Schlagwort: identifizieren

  • Im Windows-Autostart Viren und Trojaner aufstöbern

    Im Autostart-Bereich des Windows Betriebssystems befinden sich System-Prozesse und Einträge von installierten Programmen, die beim Hochfahren automatisch starten sollen und/oder müssen. Leider trägt sich dort, meist unbemerkt, auch Schadsoftware ein, die nicht immer sofort erkannt wird. Um diese zu identifizieren und zu entfernen, ist ein Scan des Windows-Autostart erforderlich, dass vom Tool HijackThis mit ein paar Mausklicks zuverlässig durchgeführt wird.

    Das kostenlose Tool HijackThis ist im Web kostenlos erhältlich (z. B. bei Softonic oder Sourceforge) und nach dem Download problemlos auch von USB-Sticks ausführbar. Eine Installation ist nicht erforderlich.

    Nachdem HijackThis heruntergeladen wurde, startest du es mit einem Doppelklick auf die Startdatei. Im Programmfenster klickst du auf die Schaltfläche Do a system scan and save a logfile um den Scanvorgang zu starten.

    Nach Abschluss der Analyse öffnet sich das Logfile in einem Texteditor. Markiere den Inhalt dieser Datei und kopiere ihn in den Zwischenspeicher.

    Rufe in deinem Webbrowser die Seite www.hijackthis.de auf und füge den Inhalt dieser Logdatei mit [Strg][V] in das Feld Automatische Logfileauswertung ein. Der Button Auswerten zeigt anschließend an, welche Einträge repariert, beziehungsweise gelöscht werden sollten.

    Notiere dir die fehlerhaften oder schädlichen Elemente und setze im Tool HijackThis das Häkchen vor die gleichnamigen Einträge.  Abschließend klickst du auf Fix checked und führst dann einen Computer-Neustart durch, damit die Änderungen aktiviert werden können.

    HijackThis erkennt nicht nur Viren und Trojaner. Er entfernt auch lästige Adware, Spyware und nicht mehr benötigte Tools, die den PC ausbremsen.

  • DNS-Angriffe in fremden Netzwerken aufspüren

    Das Domain Name System (DNS) ist überall vorhanden und ein gern genutztes Tor um Angriffe auf Netzwerke durchzuführen. DNS ist einer der Dienste die fast jede Firewall problemlos passieren dürfen und kaum kontrolliert werden. Insbesondere öffentliche WLAN-Hotspots werden gerne attackiert, um an Nutzerdaten zu kommen. Bevor man sich mit dem eigenen Notebook auf zugangsgesicherte Webseiten einloggt, ist es ratsam das betreffende Netzwerk auf DNS-Angriffe zu überprüfen. Mit dem richtigen Tool ist das kein Problem.

    Die Gratis-Version des Tools XArp reicht schon aus, um ein Netzwerk auf DNS-Angriffe zu überprüfen. Lade XArp von der Webseite des Anbieters, www.xarp.net herunter und installiere es auf deinem Rechner.

    Zum Identifizieren von DNS-Angriffen trittst du einfach einem Netzwerk (z. B. einem WiFi-Spot) bei und startest das Programm XArp. Der Scan dauert ein paar Sekunden. Wenn nach dem Test nur Einträge mit grünen Häkchen angezeigt werden, dann ist kein Angriff im Gange. Bei einem oder mehreren roten Kreuzen ist Vorsicht geboten und das betreffende Netzwerk ist sofort zu verlassen.

    Darüber hinaus bietet XArp weitere Informationen. Beispielsweise kann man über den Link View detected attacks auch die MAC-Adresse des Angreifers identifizieren. In einem zusätzlichen Fenster werden per Changefilter die Änderungen von MAC-Adressen angezeigt.

    Fazit:

    Wer unterwegs häufig kostenlose Access Points nutzt, für den ist XArp ein unverzichtbares Sicherheits-Tool. Es ist mit allen Windows-Betriebssystemen und Ubuntu Linux kompatibel.

    Trotzdem empfiehlt es sich, den Besuch sensibler Webseiten, wie dem Online-Banking, über öffentliche Hotspots zu vermeiden. Schließlich sind DNS-Angriffe nicht das einzige Werkzeug, das Hacker verwenden können.

