Wer sich eine Browser Malware („Searchbar“, Spyware, Adware, sonstiges Viehzeug) eingefangen hat, wird die mitunter nicht so einfach los.

Auch wenn Ad-Aware in der Regel gute Dienste leistet, so können dennoch Reste verbleiben. Oder man hat gerade keine Anti-Adware Software zur Hand, und möchte dennoch möglichst schnell einen relativ sauben Zustand von seinem Webbrowser wieder haben. Bei Firefox kann man dazu einfach sein Profil löschen – im Internet Explorer ab Version 7 hat Microsoft sogar extra einen „Super Reset“ Knopf eingebaut. (Und Internet Explorer 6 sollte man aus vielen guten Gründen wirklich nicht mehr einsetzen. Es gibt zwar noch Menschen, die denken, dass Microsoft per Windows Update „spioniert“ und deswegen meinen das automatische Update auszuschalten, diese gehören jedoch ganz gehörig aus dem Internet verbannt. Sie stellen eine Gefahr für sich und andere dar!)Warum ist trotz einer erfolgreichen Ad-Ware Entfernung mitunter dennoch ein komplettes Zurücksetzen des Browsers anzuraten?

Zum einen kann man nicht sicher sein, dass wirklich alle Software entfernt wurde. Zum anderen wird durch die Anti-Spyware/Anti-Adware software in der Regel der sogenannte „Useragent“ nicht korrekt gereinigt. Dieser Useragent dient eigentlich dazu z.B. die Browser Version zu einem Webserver zu übermitteln. Doch Browser Malware ändert diesen oft, um z.B. anzuzeigen dass sie installiert ist – oder noch weitaus mehr. Im Fall von „SIMBAR“ wird eine eindeutige Kennung erzeugt und übermittelt. Diese eindeutige Kennung wird zu jedem(!) Webserver übermittelt, mit dem eine Verbindung hergestellt wird. Z.B. zu Werbezwecken, oder um Nutzerprofile zu erstellen. (Im folgenden Bild ist zu sehen wie zwei direkt nacheinander installierte Versionen den Useragent String ändern, und den Benutzer damit im Internet verfolgbar machen.)

simbar-uuid

simbar-spywareIch habe testweise auf www.sweetim.com eine Software heruntergeladen, die SIMBAR mitbringt. Dabei wird zwar auf der Webseite mit „keine Viren, keine Adware, keine Spyware“ geworben – jedoch definiere ich dann offenbar diese Begriffe anders. (Ad-Aware übrigens auch).

Erstaunlich, dass Google mit SweetIM bzw. diesem SIMBAR Krams kooperiert – so rechnet sich sicherlich die Entwicklung von „Spaß Software“, die auf ganz spezielles Klientel zielt.

Auch andere Software, die den Browser verändert, findet sich so im Internet: Bildschirmschoner Pakete, Smiley Packs, Desktophintergründe – alles für den „Spaß“ und „bunt“ verwöhnten Konsumenten. Wie soll von sowas auch eine Gefahr ausgehen…

internet-optionsIm Internet Explorer 7 kann man nun relativ einfach den Browser zurücksetzen, wie im IEBlog berichtet wird. Dazu klickt man auf Tools (Werkzeuge), dort kann man über den Reiter Advanced (Erweitert) den Reset vom Internet Explorer erreichen.

internet-erweitertMit diesem Reset werden Addons deaktiviert, temporäre Dateien gelöscht und eine Standardeinstellung hergestellt. Was leider nicht so gut funktioniert: Sowohl die Suche als auch der besagte Useragent Eintrag wird nicht zurückgesetzt. Hier wird man doch einmal selber Hand anlegen müssen (zumidest ist mir keine entsprechende Software bekannt).

internet-reset Indem man das Programm „regedit“ aufruft und den Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent“ komplett löscht kann man die Säuberung abschließen. (Dies sollte man jedoch erst nach der Entfernung der Malware machen, sonst werden die Einstellungen direkt wieder angelegt.

Wer nicht weiß, wie man in der Windows Registry etwas löscht: Man startet das Programm „regedit“ in dem man „Start->Ausführen->regedit“ aufruft. Anschließend klickt man sich in dem Konfigurationsbaum auf der linken Seite durch. Angefangen bei HKEY_LOCAL_MACHINE bis man bei „User Agent“ angekommen ist. Auf „User agent“ macht man nun einen Rechtsklick und wählt „löschen“ aus.

(Alle Angaben ohne Garantie… sollte danach alles kaputt sein, ist dies jedoch eine gute Gelegenheit Windows komplett sauber neu zu installieren, und von Anfang an gut abzusichern.)

Vorsichtshalber sollte man auch nach der Säuberung von Malware in jedem Fall auch ein Programm wie Ad-Aware und einen guten Virenscanner installieren. (Schlechte Erfahrungen habe ich mit Norton als Virenscanner gemacht, gute mit Eset Nod sowie dem Avira Antivir). Eine Firewall ist meiner Erfahrung nach nicht zwingend erforderlich, hier tun es auch die Windows Bordmittel (Windows Firewall) ganz passabel.

Und am wichtigsten: Nicht gedankenlos Software aus dem Internet installieren. Niemand verschenkt „einfach so“ Dinge, und wenn etwas zu gut, zu nett, zu bunt aussieht könnte ein Wolf im Schafspelz stecken.