der richtigen Reihenfolge zu 10. Spam-Wort-Filter schalten. Denn wenn etwa ein erwünschter 11. Lernender Filter Spam und Spyware loswerden CHIP Communications GmbH Seite 7 eload 24 lösungen auf einen klick. Nun sollten Sie festlegen, was passieren den Papierkorb durchforsten. Sie finden ihn soll, wenn eine Mail als Spam oder Non- über einen Doppelklick auf das Spamihilator- Spam identifiziert wird: Unter Wenn der Fil- Icon. Fälschlich aussortierte Mails holen Sie ter eine Spam-Mail findet … wählen Sie beim sich mit Wiederherstellen zurück. Newsletter-Plugin die Option fahre mit dem nächsten Filter fort. Bei Wenn der Filter eine Non-Spam-Mail findet … klicken Sie beende den Filterprozess. Alle anderen Plugins stellen Sie im Falle einer Spammail auf Filterprozess beenden und bei Non-Spams auf Fortfahren. Freunden können Sie einen Passierschein ausstellen: In den Spamihilator-Einstellungen klicken Sie auf Absender und Freunde und hinterlegen alle Adressen, die der Spamihilator nicht zu überprüfen braucht. Bei manchen Mailclients funktioniert das per Drag & Drop aus dem Adressbuch. In den ersten Tagen des Einsatzes von Spa- Erkennungsdienst: Im Trainingsbereich von Spamihilator erklären Sie dem Programm, welche Mails gut und welche böse sind. Das beugt späteren Fehlentscheidungen vor. mihilator sollten Sie gelegentlich noch mal copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 8 eload 24 lösungen auf einen klick. Es lohnt sich, den Spamihilator zu trainieren: Preferences in die Einstellungen. Unter Wer- Nach dem Abholen der Mails geht man dazu befilter aktivieren Sie den Flash-Blocker, den in den Trainingsbereich – wieder über das Werbefilter und die Standardregeln, starten Icon, die rechte Maustaste und den gleichna- den Internet Explorer neu – und genießen migen Menüpunkt. Korrigieren Sie das Ver- das Web werbefrei. halten des Tools, indem Sie falsche Treffer oder nicht erkannten Spam markieren. Nach Adblock Plus: Firefox von einigen Malen merkt sich der Spamihilator Werbung befreien die Korrektur, und nur noch selten verirrt sich Spam in Ihr Postfach – endlich Ruhe! Na Die Stärke des Firefox-Browsers liegt in der ja, bis auf das, was einen beim Surfen sonst großen Entwicklergemeinde, die hinter ihm noch nervt. steht. Kein Wunder also, dass es die ausgereiftere Freeware-Lösung für diesen Browser IE7pro: Internet Explorer ohne Werbung gibt: Adblock Plus (adblockplus.org/de/). Dieser Werbefilter lässt nichts mehr durch. Extrem hohen Nervfaktor hat etwa Online- copyright © 2008 eload24 AG werbung. Zum Glück gibt es schnelle Hilfe für Holen Sie sich die jüngste Version, und in- die wichtigsten Webbrowser. Beim aktuellen stallieren Sie sie. Dabei erlauben Sie Firefox, Internet Explorer etwa ist das die Erweite- falls der Dialog kommt, dass er grundsätzlich rung IE7pro von ie7pro.softonic.de. Nach der von dieser Seite Add-ons installieren darf. Installation gehen Sie über Extras | IE7Pro Später brauchen Sie nämlich noch Filter Spam und Spyware loswerden CHIP Communications GmbH Seite 9 eload 24 lösungen auf einen klick. regeln. Denn nach einem Neustart steht Adblock Plus zwar zur Verfügung, blockt aber noch keine Werbung. Dazu gehen Sie auf die Webseite adblockplus.org/de/subscriptions und klicken bei den folgenden Filterlisten auf Abonnieren: ■■ Cédrics