Ich wurde gehackt: Wie Sie den versteckten ScreenConnect Client loswerden, der nicht in Ihrer Programm-Liste auftaucht

Die Nachricht „Ich wurde gehackt” ist für viele von uns ein Albtraum. Ein Gefühl der Verletzung, der Ohnmacht und der Unsicherheit breitet sich aus. Doch was, wenn die Angreifer eine unsichtbare Hintertür hinterlassen haben – eine, die nicht einmal in Ihrer Programmliste auftaucht? Wir sprechen hier über den versteckten ScreenConnect Client, eine legitime Software, die in den falschen Händen zu einem mächtigen Werkzeug für unbefugten Remote-Zugriff wird. Wenn Sie den Verdacht haben, dass ein solcher Client auf Ihrem System lauert, sind Sie hier genau richtig. Dieser Artikel führt Sie Schritt für Schritt durch den Prozess, diesen hartnäckigen Eindringling zu finden und endgültig zu entfernen.

Was ist ScreenConnect (und warum wird es missbraucht)?

ScreenConnect, auch bekannt als ConnectWise Control, ist eine legitime Software für Remote-Support und Fernzugriff. Unternehmen nutzen sie, um technische Unterstützung zu leisten, Wartungsarbeiten durchzuführen oder Mitarbeitern den Zugriff auf ihre Büro-PCs von zu Hause aus zu ermöglichen. Es ist ein mächtiges und flexibles Tool, das schnelle und effiziente Remote-Verbindungen ermöglicht. Genau diese Leistungsfähigkeit macht es jedoch auch attraktiv für böswillige Akteure.

Angreifer missbrauchen ScreenConnect, indem sie es ohne Ihr Wissen oder Ihre Zustimmung auf Ihrem System installieren. Einmal eingerichtet, ermöglicht es ihnen, Ihren Computer vollständig zu steuern – Dateien anzusehen, herunterzuladen, hochzuladen, Software zu installieren, Passwörter abzugreifen oder sogar weitere Malware einzuschleusen. Der kritische Punkt ist hierbei die Heimlichkeit: Kriminelle versuchen oft, den Client so zu konfigurieren, dass er nicht in der normalen Programmliste erscheint, um unentdeckt zu bleiben und den Remote-Zugriff über einen längeren Zeitraum aufrechtzuerhalten.

Warum taucht der Client nicht in Ihrer Programmliste auf?

Die Gründe, warum ein bösartiger ScreenConnect Client nicht in der Liste der installierten Programme angezeigt wird, sind vielfältig und zeigen die Raffinesse der Angreifer:

1. Manuelle oder nicht-standardisierte Installation: Angreifer installieren den Client oft nicht über den regulären Installer, der Einträge in der Programmliste erstellen würde. Stattdessen wird die ausführbare Datei direkt platziert und über andere Mechanismen gestartet.
2. Umbenennung der ausführbaren Datei: Die Datei ScreenConnect.Client.exe oder ähnliche wird oft in einen harmlos klingenden Namen umbenannt, z.B. update.exe, svchost.exe (eine Nachahmung eines Systemprozesses) oder eine zufällige Zeichenkette.
3. Versteckte Ordner: Die Installationsdateien werden in Systemordnern (z.B. C:WindowsSystem32, C:ProgramData, oder tief in AppData-Verzeichnissen) oder in Ordnern mit unscheinbaren Namen abgelegt.
4. Installation als Dienst: ScreenConnect kann als Windows-Dienst installiert werden. Dienste sind oft nicht in der Programmliste sichtbar und können unter einem irreführenden Namen laufen, um sich als legitimer Systemdienst auszugeben.
5. Keine Deinstallationsroutine: Wenn der Client manuell platziert wurde, fehlt oft ein sauberer Deinstallationsmechanismus, der ihn aus der Programmliste entfernen würde.

Diese Taktiken dienen alle einem Zweck: dauerhafte Präsenz auf Ihrem System, ohne entdeckt zu werden, um maximalen Schaden anzurichten oder sensible Daten zu stehlen.

Bevor Sie beginnen: Wichtige Vorbereitungsschritte

Bevor Sie mit der Jagd beginnen, ist es entscheidend, einige wichtige Vorbereitungen zu treffen. Dies schützt Ihre Daten und ermöglicht es Ihnen, effektiver vorzugehen:

