Speedyweb

aktualisiert am 07.11.2009

 | Rückmeldung | Gästebuch | Speedyweb |

Für alle Link´s, Programme, Anleitungen und Inhalte dieser und der verlinkten Seiten wird keine Haftung übernommen, schützen sie sich vor Datenverlust, indem sie vor einer Programm-Installation oder Erstbenutzung für sie unbekannter  Programme, ihre persönlichen Daten auf einem Wechselmedium sichern.


Dies ist eine Unterseite von Speedyweb, besuchen Sie doch auch meine Bildbeschreibung für AntiVirPE und  meine Linksammlung Security-Tools bzw. die Linksammlung von Mozilla, einem alternativen Browser inkl. Mail, Chat, Adressen und HTML-Editor Programm FREEWARE (ersetzt IE und Outlook), kann neben den Microsoft-Produkten installiert werden und übernimmt die Favoriten aus dem IE bzw. Mail und Adressen aus Outlook (auch Express) ohne Datenverlust.

HijackThis von Merijn         

 
Immer wieder wird in den Support-Foren von HijackThis, PC-Welt, Chip OnlineTrojaner-Board, usw.  von umgeleiteten Startseiten beim Browser berichtet. Das Entführen auf nicht gewünschte Internetseiten wird als “Hijacking“ bezeichnet. So kann durch eine Sicherheitslücke, die auch durch eine unsichere Einstellung im Internet Explorer zustande gekommen ist, die Startseite umgeleitet  werden, ohne das du dich dagegen wehren kannst. Mit dem Programm-Tool “HijackThis“ können diese Hijacker ausfindig gemacht  und durch “FIXEN“ vom System entfernen werden, sodass du wieder deine gewünschte Startseite einstellen kannst.

Nach dem Entfernen dieser Schadsoftware solltest du dein System sicherer einstellen. Du kannst hier bei Heise, oder bei Security-Check.ch einen Online-Browser bzw. Systemcheck  durchführen lassen, wobei für dein System Vorschläge zur Absicherung gemacht werden.

Verwende zusätzlich ein Anti-Virenprogramm und eine Firewall um Angriffe abzuwehren!
Auch solltest du unter Microsoft Windows XP Home, XP Professional und Windows 2000 bzw. Vista (alle Modifikationen) nicht benötigte Dienste abschalten ( Info hier von HijackThis.de bzw. siehe meine Security Tools Linkseite )
Für alle Windows-Versionen gilt: regelmäßig ein Update durchführen !

Achtung: Beim Löschen/Fixen der verschiedenen Einträge mit HijackThis solltest du aber sehr genau hinsehen, den sonst werden nicht nur die Hijacker entfernt, sondern auch von dir gewünschte Hilfsmittel (z.B. Altavista Toolbar) usw.

Für das Protokoll und der weiteren Eliminierung verschiedener Einträge gibt es eine deutsche Beschreibung. Wenn du nicht sicher bist, was gut oder böse ist, beschreibe dein Problem im einem Forum, dann wirst du aufgefordert, ein HJT -Logfile zu posten. 

 
Mitglied bei HijackThis.de seit 2004             HijackThislogo
| Übersicht HJT |



Vorbereitung
:

Ordner unter Windows für HijackThis anlegen.
Gehe mit dem Mauszeiger auf Start und drücke die rechte Maustaste, wähle aus dem Menü den Explorer aus. Das Startmenü-Fenster wird geöffnet, wähle nun den bevorzugten Speicherort und gehe hier auf Datei, weiter auf Neu und nun auf Ordner, im rechten Fenster erscheint nun ein neues Icon, hier gib den Namen für den neuen Ordner ein (z.B. HijackThis)
Meine bevorzugte Variante: C:\Programm\*Name*
Speichere HijackThis auf keinen Fall in ein temp. Verzeichnis !
| Übersicht HJT |

Ornder erstellen




Download

Für HijackThis gibt es mehrere Downloadmöglichkeiten, achte auf die aktuelle Version. 2.0.2, sie stammt nun von Housecall/Trend-Micro

Das Programm wird als *.exe File (< 200KB) oder auch als *.zip File (< 200KB) angeboten, für das zip-Programm benötigst du aber einen Datei Entpacker 

Es sollte grundsätzlich die aktuelle Version von TrendMicro/Housecall verwenden werden, in wenigen Fällen ist es besser eine alte Version zu verwenden.
Am besten man erstellt 2 Logfiles und vergleicht die beiden !

