Internet: Sicherheit: Symptome

Aus Wikibooks

Gewünschte Unterkapitel:  ·


Ist mein PC befallen? Symptome[Bearbeiten]

Wenn Sie diesen Verdacht haben, sollten Sie den PC sofort vom Internet trennen. Es gibt die Gefahr, dass Ihr PC gerade ferngesteuert oder ausspioniert wird oder dass der Virus versucht, Spam zu versenden. Schlimmer noch: Der Virus könnte versuchen, andere PCs in Ihrem Netzwerk zu infizieren. Die Firewall des Routers schützt vor Angriffen aus dem Internet, doch das innere Netzwerk schützt sie nicht. Wenn ein Virus den Router überwunden und den ersten PC im Netzwerk befallen hat, sind die anderen Rechner stark gefährdet.

Falsche Antivirus-Meldungen[Bearbeiten]

Wissen Sie, wie eine Warnmeldung Ihres installierten Schutzprogramms aussieht? Wenn Sie plötzlich eine anders aussehende Warnmeldung eines unbekannten Virenscanners sehen, ist das ein sicheres Anzeichen dafür, dass das System infiziert wurde.

Eine Unmenge von Viren, die das Programm angeblich gefunden hat, soll Sie verleiten, Ihrem installierten Sicherheitsprogramm zu misstrauen und dieses neue Antivirenprogramm zu erwerben. Wenn Sie auf den angebotenen Link klicken, gelangen Sie auf eine professionell aussehende Website voller Auszeichnungen und Kundenbewertungen (und fangen sich dabei vielleicht einen Drive-by-Virus ein). Dann wird die Kreditkartennummer abgefragt − und viel zu viele Nutzer fallen darauf herein.

Was tun: In Bearbeitung befindliche Dateien speichern und den PC schnell herunterfahren. Dann den PC im „Abgesicherten Modus ohne Netzwerk“ neu starten und die verdächtige Software deinstallieren. Wenn das nicht gelingt, das System auf einen früheren Zustand zurücksetzen.

Häufige Popup-Fenster[Bearbeiten]

Wenn Sie auf oft besuchten, vertrauten Webseiten plötzlich mit aufpoppender Werbung konfrontiert werden, ist Ihr Browser vielleicht unterwandert. Versuchen Sie, Toolbars und unbekannte Software zu deinstallieren, eventuell im abgesicherten Modus.

Unerwünschte Browser-Toolbars[Bearbeiten]

Plötzlich hat der Browser ein(ig)e neue Toolbars, die Sie nicht installiert haben? Die meisten Browser zeigen unter Ansicht → Symbolleisten die installierten Symbolleisten an. Entfernen Sie die Haken vor allen Toolbars, die Sie nicht unbedingt behalten möchten. Wird die verdächtige Toolbar nicht angezeigt oder lässt sie sich nicht deinstallieren, versuchen Sie den Browser auf Standardeinstellungen zurückzusetzen. Wenn auch das nichts bringt, gehen Sie so vor wie bei „Falsche Antivirus-Meldungen“. Achten Sie bei der Installation jeglicher Software stets darauf, was alles mitinstalliert werden soll.

Unerwünschte Suchmaschinen[Bearbeiten]

Egal wonach Sie suchen, Sie finden hauptsächlich kostenpflichtige Abo-Angebote und Kaufangebote? Das ist typisch für die Ask-„Suchmaschine“. Die ist vermutlich zusammen mit der Ask-Toolbar installiert worden, aber auch bei der Installation mehrerer Freeware-Programme kann Ihnen diese Toolbar aufgedrängt worden sein. Selbst beim Download von zweifellos nützlichen Programmen wie Java oder Nero wird Ask mitinstalliert, wenn Sie nicht aufpassen.

Wer verdient daran, die Suchergebnisse zu manipulieren? „Suchmaschinen“ wie z. B. Ask leiten zusätzliche potenzielle Interessenten auf ausgewählte Seiten. Ask zählt mit, wie viele Nutzer auf welche Seiten geleitet wurden. Deren Besitzer zahlen für den Traffic. Von diesen Einnahmen zahlt Ask „Kopfprämien“ an Softwareanbieter, denen es gelungen ist, ihren Nutzern die Ask-Suchmaschine zu installieren.

