HijackThis  von Merijn         

 
Immer wieder wird im Support-Forum von HijackThis.de,  Rokop Security, Trojaner-Info.de, WinFuture, AVPE  oder Protecus.de  von umgeleiteten Startseiten beim Browser berichtet. Das Entführen auf nicht gewünschte Internetseiten wird als “Hijacking“ bezeichnet. So kann durch eine Sicherheitslücke, die auch durch eine unsichere Einstellung im Internet Explorer zustande gekommen ist, die Startseite umgeleitet  werden, ohne das du dich dagegen wehren kannst. Mit dem Programm-Tool “HijackThis“ können diese Hijacker ausfindig gemacht  und durch “FIXEN“ vom System entfernen werden, sodass du wieder deine gewünschte Startseite einstellen kannst.

Nach dem Entfernen dieser Schadsoftware solltest du dein System sicherer einstellen. Du kannst hier bei Heise, oder bei Security-Check.ch einen Online-Browser bzw. Systemcheck  durchführen lassen, wobei für dein System Vorschläge zur Absicherung gemacht werden.

Verwende zusätzlich ein Anti-Virenprogramm und eine Firewall um Angriffe abzuwehren!
Auch solltest du unter Microsoft Windows XP Home, XP Professional und Windows 2000 nicht benötigte Dienste abschalten ( Info hier von HijackThis.de bzw. siehe meine Security Tools Linkseite )
Für alle Windows-Versionen gilt: regelmäßig ein Update durchführen !

Achtung: Beim Löschen/Fixen der verschiedenen Einträge mit HijackThis solltest du aber sehr genau hinsehen, den sonst werden nicht nur die Hijacker entfernt, sondern auch von dir gewünschte Hilfsmittel (z.B. Altavista Toolbar) usw.

Für das Protokoll und der weiteren Eliminierung verschiedener Einträge gibt es eine deutsche Beschreibung. Wenn du nicht sicher bist, was gut oder böse ist, beschreibe dein Problem im einem Forum, dann wirst du aufgefordert, ein HJT -Logfile zu posten.

Vorbereitung:

Ordner unter Windows für HijackThis anlegen.
Gehe mit dem Mauszeiger auf Start und drücke die rechte Maustaste, wähle aus dem Menü den Explorer aus. Das Startmenü-Fenster wird geöffnet, wähle nun den bevorzugten Speicherort und gehe hier auf Datei, weiter auf Neu und nun auf Ordner, im rechten Fenster erscheint nun ein neues Icon, hier gib den Namen für den neuen Ordner ein (z.B. HijackThis)
Meine bevorzugte Variante: C:\Programm\*Name*
Speichere HijackThis auf keinen Fall in ein temp. Verzeichnis !




Download

Für HijackThis gibt es mehrere Downloadmöglichkeiten, achte auf die aktuelle Version. 2.0.2, sie stammt nun von Housecall/Trend-Micro

Das Programm wird als *.exe File (< 200KB) oder auch als *.zip File (< 200KB) angeboten, für das zip-Programm benötigst du aber einen Datei Entpacker wie  winzip oder winrar (kostenpflichtig), oder  verwenden einen von hier als  Freeware zum Download bereitgestellten Entpacker.

Im Supportforum von www.hijackthis.de empfehle ich bis Windows XP Sp2 die alte Version von Merijn, ab Windows Vista sollte man aber auf jedenfall die aktuelle Version von TrendMicro/Housecall verwenden.

Download von HijackThis in den vorher erstellten Ordner.
*.zip   von Computercops  
*.exe  von Spywareinfo               direktdownload
*.zip   von Spywareinfo "Merijn" dem Urheber des Prog.(Seite leider oft nicht erreichbar)
*.zip   von HijackThis.de            direktdownload der Version 1.99.1

*.exe von Speedyweb                  direktdownload Version 1.97.7
*.exe von Speedyweb                  direktdownload Version 1.98.0
*.exe von Speedyweb                  direktdownload Version 1.98.2
*.exe von Speedyweb                  direktdownload Version 1.99.0
*.exe von Speedyweb                  direktdownload Version 1.99.1

Entpacke das *.zip File in diesem Ordner, bei einem *exe File brauchst du sonst nichts zu machen.

