Spybot - Search & Destroy Testbericht

In einem Support-Forum wurde kürzlich folgender Hilferuf gepostet:

\"Hilfe! Die Startseite meines Internet Explorers wurde geändert. Ich hab sie schon zigmal manuell korrigiert, aber bei jedem Neustart erscheint wieder so eine Sexseite. Die erscheint auch immer, wenn ich von einer Internetseite auf eine andere wechseln will oder manchmal auch einfach so, während ich surfe. Und komisch, ich hab sogar einen Eintrag von dieser Seite in meinen Favoriten entdeckt! Sollte meine Frau etwa......? Na ja, ich würd´s ihr ja gönnen. (Hi hi hi). Aber wenn sie sich nicht ausgelastet fühlte, würde sie mir das doch sagen! Dafür brauche ich aber neuerdings meine Internetverbindung nicht mehr manuell zu starten. Macht mein PC jetzt alles von alleine. Und ich habe eine neue Toolbar in meinem IE. Ich hab zwar keine Ahnung, wie die dahin gekommen ist, aber die ist echt klasse! Was ich aber jetzt mal wissen will, ist warum mein PC in der letzten Zeit immeeeeeeer sooooo laaaaangsaaaaaaam..........\"

Tja, das war leider alles, was man für die folgenden drei Monate von diesem User hörte. Später stellte sich heraus, dass sein System mal wieder aus unerklärlichen Gründen abgestürzt war, und danach ging gar nichts mehr.



Liebe Yopi-Leser,

was ihr soeben gelesen habt, ist natürlich reine Fiktion. Oder doch nicht? So oder ähnlich kann es sich nämlich auswirken, wenn ein Rechnersystem mit Spyware infiziert ist. Als Spyware bezeichnet man in der Regel Software, die ohne Wissen des PC-Benutzers und ohne dessen ausdrückliche Zustimmung auf einem Computer installiert wird und dort \"unerwünschte Aktionen\" ausführt. Ich denke, der Begriff ist mittlerweile fast allen PC-Anwendern bestens bekannt. Auf weitere, mehr oder weniger langatmige Erklärungen dazu, was Spyware ist und was sie auslösen kann, will ich daher an dieser Stelle verzichten. Falls dennoch jemand nähere Informationen wünscht, gibt es diese z. B. hier: http://de.wikipedia.org/wiki/Spyware. Auf dieser Seite werden auch noch weiterführende Links zur Verfügung gestellt.

Ihr wisst also, worum es geht, habt euer System weitgehend abgesichert, regelmäßige Windows Updates vorgenommen, den Internet Explorer sicher konfiguriert und eine Antivirensoftware installiert. Außerdem ladet ihr Software nur von vertrauenswürdigen Seiten herunter und lest bei der Installation neuer Software immer aufmerksam die Lizenz- und Nutzungsbedingungen. Spyware kann allerdings auch aktiv sein, obwohl nichts Ungewöhnliches passiert. Was könnt ihr also sonst noch unternehmen, um euer System zu schützen bzw. wie könnt ihr feststellen, ob euer System trotz allem bereits infiziert ist?


Die Lösung!?
***************

Auf der Seite www.safer-networking.org/de wird das kostenlose Programm \"Spybot - Search & Destroy\" zum Download angeboten. Verantwortlich für die Entwicklung des Programmes ist Patrick Michael Kolla, der diese Seite unter der Firma \"Safer Networking Limited\" betreibt.

