124212

Spurensuche: Wurde Ihr Windows gehackt?

20.02.2017 | 08:53 Uhr |

Wenn sich der PC nicht so verhält wie gewohnt, stellt sich schnell die Frage: Hat sich jemand anderes an Ihrem PC zu schaffen gemacht? Wie Sie eine Antwort auf diese Frage finden, zeigt dieser Beitrag.

Ein frisch installiertes Windows auf einer virenfreien Festplatte ist zunächst sehr sicher. Doch nach ein paar Wochen oder Monaten der Nutzung kann sich das geändert haben. Ihr System könnte von Hackern mit Schadcode infiziert worden sein oder Unbefugte nutzen Ihren PC heimlich mit. Deswegen regelmäßig Windows neu zu installieren, ist meist nicht praktikabel. Damit Sie zuverlässig herausfinden, ob sich jemand an Ihrem PC zu schaffen macht oder nicht, finden Sie hier hilfreiche Tipps und Tools.

Ereignisanzeige: Zurückliegende Windows-Anmeldungen ermitteln

Die Ereignisanzeige von Windows verrät Ihnen, wann eine Anmeldung bei einem Windows-Konto stattgefunden hat.

In der Windows-Ereignisanzeige lässt sich herausfinden, wann sich jemand in ein Benutzerkonto angemeldet hat (Ereignis-ID 4624). Hinter „Kontoname“ muss dabei ein Benutzerkonto stehen.
Vergrößern In der Windows-Ereignisanzeige lässt sich herausfinden, wann sich jemand in ein Benutzerkonto angemeldet hat (Ereignis-ID 4624). Hinter „Kontoname“ muss dabei ein Benutzerkonto stehen.

So geht’s: Starten Sie die Ereignisanzeige über die Tastenkombination Win-R und die Eingabe von eventvwr.exe . Um an alle Anmeldedaten zu kommen, müssen Sie einen Filter erstellen. Wählen Sie dafür rechts „Benutzerdefinierte Ansicht erstellen“ und „Protokolle -> Windows-Protokolle -> Sicherheit“. Das Feld mit dem Eintrag „Alle Ereignis-IDs“ ändern Sie in 4624. Nach einem Klick auf „Ok“ vergeben Sie noch einen beliebigen Namen für den Filter und wählen erneut „Ok“.

Die Ergebnisse dieses Filters mit der Ereignis-ID 4624 werden Ihnen nun chronologisch sortiert angezeigt. Da nicht nur Anmeldungen von Benutzern, sondern auch von Systemdiensten angezeigt werden, ist die Liste sehr lang. Klicken Sie die einzelnen Einträge an, und suchen Sie nach denen, die unter „Allgemein -> Kontoname“ den Namen eines Windows-Benutzerkontos aufweisen. Das sind die relevanten Nutzeranmeldungen. Einträge mit „Anonymous“ und „System“ hinter „Kontoname“ sind normal und kein Grund zur Sorge.

25 Windows-10-Hacks: Mehr Speed, bessere Oberfläche

Webcam: Überwachen Sie die Kamera im PC

Zu den gruseligsten Vorstellungen gehört es, dass sich ein Hacker Zugriff auf die Webcam verschafft hat und den Nutzer heimlich beobachtet. Wenn Sie herausfinden möchten, ob Ihr PC Sie auf diese ausspioniert, nutzen Sie die Freeware Who Stalks My Cam . Sie überwacht die Kamera und meldet den Zugriff, wenn er stattfindet. Gemeldet werden alle Programme, also auch erwünschte wie das Video-Chatproramm Skype.

So geht’s: Starten Sie das Programm Who Stalks My Cam nach seiner Installation, und kontrollieren Sie, ob auf der Registerkarte die Überwachung der Webcam aktiviert ist (erste Zeile). Danach können Sie das Programmfenster über das X-Symbol oben rechts schließen, das Überwachungsmodul läuft trotzdem weiter und ist über den Infobereich neben der Windows-Uhr erreichbar.

