Herunterladen - Strato Demo Downloadshop

Transcription

Herunterladen - Strato Demo Downloadshop
eload 24
Spam und Spyware
loswerden
CHIP Communications GmbH
Rubrik
Thema
Umfang
eBooklet
Preis
Internet
Sicherheit
23 Seiten
00614
2,95 Euro
Autor
CHIP
Communications GmbH
Mit Hilfe von Fachbüchern kann man
eine Menge lernen. Das ist gut. Wenn
man genügend Zeit hat. Für die anderen Momente gibt es eload24: Digitale
Bücher ohne jeden Ballast zu exakt
definierten Themen, geschrieben von
etablierten Fachautoren, unschlagbar
preiswert und zum direkten Download.
So bekommen Sie immer exakt die Informationen, die Sie wirklich brauchen.
24 Stunden am Tag.
Klicken, Lesen, Weitermachen. So einfach geht das.
eload 24
Spam und Spyware
loswerden
CHIP Communications GmbH
eload24 AG
Sonnenhof 3
CH-8808 Pfäffikon SZ
info@eload24.com
www.eload24.com
Inhalt
Spam und Spyware ade........................................................ 3
Nie mehr Spam-Terror.......................................................... 4
Spamihilator: Das Top-Tool gegen Spam................................. 4
Prüfstationen inbegriffen: Spezialfilter einrichten..................... 5
Copyright © 2008 eload24 AG
Alle Rechte vorbehalten.
Trotz sorgfältigen Lektorats können sich
Fehler einschleichen. Autoren und Verlag
sind deshalb dankbar für Anregungen
und Hinweise. Jegliche Haftung für Folgen,
die auf unvollständige oder fehlerhafte
Angaben zurückzuführen sind, ist jedoch
aus­geschlossen.
Copyright für Text, Fotos, Illustrationen:
CHIP Communications GmbH
Autoren: Stephan Goldmann, Valentin Pletzer
Coverfoto:
© Randolph Pamphrey – iStockphoto.com
Richtig anlernen: Echte Mails von Spam trennen...................... 6
IE7pro: Internet Explorer ohne Werbung................................ 9
Adblock Plus: Firefox von Werbung befreien............................ 9
Verrät Ihre Webseite E-Mail-Adressen?................................. 10
Spyware entlarven............................................................. 12
SpySheriff: Falsche Anti-Spyware restlos entfernen................ 13
Vundo: Fiesen Hijacker löschen........................................... 16
Zlob: Gefährliche Video-Codecs sicher entfernen.................... 19
Software-Tipp: Diese Tools killen jede Spyware...................... 22
Spyware-Verstecke in der Registry....................................... 23
eload 24 lösungen auf einen klick.
Spam und Spyware ade
Aktien, Viagra, Gewinnspiele – Schwärme
ob SpySheriff, Vundo oder Zlob. Daher zeigen
von Werbemails überfallen uns. Wie Krähen
wir Ihnen, wie Sie die Hightech-Tarnung auf-
über die Saat fallen Spamroboter über Mail­
fliegen lassen und die Schädlinge loswerden.
adressen im Internet her. Auf irgendeiner
Seite pickt eine dieser Krähen Ihre Anschrift
heraus – und dann nimmt der Spamterror
kein Ende mehr. Besonders Nachrichten mit
PDF-Anhängen attackieren derzeit den geplagten User. Als wäre das noch nicht genug,
stechen dem Surfer im Web auch noch grell
blinkende Werbebanner in die Augen und
kreischen ihm Flash-Sounds in die Ohren.
Genug! In diesem eBooklet erfahren Sie, wie
Sie die Spam-Attacken stoppen.
„Sie kommen in Schafskleidern, inwendig
aber sind sie reißende Wölfe.“ Dieses Bibelwort passt exakt auf die neuen Superviren –
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 3
eload 24 lösungen auf einen klick.
Nie mehr Spam-Terror
Der Spamihilator hat einen großen Vorteil
gegenüber den Filtern von GMX und Co.: Er
Zeit für eine Radikallösung: Der ganze Wer-
lässt sich genau auf die Spammails anpas-
bemüll muss weg – dauerhaft! Fangen Sie
sen, die den Anwender am meisten quälen –
mit dem Mailprogramm an, danach nehmen
etwa der Aktienspam mit PDF-Dateien oder
Sie sich die Browser vor, Firefox und Internet
Botschaften auf Russisch oder Chinesisch.
Explorer. Wir zeigen Ihnen die unkomplizierte
Lösung – die aber noch viel Potenzial für
Feinjustage bietet.
Spamihilator: Das Top-Tool gegen Spam
Welchen Mailclient Sie auch verwenden, bei
allen hilft eine bequeme und zuverlässige
Lösung gegen Spam: die Freeware Spamihilator (www.spamihilator.com). Sie hängt sich
zwischen Postfach und Mailprogramm und
sortiert gleich bei der Übertragung lästige
Werbebotschaften aus. Einfach installieren
und dem Assistenten folgen – schon sind Sie
eine gehörige Portion Spam los.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
Nervend: Spam-Nachrichten, in PDF-Dokumente verpackt, preisen den Kauf bestimmter Aktien an.