Programm starten  

Öffnen den Explorer und starte HijackThis durch einen Doppelklick auf die  *.exe Datei

Wenn die Windows Sicherheitswarnung erscheint, drücke Ausführen

a) Bei der Erstausführung oder beim Scannen kann es zu folgenden Problemen kommen 
Fehlermeldung: DLL C:\WINDOWS\System32\MSVBVM60.DLL ist keine gültige Windows-Datei 
Korrektur: Du benötigst die VbRuntime Bibliotheken. Die entsprechenden Dateien können von hier oder von  Microsoft heruntergeladen werden: Dann einfach in C:\Windows\System32 entpacken.

b) Lässt sich bedingt durch eine aktive Malware die HijackThis.exe nicht starten, bitte einfach letztgenannte z.B. in pruefung.com umbenennen und dann ausführen.
Wichtig hierbei: Die Dateiendung "exe" muss durch "com" ersetzt werden! Info von klaffke.de

c) Das Scannergebnis sieht nicht komplett aus: wenn du die HijackThis.exe von hier heruntergeladen, und den Dateinamen nicht geändert hast, sollte das nicht passieren, ansonsten die Datei z.B. in 1_99_1.exe umbenennen.




Das Programm wird geöffnet und man bekommt zuerst die Gesamtübersicht (Auswahl) zu sehen


1) System scannen und ein Logfile speichern, dies geht in einem Arbeitsgang
2) Das System nur scannen
3) Welche Backups sind vorhanden
4) Auswahl der Misc-Tools
5) Erklärung des Schnellstarts von TomCoyote
6) Starte das Programm

Wenn sie (6) None of the above, just start the program gewählt haben, wird dieses fenster geöffnet.

Drücke  auf den Button Scan, die Einträge werden nun (ohne aktive Prozesse) aufgelistet und

aus dem Button Scan, wird Savelog
Drücke  nun diesen Button und ein Explorer Fenster wird geöffnet.

Speichere nun das Logfile mit dem vorgeschlagenem Dateinamen in den vorgeschlagenen Ordner.
Der Inhalt wird nun als Text in diesem Editor-Fenster ausgegeben

markiere den Inhalt mit der linken Maustaste, beginnend mit der obersten Zeile aus dem Logfile, damit ersichtlich ist, welches Windows und welche Version von HijackThis du verwendest.

Drücke anschließend die rechte Maustaste und wählen kopieren. Nun hast du die Daten in der "Zwischenablage"




Auswertung

über ein Support-Forum

Automatische Auswertung

mit HijackThis

Hilfsmittel zur Selbstauswertung

Auswertung über ein Support-Forum

Füge die Daten aus der Zwischenablage in das Eingabeformular des von dir bevorzugen Support-Forums ein.   HijackThis.de, Trojaner-Info.de, Protecus.de, Rokop Security, WinFuture  oder  AVPE

Die Kollegen im Support-Forum überprüfen nun das Logfile und qualifizieren nun anhand jahrelanger Erfahrung, welche Einträge gut sind und welche schlecht bzw. welche entfernt werden müssen (sollten).
Befolge bitte die Ratschläge der Kollegen sehr genau. Die Durchführung dieser Tipps aus dem Forum erfolgt auf eigene Gefahr !  Es können zusätzlich Programme benötigt werden, z.B. Spybot S&D --> Hilfsmittel


Onlineauswertung

Copyright © 2004 by Mathias Mattner  Die Durchführung dieser Tipps aus der Logfileauswertung erfolgt auf eigene Gefahr ! Unter WinFuture kann man über den Beginn dieses Services nachlesen.

Füge die Daten aus der Zwischenablage in die Textbox von HijackThis (rot) ein,
oder wähle den Button (blau) Durchsuchen und navigiere zur Datei C:\Programme\HijackThis\1_99_1.exe.
Achtung: Besucherauswertung nicht deaktivieren !

