Wie können Sie feststellen, ob jemand Fernzugriff auf Ihren Windows-Computer hat?

Einige der gefährlichsten Malware-Arten, wie beispielsweise Remote Access Trojaner (RATs) und Rootkits auf Kernel-Ebene , sind darauf ausgelegt, Fernzugriff auf den PC eines Opfers zu erlangen. Sie agieren im Hintergrund und sind daher schwer zu erkennen. Wenn Sie befürchten, dass jemand unbefugten Fernzugriff auf Ihren Windows-PC hat, erfahren Sie hier, wie Sie die Bedrohung bestätigen und beseitigen können.

Warnsignale bei Zugriff auf Ihren PC

Obwohl die meisten Fernzugriffsversuche lautlos verlaufen, gibt es dennoch einige Warnsignale. Diese Anzeichen können zwar auf die Popularität von Windows hinweisen, zusammengenommen können sie aber ein starkes Indiz für Fernzugriffsaktivitäten sein.

• Ungewöhnliches Maus-/Tastaturverhalten : Wenn sich der Cursor unregelmäßig bewegt oder Text ohne Ihr Zutun eingegeben wird, könnte dies an einem Remote-Tool liegen. Auch ohne aktive Steuerung können diese Tools Probleme wie Cursorsprünge oder -teleportieren verursachen. Dieses Zeichen kann auch als Bestätigung dienen, wenn Maus und Tastatur Aufgaben wie den Zugriff auf die Adressleiste des Browsers und die Eingabe von Website-Adressen ausführen.
• Programme öffnen und schließen sich selbstständig : Hacker können auch Befehle zum Öffnen bestimmter Anwendungen (wie Antivirensoftware oder Eingabeaufforderungen ) senden, um mehr Kontrolle über das System zu erlangen oder Sicherheitsfunktionen zu deaktivieren. Wenn Sie feststellen, dass sich Programme selbstständig öffnen und schließen, ist das ein Warnsignal.
• Neue unbekannte Benutzerkonten erstellen : Manche Angreifer versuchen, Zweitkonten zu erstellen, um auch nach der Erkennung weiterhin Zugriff zu haben. Sie deaktivieren möglicherweise die Benutzerwechselfunktion, um das Konto auf dem Sperrbildschirm auszublenden. Gehen Sie zu den Windows-Einstellungen -> Konten und suchen Sie unter „Familie“ und „Andere Benutzer“ nach Zweitkonten .

• Plötzliche Leistungseinbußen : Fernsteuerungsvorgänge sind ebenfalls ressourcenintensiv, sodass es zu plötzlichen Leistungseinbußen kommen kann. Dies ist insbesondere dann besorgniserregend, wenn es aufgrund von Fernsteuerungsvorgängen gelegentlich zu Leistungseinbußen kommt.
• Windows Remote Desktop ist automatisch aktiviert : Windows Remote Desktop ist anfällig für Angriffe, weshalb Hacker diese Funktion häufig nutzen, um Remoteverbindungen herzustellen. Diese Funktion ist standardmäßig deaktiviert. Wenn sie ohne Ihr Zutun aktiviert wird, handelt es sich wahrscheinlich um Hacker. Gehen Sie in den Windows-Einstellungen zu System -> Remote Desktop und prüfen Sie, ob diese Funktion aktiviert ist.

So bestätigen Sie den Fernzugriff auf Ihren PC

Wenn Sie die oben genannten Anzeichen bemerken, ergreifen Sie die notwendigen Maßnahmen, um Ihren Verdacht zu bestätigen. Sie können die Aktivität der am Fernzugriff beteiligten Komponenten/Anwendungen überwachen, um zu bestätigen, dass jemand auf Ihren Windows-PC zugreift. Hier sind einige der zuverlässigsten Methoden:

Überprüfen Sie die Protokolle der Windows-Ereignisanzeige

Die Windows-Ereignisanzeige ist ein großartiges integriertes Tool zum Überwachen der Benutzeraktivität und hilft beim Erkennen von Remotezugriffsversuchen durch Überwachung der RDP-Aktivität und der Anmeldeprotokolle.

