Nach Download und unvorsichtiger Installation einer Gratissoftware zum Kopieren von DVDs hatte ich plötzlich eine ganze Menge Malware auf meinem Computer und musste mich während mehrerer Stunden mit der Entfernung der unerwünschten Schädlinge, Toolbars, Suchmaschinen und Registryeinträge beschäftigen…
Die folgende Malware wurde installiert:
- Optimizer Pro (wäre durch sorgfältige Installation zu vermeiden gewesen; die weiteren Probleme können auch durch Opimizer Pro verursacht sein).
- Ganz unangenehm ist der Browser-Hijacker iStartSurf, der eine Toolbar installiert sowie Start- und Suchseiten in den Browsern Google Chrome, Internet Explorer, Mozilla Firefox, Safari und Opera manipuliert. Die Entfernung von iStartSurf ist sehr aufwendig und erfordert ein gründliches Vorgehen.
- Im gleichen Aufwasch oder als Kollateralschaden wurde ein Schadprogramm namens math problem solver installiert [2].
Und so wird man die Malware wieder los:
- Über die > Systemsteuerung > Programme und Features entfernt man die Schadprogramme, die dort aufgeführt sind, d.h. am besten sortiert man die Programmliste nach Datum und deinstalliert alle Programme mit aktuellem Datum, die nicht man nicht kennt und die man nicht wissentlich installiert hat. In meinem Fall war dies das Schadprogramm Optimizer pro (PUP – habe ich hier beschrieben) und ein weiteres, mir bis dato unbekanntes Programm habe ich ebenfalls über die Systemsteuerung deinstalliert habe: math problem solver [2].
Das Hauptproblem ist iStartSurf, das ich mit den folgenden Schritten entfernen konnte:
- Das Hauptproblem, iStartSurf, war nicht unter Programme und Features aufgeführt, hatte aber sofort nach der Installation bei allen Browsern die Startseite und auch den Suchprovider manipuliert.
- Ich habe zuerst im Google Browser und im Mozilla Firefox die Synchronisation meines Benutzerprofils deaktiviert, trotzdem hatte ich istartsurf und die Browsermanipulation sofort auch auf dem Notebook!
- Dann habe ich die drei Browser IE, Google und Firefox zurückgesetzt.
- Ein Scan mit der Software „Malwarebytes Anti-Malware“ [3] zeigte über 200 Probleme an (PUP, potentially unwanted software). Trotzdem war iStartSurf nach der Renigung nach wie vor vorhanden,
- Gemäss der Anleitung [1] habe ich dann alle Windows Startverknüpfungen kontrolliert und die Weiterleitung auf iStartSurf entfernt. Dies scheint die wichtigste Massnahme, ist aber aufwendig; die Programmicons auf der Win-8 Startseite sind ebenfalls versteckte Verknüpfungen, auch diese müssen korrigiert werden (Vorgehen auf der Win-Startseite: Symbol markieren und rechte Maustaste > Speicherort zeigen > dort die Verknüfpung mit der rechten Maustaste anklicken > Eigenschaften anpassen.
- Nachdem auch diese Massnahmen iStartSurf nicht restlos beseitigt hatten, habe ich alle Registry-Einträge in LocalMachine und CurrentUser nach iStartSurf durchsucht und die entsprechenden Einträge geändert (vor allem StartPage und SearchPage bei allen Browsern. Auch Safari und Opera waren von manipulierten Registry-Einträgen betroffen!
Die wichtigsten Schritte sind hier nur kurz und oberflächlich zusammengefasst; eine ausführliche und sehr nützliche Anleitung habe ich hier gefunden [1]. Die vorgeschlagenen Programme habe ich allerdings nicht angewendet, ausser Malwarebytes, mit dem ich wöchentlich meinen Computer scanne [3].
[1] TechFrage ist ein Portal für Fragen, Antworten und Wikis rund um Computer, Smartphones, Tablets, Internet…
[2] math problem solver ist z.B. hier beschrieben.
[3] Malwarebytes: Link zur Homepage, und meine Beschreibungen hier und hier.