Download von HijackThis in den vorher erstellten Ordner.

speichern unter

*.exe von Speedyweb                  direktdownload Version 1.97.7
*.exe von Speedyweb                  direktdownload Version 1.98.0
*.exe von Speedyweb                  direktdownload Version 1.98.2
*.exe von Speedyweb                  direktdownload Version 1.99.0
*.exe von Speedyweb                  direktdownload Version 1.99.1
*.com von Speedyweb                 direktdownload Speedy.com
                                                                                   alias Version 2.0.2

Entpacke das *.zip File in diesem Ordner, bei einem *exe File brauchst du sonst nichts zu machen, als im richtigen Ordner abzulegen.

.Wenn du von der Downloadseite die Installerversion herunterladen willst, dann entweder in einen Download-Ordner oder auf den Desktop.
Das Tool wird sich unter C:\Program Files\Trend Micro\HijackThis durch einen Doppelklick selbst installieren, ändere den Pfad nicht..

| Übersicht HJT |



Programm starten  HJT
Windows Vista User müssen das Tool als Administrator ausführen, da sie sonst kein Logfile erstellen lönnen, bei allen anderen Windows Versionen reicht ein Doppelklick auf die datei HijackThis.exe
Öffnen den Explorer und starte HijackThis durch einen Doppelklick auf die  *.exe Datei

vista start

Wenn die Windows Sicherheitswarnung erscheint, drücke Ausführen

Will man ein Tool immer als Administrator ausführen, geht man folgendermaßen vor.
Man navigiert mit dem Explorer zur Datei, die man immer als Admin ausführen will
klickt mit der rechten Maustaste auf diese Datei und wählt aus dem Menü
Eigenschaften. Wähle hier den Reiter Kompatibilität und aktiviere das Kästchen bei  Berechtigungsstufe --> Programm als Administrator ausführen, nun noch den Button >>Übernehmen<< drücken.
Achtung: sollte die Datei bei dieser Einstellung einmal mit einem Virus befallen sein, hat sie am System Administratorrechte und kann somit alles, was der Admin auch kann und darf, meist als erstes, allen die Adminrechte entziehen !!

admin ausführen

Bei der Erstausführung oder beim Scannen kann es zu folgenden Problemen kommen 
a) Fehlermeldung: DLL C:\WINDOWS\System32\MSVBVM60.DLL ist keine gültige Windows-Datei 
Korrektur: Du benötigst die VbRuntime Bibliotheken. Die entsprechenden Dateien können von hier oder von  Microsoft heruntergeladen werden: Dann einfach in C:\Windows\System32 entpacken.

b) Lässt sich bedingt durch eine aktive Malware die HijackThis.exe nicht starten, bitte einfach letztgenannte z.B. in Speedy.com umbenennen und dann ausführen.
Wichtig hierbei: Die Dateiendung "exe" muss durch "com" ersetzt werden!

c) Das Scannergebnis sieht nicht komplett aus: wenn du die HijackThis.exe von hier heruntergeladen, und den Dateinamen nicht geändert hast, sollte das nicht passieren, ansonsten die Datei z.B. in 2_0_2.exe umbenennen.



Das Programm wird geöffnet und man bekommt zuerst die Gesamtübersicht (Auswahl) zu sehen

Auswahl

1) System scannen und ein Logfile speichern, dies geht in einem Arbeitsgang
2) Das System nur scannen
3) Welche Backups sind vorhanden (um gefitxte Einträge wieder zu aktivieren)
4) Auswahl der Misc-Tools
5) Erklärung des Schnellstarts von TomCoyote
6) Starte das Programm

Wenn du (6) >>None of the above, just start the program<< gewählt hast, wird dieses Fenster geöffnet.