Sobald ein Programm auf Ihre Webcam zugreifen möchte, meldet das die Software Who Stalks My Cam. Handelt es sich um eine erwünschte Anwendung, etwa Skype, lässt sich diese auf eine Ausnahmeliste setzen. Sie kontrollieren die Liste über die Registerkarte „Programm Settings“ in Who Stalks My Cam und dem Punkt „Configure White List“.

So schützen Sie sich: Den zuverlässigsten Schutz gegen Webcam-Spionage liefert immer noch ein Aufkleber vor der Kameralinse. Empfehlenswert ist etwa der Aufkleber Camsticker , den es in der 25er Packung für rund 6 Euro gibt. Der Aufkleber lässt sich einfach und spurlos wieder entfernen, sodass die Linse keinen Schaden nimmt.

DNS-Cache: Aufgerufene Websites sichtbar machen

DNS steht für Domain Name System. Das System kennt zu einer Webadresse die passende IP-Adresse. Damit Ihr PC eine Verbindung etwa zu www.geschenke.de aufbauen kann, muss er die IP-Adresse der Website (109.68.224.131) kennen. Diese IP-Adresse bringt in der Regel Ihr DSL-Router in Erfahrung, indem er beim DNS-Server Ihres Internetanbieters nachfragt. Diese Nachfrage dauert meist nur Sekundenbruchteile, dennoch ist es eine Aktion, die sich über einen Cache beschleunigen lässt. Darum speichert Windows die IP-Adressen zu allen an Ihrem PC aufgerufenen Websites in einem DNS-Cache. Dort stehen sie unter Umständen schneller bereit als über eine Nachfrage beim DNS-Server im Internet.

Wenn Sie nun den Verdacht haben, jemand Unbefugtes hat sich an Ihrem PC zu schaffen gemacht, dann können Sie die aufgerufenen Websites im DNS-Cache kontrollieren.

Der DNS-Cache lässt sich über die Eingabeaufforderung (CMD) anzeigen. Drücken Sie für einen Blick in den Cache die Tastenkombination Win-R und geben Sie CMD ein. In die sich öffnende Eingabeaufforderung geben Sie dann den Befehl ipconfig /displaydns . Zunächst laufen jetzt alle Einträge in nicht lesbarer Geschwindigkeit in der Eingabeaufforderung vorbei. Über den Scroll-Balken rechts lässt sich die Liste später wieder langsam nach oben scrollen. Alternativ können Sie die Liste auch in eine Textdatei ausgeben und später einfach durchsuchen. Das geht mit dem Befehl ipconfig /displaydns > E:\ip.txt. Sie finden die Liste in der Datei ip.txt auf Laufwerk E:. Passen Sie den Laufwerksbuchstaben auf Ihr System an. Wenn Sie kein spezielles Datenlaufwerk nutzen, geben Sie zum Beispiel ipconfig /displaydns > %userprofile%\desktop\ip.txt ein, um die Datei auf Ihrem Desktop zu speichern.

Hinweis: Wenn jemand nach dem Surfen seine Spuren verwischen möchte und dafür im Browser den „Browserverlauf“ löscht, bleiben die Daten im DNS-Cache von Windows erhalten. Trotzdem kann ein Surfer seine Spuren natürlich beseitigen. Das geht zum Beispiel ebenfalls über die Eingabeaufforderung und den Befehl ipconfig /flushdns . Oder der Surfer nutzt das Reinigungsprogramm Ccleaner mit der aktivierten Option unter „Windows -> System -> DNS-Cache“.

