Neue Toolbars und merkwürdige Redirects

Browser-Hijacking

Zeigt der Internet Explorer beim Start eine unbekannte Website an und landen Sie bei URL-Vertippern auf Werbeseiten, so wurde Ihr Browser wahrscheinlich von einem Schadprogramm gekapert. Weitere Hinweise auf das sogenannte Browser-Hijacking: neue Lesezeichen, neue Toolbars und merkwürdige Redirects, die Sie allesamt auf weitere Werbe-Websites führen.

Active Skripting abschalten

Schuld an den Problemen ist die ActiveX-Technologie des Internet Explorers kombiniert mit den weitreichenden Rechten, die der Browser unter Windows genießt. Im Zusammenspiel mit den regelmäßig auftauchenden Sicherheitslecks können Webseiten so ganz ohne Zutun des Anwenders die Einstellungen des Internet Explorers manipulieren und ? weit weniger offensichtlich ? Spyware und Trojaner installieren.

Admins sollten daher Active Skripting im Browser ganz verbieten oder zumindest nur für vertrauenswürdige Websites zulassen. Letzteres ist nur dann sinnvoll, wenn Sie vorher die Liste der vertrauenswürdigen Sites kontrollieren. Denn einige Hijacker versuchen, eigene Seiten in dieser Zone abzulegen.

Browser-Hijacker aufspüren

Wurde der Internet Explorer gekapert, ist es schwierig, die Malware wieder loszuwerden ? über die Systemsteuerung oder direkt im Browser lässt sie sich meist nicht entfernen. Spezialtools wie Hijack This von Trend Micro müssen her.

Sollte ein Schadprogramm auf Ihrem System den Start von Hijack This verhindern, benennen Sie die EXE-Datei zum Beispiel in antispyware.com um. Nach dem Programmstart starten Sie über den Button Do a system scan and save a logfile einen Scan auf Ihrem Rechner. Hijack This erzeugt einen Bericht, den sie dann zur Analyse bei www.hijackthis.de hochladen. Dort erhalten Sie über verschiedene Symbole eine erste Einschätzung des Scanreports. Basierend auf Erfahrungsberichten von anderen Hijack-This-Anwendern gibt es in der Spalte Visitor?s assessment noch eine genauere Bewertung der Funde von Very safe bis Extremely nasty.

Dieser erste Überblick lässt erahnen, wie schlimm es um Ihr System bestellt ist. Für eine endgültige Beurteilung ist es allerdings noch zu früh.

Hilfe von Foren-Experten

Ein genaueres Gutachten zu Ihrem Logfile erhalten Sie unter forum.hijackthis.de. Erfahrene Hijack-This-User werten dort die Scanergebnisse von Spyware-Opfern aus. Der Service könnte nicht komfortabler sein: Posten Sie Ihr Hijack-This-Protokoll einfach in einem neuen Thread im Bereich Support/HijackThis Logfiles. Die Foren-Experten liefern meist schon eine erste Diagnose und geben Tipps für das weitere Vorgehen.

Mit einem Antiviren-Tool wie Kaspersky Antivir 6.0 und Ad-Aware versuchen Sie dann, die Schädlinge zu löschen. Ein anschließender Scan mit Reg Seeker säubert die Registry von den Überbleibseln der Schnüffeltools. Nun zeigt ein zweiter Suchlauf von Hijack This, welche Störenfriede immer noch im System sitzen. Häufig hilft es den Experten im Forum, wenn Sie per filelist.bat eine Liste aller Dateien auf Ihrem Rechner erstellen, die in den letzten 30 Tagen verändert wurden oder neu hinzugekommen sind.

Sollten immer noch Reste eines Browser-Hijackers im System stecken, müssen Sie diesen direkt über Hijack This entfernen. Dazu setzen Sie ein Häkchen vor die entsprechenden Einträge und bestätigen mit fix checked. Bei einem besonders schweren Befall ist die Behandlung dann aber noch nicht beendet. Je nach Hartnäckigkeit der Plagegeister müssen Sie noch einige Runden mit Reg Seeker und Hijack This drehen ? möglicherweise auch im abgesicherten Modus. Im Extremfall kann es passieren, dass nur noch eine Neuinstallation von Windows auf einer frisch formatierten Festplatte hilft, die Spyware loszuwerden.

Bild: Wer ungeschützt mit dem Internet Explorer surft, fängt sich schnell Adware und Spyware ein. Zum Teil merkt man das recht schnell, weil sich neue Toolbars im Browser einnisten.

Vorbeugende Maßnahmen

Browser-Hijacking

Alternative Browser wie Firefox oder Opera sind zwar nicht gegen Browser-Hijacker gefeit. Doch da sie ActiveX nicht unterstützen, bieten sie einen gewissen Grundschutz.

Wer nicht umsteigen will, sollte im IE die Rechte von ActiveX-Controls beschneiden und Active Skripting nur für explizit als vertrauenswürdig gekennzeichnete Webseiten erlauben. In Kombination mit eingeschränkten Benutzerkonten und einem Desktop-Virenscanner haben Schadprogramme dann wenig Spielraum.

Hijack This: Logfiles lesen und verstehen

Zunächst listet das Logfile alle laufenden Prozesse auf. Der interessante Teil folgt im Anschluss: Im Logfile sind alle Funde anhand einer Buchstaben-Zahlen-Kombination am Zeilenanfang klassifiziert: R steht für die Start- und Suchseite des Internet Explorers, N für Netscape/Mozilla. Letzteres kommt aber selten vor, weil diese Browser nicht so oft von Spyware befallen werden. In der großen Gruppe O1 bis O23 zeigt Hijack This detailliert, welche Plug-ins und ActiveX-Controls sich im IE eingenistet haben oder welche Schädlinge beim Systemstart automatisch aktiv werden.

Um herauszufinden, ob es sich bei den Programmen tatsächlich um schädliche Software handelt, können Sie den ID-Code kopieren und auf www.castlecops.com/CLSID.html nachschlagen. Dort finden Sie neben dem Programmnamen und einer kurzen Beschreibung auch eine Bewertung. Steht im Feld Status ein X, handelt es sich um Spyware ? bei L dagegen um ein legitimes Programm, etwa eine Toolbar.