1. Trennen Sie die Internetverbindung: Dies ist der wichtigste Schritt. Ziehen Sie das Ethernet-Kabel oder schalten Sie WLAN/Mobilfunkdaten aus. Dadurch wird verhindert, dass der Angreifer weiterhin auf Ihren Computer zugreift oder weitere Befehle sendet, während Sie versuchen, den Client zu entfernen.
2. Sichern Sie wichtige Daten (wenn möglich und sicher): Wenn Sie kritische Daten auf Ihrem System haben und die Infektion relativ neu ist, versuchen Sie, diese auf ein externes, vertrauenswürdiges Speichermedium zu sichern. Seien Sie vorsichtig: Wenn der Angreifer bereits Zugriff hatte, könnten auch Ihre Backups kompromittiert sein. In manchen Fällen ist es besser, ganz auf ein Backup zu verzichten und nach der Bereinigung mit einer sauberen Neuinstallation zu beginnen.
3. Besorgen Sie sich ein zweites Gerät: Verwenden Sie einen anderen Computer, ein Tablet oder ein Smartphone, um diese Anleitung zu lesen, da Ihr infiziertes System möglicherweise nicht zuverlässig funktioniert oder vom Angreifer überwacht wird.
4. Ändern Sie kritische Passwörter (auf einem anderen Gerät): Wenn Sie wissen, dass Sie gehackt wurden, ändern Sie sofort die Passwörter für Ihre wichtigsten Konten (E-Mail, Online-Banking, soziale Medien, Cloud-Dienste) – und zwar von einem *anderen*, sauberen Gerät.
5. Erstellen Sie einen Systemwiederherstellungspunkt: Bevor Sie tiefgreifende Änderungen am System vornehmen (insbesondere an der Registry), erstellen Sie einen Wiederherstellungspunkt. Sollte etwas schiefgehen, können Sie zu diesem Punkt zurückkehren. Suchen Sie in der Windows-Suche nach „Wiederherstellungspunkt erstellen”.

Schritt-für-Schritt-Anleitung zur Entfernung des versteckten ScreenConnect Clients

Die Suche nach einem versteckten ScreenConnect Client erfordert Sorgfalt und Geduld. Gehen Sie die folgenden Schritte der Reihe nach durch:

Phase 1: Erste Untersuchung – Task-Manager und Dienste

Beginnen Sie mit den grundlegendsten Windows-Tools, um laufende Prozesse und Dienste zu überprüfen.

1. Task-Manager überprüfen:
   • Drücken Sie Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
   • Wechseln Sie zur Registerkarte „Prozesse” oder „Details”.
   • Suchen Sie nach Prozessen mit ungewöhnlich hoher CPU-, Arbeitsspeicher- oder Netzwerknutzung, insbesondere wenn Sie keine Programme aktiv nutzen.
   • Achten Sie auf verdächtige Namen: Alles, was nicht nach einem bekannten Programm oder Systemprozess aussieht (z.B. zufällige Buchstabenfolgen, Rechtschreibfehler in Systemnamen wie „svch0st.exe” statt „svchost.exe”).
   • Klicken Sie mit der rechten Maustaste auf verdächtige Prozesse und wählen Sie „Dateipfad öffnen”. Dies führt Sie direkt zum Speicherort der ausführbaren Datei. Überprüfen Sie den Ordner. Ist es ein bekannter Speicherort?
   • Wenn Sie den ScreenConnect Client oder eine umbenannte Version davon vermuten, versuchen Sie, den Prozess zu beenden („Task beenden”). Beachten Sie, dass er möglicherweise sofort wieder gestartet wird, wenn er als Dienst oder Autostart-Eintrag konfiguriert ist.
2. Dienste überprüfen (services.msc):
   • Drücken Sie Win + R, tippen Sie services.msc ein und drücken Sie Enter.
   • Suchen Sie in der Liste der Dienste nach Einträgen mit den Namen „ScreenConnect”, „ConnectWise Control” oder „Elsinore”.
   • Suchen Sie auch nach Diensten mit verdächtigen, generischen oder unscheinbaren Namen, insbesondere solchen ohne Beschreibung oder mit ungewöhnlichen Starttypen (z.B. „Automatisch” für einen Dienst, den Sie nicht kennen).
   • Klicken Sie mit der rechten Maustaste auf verdächtige Dienste, wählen Sie „Eigenschaften” und überprüfen Sie den „Pfad zur ausführbaren Datei”. Dies zeigt Ihnen, wo die Dienstdatei liegt.
   • Wenn Sie einen verdächtigen Dienst finden, stoppen Sie ihn, indem Sie mit der rechten Maustaste klicken und „Beenden” wählen. Merken Sie sich den Namen und den Pfad, um ihn später zu entfernen.

Phase 2: Tiefenanalyse – Dateisystem und Registrierungs-Editor

Jetzt graben wir tiefer in Ihr System, um versteckte Dateien und Autostart-Einträge zu finden.

