Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Idendentifizierung und Abwehr von Hackerangriffen mit Bordmitteln

Wer Verhaltensänderungen seines Computers aufmerksam verfolgt, wird schnell feststellen ob dies in den Bereich eines Hackerangriffs fällt. Mögliche Auffälligkeiten sind Virenwarnungen, die plötzlich angezeigt werden, obwohl kein Programm oder keine Datei geöffnet ist. Auch unbekannte Antiviren-Programme die einen angeblichen Viren-Befall melden sind verdächtig. Viele dieser Hackerangriffe lassen sich recht einfach mit Bordmitteln identifizieren.

Während man diese Fake-Virenwarnungen mit Tools wie dem Remove Fake Antivirus (kostenlos, z. B. bei Chip.de) recht einfach wieder los wird, sind andere unsichtbarer und somit wesentlich schlechter zu identifizieren.

Anzeichen für Hacker-Angriffe

Wenn sich Webseiten wie von Geisterhand öffnen, oder der PC eine hohe CPU-Auslastung aufweist, ohne dass Programme aktiv laufen, ist Vorsicht geboten. Über die Eingabeaufforderung lassen sich solche Angriffe identifizieren, da sie einen aktiven Prozess und eine Internetverbindung benötigen.

Öffne die Eingabeaufforderung mit Administratorrechten, gib den Befehl netstat -o ein, und bestätige ihn mit [Enter]. Suche den verdächtigen Prozess und notiere dir aus der Spalte PID dessen ID-Nummer.

hacker-angriff-bordmittel-erkennen-kommandozeile-netstat-o-pid-prozess-id

Bevor der Schad-Prozess über den Task-Manager beendet wird, muss zuvor die Internetverbindung über die Windows-Firewall gekappt werden. Sonst kann es passieren, das spätestens bei einem Computerneustart die Virensignaturen erneuert werden. Dazu muss eine ausgehende Regel angelegt werden. Wie das geht, kannst du in diesem Artikel nachlesen.

Starte danach den Taskmanager und rufe das Register Prozesse, bzw. Details (versionsabhängig) auf. Ist in diesem Register die Spalte PID nicht vorhanden, dann blende sie über Ansicht | Spalten auswählen ein.

task-manager-prozess-pid-spalte-aufrufen-identifizieren

Anschließend suchst du anhand der notierten Prozess-ID den Schadprozess und beendest ihn.

taskmanager-pid-prozess-hacker-beenden-bordmittel-erkennen-angriff

Wenn die Bordmittel nicht helfen

Kannst du mit diesen Bordmitteln verdächtigen Prozessen nicht auf die Spur kommen, dann hilft dir das kostenlose Profi-Tool Process Explorer von Sysinternals.

sysinternals-windows-process-explorer-schadsoftware-identifizieren-virus-total-scanner

Verdächtige Prozesse werden violett markiert und können per Rechtsklick zur Online-Analyse mit Check VirusTotal hochgeladen werden. Hier prüfen mehr als 50 Antivirenprogramme, ob dieser Prozess gefährlich ist. Melden mehrere Antivirenscanner einen Fund, dann ist der Schädling identifiziert. Ein weiterer Rechtsklick auf den betreffenden Prozess und der Befehl Suspend beendigt die Schadsoftware.

Kategorien
Hardware & Software Windows 7 Windows Vista Windows XP

Msconfig und Autoruns: Geheime Autostart-Programme finden und Windows schneller starten

Der Windows-Start dauert mal wieder eine halbe Ewigkeit? Schuld sind vor allem Autostartprogramme, die sich automatisch beim Windows-Start mitstarten. Dabei sind die meisten davon nur überflüssiger Schnickschnack wie Office-Module, Adobe-Reader-Updater oder Instant Messenger. Das Gemeine: Oft haben sich die Autostarter tief ins System eingenistet und lassen sich kaum entdecken. Mit zwei kaum bekannten Tools kommt man den geheimen Autostart-Programmen auf die Schliche.

Das Systemkonfigurationsprogramm msconfig

Um die dem versteckten Systemkonfigurationsprogramm die Autostart-Programme und Startbremsen aufzuspüren, gehen Sie wie folgt vor:

1. Drücken Sie die Tastenkombination [Windows-Taste][R], und geben Sie den folgenden Befehl ein:

msconfig

2. Klicken Sie auf OK.

3. Anschließend wechseln Sie in das Register „Systemstart“. Hier sind die Programme aufgeführt, die sich beim Windows-Start gleich mitstarten.

Generell gilt: Alles, was angekreuzt ist, wird automatisch mitgestartet. Damit Windows wieder schneller bootet, entfernen Sie alle Häkchen der Programme, die Sie nicht unbedingt brauchen. Nur Virenscanner und andere Sicherheitsprogramme sollten angekreuzt bleiben – alles andere können Sie deaktivieren.

