TUTORIAL: Spyware entfernen -So geht´s-

SUID:root

Member of Honour
Spyware entfernen. So gehts
-ein kleiner Ausflug ins System

Irgendwo in Deutschland, Februar 2005

Diese How-To wurde von mir für das HaBo verfasst (http://www.hackerboard.de), darf aber auch anderweitig veröffentlicht werden, solange der Text nicht verändert oder auszugsweise veröffentlicht wird.


VORWORT

Da es immer wieder zu Fragen über Browser-Hijacking und der Entfernung von Spyware kommt, verfasse ich dieses kleine How-To in der Hoffnung, damit etwas Licht ins Dunkel zu bringen.
Aufgrund der Komplexität dieses Themas sollte jedem Leser bewusst sein, dass dieses How-To nur eine Hilfe darstellt und in keinem Fall als eine Universal-Lösung verstanden werden sollte.
Die Variationen auf diesem Gebiet sind zu vielfältig, als das man sie auf neun Seiten unterbringen könnte. Ganz Eilige können direkt bei ?Jetzt geht?s los? anfangen.
------------------------------------------------------------------------------------------------------------------------------------------
ACHTUNG: Viele Programme, die sich als Anti-Spyware-Programme ausgeben, sind oftmals selbst Spyware. Also bitte nicht irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt.
Eine schöne Website und nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise!!!
------------------------------------------------------------------------------------------------------------------------------------------

Alle Informationen basieren auf rein persönlichen Erfahrungen; daher weise ich mit Nachdruck darauf hin, dass ich keinerlei Haftung für entstehende Schäden, die durch die Verwendung dieses How-To´s entstehen, übernehmen kann.

Jeder Nutzer ist für sein eigenes Verhalten verantwortlich.
Im Normalfall sollte es aber keine Probleme geben.

Ich gehe weder auf die Funktionsweise noch die Konsequenzen von Spyware/Browser-Hijacking ein, da dies weitläufig bekannt sein sollten.
Wenn nicht, empfehle ich eine Suchmaschine deiner Wahl.

Ferner weise ich darauf hin, dass in diesem How-To nur auf Spyware in Form von Exe- und DLL-Files eingegangen wird, da diese die größten Gefahren verursachen und sich am schwierigsten entfernen lassen.

Da ich in den letzten Tagen ein System per Hand säubern durfte und dabei über 100 Spywarekomponenten sowie Würmer und andere Malware entfernt habe, weiß ich, dass es in diesem Bereich für manchen User zu massiven Problemen bei der ?automatischen? Entfernung kommen kann.
Mittlerweile schützt sich Spyware sehr gut gegen eine Entfernung durch Programme wie Spybot oder Adaware.
In diesen Fällen ist es nötig, Hand anzulegen. Doch auch hier wird es nicht einfach, da auch wichtige Systemkomponenten wie etwa der Taskamanager gersperrt werden.
Mit anderen Worten:

Selbst als Administrator besitzt man kaum noch genügend Einfluss, um das System zu säubern.
Ich gehe von dem Worst-Case-Szenario aus.
Das System bootet, danach steht es fast, weil unzählige Prozesse die Rechenleistung in die Knie zwingen. Möglicherweise hat die Spyware dem Browser auch noch eine neue ?Toolbar? verpasst und es öffnen sich nur noch bestimmte Seiten.

Die meisten Systemprogamme sind blockiert. Reg-Edit, Taskmanager und Co sind außer Funktion gesetzt. Also was tun? Zunächst sollte man verstehen, was Spyware mit dem System macht, bzw. wie sie es schafft, das System zu kontrollieren.

Wie nistet sich Spyware im System ein und wie schützt sie sich selbst?

Die Variationen sind vielfältig.