CHIP Communications GmbH
Seite 4
eload 24 lösungen auf einen klick.
Der kleine Wermutstropfen: Bisher stürzt
Mails durch eine Kette von Prüfstationen
der Spamihilator beim Abrufen von IMAP-
Der effektivste Filter wird gleich mitinstal-
Postfächern ab. IMAP steht für „Internet Mes-
liert: DCC – die Abkürzung für „Distributed
sage Access Protocol“ und bedeutet, dass alle
Checksum Clearinghouse“. Er funktioniert so:
Mails auf dem Mailserver bleiben und dort
Jeder PC mit diesem Filter schickt eine Prüf-
verwaltet werden. GMX und andere Freemail-
summe über die eben erhaltene Mail an einen
Dienste bieten solche Postfächer für wenige
der DCC-Server. Der Server zählt die Häu-
Euro im Monat an.
figkeit einer Checksumme. Überschreitet ein
Zähler die kritische Masse, stuft DCC diese
Spamihilator-Autor Michael Krämer arbeitet
Mail als Spam ein. Die Checksumme berück-
daran, die Fehler zu beheben. Alternativen
sichtigt sogar Variationen, wie sie in Spam-
gibt es allerdings sowieso kaum: Denn die
mails vorkommen. Einziger Nachteil: Das
meisten Freeware-Lösungen aus dem Bereich
Abfragen der Daten kostet Zeit – beim Mail-
Spamschutz haben die E-Mail-Abfrage per
Aufkommen im Test fiel das jedoch kaum ins
IMAP gar nicht erst auf der Agenda.
Gewicht.
Prüfstationen inbegriffen:
Falls der DCC-Filter versagt, springen an-
Spezialfilter einrichten
dere ein, etwa ein Wortfilter, der klassische
Spambegriffe aussiebt, ein Bayes-Filter, der
copyright © 2008 eload24 AG
Was den Spamihilator so gut macht: Er setzt
die Ansammlung bestimmter Begriffe („Sex“,
nicht nur auf einen Filter, sondern jagt die
„Viagra“ usw.) untersucht und sich sogar trai-
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 5
eload 24 lösungen auf einen klick.
nieren lässt, ein Attachment-Plugin, das nicht
■■
nur unerwünschte, sondern sogar gefährliche Nachrichten aufhält – und weitere Filter
RFC Validator: Erkennt Mails, die nicht
dem Standardformat entsprechen.
■■
mehr.
Scripts: Filtert alles, was gefährliche
Programmzeilen im HTML-Code aufweist.
■■
Server Tester: Enttarnt gefälschte Ab-
Und wie bekommen Sie die Spams mit PDF-
senderadressen, wie sie gern von Spam-
Anhängen oder in kyrillischer Schrift weg?
mern genutzt werden.
Ganz einfach: mit weiteren Spamfiltern, die
Sie unter der Adresse www.spamihilator.com/
Die Plugins installieren Sie per Doppelklick
plugins finden, etwa diese:
auf die heruntergeladene Datei. Und voilà,
die Vogelscheuchen-Armee gegen Spam-Krä-
■■
Alphabet Soup: Verscheucht mit sinn-
hen steht Gewehr bei Fuß!
losen Zeichenketten versehene Mails.
■■
Empty Mail: Sortiert Nachrichten aus,
Richtig anlernen: Echte Mails
die keinen oder nur wenig Text enthal-
von Spam trennen
ten – derzeit noch ein typisches Kennzei■■
copyright © 2008 eload24 AG
chen für PDF-Spams.
Wo gehobelt wird, fallen Späne. Auch der
Mystic Signs: Schmeißt Mails in kyril-
Spamihilator schmeißt zunächst Mails in den
lischer Schrift raus – und wehrt Versuche
Papierkorb, die dort nicht hineingehören.
ab, andere Filter mit Sonderzeichen zu
Newsletters etwa sind immer in Gefahr, aus-
verwirren.
sortiert zu werden – dies ist aber nicht im
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 6
eload 24 lösungen auf einen klick.
Sinne des Anwenders. Die Lösung: Schalten
Newsletter kommt, sollen sich die anderen
Sie den Newsletter-Filter vor alle anderen.
Filter erst gar nicht mit ihm aufhalten. Also
Denn er lässt anhand einer Whitelist die er-
gehen Sie wieder in die Einstellungen und
wünschten Infomails passieren. Dafür muss
klicken unter Filtereigenschaften auf Reihen-
man ihm jedoch erst sagen, welche das sind.
folge. An dieser Stelle markieren Sie einen
Filter und schieben ihn mit den Pfeiltasten
Dazu öffnen Sie die Einstellungen, indem Sie
mit der rechten Maustaste auf das Spamihilator-Icon rechts unten klicken und Einstellungen wählen. Dort suchen Sie Newsletter |
copyright © 2008 eload24 AG
links nach oben oder unten – je weiter oben
er steht, desto eher greift er.
