Hacker-Cheek 2020
Ist Ihr PC in Gefahr? So finden Sie es sofort heraus
Eben noch lief der Rechner optimal, nun aber stocken die Programme, die Festplattenled blinkt wild oder der Browser zeigt ungewollte Webseiten an. Mit unseren Tipps und den Tools auf HEFT-DVD klären Sie, ob Ihr PC gehackt ist oder nur einen Schluckauf hat.
Sollte auf Ihrem Pc-bildschirm auf einmal eine Lösegeldforderung auftauchen, dann ist die Sache ziemlich klar: Ihr PC wurde gehackt. Doch nicht immer zeigen sich Angriffe auf den Rechner gleich so drastisch und eindeutig. Für die weniger klaren Fälle benötigen Sie ein feineres Gespür und das richtige Know-how. Das ist ähnlich wie beim Arzt: Dieser kann eine Krankheit oft über einen Bluttest eindeutig erkennen. Oder er untersucht die einzelnen Symptome, die der Patient zeigt, und erkennt so die Krankheit. Für Ihren PC ist der Bluttest ein Scan mit einem Antivirenprogramm. Entdeckt das Tool einen Schädling, ist die Sache klar. Somit ist der Virenscan immer eine gute Idee und erste Maßnahme bei einem verdächtigen System. Doch nicht immer findet das Antivirenprogramm einen Schadcode – und trotzdem verhält sich Windows merkwürdig. Dann müssen Sie sich die Symptome genauer ansehen. Die fünf häufigsten Symptome nach einem Hacker-angriff beschreiben wir hier.
1 Programme und System reagieren nur langsam
Symptom: Die Nutzung des Systems läuft auf einmal nur noch stockend. Programme reagieren langsam. Die Cpu-auslastung (siehe unten im Abschnitt „Untersuchung“) liegt bei 100 Prozent.
Harmlose Ursachen: Es gibt mehrere harmlose Ursachen für eine Cpu-auslastung von 100 Prozent. Meist arbeitet gerade ein legitimes Programm eine rechenintensive Aufgabe ab. Das kann das Komprimieren eines Videos sein oder eine aufwendige Bildverwaltungsaufgabe. Auf älteren PCS führt schon die Wiedergabe von Hdvideos zu hoher CPU-LAST. Eine zweite harmlose Möglichkeit ist ein Windows10-bug, der allerdings schon einige Jahre alt ist. Der Task-manager von Windows 10 zeigte eine Auslastung von 100 Prozent, obwohl die CPU gar nicht so viel arbeitete. Eine dritte, allerdings nicht mehr ganz so harmlose Ursache, sind Bugs in Programmen oder auch in einem Windows-tool, das dann tatsächlich die maximale Cpu-power für sich in Anspruch nimmt.
Gefährliche Ursachen: Alarmstufe Rot herrscht, wenn die hohe CPU-LAST von einem Erpressungstrojaner verursacht wird. Dieser verschlüsselt alle Anwenderdateien auf dem PC und zeigt danach eine Erpressernachricht an. Bei einer großen Datenmenge kann der Verschlüsselungsvorgang durchaus etliche Stunden dauern.
Weniger dramatisch, aber dennoch unerwünscht sind Crypto-jacker, auch Mining Malware genannt. Das sind Schädlinge, die Ihren PC zum Errechnen einer digitalen
„Mit dem Ressourcenmonitor von Windows kommen Sie Tasks auf die Spur, die viel Bandbreite belegen.“
Währung, meist Moneros (www.getmonero. org), missbrauchen. Eine technische Analyse einer solchen Malware finden Sie unter
www.pcwelt.de/wwgrj_.
Untersuchung: Der erste Blick bei einem trägen Windows fällt in den Task-manager („Windows-symbol –› Windows-system –› Task-manager“). Steht dort in der Spalte „CPU“100 Prozent, klicken Sie auf diese Stelle, um die einzelnen Prozesse nach ihrer CPU-LAST zu sortieren. So identifizieren Sie schnell den Prozess, also das Programm, das dem PC die Leistung absaugt. Ist die Anzeige hier uneindeutig, nutzen Sie den alternativen Task-manager Process Explorer (www.pcwelt.de/302045).
Benötigen Sie bei der Suche nach einem Prozess weitere Unterstützung, finden Sie unter
www.pcwelt.de/2246608 einen ausführlichen Ratgeber, der sich im Punkt 2 auch mit unbekannten Prozessen beschäftigt.
Und natürlich ist ein Virencheck mit einem zweiten Virenscanner immer eine gute Idee. Allerdings gibt immer weniger Antiviren-tools, die sich parallel zu einem installierten Antivirenprogramm nutzen lassen. Empfehlenswert sind etwa der Eset Online Scanner (auf HEFT-DVD) oder der Norton Power Eraser (auf HEFT-DVD).
