Inventur im Notfallkasten

c’t Helper 2.0: Was die mitgelieferten Werkzeuge leisten

Praxis & Tipps | Praxis

Bitten Freunde, Bekannte oder Familie um Pannenhilfe am PC, möchte man diese Aufgabe möglichst schnell und souverän meistern – schnell, weils die Freizeit frisst und souverän, weil es den Ruf als Computerversteher zu behalten gilt. Die Werkzeuge des c’t Helper 2.0 assistieren beim Erreichen beider Ziele.

Der c’t Helper 2.0 stellt 21 Hilfsprogramme zur Diagnose und Beseitigung von PC-Problemen auf einem USB-Stick bereit. Wir haben die Programme drei Rubriken zugeordnet: Systemanalyse, Schädlingsentfernung und unterstützende Werkzeuge.

Ein wesentliches Kriterium bei der Auswahl war, dass die Tools möglichst schnell zu Ergebnissen führen. Die meisten der Programme lassen sich direkt vom Stick ausführen. Alle sind für den privaten Gebrauch kostenlos einsetzbar.

Im Kasten „Ratschläge für Helfer“ finden Sie einen kurzen Ratgeber zur Vorbereitung eines Hilfseinsatzes. Der Kasten „Bärendienste“ gibt Tipps zur Etiquette. Für den BKA-Trojaner und andere Erpressungsprogramme gelten gesonderte Bedingungen; sie werden im Kasten „Erpressungsopfer“ erläutert.

Achten Sie vor der Fahrt zu einem Hilfsbedürftigen darauf, dass der c’t Helper auf dem neuesten Stand ist: Einige Komponenten veralten innerhalb weniger Tage. Und stellen Sie unbedingt sicher, dass das Medium schreibgeschützt ist, bevor Sie es einem fremden Rechner anvertrauen – mehr dazu im vorangegangenen Artikel.

Nehmen Sie zum Einsatz ein Smartphone, ein Notebook oder ein anderes Gerät mit Internet-Zugang mit. Im Zweifelsfall kann man auf diesem Weg eine Suchmaschine zu Rate ziehen, um etwa verdächtige Dateien zu identifizieren oder Hinweise auf die Ursache von Fehlermeldungen zu finden. Kommt der hilfsbedürftige Rechner selbst nicht mehr ans Netz, können Sie über Ihr Net- oder Notebook auch Treiber und Software nachladen und diese per Wechselmedium an den Patienten durchreichen.

Systemanalyse

Nach einem Image der Systempartition und dem Backup aller wichtigen Anwenderdaten gilt es zunächst, die Fehlerquelle einzukreisen. Oft liefert die Problembeschreibung des Hilfsbedürftigen erste Indizien, ob die Fehlerquelle eher auf Hardware zurückzuführen ist oder auf Software beziehungsweise das Betriebssystem.

Steht eine Hardware-Komponente unter Verdacht, sollte man zuerst deren Anschlüsse überprüfen. Erstaunlich viele Hardware-Fehler entpuppen sich als lose Kabel. Saugt der PC-Besitzer wohlmeinend die Staubknäuel hinter seinem Gerät weg, löst er dabei womöglich unabsichtlich den Stecker vom Druckerkabel – zwar steckt er noch, die Kontakte sitzen aber nicht mehr stabil. Übersieht man das, lässt man womöglich ein Dutzend tintenfressende Reinigungsdurchgänge durchlaufen, bevor einem die wahre Ursache für den Ausfall dämmert.

Selbst wenn der Stecker bombenfest sitzt, hilft es oft, einen anderen USB-Anschluss auszuprobieren. Dann initialisiert Windows den Port neu und plötzlich geht alles wieder. Auch wenn es albern klingt: Bei Problemen mit der Peripherie sollte die erste Rückfrage stets lauten: „Hast du die Kabel abgezogen und wieder eingesteckt?“ Und zwar an beiden Enden.

Kann man diese Fehlerquelle ausschließen, sollte man überprüfen, was der Rechner an Fehlermeldungen hergibt. Die ersten Anlaufstellen sind der Windows-eigene Geräte-Manager sowie die Ereignisanzeige. Mit Ausrufezeichen markierte Geräte weisen im Ersteren auf Probleme hin; ein Doppelklick liefert Details. Die Ereignisanzeige hat eventuell eine zugehörige Fehlermeldung protokolliert, anhand derer sich die Ursache weiter einkreisen lässt.

Womöglich lässt sich das Problem mit einem Treiber-Update beseitigen – gewusst, welches. Hier springt Speccy in die Bresche. Speccy benötigt nach dem Start bis zu 30 Sekunden, um die Eckdaten zu Prozessor, Arbeitsspeicher, Motherboard, Grafikkarte, Festplatte und mehr zu erfassen. Zur Analyse gehört auch die Protokollierung von Zustandswerten wie der CPU-Temperatur und der S.M.A.R.T.-Daten der Festplatte. So findet man en passant heraus, ob der Rechner Hitzeprobleme hat oder eine kurz vor dem Tod stehende Festplatte für spontane Ausfälle verantwortlich sein könnte.

Unter „Betriebssystem“ zeigt Speccy auch den Status von Benutzerkontensteuerung, Firewall, Defender sowie die installierten Windows-Hotfixes an. Zudem führt das Werkzeug alle laufenden Dienste und Programme auf. Alle Daten lassen sich als Text, XML oder Snapshot abspeichern, um den vorgefundenen Systemzustand festzuhalten. Der Snapshot lässt sich auch auf einem anderen Rechner laden. So kann man mit Speccy beispielsweise ohne Anreise herausfinden, welche RAM-Erweiterung zum analysierten PC passen könnte.