Safer Networking Limited
P.O. Box 16
Greystones, Co. Wicklow
Ireland

Mail: webmaster@spybot.info

Spybot - Search & Destroy kann - theoretisch - einen Rechner nach verschiedenen Arten von Spyware, darunter auch Browser hijacker, Dialer, Keylogger und Trojaner und sonstige Malware, durchsuchen, diese entfernen und den Rechner vorsorglich dagegen immunisieren. Das Programm kann außerdem Gebrauchsspuren bereinigen und auch einige Systemprobleme beheben (empfiehlt sich allerdings nur für fortgeschrittene Benutzer). Permanentes Blocken von bedrohlichen ActiveX-Downloads, von bekannten verfolgenden Cookies und von bedrohlichen Downloads im IE ist ebenfalls möglich. Wie gesagt: theoretisch. Die Kriterien, nach denen mögliche Ziele definiert werden, sind - in Klassifikationsregeln zusammengefasst - auf der Homepage des Anbieters einsehbar.

Systemvoraussetzungen:

Microsoft Windows 95, 98, ME, NT, 2000 oder XP
MAC OS/OS X/Linux/Unix werden nicht unterstützt
Mindestens 5 MB freier Festplattenspeicher, zusätzlicher Speicherplatz für Updates und Sicherungskopien

Bei Verwendung von Windows 95 ist darauf zu achten, dass die neuesten Versionen von Internet Explorer und Winsock auf dem Rechner installiert sind (andernfalls bei Microsoft besorgen). Unter Windows NT/2000/2003/XP benötigen einige Funktionen administrative Benutzerrechte.

Kolla gibt allerdings ausdrücklich keine Garantie, dass Spybot-S&D jeden einzelnen Spion auf einem Rechner finden und entfernen wird oder dass es keine Fehlalarme geben wird.
Eine solche Einschränkung findet sich jedenfalls in der Lizenzvereinbarung. Was soll man denn davon halten? Ist das Programm nun zuverlässig oder nicht? Mal sehen!


Haben will, machen will. Aber wie? - Download/ Installation/ erste Schritte
***********************************************************************************

Der Download der aktuellen Programmversion 1.4 (spybotsd14.exe) erfolgt über verschiedene Fremdserver. Zur Auswahl stehen die Server von BetaNews, Download.com, ZoneX und AllSecPros. Mehr gibt es zum Download selbst nicht zu sagen.

Nach Doppelklick auf die heruntergeladene Datei wird wie üblich die Installationsroutine in Gang gesetzt. Zunächst wird man aufgefordert, die gewünschte Sprache einzustellen. Leider bezieht sich die Spracheinstellung, z. B. Deutsch, zunächst nur auf das Programm. Die Hilfe ist nach der Installation noch auf Englisch eingestellt. Dies muss im Programm über den Menüpunkt \"Sprache\" geändert werden.

Als nächstes erscheint die Lizenzvereinbarung, die zu bestätigen ist. Nun wird man aufgefordert den Installationsordner auszuwählen. Voreingestellt ist das Verzeichnis \"Programme\" auf dem lokalen Datenträger \"C\", was ich auch für das Sinnvollste halte. In der Regel wird ein neuer Ordner für das Programm angelegt. In der Regel! Hier erlebte ich allerdings eine unangenehme Überraschung. Ich hatte nämlich bereits die Vorgängerversion 1.3 auf meinem Rechner installiert gehabt und mit dem integrierten Uninstaller deinstalliert. So dachte ich jedenfalls. Ich war schlampig gewesen und hatte nicht wie üblich im Explorer überprüft, ob alle Ordner und Dateien auch tatsächlich gelöscht worden waren. Dem war nämlich nicht so. Deshalb hatte ich auch beim Setup der neuen Version die Meldung erhalten, der Ordner für das Programm existiere bereits. Es waren noch etliche Programmreste der älteren Version vorhanden, die ich also erst einmal manuell entfernen musste. Nachdem dies erledigt war, ging es weiter.