Freunde empfangen merkwürdige Mails mit Ihrem Absender[Bearbeiten]

Es gibt mehrere Möglichkeiten, wie die Hacker an die Adressen Ihrer Freunde gekommen sind: Aus abgefangenen E-Mails oder aus einem gehackten Facebook-Konto. Aber vielleicht hat sich ein Trojaner eingenistet und Ihren PC erfolgreich nach Adressen durchsucht.

Was tun? Prüfen Sie, ob Sie sich noch an Ihrem Mailkonto anmelden können. Wenn ja, das Passwort ändern. Unerwünschte Toolbars und andere Software entfernen. Den PC mit dem eigenen Schutzprogramm und einigen Online-Virenscannern überprüfen, auch im abgesicherten Modus.

Online-Passwörter stimmen nicht mehr[Bearbeiten]

Sie können Ihre E-Mails nicht mehr abrufen und das E-Mail-Programm behauptet, das Passwort stimmt nicht? Oder die Anmeldung bei Amazon, Ebay oder Facebook funktioniert nicht mehr? Es könnte sein, dass Ihre Accounts gekapert worden sind, vorzugsweise alle diejenigen, für welche Sie ein identisches Password benutzt haben. Haben Sie vielleicht vor kurzem auf eine authentisch anmutende Phishing-Mail reagiert, die um die Erneuerung des Passworts für einen Online-Dienst gebeten hat? Und nun wundern Sie sich, dass Ihr Passwort nochmals geändert wurde und dass in Ihrem Namen Einkäufe getätigt oder Verträge abgeschlossen werden?

Was tun? Informieren Sie sofort alle Kontakte (möglichst über Telefon), um den Schaden für Andere zu verringern. Melden Sie dem betroffenen Online-Dienst die Kompromittierung. Die meisten Provider helfen Ihnen mit einem neuen Passwort, manche haben diesen Vorgang bereits automatisiert.

Wenn Sie die gleichen Anmeldedaten auch auf anderen Webseiten nutzen, sollten sie auch dort schnellstens geändert werden. Kontrollieren Sie alle ihre Internetshops, ob dort etwas in Ihrem Namen bestellt wurde und ob die Lieferung noch storniert werden kann.

Security-Software, Taskmanager, Registry-Editor sind deaktiviert[Bearbeiten]

Ihre Security-Software ist deaktiviert, obwohl sie noch nicht abgelaufen ist? Ein Update ändert daran nichts oder gelingt nicht? Vermutlich ist das System infiziert. Ganz besonders gilt das, wenn der Taskmanager nicht mehr startet. Versuchen Sie, die Schutzsoftware zu deinstallieren und nach einem Neustart erneut zu installieren. Funktioniert sie nach dem nächsten Neustart und der Aktualisierung wie immer? Wenn nicht, ist eine Neuinstallation von Windows ratsam. Im Internet gefundene Ideen funktionieren nicht oft.

Software installiert sich selbstständig[Bearbeiten]

Mitten am Tag werden Sie aufgefordert, einer Installation zuzustimmen? Das Programm behauptet, ein Update des Antivirenprogramms o. ä. zu sein? Ungewollte und unerwartete Installationsprozesse, die aus dem Nichts starten, sind ebenfalls ein starkes Anzeichen dafür, dass das System gehackt wurde.

Sie haben ein Programm − nur ein Programm − heruntergeladen und werden zweimal gefragt, ob Sie einer Installation zustimmen? Malware versucht oft, sich wie jede x-beliebige Software mit einer Installationsroutine auf dem Rechner zu installieren. Häufig kommen die Schädlinge als „Huckepack“ mit sauberen Programmen. Oft hilft es, Lizenzvereinbarungen zu lesen, bevor Sie ein Programm herunterladen. In vielen dieser Texte, die leider niemand liest, wird haarklein aufgeführt, welche Programme wie mitkommen.

Der Mauszeiger bewegt sich von allein[Bearbeiten]

Sie kehren nach einer Pause zum PC zurück und sehen, dass sich der Mauszeiger zielstrebig bewegt? Wird Ihr PC gerade ferngesteuert? Wenn die Maus einen Wackelkontakt hätte, würde sie sich nicht zielstrebig bewegen.