Eine mögliche Reihenfolge ist etwa:
Signaturen und klicken auf den Button Neu.
1. Newsletter-Plugin
Geben Sie nun einen typischen Begriff aus
2. Scripts-Filter
dem Betreff des Newsletters ein, beispiels-
3. Mystic-Signs-Filter
weise „ShortNews“. Die meisten Rundmails
4. DCC-Filter
gehen an eine bestimmte sichtbare Adresse –
5. Server Tester
alle anderen Empfänger sind ausgeblendet.
6. RFC Validator
Diese Adresse geben Sie noch im Bereich
7. Empty-Mail-Filter
Newsgroups ein, und ab sofort ist der News-
8. Alphabet Soup
letter gerettet. Die Kunst besteht jetzt darin,
9. Attachment-Filter
die Mailfilter in der richtigen Reihenfolge zu
10. Spam-Wort-Filter
schalten. Denn wenn etwa ein erwünschter
11. Lernender Filter
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 7
eload 24 lösungen auf einen klick.
Nun sollten Sie festlegen, was passieren
den Papierkorb durchforsten. Sie finden ihn
soll, wenn eine Mail als Spam oder Non-
über einen Doppelklick auf das Spamihilator-
Spam identifiziert wird: Unter Wenn der Fil-
Icon. Fälschlich aussortierte Mails holen Sie
ter eine Spam-Mail findet … wählen Sie beim
sich mit Wiederherstellen zurück.
Newsletter-Plugin die Option fahre mit dem
nächsten Filter fort. Bei Wenn der Filter eine
Non-Spam-Mail findet … klicken Sie beende
den Filterprozess. Alle anderen Plugins stellen
Sie im Falle einer Spammail auf Filterprozess
beenden und bei Non-Spams auf Fortfahren.
Freunden können Sie einen Passierschein
ausstellen: In den Spamihilator-Einstellungen
klicken Sie auf Absender und Freunde und
hinterlegen alle Adressen, die der Spamihilator nicht zu überprüfen braucht. Bei manchen
Mailclients funktioniert das per Drag & Drop
aus dem Adressbuch.
In den ersten Tagen des Einsatzes von Spa-
Erkennungsdienst: Im Trainingsbereich von Spamihilator
erklären Sie dem Programm, welche Mails gut und welche
böse sind. Das beugt späteren Fehlentscheidungen vor.
mihilator sollten Sie gelegentlich noch mal
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 8
eload 24 lösungen auf einen klick.
Es lohnt sich, den Spamihilator zu trainieren:
Preferences in die Einstellungen. Unter Wer-
Nach dem Abholen der Mails geht man dazu
befilter aktivieren Sie den Flash-Blocker, den
in den Trainingsbereich – wieder über das
Werbefilter und die Standardregeln, starten
Icon, die rechte Maustaste und den gleichna-
den Internet Explorer neu – und genießen
migen Menüpunkt. Korrigieren Sie das Ver-
das Web werbefrei.
halten des Tools, indem Sie falsche Treffer
oder nicht erkannten Spam markieren. Nach
Adblock Plus: Firefox von
einigen Malen merkt sich der Spamihilator
Werbung befreien
die Korrektur, und nur noch selten verirrt
sich Spam in Ihr Postfach – endlich Ruhe! Na
Die Stärke des Firefox-Browsers liegt in der
ja, bis auf das, was einen beim Surfen sonst
großen Entwicklergemeinde, die hinter ihm
noch nervt.
steht. Kein Wunder also, dass es die ausgereiftere Freeware-Lösung für diesen Browser
IE7pro: Internet Explorer ohne Werbung
gibt: Adblock Plus (adblockplus.org/de/).
Dieser Werbefilter lässt nichts mehr durch.
Extrem hohen Nervfaktor hat etwa Online-
copyright © 2008 eload24 AG
werbung. Zum Glück gibt es schnelle Hilfe für
Holen Sie sich die jüngste Version, und in-
die wichtigsten Webbrowser. Beim aktuellen
stallieren Sie sie. Dabei erlauben Sie Firefox,
Internet Explorer etwa ist das die Erweite-
falls der Dialog kommt, dass er grundsätzlich
rung IE7pro von ie7pro.softonic.de. Nach der
von dieser Seite Add-ons installieren darf.
Installation gehen Sie über Extras | IE7Pro
Später brauchen Sie nämlich noch Filter­
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 9
eload 24 lösungen auf einen klick.
regeln. Denn nach einem Neustart steht Adblock Plus zwar zur Verfügung, blockt aber
noch keine Werbung. Dazu gehen Sie auf die
Webseite adblockplus.org/de/subscriptions
und klicken bei den folgenden Filterlisten auf
Abonnieren:
■■
Cédrics Liste
■■
ABP Tracking Filter
■■
Filter von Dr. Evil
stop
Die beiden Optionen Automatisch
aktualisieren und Filter aktivieren
müssen aktiviert sein. Und das
war es dann auch schon – Werbung, ade!