Es werden nun einige Optionen angezeigt, die man so übernehmen sollte, wie sie bereits vorgegeben sind. Die angebotene Option \"Update sofort\" kann man an dieser Stelle getrost vernachlässigen. Die Möglichkeit zur sofortigen Aktualisierung des Programms erhält man beim ersten Programmstart ohnehin noch einmal. Im nächsten Schritt erscheint ein Fenster mit weiteren Optionen. Die ersten beziehen sich auf zu erstellende Icons, die übrigen auf den Permanentschutz. Hier kann man den Permanentschutz für den Internet Explorer einstellen und den \"TeaTimer\" aktivieren. Das ist meiner Ansicht nach keine besonders glückliche Lösung, da ein Anwender, der Spybot noch nicht kennt, zu diesem Zeitpunkt noch gar nicht weiß welche Funktionen damit verbunden sind und noch keine Ahnung hat, was unter einem \"TeaTimer\" eigentlich zu verstehen ist. Immerhin hat man noch die Wahl diese Optionen erst einmal zu deaktivieren und später nachzuschauen, um was es da geht.

Zum Schluss der Installation werden wie üblich alle Setup-Einstellungen nochmals aufgelistet. Danach kann das Programm direkt gestartet werden.

Beim ersten Aufruf von Spybot S & D erhält der Anwender den Hinweis, dass nach dem Entfernen von Werbemodulen durch Spybot das Wirtsprogramm eventuell nicht mehr genutzt werden kann bzw. darf. Es wird empfohlen, vorab die jeweiligen Lizenzbestätigungen zu lesen. Diese Meldung kann deaktiviert werden, sodass sie bei künftigen Programmstarts nicht mehr erscheint. Ich finde diesen Hinweis ganz nützlich. Manch einer würde sich sonst wundern, warum gewisse Programme nach der Anwendung von Spybot nicht mehr funktionieren.

Im nächsten Schritt besteht die Möglichkeit, die komplette Registrierungsdatenbank zu sichern, sodass sie wiederhergestellt werden kann, falls Originalregistrierungseinträge durch Spyware-Programme gelöscht wurden. Nachdem auch dieser Punkt abgehakt ist, wird man aufgefordert, ein sofortiges Update vorzunehmen. Wird dies bestätigt, werden die neuesten Update-Informationen geladen und man erhält die Meldung, das Programm sei nun auf dem neuesten Stand. Ist es aber (noch) nicht! Diese Meldung ist nicht nur irreführend, sie ist schlichtweg falsch. Es wurde nur die Liste der verfügbaren Updates erstellt. Aus dieser Liste können nun die gewünschten Updates gewählt werden, müssen dann aber auch erst noch heruntergeladen werden.

Das Programm meldet die Anzahl der blockierten bedrohlichen Produkte (zunächst nur 747 an der Zahl). Anschließend erhält man die Möglichkeit, das Tutorial und/oder die Hilfe-Datei zu lesen oder das Programm zu benutzen.

Wer das Programm erstmals benutzt, sollte, sozusagen als erste Amtshandlung, jetzt die Updates downloaden und den Internet Explorer immunisieren und gegen bedrohliche Downloads von \"bösartigen Adressen\" schützen. Es sind nach dem Update zwar schon 2274 bedrohliche Produkte blockiert, es gibt aber noch 4332 weitere, die es zu stoppen gilt.
Ich habe von anderen Anwendern gehört bzw. gelesen, dass angeblich aufgrund der Immunisierung das Rechnersystem nicht mehr reibungslos funktioniert haben soll, kann das aus meiner Erfahrung jedoch nicht bestätigen. Mittlerweile benutze ich aber ohnehin einen anderen Browser.


Erst mal zurechtstutzen - Die Einstellungen
**************************************************

Nachdem die ersten Schritte getan sind, kann und sollte man das Programm auf seine persönlichen Erfordernisse einstellen. Dazu wird über den Menüpunkt \"Modus\" vom normalen zum erweiterten Modus gewechselt. Dieser bietet wesentlich mehr Optionen bzw. in diesem Modus wird ein Zugriff auf die Einstellungsoptionen eigentlich erst möglich. Wer zum Beispiel die Funktion zur Beseitigung von Gebrauchsspuren nutzen will, muss diese zunächst unter \"Einstellungen/Datensätze\" aktivieren.