Deuten die Indizien eher auf ein Problem mit Software hin oder gar Windows selbst, helfen drei von Sysinternals entwickelte Analysewerkzeuge bei der Spurensuche: Autoruns, Process Explorer und Process Monitor.

Zuerst einmal sollte man sich ansehen, was alles mitstartet, wenn Windows hochfährt. Hierfür kann man entweder das zum Betriebssystem gehörige Systemkonfigurationswerkzeug verwenden, das mit „msconfig“ aufgerufen wird. Wesentlich mehr Informationen zeigt jedoch Autoruns. Anders als bei MSconfig lassen sich die von Windows automatisch gestarteten Prozesse mit Autoruns nicht nur deaktivieren, sondern auch ganz entfernen.

Starten Sie Autoruns auf Systemen mit Windows 7/Vista mit Administratorrechten, um alle Autostarts zu sehen. Auf langsamen Systemen dauert es bis zu einer Minute, bis ein „Ready“ am unteren linken Fensterrand signalisiert, dass das Programm die Registry komplett eingelesen hat.

Noch bevor Autoruns seinen ersten Durchlauf durch hat, sollten Sie die Ansicht anpassen: Setzen Sie unter „Options/Filter Options“ Häkchen vor „Verify code signatures“ und „Hide Microsoft entries“. Dann überprüft Autoruns einerseits, ob die Programme tatsächlich vom angegebenen Hersteller stammen, und zeigt zudem nur noch diejenigen Autostarts, die Microsoft nicht selbst signiert hat.

Gelb hinterlegte Einträge weisen darauf hin, dass diese Programmdateien nicht erreichbar sind. Solche „Leichen“ entstehen durch schlampige Deinstallationswerkzeuge oder wenn das fragliche Programm auf einer gerade nicht verfügbaren Netzwerkfreigabe liegt.

Eine rote Hinterlegung signalisiert, dass Autoruns die Herstellerangaben nicht verifizieren kann. Sieht etwas verdächtig aus, suchen Sie online nach dem Dateinamen und der Beschreibung.

Bringt das keine Erleuchtung, sollten Sie einen Blick in die ausführbare Datei werfen – bei Unicode-Dateien nicht trivial. Hierfür bringt der c’t Helper das Kommandozeilenwerkzeug Strings mit. Die Anweisung strings datei.exe > dateistrings.txt schreibt alle lesbaren Zeichenfolgen in eine Textdatei, die Sie anschließend mit einem Texteditor oder in der Schnellansicht des SpeedCommander betrachten können.

Dabei ist eine genaue Identifikation zur ersten Bestandsaufnahme nicht zwingend nötig: Tritt das Problem nach der Deaktivierung eines Autostarts beim nächsten Neustart nicht mehr auf, hat man zumindest schon mal die Ursache am Wickel. Entfernen Sie das davorstehende Häkchen, um einen Autostart zu deaktivieren. Solange die Microsoft-Einträge ausgeblendet sind, können Sie dabei nichts verkehrt machen: Windows benötigt nichts von dem zwingend, was dann noch angezeigt wird.

Der Betrieb des Rechners kann dabei allerdings durchaus eingeschränkt werden – etwa wenn Sie ein unsigniertes Programm deaktivieren, das die Sondertasten des kränkelnden Notebooks steuert. Deshalb sollte man Autostarts nur deaktivieren, statt sie mutig zu löschen: Erweist sich ein Eintrag als doch nicht so überflüssig, lässt er sich durch Setzen des Häkchens und einen Neustart schnell wieder reaktivieren.

Bei einigen Konfigurationen kommt es vor, dass sich deaktivierte Autostarts magisch regenerieren. Dann steht unter dem manuell deaktivierten Eintrag gleich ein neuer desselben Typs, der wiederum aktiv ist.

Hier muss keine Malware im Spiel sein. QuickTime etwa richtet einen Updater und ein Icon im Infobereich der Taskleiste ein. Egal, ob man diese Prozesse deaktiviert oder löscht: Beim nächsten Aufruf einer QuickTime-Datei sind sie zurück. Hier hilft nur das QuickTime-Kontrollfeld der Systemsteuerung.

Ob man auch den Updater abschaltet, ist Geschmackssache. Bei Java ist es angesichts des jüngsten Sicherheitsdebakels geradezu sträflicher Leichtsinn, den Update Scheduler zu deaktivieren – lieber fünf Sekunden länger booten als fünf Stunden lang einen Erpressungstrojaner von der Platte kratzen.

Einige Autostarts dienen als Steigbügel, die andere Programme in den Speicher hieven. Die nach dem Systemstart im Speicher befindlichen Prozesse stimmen daher nur in Ausnahmen mit der von Autoruns zusammengetragenen Liste überein. Auch werden einige Autostart-Prozesse nur beim Systemstart kurz aktiv – etwa die Updater diverser Programme.