Windows 10: Die besten Tipps zu Sicherheit und Datenschutz

Thumbnail-Cache: Angezeigte Bilder überprüfen

Das Tool Thumbcache Viewer zeigt an, von welchen Dateien Windows kleine Miniaturansichten gespeichert hat, und löscht diese auf Wunsch. Es findet die Miniaturansichten auch für Tabellen (siehe Abbildung) und Ähnliches.
Vergrößern Das Tool Thumbcache Viewer zeigt an, von welchen Dateien Windows kleine Miniaturansichten gespeichert hat, und löscht diese auf Wunsch. Es findet die Miniaturansichten auch für Tabellen (siehe Abbildung) und Ähnliches.

Sobald Windows ein Bild im Explorer in der Miniaturansicht anzeigt, wird diese Miniaturansicht (Thumbnail) von Windows gespeichert. Das trifft übrigens nicht nur auf Grafikdateien zu, sondern auch auf Office-Dokumente und PDFs. Eine Kontrolle der Thumbnails kann Ihnen die Anwesenheit von fremden Nutzern anzeigen. Das geht zumindest dann, wenn Sie zunächst alle Thumbnails löschen und dann kontrollieren, welche hinzugekommen sind.

So geht’s: Seit Vista sind die Thumbnails zentral im folgenden Ordner gespeichert: %userprofile%\ Appdata\Local\Microsoft\Windows\ Explorer. Darin finden sich mehrere Dateien mit dem Namen Thumbcache_xxx.db. Wobei „xxx“ für die Bildgröße der enthaltenen Miniaturansichten steht. Thumbnails von ein und demselben Bild können somit in mehreren dieser Dateien stecken. Um sich den Inhalt der Thumbcache_xxx.db-Dateien anzusehen, starten Sie das Programm Thumbcache Viewer . Es läuft ohne Installation. Öffnen Sie die Thumbcache_xxx.db über „File -> Open“. Es erscheint eine Dateiliste mit allen enthaltenen Bildchen. Klicken Sie auf einen Eintrag, um sich das Miniaturbild anzeigen zu lassen. Markierte Einträge können Sie mit der Tastenkombination Strg-R löschen.

Thumbnails löschen: Möchten Sie alle Thumbnails auf einen Streich löschen, geht das mit der Datenträgerbereinigung von Windows. Drücken Sie die Tastenkombination Windows-R und geben Sie Cleanmgr.exe ein. Wählen Sie folgend Ihr Systemlaufwerk aus und setzen Sie einen Haken bei „Miniaturansichten“. Weitere Haken setzen Sie nach Belieben. Die so markierten Daten werden nach einen Klick auf „OK“ endgültig gelöscht.

Kontrollieren Sie die Liste der genutzten Programme

Ein Anwender, der unter Windows Programme nutzt, hinterlässt Spuren. Mit dem richtigen Tool decken Sie diese im Nachhinein leicht auf.

So geht’s: Die Freeware Executed Programs List zeigt, welche Programme aktiv waren. Das Tool sammelt entsprechende Vermerke aus mehreren Stellen in der Registrierdatenbank. Die Ergebnisliste reicht in den meisten Fällen mehrere Monate zurück. In der Liste können Sie bei den meisten Anwendungen den Namen des Programms auslesen, sowie ganz rechts in der letzten Spalte das Datum der letzten Ausführung.

Möchten Sie Ihre eigenen Spuren löschen, finden Sie hier eine ausführliche Anleitung im Punkt „Nutzungsverlauf auch von Programmen löschen“.

Fortgeschritten: Mit Regripper Infos aus der Registry ziehen

Das Profi-Tool Regripper liest aus der Windows-Registry alle Schlüssel aus, die Rückschlüsse auf die Nutzung des PCs erlauben, und schreibt sie chronologisch sortiert in eine Datei.
Vergrößern Das Profi-Tool Regripper liest aus der Windows-Registry alle Schlüssel aus, die Rückschlüsse auf die Nutzung des PCs erlauben, und schreibt sie chronologisch sortiert in eine Datei.

Die Freeware Regripper extrahiert Werte der Registry, die erfahrungsgemäß für eine (forensische) Untersuchung interessant sind, und kann so interessante Einblicke in die Nutzung des PCs liefern. Das Tool nimmt keine Änderungen an der Registry vor.

