Malware entfernen mit Emsisoft HiJackFree 2.0

"Emsisoft HiJackFree ist ein detailliertes System Analyse Tool, das erfahrenen Anwendern dabei hilft, jegliche Arten von HiJackern, Spyware, Adware, Trojanern und Würmern zu erkennen und manuell zu beseitigen." So steht es auf der Produkt-Homepage zu lesen. Aber wie funktioniert das Ganze nun konkret? Dieses Tutorial erläutert anhand einiger Beispiele, wie ein Malware Spezialist an die Sache herangehen würde um einen Computer manuell auf Malware Befall zu untersuchen.

Inhalt:

1. Grundwissen über Malware
1.1. Verdächtige Prozesse herausfiltern
1.2. Identifizierte Malware entfernen
2. TCP/UDP Ports
3. Autostarts
4. Windows Dienste
5. Sonstiges
5.1. Explorer Addons
5.2. LSP Protokolle
5.3. Hosts Datei
5.4. ActiveX Module
6. Fazit


1. Grundwissen über Malware

Heutige Malware, wie Trojaner oder Spyware, läuft üblicherweise immer als eigenständiger Prozess. Davon ausgenommen sind lediglich klassische Viren, die sich an andere Programme anhängen um ausgeführt zu werden. Wir beschränken uns hier jedoch auf die Erkennung von eigenständiger Malware. Das Wissen um Prozesse hilft Ihnen schon mal insofern, dass Sie nur den jeweiligen Malware Prozess finden müssen, um ihn zu beenden und die Malware dadurch unschädlich zu machen.

1.1. Verdächtige Prozesse herausfiltern

Bevor Sie irgendetwas abschießen oder gar löschen, müssen Sie sicher gehen, dass es sich nicht um gutartige notwendige Software handelt. Dazu müssen Sie jeden einzelnen Prozess durchgehen und im Detail analysieren. Folgende Fragen sind dabei zu klären:

- Woher stammt das Programm?
- Wer ist der Hersteller des Programms?
- Öffnet das Programm einen TCP oder UDP Port um Befehle von außen aufzufangen?
- Wurde das Programm über einen Autostart-Eintrag automatisch gestartet?
- Läuft das Programm als Windows Dienst?

Da auf einem durchschnittlichen PC in der Regel um die 50 Prozesse aktiv sind, kann es schnell zu einer mühseligen Arbeit ausarten, wenn man alle diese Fragen mit den Windows hauseigenen Hilfsmitteln klären will. Hier kommt Emsisoft HiJackFree ins Spiel. Der Vorteil von HiJackFree liegt darin, dass eben genau diese für die Malware Bestimmung relevanten Fragen wesentlich schneller geklärt werden können.

Und so funktioniert es:

  • Als erstes öffnen Sie den Abschnitt "Prozesse" und klicken rechts oben den ersten Button "Online Informationen aktualisieren". Dabei vergleicht HiJackFree die Liste der aktiven Prozesse mit einer Online Prozessdatenbank, die Informationen darüber enthält, welche Prozessnamen standardmäßig von gutartiger oder bösartiger Software verwendet werden. Die Prozessliste färbt sich fortan in grüne, gelbe, rote und weiße Zeilen.

  • Grüne Einträge sind Prozessnamen, für die nur Informationen über gutartige Software in der Prozessdatenbank vorliegen. Sie können bei diesen Prozessen also schon einmal mit sehr hoher Wahrscheinlichkeit davon ausgehen, dass sie nicht bösartig sind. Es ist jedoch nie eine Garantie, dass die Prozesse gutartig sind. Es bedeutet lediglich, dass in der Prozessdatenbank keine Informationen über bösartige Prozesse mit den gleichen Namen vorliegen.