Entweder wird Spyware in Programmen versteckt oder aber auf Webites platziert.
Besucht ein User diese Site, ist es oft nicht nötig einen Download zu starten, um sich zu ?infizieren?.
Mittels bekannter Sicherheitslücken wird der Browser überlistet und der Schädling auf das System des Users übertragen.
In der Regel wird eine Datei im Temp-Verzeichnis des Browsers abgelegt und meist auch dort gestartet. Im Falle des Internet-Explorers befindet sich die Datei also in ?Temporary Internet Files? und/oder unabhängig vom Browser im Temp-Verzeichnis.
Entweder wird gleich eine ausführbare Datei (*.exe, *.scr, *pif, etc?) auf das System übertragen, oder aber Scripte ausgeführt (meist Java-Script), um wiederum den Download einer Datei zu starten.

Details sind hier nicht weiter wichtig. Wichtig ist nur, dass wir die besagten Ordner nicht vergessen ;)

Nachdem die ausführbare Datei gestartet wurde, installiert diese mindestens eine neue Exe oder setzt neben der Exe auch gleich noch mindestens eine DLL im System ab.
Einträge in der Registry und/oder Dateien werden zeitgleich durchgeführt um den zukünftigen Start der Schädlinge sicherzustellen.

(Danke an Mackz für die komplette Liste aller Schlüssel und Dateien :))

Registry:

Einträge erfolgen unter anderem in:

Windows 95-XP
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnceEx

- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Common Startup

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Common Startup

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\NetworkPath

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\UpdateMode

- HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


Windows 98 - XP

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ShellServiceObjectDelayLoad


Windows 2000 und XP

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

- HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts

- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

- HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup

Autostart über Dateien:

Windows 95-98

- C:\Winboot.ini

- C:\Config.sys,
Einträge "Device=", "Install=", "Devicehigh=" und "Installhigh="

- C:\Autoexec.bat

- C:\Win.bat

- C:\Windows\Dosstart.bat

- Winstart.bat


Windows 95-ME

- C:\Msdos.sys

- C:\Windows\Wininit.ini

- C:\Windows\System.ini,
Eintrag "Shell="

- C:\Windows\Win.ini,
Einträge "run=" und "load="

- C:\Windows\Startmenü\Programme\Autostart

- C:\Windows\Profiles\<Benutzername>\Startmenü\Programme\Autostart

- C:\Windows\AllUsers\Startmenü\Programme\Autostart


Nur Windows ME

- C:\Window\Command\Cmdinit.bat


Nur Windows 2000

- C:\Winnt\Autoexec.nt und Config.nt


Nur Windows XP

- C:\Windows\Autoexec.nt und Config.nt


Windows 2000 und XP

- C:\Dokumente
und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart

- C:\Dokumente
und Einstellungen\All Users\Startmenü\Programme\Autostart


Die Files (Exe, DLL) werden im Windows-Verzeichnis oder System32 Verzeichnis abgelegt.
Aber auch abgelegenere Plätze sind möglich, wie etwa: MsAgent, Drivers, ?
Im Grunde ist es egal, wo sich die Dateien befinden. Wir werden sie finden ;)

Spyware schützt sich durch verschieden Mechanismen.
Ist eine Datei von Windows in Verwendung, kann sie nicht gelöscht werden. Windows verwehrt den Zugriff darauf.

Der einfachste Weg ist also, den laufenden Prozess über den Taskmanager zu beenden.
Oft startet die Anwendung aber einfach neu. Andere Prozesse überwachen den beendeten Prozess und starten ihn wieder.
Es ist nicht möglich, alle Prozesse gleichzeitig zu beenden.
Startet man den Rechner neu, starten die Programme auch erneut durch die Einträge in der Registry.
Entfernt man die Einträge werden auch diese wieder neu angelegt.
Man dreht sich also im Kreis.

Wenn die Spyware jetzt auch noch den Zugriff auf den Taskmanager und Regedit unterbindet, dann ist man ausgesperrt.
Die Prozesse lassen sich nicht beenden.

Außerdem besteht die Möglichkeit, dass Dateien im Temp-Ordner von Windows und/oder des Browsers neue Dateien aus dem Internet laden.