Verrät Ihre Webseite E-Mail-Adressen?
Webseiten-Betreiber können sich dem SelbstWeg mit der Onlinewerbung: Adblock Plus für
den Firefox-Browser entfernt Bannerwerbung
von Webseiten, die Bilder bleiben erhalten.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
test unterziehen: Wie viele E-Mail-Adressen
verrät meine Webpräsenz den Spam-Krähen?
CHIP Communications GmbH
Seite 10
eload 24 lösungen auf einen klick.
Dazu setzen Sie den 1st Email Address Spider von www.123hiddensender.com ein. Um
die Adressen exportieren zu können, brauchen Sie die Vollversion für 130 Dollar. Für
den Selbstcheck ist jedoch die Testversion
völlig ausreichend. Und so gehen Sie am bes­
ten vor:
Mail-Postfächer finden
Nach dem Start des Programms schließen Sie
Adressen verschlüsseln
Die Auswertung nehmen Sie als Grundlage,
um die Adressen auf Ihrer Webseite zu entfernen – die Spalte URL verrät den Deeplink,
unter dem der Spider fündig wurde. Soll die
Adresse sichtbar, aber nicht sammelbar sein,
verschlüsseln Sie sie für die Suchspider. Die
richtigen Verschlüsselungsmethoden erfahren
Sie auf der Website www.antispam.de/wiki/
Harvester.
den Registrierdialog mit Close. Im Hauptfen-
copyright © 2008 eload24 AG
ster klicken Sie auf Start from a specific URL
Eine der besten Methoden ist übrigens diese:
und geben als Start-URL den Domainnamen
Schreiben Sie die Mailadresse in eine Bild-
Ihrer Webseite an. Aktivieren Sie dann die
datei – zum Beispiel mit Paint. Dieses Bild
Option Only search the pages of current do-
schneiden Sie längs in zwei Teile, speichern
main – sonst geht der Spider auch auf ver-
sie einzeln und setzen sie erst auf der Web-
linkte Seiten. Klicken Sie auf Start, und ver-
seite wieder zusammen – beispielsweise in
folgen Sie den Fortschritt.
einem Div-Tag.
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 11
eload 24 lösungen auf einen klick.
Spyware entlarven
Sie schützen Ihr System und aktualisieren
es regelmäßig? Gut so. Sie glauben, dadurch
sind Sie immun gegen Spyware und Trojaner? Gefährlicher Irrtum! Wer etwa auf einen
Freeware-Virenscanner setzt, wiegt sich in
falscher Sicherheit. Diese Programme sind
ausgerechnet gegen die übelste Schädlingskategorie machtlos: Spyware. Aber auch
viele Kaufprogramme und Spezialtools wie
Spybot – Search & Destroy und Ad-Aware
versagen im Kampf gegen moderne SchädAdressen-Sammler: Der 1st Email Address Spider liest die Mailadressen aus Webseiten aus.
linge.
Wie also lässt sich Spyware aufspüren – und
vor allem: Wie wird man sie wieder los? Wir
haben es ausprobiert und im Selbstversuch
die drei am weitesten verbreiteten Schädlinge auf unserem Test-PC installiert.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 12
eload 24 lösungen auf einen klick.
Das erschreckende Ergebnis: Mit bekannten
Standardtools lassen sie sich meistens nicht
entfernen. Geschafft haben wir es schließlich
doch – mit diesen Tricks und Tools.
SpySheriff: Falsche AntiSpyware restlos entfernen
Eine ganz perfide Spyware kommt daher wie
der Wolf im Schafspelz: Getarnt als SpywareKiller (Rogue Anti-Spyware) verleitet SpySheriff seine Opfer dazu, die Schadsoftware
freiwillig zu installieren. Wer darauf eingeht,
bekommt den Eindringling nicht mehr los.
Den dreisten Teil hebt sich das Programm bis
zum Schluss auf: Bei einem vorgetäuschten
Check findet der SpySheriff jede Menge
Schädlinge – die gar nicht existieren. Wer die
Phantom-Malware loswerden will, soll zahlen – mit Kreditkarte.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 13
eload 24 lösungen auf einen klick.
Gefährliche Täuschung
Hinter der scheinbar harmlosen Website
verbirgt sich eines der nervigsten Schadprogramme – der SpySheriff.
Ein professionelles Logo und eine schicke Packung
lassen die Malware ganz seriös erscheinen.
Hinter dem Button Free Scan verbirgt sich kein kos­
tenloser Virencheck, sondern die EXE der SpySheriff-Spyware, die Ihren Rechner infiziert.
