Browser-Hijacker entfernen (Windows 11, 2026)
Kurzantwort: Öffnen Sie chrome://policy. Wenn Sie Einträge wie DefaultSearchProviderEnabled oder ExtensionInstallForcelist sehen, die Sie nie gesetzt haben, hat ein Hijacker Chrome-Unternehmensrichtlinien in Ihre Registry geschrieben — deshalb bringt das Zurücksetzen der Startseite nichts und die Neuinstallation von Chrome hilft nicht. Die Lösung ist das Entfernen dieser Registry-Schlüssel, das Löschen der Aufgabenplanungsaufgabe, die sie wieder hinzufügt, und das Zurücksetzen des DNS, nicht die Neuinstallation des Browsers.
Öffnen Sie chrome://policy in Ihrer Adressleiste. Wenn Sie Einträge wie DefaultSearchProviderEnabled, HomepageLocation oder ExtensionInstallForcelist sehen — das sind nicht Ihre Einstellungen. Ein Browser-Hijacker hat Chrome-Unternehmensrichtlinien in Ihre Windows-Registry geschrieben, und deshalb bringt das Zurücksetzen Ihrer Startseite oder Suchmaschine nichts. Die Einstellungen sind ausgegraut, weil der Hijacker Chromes eigene Verwaltungsfunktionen gegen Sie einsetzt. Sie können Chrome neu installieren, alle Browserdaten löschen, sogar den Browser zurücksetzen — der Hijacker überlebt das alles, weil die Richtlinie in der Registry lebt, nicht in Chromes Datenordner.
Die Namen, die wir derzeit am häufigsten bereinigen, sind Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror und MegaGuard. Neue Varianten tauchen alle paar Wochen auf, weil die Infrastruktur leicht zu klonen ist. Stanfords Internet Observatory meldete über 280 Millionen Downloads bösartiger Browser-Erweiterungen in 2025, und ein einzelner Vorfall im Juli kompromittierte 2,3 Millionen Chrome- und Edge-Benutzer. Das sind nur die erweiterungsbasierten — die mit kostenlosen Software-Installern gebündelten nicht mitgerechnet.
Zuerst die Richtlinie entfernen
Das ist der Schritt, den die meisten Online-Anleitungen überspringen oder ganz unten verstecken. Öffnen Sie den Registrierungseditor — Win+R, regedit eingeben, Enter. Navigieren Sie zu diesen Stellen und löschen Sie den Chrome-Ordner unter jedem Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome — löschen Sie den gesamten Chrome-Ordner, wenn Sie nicht an einem verwalteten Arbeits-PC sitzen.
HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome — dasselbe.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update — einige Hijacker setzen hier Update-Richtlinien, um Chrome an der Auto-Aktualisierung zu hindern, die den Hijacker sonst entfernen würde, wenn Google seine Blockliste für bösartige Erweiterungen aktualisiert.
Für Edge: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge und das HKCU-Äquivalent.
Starten Sie Chrome neu. Der Banner “Ihr Browser wird von Ihrer Organisation verwaltet” sollte verschwinden und Ihre Startseiten- und Suchmaschineneinstellungen werden wieder editierbar. Wenn der Banner nach einem Neustart zurückkommt, haben Sie einen Persistenzmechanismus, der die Richtlinie neu installiert — lesen Sie weiter.
Erweiterungen und Aufgabenplanung
Gehen Sie zu chrome://extensions, aktivieren Sie den Entwicklermodus (Schalter oben rechts) und entfernen Sie alles, was Sie nicht absichtlich aus dem Chrome Web Store installiert haben. Nicht nur deaktivieren — klicken Sie auf Entfernen. Deaktivierte Hijacker-Erweiterungen können sich über geplante Aufgaben selbst wieder aktivieren. Alles mit “PDF,” “Helper,” “Safe Search,” “Web Protection” oder “Enhanced Search” im Namen, das Sie nicht erkennen, ist verdächtig. Stanford fand heraus, dass Hijacker-Erweiterungen durchschnittlich 380 Tage im Web Store überleben, bevor sie entdeckt werden, es kann also vor Monaten bei der Installation noch legitim ausgesehen haben.