  • Geräte-Manager: Unbekannte Hardware identifizieren

    Der Windows-Computer markiert im Geräte-Manager unbekannte Hardware mit einem gelben Fragezeichen. Mit ein paar Mausklicks und einer kurzen Web-Recherche kommt man dem Hersteller ziemlich schnell auf die Spur.

    Wenn der PC unbekannte Geräte findet, könnte es vorkommen, dass sie infolge fehlender Treiber nicht richtig funktionieren. Da hilft auch die Treiber-Update-Funktion des Geräte-Managers nicht weiter. Wonach soll er auch suchen, wenn er das Gerät nicht kennt?

    Der Geräte-Manager

    Aber auch in diesem Fall helfen dir die Optionen des Geräte-Managers weiter. Öffne per Rechtsklick auf das unbekannte Gerät dessen Kontextmenü, wähle den Eintrag Eigenschaften aus, und wechsle zum Register Details.

    Im Aufklappmenü von Eigenschaften stellst du die Option Hardware-IDs ein. Dadurch werden im Bereich Wert alle verfügbaren Geräteinformationen aufgelistet.

    Hardware-IDs

    In einer der Zeichenfolgen findest du Bereiche, die als VEN_xxx und DEV_xxx gekennzeichnet sind. Die meist vierstelligen Codes hinter dem VEN (Vendor=Hersteller) und DEV (Device=Gerät) werden für die Websuche benötigt.

    In diesem Beispiel versuchen wir das Gerät mit den ID´s VEN_8086 und DEV_2A42 zu identifizieren.

    Suche im Internet

    Es gibt etliche Webseiten, die Hersteller- und Geräteinformationen bereitstellen. Am häufigsten wird die Seite PCIDatabase.com verwendet. Gib einfach einen der Codes in das entsprechende Suchfeld ein und klicke auf den Button Search.

    Empfehlenswert ist die Suche zuerst mit der Device-Id durchzuführen, da im Suchergebnis mehr Informationen angezeigt werden. Bei der Suche mit der Vendor-Id wird meist nur der Hersteller angezeigt.

    Das Ergebnis der Geräte-Id-Suche zeigt neben Vendor-Id und -Name (dritte u. vierte Spalte), in der zweiten Spalte auch eine Beschreibung des Gerätes an.

    Bei den Codes aus diesem Artikel  handelte es sich um den Chipsatz der Grafikkarte.

    Mehrere Geräte gefunden?

    Werden nach der Suche mehrere Ergebnisse angezeigt, vergleiche die Angaben der ersten und dritten Spalte. Hier solltest du deine DEV- und VEN-Codes wiederfinden.

    Klickst du auf den Hersteller-Link in der Spalte Vendor Name, wirst du in vielen Fällen sogar auf die Geräte-Webseite des Herstellers weitergeleitet.

  • Windows-7-Updates werden nicht mehr automatisch gefunden?

    Zeigt der Info-Bereich in der Taskleiste von Windows 7 an, dass das Betriebssystem keine neuen Updates findet, ist Vorsicht geboten. Je nachdem wie viel Zeit seit der Meldung vergangen ist, werden die Sicherheitslücken immer größer und schnelles Handeln ist angesagt.

    Meist ist eine falsch eingestellte Uhrzeit und/oder falsches Datum Grund für den Fehler. Aber auch in der Windows-Update-Funktion selbst, schleicht sich manchmal der Fehlerteufel ein.

    Während Datum und Uhrzeit schnell korrigierbar sind, benötigt man für die Fehlersuche bei der Update-Funktion ein Fix-it-Tool. Dieses Diagnosetool findet und behebt vorhandene Fehler automatisch und kann auf der Microsoft Webseite go.microsoft.com/?linkid=9830262 kostenlos heruntergeladen werden. Danach sollte die automatische Update-Funktion wieder einwandfrei laufen.

    Man kann sich aber auch selber um die aktuellen Updates kümmern, unabhängig davon, ob die automatische Updatefunktion richtig arbeitet oder nicht.

    Mit der Tastenkombination [Windows][Pause] öffnest du die Basisinformationen deines Computers. Unten links befindet sich der Link Windows Update. Über diesen und dem Link Nach Updates suchen, links oben im nächsten Fenster, startest du die Windows-Updatesuche manuell.

    Danach legst du nur noch fest, welche wichtigen und optionalen Updates du herunterladen und installierten möchtest.