1. Dateisystem durchsuchen:
   • Öffnen Sie den Datei-Explorer und stellen Sie sicher, dass „Versteckte Elemente” und „Dateinamenerweiterungen” in den Ansichtsoptionen aktiviert sind.
   • Suchen Sie auf allen Laufwerken (insbesondere C:) nach den folgenden Namen (und deren Variationen):
     • ScreenConnect.Client.exe, Elsinore.ScreenConnect.Client.exe
     • ConnectWiseControl.Client.exe
     • Generische Namen, die missbraucht werden könnten: update.exe, rcontrol.exe, remote.exe, client.exe, service.exe
     • Suchen Sie auch nach Ordnern mit diesen Namen.
   • Überprüfen Sie diese häufig missbrauchten Verzeichnisse:
     • C:Program Files und C:Program Files (x86) (nach verdächtigen Ordnern)
     • C:ProgramData (oft für persistente Malware genutzt)
     • C:Users[IhrBenutzername]AppDataLocal
     • C:Users[IhrBenutzername]AppDataRoaming
     • C:WindowsTemp (nach ausführbaren Dateien)
   • Schauen Sie nach Dateien, die in letzter Zeit geändert wurden oder ein ungewöhnliches Erstellungsdatum haben.
2. Registrierungs-Editor überprüfen (regedit.exe):
   • Vorsicht: Seien Sie äußerst vorsichtig im Registrierungs-Editor. Fehler können Ihr System unbrauchbar machen.
   • Drücken Sie Win + R, tippen Sie regedit ein und drücken Sie Enter.
   • Navigieren Sie zu den folgenden Pfaden und suchen Sie nach Einträgen, die „ScreenConnect”, „ConnectWise Control” oder „Elsinore” enthalten, oder nach Werten, die auf eine verdächtige ausführbare Datei verweisen, die Sie zuvor im Dateisystem gefunden haben:
     • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices (hier werden die Dienstdefinitionen gespeichert, die Sie in services.msc gesehen haben)
     • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
     • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
     • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
     • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
     • Suchen Sie auch im gesamten Registrierungs-Editor nach „ScreenConnect” oder „Elsinore” (Strg + F).
   • Machen Sie Screenshots von verdächtigen Einträgen, bevor Sie diese löschen.

Phase 3: Spezialisierte Tools einsetzen

Für eine gründlichere Suche sind spezialisierte Tools unerlässlich.

1. Sysinternals Suite (insbesondere Autoruns und Process Explorer):
   • Laden Sie die kostenlose Sysinternals Suite von der Microsoft-Website auf Ihr Zweitgerät herunter und kopieren Sie die Tools auf einen USB-Stick.
   • Autoruns: Dies ist das mächtigste Tool, um Autostart-Einträge zu finden. Starten Sie Autoruns.exe als Administrator.
     • Es listet *alles* auf, was beim Systemstart geladen wird – Dienste, geplante Aufgaben, Treiber, Explorer-Erweiterungen und mehr.
     • Gehen Sie die Registerkarten durch und suchen Sie nach Einträgen mit verdächtigen Namen, fehlenden Beschreibungen, nicht verifizierten Signaturen oder Pfaden zu ausführbaren Dateien, die Sie nicht kennen.
     • Besonders die Reiter „Logon”, „Services”, „Scheduled Tasks” und „Image Hijacks” sind interessant.
     • Deaktivieren Sie verdächtige Einträge (Häkchen entfernen) und löschen Sie sie, wenn Sie sicher sind, dass es sich um den ScreenConnect Client handelt (Rechtsklick > Delete).
   • Process Explorer: Eine erweiterte Version des Task-Managers.
     • Starten Sie procexp.exe als Administrator.
     • Sie können die Prozesse mit dem Service-Namen oder Dateipfad anzeigen lassen.
     • Überprüfen Sie die Eigenschaften verdächtiger Prozesse (Doppelklick) – insbesondere den Pfad, die Befehlszeile und die übergeordnete Prozess-ID.
     • Verwenden Sie die Funktion „Verify Signatures”, um zu prüfen, ob eine ausführbare Datei digital signiert ist. Unsichere oder fehlende Signaturen bei wichtigen Prozessen sind ein Warnsignal.
2. Antivirus- und Anti-Malware-Scans:
   • Auch wenn ScreenConnect selbst keine klassische Malware ist, können Angreifer es in Verbindung mit anderer bösartiger Software installiert haben.
   • Führen Sie vollständige Scans mit aktuellen Antivirenprogrammen (z.B. Windows Defender, Malwarebytes, ESET, Avast) durch. Stellen Sie sicher, dass die Definitionen aktualisiert sind (dies muss möglicherweise über Ihr Zweitgerät erfolgen, indem Sie die Updates herunterladen und auf den infizierten PC übertragen).
   • Booten Sie in den abgesicherten Modus, um Scans durchzuführen, da dies oft effektiver ist, um hartnäckige Infektionen zu erkennen.
3. Rootkit-Scanner (optional):
   • Wenn der Client nach den vorherigen Schritten immer noch auftaucht oder Sie den Verdacht haben, dass er tiefer in Ihr System eingegraben wurde, könnten Rootkit-Scanner wie GMER oder TDSSKiller helfen, versteckte Prozesse und Dateisystemmanipulationen zu entdecken. Dies ist jedoch ein fortgeschrittener Schritt und sollte mit Vorsicht durchgeführt werden.

