HijackThis

In diesem Tutorial möchten wir Ihnen zeigen wie Sie mit diesem Tool eine Analyse des Systems zum Auffinden von Schädlingen durchführen, wenn auch in gewissen Grenzen. Dazu erstellt HijackThis ein Log-File welches sie dann online auswerten lassen können.

Wichtig ist, das Ihnen klar ist, dass HijackThis nicht festlegt welche Einträge böse oder gut sind, auch die Auswertung des Log-Files bietet nur einen Anhaltspunkt. Führen Sie bitte keine Änderungen durch wenn Sie sich nicht sicher sind!

[B]Was ist HijackThis?[/B] HijackThis wurde von Merjin Bellekom hergestellt allerdings wurde das Programm vor einiger Zeit an [URL=“http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php“]TrendMicro[/URL] verkauft.
Es ist Freeware und steht in 3 Varianten zur Verfügung [URL=“http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe“]Installer[/URL], [URL=“http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip“]ZIP-Archiv[/URL] und [URL=“http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe“]ausfühbare Datei[/URL] [B]Wofür benötige ich HijackThis?[/B] Es handelt sich dabei um ein kostenloses Programm von TrendMirco. Mit diesem Tool können sie den Computer auf Veränderungen durch Spyware, Malware oder anderen ungewollten Programmen untersuchen. Nach dem erfolgreichen Scan erstellt das Programm eine Log-File welches Sie dann Online untersuchen lassen können.

[B]Wir beginnen:[/B] Starten Sie HijackThis.exe. Beim ersten Start wird Ihnen der Lizenzvertrag angezeigt welche Sie mit klick auf „I Accept“ bestätigen.
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0000.png[/IMG]

Es erscheint die Hauptoberfläche mit dem Titel „Main Menu“ in dem Sie verschiedene Möglichkeiten haben.
Sie klicken nun mit der Maus auf „Do a system scan and save a logfile“.

Es wird nun sofort der Scan gestartet und nach Abschluss wird ein Log-File in Notepad geöffnet, diese wird auch unter „hijackthis.log“ gespeichert.
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0003.png[/IMG] [B]Was lesen Sie nun?[/B] Die Log-File ist in 3 Bereiche aufgeteilt:
blau: Hier werden Infos zum System angegeben
grün: Alle derzeit aktiven Prozesse (Programme/Dienste)
orange:

Oberer Bereich (grün): Systeminformationen – Patchstand
Mittlerer Bereich (blau): Aktuell laufende Prozesse
Unterer Bereich (rot): R0 bis O23 Einträge
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0004.png[/IMG] [B]Wofür stehen diese R0 bis O23 Einträge?[/B] R0, R1, R2, R3 – Internet Explorer Start.- Suchseiten
F0, F1 – Autostart-Programmeinträge in INI-Dateien
N1, N2, N3, N4 – Mozilla Start.-Suchseiten
O1 – Eingetragene Umleitungen in der Datei HOSTS
O2 – BHO-Programmerweiterungen des IE
O3 – Internet Explorer Werkzeugleiste
O4 – Autostartaufrufe aus der Registry
O5 – IE Optionen werden unter „Extras“ nicht angezeigt
O6 – Zugriff auf IE Optionen durch Administrator verhindert
O7 – Zugang auf Regedit durch Administrator verhindert
O8 – Extra Einträge im „Rechts-Klick-Menü“ des IE
O9 – Extra Buttons in der IE-Toolbar, oder zusätzliche Einträge im IE-Menü ‚Extras‘
O10 – Winsock Veränderungen
O11 – Zusätzliche Gruppe im IE-Fenster „Erweiterte Optionen“
O12 – IE Plugins (Programmerweiterungen des IE)
O13 – Veränderung der Standard Voreinstellungen des IE
O14 – Veränderungen unter „Webeinstellungen zurücksetzen“
O15 – Unerwünschte Seiten in „Vertrauenswürdige Seiten“
O16 – ActiveX-Objekte
O17 – Lop.com-Domain Veränderungen
O18 – Zusätzliche bzw. veränderte Protokolle
O19 – Veränderungen des „User Style Sheet“
O20 – AppInit_DLLs – Autostarteinträge in der Registry
O21 – ShellServiceObjectDelayLoad (SSODL) – Autostarteinträge in der Registry
O22 – SharedTaskScheduler – Autostarteinträge in der Registry
O23 – Windows NT Services – Dienste unter Windows NT

[B]Was mache ich nun mit der LogFile?[/B] Als ersten Rat: Die Log-File zu bearbeiten um persönliche Informationen unkenntlich zu machen, z.B. die Pfadangaben an die mit „c:\Dokumente und Einstellungen\“ beginne und dann ein Name kommt. Also z.B. „C:\Dokumente und Einstellungen\Max Mustermann\“
Machen Sie daraus einfach „C:\Dokumente und Einstellungen\XXXX\“

Rufen Sie nun diese [URL=“http://www.hijackthis.de/de“]Seite[/URL] auf und kopieren in das große Eingabefeld den Inhalt Ihrer LogFile und klicken anschliessend auf „Auswerten“
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0005.png[/IMG]

Sie erhalten nun eine recht Verständliche Übersicht und Erklärung zu Ihren Einträgen in der Log-File.

Außerdemkönnen Sie in diesen Datenbanken Prozesse nachschlagen: [URL=“http://www.sysinfo.org/startuplist.php“]hier[/URL], [URL=“http://filedb.hijackthis.eu/“]hier[/URL] oder [URL=“http://www.reger24.de/processes.php“]hier[/URL].

Ihre Auswertung der Logile ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden: Vor den genannten Einträgen einen Haken setzen und auf „Fix Checked“ klicken.
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0006.png[/IMG]

Dann bestätigen Sie das folgende Fenster mit „Ja“
[IMG]http://www.xtopic.de/tutorials/hijackthis/hijackthis_0007.png[/IMG]

Das war es.
Wichtig – ändern Sie nichts von dem Sie nicht wissen was es bewirkt!