Trojaner und Würmer jagen

Wer sich vor den aktuellen Schädlingen schützen will, muss die verschiedenen Varianten kennen. Der Artikel erklärt zuerst die drei wichtigsten Arten: Trojaner, Rootkits und Würmer. Der zweite Abschnitt beschreibt dann den Einsatz geeigneter Tools, mit denen Sie die Schädlinge von Ihrem PC entfernen. Im dritten Abschnitt auf Seite 90 lesen Sie, wie Sie Fehler in Win-dows beheben, die durch viele aktuelle Trojaner, Rootkits und Würmer verursacht werden.

Klassische Viren, die wahllos Daten löschen, sind selten geworden. Stattdessen setzen die Kriminellen auf Trojaner und Rootkits, die vor allem nicht auffallen und keine Gegenmaßnahmen provozieren sollen. Wichtiger geworden sind auch Würmer, die sich über Lü­cken in Windows und beliebten Anwendungen verbreiten.

Trojaner sind mittlerweile die bei Weitem häufigste Schädlingsart. Der Begriff steht eigentlich für vermeintlich harmlose Programme, die jedoch eine verborgene Schadkomponente enthalten. 

Erheblich verbreiteter ist der Begriff aber als Bezeichnung für alle geheimen Schädlinge, die den Benutzer ausspionieren, Hintertüren auf PCs öffnen, im Hintergrund Spam versenden oder an Großangriffen auf Server im Internet teilnehmen. Letzteres wird als Distributed Denial of Service (DDoS oder kürzer DoS) bezeichnet.

Anders als klassische Viren sollen Trojaner meist Geld einbringen. Laut einer aktuellen Studie von Dmitry Samosseiko von Sophos Labs Canada verdienen Spammer bis zu 180.000 Dollar im Jahr — von zu Hause aus und meist mit Hilfe gigantischer Bot-Netze. Bot-Netze bestehen aus zahllosen mit Trojanern verseuchten PCs, die zentral gesteuert werden. 

Das beste Tool zum Aufspüren und Entfernen von Trojanern ist Anti-Malware 1.41. Wie Sie das Tool zum Reinigen Ihres PCs einsetzen, lesen Sie im Abschnitt „Anti-Malware 1.41“.

Rootkits sind vergleichbar mit Trojanern, machen sich aber mit speziellen Tricks praktisch komplett unsichtbar. Dazu verwenden sie meist eigene Sys­temtreiber oder sie manipulieren den Windows-Kernel, so dass sie weder im Task-Manager noch im Windows-Explorer auftauchen. Aufzuspüren und zu entfernen sind sie nicht von üblichen Virenscannern, sondern nur von Spezial-Tools wie Anti-Rootkit 1.5 .

In letzter Zeit sind außerdem Bootkits aufgetaucht. Bootkits sind neuartige Rootkits, die sich im Master Boot Record verankern und so noch vor Windows starten. Das Betriebssystem und darin installierte Sicherheits-Tools haben deshalb keine Chance dagegen. 

Anfang 2009 bewies Conficker, dass die Zeit der Windows-Würmer noch lange nicht vorbei ist. Innerhalb kürzester Zeit infizierte er mehrere Millionen PCs über eine Windows-Lücke. Seit Monaten hatte es dafür schon einen Patch von Microsoft gegeben, doch den hatten viele Anwender nicht installiert. 

Andere Würmer verbreiten sich bevorzugt über Instant-Messaging-Programme oder neuerdings über Netzwerke wie Facebook oder My Space. 

Der beste Schutz gegen Würmer ist ein aktualisiertes Betriebssystem. Aktivieren Sie deshalb unbedingt die automatischen Updates für Windows. Unter XP rufen Sie dazu „Start, Systemsteuerung, Sicherheitscenter“ auf und kli­cken auf „Automatische Updates“. Wählen Sie dann eine der oberen drei Optionen aus. com! empfiehlt „Benachrichtigen, aber nicht automatisch herunterladen und installieren“. So kontrollieren Sie den Zeitpunkt des Downloads und die Installation der Patches.

Analog rufen Sie unter Vista „Start, Systemsteuerung, Sicherheit“ auf und klicken auf „Automatische Updates ein- oder ausschalten“. Wählen Sie nun die Option „Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen“ aus.

Unter Windows 7 lauten die Einstellungen fast identisch.

Zum Aufspüren von Würmern, die sich bereits auf dem PC befinden, eignet sich der neue kostenlose Virenscanner Microsoft Security Essentials 1.0.1611.0 .

Bei Trojanern kann man sich nie hundertprozentig sicher sein, dass der PC nicht doch verseucht ist. Moderne Trojaner verhalten sich extrem unauffällig und versenden etwa nur so viel Spam-Mails, dass der Nutzer keine Einschränkung seiner Internetleistung bemerkt. 