Suchen Sie in der Windows-Suche nach „Ereignisanzeige“ und öffnen Sie die Ereignisanzeige .

Gehen Sie zu Windows-Protokolle -> Sicherheit und klicken Sie auf die Registerkarte Ereignis-ID , um die Ereignisse nach ID zu sortieren. Suchen Sie nach allen Ereignissen mit der ID 4624 und überprüfen Sie deren Details, um sicherzustellen, dass keines den Anmeldetyp 10 aufweist . Die Ereignis-ID 4624 steht für Anmeldeversuche, und der Anmeldetyp 10 entspricht Remote-Anmeldungen über RAS-Dienste, die Hacker möglicherweise nutzen.

Sie können auch nach der Ereignis-ID 4778 suchen , da diese auf die Wiederherstellung einer Remote-Sitzung hinweist. Auf der Detailseite jedes Ereignisses finden Sie wichtige Informationen zur Identifizierung, wie z. B. den Kontonamen oder die Netzwerk-IP-Adresse.

Überwachen Sie den Netzwerkverkehr

Der Fernzugriff ist auf Netzwerkkonnektivität angewiesen. Daher ist die Überwachung des Netzwerkverkehrs eine zuverlässige Methode, ihn zu erkennen. Wir empfehlen hierfür die kostenlose Version von GlassWire, da diese sowohl schädliche Verbindungen überwacht als auch automatisch vor ihnen schützt.

In der GlassWire-App sehen Sie alle Ihre App-Verbindungen unter GlassWire Protect . Die App wertet die Verbindungen automatisch aus und kennzeichnet nicht vertrauenswürdige Verbindungen. In den meisten Fällen kann die App schädliche Remote-Verbindungen erkennen und Sie warnen.

Zusätzlich zu den Algorithmen der App können Sie auch nach Hinweisen wie hohem Datenverbrauch einer unbekannten App suchen. Remote-Verbindungen verbrauchen ständig Daten und sind daher leicht zu erkennen.

Geplante Aufgaben anzeigen

Viele Fernzugriffsversuche werden mithilfe der Windows-Taskplanung verwaltet . Dadurch überstehen sie PC-Neustarts und führen Aufgaben aus, ohne ständig ausgeführt werden zu müssen. Ist Ihr PC infiziert, werden Ihnen im Taskplaner Aufgaben unbekannter Anwendungen angezeigt.

Suchen Sie in der Windows-Suche nach „Taskplaner“ und öffnen Sie die Taskplaner-Anwendung. Öffnen Sie im linken Bereich „Taskplaner (Lokal)“ -> „Taskplaner-Bibliothek“ . Suchen Sie nach verdächtigen Ordnern, die nicht zu Microsoft gehören. Wenn Sie Ordner finden, klicken Sie mit der rechten Maustaste auf die Aufgabe und wählen Sie „ Eigenschaften“.

Sehen Sie sich in den Eigenschaften die Registerkarten „Trigger“ und „Aktionen“ an, um herauszufinden, was die Aufgabe bewirkt und wann sie ausgeführt wird. Dies sollte ausreichen, um festzustellen, ob sie bösartig ist. Führt die Aufgabe beispielsweise beim Anmelden oder im Leerlauf des Systems eine unbekannte Anwendung oder ein unbekanntes Skript aus, handelt es sich wahrscheinlich um bösartige Aufgaben.

Wenn Sie keine verdächtigen Aufgaben finden, sollten Sie im Microsoft-Ordner nachsehen. Möglicherweise versteckt sich dort hochentwickelte Malware. Achten Sie auf verdächtige Aufgaben, beispielsweise auf generische Namen wie „systemMonitor“ oder falsch geschriebene Namen. Glücklicherweise müssen Sie nicht jede Aufgabe einzeln untersuchen, da die meisten von Microsoft stammen und ignoriert werden können.