    Alternativ kann man sich auch auf vertrauenswürdigen Seiten, wie Chip.de oder Computerbild, direkt Windows-Update-Packs herunterladen.

  • Mozilla Firefox: Den Browser für eine Fehlersuche im abgesicherten Modus starten.

    Nicht nur das Windows-Betriebssystem besitzt einen abgesicherten Modus, der für eine Fehlersuche und -behebung genutzt werden kann. Auch der beliebte Firefox-Browser kann in einem Safe-Mode gestartet werden.

    Im abgesicherten Modus schaltet Firefox zeitweise alle installierten Add-Ons ab. So lassen sich fehlerhafte Erweiterungen schnell und einfach entfernen. Gleich zwei Möglichkeiten den Safe-Mode zu aktiveren bieten sich an.

    Wenn du deinen Firefox mit einem Windows-Betriebssystem verwendest, kannst du das Fenster Ausführen mit der Tastenkombination [Windows][R] öffnen. Gib dann den Befehl firefox.exe -safe-mode ein und bestätige mit der Taste [Eingabe).

    windows-firefox-browser-abgesicherter-modus-aktivieren-fenster-ausfuehren

    In der nachfolgenden Sicherheitsabfrage klickst du auf den Button Im abgesicherten Modus starten.

    Mit der zweiten Variante kannst du den abgesicherten Modus direkt aus dem Browser heraus starten. Außerdem kann sie verwendet werden, wenn ein anderes Betriebssystem (z.B. MAC OS X oder Linux) auf deinem Computer installiert ist.

    Klicke im geöffneten Firefox auf das Menü-Icon oben rechts und anschließend auf das Fragezeichen.

    Nach einem Mausklick auf die Option Mit deaktivierten Add-ons neu starten

    …folgt eine Dialog-Box, die du mit der Schaltfläche Neu starten bestätigst.

    Dann erst folgt die Sicherheitsabfrage mit der du den Browser im abgesicherten Modus neu startest.

  • Idendentifizierung und Abwehr von Hackerangriffen mit Bordmitteln

    Wer Verhaltensänderungen seines Computers aufmerksam verfolgt, wird schnell feststellen ob dies in den Bereich eines Hackerangriffs fällt. Mögliche Auffälligkeiten sind Virenwarnungen, die plötzlich angezeigt werden, obwohl kein Programm oder keine Datei geöffnet ist. Auch unbekannte Antiviren-Programme die einen angeblichen Viren-Befall melden sind verdächtig. Viele dieser Hackerangriffe lassen sich recht einfach mit Bordmitteln identifizieren.

    Während man diese Fake-Virenwarnungen mit Tools wie dem Remove Fake Antivirus (kostenlos, z. B. bei Chip.de) recht einfach wieder los wird, sind andere unsichtbarer und somit wesentlich schlechter zu identifizieren.

    Anzeichen für Hacker-Angriffe

    Wenn sich Webseiten wie von Geisterhand öffnen, oder der PC eine hohe CPU-Auslastung aufweist, ohne dass Programme aktiv laufen, ist Vorsicht geboten. Über die Eingabeaufforderung lassen sich solche Angriffe identifizieren, da sie einen aktiven Prozess und eine Internetverbindung benötigen.

    Öffne die Eingabeaufforderung mit Administratorrechten, gib den Befehl netstat -o ein, und bestätige ihn mit [Enter]. Suche den verdächtigen Prozess und notiere dir aus der Spalte PID dessen ID-Nummer.

    Bevor der Schad-Prozess über den Task-Manager beendet wird, muss zuvor die Internetverbindung über die Windows-Firewall gekappt werden. Sonst kann es passieren, das spätestens bei einem Computerneustart die Virensignaturen erneuert werden. Dazu muss eine ausgehende Regel angelegt werden. Wie das geht, kannst du in diesem Artikel nachlesen.

    Starte danach den Taskmanager und rufe das Register Prozesse, bzw. Details (versionsabhängig) auf. Ist in diesem Register die Spalte PID nicht vorhanden, dann blende sie über Ansicht | Spalten auswählen ein.

    Anschließend suchst du anhand der notierten Prozess-ID den Schadprozess und beendest ihn.

    Wenn die Bordmittel nicht helfen

    Kannst du mit diesen Bordmitteln verdächtigen Prozessen nicht auf die Spur kommen, dann hilft dir das kostenlose Profi-Tool Process Explorer von Sysinternals.