Einen eleganten Überblick über alle laufenden Prozesse verschafft der Process Explorer. Die Grundfunktion entsprechen denen des Task-Managers von Windows, nur geht der Process Explorer viel mehr in die Tiefe geht. Zu den praktischen Zusatzfunktionen gehört ein Fadenkreuz in der Symbolleiste. Draufklicken, Mauszeiger mit gedrückter Maustaste über ein anderes Fenster ziehen und dort loslassen: Schon zeigt der Process Explorer den zugehörigen Prozess. Kann man eine Datei nicht löschen, führt „Find/Find Handle or DLL“ (Strg+F) schnell zur Anwendung, die gerade den Daumen darauf hat. „Search Online“ im Kontexmenü eines Eintrags startet eine Web-Suche (Strg+M).

Für tiefere Eingriffe lohnt es sich, die Anzeige des Process Explorer zu erweitern. Wählen Sie hierfür „View/Select Columns …“ und setzen Sie zunächst Haken bei „Image Path“ und „Verified Signer“. Aktivieren Sie dann unter Options „Verify Image Signatures“, um die Herstellerangabe auf Gültigkeit überprüfen zu lassen. Das garantiert zwar nicht, dass die Software tatsächlich tut, was sie soll, identifiziert aber zumindest den Verantwortlichen.

Eine Signatur allein stellt keine Unbedenklichkeitsbescheinigung dar – in jüngster Vergangenheit gab es mehrere Fälle von geklauten Zertifikaten. Komplett unsignierte Prozesse sind aber in jedem Fall verdächtig. Das kommt leider in den besten Familien vor, sogar direkt bei Microsoft.

Als Beispiel für eine Analyse per Process Explorer bietet sich das angeblich von Microsoft stammende Minesweeper-Spiel im Store für Windows 8 an. Der Process Explorer identifiziert Windows-eigene Komponenten mit „(Verified) Microsoft Windows“. Bei Minesweeper steht hingegen „(Unable to verify) Microsoft“ – merkwürdig.

Eine paar Handgriffe erlauben zumindest eine erste Einschätzung der Situation. In den Prozesseigenschaften (Rechtsklick, „Properties“) ist zuerst der Reiter „TCP/IP“ interessant. Schädlinge suchen immer wieder den Kontakt zu einem Steuerserver. Ist diese Verbindung gerade aktiv, sollte sie hier zu sehen sein. Bei Trojanerverdacht sollte man als Nächstes den Reiter „Strings“ aktivieren.

Suchen Sie hier (Strg+F) nach „http“, „www“, „ftp“ und ähnlichen Hinweisen auf eine Internet-Verbindung. Wer hinter einer Adresse steckt, lässt sich beispielsweise auf heise online unter Netze/Whois herausfinden. Seltsame Adressen können auf den Steuerserver eines Bot-Netzes hinweisen. Minesweeper.exe ist diesbezüglich clean, dafür finden sich weit unten in der String-Liste eine Liste mit Personennamen und zum Schluss die Pfadangabe c:\games\arkadium\Microsoft Minesweeper\RELEASE\OEM\Minesweeper\Minesweeper\obj\x86\Release\Minesweeper.pdb.

Der Name „Arkadium“ taucht in der Stringliste gleich mehrfach auf. Eine Web-Suche führt zu einem Spieleentwickler, der mit Microsoft Studios zusammen Spiele für Windows 8 produziert. Firmenchef ist Kenny Rosenblatt, der in der Strings-Namensliste an oberster Stelle steht; eine Whois-Abfrage fördert denselben Inhaber zu Tage. Es liegt nahe, dass Arkadium das Spiel in Microsofts Auftrag entwickelt hat, ohne sich genügend Gedanken um die Signatur zu machen. Entwarnung also, nächster Verdächtiger.

Auch andere Markierungen des Process Explorer können auf Schädlingsbefall hinweisen. Der Dialog „Configure Colors“ unter „Options“ schlüsselt die Bedeutung aller Farben auf. Dunkelviolett hinterlegte Programme sind gepackt. Das ist an sich weder verboten noch gefährlich. Viele Schädlingsprogrammierer versuchen jedoch, ihren Code auf diesem Weg am Virenscanner vorbeizumogeln – hier lohnt also womöglich ein genauerer Blick.

Eine hellblaue Hinterlegung weist auf ein Programm hin, das mit den eingeschränkten Rechten eines normalen Benutzerkontos läuft, also ohne Administrator- oder Systemrechte. Als Microsoft mit Windows Vista die Benutzerkontensteuerung einführte, gehörten die Schädlingsprogrammierer zu den ersten, die sich daran anpassten. Startet eine hellblaue unterlegte Datei laut „Path“ nicht aus dem Standard-Programmverzeichnis „C:\Programme“, sondern im Windows- oder Benutzerverzeichnis, sollte das hellhörig machen.

Ein immer wieder auffälliger Prozess ist svchost.exe im Pfad C:\Windows\System32. Der Name steht für SerViCesHOST, er ist der Windows-eigene Gastgeber für Systemdienste. Lässt man den Mauszeiger über den Namen stehen, verrät ein Schwebefenster, welchem Dienst svchost in die Steigbügel hilft. Auf dem gleichen Weg lässt sich auch identifizieren, was hinter einem rundll32.exe-Prozess steckt. Rundll32 ist eine Windows-Komponente zur Ausführung von Laufzeitbibliotheken (DLLs).

