1979907

Ist mein PC gehackt? So erkennen Sie Angriffe

08.01.2019 | 16:06 Uhr | Arne Arnold

Eben noch lief der Rechner optimal, nun aber stocken die Programme, die Festplatten-LED blinkt wild oder der Browser zeigt ungewollte Webseiten an. Mit unseren Tipps klären Sie, ob Ihr PC gehackt ist oder nur einen Schluckauf hat.

Sollte auf Ihrem PC-Bildschirm auf einmal eine Lösegeldforderung auftauchen, dann ist die Sache ziemlich klar: Ihr PC wurde gehackt. Doch nicht immer zeigen sich Angriffe auf den Rechner gleich so drastisch und eindeutig. Für die weniger klaren Fälle benötigen Sie ein feineres Gespür und das richtige Know-how. Das ist ähnlich wie beim Arzt: Dieser kann eine Krankheit oft über einen Bluttest eindeutig erkennen. Oder er untersucht die einzelnen Symptome, die der Patient zeigt, und erkennt so die Krankheit. Für Ihren PC ist der Bluttest ein Scan mit einem Antivirenprogramm. Entdeckt das Tool einen Schädling, ist die Sache klar. Somit ist der Virenscan immer eine gute Idee und erste Maßnahme bei einem verdächtigen System. Doch nicht immer findet das Antivirenprogramm einen Schadcode – und trotzdem verhält sich Windows merkwürdig. Dann müssen Sie sich die Symptome genauer ansehen. Die fünf häufigsten Symptome nach einem Hacker-Angriff beschreiben wir hier.

1. Programme und System reagieren nur langsam

Symptom: Die Nutzung des Systems läuft auf einmal nur noch stockend. Programme reagieren langsam. Die CPU-Auslastung (siehe unten im Abschnitt „Untersuchung“) liegt bei 100 Prozent.

Harmlose Ursachen: Es gibt mehrere harmlose Ursachen für eine CPU-Auslastung von 100 Prozent. Meist arbeitet gerade ein legitimes Programm eine rechenintensive Aufgabe ab. Das kann das Komprimieren eines Videos sein oder eine aufwendige Bildverwaltungsaufgabe. Auf älteren PCs führt schon die Wiedergabe von HD-Videos zu hoher CPU-Last. Eine zweite harmlose Möglichkeit ist ein Windows- 10-Bug, der allerdings schon einige Jahre alt ist. Der Task-Manager von Windows 10 zeigte eine Auslastung von 100 Prozent, obwohl die CPU gar nicht so viel arbeitete. Eine dritte, allerdings nicht mehr ganz so harmlose Ursache, sind Bugs in Programmen oder auch in einem Windows-Tool, das dann tatsächlich die maximale CPU-Power für sich in Anspruch nimmt.

Gefährliche Ursachen: Alarmstufe Rot herrscht, wenn die hohe CPU-Last von einem Erpressungstrojaner verursacht wird. Dieser verschlüsselt alle Anwenderdateien auf dem PC und zeigt danach eine Erpressernachricht an. Bei einer großen Datenmenge kann der Verschlüsselungsvorgang durchaus etliche Stunden dauern.

Weniger dramatisch, aber dennoch unerwünscht sind Crypto-Jacker, auch Mining Malware genannt. Das sind Schädlinge, die Ihren PC zum Errechnen einer digitalen Währung, meist Moneros , missbrauchen. Eine technische Analyse einer solchen Malware finden Sie hier .

Das installierte Antivirenprogramm kann einen Schädling übersehen haben. Bei Virenverdacht ist deshalb ein Scan mit einem Zweitscanner eine gute Lösung. Empfehlenswert ist etwa der Eset Online Scanner.
Vergrößern Das installierte Antivirenprogramm kann einen Schädling übersehen haben. Bei Virenverdacht ist deshalb ein Scan mit einem Zweitscanner eine gute Lösung. Empfehlenswert ist etwa der Eset Online Scanner.

Untersuchung: Der erste Blick bei einem trägen Windows fällt in den Task-Manager („Windows-Symbol –› Windows-System –› Task-Manager“). Steht dort in der Spalte „CPU“ 100 Prozent, klicken Sie auf diese Stelle, um die einzelnen Prozesse nach ihrer CPU-Last zu sortieren. So identifizieren Sie schnell den Prozess, also das Programm, das dem PC die Leistung absaugt. Ist die Anzeige hier uneindeutig, nutzen Sie den alternativen Task-Manager Process Explorer .

