Für
alle Link´s, Programme, Anleitungen und Inhalte dieser und
der verlinkten Seiten wird keine Haftung
übernommen, schützen sie sich vor Datenverlust, indem
sie vor einer Programm-Installation oder
Erstbenutzung für sie unbekannter Programme, ihre
persönlichen Daten auf einem Wechselmedium sichern.
Dies
ist eine
Unterseite von Speedyweb,
besuchen Sie doch auch meine Bildbeschreibung für AntiVirPE
und
meine Linksammlung Security-Tools
bzw. die Linksammlung von Mozilla,
einem alternativen Browser inkl. Mail, Chat, Adressen und HTML-Editor
Programm FREEWARE (ersetzt IE und Outlook), kann neben den
Microsoft-Produkten
installiert werden und übernimmt die Favoriten aus dem IE bzw.
Mail und Adressen aus Outlook (auch Express) ohne Datenverlust.
Immer wieder wird im Support-Forum von HijackThis.de, Rokop
Security, Trojaner-Info.de,
WinFuture,AVPE
oder Protecus.de
von umgeleiteten Startseiten beim Browser berichtet. Das
Entführen auf nicht gewünschte Internetseiten wird
als “Hijacking“ bezeichnet. So kann durch eine
Sicherheitslücke, die auch durch eine unsichere Einstellung im
Internet Explorer zustande gekommen ist, die Startseite
umgeleitet werden, ohne das du dich dagegen wehren
kannst.
Mit dem
Programm-Tool
“HijackThis“ können diese Hijacker
ausfindig
gemacht und
durch “FIXEN“ vom System
entfernen werden, sodass du wieder deine gewünschte
Startseite einstellen kannst.
Nach dem Entfernen dieser Schadsoftware solltest du
dein System sicherer
einstellen. Du kannst hier bei Heise,
oder bei Security-Check.ch
einen
Online-Browser bzw.
Systemcheck durchführen lassen, wobei für
dein System
Vorschläge zur
Absicherung gemacht werden.
Verwende zusätzlich ein Anti-Virenprogramm und eine
Firewall um Angriffe abzuwehren!
Auch solltest du unter Microsoft
Windows XP Home, XP Professional und Windows 2000 nicht
benötigte Dienste abschalten ( Info hier von HijackThis.de
bzw. siehe meine Security Tools Linkseite )
Für alle Windows-Versionen gilt: regelmäßig
ein Update
durchführen !
Achtung:
Beim
Löschen/Fixen der verschiedenen Einträge mit
HijackThis solltest du aber
sehr genau
hinsehen, den sonst
werden nicht
nur die Hijacker entfernt, sondern auch von
dir gewünschte Hilfsmittel (z.B. Altavista Toolbar)
usw.
Für das
Protokoll und der weiteren
Eliminierung
verschiedener Einträge gibt es
eine
deutsche Beschreibung. Wenn du nicht sicher bist, was gut oder
böse ist, beschreibe dein Problem
im einem Forum,
dann
wirst du aufgefordert, ein HJT -Logfile zu posten.
Ordner unter
Windows für HijackThis anlegen.
Gehe mit
dem Mauszeiger auf Start und drücke die rechte Maustaste,
wähle aus dem Menü den Explorer
aus. Das Startmenü-Fenster wird geöffnet,
wähle nun
den bevorzugten Speicherort und gehe hier auf
Datei, weiter auf Neu und nun auf Ordner, im rechten Fenster erscheint
nun ein neues Icon, hier gib den Namen für den neuen
Ordner
ein (z.B. HijackThis)
Meine bevorzugte Variante: C:\Programm\*Name*
Speichere HijackThis auf keinen Fall in ein temp. Verzeichnis !
Im Supportforum von www.hijackthis.de empfehle ich bis Windows XP Sp2
die alte Version von Merijn, ab Windows Vista sollte man aber auf
jedenfall die aktuelle Version von TrendMicro/Housecall verwenden.
Öffnen den Explorer und starte HijackThis durch
einen Doppelklick auf die *.exe Datei
Wenn die Windows Sicherheitswarnung erscheint,
drücke Ausführen
a) Bei der Erstausführung oder beim Scannen kann
es
zu
folgenden Problemen kommen
Fehlermeldung: DLL
C:\WINDOWS\System32\MSVBVM60.DLL ist keine gültige
Windows-Datei
Korrektur: Du benötigst die
VbRuntime Bibliotheken. Die entsprechenden Dateien können von hier oder von Microsoft heruntergeladen werden:
Dann einfach in C:\Windows\System32 entpacken.
b) Lässt sich bedingt durch eine
aktive Malware die HijackThis.exe nicht starten, bitte einfach
letztgenannte z.B. in pruefung.com umbenennen und dann
ausführen.