Bei svchost.exe sollte man darauf achten, dass Pfad, Herausgeber und Dateiname stimmen. Malware-Autoren nennen ihre Trojaner-Prozesse gern verwechselnd ähnlich, etwa „scvhost“, damit der Anwender sie für einen legitimen Systemprozess hält. Derartigen Namensschwindel entlarvt der Process Explorer durch fehlende Signaturen, falsche Pfade und abweichende Herausgeber.

Über das Kontextmenü des Process Explorer lässt sich jeder Prozess einzeln abschießen. Bei Verdacht auf Virenbefall sollte man das aber lassen: Viele Schädlinge starten mehrere Prozesse, die aufeinander aufpassen. Beendet man eine Instanz, wird sie von der anderen erneut gestartet. Wählen Sie lieber die Option „Suspend“: Wenn ein Prozess einschläft, bekommt der andere davon nichts mit. Anschließend können Sie den Autostart des Schädlings per Autoruns deaktivieren.

Reicht der Informationsgewinn durch Autoruns und Process Explorer nicht aus, kann man mit dem Process Monitor das Verhalten von Programmen im Detail beobachten. Das Werkzeug protokolliert jeden Zugriff auf die Registry und Festplatte. Der Nachteil an dieser Gründlichkeit: Die Beobachtung produziert eine enorme Menge an Daten, deren Auswertung viel Erfahrung erfordert.

Grundlegende Erkenntnisse erhält man aber auch ohne tiefe Einarbeitung: Mit wenigen Handgriffen lässt sich etwa feststellen, ob ein Programm an der Benutzerkontensteuerung scheitert. Stellen Sie im Dialog „Filter/Filter“ (Strg+L) „Process Name“, „is“ und den Namen der Anwendung ein, sowie „Result“, „is“ und „Access denied“. Anschließend führt Process Monitor nur noch Zugriffe auf, die an fehlenden Rechten gescheitert sind. Der Process Monitor kann auch bei der Schädlingssuche helfen. Filtern Sie mit „Operation“, „contains“ und „write“ alle Schreibzugriffe heraus. Kommen hierbei nicht einzuordnende Zugriffe zu Tage, lohnt eine tiefergehende Recherche.

In schwerwiegenden Fällen startet Windows immer mal wieder spontan neu. So reagiert das Betriebssystem, wenn es sich aufgrund einer gravierenden Destabilisierung angehalten hat: Statt einen tristen blauen Bildschirm zu zeigen, zuckt das System mit den Schultern und fährt gleich wieder hoch. Meist ist die Ursache in einem Treiber zu suchen – nur bekommt man halt aufgrund des Rechner-Neustarts nicht mehr zu sehen, wessen Fehlverhalten den ganzen Rechner zum Stillstand gebracht hat.

Windows 7 und Vista melden beim nächsten Start zwar, „Windows wird nach unerwartetem Herunterfahren wieder ausgeführt“ – das klicken viele Anwender aber einfach weg. BlueScreenView von Nir Sofer bereitet die von Windows auf der Platte abgelegten „Minidumps“ grafisch auf. Oft liefern der „Bug Check String“ sowie der zehnstellige „Bug Check Code“ einen entscheidenden Hinweis auf die Fehlerquelle. Diese Nummer können Sie entweder in das Suchfeld der Microsoft Knowledge Base eingeben (http://support.microsoft.com). Alternativ dazu finden Sie unter http://jasik.de eine strukturierte Linkliste zur Fehlerbehebung.

Werkzeuge

Mitunter kommen Rechner-Wehwehchen auch nur daher, dass irgendwelche Temp-Ordner überquellen oder Caches ihre Größenbeschränkung überschreiten.

Das Kommandozeilenwerkzeug SecDel wurde ursprünglich für das sichere Löschen von Verzeichnissen und ganzen Partitionen konzipiert. Mit angepassten Parametern leert es aber in einem Rutsch die Caches von Firefox und Internet Explorer, alle Papierkörbe und räumt temporäre Dateien weg. Da die manuelle Eingabe der dafür nötigen Parameter nicht jedermanns Sache ist, liegt im Verzeichnis von SecDel des c’t Helper eine passende .cmd-Datei. Diese muss man nur noch über einen Rechtsklick mit Administratorrechten ausführen.

Wer mehr grafische Kontrolle will und bestimmte Bereiche des Systems im Auge hat, kann den CCleaner anwerfen. Das Programm arbeitet in zwei Durchgängen: Der erste analysiert nur, der zweite führt die vorgeschlagenen Änderungen durch.

CCleaner sollte man genau auf die Finger sehen – in einigen Bereichen meint es das Programm zu gut. So säubert die Standardeinstellung unnötigerweise die Verläufe diverser Anwendungen; auch geht der Registry-Cleaner etwas aggressiv vor. Bevor man den Saubermann analysieren lässt, sollte man daher unbedingt seinen Wirkungskreis eingrenzen.

CCleaner ist prinzipiell direkt vom Stick ausführbar, meldet beim Programmstart und Ende aber mehrfach Schreibfehler – das liegt am Schreibschutzschalter und kommt auch bei anderen portablen Programmen der c’t-Helper-Kollektion vor. Die Meldung kann man unbekümmert mit „Weiter“ quittieren und ignorieren. Wer mag, konfiguriert CCleaner zuhause bei offenem Schreibschutzschalter vor, um beim späteren Start mit Schreibschutz nicht immer wieder dieselben Einstellungen vornehmen zu müssen.