Liste ■■ ABP Tracking Filter ■■ Filter von Dr. Evil stop Die beiden Optionen Automatisch aktualisieren und Filter aktivieren müssen aktiviert sein. Und das war es dann auch schon – Werbung, ade! Verrät Ihre Webseite E-Mail-Adressen? Webseiten-Betreiber können sich dem SelbstWeg mit der Onlinewerbung: Adblock Plus für den Firefox-Browser entfernt Bannerwerbung von Webseiten, die Bilder bleiben erhalten. copyright © 2008 eload24 AG Spam und Spyware loswerden test unterziehen: Wie viele E-Mail-Adressen verrät meine Webpräsenz den Spam-Krähen? CHIP Communications GmbH Seite 10 eload 24 lösungen auf einen klick. Dazu setzen Sie den 1st Email Address Spider von www.123hiddensender.com ein. Um die Adressen exportieren zu können, brauchen Sie die Vollversion für 130 Dollar. Für den Selbstcheck ist jedoch die Testversion völlig ausreichend. Und so gehen Sie am bes ten vor: Mail-Postfächer finden Nach dem Start des Programms schließen Sie Adressen verschlüsseln Die Auswertung nehmen Sie als Grundlage, um die Adressen auf Ihrer Webseite zu entfernen – die Spalte URL verrät den Deeplink, unter dem der Spider fündig wurde. Soll die Adresse sichtbar, aber nicht sammelbar sein, verschlüsseln Sie sie für die Suchspider. Die richtigen Verschlüsselungsmethoden erfahren Sie auf der Website www.antispam.de/wiki/ Harvester. den Registrierdialog mit Close. Im Hauptfen- copyright © 2008 eload24 AG ster klicken Sie auf Start from a specific URL Eine der besten Methoden ist übrigens diese: und geben als Start-URL den Domainnamen Schreiben Sie die Mailadresse in eine Bild- Ihrer Webseite an. Aktivieren Sie dann die datei – zum Beispiel mit Paint. Dieses Bild Option Only search the pages of current do- schneiden Sie längs in zwei Teile, speichern main – sonst geht der Spider auch auf ver- sie einzeln und setzen sie erst auf der Web- linkte Seiten. Klicken Sie auf Start, und ver- seite wieder zusammen – beispielsweise in folgen Sie den Fortschritt. einem Div-Tag. Spam und Spyware loswerden CHIP Communications GmbH Seite 11 eload 24 lösungen auf einen klick. Spyware entlarven Sie schützen Ihr System und aktualisieren es regelmäßig? Gut so. Sie glauben, dadurch sind Sie immun gegen Spyware und Trojaner? Gefährlicher Irrtum! Wer etwa auf einen Freeware-Virenscanner setzt, wiegt sich in falscher Sicherheit. Diese Programme sind ausgerechnet gegen die übelste Schädlingskategorie machtlos: Spyware. Aber auch viele Kaufprogramme und Spezialtools wie Spybot – Search & Destroy und Ad-Aware versagen im Kampf gegen moderne SchädAdressen-Sammler: Der 1st Email Address Spider liest die Mailadressen aus Webseiten aus. linge. Wie also lässt sich Spyware aufspüren – und vor allem: Wie wird man sie wieder los? Wir haben es ausprobiert und im Selbstversuch die drei am weitesten verbreiteten Schädlinge auf unserem Test-PC installiert. copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 12 eload 24 lösungen auf einen klick. Das erschreckende Ergebnis: Mit bekannten Standardtools lassen sie sich meistens nicht entfernen. Geschafft haben wir es schließlich doch – mit diesen Tricks und Tools. SpySheriff: Falsche AntiSpyware restlos entfernen Eine ganz perfide Spyware kommt daher wie der Wolf im Schafspelz: Getarnt als SpywareKiller (Rogue Anti-Spyware) verleitet SpySheriff seine Opfer dazu, die