Als nächstes sollten unter \"Einstellungen/Einstellungen\" die Grundeinstellungen angepasst werden. Unter Windows XP ist es ja z. B. möglich, sogenannte Systemwiederherstellungspunkte zu erstellen. Spybot ist in der Lage, vor jeder Bereinigungsaktion einen solchen Wiederherstellungspunkt zu erstellen, muss dazu jedoch über die Grundeinstellungen ausdrücklich dazu angewiesen werden. Unter den Grundeinstellungen können des weiteren Desktop- und Schnellleistensymbol und der Startmenüeintrag konfiguriert werden. Hier hat der Anwender auch den Zugriff auf z. B. besondere Programmeinstellungen, Automatisierungsvorgänge (Spybot kann automatisch bei Programmstart oder beim Start von Windows mit der Überprüfung beginnen) oder Logdatei-Einstellungen sowie auf die Konfiguration der Fehlerberichte, sofern diese Funktion genutzt werden soll. Fehlerberichte können, sozusagen als letzter Ausweg, an die Autoren von Spybot gemailt werden, wenn das Programm nicht korrekt funktioniert oder wenn bei Benutzung von Spybot andere nicht erklärte bzw. nicht erklärbare Probleme auftreten.
Was mir gut gefällt, ist die Möglichkeit für blinde Benutzer, unter den Grundeinstellungen die Programmoberfläche nach ihren Bedürfnissen zu optimieren. Wie das konkret funktioniert, weiß ich allerdings nicht, weil ich es (Gott sei Dank) nicht benötige.

Spybot bietet ferner verschiedene Optionen, das farbliche Erscheinungsbild einzustellen. Darunter gibt es auch für Farbenblinde die Möglichkeit, Spybot entsprechend ihren Bedürfnissen anzupassen. Das ist auch wieder etwas, das nicht jeder Softwareanbieter berücksichtigt.

Weitere Einstellungen beziehen sich auf die Erstellung von Ausnahmeregeln. Der Anwender kann hier bestimmen, ob und welche Produkte, Cookies, Dateiendungen, System-Innereien etc. bei der Überprüfung ignoriert bzw. nicht ignoriert werden sollen.


Denn sie wissen nicht, was sie tun - Die Werkzeuge
***********************************************************

Mithilfe verschiedener Werkzeuge können erfahrene Anwender über Spyware, die bei der normalen Suche nicht gefunden wurde, mehr erfahren und können zudem ihr System ein wenig aufräumen und optimieren.
Beispielsweise kann Spybot einen nach bestimmten Kriterien erstellten Systembericht anzeigen und speichern. Darüber besteht die Möglichkeit der Anzeige aller installierten Netzwerktreiber, aller registrierten Uninstall-Einträge (stimmt mit der Liste in der Systemsteuerung überein, Einträge können auch gelöscht werden), einer Liste aller Anwendungen, die beim Systemstart ausgeführt werden (mit Zusatzinformationen; Einträge können hinzugefügt, deaktiviert oder gelöscht werden), aller laufenden Prozesse und ihrer geladenen Module (mit Detailinfos bei Mouseover; Möglichkeit, Prozesse zu beenden und weitere Optionen), einer Liste der installierten AktiveX-Anwendungen mit Hinweisen auf mögliche Probleme, einer Liste aller registrierten Internet Explorer Helfer (BHOs) ebenfalls mit Hinweisen auf mögliche Probleme und mit der Möglichkeit, einzelne BHOs zu deaktivieren.