Diesen Service darf ich auch hier anbieten, sodass du nicht laufend die Seiten wechseln musst.
Der Code dazu wurde mir von Mathias Mattner zur Verfügung gestellt.

drücke nun den Button  AUSWERTUNG,  nach kurzer Zeit wird unterhalb der Text-Eingabebox die Auswertung des Logfiles angezeigt.

Folgende Erst - Informationen werden dir dadurch zugänglich

Ist deine HijackThis - Version aktuell
Ist dein  Betriebssystem aktuell
Verwendest du ein Antivirenprogramm, oder ist es inaktiv
Verwendest du eine Personalfirewall, oder wurde sie deaktiviert
Befinden sich "böse" Prozesse auf deinem System

Weiter Informationen über die Logdaten werden unterschieden in

Gut  (bekannte Prozesse)

Unbekannt  (der Prozess ist in der HijackThis-Datenbank nicht gelistet)

Eventuell Böse (es gibt noch zu wenig Daten zu diesem Prozess)

Böse ( hier sollten die Anweisungen in der rechten Spalte befolgt werden)

Am unteren Ende der Tabellen-Auswertung steht Speichern,  Du kannst also dieses ausgewertete Logfile
am HijackThis-Server für 3 Tage ablegen. Wenn du speichern drückst, siehst du in der Browsereingabezeile eine neue URL, diese solltest du kopieren.

Das am Server gespeicherte Logfile sieht nun so aus 

Beurteilung von Einträgen im ausgewerteten HijackThis-Logfile

a) du kannst die Einträge im HijackThis Logfile bewerten als

1 extrem schädlich
2 schädlich
3 neutral
4 sicher
5 sehr sicher

dazu musst du nur auf die Sterne im ausgewerteten Logfile klicken


ein neues Fenster wird geöffnet, indem du deine Bewertung zu genau jener Datei oder jenem Eintrag machen kannst, wo du die Sterne angeklickt hast. Schließe diesen Vorgang mit dem Drücken des Button Eintragen ab.



b) du klickst auf den Button Kontakt, am Ende eines ausgewerteten HijackThis Logfile und kannst die Daten direkt an Mathias Mattner senden.


Folgende Daten solltest du übermitteln, siehe Screenshort, wenn du alles eingetragen hast, drücke den Button Senden!







Informationen über die verschiedenen Einträge mit dem Programm selbst einholen. Starte HijackThis und wähle 2 (nur scannen)
 

gewünschte Zeile auswählen und  Info on selected item..  drücken.

Eine weitere Box wird geöffnet, und die Information über den gewählten Eintrag ausgegeben (leider nur in english)

Was bedeute Fixen ?  (und wieder zurück)
Mit fixen ist das Entfernen verschiedener Einträge gemeint. Dazu startest du das Programm erneut, drückst auf scan (2) und bekommst wieder folgendes Bild zu sehen.

Wähle nun die entsprechenden Einträge aus und drücken "Fix checked"
Nun kommt noch eine Dialogbox, ob du auch wirklich sicher bist, diesen oder diese Einträge zu entfernen.

 

Bestätige dies mit JA

Achtung: wenn du HijackThis nicht aus einem eigenen Ordner ausführen, so wird kein Backup - Ordner angelegt. Sollte einmal etwas zuviel gefixt worden sein, so kann man nur dann, wenn es ein Backup gibt, den Eintrag wieder zurückspielen

Wenn du unter "Fixen" Einträge gelöscht hast, die du aber wieder gerne hättest, oder diese endgültig von deinem System löschen willst, dann starte Hijackthis, wählen entweder direkt "View the list of backups (3), oder Misc Tools (4), und hier backups, oder zuerst  (1, 2 oder 6) und dann den Button Config, wo du nun ebenfalls Backups auswählen kannst 

durch markieren des Eintrages kannst du 

mit Restore den Löschvorgang unter Fixen rückgängig machen  

mit Delete diesen Eintrag endgültig löschen, oder                        

mit Delete all alle Einträge unwiderruflich löschen.                      