Der größte Nachteil des Tools: Wer nur wenig Erfahrung bei der Spurensuche in der Registry hat, ist von der Masse der Ergebnisse schnell überfordert. Immerhin überprüft das Tool rund 600 Registry-Schlüssel. Außerdem ist Reg Ripper nicht dafür gemacht, auf die Registry eines laufenden Systems angewendet zu werden. Sie müssen also zunächst eine Kopie der Registry-Daten erstellen.

Immerhin sind die Ergebnisse chronologisch sortiert. Wenn Sie einen Verdacht haben, wann unerwünschte Änderungen am System vorgenommen wurden, können Sie den Zeitraum einfach kontrollieren. Hier finden Sie weiterführende, englischsprachige Infos zum Reg Ripper .

So geht’s: Der Reg Ripper ist nicht dafür gemacht, ein laufendes System zu untersuchen. Entsprechend müssen Sie sich zunächst die Registrierungsdatenbank des betroffenen PCs als Kopie besorgen. Dafür können Sie den PC etwa mit der PC-WELT Notfall-DVD booten und dann die Registry auf einen USB-Stick oder in ein anderen Ordner kopieren. Möchten Sie Regripper auf demselben PC nutzen, kopieren Sie die Dateien in einen beliebigen Ordner auf dem PC.

Sie finden die Windows-Registry im Ordner C:\ Windows\System32\config. Sie ist auf mehrere Dateien aufgeteilt. Kopieren Sie sich die Dateien Sam, Security, Software und System. Die Dateien haben keine Dateiendung. Starten Sie anschließend Windows und führen Sie den Reg Ripper über die Datei rr.exe aus. Über „Hive File -> Browse“ laden Sie die Reg-Dateien, zunächst etwa Software. Über „Report File -> Browse“ legen Sie den Namen der Textdatei fest, in die Regripper die Werte speichert. Unter „Profile“ wählen Sie den Wert passend zur Reg-Datei. Ein Klick auf „Rip It“ startet den Vorgang, der zumindest bei der Datei Software einige Zeit in Anspruch nehmen kann. Anschließend sehen Sie sich die chronologisch sortieren Ergebnisse in der Report-Datei an.

Video: Die unglaublichsten Sicherheitslücken im Internet

Datenverkehr des eigenen Rechners überwachen

Mit der Freeware Smartsniff zeichnen Sie den kompletten TCP/IP-Verkehr Ihrer Netzwerkkarte auf. Zusammen mit dem Tool Process Monitor finden Sie verdächtige Programme.
Vergrößern Mit der Freeware Smartsniff zeichnen Sie den kompletten TCP/IP-Verkehr Ihrer Netzwerkkarte auf. Zusammen mit dem Tool Process Monitor finden Sie verdächtige Programme.

Wenn sich Spionagecode auf Ihren PC eingeschlichen hat, dann wird dieser Ihre Daten früher oder später auch über das Netzwerk zu seinen Auftraggebern senden. Sehr fortgeschrittene Spionagetools verbergen diese Datenverbindung zwar geschickt, aber einfache Spionagetools lassen sich aufdecken.

So geht’s: Nutzen Sie das Tool Smartsniff . Es zeichnet alle TCP/IP-Verbindungen Ihres PCs auf. Zu jeder Verbindung gibt das Tool die genaue Uhrzeit an. Es kann aber nicht anzeigen, welches Programm den Datenverkehr verursacht hat. Starten Sie darum zudem das Tool Process Monitor . Es protokolliert alle aktiven Programme und hilft Ihnen, über den Zeitstempel von Smartsniff das verantwortliche Programm für eine Datenverbindung zu finden. Der Process Monitor läuft ohne Installation direkt nach einem Doppelklick auf Procmon.EXE.