None_of_the_abov



Drücke  auf den Button Scan, die Einträge werden nun (ohne aktive Prozesse) aufgelistet und

nach dem scannen



aus dem Button Scan, wird Savelog
Drücke  nun diesen Button und ein Explorer Fenster wird geöffnet.

explorer

Speichere nun das Logfile mit dem vorgeschlagenem Dateinamen in den vorgeschlagenen Ordner. (keinen temp. Ordner !!)
Der Inhalt wird nun als Text in diesem Editor-Fenster ausgegeben

editor




a) klicke auf >>Bearbeiten <<, wähle aus dem Menü >> alles markieren <<
b) klicke mit der rechten Maustaste in das Textfeld und wähle aus dem Menü >>Alle auswählen <<

markiert


Drücke anschließend die rechte Maustaste und wählen kopieren. Nun hast du die Daten in der "Zwischenablage"

Übersicht HJT |



Auswertung

über ein Support-Forum

Automatische Auswertung

mit HijackThis

Hilfsmittel zur Selbstauswertung


Auswertung über ein Support-Forum

Füge die Daten aus der Zwischenablage in das Eingabeformular des von dir bevorzugen Support-Forums ein.  HijackThis, PC-Welt, Chip OnlineTrojaner-Board
Im Forum von HijackThis sollte man das Logfile in den Tags [code] logfile [/code] formatiert einfügen, damit die Forensoftware nicht automatische Leerzeichen oder Zeilenumbrüche einfügt.

logfile einfügen

Die Kollegen im Support-Forum überprüfen nun das Logfile und entscheiden nun anhand jahrelanger Erfahrung, welche Einträge gut sind und welche schlecht bzw. welche entfernt werden müssen (sollten).
Befolge bitte die Ratschläge der Kollegen sehr genau. Die Durchführung dieser Tipps aus dem Forum erfolgt aber auf eigene Gefahr !  Es können zusätzlich Programme benötigt werden, z.B. Spybot S&D --> Hilfsmittel

Der Begriff "FIXEN" wird hier beschrieben

| Übersicht Auswertung | Übersicht HJT |



Onlineauswertung


Copyright © 2004 by Mathias Mattner  Die Durchführung dieser Tipps aus der Logfileauswertung erfolgt ebenfalls auf eigene Gefahr ! 

Füge die Daten aus der Zwischenablage in die Textbox von HijackThis (blau) ein, oder wähle den Button (rot) Durchsuchen und navigiere zur Datei z.B.  C:\Programme\HijackThis\hijackthis.log.
Achtung: Besucherauswertung nicht deaktivieren !

logfileeingabe 

drücke nun den Button  AUSWERTUNG,  nach kurzer Zeit wird unterhalb der Text-Eingabebox die Auswertung des Logfiles angezeigt.

auswertung

Folgende Erst - Informationen werden dir dadurch zugänglich

Ist deine HijackThis - Version aktuell
Ist dein  Betriebssystem aktuell
Verwendest du ein Antivirenprogramm, oder ist es inaktiv
Verwendest du eine Personalfirewall, oder wurde sie deaktiviert  bzw. verwendest du die Windows PFW, diese wird leider nicht erkannt.

Weiter Informationen über die Logdaten werden unterschieden in

ein grüner Hacken  (bekannte Prozesse)

ein gelbes Fragezeichen  (der Prozess ist in der HijackThis-Datenbank nicht gelistet)

ein gelbes Kreuz  (der Prozess dürfte schädlich sein, es gibt aber noch keine Daten)

ein rotes Kreuz  ( hier sollten die Anweisungen in der rechten Spalte befolgt werden)

Am Ende der Auswertungtabelle findest du den Button  >>Kurzauswertung<<, wenn du diesen drückst, werden dir die "bösen bzw. unbekannten" Einträge aufgelistet, das sieht bei dem oben eingelesenen Logfile dann so aus

[X] - Logfile of Trend Micro HijackThis 1.99.1
[X] - C:\Windows\fxstaller.exe
[?] - C:\Dokumente und Einstellungen\Romana\Desktop\hjt.com
[?] - O2 - BHO: (no name) - {B51D8B6A-6D8A-4F55-8EF5-6F4D0E5401C9} - C:\Windows\system32\tuvVMggf.dll
[X] - O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

| Übersicht Auswertung | Übersicht HJT |

Der Begriff "FIXEN" wird hier beschrieben




Beurteilung von Einträgen im ausgewerteten HijackThis-Logfile

a) du kannst die Einträge im HijackThis Logfile bewerten als

1 extrem schädlich
2 schädlich
3 neutral
4 sicher
5 sehr sicher

dazu musst du nur auf den Balken im ausgewerteten Logfile (1)  klicken

bewertung

ein neues Fenster wird geöffnet, indem du zuerst im Eingabefeld (2) deine Information für alle User lesbar eingibst, dann deine Bewertung (3) zu genau jener Datei oder jenem Eintrag machen kannst, wo du den Balken angeklickt hast.
Nun musst du noch eine fünfstellige Zahl aus dem grünen Feld im untersten Eingabefeld eingeben und denn Button >>Eintragen << klicken

b) du klickst auf den Button Kontakt, am Ende eines ausgewerteten HijackThis Logfile und kannst die Daten direkt an Mathias Mattner senden.