Schadsoftware freiwillig zu installieren. Wer darauf eingeht, bekommt den Eindringling nicht mehr los. Den dreisten Teil hebt sich das Programm bis zum Schluss auf: Bei einem vorgetäuschten Check findet der SpySheriff jede Menge Schädlinge – die gar nicht existieren. Wer die Phantom-Malware loswerden will, soll zahlen – mit Kreditkarte. copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 13 eload 24 lösungen auf einen klick. Gefährliche Täuschung Hinter der scheinbar harmlosen Website verbirgt sich eines der nervigsten Schadprogramme – der SpySheriff. Ein professionelles Logo und eine schicke Packung lassen die Malware ganz seriös erscheinen. Hinter dem Button Free Scan verbirgt sich kein kos tenloser Virencheck, sondern die EXE der SpySheriff-Spyware, die Ihren Rechner infiziert. Die Produkt-Beschreibung liest sich wie die eines echten Spyware-Killers. Wer das Programm nicht kennt, fällt leicht darauf rein. copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 14 eload 24 lösungen auf einen klick. Täterprofil Rogue Anti-Spyware aufspüren Den SpySheriff erkennen Sie daran, dass er ■■ Name: SpySheriff Sie mit Warnhinweisen bombardiert und Sie ■■ Charakteristik: Tarnt sich als Viren- ständig daran erinnert, jetzt die Vollversion scanner zu kaufen. Doch das ist oft nur die Spitze des Alias: Adware Sheriff, SpyAxe, Eisbergs. Der Spion zeigt sich variabel: Mal SpywareQuake wird nur die falsche Anti-Spyware-Kompo- Aktive Prozesse: 1950.exe, nente installiert, mal zusätzlich ein Trojaner. newdial.exe, spysheriff.exe, Nur eins ist sicher: Gegen echte Spyware uninstall.exe, winstall.exe unternimmt das Tool nichts! ■■ ■■ ■■ Registry-Verstecke: HKLM\SOFTWARE\spysheriff, HKLM\SOFTWARE\ Microsoft\Windows\, CurrentVersion\ uninstall\spysheriff ■■ Datei-Decknamen: %ProgramFiles%\spysheriff, 1950.exe, Desktop.html, newdial.exe, spysheriff. exe, uninstall.exe, winstall.exe, %UserProfile%\Desktop\SpySheriff. lnk copyright © 2008 eload24 AG Spam und Spyware loswerden SpySheriff entfernen Überraschenderweise gibt es für den Spy Sheriff eine Deinstallations-Routine – in der Systemsteuerung unter Programme hinzufügen und entfernen. Nutzen Sie die Gelegenheit, und schicken Sie den SpySheriff in die Wüste – aber verlassen Sie sich nicht darauf. Wo sich die Malware immer einnistet, steht im Steckbrief links. Diese Einträge und Da- CHIP Communications GmbH Seite 15 eload 24 lösungen auf einen klick. teien können Sie mit dem Windows Explorer Vundo: Fiesen Hijacker löschen und dem Registry Editor entfernen. Der Schädling, den wir uns als Nächstes vorAuf Nummer sicher gehen In unseren Tests ließen sich verschiedene Rogue-Anti-Spyware-Programme mit dem mitgelieferten Uninstaller entfernen. Doch in einschlägigen Foren wie dem TrojanerBoard (www.trojaner-board.de) berichten Hilfesuchende immer wieder, dass sich noch mehr auf ihren Systemen eingenistet hat. Bei den dubiosen Geschäftspraktiken von SpySheriff und Co. lässt sich nicht ausschließen, dass Rogue Anti-Spyware noch andere Schädlinge eingeschleppt hat. Aus diesem Grund sollten Sie sicherheitshalber folgende Tipps für die beiden anderen Schädlinge befolgen und Ihr System mit den Tools HijackThis, Autoruns und Blacklight unter die Lupe nehmen. knöpfen, ist mit Abstand der aggressivste. Mit dem Ziel, unseren Testrechner