PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registrierungdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSucheKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht


PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Anti-Hijacker-Workshop (Update 06.01.2006) » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Thema ist geschlossen
Zum Ende der Seite springen Anti-Hijacker-Workshop (Update 06.01.2006)
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Cerberus Cerberus ist männlich
Chefredakteur


Dabei seit: 23.07.2002
Beiträge: 11.737
Herkunft: Lübeck

Achtung Anti-Hijacker-Workshop (Update 06.01.2006) Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Was ist Browser-Hijacking ?

Nach den Wurmattacken des letzten Jahres (weitere werden folgen), macht sich eine neue Internetseuche breit:
Das Entführen (Hijacking) auf unerwünschte Internetseiten durch rigide Manipulation des betroffenen Rechners .
Bekannt im negativsten Sinne wurde 2003 die 'Suchmaschine' Cool Web Search. Coolwebsearch (CWS) verbreitet immer neue Varianten trojanischer Pferde, um den ahnungslosen Surfer auf die eigene Seite umzuleiten, was in der Tat schon an Nötigung grenzt. Die Trojaner der Hijacker nutzen eine Sicherheitslücke in der Virtual Machine von Windows und nisten sich in der Registry ein, um die von den Usern eingestellte Startseite im Internet Explorer erfolgreich zu manipulieren und uns auf ganz andere Webseiten zu "entführen".
Eine Liste der bisher bekannten Varianten befindet sich auf der Seite Hijackthis.de




Ich bin betroffen, was kann ich tun ?

Schritt 1:

Zunächst einmal sollte man sein System mit den bekannten Tools Ad-Aware und Spybot gründlich prüfen, wobei eine Aktualisierung der beiden Tools vor dem Scan natürlich sehr wichtig ist. Diese Maßnahme hat oft schon Erfolg, leider nicht in allen Fällen, besonders dann nicht, wenn die Hijacker agressiv gescriptet wurden.



Schritt 2:

Somit tritt die nächste Stufe unserer Hijacker-Abwehr in Kraft, für den wir weitere Software benötigen:


1. Download der Visual Basic 6.0-Laufzeitdateien
2. CoolWebShredder
3. HiJackThis


Anleitung für CoolWebShredder

Nach dem Download und Entpacken des Tools rufen wir zum ersten Mal CoolWebshredder auf, schließen aber vorher alle Browserfenster, da es sonst zu Irritationen kommt.
Wenn ihr Windows ME oder XP verwendet, schaltet bitte für unsere Reinigungsaktion die Systemwiederherstellung ab, dadurch wird der letzte Wiederherstellungspunkt gelöscht und wir bekommen keine Probleme mit einer neuerlichen Infektion, wenn die Systemwiederherstellung mal benötigt wird.
Wenn die Meldung MSVBVM60.DLL fehlt erscheint, installieren wir die oben aufgeführten Visual Basic 6.0-Laufzeitdateien. Dies ist in der Regel aber nur nötig, wenn ein veralteter und nicht aktualisierter Internet Explorer eingesetzt wird.


Nun prüfen wir zunächst einmal, ob eine neuere Version des Tools verfügbar ist, denn dies ist genauso wichtig wie die Aktualisierung eines Virenscanners oder anderer Safety-Komponenten.
Anschließend klicken wir auf "Next" und starten den eigentlichen Scan nach Hyjackern.


Mit dem nächsten Klick auf "Next" beenden wir den Scan und erhalten ein entsprechendes Resultat bzw. die Option die gefundenen Hijacker zu entfernen (


In unserem Beispiel ist das System sauber, was sich natürlich grundlegend von euren Scanergebnissen unterscheiden kann.
not present und not infected bedeuten übrigens, daß diese Such-Engines auf dem System nicht vorhanden sind.
Nach dem Klick auf den Button "Next" werden die Hijacker-Einträge aufgelistet, die man dann entfernen kann. Sicherheitshalber sollte nach einem Systemneustart das Tool solange ausgeführt werden, bis der Text erscheint Done! Your System was completly clean, wie es auf unserem letzten Screen ja zu sehen ist
Der Button "How do i prevent Pre-Infection?" (wie kann ich eine neue Infektion verhindern) sollte angeklickt werden, damit ihr euch entsprechend informieren könnt, was als Profilaxe möglich ist.

Sollte der Coolwebshredder nicht zum gewünschten Ziel führen, dann gibt es ein weiteres Tool, um den Hijackern den Garaus zu machen, das oben schon verlinkte HiJackThis.
Dieses Programm arbeitet ähnlich wie CoolWebshredder, erfordert aber etwas mehr Systemkenntnisse.


Einen englisch-sprachigen Workshop für die Identifizierung der jeweiligen Log-Einträge nach dem Scannen gibt es bei Hijackthis.de .


Schritt 3:

Sollte wider Erwarten das System noch immer nicht clean sein, dann kann es sich um eine neue und besonders hartnäckige Hijacker-Variante handeln: der sp.exe
Dieser Prozess wird ebenfalls über CoolWebSearch eingeschleust und versucht uns nachhaltig auf die Webseite www.ntsearch.com zu entführen.
Dieses kann man zunächst einmal manuell unterbinden:

1. Im Taskmanager den Prozess sp.exe beenden.

2. Die Datei sp.exe im Ordner C:\WINDOWS löschen.

3. In der Registry unter folgenden Pfad

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

den Eintrag "C:\WINDOWS\sp.exe" löschen.

4. Unter Windows ME und Windows XP die Systemwiederherstellung deaktivieren, um den letzten Wiederherstellungspunkt zu löschen.

5. Rechner neu starten.

6. Unter Windows ME und Windows XP die Systemwiederherstellung wieder aktivieren.


Achtung! In besonders schwierigen Fällen, sollte Schritt 1-3 im abgesicherten Modus eures Betriebssystems wiederholt werden.




Nachbetrachtung

Unsere Empfehlungen lauten im Grunde immer gleich, sichert eure Systeme und aktualisiert eure Safety-Komponenten regelmäßig. Die ebenso ständig erforderliche Aktualisierung des Betriebssystems mag einigen lästig erscheinen, ist aber wie man wieder deutlich sieht, unabdingbar für eine halbwegs intakte Grundkonfiguration. Die Basis muß einfach stimmen und da ist das gelegentliche Einspielen von bestimmten Patches und Updates nach eigenem Gusto nicht viel mehr als Flickwerk und führt unweigerlich irgendwann zum GAU.




weiterführende Links:

Sicherheits-Workshop


Logfileauswertung für Hijackthis-Protokolle


HiJackThis-Logs richtig auswerten


Cleaner für Hijacker-sp.html


Cleaner für about :blank


Hijack Guard





Cerberus
22.01.2004 10:38 Cerberus ist offline Homepage von Cerberus Beiträge von Cerberus suchen Nehmen Sie Cerberus in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Neues Thema erstellen Thema ist geschlossen
PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Anti-Hijacker-Workshop (Update 06.01.2006)

Impressum/Datenschutz


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2017 PC-Experience.de