Folgende Daten solltest du übermitteln, siehe Screenshort, wenn du alles eingetragen hast, drücke den Button Senden!

kontakt



| Übersicht Auswertung | Übersicht HJT |



Informationen über die verschiedenen Einträge mit dem Programm selbst einholen.
Starte HijackThis und wähle 2 (nur scannen)
 
info on selected item

gewünschte Zeile auswählen und  Info on selected item..  drücken.

info

Eine weitere Box wird geöffnet, und die Information über den gewählten Eintrag ausgegeben (leider nur in english)


| Übersicht Auswertung | Übersicht HJT |



Was bedeute Fixen ?  (und wieder zurück)
Mit fixen ist das Entfernen verschiedener Einträge in der Registry gemeint. Dazu startest du das Programm erneut, drückst auf scan (2) und bekommst wieder folgendes Bild zu sehen.

fixen

Wähle nun die entsprechenden Einträge aus und drücke den Button "Fix checked"
Nun kommt noch eine Dialogbox, ob du auch wirklich sicher bist, diesen oder diese Einträge zu entfernen.

 fix ja/nein


Bestätige dies mit JA

Achtung: wenn du HijackThis nicht aus einem eigenen Ordner ausführen, so wird kein Backup - Ordner angelegt. Sollte einmal etwas zuviel gefixt worden sein, so kann man nur dann, wenn es ein Backup gibt, den Eintrag wieder zurückspielen


Wenn du unter "Fixen" Einträge gelöscht hast, die du aber wieder gerne hättest, oder diese endgültig von deinem System löschen willst, dann starte Hijackthis, wähle entweder direkt "View the list of backups (3), oder Misc Tools (4), und hier Backups, oder zuerst  (1, 2 oder 6) und dann den Button Config, wo du nun ebenfalls Backups auswählen kannst 

backup

durch markieren des Eintrages kannst du 

mit Restore den Löschvorgang unter Fixen rückgängig machen  

restore

mit Delete diesen Eintrag endgültig löschen, oder  

clear

mit Delete all alle Einträge unwiderruflich löschen. 

 clear all

Achtung: Wenn man mit "Fixen" aktuell eine Malwarebereinigung durchführt, dann ist man mit der Bereinigung noch nicht fertig, man hat ja "nur" den Eintrag in der Registry gelöscht, die Datei selbst ist ja noch am System, diese kann nun mit Delete a file on reboot eliminiert werden.

Für die Systembereinigung sollte man in vielen Fällen in den abgesicherten Modus von Windows wechseln. Dieser Modus ist eine Startart von Microsoft Windows, bei dem nur jene Dienste und Prozesse geladen werden, die für den minimalen Betrieb von Windows notwendig sind, also Malware gehört hier normal nicht dazu. Da sich das aber auch unter den Malwareautoren herumgesprochen hat, wird oft ein Start in das Auswahlmenü zum abgesicherten Modus blockiert. Mit msconfig kann man das aber wiederum umgehen, es birgt aber ein ziemliches Risiko, den man kann in einer Endlosschleife hängen bleiben und dann bleibt meist nur mehr format:c um den Rechner wieder verwenden zu können, die pers. Daten bleiben dabei auf der Strecke.
Wie kommt man in das Auswahlmenü zu abgesicherten Modus?
Im Normalfall drückt man beim Start die Taste F8 , drückt man zu früh, kann man ins BIOS (je nach Rechner) gelangen, drückt man zu spät, ist man bei der Windows Anmeldung und man muss mit einem Neustart wieder von vorne beginnen..