Wichtig hierbei: Die Dateiendung "exe" muss
durch
"com" ersetzt werden! Info von klaffke.de
c) Das Scannergebnis sieht nicht komplett aus: wenn du die
HijackThis.exe von hier heruntergeladen, und den Dateinamen nicht
geändert hast, sollte das nicht passieren, ansonsten die Datei
z.B. in 1_99_1.exe umbenennen.
1) System scannen und
ein Logfile
speichern, dies geht in
einem Arbeitsgang
2) Das System nur scannen
3) Welche Backups sind vorhanden
4) Auswahl der Misc-Tools
5) Erklärung des Schnellstarts von TomCoyote
6) Starte das Programm
Wenn sie (6) None of the
above, just start
the program gewählt
haben, wird dieses fenster geöffnet.
Drücke auf den Button Scan,
die Einträge werden nun
(ohne aktive Prozesse) aufgelistet und
aus dem Button
Scan, wird Savelog
Drücke nun diesen
Button und ein Explorer Fenster wird geöffnet.
Speichere nun das Logfile mit dem vorgeschlagenem Dateinamen in den
vorgeschlagenen Ordner.
Der Inhalt wird nun als Text in diesem Editor-Fenster
ausgegeben
Die Kollegen im Support-Forum
überprüfen nun das Logfile und qualifizieren nun
anhand
jahrelanger Erfahrung, welche Einträge gut sind
und welche schlecht bzw. welche entfernt werden
müssen (sollten).
Befolge bitte die Ratschläge der Kollegen
sehr
genau. Die Durchführung dieser
Tipps aus dem Forum erfolgt auf eigene Gefahr ! Es
können zusätzlich
Programme benötigt
werden, z.B.
Spybot S&D --> Hilfsmittel
Füge die Daten aus der Zwischenablage in
die
Textbox von HijackThis
(rot) ein,
oder wähle den Button (blau) Durchsuchen und navigiere zur
Datei C:\Programme\HijackThis\1_99_1.exe.
Achtung: Besucherauswertung nicht deaktivieren !
Diesen Service darf ich auch hier anbieten, sodass du
nicht
laufend die Seiten wechseln musst.
Der Code
dazu wurde mir von Mathias Mattner zur Verfügung gestellt.
drücke nun den Button AUSWERTUNG,
nach kurzer Zeit
wird unterhalb der Text-Eingabebox die Auswertung des Logfiles
angezeigt.
Folgende Erst - Informationen werden dir dadurch
zugänglich
Ist deine HijackThis - Version aktuell
Ist dein Betriebssystem aktuell
Verwendest du ein Antivirenprogramm, oder ist es inaktiv
Verwendest du eine Personalfirewall, oder wurde sie deaktiviert
Befinden sich "böse" Prozesse auf deinem System
Weiter Informationen über die Logdaten werden
unterschieden in
Gut (bekannte
Prozesse)
Unbekannt (der Prozess ist in der
HijackThis-Datenbank nicht gelistet)
Eventuell
Böse (es gibt noch zu wenig Daten zu diesem
Prozess)
Böse ( hier sollten die Anweisungen in der
rechten Spalte befolgt werden)
Am unteren Ende der Tabellen-Auswertung steht Speichern,
Du kannst also dieses ausgewertete Logfile
am HijackThis-Server für 3 Tage ablegen. Wenn du speichern
drückst, siehst du in der Browsereingabezeile eine
neue URL,
diese solltest du kopieren.
Das am Server gespeicherte Logfile sieht nun so aus
Beurteilung von Einträgen im
ausgewerteten HijackThis-Logfile
a) du kannst die Einträge im HijackThis
Logfile bewerten als
1 extrem schädlich
2 schädlich
3 neutral
4 sicher
5 sehr sicher
dazu musst du nur auf die Sterne im ausgewerteten Logfile klicken
ein neues Fenster wird geöffnet, indem du deine Bewertung zu
genau jener Datei oder jenem Eintrag machen kannst, wo du die
Sterne angeklickt hast. Schließe diesen Vorgang mit dem
Drücken des Button Eintragen ab.
b) du klickst auf den Button Kontakt,
am Ende eines ausgewerteten HijackThis Logfile und kannst die Daten
direkt an Mathias Mattner senden.
Folgende Daten solltest du übermitteln, siehe Screenshort,
wenn du alles eingetragen hast, drücke den Button Senden!
Was bedeute Fixen ? (und wieder zurück)
Mit fixen ist das Entfernen verschiedener
Einträge gemeint. Dazu startest du das Programm erneut,
drückst auf
scan
(2) und bekommst wieder folgendes Bild zu
sehen.
Wähle nun die entsprechenden
Einträge aus und
drücken "Fix checked"
Nun kommt noch eine Dialogbox, ob du auch wirklich sicher bist, diesen
oder diese Einträge zu entfernen.