    Verdächtige Prozesse werden violett markiert und können per Rechtsklick zur Online-Analyse mit Check VirusTotal hochgeladen werden. Hier prüfen mehr als 50 Antivirenprogramme, ob dieser Prozess gefährlich ist. Melden mehrere Antivirenscanner einen Fund, dann ist der Schädling identifiziert. Ein weiterer Rechtsklick auf den betreffenden Prozess und der Befehl Suspend beendigt die Schadsoftware.

  • Hijacker eFast kapert und ersetzt den Google Chrome Browser

    Ein neuer Browser-Hijacker namens eFast sorgt seit ein paar Wochen für Schlagzeilen.  Er kapert den Chrome-Browser, ersetzt ihn durch eine Kopie und löscht dabei alle Verweise auf Chrome. Außerdem wird er zum Standardprogramm für eine große Anzahl von Dateiformaten. Die Sicherheitsexperten von Malwarebytes raten daher zur Vorsicht und empfehlen den Computer auf dieses, zu den Adware gehörenden Schadprogramm eFast zu überprüfen.

    eFast leitet den User beim Surfen auf weitere, mit Malware infizierte Webseiten weiter und könnte dabei auch den Computer ausspionieren, weitere Werbung sowie Spionageprogramme nachladen.

    Auch wenn es dem Chrome sehr zum Verwechseln ähnlich sieht, offenbaren gleich zwei unterschiedliche Optionen seine Existenz. Zum einen wird eFast in der Liste der installierten Programme geführt. Diese kannst du über die Systemsteuerung | Programm deinstallieren aufrufen und hier direkt vom System entfernen.

    Die zweite Möglichkeit eFast zu entlarven ist die browsereigene Option Über Google Chrome.

    Alternativ kommst du mit der Befehlseingabe von chrome://chrome in die Adresszeile auch zum gleichen Ergebnis.

    Ist dein Computer mit eFast infiziert, dann deinstalliere das Programm und lasse im Anschluss auch noch ein Antivirenprogramm deinen Rechner prüfen. Der Security-Blog von Malwarebytes empfiehlt hier natürlich auch sein hauseigenes Antiviren-Programm Malwarebytes Anti-Malware.

  • Endlich! Die De-Mail wird tatsächlich sicherer

    Das die De-Mail, die von unserer Bundesregierung so hochgelobt und als sicher propagiert wurde, hat sich in den letzten Jahren als ziemlicher Flop herausgestellt. An dieser trügerischen Sicherheit haben auch unsere Vorzeigefirmen wie die Deutsche Telekom, GMX, Web.de und 1 & 1 nichts geändert. Aber das soll jetzt definitiv anders werden.

    Wesentlicher Sicherheitsaskpekt fehlt bisher

    Bisher fehlte der De-Mail ein wesentlicher Sicherheitsfaktor: Die Ende-zu-Ende-Verschlüsselung. Nachrichten erhalten derzeit lediglich eine Transferverschlüsselung. Dies bedeutet lediglich, dass die E-Mail nur auf dem Transportweg verschlüsselt wird. Und dafür benötigt man keine kostenpflichtige De-Mail. Bei vielen E-Mail-Providern ist diese Verschlüsselung ohnehin schon Standard. Weitere Informationen kannst du in diesem Artikel erfahren.

    Das Fehlen der End-to-End-Verschlüsselung öffnet nicht nur den kriminellen Hackern ein Hintertürchen, sondern ermöglicht auch im Zweifelsfall den Verfolgungsbehörden ein einfaches Ausspähen der Kommunikation. Ein Schlingel, wer Böses dabei denkt…

    Start ist voraussichtlich April 2015

    Ab April 2015 soll nun alles besser und sicherer werden. Dann sollen die E-Mails neben einem Zertifikat auch eine digitale Signatur erhalten. Dies soll durch die Verschlüsselung per PGP (Pretty Good Privacy) erfolgen. Die Anbieter von United Internet (GMX, Web.de, 1&1), die Deutsche Telekom, sowie das Unternehmen Francotyp-Postalia, wollen die Sicherheitslücke nun endgültig schließen und das (nie erreichte) Vertrauen in die Sicherheit der De-Mail wieder herstellen.