  Win95          Win98/Win ME           Win2000             WinXP

| Übersicht HJT |




Add checked to ignorelist  (und wieder zurück)

Wenn du eine Datenzeile nicht überprüfen lassen willst,  welche Gründe du dafür auch immer hast, starte HijackThis, wähle nur scannen (2), aktivere jene Datenzeile, die du nicht mehr überprüfen willst, drücke den Button Add checked to ignorelist, 

ignorelist

eine neues Dialogfenster wird geöffnet, 

ignorelist löschen

ignorelist popup
Bestätigen mit JA, und diese Datenzeile wird der Ignoreliste zugeführt

ignorelist löschen


willst du nun diese Einträge von deiner Liste wieder in das nächste Logfile aufnehmen, aktivieren die Einträge und drücke den Button Delete oder Delete all. Die Einträge werden nur wieder aus der Ignorierrliste entfernt, sonst nichts !

| Übersicht HJT |



Das Tool kann wesentlich mehr, als man auf den ersten Blick vermuten würde, starte also neu und wechsle in das Scanfenster (mit 1, 2, 6, oder gleich mit 7)
wähle nun den Buttton  >>Configuration<<

config

In der folgenden Box siehst du im Main- menue die Standard-Einstellungen von HijackThis
main

Verändere hier nichts, ohne das du dazu von einem Supporter aufgefordert wirst, hier sind eigentlich die Grundeinstellungen vorgegeben.


    |Configuration| add checked to ignorelist | Übersicht HJT |




Wähle unter Config den Button >>Misc Tools<< und hier den Button
>>GenerateStartupList<< 

misc_1

ein Dialogfenster wird geöffnet

generate startuplist popup

Bestätige mit JA, dann wird ein Windows - Editor Fenster geöffnet. Die StartupLog-Liste wird, je nachdem, was du noch aktiviert hast  (list also minor section [full] oder list empty sections [complete]) angelegt.

Diese Listen bitte nur nach Aufforderung erstellen und in einem Forum posten

| Übersicht HJT |

Wähle unter Config den Button >>Misc Tools<< und hier den Button 
>>Open prozess manager<<

prozessmanager  

Ein neues Fenster wird geöffnte, 

kill process


Das Logfile (aktive Prozesse) wird gespeichert unter C:\Programme\Hijackthis\processlist.txt  indem du auf die kleine Disc klickst. 

zusätzlich kannst du hier einen Prozess beenden mit >>Kill prozess<<,
das musst das aber auch vorher bestätigen !

kill process popup

kill process popup

einen Prozess auffrischen mit Refresh, oder sogar einen Prozess Starten mit Run, hier wird ein neues Fenster geöffnet und durch drücken des Button >>Durchsuchen<< öffnet ein Explorer Fenster, wo du zu jenem Programm navigieren kannst, das du starten willst.

kill process popup


oder wieder zu Misc Tool´s zurückkehren mit Back. 

Wenn du wissen willst, welche *.dll Dateien von einer *.exe  Datei verwendet wird, aktiviere zusätzlich das Kästchen ShowDll.
Gespeichert wird das Logfile als C:\Programme\Hijackthis\processlist.txt 


Showdll





Wähle unter Config den Button >>Misc Tools<<  und hier den Button
>>Open hosts file manager<<.

hosts

ein neues Fenster wird geöffnet

hosts


hier kannst du mit

Delete line(s) eine Zeile löschen
Toggle line(s) umschalten #
Back zurück zur Misc-Tool´s -Übersicht gelangen 
Open in Notepad das File in einem Windows-Notepad-Fenster öffnen und manuell bearbeiten.

hosts

P.S. die Hosts Datei wird unter Windows xp/Vista im Ordner C:\WINDOWS\system32\drivers\etc\hosts abgelegt 

| Configuration| Misc Tools1 | Übersicht HJT |

Wähle unter Config den Button >>Misc Tools<< und hier dann den Button  >>Delete a file on reboot<<

hosts

Viele Dateien werden von Windows im Betrieb geschützt, sie lassen sich mit dem Explorer nicht vom System entfernen. Wenn du diesen Button drücken, wird ein Windows-Such Fenster geöffnet, suche die zu löschende Datei,

was ist zu löschen

wähle öffnen, eine Dialogbox wird geöffnet 

dialogbox

Die Änderungen werden erst nach einem Windows-Neustart wirksam, soll Windows neugestartet werden ? Wenn du den Button JA drückst, wird der Rechner neu gestartet und die Datei gelöscht.
Du kannst natürlich auch Nein drücken und weitere Dateien zum Löschen beim nächsten Systemstart auswählen.

| Übersicht HJT |  FIXEN 




Wähle unter Config den Button >>Misc Tools<< und hier dann den
Button  >>Delete an NT service<<