zu verseuchen, suchen wir auf Google nach einer gehackten Seriennummer. Denn in solchen verlockenden, aber illegalen Angeboten verstecken sich besonders häufig Hijacker und Downloader. Zwar warnt uns Google vor der möglicherweise schädlichen Webseite, doch wir ignorieren das und öffnen sie. Dann geht alles ganz schnell: Die Seite baut sich auf, die Schadroutine wird aktiv, der PC ist verseucht. Vundo heißt der Schädling – ein Downloader. Doch das erfahren wir erst später, nachdem wir eine verdächtige Datei von 18 Virenscannern prüfen ließen. Nur eine Handvoll davon erkennt den Downloader. Und wie der Gattungsname schon sagt, beginnt der Eindringling sofort damit, andere Schad- copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 16 eload 24 lösungen auf einen klick. software nachzuladen – in unserem Fall ein Um den Schädling zu vernichten, installieren Plugin für den Internet Explorer, das uns mit wir die Freeware Ad-Aware 2007. Die erkennt Werbe-Pop-ups aller Art bombardiert. Vundo zwar – kann den Downloader aber nicht vollständig löschen. Nach jedem Neustart ist er wieder da. Noch weniger Erfolg Täterprofil haben wir mit Spybot – Search & Destroy: Wir starten das Setup, können es aber nicht ■■ Name: Vundo abschließen. Vundo killt immer wieder den ■■ Charakteristik: Greift Virenscanner Prozess und verhindert so eine Installation an des Spyware-Killers. Schwereres Geschütz ist Typ: Hijacker, Downloader und Tro- also notwendig, um der Plage Herr zu wer- janer den. ■■ ■■ Prozesse: Zwei jedes Mal zufällig erzeugte DLLs ■■ Registry-Verstecke: HCR\clsid\ {EFCB1D95-FFF6-47BB-B6C961A523F04322}, HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVer sion\Winlogon\Notify ■■ Festplatten-Versteck: C:\Windows\System32\ copyright © 2008 eload24 AG Spam und Spyware loswerden Schadsoftware erkennen Solange auch nur ein Prozess der Schadsoftware aktiv ist, bekommen Sie sie nicht mehr vom System. Deshalb müssen Sie zuerst die Malware und alle ihre Verstecke identifizieren. Installieren Sie zu diesem Zweck das Tool Autoruns (kostenloser Download unter www.sysinternals.com). CHIP Communications GmbH Seite 17 eload 24 lösungen auf einen klick. Die Freeware erledigt im Prinzip den gleichen Die restlichen Dateien müssen Sie manu- Job wie das unter Spyware-Jägern beliebte ell verifizieren. Auch dabei hilft Autoruns. Programm HijackThis. Im Gegensatz dazu Wählen Sie einen Eintrag mit der rechten listet es jedoch sämtliche Autostart-Einträge Maustaste aus, und klicken Sie auf Search in der Registry. Denn anders als noch vor online … Daraufhin wird der Dateiname mit einigen Jahren trägt sich die Malware nicht Microsofts Suchmaschine Live.com gesucht. mehr nur unter Run oder RunOnce ein. Der In einigen Fällen lassen sich auf diese Wei- Eindringling Vundo beispielsweise nistet sich se die Dateien von bekannten Schädlingen gleich noch an drei anderen Stellen ein. identifizieren. Übrig bleibt eine Liste von suspekten Dateien und Registry-Einträgen, die Um diese zu lokalisieren, öffnen Sie Autoruns Sie löschen sollten. und setzen als Erstes je ein Häkchen bei Verify Code Signatures und Hide Microsoft Entries. Hintergrund: Jede ausführbare Datei kann vom Ersteller mit einem Namen und einer digitalen Signatur versehen werden. Bei jeder Original-Microsoft-Datei ist das zum