Lösung: Haben Sie einen Prozess ausfindig machen können, der die CPU-LAST verursacht, dann googeln Sie nach dem Namen des Prozesses und setzen noch „100 Prozent CPU“dazu. Sie werden mit hoher Wahrscheinlichkeit eine Lösung im Internet finden. Sollte der Task wegen eines Bugs den Ärger verursachen, hilft meist ein Programm-update, oder es gibt einen Workaround für dieses Problem. Ein typischer Kandidat dafür war in den Jahren 2016 bis 2018 der Windows-task runtimebroker.exe
(www.pcwelt.de/kyrgoe).
Steckt aber ein Virus hinter der hohen Auslastung, bereinigen Sie diesen mit einem Antivirenprogramm.
Achtung: Bei einer Internetsuche nach einem Prozessnamen werden Sie meist auch auf Reinigungsanleitungen stoßen, die den Einsatz einer Shareware empfehlen. Seien Sie hier besonders vorsichtig.
Meist ist der Einsatz dieser Reinigungstools nicht nötig, da eine kostenlose Antivirensoftware das gleiche leistet. Die angepriesene Shareware verlangt dagegen entweder einen hohen Preis oder zeigt massenweise Werbung an.
Browser: Sollte der Blick in den Task-manager den Internet Browser als Schuldigen für CPU-LAST ausgemacht haben, dann hat sich darin vermutlich ein Crypto-jacker breitgemacht. Dieser nutzt Ihren PC, um
digitales Geld zu errechnen. Die Lösung ist hier einfach: Der Mining-code hört meist auf zu arbeiten, sobald Sie die Website verlassen und den zugehörigen Browsertab schließen. Steckt der feindliche Code aber in einer Browsererweiterung, müssen Sie diese deinstallieren. Weiterführende Infos dazu finden Sie unter Punkt 4.
2 Die Festplatten-led blinkt wie verrückt
Symptom: Die LED Ihre Festplatte leuchtet ungewöhnlich häufig. Wenn es sich um eine etwas ältere HDD handelt, ist zudem das Laufwerksgeräusch der Magnetplatten und der Lese-/schreibköpfe zu hören. Harmlose Ursachen: Es gibt eine ganze Reihe von legitimen Tools, die eine intensive Festplattennutzung verursachen. Dazu zählt etwa der Index-dienst von Windows, den Sie unter „Windows-logo –› Einstellungen –› Suchen –› Windows durchsuchen“konfigurieren können. Oder das Antivirenprogramm führt gerade einen Komplettscan durch und lässt deshalb die Festplatte gründlich schwitzen.
Gefährliche Ursachen: Zu den gefährlichsten Ursachen zählen wieder die Erpresserviren, die alle Ihre Daten verschlüsseln und anschließend ein Lösegeld fordern. Außerdem könnte in seltenen Fällen ein Spionagecode auf Ihrem Rechner aktiv sein, und der Angreifer ist im Moment dabei, alle Ihre Dateien zu durchsuchen.
Untersuchung: Welches Programm die aktuelle Last auf der Festplatte verursacht, ermitteln Sie am besten mit dem Ressourcenmonitor von Windows. Sie starten ihn über die Tastenkombination Windows-r und geben in die Ausführen-zeile ein. Wechseln Sie dann auf die Registerkarte „Datenträger“, und klicken Sie auf „Gesamt“, um die aktiven Prozesse nach ihrer Lese-/schreibaktivität zu sortieren. Ein Verschlüsselungstrojaner fällt leicht dadurch auf, dass seine Leseaktivität etwa genauso groß ist wie seine Schreibaktivität. Der Indexdienst oder auch der Virenscanner zeigt dagegen einen hohen Leseanteil bei einer sehr geringen Schreibaktivität.
Lösung: Haben Sie einen Prozess als Schuldigen für die Festplattenaktivität ausgemacht, können Sie im Internet Infos über ihn einholen. Übrigens können Sie den ermittelten Prozess auch im Ressourcenmonitor direkt beenden. Wie im Task-manager genügt dafür ein Klick mit der rechten Maustaste auf den Prozess, gefolgt von der Auswahl „Prozess beenden“.
Scheint es sich bei einem verdächtigen Programm um einen Virus zu handeln, können Sie die Datei auch zu www.virustotal.com hochladen. Dort wird sie dann von über 50 Virenscannern überprüft.
3 Surfen und Streamen laufen nicht wie gewünscht
Symptom: Das Surfen im Internet stockt, Streamingvideos bleiben laufend stehen, und Kopien im eigenen Netzwerk brauchen eine halbe Ewigkeit.
Harmlose Ursachen: In den meisten Fällen wird entweder das eigene WLAN Probleme machen oder der Internetanschluss lahmt. Oder es findet gerade ein legitimer, sehr großer Up- oder Download ins Internet statt. Ein großer Upload passiert etwa dann, wenn Sie Fotos, Videos oder andere Daten in die Cloud sichern.
Gefährliche Ursache: In sehr seltenen Fällen kann Ihr PC von einer Schadsoftware befallen sein, und der Angreifer kopiert gerade große Datenmengen ins Internet.
