"gehijackte" Browser und was man dagegen tun kann

  • Da sich in der letzten Zeit Fragen zur Behebung von "gehijackten" Browsern häufen ( Popups, falsche Startseiten, seltsames Verhalten ), hier mal eine Zusammenfassung möglicher Maßnahmen. Die Tips erfolgen allederdings ohne Gewähr - erstens können die Probleme trotzdem weiterbestehen und zweitens: wenn der Rechner nimmer läuft, beschwert euch nicht bei mir....;)

    Anmerkungen: Einen Teil der Infos habe ich aus der C't 17/2004 - wer sich genauer über die Problematik informieren will, dem sei diese Zeitschrift empfohlen.

    1. Putzteufel:

    Oft liegen die Probleme an einem Trojaner, der sich auf der Festplatte eingenistet hat. Dagegen gibts ein paar Programme, die den Schlingel in die ewigen Jagdgründe schicken. Wichtig dabei ist, diese Programme vor dem Säuberungslauf zu aktualisieren, damit auch der ganze neue Müll gefunden wird.

    So - und welche Programme gibt's? Hier mal eine kleine Auswahl:

    Ad-Aware - Einer der bekanntesten Trojaner-Killer. Freeware.
    Spybot - search & destroy - auch sehr effektiv. Freeware.
    Pest-Patrol - Gut, aber leider keine Freeware. 30 Tage testen, dann 39,95€ zahlen...

    Update 20.01.2005:
    Microsoft® Windows AntiSpyware (Beta) - laut diesem Beitrag ein sehr brauchbares Tool.



    In einigen Forenbeiträgen wird auch noch der CWShredder empfohlen. Der ist aber 1. spezialisiert auf den "Cool Web Search"-Trojaner und wird 2. laut C't nicht mehr weitergepflegt - neuere Versionen findet er also nicht mehr.

    2. IE: BHOs ausmisten

    BHOs? BHO steht für "Browser Helper Object" und ist eigentlich gedacht für so nützliche Dinge wie zB die google-Toolbar.

    Das Problem: Sie können so ziemlich alles auf dem Rechner anstellen, was andere Programme auch machen können...

    Es ist klar, daß sich zwielichtigere Gestalten sich dieses Feature zu nutze machen.Vor allen Dingen, da es bis jetzt keine offizielle Möglichkeit gibt, eine informative Auflistung der installierten BHOs zu bekommen ( ab SP2 soll es möglich sein ). Man kann zwar die Registry kontrollieren ( HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ), aber diese 32-stelligen Schlüssel sind nicht all zu aussagekräftig. Der Schlüssel kann allerdings in der CLSID-Liste nachgeschlagen werden - immerhin etwas.

    Für die Leute, denen so was zu umständlich und unsicher ist, gibt's den BHODemon. Der listet fein säuberlich ( und leserlich! ) alle installierten BHOs auf und markiert "gute" grün und "böse" rot. Deinstallieren lassen sie sich damit nicht, aber deaktivieren, was im Endeffekt aufs gleiche rauskommt.

    3. Gemeinheiten

    Eine andere nette Gemeinheit ist die Umleitung auf eine andere Domain. Man gibt "www.google.de" in der Adressleiste ein und wo landet man? Bei "www.hierfindstealles.com". Eine Sache, die einen Laien schier zur Verzweiflung treiben kann. ( Experten können diesen Abschnitt überfliegen...;) ) Dabei ist die Lösung recht einfach: unter C:\WINDOWS\system32\drivers\etc steht die Datei "hosts" ( Der Pfad gilt für XP/2000 ). Diese Datei ordnet - grob gesagt - Textadressen ( die, die wir uns leicht merken können - zB www.google.de ) den IP-Adressen ( die, die das WWW besser verstehen kann - zB 123.456.78.9 ) zu. Im Normalfall besorgen das sogenannte DNS-Server - irgendwo da draussen...;).

    Wenn da aber ne Zuordnung drin steht, gilt die. Im Normalfall steht in dieser Datei ( ausser Kommentarzeilen ) nur der Eintrag "127.0.0.1 localhost". Wenn nun irgendein Programm in diese Datei den Eintrag "123.456.78.9 http://www.google.de" zufügt, kann man machen, was man will - google findet man nicht mehr. Man wird automatisch zur Adresse 123.456.78.9 weitergeleitet, die in meinem Beispiel "www.hiefindstealles.com" heisst. Abhilfe? Einfach fragliche Zeilen mit einem # am Zeilenanfang auskommentieren ( löschen ist nicht zu empfehlen, da es evtl ja doch ein korrekter Eintrag irgendeines absichtlich installierten Programmes ist. Läuft das nicht mehr, kann man die Auskommentierung einfach zurücknehmen ). Wenn man der Datei dann nach dem Speichern noch das Attribut "schreibgeschützt" verpasst, sollte das Problem ein für alle mal behoben sein.

    Ansonsten kann ich nur sagen: Haltet euer System sauber! ;) Klickt nicht auf alles, wo "klick mich" drauf steht und ihr geht einigen Ärger aus dem Weg...

    Gruß, der Michl



    * * * if you want them to RTFM, make a better FM! * * *

  • Dieses Thema hätte ich vor ner Woche gut gebrauchen können! caipi


    Ich denke das dieses Thema aber in den nächsten Tagen viel gelesen werden wird....!