Beispiel der Fall. Mit den genannten Einstellungen filtern Sie diese Dateien heraus und sparen sich eine Menge Recherche-Arbeit. Schädlinge abschalten Allerdings ist Vundo so aggressiv, dass es nicht ausreicht, die Registry-Einträge zu entfernen. Denn die aktiven Komponenten des Eindringlings restaurieren diese Einträge wieder. An dieser Stelle hilft jedoch ein Trick: Laden Sie den Process Explorer von www. sysinternals.com herunter, und starten Sie das Tool. Nach einem kurzen Scan zeigt es copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 18 eload 24 lösungen auf einen klick. sämtliche aktiven Prozesse an. Der Trick be- Als Nächstes löschen Sie mit Autoruns sämt- steht nun darin, die Hijacker-Dateien nicht liche Einträge, die Sie identifizieren konnten. aus dem Speicher zu löschen, sondern erst Klicken Sie dazu mit der rechten Maustaste einmal nur zu deaktivieren. Klicken Sie dazu auf den verdächtigen Eintrag, und wählen mit der rechten Maustaste auf den verdäch- Sie Delete. Jetzt ist die Gefahr fast gebannt. tigen Prozess, und wählen Sie Suspend aus. Löschen Sie im letzten Schritt noch die ge- Damit lähmen Sie den Prozess lediglich – und fährlichen Dateien, damit diese nicht aus die Prüfroutine der anderen Hijacker-Pro- Versehen aufgerufen werden. Nach einem zesse merkt davon nichts. Jetzt haben Sie es Neustart sollte Windows wieder frei von fast geschafft. Schädlingen sein. Jetzt funktionieren auch Spybot – Search & Destroy und Ad-Aware Hijacker löschen Ist der Angreifer dank des Process Explorer lahmgelegt, lässt er sich bequem entfernen. Notieren Sie sich zuerst Namen und Pfade all jener Dateien, die Sie dem Eindringling zuordnen konnten. Beenden Sie anschließend mit dem Process Explorer per Kill-Befehl alle Prozesse, die Sie zuvor mit dem SuspendBefehl deaktiviert haben. copyright © 2008 eload24 AG Spam und Spyware loswerden wieder. Überprüfen Sie mit diesen Tools noch einmal, ob Sie auch wirklich nichts übersehen haben. Zlob: Gefährliche VideoCodecs sicher entfernen Mit Versprechungen wie „Paris Hilton nackt“ und „Alle Blockbuster kostenlos“ locken Webseiten, die nur ein Ziel haben: den PC des CHIP Communications GmbH Seite 19 eload 24 lösungen auf einen klick. Users zu übernehmen. Der Trick: Wer einen so beworbenen Film abspielen möchte, muss den ebenfalls beworbenen Codec installieren – und handelt sich die Malware Zlob ein. Zu Testzwecken gehen wir auf das falsche Spiel ein und werden prompt infiziert. Ange- Täterprofil ■■ Name: Zlob ■■ Charakteristik: Versteckt sich in Rootkits ■■ Codec, Elite-Codec, PerfectCodec, griffen fühlen wir uns zunächst einmal nicht, PornMagPass, QualityCodec, VC- denn der falsche Codec bringt sogar einen of- Codec, XPassword Generator, fiziellen Uninstaller mit. Doch damit lässt sich Zlob erwartungsgemäß nicht entfernen. Schädling enttarnen ZCodec, ZipCodec ■■ Prozesse: kd*.exe ■■ Registry-Versteck: HKLM\SOFTWARE\Microsoft\Windows NT\ Einen ersten Hinweis darauf, dass etwas faul ist, geben die Netzwerk-Einstellungen. Ty- Alias: DvdCodec, UseCodec, Key- CurrentVersion\Winlogon\System ■■ Festplatten-Verstecke: pischerweise werden in einem Heimnetz die C:\Windows\System32\kd*.exe, Name-Server von dem DHCP-Server verteilt. C:\Programme\PornoPlayer\*.