Phase 4: Entfernung und Bereinigung

Sobald Sie alle Spuren gefunden haben, ist es Zeit für die endgültige Bereinigung.

1. Beenden Sie Prozesse und Dienste: Stellen Sie sicher, dass alle identifizierten ScreenConnect-Prozesse im Task-Manager beendet und die zugehörigen Dienste gestoppt sind.
2. Löschen Sie Dateien und Ordner: Navigieren Sie zu allen gefundenen Speicherorten der ausführbaren ScreenConnect-Dateien und zugehörigen Ordnern. Löschen Sie diese dauerhaft (Umschalt + Entf). Leeren Sie anschließend den Papierkorb.
3. Entfernen Sie Registrierungseinträge: Löschen Sie sorgfältig alle verdächtigen Schlüssel und Werte, die Sie im Registrierungs-Editor gefunden haben.
4. Entfernen Sie Autostart-Einträge: Verwenden Sie Autoruns, um alle deaktivierten Autostart-Einträge, die zum ScreenConnect Client gehörten, dauerhaft zu entfernen.
5. Überprüfen Sie geplante Aufgaben: Öffnen Sie die Aufgabenplanung (taskschd.msc) und suchen Sie nach verdächtigen Aufgaben, die den Client starten könnten. Löschen Sie diese.

Nach der Bereinigung: Post-Hack Best Practices

Die Entfernung des Clients ist nur der erste Schritt. Jetzt müssen Sie Ihr System absichern und Ihre digitale Identität schützen.

1. Ändern Sie ALLE Passwörter: Nicht nur die, die Sie bereits geändert haben. Gehen Sie davon aus, dass *alle* Ihre Passwörter kompromittiert sein könnten. Ändern Sie sie auf einem sauberen Gerät und verwenden Sie für jedes Konto ein einzigartiges, starkes Passwort.
2. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA/MFA): Wo immer möglich, aktivieren Sie 2FA. Dies bietet eine zusätzliche Sicherheitsebene, selbst wenn ein Angreifer Ihr Passwort kennt.
3. Aktualisieren Sie alle Software: Stellen Sie sicher, dass Ihr Betriebssystem (Windows), Ihr Webbrowser und alle anderen Anwendungen auf dem neuesten Stand sind. Software-Updates schließen oft Sicherheitslücken, die von Angreifern ausgenutzt werden könnten.
4. Überprüfen Sie Sicherheitslogs: Werfen Sie einen Blick in die Windows-Ereignisanzeige (eventvwr.msc), insbesondere in die Protokolle „Sicherheit”, „System” und „Anwendung”, um nach ungewöhnlichen Anmeldeversuchen, Fehlern oder anderen verdächtigen Aktivitäten zu suchen, die zeitlich mit dem Hack übereinstimmen.
5. Informieren Sie sich über Phishing und Social Engineering: Angreifer gelangen oft über Phishing-E-Mails oder betrügerische Websites auf Ihr System. Lernen Sie, diese Bedrohungen zu erkennen.
6. Erwägen Sie eine komplette Neuinstallation des Betriebssystems: Wenn Sie sich nicht 100%ig sicher sind, dass Ihr System vollständig sauber ist, ist eine saubere Neuinstallation von Windows oft die sicherste Option. Das ist drastisch, aber es garantiert, dass keine Überreste des Angreifers auf Ihrem System verbleiben. Sichern Sie dabei nur Ihre persönlichen Daten (nicht Programme oder Systemdateien) auf einem externen Laufwerk und scannen Sie diese gründlich auf Malware, bevor Sie sie auf dem neu installierten System wiederherstellen.

Fazit

Ein gehacktes System ist eine ernste Angelegenheit, und ein versteckter ScreenConnect Client ist ein besonders hinterhältiges Problem. Die vollständige Entfernung erfordert Geduld, Detailgenauigkeit und den Einsatz der richtigen Werkzeuge. Indem Sie die hier beschriebenen Schritte befolgen, erhöhen Sie Ihre Chancen erheblich, Ihr System wieder unter Ihre Kontrolle zu bringen und Ihre Sicherheit wiederherzustellen. Denken Sie daran: Wachsamkeit und proaktive Sicherheitsmaßnahmen sind der beste Schutz vor zukünftigen Angriffen. Bleiben Sie sicher!