Bestätige dies mit JA
Achtung:
wenn du HijackThis nicht aus einem eigenen Ordner
ausführen,
so
wird kein Backup - Ordner angelegt. Sollte einmal etwas zuviel gefixt
worden sein, so kann man nur dann, wenn es ein Backup gibt,
den Eintrag wieder
zurückspielen
Wenn du
unter "Fixen"
Einträge gelöscht hast, die du aber
wieder gerne hättest, oder diese endgültig von
deinem System löschen willst, dann
starte Hijackthis,
wählen entweder direkt "View the list of backups (3),
oder Misc Tools (4), und
hier backups, oder zuerst (1, 2 oder 6) und dann den Button
Config, wo du nun ebenfalls Backups auswählen kannst
durch markieren des Eintrages kannst du
mit Restore den Löschvorgang unter Fixen
rückgängig
machen
mit Delete diesen Eintrag endgültig
löschen, oder
mit Delete all alle Einträge unwiderruflich
löschen.
Viele
Viren
greifen zu Tricks, um das Aufspüren und Entfernen des
Schädlings zu verhindern. Für eine
zuverlässige
Reinigung sollte das
System zumindest im abgesicherten Modus gestartet werden. Der
abgesicherte Modus ist
eine Startart von Microsoft Windows, bei dem nur jene Dienste und
Prozesse
geladen werden, die für den minimalen Betrieb von Windows
notwendig sind. Damit hat HijackThis einen Zugriff auf
Dateien und
Systembereiche, die normalerweise vom Betriebssystem geschützt
werden.
Bei jedem
Betriebssystem
kommt man unterschiedlich in den abgesicherten Modus, das Bundesamt
für
Sicherheit in der Informationstechnik liefert dazu eine sehr gute
Beschreibung.
Wenn du eine Datenzeile nicht
überprüfen lassen
willst,
welche Gründe du dafür auch immer hast,
starte HijackThis, wähle nur scannen (2), aktivere
jene Datenzeile, die du nicht
mehr
überprüfen willst, drücke den Button Add
checked to
ignorelist,
eine neues
Dialogfenster wird geöffnet,
Bestätigen mit JA, und diese Datenzeile
wird der
Ignoreliste zugeführt
willst du nun diese Datei, oder alle Dateien von
deiner Liste wieder in das nächste Logfile aufnehmen,
aktivieren die Einträge und drücke den
Button Delete
oder Delete
all.
Bestätige mit JA, dann wird ein Windows -
Editor
Fenster
geöffnet. Die StartupLog-Liste wird, je nachdem, was
du noch
aktiviert hast (list also minor section [full] oder list
empty sections [complete])
angelegt.
Wähle unter Misc Tools den
Button Open
prozess manager
hier kannst du einen Prozess beenden mit
Kill prozess,
einen Prozess auffrischen mit Refresh, einen Prozess Starten mit Run
oder wieder zu Misc Tool´s zurückkehren mit Back.
Das Logfile wird gespeichert unter
C:\Programme\Hijackthis\processlist.txt indem du auf die
kleine Disc klickst.
Wenn du wissen willst, welche *.dll Dateien von einer *.exe
Datei verwendet wird, aktiviere zusätzlich das
Kästchen ShowDll. Gespeichert wird das Logfile als
C:\Programme\Hijackthis\processlist.txt
Wähle unter Misc Tools den Button Open hosts file manager.
hier kannst du mit
Delete line(s) eine Zeile löschen
Toggle line(s) umschalten #
Open in Notepad das File in einem Windows-Notepad-Fenster
öffnen
Back zurück zur Misc-Tool´s -Übersicht
gelangen
P.S. die Hosts Datei wird unter Windows xp im Ordner C:\WINDOWS\system32\drivers\etc\hosts
abgelegt
Wähle unter Misc
Tools den Button Delete a file on reboot
Viele Dateien werden von Windows im Betrieb geschützt, sie
lassen sich mit dem Explorer nicht vom System entfernen. Wenn du diesen
Button drücken, wird ein Windows-Such Fenster
geöffnet, suche die zu löschende Datei,
wähle öffnen,
eine Dialogbox wird geöffnet
Die
Änderungen werden erst nach einem
Windows-Neustart
wirksam, soll Windows neugestartet werden ?
Wenn du den Button JA drückst, wird der Rechner neu
gestartet
und
die Datei gelöscht.
Du kannst natürlich auch Nein drücken und weitere
Dateien zum Löschen beim nächsten Systemstart
auswählen.
Wähle unter Misc Tools den Button Delete an
NT service ...
Ein neues Eingabefeld wird geöffnet , hier musst du
den genauen Dienstnamen eintragen, dann wird dieser Dienst, deaktiviert
und im Anschluss gelöscht.
Achtung: der Dienst wird ohne Backup gekillt !