Desktops mag in der c’t-Helper-Sammlung als Fremdkörper wirken. Wer Multimonitor-Systeme gewohnt ist, findet jedoch schnell Gefallen an diesem leichtfüßigen Desktop-Manager für bis zu vier virtuelle Bildschirme. Zum Wechsel verwendet man entweder die Tastenkombination Alt+<Desktopnummer> oder das Symbol im Infobereich der Taskleiste.

Aufgrund seiner Funktionsweise kann sich Desktops auch bei der Malware-Analyse bewähren. Mitunter ist zu beobachten, wie alle Analyseprogramme und Virenscanner nach dem Start sofort beendet werden. Ursache ist ein Schädling, der anhand der Fenstertitel alle Anwendungen abschießt, die ihm zu nahe kommen könnten. Windows kann jedoch nur die Titel der Fenster zurückgeben, die auf dem gleichen Desktop laufen wie der suchende Prozess. Starten Sie die Analyseprogramme auf einem zusätzlichen Desktop, läuft die Fenstersuche der Malware ins Leere.

Auch der RegAlyzer von Patrick Kolla verbessert den Analyse-Komfort. Die Suchfunktion dieses Registry-Editors listet alle Fundstellen einer Zeichenfolge untereinander auf und bietet dadurch einen besseren Überblick als das Windows-eigene RegEdit. Zudem lassen sich Änderungen mittels .reg-Dateien rückgängig machen. Einziger Wermutstropfen: RegAlyzer muss vor der Ausführung auf dem Zielrechner installiert werden.

Mitunter entstehen Probleme dadurch, dass der Besitzer eines Rechners, dessen Kind oder gar der herbeigerufene Helfer im Eifer des Gefechts die falsche Datei oder einen wichtigen Ordner löscht. Für diese Fälle hat der c’t Helper die Datenrettungswerkzeuge Recuva und TestDisk an Bord. Recuva startet als Windows-Assistent. Drückt man beim ersten Bildschirm auf „Cancel“, erscheint eine traditionelle Bedienoberfläche. Liegt die Löschung erst wenige Sekunden zurück, sollte man die Suchergebnisse nach „Last Modified“ sortieren: Dies spült die jüngsten Dateien nach oben.

Eine Alternative für Fortgeschrittene ist das im Textmodus laufende TestDisk von Christophe Grenier. Im Unterchied zu Recuva kann es auch ganze Partitionen wiederherstellen. Die Option „Undelete“ findet man nach Auswahl der Partition und deren Typ (im Regelfall „Intel“) unter „Advanced“. Zwischen der Auswahl des Befehls und der Anzeige der noch rettbaren Dateien kann ein Weilchen verstreichen – verzagen Sie also nicht. Durch mehrfaches Drücken der Taste „Q“ verlassen Sie das Programm wieder.

Schädlingsbekämpfung

Erscheinen auf dem Desktopständig Werbe-Popups und starten bestimmte Anwendungen nicht mehr, führt oft ein Bösewicht das Zepter.

Die meisten Malware-Programme arbeiten allerdings ganz subtil. Sie protokollieren Tastenanschläge und manipulieren Online-Banking-Transaktionen. Um nicht aufzufallen, betreiben die Spione einigen Tarnaufwand.

Ungemütlich wird der ungebetene Gast erst, wenn man versucht, kleinen Unstimmigkeiten nachzugehen. Da startet der Registry-Editor nicht mehr und der Virenscanner versagt beim Download seiner Signatur-Updates. So beginnt das Tauziehen um die Vorherrschaft auf dem PC.

Häufig lohnt es sich, vor dem ersten Virenscan das oben beschriebene SecDel auszuführen. So halten sich die Scanner nicht unnötig mit Dateileichen auf.

Als Erstes sollte man danach einen Schnelldurchlauf von Microsofts Tool zum Entfernen bösartiger Software starten (Malicious Software Removal Tool, MRT). Es erkennt etwa 200 der meistverbreiteten Schädlinge. Die Schnellüberprüfung dauert nur wenige Minuten.

Von einem ähnlichen Kaliber ist der McAfee Stinger. Dem Hersteller zufolge sucht das Programm nach knapp 5000 Schädlingen, wobei aber jede Variation einzeln gezählt wird. Beim ersten Durchlauf sollte man unter „Preferences“ das Standardverhalten auf „Report only“ umstellen und die zeitraubende Option „Scan inside compressed files“ abwählen. Auf einem halbwegs flotten Rechner braucht Stinger für einen Durchlauf unter zehn Minuten. Nach Überprüfung der Ergebnisse kann man den Stinger gegebenenfalls scharf stellen und nochmal durchlaufen lassen.

Die nächstgrößere Wumme im Antimalware-Arsenal des c’t Helper ist der Microsoft Safety Scanner (MSS). Die Oberfläche sieht dem MRT zum Verwechseln ähnlich, nur enthält der MSS eine umfassendere Signaturdatenbank, nämlich die von Microsofts Scanner „Security Essentials“. Die Schnellüberprüfung dauert hier deutlich länger als beim MRT; mehr als zehn Minuten muss man dennoch selten warten.

Der Safety Scanner wird täglich aktualisiert und lässt sich deshalb nach dem Download nur zehn Tage lang ausführen. Hilfswillige sollten den c’t Helper also mindestens einmal pro Woche aktualisieren.