Ein neues Eingabefeld wird geöffnet , hier musst du den genauen Dienstnamen eintragen, dann wird dieser Dienst, deaktiviert und im Anschluss gelöscht.
Das sind jene Einträge im HijackThis-Logfile unter O23, diese können im Normalfall nicht gefixt werden (es gibt aber auch Ausnahmen!)

nt services killen

Achtung: der Dienst wird ohne Backup gekillt !

| Übersicht HJT |




Wähle unter Config den Button >>Misc Tools<< und hier dann den Button
>> Open ADS Spy, <<  ADS gibt es nur bei NTFS formatierten Datenträgern!

ads


du kannst nun folgende Aktionen aktivieren
Quick scan
Ignore safe system info streams
Calculate MD5 checksum of streams


remove ads

Das Logfile speicherst du unter C:\Programme\HijackThis\adsspy.txt

wenn du einen Eintrag nach dem Scannen aktivierst und  Remove selected drückst, wird der ADS vom System unwiderruflich gelöscht !

| Übersicht HJT |

Wähle unter Config den Button >>Misc Tools<< und hier dann den Button
>>Open Uninstall Manager<<

uninstallmanager

Ein neues Arbeitsfenster wird geöffnet

uninstallmanager


Du kanns die Uninstall-Liste als Logfile Speichern mit Save List, dabei wird ein Explorer Fenster geöfnet, ändere den  vorgeschlagener Ort nicht.
z.B. C:\Programme\HijackThis\uninstall_list.txt

Wenn du den Button Open Add/Remove Software List, öffnest du Programmzugriff und Standards (unter Windows so zu erreichen -> linke Maustaste auf Start  -> Programmzugriff und Standards -> Softwareliste)
(unter Vista --> Start -> Systemsteuerung -> Programme und Funktionen)

Über den Button Edit uninstall command  kann man die Uninstaller verändern, das sollte man nur machen, wenn man genau weiss, welcher Uninstaller zu welchem Tool gehört.

uninstallcommand

mit OK, kann man die Änderung speichern


Mit einem weiterer Button, Delete this entry, kann man einen Eintrag aus der Softwareliste löschen, der aus irgend einem Grund beim Deinstallieren nicht gelöscht wurde. Wie immer kommt auch hier eine Dialogbox

delete nicht mehr vorhandene programme aus der softwareliste 

| Übersicht HJT |




Bei den Misc Tools kann man noch 

Calculate MD5 of files if possible  aktivieren, dies hat zur Folge, das die Einträge im Logfile ohne MD5 so aussahen

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

und nun mit MD5, neben der Filegröße eben die HASH (Prüfsumme von MD5) aufweist.

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (filesize 63128 bytes, MD5 F17B2B264072B921FC66A0BE16626BAB)





und  Include environment variables in logfile, was wiederum folgende Auswirkung im Logfile erzeugt

ohne

Logfile of HijackThis v1.99.1
Scan saved at 23:52:05, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

aktiviert

Logfile of HijackThis v1.99.1
Scan saved at 22:24:45, on 20.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\system32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

Button   Check for update online

Wenn du diesen Button drückst, wird von HijackThis nach einer neueren Version gesucht, und sollte es eine neuere Version geben, ein update durchgeführt. Leider ist die Herstellerseite von HijackThis nicht immer zu erreichen, sodass meist keine Verbindung zustande kommt.


Deinstallation von HijackThis, was könnte das sein ?

| Übersicht HJT |




Startet man HijackThis aus Windows heraus, so sind wir hier am Ende angelangt, man kann aber auch anders --> Command-line parameters:

Unter Windows -> Start -> alle Programme -> Zubehör ->  Eingabeaufforderung, oder kürzer, mit der linken Maustaste auf Start -> wähle Ausführen,
gib in der Eingabeaufforderung   cmd    ein und drücke [Enter]
Nun wird eine DOS - Box geöffnet, gib hier folgendes ein  C:\Programme\HijackThis\HijackThis.exe /ihatewhitelists
und drücke [Enter].
(den Pfad zur *exe musst du an dein System anpassen)

cmd


Nun wird das Programm HijackThis gestartet, wähle 1,2 oder 6

Was nun kommt, sieht zuerst aus, als würde ein ganz normales HijackThis-Logfile erzeugt werden, aber bei genauerer Kontrolle sieht man hier etwas mehr, und zwar werden zusätzlich die folgenden Einträge ins Logfile aufgenommen.