Was tun? Fotografieren oder filmen Sie den Bildschirm mit der Digitalkamera zu Beweiszwecken. Trennen Sie dann den PC vom Internet. Suchen Sie einen „sauberen“ PC und ändern Sie alle wichtigen Passwörter, angefangen mit Online-Banking und E-Mail-Konten. Sprechen Sie mit Ihrer Bank: Vielleicht sollten Sie ein Limit für Online-Überweisungen setzen? Manche Banken bieten eine E-Mail-Benachrichtigung bei Lastschriften an.

Stellen Sie Strafanzeige bei der Polizei. Banken ersetzen einen eventuellen Schaden nicht, wenn Sie leichtsinnig gewesen sind. Es ist gut, wenn Sie nachweisen können, dass es sich um einen Angriff gehandelt hat, z. B. mit Bildschirmfotos. Lassen Sie von einem IT-Forensiker eine komplette Kopie Ihrer Festplatte anfertigen. Die Kopie kann gegebenenfalls später genau untersucht werden kann, um die Art des Schadens zu beweisen. Vielleicht sollten Sie die infizierte Festplatte einfach ausbauen und durch eine neu gekaufte Festplatte ersetzen, das kommt Sie billiger als ein Forensiker. Eine Windows-Neuinstallation sollten Sie auf jeden Fall vornehmen.

Der PC ist sehr langsam[Bearbeiten]

Es könnte sein, dass die Festplatte zu voll ist (C: sollte nicht mehr als 80 % voll sein) oder „im Sterben liegt“. Klicken Sie auf Start und tippen Sie in das Suchfeld „Programme/Dateien durchsuchen“ den Befehl „eventvwr.msc“ ein. In der Ereignisanzeige wählen Sie „Windows-Protokolle“ → „System“. Wenn Sie mehrere „Fehler“ von der Quelle „Disk“ finden können, sollten Sie Ihre Daten sichern und eine neue Festplatte kaufen.

Wenn Sie die Tasten „Strg“ und „Alt“ (beide in der unteren linken Ecke der Tastatur) gleichzeitig gedrückt halten und zusätzlich die Taste „Entf“ drücken, muss sich ein bildschirmfüllendes Menü öffnen. Klicken Sie auf „Task-Manager starten“. Auf den Registerkarten „Leistung“ und „Netzwerk“ können Sie die Auslastung des PCs kontrollieren. Die LAN-Verbindung sollte inaktiv sein und selbst während des Surfens sollten die Auslastungsspitzen unter 1 % liegen. Die CPU-Auslastung im Ruhezustand darf einige Spitzenwerte unter 10 % haben (Windows beschäftigt sich mit sich selbst). Auf der Registerkarte „Prozesse“ kann man sehen, welches Programm wie viel Prozessorzeit belegt. Machen Sie das Taskmanager-Fenster breit genug, damit Sie den Programmnamen und die Beschreibung sehen können. Vielleicht finden Sie so das Programm, welches die hohe Auslastung verursacht.

Die Startseite des Browsers hat sich geändert[Bearbeiten]

Manchmal reicht es aus, einfach die Startseite des Browsers richtig einzustellen. Wie geht das?

  • Beim Internet Explorer:
    • Taste F10 drücken, um die Menüleiste einzublenden,
    • „Extras“ → „Internetoptionen“ → Registerkarte „Allgemein“
    • Tragen Sie Ihre Wunschseite ein oder klicken Sie auf „Aktuelle Seite“, damit alle in diesem Moment geöffneten Webseiten zu Startseiten werden.
    • Übernehmen, OK.
  • Beim „Chrome“:
    • Menü-Button → „Einstellungen“.
    • Beim Start „Bestimmte Seite oder Seiten öffnen“ → „Seiten festlegen“.
  • Beim Mozilla Firefox:
    • Über den Menü-Button zu „Einstellungen“ → Registerkarte „Allgemein“

Schließen Sie den Browser und starten Sie ihn erneut. Wird immer noch die falsche Startseite angezeigt? Klicken Sie mit der rechten Maustaste auf das Icon bzw. den Startmenüeintrag, mit dem Sie üblicherweise den Browser starten, und dann auf „Eigenschaften“. Die Zeile „Ziel“ sollte mit dem Namen des Browsers enden, z. B. „iexplore.exe“ oder „firefox.exe“, meist gefolgt von einem Anführungszeichen. Wenn dahinter die Webadresse der lästigen Seite steht, löschen Sie diese heraus! Wiederholen Sie das bei allen Verknüpfungen mit allen Browsern!