  • Gelbe Einträge sind Prozessnamen, die von Malware ebenso wie von gutartiger Software verwendet werden. In diesen Fällen klicken Sie auf den Eintrag und scrollen im unteren Details Fenster ganz nach unten zu den Online Informationen. Dort werden alle Informationen aus der Prozessdatenbank angezeigt. Vergleichen Sie nun die dort verzeichneten Pfade mit dem Pfad des aktiven Prozesses auf Ihrem PC. Ab hier wird ein gewisses Gespür für die Sache notwendig. Angenommen der Pfad des aktiven Prozesses ist:

    c:\programme\bekannterhersteller\programm.exe

    Und in der Prozessdatenbank gibt es zwei Einträge für programm.exe. Einer davon beschreibt einen bösartigen Prozess mit dem Pfad:

    c:\windows\programm.exe

    Und der andere beschreibt einen gutartigen Prozess mit dem Pfad:

    c:\programme\bekannterhersteller\version 2\programm.exe

    In diesem Fall kann davon ausgegangen werden, dass es sich bei diesem Prozess um einen gutartigen handelt, da der Pfad nur unwesentlich von einem als gutartig verzeichneten Prozess abweicht (in diesem Fall nur durch die Versionsnummer im Ordner Namen). Erkennen Sie den Prozess dann auch noch als bewusst installiertes gutartiges Programm anhand des Herstellernamens, können Sie diesen Prozess getrost als 'gut' abhaken und zum nächsten fortfahren.

  • Rote Einträge in der Prozessliste sind Prozessnamen, für die in der Prozessdatenbank ausschließlich Informationen über bösartige Programme vorliegen. Das kann wiederum zwei Gründe haben: Entweder es handelt sich wirklich um einen Malware Prozess oder es fehlt lediglich die Informationen in der Prozessdatenbank über ein gutartiges Programm, mit dem gleichen Namen. Auf jeden Fall empfiehlt es sich, den Prozess genauer zu untersuchen.

    Geben Sie z.B. den Dateinamen bei der Suchmaschine Ihrer Wahl ein um Informationen aus anderen Prozessdatenbanken zu erhalten. Entscheiden Sie anhand des Pfades sowie der bereitgestellten Zusatzinformationen ob der Prozess gut oder böse ist. Das Details Fenster in HiJackFree enthält eine Menge nützlicher Entscheidungshilfen dafür. Im Abschnitt "Datei Eigenschaften" sehen Sie die aus der jeweiligen Programmdatei ausgelesenen Eigenschaften, wie den Hersteller- und Produktnamen. Bei den "Prozess Details" sehen Sie außerdem, ob das Programm als Windows Dienst läuft (wenn ja, ist es weniger verdächtig), ob es über einen Autostart-Eintrag gestartet wurde (macht es verdächtig) und ob es TCP bzw. UDP Ports offen hält (sehr verdächtig).

  • Weiße Einträge in der Liste sind Prozesse, zu denen keine Online Informationen gefunden wurden. Auch hier empfiehlt es sich, im Web nach weiteren Informationen zum jeweiligen Dateinamen zu suchen.

Sie sehen also, HiJackFree kann Ihnen nicht konkret sagen, ob ein Prozess Malware ist oder nicht, aber es kann Ihnen eine große Hilfestellung sein, wenn es um das Herausfiltern von sämtlichen System-Prozessen geht. Fokussieren Sie sich in erster Linie auf die gelben, roten und weißen Zeilen, dann sparen Sie bereits eine Menge Zeit. Wichtig ist jedoch, dass Sie nie blind auf die Färbung eines Eintrages vertrauen sollten!

1.2. Identifizierte Malware entfernen

Haben Sie einen Prozess eindeutig als schädlich identifiziert, geht es an die Reinigung des Computers:

  • Um eine aktive Malware zu stoppen reicht es, den Prozess zu beenden bzw. wenn nötig abzuschießen. Wählen Sie dazu den Prozess in der Liste aus und klicken Sie links im Menü auf den Button "Prozess abschießen". Beim nächsten Systemstart würde er aber wahrscheinlich wieder aktiv werden.