Das Tool Process Monitor protokolliert alle aktiven Programme inklusive eines Zeitstempels. Im Zusammenspiel mit dem Tool Smartsniff finden Sie so heraus, welches Programm Daten ins Internet sendet.
Vergrößern Das Tool Process Monitor protokolliert alle aktiven Programme inklusive eines Zeitstempels. Im Zusammenspiel mit dem Tool Smartsniff finden Sie so heraus, welches Programm Daten ins Internet sendet.

Zunächst sollten Sie noch alle harmlosen Online-Programme deaktivieren. Denn anderenfalls fällt das Protokoll von Smartsniff sehr umfangreich aus, und Sie benötigen für die Analyse viel Zeit. Starten Sie nun Smartsniff. Drücken Sie für die Aufzeichnung des Datenverkehrs die Taste F5 und wählen Sie die Netzwerkkarte aus, die Sie überwachen möchten. Lassen Sie die Aufzeichnung einige Zeit laufen, und erschrecken Sie nicht über die Menge der entstehenden Daten. Windows und viele Tools nehmen häufig Kontakt mit dem Internet auf. Stoppen Sie nach einiger Zeit die Aufnahme mit der Taste F6, und stoppen Sie auch die Aufzeichnung von Process Monitor.

Danach sollten Sie suchen: Sortieren Sie die Liste in Smartsniff nach „Remote Address“. Uninteressant sind alle IP-Adressen, die mit 192 beginnen, da diese in Ihrem privaten Netzwerk liegen. Die anderen Einträge sollten Sie untersuchen. Einem Doppelklick auf einen Eintrag lässt Sie die „Remote Address“, also die externe IP-Adresse der gespeicherten Verbindung, kopieren. Wenn Sie diese auf http://network-tools.com in das Feld oberhalb von „Go“ eingeben und Enter drücken, zeigt Ihnen die Seite rechts an, wem der Server zu der IP-Adresse gehört.

Haben Sie so einen verdächtigen Eintrag gefunden, kommen Sie über den Zeitstempel der Verbindung aus Smartsniff an das verantwortliche Programm über den Zeitstempel im Tool Process Monitor. Zu dem Programm können Sie dann über Google Infos einholen, oder Sie laden die Datei auf www.virustotal.com hoch. Dort wird sie von über 40 Antivirentools gescannt.

Suchen nach Spionagecode per Antiviren-DVD von PC-WELT

Für eine gründliche Virensuche nutzen Sie die Notfall-DVD der PC-WELT. Sie bietet Ihnen unter „Rettungswerkzeuge“ den Virenscanner von Avira sowie etliche weitere nützliche Tools für den Notfall.
Vergrößern Für eine gründliche Virensuche nutzen Sie die Notfall-DVD der PC-WELT. Sie bietet Ihnen unter „Rettungswerkzeuge“ den Virenscanner von Avira sowie etliche weitere nützliche Tools für den Notfall.

Die Frage, ob der eigene PC gehackt und mit einem Spionagecode verseucht ist, sollte sich auch mit einem Antivirenprogramm beantworten lassen. Allerdings dürfte dafür das aktuell installierte Schutzprogramm wenig taugen, denn es hat ja im Zweifelsfall bereits versagt. Trotzdem sollte der Spionagecheck zuerst bei der vorhandenen Antivirensoftware beginnen. Kontrollieren Sie, ob die Software noch aktiv ist und auch die neuesten Updates geladen hat. Starten Sie dafür die Update-Funktion des Programms.

So geht’s: Zusätzlich sollten Sie Ihr System mit einem weiteren Antivirenprogramm durchsuchen. Da sich aber zwei Antivirentools nicht gleichzeitig installieren lassen, verwenden Sie als Zusatzscanner die PC-WELT-Notfall-DVD . Wie Sie daraus eine bootfähige DVD erstellen, zeigt dieser Beitrag . Legen Sie die fertige PC-WELT-Notfall-DVD in Ihr Laufwerk ein, und starten Sie Ihren PC damit. Sollte Ihr Rechner nicht automatisch von der DVD starten, dann zeigt er beim Booten eine Taste an, etwa F2 oder F8, mit der Sie die Bootreihenfolge ändern können.