Datenverkehr mit dem Internet kontrollieren[Bearbeiten]

Wenn ein Programm mit dem Internet kommuniziert, ist es wahrscheinlich ein Update, doch es könnte auch ein Zeichen sein, dass der PC gehackt ist. Das Tool „TCPView“ von Microsoft (englisch) kann Ihnen in Echtzeit alle Programme zeigen, die eine Internetverbindung benutzen, einschließlich deren Gegenstelle.

In der ersten Spalte der Ergebnistabelle steht der Name und die Identifikationsnummer des Prozesses. Spalte zwei zeigt das Protokoll TCP oder UDP, was hier unbedeutend ist. Spalte drei zeigt Ihren Rechnernamen und den Port. Die vierte Spalte zeigt die Adresse der Gegenstelle. Wenn dort „localhost“ oder „127.0.0.1“ steht, ist das Ihr eigener PC. Die letzte Spalte zeigt den Status der Verbindung: „Established“ für verbunden oder „Listening“ für lauschend.

Es gibt leider keine einfache Regel, um bösartige von gutartigen Verbindungen eindeutig zu unterscheiden. Das wichtigste Kriterium bei der Analyse ist der verwendete Port. Die „Well Known Ports“ aus dem Bereich 0 bis 1023 sind in der Regel unkritisch. Die „Registered Ports“ aus dem Bereich 1024 bis 49 151 sind nicht fest vergeben und werden von FTP-Clients, Browsern, Mailprogrammen oder Messengern verwendet. Manche Programme benutzen einen zufälligen Port und schließen ihn, sobald die Kommunikation beendet ist.

Wenn TCPView einen Anwendungsnamen anzeigt, der Ihnen nichts sagt, und dabei ein Port größer als 1024 benutzt wird, sollten Sie Verdacht schöpfen. Klicken Sie mit der rechten Maustaste auf den Prozess und wählen „Process Properties“. Recherchieren Sie im Internet nach dem Namen der Anwendung.

Wenn Sie eine Liste mit Portnummern brauchen, fragen Sie eine Suchmaschine nach „well known ports“. Dort finden Sie in der Wikipedia die Liste der standardisierten Ports sowie die englische Originalliste der iana.org.

Die Ports aus dem Bereich 49 152 bis 65 535 werden selten genutzt – hier liegt die ideale Spielwiese für Trojaner. Sollte eine Anwendung einen Port aus diesem Bereich geöffnet haben, merken Sie sich Pfad und ID.

Alle E-Mails kommen als unzustellbar zurück[Bearbeiten]

Vermutlich wurde Ihr PC als Spamschleuder missbraucht. Gehen Sie auf www.dnsbl.info und sehen Sie nach, ob die IP-Adresse Ihres PC auf der schwarzen Liste steht. Wenn ja: Trennen Sie die Internetverbindung, falls das der Router nicht jede Nacht automatisch macht. Bei der nächsten Einwahl bekommt Ihr Router eine andere IP-Adresse.

Datei „HOSTS“ kontrollieren[Bearbeiten]

Bei der Datei „hosts“ im Ordner C:\Windows\System32\Drivers\etc handelt es sich um einen DNS-Vorgänger, der manchmal missbraucht wird. Diese Datei kann Zuordnungen von IP-Adressen zu Webseiten enthalten und dadurch Webseitenaufrufe auf Hackerseiten umleiten. Öffnen Sie die Datei mit dem Editor bzw. Notepad aus der Zubehörgruppe. Ignorieren Sie alle Kommentarzeilen, die mit „#“ beginnen. Wenn in der Datei etwas anderes als „::1 localhost“ oder „127.0.0.1 localhost“ steht, ist der PC gehackt.