  • Löschen Sie daher die entsprechende Programmdatei des Prozesses gleich mit: Checkbox "Datei löschen" ankreuzen. Es empfiehlt sich aber, die Datei nicht endgültig zu löschen, sondern Sie erst einmal unter Quarantäne zu stellen, damit sie im Notfall wiederhergestellt werden kann, sollte es sich herausstellen, dass es doch keine Malware, sondern ein notwendiges Programm ist. Kreuzen Sie dazu die Checkbox "Backup speichern" an.

  • Da Malware oft über so genannte Autostart-Einträge automatisch beim Systemstart geladen wird, sollten auch alle entsprechenden Einträge mit entfernt werden. Kreuzen Sie dazu bitte die Checkbox "Referenzen löschen" an. In manchen Fällen kann das System außerdem instabil werden, wenn die Datei gelöscht wird, aber noch tote Autostart-Einträge vorhanden sind.

2. TCP/UDP Ports

TCP bzw. UDP Ports sind Datenkanäle, über die ein Programm Steuerbefehle aus dem Web empfangen kann. Beispiele für alltägliche Einsatzgebiete von TCP Ports sind Webserver (Port 80), FTP (Port 21), SMTP (Port 25) oder POP3 (Port 110). Aber auch Backdoor-Trojaner öffnen Ports, damit der PC von außen fernsteuerbar wird. Die Portnummern können dabei beliebig gewählt werden, jedoch kann ein Port immer nur von einem Programm besetzt werden.

Der Abschnitt Ports in HiJackFree zeigt Ihnen alle offenen Ports auf Ihrem PC und die dazugehörigen Prozesse. Gehen Sie am besten, genauso wie bei der Prozess-Liste, alle Einträge durch und überprüfen Sie die verwendeten Ports. Unter Umständen hat sich ein Prozess durch einen geschickt gewählten Namen so gut getarnt, dass er Ihnen nicht aufgefallen ist. In der Portliste kann er sich jedoch nicht verstecken. Offene Ports sind nicht grundlegend böse. Überprüfen Sie, ob die Prozesse auch einen plausiblen Grund haben, Ports zu öffnen. Ein vermeintliches Textverarbeitungsprogramm öffnet zum Beispiel üblicherweise keine Ports.


3. Autostarts

In dieser Sektion von Emsisoft HiJackFree sehen Sie alle Autostart-Einträge auf Ihrem System, über die verschiedene Programme beim Systemstart automatisch gestartet werden. Neben den Standard Autostart Orten in der Registry gibt es noch eine Menge weniger gut dokumentierter Orte im System, über die sich Programme automatisch ausführen lassen. HiJackFree zeigt Ihnen 30 verschiedene Orte von Autostarts. Vor allem in der Sektion "Trickreiche Autoruns" sollten Sie jedoch vorsichtig sein und unbedingt einen Spezialisten konsultieren oder Detail Informationen im Web einholen, bevor Sie hier irgendetwas löschen - das System könnte ansonsten sehr schnell unbrauchbar gemacht werden.

Die wichtigsten Autoruns finden Sie in der Sektion "Registry", wo es zwei Unterkategorien gibt: Autostarts, die systemweit aktiv sind und für alle Benutzerkonten gelten (HKLM) und solchen, die nur für das angemeldete Benutzerkonto eingetragen sind (HKCU). Um zu testen, welche Auswirkung ein Autostart Eintrag hat, können Sie ihn hier deaktivieren. Ein deaktivierter Eintrag kann später einfach wieder eingeschaltet werden. Ein komplettes Löschen ist nicht erforderlich.

Über den Button "Online Informationen aktualisieren" wird die Autostart-Liste ebenso wie bei der Prozessliste mit einer Online-Datenbank verglichen und eingefärbt, um die Identifikation eines Malware Autostarts zu erleichtern.

Überprüfen Sie hier auch immer, ob Sie auch wirklich alle gelisteten Programme ständig benötigen. Beachten Sie, dass jedes ständig im Hintergrund aktive Programm unnötig Systemressourcen verwendet und die Leistung des Computers drosselt. Löschen Sie aber bitte nicht die Autostart-Einträge für Ihre Sicherheitssoftware. Der PC wäre ohne diese nach einem System-Neustart ungeschützt.