Nein, das ist noch nicht alles.
Um den User auch noch auf bestimmte Seiten umzulenken (z.B. um noch mehr Spyware zu installieren), wird die HOSTS-Datei von Windows auch noch geändert.
Die HOSTS-Datei enthält Einträge zu bestimmten IP-Adressen verknüpft mit dem DNS-Namen eines HOSTS. In der Regel ist diese Datei nicht weiter nötig, doch hat sie Priorität für Windows, wenn dort Einträge vorhanden sind.
Windows verwendet sie gewissermaßen wie einen ?lokalen DNS-Server? um Hostnamen aufzulösen. Wird diese Datei mit Einträgen gefüllt, dann befolgt Windows brav diese Einträge.

Steht dort z.B.:

123.123.123.123 www.google.de

dann würde bei dem Aufruf von www.google.de statt der realen IP von Google die IP 123.123.123.123 aufgerufen werden. Damit wäre der Browser also schon umgeleitet.
123.123.123.123 stellt natürlich nur ein Beispiel für eine IP Adresse dar.

Die HOSTS-Datei lässt sich jedoch beliebig füllen.

Unter Windows XP befindet sich die Datei unter C:\WINDOWS\system32\drivers\etc
und kann mit jedem normalen Editor bearbeitet werden. Bei anderen Windows-System muss jeder User selbst nachsehen. Ich weiß es nicht auswendig?

Normalerweise stehen keine Einträge in dieser Datei bzw. sind die Einträge mit # ausgenommen und werden ignoriert.

Also, was tun?


Jetzt geht?s los.

Vorbereitung:

1.) HOSTS-Datei prüfen, wenn das oben genannte Problem mit umgeleiteten Websites auftritt und Einträge entfernen oder mit # ausnehmen.
2.) Programme downloaden: Spybot - Search and Destroy. Adaware, einen guten (!) Virenscanner (F-Secure, Kaspersky) sowie Prozess-Radar von http://www.delphi-soft.de/. Ggf. noch Winpatrol von www.winpatrol.com/
3.) Einen anständigen Browser ;-) www.mozilla.org
4.) Einen Onlinescan ausführen (www.bitdefender.com, www.mcafee.com) und versuchen im Vorfeld bestimmte Schädlinge entfernen zu lassen. Online-Scanner haben den Vorteil, nicht installiert werden zu müssen. Und gerade das wird von aktiver Spyware oft unterbunden.


Entfernen von Spyware:

1.) Den Rechner im abgesicherten Modus starten. Dadurch werden weniger bis keine Spyware-Komponenten geladen. Internetverbindung trennen. Danach den Browser öffnen und alle temporären Dateien löschen. Beim IE geht das über ?Extras? -> Internetoptionen ->Dateien löschen. ?Alle Oflline-Inhalte löschen? markieren und OK klicken. C.\Windows\temp und C:\tmp öffnen und alle Dateien löschen. Papierkorb auch mal ausleeren ;)

2.) über Start -> ausführen -> ?msconfig? und der Registerkarte ?Systemstart? lassen sich alle startenden Prozesse ansehen. Alle unbekannten Prozesse kann man hier deaktivieren. Bringt aber nicht immer etwas.


3.) Wir versuchen mal den Taskmanager zu öffnen. Startet er? Super. Welche Prozesse laufen? Kann man die Prozesse zuordnen? In jedem Fall empfehle ich hier den Einsatz von Prozess-Radar. Egal ob der Taskmanager startet oder nicht, mit Prozess-Radar hat man einen perfekten Überblick über alle laufenden Prozesse, nebst Modulen und Pfad zur jeweiligen Datei. Windows 95/98/2000-User können gleich zu Schritt 6 springen.


4.) Jetzt könnten wir anfangen, die Prozesse zu beenden. Fast jedenfalls J. Denn spätestens jetzt sollten wir noch die Laufwerksüberwachung für alle Laufwerke deaktivieren, damit die Systemwiederherstellungsfunktion von Windows ME/XP die entfernten Dateien nicht wiederherstellt. ;) User von Windows 95/98/200 können diesen Part überspringen und direkt an Punkt 5 fortfahren.