Kommt der unter Malware-Verdacht stehende Rechner noch ans Internet, kann man schwerere Geschütze auffahren. F-Secure Easy Clean und der Norton Power Eraser greifen zur Schädlingserkennung auf Online-Datenbanken der jeweiligen Hersteller zurück. Beide Programme installieren nach einem Rechner-Neustart Systemdienste, um Rootkits Paroli zu bieten. F-Secure fordert zudem dazu auf, das fest installierte Virenschutzprogramm zu deaktivieren.

Die Rootkit-Sucher sollte man vor dem Start auf die lokale Platte kopieren. Bei der Ausführung vom Stick aus kam es im Test immer wieder zu Boot-Problemen.

Kann ein XP-Rechner keine Internet-Verbindung aufbauen, hilft womöglich ein alter Bekannter: Der mittlerweile sechs Jahre alte RootkitRevealer von SysInternals läuft zwar nur unter 32-Bit-Systemen bis Windows Server 2003, deckt dort aber dennoch noch so manchen Schädling auf.

Der Virenscanner Anti-Malware von Malwarebytes muss vor der Ausführung auf dem Rechner installiert werden. Das Setup-Programm versucht den Anwender am Ende der Installation dazu zu bewegen, statt der Gratisversion eine 14-Tage-Testversion der Pro-Version zu benutzen. Dieses Häkchen sollte man entfernen. Die darunter liegende Option „Aktualisiere Malwarebytes Anti-Malware“ sollte hingegen aktiv bleiben.

Anti-Malware ist ähnlich simpel aufgebaut wie die Microsoft-Scanner: In der Hauptseite den „Quick-Scan“ aktivieren, auf „Scannen“ klicken und abwarten, was die Software findet. Ob Anti-Malware nach vollbrachter Virenvernichtung auf dem Rechner installiert bleibt, sei dem Helfer überlassen.

Bei akutem Verdacht auf Virenbefall sollte man sicherheitshalber die Linux-basierende Scanner-CD Desinfec’t im Gepäck mitführen [1]. Unter Einsatz aller vier Scan-Engines benötigt Desinfec’t für die Analyse aber viel Zeit – meist mehr, als sich für einen Freundschaftsdienst rechtfertigen ließe. Konnte jedoch kein anderer Schädlingssucher helfen, lässt man Desinfec’t halt die Nacht durcharbeiten und bittet den Besitzer des PC, die Ergebnisse am nächsten Morgen am Telefon durchzugeben.

Bei Malware-Befall sollte man den Besitzer des betroffenen Rechners entscheiden lassen, ob eine Desinfektion ausreicht oder eine Windows-Neuinstallation angesagt ist. Einerseits geben sich Virenscanner alle Mühe, gefundene Malware restlos aus dem System zu tilgen, andererseits kann stets eine unentdeckte Schadkomponente auf der Platte bleiben. Auch eine Neuinstallation des Systems bietet allerdings keine Garantie, dass der Rechner auf Dauer sauber bleibt.

Häufig wird gegen eine Neuinstallation ins Feld geführt, dass der Betroffene die Seriennummern von Windows und den ganzen installierten Anwendungen verlegt hat. Hier kann der License Crawler von Martin Klinzmann helfen: Das Tool durchsucht die Registry nach den Seriennummern diverser Programme und führt sie in einer Liste auf, die man als Text sichern kann. Während der Lizenzsuche erscheint ein Werbefenster, das man erst nach 15 Sekunden wegklicken kann.

Fazit

Das Hauptziel des c’t Helper ist, Ihnen möglichst effektiv als Werkzeugkasten zur Seite zu stehen. Wir hoffen, dass unsere Auswahl gelungen ist. Fehlt Ihnen etwas, kennen Sie eine leistungsstärkere Alternative zu einem der vorgestellten Programme? Behalten Sie es bitte nicht für sich, sondern nehmen Sie Kontakt zu uns auf – entweder per Mail an <cthelper@ct.de> oder durch einen Beitrag im Leserforum zu c’t Helper (siehe c’t-Link). (ghi)

Literatur
  1. [1] Jürgen Schmidt, Frühjahrsputz, PCs mit Desinfec’t scannen und reinigen, c’t 9/12, S. 126
Ratschläge für Helfer

Bei jedem Hilfegesuch gilt es zuerst herausfinden, wie akut die Sache wirklich ist. Manche Fälle klingen erst superdringend, entpuppen sich dann aber als „stört mich schon lange, hat aber eigentlich Zeit“. Genauso kann sich eine vermeintliche Nichtigkeit als gefährlicher Schädlingsbefall entpuppen.

Erfragen Sie zunächst freundlich, aber bestimmt die Natur der Symptome. Geben Sie sich nicht mit ungefähren Antworten zufrieden („dann erschien da so ein Fenster“), sondern bestehen Sie auf allen Details.

 Was passiert konkret? Lassen Sie sich Schritt für Schritt schildern, was schiefläuft, lassen Sie sich Fehlermeldungen im Wortlaut vorlesen.

 Wann ist der Missstand eingetreten? Was hatte der Besitzer des Rechners dabei zuletzt getan? Wie sahen die ersten Symptome aus? Ist es seitdem schlimmer geworden?

 Welcher Virenscanner ist installiert? Welchen Status zeigt das Scanner-Icon im Infobereich der Taskleiste; warnt das Sicherheitscenter? Sind die Signaturen aktuell? Wenn nicht, lassen sie sich aktualisieren?

 Haben schon andere versucht, das Problem zu beseitigen? Wenn ja, was wurde versucht und mit welchem Ergebnis?

