"gehijackte" Browser und was man dagegen tun kann

[webmichl]

Da sich in der letzten Zeit Fragen zur Behebung von "gehijackten" Browsern häufen ( Popups, falsche Startseiten, seltsames Verhalten ), hier mal eine Zusammenfassung möglicher Maßnahmen. Die Tips erfolgen allederdings ohne Gewähr - erstens können die Probleme trotzdem weiterbestehen und zweitens: wenn der Rechner nimmer läuft, beschwert euch nicht bei mir....

Anmerkungen: Einen Teil der Infos habe ich aus der C't 17/2004 - wer sich genauer über die Problematik informieren will, dem sei diese Zeitschrift empfohlen.

1. Putzteufel:

Oft liegen die Probleme an einem Trojaner, der sich auf der Festplatte eingenistet hat. Dagegen gibts ein paar Programme, die den Schlingel in die ewigen Jagdgründe schicken. Wichtig dabei ist, diese Programme vor dem Säuberungslauf zu aktualisieren, damit auch der ganze neue Müll gefunden wird.

So - und welche Programme gibt's? Hier mal eine kleine Auswahl:

Ad-Aware - Einer der bekanntesten Trojaner-Killer. Freeware.
Spybot - search & destroy - auch sehr effektiv. Freeware.
Pest-Patrol - Gut, aber leider keine Freeware. 30 Tage testen, dann 39,95€ zahlen...

Update 20.01.2005:
Microsoft® Windows AntiSpyware (Beta) - laut diesem Beitrag ein sehr brauchbares Tool.



In einigen Forenbeiträgen wird auch noch der CWShredder empfohlen. Der ist aber 1. spezialisiert auf den "Cool Web Search"-Trojaner und wird 2. laut C't nicht mehr weitergepflegt - neuere Versionen findet er also nicht mehr.

2. IE: BHOs ausmisten

BHOs? BHO steht für "Browser Helper Object" und ist eigentlich gedacht für so nützliche Dinge wie zB die google-Toolbar.

Das Problem: Sie können so ziemlich alles auf dem Rechner anstellen, was andere Programme auch machen können...

Es ist klar, daß sich zwielichtigere Gestalten sich dieses Feature zu nutze machen.Vor allen Dingen, da es bis jetzt keine offizielle Möglichkeit gibt, eine informative Auflistung der installierten BHOs zu bekommen ( ab SP2 soll es möglich sein ). Man kann zwar die Registry kontrollieren ( HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ), aber diese 32-stelligen Schlüssel sind nicht all zu aussagekräftig. Der Schlüssel kann allerdings in der CLSID-Liste nachgeschlagen werden - immerhin etwas.

Für die Leute, denen so was zu umständlich und unsicher ist, gibt's den BHODemon. Der listet fein säuberlich ( und leserlich! ) alle installierten BHOs auf und markiert "gute" grün und "böse" rot. Deinstallieren lassen sie sich damit nicht, aber deaktivieren, was im Endeffekt aufs gleiche rauskommt.

3. Gemeinheiten

Eine andere nette Gemeinheit ist die Umleitung auf eine andere Domain. Man gibt "www.google.de" in der Adressleiste ein und wo landet man? Bei "www.hierfindstealles.com". Eine Sache, die einen Laien schier zur Verzweiflung treiben kann. ( Experten können diesen Abschnitt überfliegen... ) Dabei ist die Lösung recht einfach: unter C:\WINDOWS\system32\drivers\etc steht die Datei "hosts" ( Der Pfad gilt für XP/2000 ). Diese Datei ordnet - grob gesagt - Textadressen ( die, die wir uns leicht merken können - zB www.google.de ) den IP-Adressen ( die, die das WWW besser verstehen kann - zB 123.456.78.9 ) zu. Im Normalfall besorgen das sogenannte DNS-Server - irgendwo da draussen....

Wenn da aber ne Zuordnung drin steht, gilt die. Im Normalfall steht in dieser Datei ( ausser Kommentarzeilen ) nur der Eintrag "127.0.0.1 localhost". Wenn nun irgendein Programm in diese Datei den Eintrag "123.456.78.9 www.google.de" zufügt, kann man machen, was man will - google findet man nicht mehr. Man wird automatisch zur Adresse 123.456.78.9 weitergeleitet, die in meinem Beispiel "www.hiefindstealles.com" heisst. Abhilfe? Einfach fragliche Zeilen mit einem # am Zeilenanfang auskommentieren ( löschen ist nicht zu empfehlen, da es evtl ja doch ein korrekter Eintrag irgendeines absichtlich installierten Programmes ist. Läuft das nicht mehr, kann man die Auskommentierung einfach zurücknehmen ). Wenn man der Datei dann nach dem Speichern noch das Attribut "schreibgeschützt" verpasst, sollte das Problem ein für alle mal behoben sein.