* Der DSL-Router kümmert sich also um die ■■ Sonstiges: Verändert die Einstel- Adressvergabe, und am Windows-Rechner ist lungen des DNS-Servers im Netz- diese Option eingestellt: DNS-Serveradresse werk automatisch beziehen. Der falsche Codec copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 20 eload 24 lösungen auf einen klick. installiert nun einen DNS-Changer-Trojaner, daran scheitern Spybot – Search & Destroy, welcher eigene Server aktiviert. Einmal ein- Ad-Aware und andere Anti-Spyware. Abhilfe gestellt, kann der Betreiber des Servers kann lediglich ein Anti-Rootkit-Tool schaf- jeden Schritt des Opfers im Netz nachvoll- fen – allerdings auch nicht jedes. So wird der ziehen und sogar umlenken. Diese Modifika- Eindringling beispielsweise von Sysinternals’ tion wird von Tools wie Spybot – Search & Rootkit Revealer nicht erkannt. BlackLight Destroy erkannt und repariert. Doch die Ur- von F-Secure dagegen schafft das: Überprü- sache des Ganzen, das Rootkit, ist weiterhin fen Sie Ihr System mit Black-Light, so findet aktiv. So bleibt nach einem Neustart alles das Tool eine EXE-Datei, die sich aus „kd“ beim Alten – also beim Schlechten. und drei weiteren, zufällig gewählten Buchstaben zusammensetzt. Rootkit sichtbar machen Um sich vor Gegenmaßnahmen zu schützen, copyright © 2008 eload24 AG Schadcode löschen greift der DNS-Changer-Trojaner zu einem Das Programm von F-Secure bietet eine besonders fiesen Trick: Jede Anfrage an das Option zum Löschen. Wählen Sie diese an, Dateisystem wird nicht direkt vom Betriebs- und starten Sie danach den PC sofort neu. system beantwortet, sondern zuerst einmal Andernfalls ist der Trojaner noch im Spei- von einem Rootkit manipuliert. Sicherheits- cher aktiv und kann sich im schlimmsten programme bekommen den Trojaner über- Fall selbst wiederherstellen. Nach dem Neu- haupt nicht zu Gesicht, weil er sich ganz ein- start sollten Sie unbedingt den Winlogon- fach selbst aus der Liste streicht. Und genau Registry-Eintrag (siehe Täterprofil auf Seite Spam und Spyware loswerden CHIP Communications GmbH Seite 21 eload 24 lösungen auf einen klick. 20) entfernen. Öffnen Sie dazu Autoruns und ■■ HijackThis | www.hijackthis.de anschließend die Registerkarte Logon. Dort Browser-Hijacker lassen sich mit diesem finden Sie den Eintrag, den Sie per Rechts- Tool identifizieren und entfernen – al- klick und Delete löschen sollten. Ansonsten lerdings nur, wenn man die Stärken und kann es passieren, dass eine gleichnamige Schwächen des Programms kennt. Datei aus dem System32-Verzeichnis beim ■■ nächsten Start mitgeladen wird. Autoruns | www.sysinternals.com Dieses Profitool kennt alle Registry-Verstecke, die sich als Autostart-Plattform Etwaige Malware-Reste lassen sich dann mit nutzen lassen. Wenn Sie eine Malware im Spybot – Search & Destroy oder Ad-Aware System vermuten, stehen die Chancen entfernen – und damit hat der Spuk dann gut, dass Sie sie mit Autoruns finden und wirklich ein Ende! am Starten hindern. ■■ Process Explorer | www.sysinternals.com Um Spyware-Prozesse zu finden und zu Software-Tipp: Diese Tools killen, reicht das Windows-Bordmittel killen jede Spyware Taskmanager nicht. Der Process Explorer löst dieses Problem. Hat sich die Malware erst einmal festgesetzt, ■■ Pocket KillBox | www.killbox.net bekommt man sie nur mit den richtigen Tools Die Methoden der Spyware werden im- wieder