Die Produkt-Beschreibung liest sich wie die
eines echten Spyware-Killers. Wer das Programm nicht kennt, fällt leicht darauf rein.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 14
eload 24 lösungen auf einen klick.
Täterprofil
Rogue Anti-Spyware aufspüren
Den SpySheriff erkennen Sie daran, dass er
■■
Name: SpySheriff
Sie mit Warnhinweisen bombardiert und Sie
■■
Charakteristik: Tarnt sich als Viren-
ständig daran erinnert, jetzt die Vollversion
scanner
zu kaufen. Doch das ist oft nur die Spitze des
Alias: Adware Sheriff, SpyAxe,
Eisbergs. Der Spion zeigt sich variabel: Mal
SpywareQuake
wird nur die falsche Anti-Spyware-Kompo-
Aktive Prozesse: 1950.exe,
nente installiert, mal zusätzlich ein Trojaner.
new­dial.exe, spysheriff.exe,
Nur eins ist sicher: Gegen echte Spyware
uninstall.exe, winstall.exe
unternimmt das Tool nichts!
■■
■■
■■
Registry-Verstecke: HKLM\SOFTWARE\spysheriff, HKLM\SOFTWARE\
Microsoft\Windows\, CurrentVersion\
uninstall\spysheriff
■■
Datei-Decknamen: %ProgramFiles%\spysheriff, 1950.exe, Desktop.html, newdial.exe, spysheriff.
exe, uninstall.exe, winstall.exe,
%UserProfile%\Desktop\SpySheriff.
lnk
copyright © 2008 eload24 AG
Spam und Spyware loswerden
SpySheriff entfernen
Überraschenderweise gibt es für den Spy­
Sheriff eine Deinstallations-Routine – in der
Systemsteuerung unter Programme hinzufügen und entfernen. Nutzen Sie die Gelegenheit, und schicken Sie den SpySheriff in die
Wüste – aber verlassen Sie sich nicht darauf.
Wo sich die Malware immer einnistet, steht
im Steckbrief links. Diese Einträge und Da-
CHIP Communications GmbH
Seite 15
eload 24 lösungen auf einen klick.
teien können Sie mit dem Windows Explorer
Vundo: Fiesen Hijacker löschen
und dem Registry Editor entfernen.
Der Schädling, den wir uns als Nächstes vorAuf Nummer sicher gehen
In unseren Tests ließen sich verschiedene
Rogue-Anti-Spyware-Programme mit dem
mitgelieferten Uninstaller entfernen. Doch
in einschlägigen Foren wie dem TrojanerBoard (www.trojaner-board.de) berichten
Hilfe­suchende immer wieder, dass sich noch
mehr auf ihren Systemen eingenistet hat.
Bei den dubiosen Geschäftspraktiken von
SpySheriff und Co. lässt sich nicht ausschließen, dass Rogue Anti-Spyware noch andere
Schädlinge eingeschleppt hat. Aus diesem
Grund sollten Sie sicherheitshalber folgende
Tipps für die beiden anderen Schädlinge
befolgen und Ihr System mit den Tools HijackThis, Autoruns und Blacklight unter die
Lupe nehmen.
knöpfen, ist mit Abstand der aggressivste.
Mit dem Ziel, unseren Testrechner zu verseuchen, suchen wir auf Google nach einer
gehackten Seriennummer. Denn in solchen
verlockenden, aber illegalen Angeboten verstecken sich besonders häufig Hijacker und
Downloader. Zwar warnt uns Google vor der
möglicherweise schädlichen Webseite, doch
wir ignorieren das und öffnen sie.
Dann geht alles ganz schnell: Die Seite baut
sich auf, die Schadroutine wird aktiv, der PC
ist verseucht. Vundo heißt der Schädling –
ein Downloader. Doch das erfahren wir erst
später, nachdem wir eine verdächtige Datei
von 18 Virenscannern prüfen ließen. Nur eine
Handvoll davon erkennt den Downloader. Und
wie der Gattungsname schon sagt, beginnt
der Eindringling sofort damit, andere Schad-
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 16
eload 24 lösungen auf einen klick.
software nachzuladen – in unserem Fall ein
Um den Schädling zu vernichten, installieren
Plugin für den Internet Explorer, das uns mit
wir die Freeware Ad-Aware 2007. Die erkennt
Werbe-Pop-ups aller Art bombardiert.
Vundo zwar – kann den Downloader aber
nicht vollständig löschen. Nach jedem Neustart ist er wieder da. Noch weniger Erfolg
Täterprofil
haben wir mit Spybot – Search & Destroy:
Wir starten das Setup, können es aber nicht
■■
Name: Vundo
abschließen. Vundo killt immer wieder den
■■
Charakteristik: Greift Virenscanner
Prozess und verhindert so eine Installation
an
des Spyware-Killers. Schwereres Geschütz ist
Typ: Hijacker, Downloader und Tro-
also notwendig, um der Plage Herr zu wer-
janer
den.