Benötigen Sie bei der Suche nach einem Prozess weitere Unterstützung, finden Sie hier einen ausführlichen Ratgeber , der sich im Punkt 2 auch mit unbekannten Prozessen beschäftigt.

Und natürlich ist ein Virencheck mit einem zweiten Virenscanner immer eine gute Idee. Allerdings gibt immer weniger Antiviren-Tools, die sich parallel zu einem installierten Antivirenprogramm nutzen lassen. Empfehlenswert sind etwa der Eset Online Scanner  oder der Norton Power Eraser .

Es gibt nur noch wenige Antivirentools, die sich zusätzlich zum installierten Antivirenprogramm nutzen lassen. Der Norton Power Eraser gehört dazu. Er findet und beseitigt auch hartnäckige Schädlinge.
Vergrößern Es gibt nur noch wenige Antivirentools, die sich zusätzlich zum installierten Antivirenprogramm nutzen lassen. Der Norton Power Eraser gehört dazu. Er findet und beseitigt auch hartnäckige Schädlinge.

Lösung: Haben Sie einen Prozess ausfindig machen können, der die CPU-Last verursacht, dann googeln Sie nach dem Namen des Prozesses und setzen noch „100 Prozent CPU“ dazu. Sie werden mit hoher Wahrscheinlichkeit eine Lösung im Internet finden. Sollte der Task wegen eines Bugs den Ärger verursachen, hilft meist ein Programm-Update, oder es gibt einen Workaround für dieses Problem. Ein typischer Kandidat dafür war in den Jahren 2016 bis 2018 der Windows-Task runtimebroker.exe .

Steckt aber ein Virus hinter der hohen Auslastung, bereinigen Sie diesen mit einem Antivirenprogramm. 

Achtung: Bei einer Internetsuche nach einem Prozessnamen werden Sie meist auch auf Reinigungsanleitungen stoßen, die den Einsatz einer Shareware empfehlen. Seien Sie hier besonders vorsichtig.

Meist ist der Einsatz dieser Reinigungstools nicht nötig, da eine kostenlose Antivirensoftware das gleiche leistet. Die angepriesene Shareware verlangt dagegen entweder einen hohen Preis oder zeigt massenweise Werbung an.

Browser: Sollte der Blick in den Task-Manager den Internet Browser als Schuldigen für CPU-Last ausgemacht haben, dann hat sich darin vermutlich ein Crypto-Jacker breitgemacht. Dieser nutzt Ihren PC, um digitales Geld zu errechnen. Die Lösung ist hier einfach: Der Mining-Code hört meist auf zu arbeiten, sobald Sie die Website verlassen und den zugehörigen Browsertab schließen. Steckt der feindliche Code aber in einer Browsererweiterung, müssen Sie diese deinstallieren. Weiterführende Infos dazu finden Sie unter Punkt 4.

Relevant: Die 10 schlimmsten Viren-Fallen im Überblick

2. Die Festplatten-LED blinkt wie verrückt 

Symptom: Die LED Ihre Festplatte leuchtet ungewöhnlich häufig. Wenn es sich um eine etwas ältere HDD handelt, ist zudem das Laufwerksgeräusch der Magnetplatten und der Lese-/Schreibköpfe zu hören.

Harmlose Ursachen: Es gibt eine ganze Reihe von legitimen Tools, die eine intensive Festplattennutzung verursachen. Dazu zählt etwa der Index-Dienst von Windows, den Sie unter „Windows-Logo –› Einstellungen –› Suchen –› Windows durchsuchen“ konfigurieren können. Oder das Antivirenprogramm führt gerade einen Komplettscan durch und lässt deshalb die Festplatte gründlich schwitzen.

Gefährliche Ursachen: Zu den gefährlichsten Ursachen zählen wieder die Erpresserviren, die alle Ihre Daten verschlüsseln und anschließend ein Lösegeld fordern. Außerdem könnte in seltenen Fällen ein Spionagecode auf Ihrem Rechner aktiv sein, und der Angreifer ist im Moment dabei, alle Ihre Dateien zu durchsuchen.

Untersuchung: Welches Programm die aktuelle Last auf der Festplatte verursacht, ermitteln Sie am besten mit dem Ressourcenmonitor von Windows. Sie starten ihn über die Tastenkombination Windows-R und geben resmon in die Ausführen-Zeile ein. Wechseln Sie dann auf die Registerkarte „Datenträger“, und klicken Sie auf „Gesamt“, um die aktiven Prozesse nach ihrer Lese-/Schreibaktivität zu sortieren. Ein Verschlüsselungstrojaner fällt leicht dadurch auf, dass seine Leseaktivität etwa genauso groß ist wie seine Schreibaktivität. Der Indexdienst oder auch der Virenscanner zeigt dagegen einen hohen Leseanteil bei einer sehr geringen Schreibaktivität.