    End-to-End-Verschlüsselung legt der Nutzer selbst an

    Ob das klappt, wird man bestimmt bald sehen. Wie hoch der Sicherheitsgrad sein wird, liegt nämlich in der Verantwortung von Sender und Empfänger. Denn die Anbieter stellen nur die technischen Möglichkeiten zur Verfügung. Im Prinzip ist es wie mit der Vergabe von Passwörtern, je komplexer, desto besser.

    Bleibt nur zu hoffen, dass dies bedienerfreundlich umgesetzt wird.

  • Wieviel Strom verbraucht mein Notebook? Die schnelle Energieanalyse schafft Gewissheit

    Ist man unterwegs auf eine lange Laufzeit des Notebooks angewiesen, sollte man wissen, welche Komponenten den höchsten Energieverbrauch haben. Stromfresser werden so identifiziert und können gegebenenfalls während des mobilen Einsatzes abgeschaltet werden.

    Dabei werden nicht nur die eingebauten Komponenten berücksichtigt, sondern auch alle angeschlossenen Peripherie-Geräte. Das Ergebnis wird dann in der Datei energy.html gespeichert. Aber alles der Reihe nach.

    Zuerst starten Sie die Kommandozeile mit Administratorenrechten. Klicken Sie dazu auf Start | Alle Programme | Zubehör und öffnen Sie den Eintrag Eingabeaufforderung mit einem Rechtsklick und Als Administrator ausführen.

    In der Eingabeaufforderung tippen Sie den Befehl

    powercfg -energy -output c:\energy.html

    ein und bestätigen mit [Enter].

    In den nächsten 60 Sekunden wird Ihr System analysiert und eine kurze Zusammenfassung wird in der Kommandozeile angezeigt.

    Den ausführlichen Bericht finden Sie im Wurzelverzeichnis Ihrer Systemfestplatte (standardmäßig Laufwerk C:\).

    Wie gewohnt öffnen Sie das HTML-Dokument mit einem Doppelklick und es wird in Ihrem Browser angezeigt.

  • Mit der Fahrradpass-App der Polizei Fahrradpässe für eigene Räder erstellen

    Fahrradzeit ist auch wieder Diebstahlzeit. Allein in Hamburg wurden im letzten Jahr über 15.000 Fahrräder gestohlen. Das sind 41 Räder pro Tag. Bundesweit sind es über 330.000 Fahrräder; rund 900 Fahrraddiebstähle pro Tag. Die Aufklärungsquote ist mit rund 10 Prozent äußerst gering. Das liegt meist auch daran, dass es für die meisten Räder kein Fahrradpass existiert. Das lässt sich mit einer App ändern. Mit der Fahrradpass-App der Polizei kann man einfach und schnell Fahrradpässe für eigene Räder erstellen, verwalten und als PDF exportieren.

    Fahradpass-App der Polizei

    In Kooperation mit dem Landeskriminalamt Baden-Württemberg hat die Polizei eine Fahrradpass-App für Android und iPhone entwickelt. Die sieht optisch zwar nicht so toll aus, dafür überzeugen die Funktionen. Denn ein Fahrradpass hilft, gestohlene Räder zweifelsfrei zu identifizieren, Täter zu überführen und das gefundene Rad wieder dem richtigen Besitzer zurückzugeben.

    Im Fahrradpass werden dazu neben der Rahmennummer und Codierung der Name und die Anschrift des Besitzers und Fotos des Fahrrads hinterlegt. Mit der Fahrradpass-App lassen sich die Pässe fürs eigene Rad ruckzuck anlegen und verwalten. Über die Plus-Schaltfläche fügen Sie ein neues Rad hinzu und geben alle wichtigen Daten wie Rahmen- und Codiernummer, Angaben zum Radtyp, Hersteller und Modell sowie eine genaue Beschreibung inklusive Fotos.

    Im Fall eines Diebstahls lassen sich die Daten direkt an die Polizei oder die Versicherung weiterleiten. Einmal angelegte Fahrradpässe lassen sich direkt aus der App als PDF speichern oder per E-Mail verschicken. Wird das Rad wiedergefunden, lässt es sich anhand der hinterlegten Daten zweifelsfrei dem richtigen Besitzer zuordnen. Lästige Diskussionen und Nachweise über den Besitz entfallen.

Die mobile Version verlassen