los. Die folgenden Programme säu- mer rabiater. Beenden Sie einen Prozess, bern Ihren PC: startet ihn ein anderer erneut. Die KillBox macht Schluss damit. copyright © 2008 eload24 AG Spam und Spyware loswerden CHIP Communications GmbH Seite 22 eload 24 lösungen auf einen klick. ■■ ■■ F-Secure BlackLight | www.f-secure.de LOCAL_MACHINE finden. Das ist der Ort, an Immer öfter versteckt sich Malware mit dem sich Spyware einträgt, um beim Sys Hilfe von Rootkit-Techniken. Dieses Tool temstart geladen zu werden. Wir haben die von F-Secure macht die Schädlinge sicht- zehn beliebtesten Registry-Verstecke für Sie bar – zumindest die meisten. zusammengetragen – sehen Sie einfach mal Gmer | www.gmer.net nach! Ein Anti-Rootkit reicht für die Analyse nicht, denn nicht jedes Tool kennt alle 39,8 Tricks. Als Ergänzung zu BlackLight eignet sich Gmer besonders gut. virusscan.jotti.org | virusscan.jotti.org Verdächtige Dateien sollten auf jeden Fall 17,3 von einem Virenscanner gecheckt wer- 2,5 2,4 2,3 2,1 Shell 2,6 WinlogonNo 4,8 Explorer 5,0 Webseite an, die gleich mit 15 verschie- Userinit 9,9 den. Jordi Bosveld bietet eine kostenlose BHO ■■ DelayLoad TaskSchedul stehen die Chancen gut, dass Sie einen RunHKCU Sie glauben, Ihr Rechner ist befallen? Dann Service Spyware-Verstecke in der Registry Run denen Virenscannern prüft. Hinweis darauf in der Registry unter HKEY_ copyright © 2008 eload24 AG Spam und Spyware loswerden Quelle: F-Secure CHIP Communications GmbH Seite 23 ratschlag24.com Das neue Ratgeber-Portal ratschlag24.com liefert Ihnen täglich die besten Ratschläge direkt auf Ihren PC. Viele bekannte Autoren, Fachredakteure und Experten schreiben täglich zu Themen, die Sie wirklich interessieren und für Sie einen echten Nutzen bieten. Zu den Themen zählen Computer, Software, Internet, Gesundheit und Medizin, Finanzen, Ernährung, Lebenshilfe, Lernen und Weiterbildung, Reisen, Verbrauchertipps und viele mehr. Alle diese Ratschläge sind für Sie garantiert kostenlos. Testen Sie jetzt ratschlag24.com – Auf diese Ratschläge möchten Sie nie wieder verzichten. ratschlag24.com ist ein kostenloser Ratgeber-Dienst der eload24 GmbH www.eload24.com eload 24 Viel guter Rat ab 3 Euro monatlich Die neuen Flatrate Modelle von eload24 Das ist ein Wort: Sie bekommen freien Zugang zu allen eBooklets und eBooks bei eload24. Sie können alles laden, lesen, ausdrucken, ganz wie es Ihnen beliebt. Eine echte Flatrate eben, ohne Wenn und Aber. Sie werden staunen: Unser Programm mit nützlichen eBooklet-Ratgebern ist groß und wird laufend erweitert. Der Preisvorteil ist enorm: 24 Monate Flatrate für nur 72,– E (3,– E monatlich) 12 Monate Flatrate für nur 48,– E (4,– E monatlich) 6 Monate Flatrate für nur 36,– E (6,– E monatlich) Selbst wenn Sie nur zwei eBooklets der preiswertesten Kategorie im Monat laden, sparen Sie im Vergleich zum Einzelkauf. Tausende Kunden haben dieses Angebot schon wahrgenommen, profitieren auch Sie dauerhaft. Wenn Sie nach Ablauf der Flatrate weitermachen wollen, dann brauchen Sie nichts zu tun: das Flatrate-Abonnement verlängert sich automatisch. Bis Sie es beenden. Kaufen Sie jetzt die Flatrate Ihrer Wahl. Und schon einige Augenblicke später stehen Ihnen hunderte toller Ratgeber uneingeschränkt zur Verfügung: Packen Sie mal richtig zu! www.eload24.com/flatrate