Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Erste Hilfe bei Hijackern
Rokop Security > Neues von Rokop Security > News
Rokop
Auf vielen Systemen sind sie mittlerweile vorzufinden. Sie leiten Suchanfragen um, tragen andere Startseiten im Browser ein, machen teilweise das ganze Computersystem instabil und sind mitunter sehr schlecht zu entfernen. Die Rede ist von Browser Hijackern , die in letzter Zeit eine richtige Plage geworden sind.

Viele Foren werden mittlerweile mit Anfragen von Usern regelrecht überschwemmt, die sich dann mit solchen Problemen teilweise sehr mühsam beschäftigen müssen. Dass all diese Anfragen immer wieder individuell zu klären sind, ist zwar für die Betroffenen angenehm, für die, die sie beantworten sollen, aber eine mitunter anstrengende Tätigkeit.
Daher haben wir diese kleine Erste Hilfe Anleitung geschrieben um betroffenen Usern die Arbeit beim Auffinden dieser Schaddateien zu erleichtern.

Bei Verdacht eines Befalls durch solche Art Plagegeister sollte man also (in dieser Reihenfolge) folgendermaßen vorgehen:

- Zuerst sollte man im Internet Explorer unter Extras/Internetoptionen/Sicherheit/Internet alle Optionen zu ActiveX-Steuerelementen deaktivieren. Tip zur Konfiguration des Internet Explorers hier.

- Das Anti Spyware Tool Ad-aware SE von der Herstellerseite herunterladen und installieren. Nach der Installation sollte man erst einmal ein Update durchführen und den Computer scannen. Vom Programm gefundene Dateien sollte man anschließend gleich entfernen lassen.

- Anschließend das Programm Spybot-Search &Destroy 1.3 herunterladen, ebenfalls updaten und das System überprüfen und bei Bedarf die gefundenen Einträge entfernen lassen. Außerdem kann man bei diesem Programm eine Immunisierungsfunktion nutzen, damit sich gewisse Schädlinge erst gar nicht (mehr) einnisten können.

- Nachdem dieses erfolgt ist, gehen wir den eigentlichen Übeltätern an den Kragen, indem wir hier die neuste Version des CWS Shredders herunterladen und das System damit überprüfen lassen. Achtung, dieses Programm wird sehr oft auf den neusten Stand gebracht, also immer die neuste Version verwenden.

- Sollten nach dem Einsatz obiger Programme immer noch Probleme auftreten, sollte noch ein Scan mit eScan durchgefuehrt werden.

- Außerdem sollte man noch das Programm HiJack This herunterladen und damit eine Logdatei erstellen. Eine bebilderte Anleitung findet Ihr hier. Nicht benötigte Programme (Browser, Office etc.) sollten vor der Erstellung des Logs geschlossen werden. Dieses sollte man dann in unserem Forum veröffentlichen, damit wir uns die verbliebenen Einträge nochmals anschauen können.
Denn oftmals sind noch schädliche Rückstände, undefinierbare Dateien oder Viren auf dem PC vorhanden. Diese lassen sich dann damit meist schnell herausfiltern.

- Zum Schluß sollte man sicherstellen, dass sich das verwendete Betriebssystem auf dem neusten Stand befindet, indem man alle nötigen Windowsupdates einspielt. Aber bitte daran denken, diese Seite benötigt für automatische Updates ein aktiviertes ActiveX. Also für das Update die Restriktionen des Internet Explorers lockern oder die Microsoft Update Seite in den Sicherheitseinstellungen als vertrauenswürdig einstufen.


Weitere Tipps:

- Auf jeden Fall solltet Ihr auch immer ein aktuelles Antivirenprogramm installiert haben, da zunehmend Hijacker auch von diesen erkannt werden. Programme mit täglichen Updates sind hier auf jeden Fall von Vorteil.

- Browser, die nicht von Microsoft stammen, sind weniger oder gar nicht anfällig gegenüber Infektionen von Browser Hijackern. Bekannte und empfehlenswerte Browser sind u.a. Opera, Mozilla oder Firefox.

- Obwohl die eigentlichen Infektionswege nicht immer bekannt sind, werden sie vermutlich in den allermeisten Fällen über "unseriöse" Internetseiten aus der Porn-, Warez- oder Casinoszene verbreitet. Wer solche und ähnlich Internetseiten meidet, fährt auch auf diese Weise sicherer.

Wenn Ihr Euch an diese Anleitung haltet, ist eine Infektion durch Hijacker nicht mehr so leicht möglich. Zudem erleichtert Ihr uns die Arbeit und lernt selbst ein wenig von Eurem System kennen.

Wir wünschen Euch weiterhin eine Viren-und Schädlingsfreie Zeit!
buchh@lter
QUOTE
Wenn Ihr Euch an diese Anleitung haltet, ist eine Infektion durch Hijacker bzw. ein erfolgreiches Entfernen wesentlich wahrscheinlicher als ohne.


Hi Roman,

ich glaub den Satz hast Du anders gemeint, oder?
Wenn man sich an die Anleitung hält, sollte die Infektionswahrscheinlichkeit doch nicht höher sein... wink.gif
Rokop
UUUUps !
Lukas
Sauber smile.gif - sowas war wirklich mal notwendig! thumbup.gif
- unser Forum wird im Augenblick nur so gefloodet wink.gif

einige User bei uns versuchen gerade eine Positivliste zu basteln, damit User ihren HijackthisLog selbst auswerten können - bin mal gespannt was daraus wird! smile.gif
Bo Derek
QUOTE(Rokop @ 2. Februar 2004, 16:44)
UUUUps !