Zwei interessante und meiner Erfahrung nach sehr nützliche Werkzeuge sind der sogenannte Resident und der \"Tea Timer\". Beide werden zusammen mit dem System gestartet und überwachen es laufend im Hintergrund. Der Resident besteht aus einer Browser Hilfe für den Internet Explorer, die den Download von Dateien, die als schädlich bekannt sind, blockt, falls ein Schädling die Grundimmunisierung des Internet Explorers unterlaufen sollte.
Der TeaTimer überwacht die auf dem System aufgerufenen bzw. gestarteten Prozesse. Er entdeckt sofort startende bekannte bösartige Prozesse, beendet sie unverzüglich und bietet einige Optionen dazu an, wie mit diesen künftig verfahren werden soll. Zusätzlich entdeckt der TeaTimer, wenn etwas versucht, kritische Registrierungsschlüssel zu verändern. Der Anwender kann dies erlauben oder verweigern. Der TeaTimer läuft ständig im Hintergrund und belegt daher permanent etwa 5 MB der verfügbaren Ressourcen, arbeitet jedoch nach meinen Beobachtungen sehr zuverlässig. Sobald wichtige Registrierungseinträge verändert, hinzugefügt (z. B. bei der Installation neuer Programme) oder gelöscht werden sollen, meldet sich das Tool und fragt nach, was geschehen soll.

Ein weiteres nützliches Werkzeug ist das Tool \"Abo kündigen\". Es enthält eine Liste von E-Mail-Adressen und Webseiten. Wer Spam oder ungewollte Cookies von einer der gelisteten Firmen erhält und nicht weiß, wie er die Quälgeister wieder loswerden soll, kann sich über dieses Tool davon befreien. Es soll jedoch nicht präventiv verwendet werden. Damit würde man diese Firmen nur erst auf sich aufmerksam machen.

Auch das Werkzeug \"Hosts-Datei\" ist sehr hilfreich. Hiermit werden auf einen Streich eine Unzahl von Internet-Servern, die für schlechtes Verhalten (Spywar-Installation, Besucherüberwachung) bekannt sind, blockiert. Der Anwender kann nach eigenem Belieben Einträge entfernen oder auch hinzufügen um die Liste an seine individuellen Bedürfnisse anzupassen.

Was gibt es sonst noch? Neben dem Tool für die Fehlerberichterstattung steht noch ein sicherer Aktenvernichter zur Verfügung. Man kann noch ein paar Spielereien mit versteckten Internet Explorer Einstellungen treiben und sich alle registrierten Start- und Suchseiten des Internet Explorers auflisten lassen.

Es gibt auch noch ein Tool zum Auffinden inkonsistenter Systemeinträge. Damit werden die Registry-Einträge nach falschen Dateinamen und nicht existierenden Ordnern durchsucht. Angeblich wird an wichtigen Orten gesucht, die andere Registry Cleaner nicht abgreifen. Mit den Ergebnissen dieser Suche stehe ich allerdings im Augenblick noch nicht so ganz auf Du und Du.


Such, Lumpi, such! - Die Überprüfung
********************************************

Sobald die Überprüfung gestartet wurde, kann anhand einer Statusleiste am unteren Bildschirmrand der Fortschritt überwacht werden. Nach Abschluss des Vorgangs erstellt Spybot eine Liste aller gefundenen Probleme. Potentielle Gefährdungen sind rot, Gebrauchsspuren grün markiert. Falls vorhanden, werden zu den einzelnen Einträgen zusätzliche Informationen angezeigt.

Gebrauchsspuren können ohne weiteres sofort gelöscht werden. Der Vorteil, welcher durch die Verwendung von Spybot entsteht, ist die Beseitigung verschiedenster Gebrauchsspuren auf einen Streich. Man könnte z. B. das Löschen von Cookies, das Leeren des Browser Cache und/oder des Ordners mit zuletzt verwendeten Dokumenten auch in Einzelschritten manuell vornehmen. Spybot erledigt alles in einem Abwasch, wobei der Anwender immer noch selbst entscheiden kann, was gelöscht werden soll und was nicht. Bei der Beseitigung der (gefundenen) Gebrauchsspuren arbeitet Spybot nach meinen bisherigen Erkenntnissen durchaus zuverlässig.