    Dankt alle schonmal dem Michel - ich hatte so ein **** Ding auf meinem PC hat 2 tage gedauert alles wieder clean zu bekommen....


    Gruß


    New X

  • Zitat von webcreate

    Ein auch noch zu nennendes Tools ist hijackthis.


    Grad erst den Thread bemerkt :)
    Hatte vor kurzem auch einen Troajner drauf, den ich sehr gut wegbekommen habe.
    Zu empfehlen:
    http://www.trojaner-board.de/


    Programm öffnen (keien Installation notwendig), scannen lassen und dann als Text-Datei spiechern (auf Log doer so klicken).
    Dann auf die oben von mir genannte Webseite gehen und den Text dort einfügen. Dadurch wird eine Fehleranalyse erstellt und man weiß was zu tun ist. Damit konnte ich den Trojaner entfernen ! :)

  • Ich habe seit wenigen Tagen folgendes Problem.
    Die Internetverbindung wird laufend unterbrochen.
    Zuerst funktioniert alles normal doch plötzlich bin ich getrennt.
    Weiters ist es auch vorgekommen dass plötzlich nur 1 Browser Fenster funktioniert.
    Wenn ich dann genauere Infos über die Verbinung (Download, Upload,Zeit) haben will, blinkt das Fenster nur kurz auf und ist gleich wieder weg.


    Habe ADSL und nutze XP.
    Kennt jemand dieses Problem?
    Die oben erwähnten Programme habe ich schon alle ausprobiert, hat aber leider nicht geklappt. :-(


    Das System zurück stellen hab ich auch schon gemacht. (also zu einem früheren Zeitpunkt)

  • Mein Vater wollte jetzt ganz urplötzlich undbedingt auf Linux umsteigen, weil er sich 4 Trojaner und ohne Ende den Rechner Virenverseucht hatte.
    Er hatte sich tagelang nicht mehr ins Web getraut... :)
    Jetzt werkelt auf seiner alten Kiste ein fest installiertes Knoppix-Linux. Und er ist zufrieden! Endlich. :D

    if (!isset($plan)) {
    $antwort1 = forum_suche($frage);
    $antwort2 = google_suche($frage);
    if ($antwort1 == "" && $antwort2 == "") {
    $post = forum($frage);
    $plan = $post;
    }
    }
    array_push($community, $plan);

  • Zitat von Zockratte

    Virenscanner + Firewall und ein wenig nachdenken


    [url=http://media.lx-networks.de/index.php?id=20,45,0,0,1,0]Das sehe ich ähnlich.[/url] Man sollte noch die regelmäßigen Win-Updates hinzufügen...


    Allerdings: Für nen unbedarften User der nur mal eben ein paar Mails verschickt, 5 Stunden/Monat surft, Texte und Tabellen macht ist das schon ganz schön stressig sich mit dem Kram zu befassen. Hinzu kommt noch die Verunsicherung durch Unkenntnis.


    Also: Linux drauf - und schon ist Ruhe in/auf der Kiste! ;)

    if (!isset($plan)) {
    $antwort1 = forum_suche($frage);
    $antwort2 = google_suche($frage);
    if ($antwort1 == "" && $antwort2 == "") {
    $post = forum($frage);
    $plan = $post;
    }
    }
    array_push($community, $plan);

  • Hab jetzt ein "Service Patch" installiert welches ich von einem Kollegen erhalten habe.
    Jetzt scheint es als würde wieder alles funktionieren.


    Ist so ein Service Patch frei verfügbar oder hab ich jetzt etwas illegales auf dem PC?

  • bei M$ durchaus... die sammeln immer ein paar monate ;)

    if (!isset($plan)) {
    $antwort1 = forum_suche($frage);
    $antwort2 = google_suche($frage);
    if ($antwort1 == "" && $antwort2 == "") {
    $post = forum($frage);
    $plan = $post;
    }
    }
    array_push($community, $plan);

  • Nächstes Problem!


    Wenn ich PC starte und in das Internet einsteige funktioniert das Internet nicht 100%ig, es wird immer nur ca. die Hälfte angezeigt.
    Wenn ich dann aber einen Virenscanner (Ad aware) drüber laufen lasse, dann werden 14 Dateien gefunden, wenn ich diese lösche funktionierts wieder.
    Und die selbe Prozedur bei jedem Neustart!


    Weiß wer Rat?

  • Jetzt wirds ganz mysteriös!
    Wenns mal wieder hengt, einfach Modem ausschalten - einschalten und schon gehts wieder.


    Könnt der Fehler auch am Modem liegen? :confused:

  • Also ich hab Virenscanner und spywarescanner über mein Pc laufen lassen (Norton, AntiVir/Ad-Aware/spybot) aber nichts bringt etwas:
    Mein Problem:


    Manchmal wenn ich einen Browser öffne (benutze Firefox, mit dem IE ist aber das gleiche) kommt die Fehlermeldung: Seite nicht gefunden


    Nach einem Neustart klappt aber wieder alles....


    Hatte das schonmal einer?

  • Firewall schlecht konfiguriert?
    Hatte das mit der Outpost (aktuelle Version) mal.
    Am Anfang ging alles, und innerhalb weniger Minuten konnte ich auf keine Seite merh zugreifen. Nach dem deaktivieren der FW gings wieder problemlos...