Wenn der Entfernen-Button einer Erweiterung ausgegraut ist, haben Sie die Registry-Bereinigung oben noch nicht abgeschlossen — die Richtlinie erzwingt die Installation. Gehen Sie zurück und stellen Sie sicher, dass Sie diese Registry-Schlüssel gelöscht haben.
Öffnen Sie jetzt die Aufgabenplanung — Win+R, taskschd.msc. Hier scheitern die meisten DIY-Entfernungsversuche und deshalb kommt der Hijacker immer wieder, nachdem Leute denken, sie hätten ihn bereinigt. Hijacker-Aufgaben verwenden Namen, die harmlos aussehen sollen: “ChromeUpdate,” “BrowserMaintenance,” “SystemHealthCheck,” manchmal zufällige Zeichenketten. Klicken Sie auf jeden verdächtigen Eintrag und prüfen Sie den Reiter Aktionen. Wenn die Aktion ein PowerShell-Skript, eine .bat-Datei aus einem Temp-Verzeichnis oder eine .exe aus einem AppData-Ordner ausführt, ist das Ihr Persistenzmechanismus. Ich habe einen gesehen, der “MicrosoftEdgeUpdateTask” hieß — nah genug an einer echten Edge-Aufgabe, dass die meisten Leute darüber hinwegsehen. Löschen Sie ihn. Prüfen Sie auch den Autostart-Reiter im Task-Manager — Einträge ohne Herausgeber oder die auf ausführbare Dateien in AppData\Local\Temp zeigen, sind fast nie legitim.
Ein letztes Versteck, das niemand prüft: C:\Windows\System32\drivers\etc\hosts. Öffnen Sie es mit Editor als Administrator. Eine saubere hosts-Datei besteht hauptsächlich aus Kommentaren (Zeilen, die mit # beginnen). Wenn Sie google.com, bing.com oder andere legitime Domains sehen, die auf zufällige IP-Adressen zeigen, ist das Hosts-Datei-Hijacking — der älteste Trick überhaupt und immer noch wirksam, weil niemand dort nachschaut.
Zurücksetzen und Scannen
Sobald die Persistenz weg ist, setzen Sie den Browser zurück. Chrome: Einstellungen, Einstellungen zurücksetzen, “Einstellungen auf die ursprünglichen Standardwerte zurücksetzen.” Firefox: about:support eingeben, “Firefox bereinigen” klicken — das ist aggressiver, erstellt ein komplett neues Profil, was genau das ist, was Sie wollen. Lesezeichen und gespeicherte Passwörter überleben beides.
Führen Sie einen vollständigen Windows-Defender-Scan durch — Einstellungen, Datenschutz & Sicherheit, Windows-Sicherheit, Viren- & Bedrohungsschutz, Vollständiger Scan. Dann Malwarebytes Free als Zweitmeinung — es erkennt PUPs, die Defenders Standardeinstellungen manchmal ignorieren. Unser vollständiger Malware-Entfernungsleitfaden behandelt die Safe-Mode-Scantechnik für tiefere Infektionen.
Prüfen Sie auch Ihre DNS-Einstellungen. Einige Hijacker berühren den Browser gar nicht — sie ändern Ihr DNS, sodass der gesamte Webverkehr über ihre Server umgeleitet wird. Eingabeaufforderung, ipconfig /all, schauen Sie auf die DNS-Server-Zeile für Ihren aktiven Adapter. Dort sollte die IP Ihres Routers, Ihres ISPs oder ein öffentliches DNS stehen, das Sie selbst eingestellt haben. Unbekannte Adressen, die Sie nie konfiguriert haben? Ändern Sie sie auf 8.8.8.8 und 1.1.1.1. Unser DNS-Leitfaden behandelt die vollständige Diagnose bei Verdacht auf DNS-Manipulation. Loggen Sie sich auch in Ihren Router ein (192.168.1.1 oder 192.168.0.1) und prüfen Sie dort das DNS — manche Malware, die Router-Zugriff erlangt, ändert das DNS auf Router-Ebene und betrifft dann jedes Gerät im Netzwerk.