Wähle den Button Open
ADS Spy, du kannst nun folgende
Aktionen aktivieren
Quick scan
Ignore safe system info streams
Calculate MD5 checksum of streams
Du kannst das Logfile speichern, vom System
vorgeschlagen C:\Programme\HijackThis\adsspy.txt
wenn du einen Eintrag nach dem Scannen aktivierst und Remove
selected drückst, wird der ADS vom System unwiderruflich
gelöscht !
Wähle unter Misc Tools den Button Open Uninstall
Manager
Du kanns die Liste als
Logfile Speichern mit Save List, vorgeschlagener Ort
C:\Programme\HijackThis\uninstall_list.txt
Wenn du den Button Open Add/Remove Software List, öffnest du
Programmzugriff und Standards (unter Windows so zu erreichen ->
linke Maustaste auf Start -> Programmzugriff und
Standards -> Softwareliste)
Über den Button Edit uninstall command kann man die
Uninstaller verändern
mit OK, kann man die Änderung speichern
Mit einem weiterer Button, Delete this entry, kann
man einen Eintrag aus der Softwareliste löschen, der aus
irgend einem Grund beim Deinstallieren nicht gelöscht wurde.
Wie immer kommt auch hier eine Dialogbox
Bei den Misc Tools kann man noch
Calculate MD5 of files if possible
aktivieren, dies hat zur Folge, das die Einträge im Logfile
ohne MD5 so aussahen
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
und nun mit MD5, neben der Filegröße
eben die HASH (Prüfsumme
von MD5) aufweist.
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll (filesize
63128 bytes, MD5
F17B2B264072B921FC66A0BE16626BAB)
und Include environment variables in logfile, was wiederum
folgende Auswirkung im Logfile erzeugt
ohne
Logfile of HijackThis v1.99.1
Scan saved at 23:52:05, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
aktiviert
Logfile of HijackThis v1.99.1
Scan saved at 22:24:45, on 20.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Windows folder:
C:\WINDOWS System folder:
C:\WINDOWS\system32 Hosts file:
C:\WINDOWS\System32\drivers\etc\hosts
Button Check for update online
Wenn du diesen Button drückst, wird von
HijackThis
nach
einer neueren Version gesucht, und sollte es eine neuere Version geben,
ein update durchgeführt. Leider ist die Herstellerseite von
HijackThis nicht immer zu erreichen,
sodass meist keine Verbindung zustande kommt.
Deinstallation von HijackThis, was könnte das sein ?
Startet man HijackThis aus Windows heraus, so sind wir hier am Ende
angelangt, man kann aber auch anders
Unter Windows -> Start -> alle Programme ->
Zubehör -> Eingabeaufforderung, oder
kürzer
Mit der linken Maustaste auf Start -> wähle
Ausführen,
gib in der Eingabeaufforderung cmd ein
und drücke [Enter]
Nun wird eine DOS - Box geöffnet, gib hier folgendes ein
C:\Programme\HijackThis\1_99_1.exe /ihatewhitelists
und drücke [Enter]. (den Pfad zur *exe musst du an
dein System anpassen)
Nun wird das Programm HijackThis gestartet, wähle 1,2 oder 6
Was nun kommt, sieht zuerst aus, als würde ein ganz normales
HijackThis-Logfile erzeugt werden, aber bei genauerer Kontrolle sieht
man hier etwas mehr, und zwar werden zusätzlich die folgenden
Einträge ins Logfile aufgenommen.
a) 01 die Hosts Datei
b) 10 die Winsocks Einträge
c) 18 Protokolle
d) 21 Registry-Einträge
in ShellServiceObjectDelayLoad
e) 23 auch die Microsoft - Windows - Dienste !
Zusätzliche
Tool´s zum Entfernen von Schadsoftware
Diese zusätzlichen
Hilfsmittel ( Cleaner-Tools
) habe ich
auf meiner Security-Seite
zusammengefasst. Hier finden Sie die
Cleanertools
Online-Virenscanner
AntiViren-Software Freeware
Firewalls
Adaware und Spybot
usw.
Ab sofort bietet HijackThis.de
die Möglichkeit eine Datei auf Viren,
Würmer, Trojaner, Dialer oder Malware zu untersuchen. Dazu
werden 3
verschiedene, eigenständige Antivirenscanner benutzt. Das
Ergebnis wird dir direkt auf dem Bildschirm ausgegeben.
Rokop-Security -, Trojaner-Info-, Protecus.de, AVAST oder WinFuture-
Forum
Die automatische Auswertung ist eine große Hilfe, aber es
entbindet die Helfer nicht, einen direkten Blick auf das Logfile zu
werfen, daher das Logfile, so wie es ist, im jeweiligen Forum roh
posten. Du kannst den Link zum gespeicherten Logfile natürlich
auch posten.