■■
■■
Prozesse: Zwei jedes Mal zufällig
erzeugte DLLs
■■
Registry-Verstecke: HCR\clsid\
{EFCB1D95-FFF6-47BB-B6C961A523F04322}, HKLM\SOFTWARE\
Microsoft\Windows NT\CurrentVer­
sion\Winlogon\Notify
■■
Festplatten-Versteck:
C:\Windows\System32\
copyright © 2008 eload24 AG
Spam und Spyware loswerden
Schadsoftware erkennen
Solange auch nur ein Prozess der Schadsoftware aktiv ist, bekommen Sie sie nicht mehr
vom System. Deshalb müssen Sie zuerst die
Malware und alle ihre Verstecke identifizieren. Installieren Sie zu diesem Zweck das
Tool Autoruns (kostenloser Download unter
www.sysinternals.com).
CHIP Communications GmbH
Seite 17
eload 24 lösungen auf einen klick.
Die Freeware erledigt im Prinzip den gleichen
Die restlichen Dateien müssen Sie manu-
Job wie das unter Spyware-Jägern beliebte
ell verifizieren. Auch dabei hilft Autoruns.
Programm HijackThis. Im Gegensatz dazu
Wählen Sie einen Eintrag mit der rechten
listet es jedoch sämtliche Autostart-Einträge
Maustas­te aus, und klicken Sie auf Search
in der Registry. Denn anders als noch vor
online … Daraufhin wird der Dateiname mit
einigen Jahren trägt sich die Malware nicht
Microsofts Suchmaschine Live.com gesucht.
mehr nur unter Run oder RunOnce ein. Der
In einigen Fällen lassen sich auf diese Wei-
Eindringling Vundo beispielsweise nistet sich
se die Dateien von bekannten Schädlingen
gleich noch an drei anderen Stellen ein.
identifizieren. Übrig bleibt eine Liste von suspekten Dateien und Registry-Einträgen, die
Um diese zu lokalisieren, öffnen Sie Autoruns
Sie löschen sollten.
und setzen als Erstes je ein Häkchen bei
Verify Code Signatures und Hide Microsoft
Entries. Hintergrund: Jede ausführbare Datei kann vom Ersteller mit einem Namen und
einer digitalen Signatur versehen werden.
Bei jeder Original-Microsoft-Datei ist das zum
Beispiel der Fall. Mit den genannten Einstellungen filtern Sie diese Dateien heraus und
sparen sich eine Menge Recherche-Arbeit.
Schädlinge abschalten
Allerdings ist Vundo so aggressiv, dass es
nicht ausreicht, die Registry-Einträge zu entfernen. Denn die aktiven Komponenten des
Eindringlings restaurieren diese Einträge
wieder. An dieser Stelle hilft jedoch ein Trick:
Laden Sie den Process Explorer von www.
sysinternals.com herunter, und starten Sie
das Tool. Nach einem kurzen Scan zeigt es
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 18
eload 24 lösungen auf einen klick.
sämtliche aktiven Prozesse an. Der Trick be-
Als Nächstes löschen Sie mit Autoruns sämt-
steht nun darin, die Hijacker-Dateien nicht
liche Einträge, die Sie identifizieren konnten.
aus dem Speicher zu löschen, sondern erst
Klicken Sie dazu mit der rechten Maustaste
einmal nur zu deaktivieren. Klicken Sie dazu
auf den verdächtigen Eintrag, und wählen
mit der rechten Maustaste auf den verdäch-
Sie Delete. Jetzt ist die Gefahr fast gebannt.
tigen Prozess, und wählen Sie Suspend aus.
Löschen Sie im letzten Schritt noch die ge-
Damit lähmen Sie den Prozess lediglich – und
fährlichen Dateien, damit diese nicht aus
die Prüfroutine der anderen Hijacker-Pro-
Versehen aufgerufen werden. Nach einem
zesse merkt davon nichts. Jetzt haben Sie es
Neustart sollte Windows wieder frei von
fast geschafft.
Schädlingen sein. Jetzt funktionieren auch
Spybot – Search & Destroy und Ad-Aware
Hijacker löschen
Ist der Angreifer dank des Process Explorer
lahmgelegt, lässt er sich bequem entfernen.
Notieren Sie sich zuerst Namen und Pfade all
jener Dateien, die Sie dem Eindringling zuordnen konnten. Beenden Sie anschließend
mit dem Process Explorer per Kill-Befehl alle
Prozesse, die Sie zuvor mit dem SuspendBefehl deaktiviert haben.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
wieder. Überprüfen Sie mit diesen Tools noch
einmal, ob Sie auch wirklich nichts übersehen
haben.
Zlob: Gefährliche VideoCodecs sicher entfernen
Mit Versprechungen wie „Paris Hilton nackt“
und „Alle Blockbuster kostenlos“ locken Webseiten, die nur ein Ziel haben: den PC des
CHIP Communications GmbH
Seite 19
eload 24 lösungen auf einen klick.