*schäm*
JFK
QUOTE(Lukas @ 2. Februar 2004, 17:00)
einige User bei uns versuchen gerade eine Positivliste zu basteln, damit User ihren HijackthisLog selbst auswerten können - bin mal gespannt was daraus wird! smile.gif

Bestimmt nicht einfach, da man ja etliche Softwarekonfigurationen beachten sollte

JFK
raman
Hallo Lukas,

Wie du weisst, gibt es sowas schon hier: http://sysinfo.org/ aber nur auf englisch.

Vieleicht waere es gut, wenn sich jemand der Anleitung zu Hijackthis annehmen wuerde. Die Englische ist sehr gut und wuerde sich fuer eine Uebersetzung sehr gut eignen (IMO).
Lukas
QUOTE(raman @ 2. Februar 2004, 17:10)
Hallo Lukas,

Wie du weisst,  gibt es sowas schon hier: http://sysinfo.org/  aber nur auf englisch.

Vieleicht waere es gut, wenn sich jemand der Anleitung zu Hijackthis annehmen wuerde. Die Englische ist sehr gut und wuerde sich fuer eine Uebersetzung sehr gut eignen (IMO).

http://sysinfo.org/ ist unschlagbar smile.gif

ich habe allerdings das Gefühl, das ein Liste den wenigsten Usern hilft, da 90% sich lieber bequem den Log von Experten auswerten lassen!!

die reinen "Prüft mal meinen Log" Threads werden von der Boardsoft ja nun nach einigen Tagen rausgefiltert! - ich denke das ist erstmal eine gute Lösung...

bin gespannt, ob die AV Hersteller bei der ganzen Spyware mal intensiver einsteigen, eine gewisse Marktlücke ist es noch bei den ganz grossen!

Adaware & Co sind bombig gefragt smile.gif - solange Symantec & Co sich da nicht eine Scheibe abschneiden!
raman
Sie haben "Zugang" zu solcher Malware, aber sind nicht sehr schnell im hinzufuegen. Bei Kaspersky geht es noch, aber die anderen lassen sich viel Zeit. Aber da kann Roman bestimmt mehr zu sagen. Seit Antivir auch einiges erkennt, steigen auch schon die Anfragen dazu im Antivir-Board. Daran sieht man schon, das sowas doch sehr verbreitet ist.
Aus den einzelnen Logs ist auch sehr schoen zu sehen, das viele User gar keinen AV Schutz installiert haben.

Und ein bischen mehr "Eigenintiative" waere auch noicht schlecht. Darum die andauernden Llinks auf Romans neuen Artikel!:)
Rokop
Bitte macht von diesem Link regen Gebrauch, also ruhig auch mal in andere Foren setzen und an Freunde und Bekannte weitergeben.
Heike
Ich gebe den Link weiter. smile.gif
Deine Seite verlinke ich ja immer mal, Du weißt ja auch wo. whistling.gif
Die Anleitung ist klasse. smile.gif
Catweazle
Ich hoffe das passt hier her confused.gif

Diese Link http://www.trojaner-info.de/anleitungen/hi...ogtutorial.html könnte auch weiter helfen thumbup.gif

Catweazle
rock
was heist den immer " mit hijackthis fixen"? heist das nun entfernen, löschen...??
sorry, aber ich lese in der deutschen beschriebung, aber nirgends was die tasten im programm bedeuten, wenigstens diese eine nur möcht ich wissen...ich glaub es wird die funktion fix checked gemeint sein...also was bedeutet die nun, ist es das löschen?

ph34r.gif
raman
Es werden durch Hijackthis nur Eintraege in der Registrierung geloescht, oder repariert. Daten auf der Festplatte werden nicht angeruehrt und ja "fix checked" ist der Knopf zum "fix"en!:)
rock
also bin ich so doof, oder klingts so doof.

ich möchte etwas löschen oder entfernen was in hijackthis aufgelistet wird!
so,...ich hake diese zeile wo das zu entfernende objekt beschrieben steht an.

FRAGE: WO KLICK ICH JETZT HIN, das es weg kommt?? Auf Fix checked??? oder auf einen anderen button????

ph34r.gif

edit: äh...wo ist die reperaturtaste oder wie geht das vor sich...
Grinko
Genau. Fix checked und das wars.
rock
danke... thumbup.gif
Catweazle
Diese Link´s könnten auch noch weiter helfen....


Windows Process Library - Common Applications:
http://www.liutilities.com/products/wintas...ry/application/

Windows Process Library - Security Risks:
http://www.liutilities.com/products/wintas...brary/security/

Windows Process Library - System Processes:
http://www.liutilities.com/products/wintas...library/system/

PS: gefunden in einen anderen Forum smile.gif

PSS: Jetzt müßten die Link´s auch funzen.

Catweazle
JFK
QUOTE(Catweazle @ 11. Februar 2004, 19:46)
Diese Link´s könnten auch noch weiter helfen....

Catweazle

Nicht unbedingt,
die Links funktionieren nicht unsure.gif

JFK
Catweazle
Komisch wie ich sie gefunden habe gingen sie, jetzt vom Rokpo Forum gehen sie nicht confused.gif

Bei mir gehen sie jetzt unter Mozilla FireBird 0.7 gehts auch nicht !

Unter IE geht es auch nicht....!

Catweazle
Yopie
Mit den Punkten im Link kanns auch nicht gehen. Du hast die Linkbeschreibungen kopiert, aber nicht die Links... whistling.gif

Ja ja, Copy und Paste hat so seine Tücken! harhar.gif
Rene-gad
heute gehen aber alle drei whistling.gif
Yopie
Mmmh, könnte das vielleicht was editiert worden sein? wink.gif
Catweazle
Ja richtig ich habe es gefixt whistling.gif

Catweazle
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.