Lösung: Haben Sie einen Prozess als Schuldigen für die Festplattenaktivität ausgemacht, können Sie im Internet Infos über ihn einholen. Übrigens können Sie den ermittelten Prozess auch im Ressourcenmonitor direkt beenden. Wie im Task-Manager genügt dafür ein Klick mit der rechten Maustaste auf den Prozess, gefolgt von der Auswahl „Prozess beenden“.

Scheint es sich bei einem verdächtigen Programm um einen Virus zu handeln, können Sie die Datei auch zu www.virustotal.com hochladen. Dort wird sie dann von über 50 Virenscannern überprüft.

3. Surfen und Streamen laufen nicht wie gewünscht 

Mit dem Programm der Bundesnetzagentur prüfen Sie ganz offiziell die Geschwindigkeit Ihres Internetanschlusses. Die ermittelten Ergebnisse können Sie auch für eine Beschwerde nutzen.
Vergrößern Mit dem Programm der Bundesnetzagentur prüfen Sie ganz offiziell die Geschwindigkeit Ihres Internetanschlusses. Die ermittelten Ergebnisse können Sie auch für eine Beschwerde nutzen.

Symptom: Das Surfen im Internet stockt, Streamingvideos bleiben laufend stehen, und Kopien im eigenen Netzwerk brauchen eine halbe Ewigkeit.

Harmlose Ursachen: In den meisten Fällen wird entweder das eigene WLAN Probleme machen oder der Internetanschluss lahmt. Oder es findet gerade ein legitimer, sehr großer Up- oder Download ins Internet statt. Ein großer Upload passiert etwa dann, wenn Sie Fotos, Videos oder andere Daten in die Cloud sichern.

Gefährliche Ursache: In sehr seltenen Fällen kann Ihr PC von einer Schadsoftware befallen sein, und der Angreifer kopiert gerade große Datenmengen ins Internet.

Untersuchung: Als Erstes sollten Sie im Ressourcenmonitor (siehe Punkt 2) unter dem Register „Netzwerk“ schauen, ob ein einzelner Task eine hohe Netzwerklast verursacht. Testen Sie als Nächstes das WLAN. Schließen Sie dafür Ihren Rechner testweise per Kabel an den Router an. Schließlich überprüfen Sie Ihren Internetanschluss. Ob dieser lahmt, finden Sie mit dem Tool Breitbandmessung  der Bundesnetzagentur heraus.

Sollte Ihr Problem darin bestehen, dass eine bestimmte Internetseite nicht oder nur sehr langsam reagiert, hilft ein Test mit dem Service Down for Everyone or Just Me

Auf der Website von Speedmeter prüfen Sie die tatsächliche Download- und Upload- Geschwindigkeit Ihres Internetanschlusses. Sollten die Werte hier niedrig sein, kontaktieren Sie Ihren Internet- Provider.
Vergrößern Auf der Website von Speedmeter prüfen Sie die tatsächliche Download- und Upload- Geschwindigkeit Ihres Internetanschlusses. Sollten die Werte hier niedrig sein, kontaktieren Sie Ihren Internet- Provider.

Lösung: Sollte Ihr WLAN schuld am stockenden Netzwerk sein, finden Sie hier  einen ausführlichen Ratgeber mit vielen Lösungen. Wenn Ihr Internetanschluss lahmt, hilft hoffentlich ein Anruf bei Ihrem Internetprovider. Das Messprotokoll des Tools Breitbandmessung ist dabei ein gutes Argument. Ist die bremsende Netzwerklast von einem einzelnen Prozess verursacht, laden Sie das Programm zu www.virustotal.com hoch, um es auf Virenbefall zu testen.

4. Unerwünschte Werbung im Browser oder am PC

Symptom: Auf Ihrem PC erscheinen plötzlich Fenster mit Werbung. Oder Ihr Browser zeigt noch mehr Werbung an als noch kurz zuvor.

Harmlose Ursache: Sie befinden sich auf einer Website, die ungewöhnlich viel Werbung anzeigt. Vielleicht kann sie sogar den Browser austricksen und neue Fenster mit weiterer Werbung öffnen.

Gefährliche Ursache: Eine Adware hat sich auf Ihrem PC dauerhaft installiert und zeigt nun laufend Werbung an. Das kann sogar teuer werden, wenn die Adware eine Virenwarnung vorgaukelt und als Lösung ein kostenpflichtiges Tool empfiehlt. Wer dann kauft, erhält meist ein nutzloses Programm.