Users zu übernehmen. Der Trick: Wer einen
so beworbenen Film abspielen möchte, muss
den ebenfalls beworbenen Codec installieren – und handelt sich die Malware Zlob ein.
Zu Testzwecken gehen wir auf das falsche
Spiel ein und werden prompt infiziert. Ange-
Täterprofil
■■
Name: Zlob
■■
Charakteristik: Versteckt sich in
Rootkits
■■
Codec, Elite-Codec, PerfectCodec,
griffen fühlen wir uns zunächst einmal nicht,
PornMagPass, QualityCodec, VC-
denn der falsche Codec bringt sogar einen of-
Codec, XPassword Generator,
fiziellen Uninstaller mit. Doch damit lässt sich
Zlob erwartungsgemäß nicht entfernen.
Schädling enttarnen
ZCodec, ZipCodec
■■
Prozesse: kd*.exe
■■
Registry-Versteck: HKLM\SOFTWARE\Microsoft\Windows NT\
Einen ersten Hinweis darauf, dass etwas faul
ist, geben die Netzwerk-Einstellungen. Ty-
Alias: DvdCodec, UseCodec, Key-
CurrentVersion\Winlogon\System
■■
Festplatten-Verstecke:
pischerweise werden in einem Heimnetz die
C:\Windows\System32\kd*.exe,
Name-Server von dem DHCP-Server verteilt.
C:\Programme\PornoPlayer\*.*
Der DSL-Router kümmert sich also um die
■■
Sonstiges: Verändert die Einstel-
Adressvergabe, und am Windows-Rechner ist
lungen des DNS-Servers im Netz-
diese Option eingestellt: DNS-Serveradresse
werk
automatisch beziehen. Der falsche Codec
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 20
eload 24 lösungen auf einen klick.
installiert nun einen DNS-Changer-Trojaner,
daran scheitern Spybot – Search & Destroy,
welcher eigene Server aktiviert. Einmal ein-
Ad-Aware und andere Anti-Spyware. Abhilfe
gestellt, kann der Betreiber des Servers
kann lediglich ein Anti-Rootkit-Tool schaf-
jeden Schritt des Opfers im Netz nachvoll-
fen – allerdings auch nicht jedes. So wird der
ziehen und sogar umlenken. Diese Modifika-
Eindringling beispielsweise von Sysinternals’
tion wird von Tools wie Spybot – Search &
Rootkit Revealer nicht erkannt. BlackLight
Destroy erkannt und repariert. Doch die Ur-
von F-Secure dagegen schafft das: Überprü-
sache des Ganzen, das Rootkit, ist weiterhin
fen Sie Ihr System mit Black-Light, so findet
aktiv. So bleibt nach einem Neustart alles
das Tool eine EXE-Datei, die sich aus „kd“
beim Alten – also beim Schlechten.
und drei weiteren, zufällig gewählten Buchstaben zusammensetzt.
Rootkit sichtbar machen
Um sich vor Gegenmaßnahmen zu schützen,
copyright © 2008 eload24 AG
Schadcode löschen
greift der DNS-Changer-Trojaner zu einem
Das Programm von F-Secure bietet eine
besonders fiesen Trick: Jede Anfrage an das
Option zum Löschen. Wählen Sie diese an,
Dateisystem wird nicht direkt vom Betriebs-
und starten Sie danach den PC sofort neu.
system beantwortet, sondern zuerst einmal
Andernfalls ist der Trojaner noch im Spei-
von einem Rootkit manipuliert. Sicherheits-
cher aktiv und kann sich im schlimmsten
programme bekommen den Trojaner über-
Fall selbst wiederherstellen. Nach dem Neu-
haupt nicht zu Gesicht, weil er sich ganz ein-
start sollten Sie unbedingt den Winlogon-
fach selbst aus der Liste streicht. Und genau
Registry-Eintrag (siehe Täterprofil auf Seite
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 21
eload 24 lösungen auf einen klick.
20) entfernen. Öffnen Sie dazu Autoruns und
■■
HijackThis | www.hijackthis.de
anschließend die Registerkarte Logon. Dort
Browser-Hijacker lassen sich mit diesem
finden Sie den Eintrag, den Sie per Rechts-
Tool identifizieren und entfernen – al-
klick und Delete löschen sollten. Ansonsten
lerdings nur, wenn man die Stärken und
kann es passieren, dass eine gleichnamige
Schwächen des Programms kennt.
Datei aus dem System32-Verzeichnis beim
■■
nächsten Start mitgeladen wird.
Autoruns | www.sysinternals.com
Dieses Profitool kennt alle Registry-Verstecke, die sich als Autostart-Plattform
Etwaige Malware-Reste lassen sich dann mit
nutzen lassen. Wenn Sie eine Malware im
Spybot – Search & Destroy oder Ad-Aware
System vermuten, stehen die Chancen
entfernen – und damit hat der Spuk dann
gut, dass Sie sie mit Autoruns finden und
wirklich ein Ende!
am Starten hindern.