Ansonsten kann ich nur sagen: Haltet euer System sauber! Klickt nicht auf alles, wo "klick mich" drauf steht und ihr geht einigen Ärger aus dem Weg...

[newx]

Dieses Thema hätte ich vor ner Woche gut gebrauchen können!

Ich denke das dieses Thema aber in den nächsten Tagen viel gelesen werden wird....!

Dankt alle schonmal dem Michel - ich hatte so ein **** Ding auf meinem PC hat 2 tage gedauert alles wieder clean zu bekommen....

Gruß

New X

[Obi-Wan]

Hätt' ich auch vor kurzem gut brauchen können...

Noch kleiner Tipp, wenn alle Stricke reissen: Systemwiederherstellung !
Bei mir hats geholfen.

[webcreate]

Ein auch noch zu nennendes Tools ist hijackthis.

[hero-master]

Ein auch noch zu nennendes Tools ist hijackthis.

Grad erst den Thread bemerkt
Hatte vor kurzem auch einen Troajner drauf, den ich sehr gut wegbekommen habe.
Zu empfehlen:
http://www.hijackthis.de

Programm öffnen (keien Installation notwendig), scannen lassen und dann als Text-Datei spiechern (auf Log doer so klicken).
Dann auf die oben von mir genannte Webseite gehen und den Text dort einfügen. Dadurch wird eine Fehleranalyse erstellt und man weiß was zu tun ist. Damit konnte ich den Trojaner entfernen !

[Altacher]

Ich habe seit wenigen Tagen folgendes Problem.
Die Internetverbindung wird laufend unterbrochen.
Zuerst funktioniert alles normal doch plötzlich bin ich getrennt.
Weiters ist es auch vorgekommen dass plötzlich nur 1 Browser Fenster funktioniert.
Wenn ich dann genauere Infos über die Verbinung (Download, Upload,Zeit) haben will, blinkt das Fenster nur kurz auf und ist gleich wieder weg.

Habe ADSL und nutze XP.
Kennt jemand dieses Problem?
Die oben erwähnten Programme habe ich schon alle ausprobiert, hat aber leider nicht geklappt. :-(

Das System zurück stellen hab ich auch schon gemacht. (also zu einem früheren Zeitpunkt)

[Zockratte]

hast du n vierenscanner? ist der mit aktuellen definitionen gefüttert?

habe am WE nen PC in der Verwandschaft mit gleichen Problemen von x Viren, Trojaner ect. befreien müssen (NAV war eine woche nicht aktiv ^^)
danach lief er wieder.

also check mal ob du untermieter hast

[tribun]

Mein Vater wollte jetzt ganz urplötzlich undbedingt auf Linux umsteigen, weil er sich 4 Trojaner und ohne Ende den Rechner Virenverseucht hatte.
Er hatte sich tagelang nicht mehr ins Web getraut...
Jetzt werkelt auf seiner alten Kiste ein fest installiertes Knoppix-Linux. Und er ist zufrieden! Endlich.

[Zockratte]

Virenscanner + Firewall und ein wenig nachdenken was man tut und jede Windows umgebung ist ausreichend gegen solche geschichten geschützt.

Leider fehlt es oft an mind. einem der drei dinge - meistens am letzten

[tribun]

Virenscanner + Firewall und ein wenig nachdenken

Das sehe ich ähnlich. Man sollte noch die regelmäßigen Win-Updates hinzufügen...

Allerdings: Für nen unbedarften User der nur mal eben ein paar Mails verschickt, 5 Stunden/Monat surft, Texte und Tabellen macht ist das schon ganz schön stressig sich mit dem Kram zu befassen. Hinzu kommt noch die Verunsicherung durch Unkenntnis.

Also: Linux drauf - und schon ist Ruhe in/auf der Kiste!

[Altacher]

Habe AntiVir, Ad-Ware und Spybot ausprobiert.
Leider bis jetzt nichts gebracht! :-(
Werd ihn wohl formatieren!

[Altacher]

Hab jetzt ein "Service Patch" installiert welches ich von einem Kollegen erhalten habe.
Jetzt scheint es als würde wieder alles funktionieren.

Ist so ein Service Patch frei verfügbar oder hab ich jetzt etwas illegales auf dem PC?

[webcreate]

Ganz legal.
Wenn Du nochmals was an SP suchst, schau mal hier: http://support.microsoft.com/default.aspx?scid=fh;DE;sp

[Altacher]

Der Service Patch hatte 256 MB, ist das normal?

[tribun]

bei M$ durchaus... die sammeln immer ein paar monate