PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registerdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSearchKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht


PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Anti-Hijacker-Workshop (Update 06.01.2006) » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Thread is closed
Go to the bottom of this page Anti-Hijacker-Workshop (Update 06.01.2006)
Author
Post « Previous Thread | Next Thread »
Cerberus $posts[username] is a male
Chefredakteur


Registration Date: 23.07.2002
Posts: 11,991
Herkunft: Lübeck

Achtung Anti-Hijacker-Workshop (Update 06.01.2006) Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Was ist Browser-Hijacking ?

Nach den Wurmattacken des letzten Jahres (weitere werden folgen), macht sich eine neue Internetseuche breit:
Das Entführen (Hijacking) auf unerwünschte Internetseiten durch rigide Manipulation des betroffenen Rechners .
Bekannt im negativsten Sinne wurde 2003 die 'Suchmaschine' Cool Web Search. Coolwebsearch (CWS) verbreitet immer neue Varianten trojanischer Pferde, um den ahnungslosen Surfer auf die eigene Seite umzuleiten, was in der Tat schon an Nötigung grenzt. Die Trojaner der Hijacker nutzen eine Sicherheitslücke in der Virtual Machine von Windows und nisten sich in der Registry ein, um die von den Usern eingestellte Startseite im Internet Explorer erfolgreich zu manipulieren und uns auf ganz andere Webseiten zu "entführen".
Eine Liste der bisher bekannten Varianten befindet sich auf der Seite Hijackthis.de




Ich bin betroffen, was kann ich tun ?

Schritt 1:

Zunächst einmal sollte man sein System mit den bekannten Tools Ad-Aware und Spybot gründlich prüfen, wobei eine Aktualisierung der beiden Tools vor dem Scan natürlich sehr wichtig ist. Diese Maßnahme hat oft schon Erfolg, leider nicht in allen Fällen, besonders dann nicht, wenn die Hijacker agressiv gescriptet wurden.



Schritt 2:

Somit tritt die nächste Stufe unserer Hijacker-Abwehr in Kraft, für den wir weitere Software benötigen:


1. Download der Visual Basic 6.0-Laufzeitdateien
2. CoolWebShredder
3. HiJackThis


Anleitung für CoolWebShredder

Nach dem Download und Entpacken des Tools rufen wir zum ersten Mal CoolWebshredder auf, schließen aber vorher alle Browserfenster, da es sonst zu Irritationen kommt.
Wenn ihr Windows ME oder XP verwendet, schaltet bitte für unsere Reinigungsaktion die Systemwiederherstellung ab, dadurch wird der letzte Wiederherstellungspunkt gelöscht und wir bekommen keine Probleme mit einer neuerlichen Infektion, wenn die Systemwiederherstellung mal benötigt wird.
Wenn die Meldung MSVBVM60.DLL fehlt erscheint, installieren wir die oben aufgeführten Visual Basic 6.0-Laufzeitdateien. Dies ist in der Regel aber nur nötig, wenn ein veralteter und nicht aktualisierter Internet Explorer eingesetzt wird.


Nun prüfen wir zunächst einmal, ob eine neuere Version des Tools verfügbar ist, denn dies ist genauso wichtig wie die Aktualisierung eines Virenscanners oder anderer Safety-Komponenten.
Anschließend klicken wir auf "Next" und starten den eigentlichen Scan nach Hyjackern.


Mit dem nächsten Klick auf "Next" beenden wir den Scan und erhalten ein entsprechendes Resultat bzw. die Option die gefundenen Hijacker zu entfernen (


In unserem Beispiel ist das System sauber, was sich natürlich grundlegend von euren Scanergebnissen unterscheiden kann.
not present und not infected bedeuten übrigens, daß diese Such-Engines auf dem System nicht vorhanden sind.
Nach dem Klick auf den Button "Next" werden die Hijacker-Einträge aufgelistet, die man dann entfernen kann. Sicherheitshalber sollte nach einem Systemneustart das Tool solange ausgeführt werden, bis der Text erscheint Done! Your System was completly clean, wie es auf unserem letzten Screen ja zu sehen ist
Der Button "How do i prevent Pre-Infection?" (wie kann ich eine neue Infektion verhindern) sollte angeklickt werden, damit ihr euch entsprechend informieren könnt, was als Profilaxe möglich ist.

Sollte der Coolwebshredder nicht zum gewünschten Ziel führen, dann gibt es ein weiteres Tool, um den Hijackern den Garaus zu machen, das oben schon verlinkte HiJackThis.
Dieses Programm arbeitet ähnlich wie CoolWebshredder, erfordert aber etwas mehr Systemkenntnisse.


Einen englisch-sprachigen Workshop für die Identifizierung der jeweiligen Log-Einträge nach dem Scannen gibt es bei Hijackthis.de .


Schritt 3:

Sollte wider Erwarten das System noch immer nicht clean sein, dann kann es sich um eine neue und besonders hartnäckige Hijacker-Variante handeln: der sp.exe
Dieser Prozess wird ebenfalls über CoolWebSearch eingeschleust und versucht uns nachhaltig auf die Webseite www.ntsearch.com zu entführen.
Dieses kann man zunächst einmal manuell unterbinden:

1. Im Taskmanager den Prozess sp.exe beenden.

2. Die Datei sp.exe im Ordner C:\WINDOWS löschen.

3. In der Registry unter folgenden Pfad

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

den Eintrag "C:\WINDOWS\sp.exe" löschen.

4. Unter Windows ME und Windows XP die Systemwiederherstellung deaktivieren, um den letzten Wiederherstellungspunkt zu löschen.

5. Rechner neu starten.

6. Unter Windows ME und Windows XP die Systemwiederherstellung wieder aktivieren.


Achtung! In besonders schwierigen Fällen, sollte Schritt 1-3 im abgesicherten Modus eures Betriebssystems wiederholt werden.




Nachbetrachtung

Unsere Empfehlungen lauten im Grunde immer gleich, sichert eure Systeme und aktualisiert eure Safety-Komponenten regelmäßig. Die ebenso ständig erforderliche Aktualisierung des Betriebssystems mag einigen lästig erscheinen, ist aber wie man wieder deutlich sieht, unabdingbar für eine halbwegs intakte Grundkonfiguration. Die Basis muß einfach stimmen und da ist das gelegentliche Einspielen von bestimmten Patches und Updates nach eigenem Gusto nicht viel mehr als Flickwerk und führt unweigerlich irgendwann zum GAU.




weiterführende Links:

Sicherheits-Workshop


Logfileauswertung für Hijackthis-Protokolle


HiJackThis-Logs richtig auswerten


Cleaner für Hijacker-sp.html


Cleaner für about :blank


Hijack Guard





Cerberus
22.01.2004 10:38 Cerberus is offline Homepage of Cerberus Search for Posts by Cerberus Add Cerberus to your Buddy List
Tree Structure | Board Structure
Post New Thread Thread is closed
PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Anti-Hijacker-Workshop (Update 06.01.2006)


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2022 PC-Experience.de