Idendentifizierung und Abwehr von Hackerangriffen mit Bordmitteln

Wer Verhaltensänderungen seines Computers aufmerksam verfolgt, wird schnell feststellen ob dies in den Bereich eines Hackerangriffs fällt. Mögliche Auffälligkeiten sind Virenwarnungen, die plötzlich angezeigt werden, obwohl kein Programm oder keine Datei geöffnet ist. Auch unbekannte Antiviren-Programme die einen angeblichen Viren-Befall melden sind verdächtig. Viele dieser Hackerangriffe lassen sich recht einfach mit Bordmitteln identifizieren.

Während man diese Fake-Virenwarnungen mit Tools wie dem Remove Fake Antivirus (kostenlos, z. B. bei Chip.de) recht einfach wieder los wird, sind andere unsichtbarer und somit wesentlich schlechter zu identifizieren.

Anzeichen für Hacker-Angriffe

Wenn sich Webseiten wie von Geisterhand öffnen, oder der PC eine hohe CPU-Auslastung aufweist, ohne dass Programme aktiv laufen, ist Vorsicht geboten. Über die Eingabeaufforderung lassen sich solche Angriffe identifizieren, da sie einen aktiven Prozess und eine Internetverbindung benötigen.

Öffne die Eingabeaufforderung mit Administratorrechten, gib den Befehl netstat -o ein, und bestätige ihn mit [Enter]. Suche den verdächtigen Prozess und notiere dir aus der Spalte PID dessen ID-Nummer.

Bevor der Schad-Prozess über den Task-Manager beendet wird, muss zuvor die Internetverbindung über die Windows-Firewall gekappt werden. Sonst kann es passieren, das spätestens bei einem Computerneustart die Virensignaturen erneuert werden. Dazu muss eine ausgehende Regel angelegt werden. Wie das geht, kannst du in diesem Artikel nachlesen.

Starte danach den Taskmanager und rufe das Register Prozesse, bzw. Details (versionsabhängig) auf. Ist in diesem Register die Spalte PID nicht vorhanden, dann blende sie über Ansicht | Spalten auswählen ein.

Anschließend suchst du anhand der notierten Prozess-ID den Schadprozess und beendest ihn.

Wenn die Bordmittel nicht helfen

Kannst du mit diesen Bordmitteln verdächtigen Prozessen nicht auf die Spur kommen, dann hilft dir das kostenlose Profi-Tool Process Explorer von Sysinternals.

Verdächtige Prozesse werden violett markiert und können per Rechtsklick zur Online-Analyse mit Check VirusTotal hochgeladen werden. Hier prüfen mehr als 50 Antivirenprogramme, ob dieser Prozess gefährlich ist. Melden mehrere Antivirenscanner einen Fund, dann ist der Schädling identifiziert. Ein weiterer Rechtsklick auf den betreffenden Prozess und der Befehl Suspend beendigt die Schadsoftware.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.