Womöglich lohnt sich ein virtueller Vorabbesuch via TeamViewer (siehe Seite 124). Danach kann man ungefähr abschätzen, wie lange der Besuch dauern wird und einen Termin ausmachen. Setzen Sie sich möglichst nicht unter Zeitdruck – will man die Sache möglichst schnell hinter sich bringen, passieren häufig zeitraubende Fehler.

Womöglich benötigt der Einsatz zusätzliche Hard- oder Software, etwa eine externe Platte für Backups oder eine Virenscanner-Lizenz. Deren Einkauf sollte man mit einplanen.

Vor Ort steht zuerst eine umfassende Datensicherung an. Ein Image der Systempartition ist das allermindeste; besser ist eine komplette Festplattenkopie. Sollte später etwas schiefgehen, kann man so immer noch zum Ausgangszustand zurückkehren. Auch wenn ein Backup Stunden fressen kann: Überspringen Sie es nicht!

In einem realen Fall führte die Deinstallation eines vermeintlich überflüssigen Programms mit nichtssagendem Namen und ohne Herausgeber-Angabe dazu, dass ein Notebook keine Netzverbindung mehr aufbauen konnte. Die Ursachenforschung dauerte zwei Stunden, die Korrektur mangels Internet-Zugang eine weitere Stunde. Ein Image hätte hier viel Zeit gespart.

Erschreckend oft trifft man bei fremden Rechnern veraltete oder kompromittierte Virenscanner an. Im besten Fall reicht eine Aktualisierung der Signaturen. Wurde der Scanner von einem Schädling überrumpelt und außer Gefecht gesetzt, ist das Vertrauen in dessen Schutzfähigkeiten freilich hinüber. Als Notbehelf kann man die kostenlosen Microsoft Security Essentials installieren.

Für das Upgrade oder den Austausch der Virenschutzlösung sollte man vor dem Hilfseinsatz die aktuelle Testversion des Schutzprogramms herunterladen. Diese ist bei fast allen Herstellern zum Vollprodukt identisch und ein zwischen 80 und 120 MByte großer Download. Die Version auf der Programm-CD ist immer veraltet.

Mitunter stellt sich schnell heraus, dass die Problemlösung länger dauern wird als gedacht – viel, viel länger. Das kann an alter Hardware liegen oder an der Lage vor Ort, etwa bei eingeschränktem Internet-Zugriff. In diesen Fällen kann man vorschlagen, das Notebook oder den rohen PC (ohne Monitor & Co.) nach Hause zu nehmen. Dort kann man unter weniger Zeitdruck weiterwerkeln und Scan-Durchgänge nebenher laufen lassen. Dies setzt freilich das Vertrauen des PC-Inhabers voraus.

Nach erfolgreichem Abschluss des Hilfseinsatzes sollte man dem Besitzer des Rechners ein paar Tipps zum weiteren Verhalten mit auf den Weg geben. Betonen Sie, dass er das reparierte System aufmerksam beobachten und sich melden soll, wenn etwas nicht rund läuft.

Mitunter ist es Hilfeempfängern peinlich, kurz darauf erneut anrufen zu müssen. Kommt Monate später dann doch wieder ein Anruf, steckt die Karre womöglich wieder ebenso tief im Dreck wie zuvor. Stellt man dann fest, dass sich der Rückfall durch einen kurzen Eingriff aus der Ferne hätte vermeiden lassen, hat man zumindest eine Lektion fürs Leben gelernt.

Bärendienste

Es gibt Freunde, die sind schlimmer als die ärgsten Feinde. Dazu gehören etwa „Helfer“, die auf den Rechnern ihrer Schutzbefohlenen ungefragt Autostart-Einträge zu genutzten Programmen deaktivieren, Software nach Gutdünken deinstallieren und Systemeinstellungen verbiegen.

Im günstigsten Fall macht man sich durch derartige Hauruck-Aktionen nur unbeliebt. Was nach einer cleveren Methode klingt, um sich künftige Hilfsgesuche vom Hals zu halten, kann sich aber auch als unfeines Verhalten herumsprechen – das dürfte den Wenigsten gefallen.

Im schlimmsten Fall stolpern vermeintliche Rechnerflüsterer gleich vor Ort über ihren eigenen Hochmut, sprich: Sie machen weiter kaputt, statt zu retten. Wer erst mit der Haltung „Ich weiß schon, was ich tu“ auftritt und dann strauchelt, blamiert sich doppelt. Einige behaupten dann dreist, da sei „nichts mehr zu retten“ gewesen und lassen den Patienten einfach unkuriert zurück.

Es soll sogar Freundchen geben, die bei jedem Schädlingsbefall rücksichtslos die Platte formatieren und Windows neu aufsetzen – selbstredend ohne Datensicherung. Grundsätzlich ist durchaus etwas dran, dass ein einmal kompromittiertes System womöglich noch von anderen, noch unerkannten Schädlingen unterwandert ist. Es gibt aber keinen Grund, warum die Urlaubsbilder der letzten fünf Jahre auch mit dran glauben müssten.

Eine Windows-Neuinstallation sollte immer, aber wirklich immer, der allerletzte Ausweg sein. Auch das Löschen eines Benutzerkontos ist ein Eingriff, der zwar sinnvoll sein kann, aber ebenfalls einen Rattenschwanz an Problemen nach sich zieht. Sollten derart drastische Schritte wirklich nötig werden: Sichern Sie vorher alle Anwenderdaten, am besten redundant auf mehreren Medien.