Noch mehr Autostart-Einträge finden

Das Systemkonfigurationsprogramm „msconfig“ findet fast alle Autostartprogramme. Aber nur fast alle. Weit mehr Autostartet macht das Gratisprogramm „Autoruns“ aus dem Hause Microsoft ausfindig. Und zwar so:

1. Rufen Sie die Webseite technet.microsoft.com/de-de/sysinternals/bb963902 auf, und laden Sie dort das Programm „Autoruns“ herunter.

2. Entpacken Sie den Inhalt der ZIP-Datei in einem beliebigen Ordner, am besten in C:WINDOWS. Wenn Sie die Dateien dort ablegen, lassen Sie sich bequem mit dem Befehl „Ausführen“ starten.

3. Drücken Sie die Tastenkombination [Windows-Taste][R], und geben Sie folgenden Befehl ein:

autoruns

3. Bestätigen Sie die Eingabe mit OK, um das Programm zu starten.

Mit Autoruns werfen Sie einen Blick unter die Motorhaube von Windows und zeigen interne Details der Startprozedur. In 16 Registern finden Sie alle Startdateien aus den Bereichen Explorer, Internet Explorer, Dienste, Treiber, Bootdateien, DLL-Bibliotheken oder Netzwerk. Per Mausklick können Sie gezielt entschieden, was zukünftig gestartet werden soll und was nicht. Im Register „Logon“ können Sie beispielsweise den versteckten Google Updater am Autostart hindern.

Unser Tipp: Damit in der Liste nur Einträge von „fremden“ Anbietern (also alles, was nicht von Microsoft oder Windows stammt) angezeigt werden, rufen Sie den Befehl „Option | Filter Options“ auf und kreuzen „Hide Microsoft entries“ soiwie „Hide Windows entries“ an.

Wichtig: Wenn Sie nicht sicher sind, was oder welches Programm sich hinter einem Eintrag verbirgt, lassen Sie ihn besser unverändert, damit Sie nicht versehentlich wichtige Windows-Komponenten deaktivieren.

Kategorien
Hardware & Software Windows 7 Windows Vista Windows XP

Windows 7, XP und Vista: Sysinternal-Tools ohne Herunterladen sofort starten

Die Sysinternals Suite von Microsoft enthält viele nützliche  Tools für IT-Profis, Entwickler und auch für den „normalen“ Nutzer. Diese kleinen Programme unterstützen Sie bei Verwaltung, Problemanalyse und -behebung und – ganz wichtig – dem Aufspüren  von Trojanern und Spyware. Das Gute an den Sysinternals ist, dass sie nicht unbedingt heruntergeladen werden müssen. Man kann diese Tools auch direkt online starten.

Sysinternal-Tools ohne Download starten

Was viele nicht wissen: Es ist problemlos möglich, auf der Webseite der Sysinternals Suite in den Kategorien zu stöbern und das benötigte Programm von dort direkt zu starten. Gerade für Profis ist das sehr vorteilhaft, da die Programme immer auf dem aktuellsten Stand, und rund um die Uhr verfügbar sind. Somit entfällt auch das separate Aktualisieren der heruntergeladenen Programme.

Um die Sysinternals online ausführen zu können, gibt es  Möglichkeiten: Über das Dialogfenster „Ausführen“, den Internet-Browser, oder die Webseite der Sysinternals.

Starten mit „Ausführen“

Starten Sie den Dialog „Ausführen“ mit der Tastenkombination [Windows-Taste][R], und geben Sie in das Textfeld den Befehl

\live.sysinternals.comtools

ein, gefolgt von dem Programmnamen, das gestartet werden soll. In diesem Beispiel ist es „Autoruns.exe“.

Klicken Sie auf „OK“; um das Programm zu starten.

Starten über den Browser

Geben Sie alternativ den Befehl

live.sysinternals.com/tools/autoruns.exe

in die Adresszeile Ihres Browsers ein. Im Dialogfeld „Starte Datei“ klicken Sie auf „Ausführen“ um das Programm online, also ohne Download, zu starten. Zum Herunterladen klicken Sie auf „Speichern“.

Starten über die Homepage

Die dritte Möglichkeit ist, das gewünschte Programm über die Kategorie-Auswahl zu starten. Der Vorteil dieser Variante ist, dass jedes Programm eine kurze Beschreibung enthält. Am Ende dieser Beschreibung können Sie wählen, ob das Programm online gestartet werden soll, oder ob Sie es herunterladen möchten.

Eine Übersicht aller Programme erhalten Sie mit auf der Seite live.sysinternals.com.

Ein paar weitere nützliche Tools sind:

  • „diskmon.exe“ für die Anlayse von Festplattenzugriffen
  • „procmon.exe“ für Echtzeitanzeige von Zugriffen auf Registry, Dateien und Netzwerk
  • „tcpview.exe“ für Analyse der Netzwerkverbindungen eines Computers und das Aufspüren von Spyware und Trojanern

Hinweis: Alle drei der oben genannten Startmöglichkeiten folgt natürlich die Bestätigung der Nutzungsbedingungen der Programme.