a) 01 die Hosts Datei  
b) 10 die Winsocks Einträge
c) 18 Protokolle 
d) 21 Registry-Einträge in ShellServiceObjectDelayLoad
e) 23 auch die Microsoft - Windows - Dienste !

weitere Parameter sind

* /autolog - automatically scan the system, save a logfile and open it
* /uninstall - remove all HijackThis Registry entries, backups and quit
* /silentautuolog - the same as /autolog, except with no required user intervention



|Configuration| Misc Tools1 | Übersicht HJT |



Hilfsmittel zur Selbstauswertung


Unbekannte Dateien überprüft man vor dem Löschen mit einem Onlinemultiscanner
Zusätzlich sieht man sich die Eigenschaften der Datei an (über Explorer)
Dann über Google  Informationen zu der Unbekannten Datei einholen
Weitere Datenbanken



HijackThis, was bedeuten die einzelnen Einträge
Deutsche Anleitung von Trojanerinfo.de, oder als PDF-File
 
R0 = Internet Explorer Startseite (Main,Start Page, SearchAssistant)
R1 = Internet Explorer Startseite (Main,Search Bar,Search Page, SearchURL)
R2 = Internet Explorer Startseite
R3 = Internet Explorer Plugins  URLSearchHook:
F0 = system.ini; Autostart-Programm-Einträge in der INI-Datei (sollten meistens gefixt werden),
F1 = win.ini; Autostart-Programm-Einträge in der ini-Datei (heikel, nicht alle Einträge sind schlecht), run- und load-Einträge.
F2 = system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
F3 = REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe; REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O1 = Umleitungen in der HOSTS-Datei 
O2 = BHO-Programmerweiterungen (Browser Helper Objects)
O3 = Einträge in der Toolbar
O4 = Autostarteinträge aus der Registry
O5 = Internetoptionen sind ausgeblendet/deaktiviert (Einträge in der control.ini)
O6 = Zugriff auf Internetoptionen durch Administrator deaktiviert (Beispiel Register "Allgemein")
O7 = Zugang auf Regedit durch Administrator deaktiviert
O8 = Extra-Einträge im "Kontextmenü" des IE (Browsererweiterungen)
O9 = Extra-Buttons in der IE-Toolbar oder zusätzliche Einträge im IE-Menü "Extras", Beispiel = Yahoo- oder AIM-Messenger
O10 = Winsock-Veränderungen.
O11 = Zusätzliche Gruppe im IE-Fenster "Erweiterte Optionen".
O11 - Options group: [INTERNATIONAL] International* wird vom Internet Explorer 7.0 hinzugefügt (Internetoptionen - Erweitert - International*).
O12 = IE-Plugins (Programmerweiterungen des IEs)
O13 = Veränderung der Standard-Voreinstellungen des IE (Url-Umleitung Prefix)
O14 = Veränderungen unter "Webeinstellungen zurücksetzen" (IERESET.INF)
O15 = Unerwünschte Seiten in "Vertrauenswürdige Seiten"  Trusted Zone
O16 = ActiveX-Objekte (auch bekannt als Downloaded Program Files
O17 = Domäne zum ISP oder Netzwerk (DNS Server Adressen)
O18 = Zusätzliche bzw. veränderte Protokolle, Beispiel: Protocol
O19 = Veränderungen des "User Style Sheet" (CSS)
O20 = Registry-Einträge in AppInit_DLLs unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows.
O21 = Registry-Einträge in ShellServiceObjectDelayLoad (SSODL)
O22 = SharedTaskScheduler Autostart Einträge nur unter Windows NT/2000/XP
O23 = Dienste (nur unter Windows NT/2000/XP/2003/Vista), werden hier Windows Dienste angeführt, sind diese dringenst zu Überprüfen
O24 = ActiveX Desktop Components



| zurück zur Übersicht Auswertung| Übersicht HJT |

Zusätzliche Tool´s zum Entfernen von Schadsoftware
Diese zusätzlichen Hilfsmittel ( Cleaner-Tools ) habe ich auf meiner Security-Seite zusammengefasst. Hier finden Sie die

| Cleaner-Tools | Übersicht HJT |




 zurück zur Auswertung