Mitunter werden Sie bei gut gemeinten Freundschaftsdiensten auf von überheblichen Möchtegernhelfern digital Misshandelte stoßen. Diese kostet es einerseits viel Überwindung, überhaupt um Hilfe zu bitten, andererseits kennen sie keine Alternative. Die sitzen dann nervös daneben und fragen bei jedem Stirnrunzeln des Helfers verängstigt nach dem Grund. Hier helfen nur beruhigende Worte und gegebenenfalls die Bitte um etwas Ruhe zum Nachdenken.

Wenn Sie gerade nicht weiter wissen: Sagen Sie es ruhig. Erklären Sie vor Eingriffen ins System, was Sie vorhaben und weisen Sie auf eventuelle Nebenwirkungen hin: „Ich ersetze mal versuchsweise den Virenscanner. Möglicherweise tritt dann der Fehler mit der Grafikkarte nicht mehr auf – aber der Ersatz ist keine Dauerlösung.“

Verkneifen Sie sich jegliche Häme: Der Hilfsbedürftige weiß eh schon, dass er in der Tinte sitzt und hat die Situation gewiss nicht absichtlich herbeigeführt. Geben Sie dem anderen nie das Gefühl, er sei ein Idiot, der etwas grundlegend falsch gemacht hat – selbst wenn Ihnen bei der Problembeschreibung innerlich die Haare zu Berge stehen. Bleiben Sie freundlich, auch wenns schwerfällt.

Wer weiß: Vielleicht befinden Sie sich ja irgendwann in einer Situation, in der Sie so abhängig vom Know-how des PC-Laien sind wie er gerade von Ihnen. Eventuell springt beim Freundschaftsdienst sogar ein Abendessen, eine Kiste Kekse oder eine feine Flasche Wein heraus.

Fragen Sie vor dem Entfernen von Programmen immer, ob der Besitzer des Rechners sie benützt. Der Norton Identity Safe mag eine glorifizierte Ask-Toolbar sein, stellt aber auch ein zentrales Depot für Webseiten-Login-Daten bereit. Ohne die Browser-Toolbar kommt der Anwender dann womöglich nicht mehr an seinen Webmail-Account, weil er sich nur noch ein Kennwort merkt: das für den soeben deinstallierten Safe.

Im Fall des Identity Safe ist das Löschen nicht so schlimm, weil man ihn wieder neu installieren kann und den Kennwort-Container mit den vorhandenen Login-Daten in der Cloud wiederfindet. Einen Hilfsbedürftigen wird eine solche Installation aber vermutlich überfordern.

Auch beim Löschen größerer Dateien sollte man vorsichtig sein: Manch scheinbarer Platzverschwender entpuppt sich auf Rückfrage als getarnter TrueCrypt-Container für anatomisches Anschauungsmaterial.

Denken Sie stets daran: Sie sind Gast auf dem Rechner. Ist Ihnen das unangenehm, sollten Sie nicht davor zurückschrecken, zu einem Hilfegesuch auch mal Nein zu sagen. Es gibt ja durchaus EDV-Dienstleister, die davon leben, müde Rechner wieder munter zu machen.

Erpressungsopfer

Vermutlich haben Sie von den Erpressungstrojanern gehört, die derzeit die Runde machen. Diese Malware sperrt den Zugang zum Rechner und behauptet, dies im Auftrag des Bundeskriminalamts (BKA) zu tun. Um Zugriff auf den PC zurückzuerlangen, müsse man einen Geldgutschein über 50 oder 100 Euro kaufen und dessen Code in ein Eingabefeld eingeben. Einige dieser Programme verschlüsseln sogar den Inhalt der Festplatte.

Besonders Gutgläubige versuchen tatsächlich, ihren Rechner wie gefordert freizukaufen – freilich ohne für ihr Geld irgend einen Gegenwert zu bekommen. Der Rechner bleibt gesperrt, die Dateien bleiben verschlüsselt.

Ruft ein Bekannter in einer solchen Notsituation an, lautet der beste Ratschlag stets, er möge den Rechner sofort ausschalten. Dazu ist vermutlich etwas Überzeugungsarbeit nötig: Der Erpressungstrojaner warnt ausdrücklich, das solle man auf keinen Fall tun.

Da ein geordnetes Herunterfahren in dieser Situation nicht mehr geht, drückt man zehn Sekunden lang auf den Einschalter des PCs. Hilft das nicht, muss man den Netzstecker ziehen und bei Notebooks eventuell den Akku entnehmen. Insbesondere bei den Varianten mit Verschlüsselungsfunktion zählt jede Minute, da der Trojaner hier tatsächlich eine Datei nach der anderen verschlüsselt.

Eine detaillierte Anleitung zur Beseitigung eines Erpressungstrojaners würde hier wenig bringen – es gibt mittlerweile zu viele Varianten, die unterschiedlich behandelt werden müssen. Sichern Sie auf jeden Fall zuerst die Festplatte mit einem Imager (siehe Kasten „Ratschläge für Helfer“).

Ein Beispielszenario zur Beseitigung eines Erpressungstrojaners findet sich in [1]. Die Webseite www.bka-trojaner. de sammelt Entfernungsmöglichkeiten für diverse Varianten des BKA-Trojaners.

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Anzeige