WindowsME-User: Klicke auf "Start" > "Einstellungen" > "Systemsteuerung". Doppelklicke auf "System". Klicke dann auf der Registerkarte "Leistungsmerkmale" auf "Dateisystem". Auf der Regiisterkarte "Problembehandlung" bitte das Häkchen "Systemwiederherstellung deaktivieren" anklicken. Klicke auf "OK". Klicke auf "Ja", wenn Du dazu aufordert wirst, Windows neu zu starten.
WindowsXP-User: Arbeitsplatz öffnen, klicke mit rechter Maustaste auf Eigenschaften, klicke anschließend auf die Registerkarte ?Systemwiederherstellung? und setze ein Häkchen bei ?Systemwiederherstellung auf allen Laufwerken deaktiveren?.

5.) Welche Prozesse bösartig sind, muss jeder User für sich entscheiden. Es gibt mehrer Quellen im Netz, die alle Systemprozesse sowie Treiber auflisten. z.B.: http://www.liutilities.com/products/wintaskspro/processlibrary/system/

6.) Windows 95/98-User müssen Prozess-Radar verwenden, da Prozesse unter diesen Systemen nicht angezeigt werden. Bei Windows ME bin ich mir nicht sicher.

7.) Wir killen also mit dem Taskmanager (Win2000/XP) oder Prozess-Radar die verdächtigen Prozesse. Alle Prozesse, die mit Userrechten ausgeführt werden, sind oftmals kritisch. Sehr selten wird Spyware mit Systemrechten ausgeführt. In solchen Fällen würde ich das System komplett neu installieren. Läuft Spyware mit Systemrechten, sieht es nicht gut aus. L Im Normalfall läuft die Spyware jedoch mit Benutzer-Rechten.

8.) Wer jetzt mit dem Windows-Taskmanager arbeitet, kann schon mal anfangen, die Dateien, die im Taskmanager laufen oder auch in ?msconfig? eingetragen sind, mittels Windows-Suche zu suchen. ACHTUNG: Im Explorer die Ansicht für versteckte Dateien und Systemdateien deaktiveren, so dass versteckte Dateien angezeigt werden. In der Windowssuche unter Optionen (bei XP) ?auch versteckte Objekte durchsuchen? anklicken.

9.) Prozess-Radar-User können stattdessen einfach den Pfad zur Datei in der Tabelle auslesen und die Datei dann im jeweiligen Verzeichnis löschen.

10.) Wenn alle Dateien entfernt wurden, kann man einen Scan mit Spybot, Adaware sowie dem Virenscaner oder Online-Scanner wagen. Wird noch immer Spyware gefunden? Kann die Spyware entfernt werden?

11.) Sollte es jetzt immer noch zu Problemen bei der Entfernung kommen, rate ich zu einem Neustart. Aber auch hier bitte nur in den abgesicherten Modus booten!
12.) Erneut scannen. Im Normalfall lassen sich Reste und Fragmente automatisch entfernen. Sollte es dennoch zu weiteren Problemen kommen, dann muss wieder bei Schritt 8 angefangen werden. Ich kenne kein System, bei dem dies bisher nötig gewesen wäre. Die Entwicklung von Spyware ist genau wie die Entwicklung von Malware einem permanenten Wandel unterworfen. Deshalb kann dieses How-To nur als Hilfe angesehen werden und nicht als Universal-Lösung.
13.) Wenn das System soweit clean ist, empfiehlt sich die Installation von Winpatrol. Dadurch lassen sich Prozesse überwachen und neue Einträge in der Registry werden gemeldet. Man kann unerwünschte Programme bzw. deren Einträge problemlos aus der Registry entfernen und Tasks nach dem Beenden löschen. Ein Neueintrag wird dann unterbunden. Auch ein neuer Browser sollte jetzt installiert werden.



Möglicherweise habe ich etwas in diesem How-To vergessen. Wenn dies der Fall ist, schickt mir eine Mail über das Board. Ich bin für konstruktive Kritik dankbar.


SUID:root.
 
Oben