Tipp: Mit einem Doppelklick auf einen Eintrag im Verzeichnisbaum (z.B. Run), wird der Registrierungs-Editor geöffnet und Sie können direkt auf die Registry zugreifen.


4. Windows Dienste

Der Abschnitt "Dienste" ähnelt dem Dienste-Manager von Windows sehr. Jedoch mit dem Unterschied, dass Sie in HiJackFree auch gleich den vollen Pfad zu den Diensten auf einen Blick sehen und eine Menge zusätzlicher Informationen im Details-Fenster erhalten.

Im Wesentlichen unterscheidet sich die Dienste Liste wenig von der Prozessliste. Es ist sozusagen ein Filter auf die als Dienste im System registrierten Programme, zeigt jedoch auch derzeit gestoppte Dienste sowie versteckte Treiber (.SYS) an, die Sie sonst nicht zu sehen bekommen. Dienste werden von Windows beim Systemstart geladen, noch bevor ein Benutzer angemeldet ist. Eine als Dienst eingetragene Malware würde daher schon aktiv werden, bevor Sie als Benutzer auf dem PC irgendetwas machen können.


5. Sonstiges

Im Abschnitt "Sonstiges" sind einige nützliche Tools zur Malware Beseitigung bereitgestellt:

5.1. Explorer Addons

  • IE Toolbars
    So manche Spyware installiert eine lästige Browser Toolbar für den Internet Explorer auf Ihrem PC. Hier können Sie einzelne Toolbar Module bei Bedarf löschen.

  • Shell Erweiterungen
    Wenn Sie z.B. auf eine Datei im Explorer einen Rechtsklick machen, sehen Sie verschiedene Einträge im Kontext-Menü. Hier können verschiedene Module eingefügt werden. Wenn Sie den a-squared Scanner installiert haben, finden Sie dort auch die Erweiterung "Mit a-squared scannen". Aber auch Spyware könnte über so ein Modul aktiv werden.

  • Shell Hooks
    Auch hier handelt es sich um Module, die sich im Explorer einklinken um gewisse gute oder böse Funktionen bereitzustellen.

  • Browser Hilfsobjekte - BHOs
    Ähnlich den IE Toolbars handelt es sich auch hier um Browser-Erweiterungen für den Internet Explorer, die angezeigte Webseiten verändern können. Spyware nutzt solche Hilfsobjekte (BHOs) in erster Linie zum Einbinden von Werbung oder Popups auf den besuchten Webseiten.

  • ActiveX
    Auch das Betrifft nur den Internet Explorer. Diese Module ermöglichen es, bestimmte Browser-Funktionalitäten zu erweitern. Bekannte Browser ActiveX Module sind z.B. der Flash Player, ohne den keine bewegten Flash Animationen dargestellt werden könnten, aber auch der a-squared Web Malware Scanner, mit dem Sie Ihren PC auf Malware Befall scannen können.

5.2. LSP Protokolle

LSP steht für Layered Service Provider und bezeichnet eine Art Netzwerktreiber, die zwischen Programmen und Netzwerkkarte geschalten werden können. Adware nutzt solche Module um Werbung in den Empfangs-Datenstrom des Browsers einzufügen. Es gibt aber auch gutartige Anwendungsgebiete, wie z.B. Anti-Spam Programme, die Spam Emails direkt aus den empfangenen Daten aus dem Internet herausfiltern.

Seien Sie beim Löschen von LSPs immer sehr vorsichtig! Wenn eine LSP DLL Datei gelöscht wird, ohne den entsprechenden Eintrag in der LSP Liste zu entfernen, funktioniert der Internetzugang höchstwahrscheinlich nicht mehr! Daher ist es notwendig, LSPs immer sauber zu entfernen - Emsisoft HiJackFree hilft Ihnen dabei.