Ein regelmäßiger Scan mit Spezial-Tools ist also ratsam. Dazu kommt, dass meist bereits eine einzige Infizierung ausreicht, um einen PC mit einer ganzen Reihe weiterer Trojaner und Rootkits zu verseuchen. Diese müssen alle aufgespürt und eliminiert werden.

Anti-Malware 1.41 ist ein mächtiges Reinigungs-Tool, das viele Trojaner erkennt und zuverlässig entfernt. Die Freeware-Version sucht und löscht Schädlinge, die Kaufversion für 18 Euro bietet aber zusätzlich einen Hintergrundschutz sowie Zeitpläne.

So geht’s: Starten Sie das Setup und klicken Sie auf „OK“ sowie auf „Weiter“. Wählen Sie dann „Ich akzeptiere die Vereinbarung“ und bestätigen Sie fünfmal mit „Weiter“ sowie zuletzt mit „Installieren“. Ein Klick auf „Fertigstellen“ startet das Schutzprogramm und aktualisiert die Signaturen. Bestätigen Sie das kleine Infofenster, das die erfolgreiche Aktualisierung meldet, mit „OK“. Das Tool ist nun einsatzbereit.

Markieren Sie auf dem Reiter „Scanner“ die Option „Vollständigen Suchlauf durchführen“ und klicken Sie auf „Scan“. In einem kleinen Fenster setzen Sie vor jedes zu prüfende Laufwerk ein Häkchen. Mit „Scan starten“ beginnen Sie mit der Suche nach Schädlingen. 

Bestätigen Sie das Ende des Suchlaufs mit „OK“ und klicken Sie auf „Ergebnisse anzeigen“. Schließen Sie alle geöffneten Anwendungen, bevor Sie mit „Entferne Auswahl“ die gefundenen Schädlinge in Quarantäne verschieben. 

Nach der Bereinigung zeigt ein Protokoll automatisch an, welche Schädlinge gefunden und entfernt wurden. Sie finden diese Datei auch im Unterordner „Logs“ von Anti-Malware.

Eventuell öffnet Anti-Malware auch ein Hinweisfenster mit mehreren Einträgen, die erst mit einem Reboot des Computers entfernt werden können. Klicken Sie in diesem Fall auf „Ja“, um den PC neu zu starten und die Reinigung abzuschließen. 

Viren jagen Sie mit jedem besseren kostenlosen Antivirenprogramm. Welche sich besonders eignen, steht im Artikel „Test: Zehn kostenlose Anti­viren-Tools“ in com! 10/2009. Neu unter den kos­tenlosen Virenscannern ist zum Beispiel Microsoft Security Essentials 1.0.1611.0. 

Auch wenn man Microsoft bislang in Sachen Sicherheit nicht allzu viel zugetraut hat — bei Security Essentials handelt es sich um einen soliden Virenscanner. 

So geht’s: Starten Sie die Installation, bestätigen Sie mit „Weiter“ sowie mit „Ich stimme zu“ und lassen Sie mit „Überprüfen“ das Tool Ihre Windows-Lizenz checken. Danach geht’s weiter mit „Installieren“. Ein Klick auf „Jetzt neu starten“ schließt das Setup ab. Danach ist das Tool aktiv. 

Das Profi-Tool Combofix entfernt Schädlinge und repariert automatisch viele Windows-Einstellungen. Nach dem Suchlauf erstellt das Tool eine Log-Datei. Mehrere Webforen helfen Ihnen weiter, wenn Sie dort ein solches Combofix-Protokoll veröffentlichen.

So geht’s: Starten Sie Combofix per Doppelklick auf „ComboFix.exe“. Bestätigen Sie das Infofenster mit „Ja“. Ein blaues Fenster zeigt, was das Tool unternimmt. Zuerst erstellt es einen Wiederherstellungspunkt. 

Ein weiteres Fenster weist Sie eventuell darauf hin, dass auf Ihrem PC noch nicht die Wiederherstellungskonsole von Microsoft installiert ist. Bestätigen Sie mit „Ja“, um diese Software zu installieren. Die Konsole ist bei PC-Problemen hilfreich. Combofix lädt die benötigten Dateien von Microsoft he­runter und richtet sie ein. Bestätigen Sie mit „OK“ und zweimal mit „Ja“.

Nun beginnt die Suche nach infizierten Dateien, die normalerweise 10 bis 20 Minuten dauert. Nach Ende des Suchlaufs öffnet sich ein Fenster mit einer Protokolldatei, die auch unter „C:\“ als „ComboFix.txt“ zu finden ist. 