Viele Viren greifen zu Tricks, um das Aufspüren und Entfernen des Schädlings zu verhindern. Für eine zuverlässige Reinigung sollte das System zumindest im abgesicherten Modus gestartet werden. Der abgesicherte Modus ist eine Startart von Microsoft Windows, bei dem nur jene Dienste und Prozesse geladen werden, die für den minimalen Betrieb von Windows notwendig sind. Damit hat HijackThis einen Zugriff auf Dateien und Systembereiche, die normalerweise vom Betriebssystem geschützt werden. Bei jedem Betriebssystem kommt man unterschiedlich in den abgesicherten Modus, das Bundesamt für Sicherheit in der Informationstechnik liefert dazu eine sehr gute Beschreibung.   Win95          Win98/Win ME           Win2000             WinXP

Add checked to ignorelist  (und wieder zurück)

Wenn du eine Datenzeile nicht überprüfen lassen willst,  welche Gründe du dafür auch immer hast, starte HijackThis, wähle nur scannen (2), aktivere jene Datenzeile, die du nicht mehr überprüfen willst, drücke den Button Add checked to ignorelist, 

eine neues Dialogfenster wird geöffnet, 

Bestätigen mit JA, und diese Datenzeile wird der Ignoreliste zugeführt

willst du nun diese Datei, oder alle Dateien von deiner Liste wieder in das nächste Logfile aufnehmen, aktivieren die Einträge und drücke den Button Delete oder Delete all.

Configuration: auch hier, bei diesem Tool kann man ein wenig die Einstellungen verändern. Starte HijackThis und wähle (2, oder 6)

 

Bestätige mit JA, dann wird ein Windows - Editor Fenster geöffnet. Die StartupLog-Liste wird, je nachdem, was du noch aktiviert hast  (list also minor section [full] oder list empty sections [complete]) angelegt.

Wähle unter Misc Tools den Button  Open prozess manager

 

hier kannst du einen Prozess beenden mit Kill prozess, einen Prozess auffrischen mit Refresh, einen Prozess Starten mit Run oder wieder zu Misc Tool´s zurückkehren mit Back. Das Logfile wird gespeichert unter C:\Programme\Hijackthis\processlist.txt  indem du auf die kleine Disc klickst. 

Wenn du wissen willst, welche *.dll Dateien von einer *.exe  Datei verwendet wird, aktiviere zusätzlich das Kästchen ShowDll. Gespeichert wird das Logfile als C:\Programme\Hijackthis\processlist.txt 






Wähle unter Misc Tools den Button Open hosts file manager.

hier kannst du mit

Delete line(s) eine Zeile löschen
Toggle line(s) umschalten #
Open in Notepad das File in einem Windows-Notepad-Fenster öffnen
Back zurück zur Misc-Tool´s -Übersicht gelangen

P.S. die Hosts Datei wird unter Windows xp im Ordner C:\WINDOWS\system32\drivers\etc\hosts abgelegt 

Wähle unter Misc Tools den Button  Delete a file on reboot

Viele Dateien werden von Windows im Betrieb geschützt, sie lassen sich mit dem Explorer nicht vom System entfernen. Wenn du diesen Button drücken, wird ein Windows-Such Fenster geöffnet, suche die zu löschende Datei,

wähle öffnen, eine Dialogbox wird geöffnet 

Die Änderungen werden erst nach einem Windows-Neustart wirksam, soll Windows neugestartet werden ?
Wenn du den Button JA drückst, wird der Rechner neu gestartet und die Datei gelöscht.
Du kannst natürlich auch Nein drücken und weitere Dateien zum Löschen beim nächsten Systemstart auswählen.

Wähle unter Misc Tools den Button  Delete an NT service ...

Ein neues Eingabefeld wird geöffnet , hier musst du den genauen Dienstnamen eintragen, dann wird dieser Dienst, deaktiviert und im Anschluss gelöscht.

Achtung: der Dienst wird ohne Backup gekillt !

Wähle den Button Open ADS Spy, du kannst nun folgende Aktionen aktivieren

Quick scan
Ignore safe system info streams
Calculate MD5 checksum of streams

Du kannst das Logfile speichern, vom System vorgeschlagen  C:\Programme\HijackThis\adsspy.txt

wenn du einen Eintrag nach dem Scannen aktivierst und  Remove selected drückst, wird der ADS vom System unwiderruflich gelöscht !