Die Freeware Adwcleaner findet und beseitigt Adware in Windows sehr zuverlässig. Bevor das Tool Änderungen am System vornimmt, erstellt es ein Backup der Registry.
Vergrößern Die Freeware Adwcleaner findet und beseitigt Adware in Windows sehr zuverlässig. Bevor das Tool Änderungen am System vornimmt, erstellt es ein Backup der Registry.

Untersuchung: Starten Sie eine Suche mit einem Anti-Adware-Programm. Empfehlenswert ist etwa der kostenlose Adwcleaner . Wenn Sie vermuten, die Adware könnte im Browser stecken, dann lohnt folgender Schnelltest: Starten Sie den Browser ohne Browsererweiterungen, denn darin steckt oft Adware. Das geht beim Firefox über „Menüsymbol –› Hilfe –› Mit deaktivierten Add-ons neu starten“. Sie können Firefox auch im abgesicherten Modus starten, indem Sie die Umschalttaste gedrückt halten, während Sie Firefox per Klick mit der Maus etwa auf das Desktopsymbol starten.

Beim Browser Chrome lassen sich Erweiterungen nur umständlich deaktivieren. Der ältere Startparameter „disable-extensions“ funktionierte in unserem Test nicht mehr. Ersatzweise können Sie in Chrome über „Menüsymbol –› Neues Inkognito-Fenster“ ein Chrome-Fenster ohne oder fast ohne Erweiterungen öffnen. Schließen Sie anschließend das andere Chrome-Fenster. In Edge können Sie denselben Trick anwenden und mit „Menüsymbol –› Neues Inprivate- Fenster“ ein neues Browser-Fenster ohne Erweiterungen starten.

Lösung: Wenn der Adwcleaner die Adware gefunden hat, hilft er auch bei der Entfernung des Störenfrieds. Eine ausführliche Anleitung zum Tool finden Sie hier . Das Programm sollte Adware auch im Internet Browser finden und beseitigen. Falls dem Tool das nicht gelingt, finden Sie hier  einen eigenen Ratgeber zum Thema Adware im Browser, der auch bei der Beseitigung von Erweiterungen hilft.

Online-Banking:  Welche Technik ist die sicherste?

5. Android-System verhält sich merkwürdig 

Die Antiviren-App von Sophos lieferte im Test auf Android-Smartphone stets gute Ergebnisse.
Vergrößern Die Antiviren-App von Sophos lieferte im Test auf Android-Smartphone stets gute Ergebnisse.

Symptom: Das Android-Smartphone zeigt plötzlich Werbefenster an oder es wird ohne laufende App ungewöhnlich warm.

Harmlose Ursache: Sie haben eine werbefinanzierte App installiert, die mehr oder weniger oft Werbung anzeigt.

Gefährliche Ursache: Sie haben eine Adware installiert, die laufend Werbung anzeigt. In seltenen Fällen können Sie sich auch schlimmeren Schadcode eingefangen haben, der Ihre Daten für Onlinebanking zu stehlen versucht. Laut der PSW Group  sind im Jahr 2019 rund 1,85 Millionen neue Schad-Apps entstanden. Insgesamt soll es mehr als 94,2 Millionen Android-Schädlinge geben. Besonders häufig sind Adware-Apps.

Untersuchung: Nutzen Sie eine Antiviren-App. Empfehlenswert ist etwa die Gratis-App Sophos Intercept X for Mobile.

Lösung: Wenn die Sophos-App einen Schädling findet, kann sie diesen in der Regel auch beseitigen.

Immer wenn man denkt, es ist schon alles erfunden, kommt die Technik-Messe CES und die PC-Hersteller überraschen aufs Neue mit coolen Innovationen. Die Highlights dieses Jahr waren unter anderem ein vollwertiger Windows-PC im Design einer Nintendo Switch (Dell Concept UFO), falt-/biegbare Notebook-Displays, der 360-Hz-Monitor ASUS ROG Swift 360Hz, die Grafikkarte AMD Radeon RX 5600 XT, die mobile 4000er-Ryzen-Serie, der Threadripper 3990X mit 64 Kernen und 128 Threads, ein PC mit eingebauter Konsole (PS4 Pro oder Xbox One S), das Razer Kishi, das Intel NUC 9 Extreme Compute Element zum Selbstbau eines Mini-Gaming-PCs und ein Notebook mit sieben Displays (Codename "Aura 7") von Expanscape.

PC-WELT Marktplatz

1979907