Bei der Löschung der als gefährlich erkannten Einträge sollte man schon etwas differenzierter bzw. vorsichtiger vorgehen, um sicherzustellen, dass das System auch künftig problemlos arbeitet. Spybot legt zwar Sicherungskopien an, aber Vorsicht ist besser als Reparieren. Auch die Verwendung der Systemwiederherstellung unter Windows XP macht eigentlich nur dann Sinn, wenn nach der Überprüfung und Bereinigung durch Spybot keinerlei Änderungen am System vorgenommen wurden, denn alles, was nach dem Wiederherstellungspunkt passiert sein sollte, wird hinfällig. Unter Umständen entsteht dadurch ein heilloses Durcheinander. Das weiß ich aus eigener bitterer Erfahrung, da ich einmal versucht habe, ein Problem, das allerdings nichts mit Spybot zu tun hatte, mithilfe der Systemwiederherstellung zu lösen. Also besser vorher sorgfältig prüfen, ob ein Eintrag wirklich gelöscht werden kann und soll.

Einmal losgeschickt, arbeitet Lumpi alias Spybot im übrigen sehr schnell, für meine Begriffe sogar zu schnell. Es wird nicht die komplette Festplatte und Registrierungsdatenbank nach verdächtigen Dateien und Einträgen durchsucht, denn Spybot arbeitet mit der Vorgabe, dass alle Spione sich an einigen festgelegten Stellen im System verankern müssen, um zu funktionieren. Allerdings werde ich doch skeptisch, wenn die Überprüfung bei einer Festplattenbelegung von über 25 GB bereits in nur wenigen Minuten abgeschlossen ist. Jedenfalls ist dem lieben Lumpi, zumindest in der Vorgängerversion 1.3, bereits einmal ein damals schon altbekannter Browser hijacker durch die Lappen gegangen, und zwar das mit der Software T-Online 5.0 mitgelieferte Fotoservice Programm. Bello alias Ad-Aware hatte in dem Fall die bessere Spürnase. Die Definitionsdatei von Ad-Aware beinhaltet zur Zeit 40.920 Signaturen, Spybot dagegen kann, soweit es für mich erkennbar ist, mit lediglich 27.635 Signaturen aufwarten.

Darüber hinaus bemängele ich, dass auch Spybot offensichtlich nur den Internet Explorer zur Kenntnis nimmt. Alle anderen Browser sind für das Programm scheinbar nicht existent. Netscape wird jedenfalls geflissentlich ignoriert.

Ich bin mittlerweile dazu übergegangen, Spybot und Ad-Aware meinen Rechner nacheinander nach Spyware und Gebrauchsspuren durchforsten zu lassen. Ich traue weder dem Spybot- noch dem Ad-Aware-Braten hundertprozentig und denke, doppelt genäht hält besser. Zwar wird davon abgeraten, beide Programme auf demselben System zu verwenden, weil angeblich das eine im anderen Spyware erkennen würde, mir ist dies jedoch bisher nicht vorgekommen.


Ich blick nicht mehr durch - Hilfe und Support
****************************************************

Die Programmhilfe ist so fungibel wie die Hilfen zu den meisten gängigen Programmen. Es fehlt natürlich immer irgend etwas, aber die Funktionen werden ausreichend bis befriedigend erklärt. Daneben gibt es noch ein kleines Lexikon mit Definitionen verschiedener Spyware und programmspezifischer Begriffe sowie eine FAQ-Liste. Zusätzliche Informationen sowie ein Forum finden sich bei Bedarf auch auf der Homepage des Anbieters.


Fazit
******

Spybot ist ein nettes kleines Programm. Es ist kostenlos, und aufgrund einiger nützlicher Features, insbesondere des TeaTimers, kann man sich schon damit anfreunden, ohne jedoch zu hohe Erwartungen daran zu knüpfen. Denn: Selbst ist der User, wachsam und vorsichtig. Hiernach kann ich durchaus eine Empfehlung aussprechen.

Herzliche Grüße

Eure Lautgeber