Nach dem Entfernen eines Hijackers ändern Sie die Passwörter aller Konten, bei denen Sie sich angemeldet haben, während er aktiv war. Hijacker-Erweiterungen mit umfangreichen Berechtigungen können alles lesen, was Sie in Webformulare eingeben. Installieren Sie uBlock Origin, um die Malvertising-Ketten zu blockieren, die Hijacker überhaupt erst liefern. Für Software-Downloads verwenden Sie offizielle Websites oder Ninite.com, und lesen Sie jeden Bildschirm bei Installationsassistenten — deaktivieren Sie “Empfohlene Browser-Erweiterung installieren” und “Als Standardsuchmaschine festlegen,” die standardmäßig vorausgewählt sind. Wenn der Hijacker trotz allem weiter zurückkommt, können wir den Persistenzmechanismus remote finden — eine durchschnittliche Sitzung dauert etwa 20 Minuten, weil wir genau wissen, wo wir suchen müssen.
Häufig gestellte Fragen
Warum kommt mein Browser-Hijacker nach dem Entfernen immer wieder?
Der sichtbare Hijacker (geänderte Startseite, unbekannte Erweiterung) ist nur das Symptom. Die eigentliche Infektion ist ein Persistenzmechanismus — normalerweise eine Windows-Aufgabenplanungsaufgabe oder ein Autostart-Eintrag, der Entfernung überwacht und alles automatisch neu installiert. Prüfen Sie die Aufgabenplanung auf verdächtige Aufgaben wie 'ChromeUpdate' oder 'BrowserMaintenance', die PowerShell-Skripte oder ausführbare Dateien aus AppData-Ordnern starten. Löschen Sie diese Aufgaben, um den Kreislauf zu durchbrechen.
Was bedeutet 'Ihr Browser wird von Ihrer Organisation verwaltet' auf einem privaten Computer?
Es bedeutet, dass Malware eine Chrome-Unternehmensrichtlinie in Ihre Windows-Registry geschrieben hat, die Ihre Suchmaschinen- und Startseiten-Einstellungen sperrt. Sie können das nicht in Chrome selbst beheben — Sie müssen den Registrierungseditor (regedit) öffnen und die Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome und HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome löschen. Starten Sie Chrome danach neu.
Wie entferne ich einen Browser-Hijacker, der mich die Erweiterung nicht deinstallieren lässt?
Wenn der Entfernen-Button bei einer Chrome-Erweiterung ausgegraut ist, erzwingt eine Chrome-Richtlinie deren Installation. Entfernen Sie zuerst die Richtlinie aus der Windows-Registry (siehe Abschnitt 'Von Organisation verwaltet'), dann starten Sie Chrome neu. Der Entfernen-Button der Erweiterung wird wieder klickbar. Wenn es trotzdem nicht geht, probieren Sie Chromes Option 'Einstellungen zurücksetzen', um alle Erweiterungen auf einmal zu deaktivieren.
Kann ein Browser-Hijacker meine Passwörter stehlen?
Ja. Hijacker-Erweiterungen mit umfangreichen Berechtigungen können alles lesen, was Sie in Webformulare eingeben, einschließlich Passwörter und Kreditkartennummern. Einige fangen Suchanfragen ab und leiten Sie über Phishing-Nachahmerseiten um. Nach dem Entfernen eines Hijackers ändern Sie die Passwörter aller Konten, bei denen Sie sich während der aktiven Hijacker-Phase angemeldet haben — besonders Banking, E-Mail und Social Media.
Was sind die häufigsten Browser-Hijacker 2026?
Die Namen, die wir bei RebootDoctor derzeit am häufigsten sehen, sind Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror und MegaGuard. Neue Varianten tauchen alle paar Wochen auf, weil die Infrastruktur leicht zu klonen ist. Der auf Richtlinien basierende 'Von Organisation verwaltet'-Hijacker ist der hartnäckigste Typ — er überlebt Browser-Neuinstallationen und das Löschen von Browserdaten.