5.3. Hosts Datei

Ebenso wie die zuvor beschriebenen Abschnitte lässt sich auch die Hosts Datei für gute, wie auch für böse Absichten verwenden. Mit der Hosts Datei ist es möglich, bestimmte Hostnamen unabhängig vom DNS auf eine bestimmte IP Adresse zu legen.

Kurzer Abstecher in die Welt des Domain Name Systems (DNS): Wenn Sie z.B. im Browser die Adresse www.emsisoft.com eingeben, wird zuerst Ihr nächstgelegener DNS Server gefragt, auf welcher IP Adresse diese Web-Adresse (Domain) liegt. Der wiederum gibt dem Browser dann als Antwort: 80.237.191.14. Der Browser verbindet sich fortan mit dieser IP (unserem Webserver) und erhält die angeforderten Homepage Daten.

Mit der Hosts Datei können Sie nun den DNS Server übergehen. Fügen Sie z.B. folgende Zeile ein:

127.0.0.1 www.emsisoft.com

Dann öffnen Sie Ihren Browser und geben www.emsisoft.com ein. Sie werden statt zum a-squared Webserver, auf Ihren eigenen PC umgeleitet (127.0.0.1 ist immer der eigene PC).

Spyware nutzt diesen Trick zum Beispiel, um die Web Adresse Ihrer Bank auf einen Hacker Server umzuleiten, wo eine Kopie der Online Banking Anwendung liegt. Sie merken kaum einen Unterschied, sobald Sie jedoch Ihre PIN Nummer eingeben, loggen Sie sich nicht bei Ihrer Bank ein, sondern auf einem Server eines Angreifers, der Ihr Konto abräumen will.

Diese Technik hat aber auch eine nützliche Seite. So können Sie z.B. die Adressen von diversen Werbenetzwerken auf Ihre lokalen IP umleiten, um Werbung auf Webseiten zu unterbinden. Fertige Hosts Dateien für diesen Zweck gibt es z.B. bei MVPS.org. Web-Entwickler nutzen die Hosts Datei auch für Test-Zwecke während des Programmierens.

5.4. ActiveX Module

Anders als beim Abschnitt für die Browser ActiveX Module, sehen Sie hier alle systemweit registrierten ActiveX DLLs. Solche DLLs sind Programm-Module, die für andere Programme öffentlich zur Verfügung gestellt werden. Wenn Sie z.B. in MS Word eine MS Excel Tabelle einfügen, wird ein solches ActiveX Modul für die programmübergreifende Kommunikation verwendet.

HiJackFree färbt alle ActiveX Einträge in der Registry rot, die nicht mehr aktiv sind. Nicht aktiv bedeutet, dass in der Registry Informationen zu einem Modul vorhanden sind, für das keine DLL Datei mehr existiert. Solche Einträge können in der Regel problemlos gelöscht werden.


6. Fazit

Emsisoft HiJackFree ist ein mächtiges Werkzeug, aber definitiv nichts für Anfänger. Anders als ein Malware-Scanner kann es Ihnen nicht sagen, ob ein Programm definitiv Malware ist oder nicht. Es kann Ihnen aber dabei helfen, versteckte Malware aufzudecken und restlos zu entfernen.

Dieses Tutorial zeigt, wie vielseitig und kreativ Malware-Programmierer Ihr System knacken wollen. Seien Sie sich darüber im Klaren, dass jedes der hier beschriebenen Themen nur die Spitze des Eisbergs an Verwendungsmöglichkeiten aufzeigt. Man könnte mehrere Bücher füllen, wollte man alles bis ins letzte Detail erklären.

Viel Erfolg bei der Malware Suche!

Artikel vom 10.10.2006

Diesen Artikel im Forum diskutieren

Wie würden Sie die Qualität dieses Artikels bewerten?
    Bewertung: 8,15/9
1383 Bewertungen
Schlecht ⇒   ⇐ Spitze

Testsieger!