Untersuchung: Als Erstes sollten Sie im Ressourcenmonitor (siehe Punkt 2) unter dem Register „Netzwerk“schauen, ob ein einzelner Task eine hohe Netzwerklast verursacht. Testen Sie als Nächstes das WLAN. Schließen Sie dafür Ihren Rechner testweise per Kabel an den Router an. Schließlich überprüfen Sie Ihren Internetanschluss. Ob dieser lahmt, finden Sie mit dem Tool Breitbandmessung (https://breitbandmessung.de) der Bundesnetzagentur heraus.
Sollte Ihr Problem darin bestehen, dass eine bestimmte Internetseite nicht oder nur sehr langsam reagiert, hilft ein Test mit
dem Service Down for Everyone or Just Me unter https://downforeveryoneorjustme.com. Lösung: Sollte Ihr WLAN schuld am stockenden Netzwerk sein, finden Sie unter www.pcwelt.de/2092595 einen ausführlichen Ratgeber mit vielen Lösungen. Wenn Ihr Internetanschluss lahmt, hilft hoffentlich ein Anruf bei Ihrem Internetprovider. Das Messprotokoll des Tools Breitbandmessung ist dabei ein gutes Argument. Ist die bremsende Netzwerklast von einem einzelnen Prozess verursacht, laden Sie das Programm zu www.virustotal.com hoch, um es auf Virenbefall zu testen.
4 Unerwünschte Werbung im Browser oder am PC
Symptom: Auf Ihrem PC erscheinen plötzlich Fenster mit Werbung. Oder Ihr Browser zeigt noch mehr Werbung an als noch kurz zuvor.
Harmlose Ursache: Sie befinden sich auf einer Website, die ungewöhnlich viel Werbung anzeigt. Vielleicht kann sie sogar den Browser austricksen und neue Fenster mit weiterer Werbung öffnen.
Gefährliche Ursache: Eine Adware hat sich auf Ihrem PC dauerhaft installiert und zeigt nun laufend Werbung an. Das kann sogar teuer werden, wenn die Adware eine Virenwarnung vorgaukelt und als Lösung ein kostenpflichtiges Tool empfiehlt. Wer dann kauft, erhält meist ein nutzloses Programm.
Untersuchung: Starten Sie eine Suche mit einem Anti-adware-programm. Empfehlenswert ist etwa der kostenlose Adwcleaner
(auf HEFT-DVD). Wenn Sie vermuten, die Adware könnte im Browser stecken, dann lohnt folgender Schnelltest: Starten Sie den Browser ohne Browsererweiterungen, denn darin steckt oft Adware. Das geht beim Firefox über „Menüsymbol –› Hilfe –› Mit deaktivierten Add-ons neu starten“. Sie können Firefox auch im abgesicherten Modus starten, indem Sie die Umschalttaste gedrückt halten, während Sie Firefox per Klick mit der Maus etwa auf das Desktopsymbol starten.
Beim Browser Chrome lassen sich Erweiterungen nur umständlich deaktivieren. Der ältere Startparameter „disable-extensions“funktionierte in unserem Test nicht mehr. Ersatzweise können Sie in Chrome über „Menüsymbol –› Neues Inkognito-fenster“ein Chrome-fenster ohne oder fast ohne Erweiterungen öffnen. Schließen Sie anschließend das andere Chrome-fenster. In Edge können Sie denselben Trick anwenden und mit „Menüsymbol –› Neues Inprivatefenster“ein neues Browser-fenster ohne Erweiterungen starten.
Lösung: Wenn der Adwcleaner die Adware gefunden hat, hilft er auch bei der Entfernung des Störenfrieds. Eine ausführliche Anleitung zum Tool finden Sie unter www. pcwelt.de/2070415. Das Programm sollte Adware auch im Internet Browser finden und beseitigen. Falls dem Tool das nicht gelingt, finden Sie unter www.pcwelt. de/1824958 einen eigenen Ratgeber zum Thema Adware im Browser, der auch bei der Beseitigung von Erweiterungen hilft.
5 Android-system verhält sich merkwürdig
Symptom: Das Android-smartphone zeigt plötzlich Werbefenster an oder es wird ohne laufende App ungewöhnlich warm.
Harmlose Ursache: Sie haben eine werbefinanzierte App installiert, die mehr oder weniger oft Werbung anzeigt.
Gefährliche Ursache: Sie haben eine Adware installiert, die laufend Werbung anzeigt. In seltenen Fällen können Sie sich auch schlimmeren Schadcode eingefangen haben, der Ihre Daten für Onlinebanking zu stehlen versucht. Laut der PSW Group (www.psw-group.de) sind im Jahr 2019 rund 1,85 Millionen neue Schad-apps entstanden. Insgesamt soll es mehr als 94,2 Millionen Android-schädlinge geben. Besonders häufig sind Adware-apps.
Untersuchung: Nutzen Sie eine Antivirenapp. Empfehlenswert ist etwa die Gratisapp Sophos Intercept X for Mobile.
Lösung: Wenn die Sophos-app einen Schädling findet, kann sie diesen in der Regel auch beseitigen.