Nach dem Start mit der PC-WELT-Notfall-DVD müssen Sie zunächst eine Internetverbindung herstellen, damit sich der Virenscanner mit Updates versorgen kann. Automatisch geht das, wenn Sie Ihren PC per LAN-Kabel mit dem Router verbinden. Auf der Rettungs-DVD finden Sie oben über „Rettungswerkzeuge -> Avira“ den Virenscanner von Avira.

Überwachen Sie Ihren eigenen Rechner per Keylogger

Das kostenlose Tool Phrozen Keylogger Lite zeichnet jede Tastatureingabe auf und speichert sie geordnet nach Tagen in einer versteckten Datei. Auch das Tool selbst läuft verborgen im Hintergrund.
Vergrößern Das kostenlose Tool Phrozen Keylogger Lite zeichnet jede Tastatureingabe auf und speichert sie geordnet nach Tagen in einer versteckten Datei. Auch das Tool selbst läuft verborgen im Hintergrund.

Wenn Sie mit den oben genannten Tricks und Tools keine verdächtige Spur gefunden haben und dennoch glauben, jemand anderes macht sich an Ihrem PC zu schaffen, können Sie ihm mit einem Keylogger eine Falle stellen. Kostenlos geht das mit dem Tool Phrozen Keylogger Lite . Ihr eigenes Spionagetool zeichnet dann alle Tastatureingaben des PCs in einer versteckten Datei auf. Diese lässt sich später von Ihnen öffnen und durchsuchen.

Während der Installation von Phrozen Keylogger Lite legt der Assistent ein Programm-Icon auf dem Desktop ab und erstellt die Standardverknüpfungen im Startmenü. Starten Sie nach der Installation das Tool, und vergeben Sie als Erstes ein Passwort, das den Zugang zum Tool von da an schützen wird. Außerdem legen Sie eine Tastenkombination fest, über die Sie später das Tool wieder starten können. Standardmäßig ist das die Tastenkombination Strg-F9. Sicherer ist es, wenn Sie eine andere Tastenkombination wählen, allerdings dürfen Sie diese auf keinen Fall vergessen. Denn ohne die richtige Kombination kommen Sie nicht mehr an den Keylogger heran. Haben Sie beides erledigt, schließen Sie die Bedienerführung wie gewohnt über das X rechts oben im Fenster.

Von nun wird nichts mehr darauf hinweisen, dass das Tool im Hintergrund läuft und jeden Tastenanschlag aufzeichnet. Selbst von der virtuellen Windows-Tastatur werden die Eingaben abgefangen. Allerdings finden sich im Startmenü von Windows die gewöhnlichen Verknüpfungen zur Programmdatei. Bei Windows 8 liegt die Verknüpfung auf der Kacheloberfläche. Das könnte beim Eindringling Verdacht erregen, weshalb Sie die Verknüpfungen löschen sollten. Ebenso die Programmverknüpfung auf dem Desktop.

Wenn Sie sich zwischendurch mal das Protokoll anschauen möchten, dann rufen Sie die Software über die geheime Tastenkombination mit Eingabe des Passworts auf. Sie sehen sofort das Protokoll nach Tagen geordnet.

Überwachung beenden: Wenn Sie die Software nicht mehr nutzen wollen, dann rufen Sie die Bedienerführung des Keyloggers über die Tastenkombination und das Passwort auf und wählen „Settings -> Uninstall Software“. Im nächsten Fenster setzen Sie einen Haken bei „Yes, I am sure“ und klicken auf „Uninstall“. Der Rest geschieht automatisch, es erscheint nur kurz eine Meldung zur erfolgreichen Deinstallation, die aber gleich darauf verschwindet.

0 Kommentare zu diesem Artikel
124212