So wird man Spyware los

Computererfahrene Benutzer können die eingebauten Werkzeuge von Windows verwenden, um Spyware-Infektionen zu kurieren. Zuerst fällt einem da sicher der Registrierungs-Editor (regedit) ein, aber schon mit der einfachen Suchfunktion kann man einiges erreichen. Je nachdem, welches System man verwendet, kann man sogar DLLs manuell deaktivieren, welche die Störenfriede ständig wieder neu installieren. Diese Tipps sind selbstverständlich nicht für Anfänger gedacht und können sich besonders dann verheerend auswirken, wenn man nicht regelmäßig ein Backup seiner Daten erstellt.

Dateien und Ordner abklopfen

Sobald man einen Bösewicht entdeckt hat, kann man nach zugehörigen Dateien suchen. Nützlich sind hierzu z.B. Bazooka Adware und Spyware Scanner, eine flotte kleine Software, die Adware aufspürt, aber nicht entfernt. Sie stöbert Fragmente wie z.B. Ordner oder Textdateien auf, welche andere Programme evtl. übersehen. Und was noch besser ist: Bazooka verweist dann auf eine umfangreiche Online-Liste zugehöriger Dateien samt Schritt-für-Schritt-Anleitung zu deren Entfernung.

Um möglichst viele Dateien und Order zu finden und zu entfernen, sollte man die eingebaute Suchfunktion von Windows verwenden. Hier markiert man das Kästchen “Erweiterte Optionen“ sowie dasjenige zum Durchsuchen von Systemordnern, versteckten Dateien und Ordnern sowie Unterordnern. [Anm.d.Ü.: Einige Optionen scheint Windows 2000 nicht zu bieten.] Sobald der Scanvorgang abgeschlossen ist, kann man per Rechtsklick auf die Suchergebnisse mehr über die Eigenschaften der jeweiligen Dateien erfahren, den entsprechenden Ordner öffnen oder die Datei löschen (in den Papierkorb verschieben). Falls Windows eine bestimmte DLL- oder OCX-Datei nicht löschen kann, weil diese gerade verwendet wird, ist es an der Zeit, auf den Befehl “Ausführen…“ zurückzugreifen.

Weg mit der DLL

Einige Spyware-Programme verwenden ein ActiveX-Steuerelement, um sich immer wieder neu zu installieren. Normalerweise ist dies eine DLL-Datei, aber manchmal endet die Datei auch auf OCX. Bislang lautete die Empfehlung immer, diese Dateien mithilfe von regsrv32.exe zu entfernen, aber dies erfordert, dass man den Pfadnamen des Schädlings kennt und korrekt eingibt. Falls man es auf diese Weise versuchen möchte, wählt man aus dem Startmenü den Befehl “Ausführen…“ und gibt Folgendes ein: regsvr32 /u vollständiger-DateipfadBöseDLL.dll. Die Option /u dient der Deaktivierung (unregister), zum Registrieren einer DLL lässt man diese einfach weg.

Es gibt allerdings auch eine raffinierte Abkürzung, die Zeit spart und manchmal sogar funktioniert, wenn regsvr32 versagt. Man tippt bei “Ausführen…“ einfach Folgendes ein: rundll32 BöseDLL.dll,DLLUnregisterServer und das war’s! (Alles, was man zum Registrieren einer DLL tun muss, ist, stattdessen DLLRegisterServer einzugeben.) Senna Spy bietet sogar eine Anleitung, wie man diese Befehlszeile in das Kontextmenü der rechten Maustaste einbindet. Falls rundll32 die Probleme nicht löst, muss man sich die Registry anschauen.

Es geht ans Eingemachte

Mithilfe der Ergebnisse von Bazooka, mit Informationen aus zuverlässigen Online-Foren, oder indem man sich auf sein Know-how und Fingerspitzengefühl verlässt, kann man Spyware den Garaus machen, indem man die Registry durchkämmt. Aber bevor man an die Registry Hand anlegt, sollte man unbedingt ein Backup von ihr erstellen. Hierzu öffnet man den Registrierungs-Editor, indem man bei “Ausführen…“ regedit eingibt. Im Menü “Registrierung“ wählt man “Registrierungsdatei exportieren“. Im Fenster, das sich dann öffnet, muss man darauf achten, dass als Exportbereich “Alles“ markiert ist. Dann kann man die Registrierungsdatei in einem beliebigen Ordner speichern. Falls z.B. der Internet Explorer nach dem Löschen von Schlüsseln nicht mehr funktioniert, kann man die Registry wiederherstellen, indem man die gespeicherte Registrierungsdatei importiert.

Bazooka listet den exakten Ort auf, an dem man vermutlich auf Spyware-Schlüssel stoßen wird. Das Entfernen geht viel schneller vonstatten, wenn man ihre IDs in das Feld “Suchen…“ im Bearbeiten-Menü eingibt. Man kann auch alle Software-Schlüssel durchgehen und nach übrig gebliebenen Programmeinträgen suchen (wobei hier ein Backup absolut überlebensnotwendig ist). Hier eine Liste der Ordner, in denen man herumstöbern kann:

HKEY_CLASSES_ROOT
HKEY_CURRENT_USERSoftware
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsRun

(Hier finden sich viele Programme, die automatisch gestartet werden.)

HKEY_LOCAL_MACHINESoftware
HKEY_USERSSoftware

(In seltenen Fällen lassen einige Programme hier Müll zurück.)

HKEY_USERSlange-variable-ZeichenfolgeSoftware

Themenseiten: Security-Praxis, Spyware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu So wird man Spyware los

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *