Mann gegen Maschine: Spyware und Trojaner trockenlegen

Das Antivirengeschäft ist zu einem gewissen Grad ein Geschäft mit der Angst – man möge sich nur einmal die Diskrepanz zwischen der PR-unterstützten Hysterie einerseits und den im Vergleich dazu unglaublich banalen Selbsterhaltungsmechanismen solcher Windows-Schädlinge vor Augen führen (Punkt 4, ganz unten, „Löschen Run-Schlüssel“ – das wars!).

Mir persönlich sind allein aus ästhetischen Gründen die fetten, systembremsenden Antiviren-Suiten unsympathisch – ich schätze das Prinzip Einfachheit und rücke deshalb den Parasiten seit Jahren mit Schraubenzieher und Seitenschneider zu Leibe. So wie gestern wieder mal bei einem Bekannten: Mit 28(!) verschiedenen Trojanern und Spyware-Tools konnte man den PC seines Sohnes durchaus als hochgradig verseucht bezeichnen. (Kein Servicepack 2, Kazaa und Co. im Dauereinsatz…). Doch selbst bei einem derart massivem Befall gilt: Wenn man das Grundprinzip all dieser Windows-Geschwüre einmal verstanden hat, führt auch hier der übliche minimal-invasive Eingriff im Autorun-Bereich in kurzer Zeit zu einem sauberen Rechner.

Wichtig sind dazu zwei Dinge:

Man benötigt zum einen ein Tool, das zuverlässig die versteckten Autostart-Einträge von Windows anzeigt. In der COMPUTERWOCHE habe ich kürzlich das überzeugende „Autoruns“ von Sysinternals vorgestellt. Weil jeder noch so raffiniert programmierte Trojaner oder Wurm nur mit einem hier abgelegten Startbefehl dauerhaft sein Unwesen treiben kann, gräbt man ihm mit diesem Werkzeug schnell das Wasser ab.

Manche Schädlinge versuchen, solche lethalen Eingriffe abzufangen, indem sie zur Laufzeit die Existenz ihres Startbefehls überprüfen. Hier hilft der Windows-Taskmanager – darin schießt man zunächst alle verdächtigen oder unbekannten Prozesse ab. Nach zwei, drei Systemstarts und der jeweiligen Nachkontrolle in Autoruns waren im aktuellen Fall alle 28 Trojaner ausgehebelt.

Die zahlreichen noch vorhandenen Dateileichen der Parasiten konnte ich anschließend mit der Betaversion von Microsofts neuem, kostenlosen Anti-Spyware-Tool beseitigen.
Mir erscheint dieses Werkzeug als recht gründlich, zudem enthält es etliche interessante Zusatzfunktionen. So kann es auf Wunsch etwa alle datenschutzrelevanten Spuren, die ein Anwender üblicherweise in Internet Explorer, Windows, MS-Office und unzähligen Programmen von Drittanbietern hinterlässt, löschen.

Wer nicht wie ich ständig selber Hand anlegen will oder sich die Eingriffe nicht recht zutraut, sollte daher dieses Tool ausprobieren – und vielleicht sicherheitshalber doch auf einen der marktüblichen Virenscanner zurückgreifen.

2 Kommentare » Schreibe einen Kommentar

  1. Man hat es hier natürlich mit der denkbar ungünstigsten Konstellation zu tun – ein User, der sich nicht für SP2 interessiert und der gleichzeitig alle potenziellen Einfallstore öffnet. Da ein solches Verhalten nicht untypisch sein dürfte, ist Microsoft tatsächlich gut beraten, Anti-Virus und -Spyware-Funktionen in seine Systeme zu integrieren.

    Ich gebe Dir recht, dass ein Echtzeitschutz natürlich vorzuziehen ist. Dennoch finde ich es interessant, dass man kaum etwas liest über die Banalität des Trojaner-Selbststarts. Wäre aber vielleicht langweilig für manche Kollegen, wenn man statt des gewohnten Hysteriegeschreis plötzlich nur mehr den letzten Absatz der Virenbulettins mit der Problemlösung publizieren dürfte… 😉

  2. @Thomas: Danke für den Tipp, kannte ich noch nicht. Für Power-User wie uns ist sowas optimal, die beschriebene Klientel wäre aber m.E. dennoch etwas überfordert.

    @Usul: In die Richtung „Vorinitialisierung“ hatte ich auch gedacht, jedenfalls ist genug Raum für Verbesserungen der bestehenden Lösung.

    Bevor Du aber den Automatismen-Teufel an die Wand malst: Für den Hersteller eines Massenprodukts sollten zuallererst die Bedürfnisse der durchnittlich begabten/geübten User zählen.
    Der Rest ist ja nicht wirklich ein Problem – Linuxern und anderen Power-Usern würde schon der Hinweis auf die Existenz eines FTP-Servers genügen.