■■
Process Explorer | www.sysinternals.com
Um Spyware-Prozesse zu finden und zu
Software-Tipp: Diese Tools
killen, reicht das Windows-Bordmittel
killen jede Spyware
Taskmanager nicht. Der Process Explorer
löst dieses Problem.
Hat sich die Malware erst einmal festgesetzt,
■■
Pocket KillBox | www.killbox.net
bekommt man sie nur mit den richtigen Tools
Die Methoden der Spyware werden im-
wieder los. Die folgenden Programme säu-
mer rabiater. Beenden Sie einen Prozess,
bern Ihren PC:
startet ihn ein anderer erneut. Die KillBox macht Schluss damit.
copyright © 2008 eload24 AG
Spam und Spyware loswerden
CHIP Communications GmbH
Seite 22
eload 24 lösungen auf einen klick.
■■
■■
F-Secure BlackLight | www.f-secure.de
LOCAL_MACHINE finden. Das ist der Ort, an
Immer öfter versteckt sich Malware mit
dem sich Spyware einträgt, um beim Sys­
Hilfe von Rootkit-Techniken. Dieses Tool
temstart geladen zu werden. Wir haben die
von F-Secure macht die Schädlinge sicht-
zehn beliebtesten Registry-Verstecke für Sie
bar – zumindest die meisten.
zusammengetragen – sehen Sie einfach mal
Gmer | www.gmer.net
nach!
Ein Anti-Rootkit reicht für die Analyse
nicht, denn nicht jedes Tool kennt alle
39,8
Tricks. Als Ergänzung zu BlackLight eignet sich Gmer besonders gut.
virusscan.jotti.org | virusscan.jotti.org
Verdächtige Dateien sollten auf jeden Fall
17,3
von einem Virenscanner gecheckt wer-
2,5
2,4
2,3
2,1
Shell
2,6
WinlogonNo
4,8
Explorer
5,0
Webseite an, die gleich mit 15 verschie-
Userinit
9,9
den. Jordi Bosveld bietet eine kostenlose
BHO
■■
DelayLoad
TaskSchedul
stehen die Chancen gut, dass Sie einen
RunHKCU
Sie glauben, Ihr Rechner ist befallen? Dann
Service
Spyware-Verstecke in der Registry
Run
denen Virenscannern prüft.
Hinweis darauf in der Registry unter HKEY_­
copyright © 2008 eload24 AG
Spam und Spyware loswerden
Quelle: F-Secure
CHIP Communications GmbH
Seite 23
ratschlag24.com
Das neue Ratgeber-Portal ratschlag24.com liefert Ihnen täglich die besten Ratschläge
direkt auf Ihren PC.
Viele bekannte Autoren, Fachredakteure und Experten schreiben täglich zu
Themen, die Sie wirklich interessieren und für Sie einen echten Nutzen bieten.
Zu den Themen zählen Computer, Software, Internet, Gesundheit und
Medizin, Finanzen, Ernährung, Lebenshilfe, Lernen und Weiterbildung,
Reisen, Verbrauchertipps und viele mehr. Alle diese Ratschläge sind für
Sie garantiert kostenlos. Testen Sie jetzt ratschlag24.com – Auf diese
Ratschläge möchten Sie nie wieder verzichten.
ratschlag24.com ist ein kostenloser Ratgeber-Dienst der eload24 GmbH
www.eload24.com
eload 24
Viel guter Rat ab 3 Euro monatlich
Die neuen Flatrate Modelle von eload24
Das ist ein Wort: Sie bekommen freien Zugang zu allen eBooklets und eBooks
bei eload24. Sie können alles laden, lesen, ausdrucken, ganz wie es Ihnen
beliebt. Eine echte Flatrate eben, ohne Wenn und Aber. Sie werden staunen:
Unser Programm mit nützlichen eBooklet-Ratgebern ist groß und wird laufend
erweitert.
Der Preisvorteil ist enorm:
24 Monate Flatrate für nur 72,– E (3,– E monatlich)
12 Monate Flatrate für nur 48,– E (4,– E monatlich)
6 Monate Flatrate für nur 36,– E (6,– E monatlich)
Selbst wenn Sie nur zwei eBooklets der preiswertesten Kategorie im
Monat laden, sparen Sie im Vergleich zum Einzelkauf.
Tausende Kunden haben dieses Angebot schon wahrgenommen,
profitieren auch Sie dauerhaft. Wenn Sie nach Ablauf der Flatrate
weitermachen wollen, dann brauchen Sie nichts zu tun: das
Flatrate-Abonnement verlängert sich automatisch. Bis Sie es
beenden.
Kaufen Sie jetzt die Flatrate Ihrer Wahl. Und schon einige
Augenblicke später stehen Ihnen hunderte toller Ratgeber
uneingeschränkt zur Verfügung: Packen Sie mal richtig zu!
www.eload24.com/flatrate