Combofix versucht, Veränderungen in Windows, die oft von Schädlingen heimlich vorgenommen werden, wieder rückgängig zu machen. Beispielsweise aktiviert es automatische Updates und blendet Datei-Endungen ein.

Die Internetforen www.hijackthis-forum.de und www.trojaner-board.de bieten Unterstützung bei verseuchten PCs. Lesen Sie sich dort zuerst die Hilfetexte durch und legen Sie dann einen Foren-Account an. Benutzen Sie diesen Account, um Ihr Combofix-Protokoll in einem neuen Beitrag zu veröffentlichen. Beachten Sie aber, dass die Hilfe von Freiwilligen geleistet wird und kein Anspruch darauf besteht. Zumindest Engagement und ein freund­licher Ton werden von jedem Hilfesuchenden erwartet.

SD Fix 1.240 kennt und entfernt mehrere Hundert Trojaner. Außerdem reinigt das Tool die Registry von Malware-Einträgen.

So geht’s: Starten Sie „SDFix.exe“, um die Software automatisch in den Ordner „C:\SDFix“ auszupacken. Booten Sie anschließend Ihren PC neu und drücken Sie — noch bevor das Windows-Logo erscheint — mehrmals [F8]. Sie sehen nun ein Boot-Menü. Wählen Sie „Abgesicherter Modus“ aus. Nur in diesem Modus bereinigt SD Fix Ihren PC, weil Schädlinge sich so schwerer aktivieren und ihren Selbstschutz nicht nutzen können.

Sobald Windows im abgesicherten Modus läuft, drücken Sie [Windows R], geben C:\SDFix\RunThis.bat ein und bestätigen mit „OK“. Ein blaues Fenster öffnet sich. Drücken Sie [Y], um die Bereinigung zu starten, die je nach Festplatte eine Weile dauert. 

Drücken Sie eine beliebige Tas­te, um Ihren PC neu zu starten, sobald Sie von SD Fix dazu aufgefordert werden. Das Tool führt dann eine Reinigung mit dem integrierten Anti-Rootkit-Tool Gmer 1.0.15.15087 durch, die ebenfalls etwas dauert. 

Drücken Sie nach dem Check eine beliebige Taste. SD Fix öffnet dann einen Report im TXT-Format über gefundene und entfernte Schädlinge.

Ein Rootkit manipuliert wichtige Sys­temtreiber und den Windows-Kernel, um sich so vor Virenscannern und im Windows-Explorer unsichtbar zu machen. Anti-Rootkit 1.5 von Sophos erkennt und entfernt auch unbekannte Rootkits. 

So geht’s: Installieren Sie das Tool und klicken Sie auf „Ja“, um das Programm direkt anschließend zu starten. Mit einem Klick auf „Start scan“ beginnt die Suche nach aktiven Rootkits auf Ihrem PC. Das Tool prüft die laufenden Prozesse und sucht in der Windows-Regis­try nach Hinweisen auf die heimlichen Schädlinge (Bild F). Mit einem Klick auf „Clean up checked items“ entfernen Sie gefundene Rootkits.

Nach dem Entfernen eines oder mehrerer Schädlinge bleiben oft Veränderungen auf dem System zurück, die das Schadprogramm vorgenommen hat. Einen Teil dieser Manipulationen repariert bereits das Tool Combofix. Andere Schäden, etwa einen deaktivierten Task-Manager, müssen Sie selbst beheben.

Einige Viren deaktivieren den Zugriff auf die Registrierungsdatenbank von Windows, um eine Desinfektion zu erschweren. Mit einem Befehl in der Eingabeaufforderung von Win­dows lässt sich die Registry in vielen Fällen wieder aktivieren.

So geht’s: Drücken Sie [Windows R], geben Sie cmd ein und klicken Sie auf „OK“, um die Kommandozeile aufzurufen. Tippen Sie dann in das Fenster der Eingabeaufforderung den folgenden Befehl ein:

Achten Sie dabei auf die genaue Schreibweise und bestätigen Sie dann mit der Eingabetaste. Starten Sie danach Ihren Computer neu. 

Manche Eindringlinge verhindern nicht nur den Zugriff auf die Registrierungsdatenbank, sondern auch auf den Task-Manager. Mit einem Eingriff in die Registry lässt sich der Task-Manager wieder aktivieren.

So geht’s: Öffnen Sie die Registry mit [Windows R], regedit und „OK“. Navigieren Sie zu „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System“ und suchen Sie den Schlüssel „DisableTaskMgr“. Klicken Sie doppelt darauf und ändern Sie den Wert auf 0. Nach einem Neustart sollte der Zugriff auf den Task-Manager wieder möglich sein.