Wähle unter Misc Tools den Button Open Uninstall Manager

Button   Check for update online

Wenn du diesen Button drückst, wird von HijackThis nach einer neueren Version gesucht, und sollte es eine neuere Version geben, ein update durchgeführt. Leider ist die Herstellerseite von HijackThis nicht immer zu erreichen, sodass meist keine Verbindung zustande kommt.

Deinstallation von HijackThis, was könnte das sein ?




Startet man HijackThis aus Windows heraus, so sind wir hier am Ende angelangt, man kann aber auch anders

Unter Windows -> Start -> alle Programme -> Zubehör ->  Eingabeaufforderung, oder kürzer
Mit der linken Maustaste auf Start -> wähle Ausführen,
gib in der Eingabeaufforderung   cmd    ein und drücke [Enter]


Nun wird eine DOS - Box geöffnet, gib hier folgendes ein  C:\Programme\HijackThis\1_99_1.exe /ihatewhitelists
und drücke [Enter]. (den Pfad zur *exe musst du an dein System anpassen)


Nun wird das Programm HijackThis gestartet, wähle 1,2 oder 6


Was nun kommt, sieht zuerst aus, als würde ein ganz normales HijackThis-Logfile erzeugt werden, aber bei genauerer Kontrolle sieht man hier etwas mehr, und zwar werden zusätzlich die folgenden Einträge ins Logfile aufgenommen.

a) 01 die Hosts Datei  
b) 10 die Winsocks Einträge
c) 18 Protokolle 
d) 21 Registry-Einträge in ShellServiceObjectDelayLoad
e) 23 auch die Microsoft - Windows - Dienste !









Hilfsmittel zur Selbstauswertung

Deutsche Anleitung von Trojanerinfo.de, oder als PDF-File
Specialized Lists - For Research
die Pacman's Startup List

die TonyK'sBHO & Toolbar List

Eine weitere HijackThis Beschreibung von Grinko
für die weitere Suche von unbekannten Prozessen

Google.de,

Windows-Startup-Liste,

Windows-Prozesse-Liste,

reger24              

Windows XP home und prof. Services,

Windows.exe  und Microsoft Knowledge Base 

Prozessdatenbank  von Mathias Mattner (HijackThis.de)

Prozessdatenbank  von ProzessLibrary.com  



Zusätzliche Tool´s zum Entfernen von Schadsoftware
Diese zusätzlichen Hilfsmittel ( Cleaner-Tools ) habe ich auf meiner Security-Seite zusammengefasst. Hier finden Sie die
Cleanertools
Online-Virenscanner
AntiViren-Software Freeware
Firewalls
Adaware und Spybot
usw.


HijackThis.de

Ab sofort bietet HijackThis.de die Möglichkeit eine Datei auf Viren, Würmer, Trojaner, Dialer oder Malware zu untersuchen. Dazu werden 3 verschiedene, eigenständige Antivirenscanner benutzt. Das Ergebnis wird dir direkt auf dem Bildschirm ausgegeben.


Rokop-Security -, Trojaner-Info-, Protecus.de, AVAST oder WinFuture- Forum
Die automatische Auswertung ist eine große Hilfe, aber es entbindet die Helfer nicht, einen direkten Blick auf das Logfile zu werfen, daher das Logfile, so wie es ist, im jeweiligen Forum roh posten. Du kannst den Link zum gespeicherten Logfile natürlich auch posten.

     
HijackThis Vorbereitung Downlaod Starten Auswählen Scannen Speichern Kopieren Auswertung Beurteilung Fixen und wieder zurück Add checked to ignorelist Configuration Misc Tool GenerateStartupList Misc Tool - Prozess Manager Misc Tool - Open Hosts File Manager Misc Tool - Delete a File on reboot Misc Tool - Delete an NT service Misc Tool - ADS Spy Misc Tool - Open Uninstall Manager Misc Tool - MD5 Calculator Misc Tool - Include environment var. HJT ihatewhitelists (über DOS) Hilfsmittel
•