HijackThis

Dieses Thema im Forum "Sicherheit" wurde erstellt von Admin, 11 Juni 2008.

  1. Admin

    Admin Active Member

    In diesem Tutorial möchten wir Ihnen zeigen wie Sie mit diesem Tool eine Analyse des Systems zum Auffinden von Schädlingen durchführen, wenn auch in gewissen Grenzen. Dazu erstellt HijackThis ein Log-File welches sie dann online auswerten lassen können.

    Wichtig ist, das Ihnen klar ist, dass HijackThis nicht festlegt welche Einträge böse oder gut sind, auch die Auswertung des Log-Files bietet nur einen Anhaltspunkt. Führen Sie bitte keine Änderungen durch wenn Sie sich nicht sicher sind!


    Was ist HijackThis?
    HijackThis wurde von Merjin Bellekom hergestellt allerdings wurde das Programm vor einiger Zeit an TrendMicro verkauft.
    Es ist Freeware und steht in 3 Varianten zur Verfügung Installer, ZIP-Archiv und ausfühbare Datei

    Wofür benötige ich HijackThis?
    Es handelt sich dabei um ein kostenloses Programm von TrendMirco. Mit diesem Tool können sie den Computer auf Veränderungen durch Spyware, Malware oder anderen ungewollten Programmen untersuchen. Nach dem erfolgreichen Scan erstellt das Programm eine Log-File welches Sie dann Online untersuchen lassen können.


    Wir beginnen:
    Starten Sie HijackThis.exe. Beim ersten Start wird Ihnen der Lizenzvertrag angezeigt welche Sie mit klick auf "I Accept" bestätigen.
    [​IMG]


    Es erscheint die Hauptoberfläche mit dem Titel "Main Menu" in dem Sie verschiedene Möglichkeiten haben.
    Sie klicken nun mit der Maus auf "Do a system scan and save a logfile".

    Es wird nun sofort der Scan gestartet und nach Abschluss wird ein Log-File in Notepad geöffnet, diese wird auch unter "hijackthis.log" gespeichert.
    [​IMG]

    Was lesen Sie nun?
    Die Log-File ist in 3 Bereiche aufgeteilt:
    blau: Hier werden Infos zum System angegeben
    grün: Alle derzeit aktiven Prozesse (Programme/Dienste)
    orange:


    Oberer Bereich (grün): Systeminformationen - Patchstand
    Mittlerer Bereich (blau): Aktuell laufende Prozesse
    Unterer Bereich (rot): R0 bis O23 Einträge
    [​IMG]


    Wofür stehen diese R0 bis O23 Einträge?
    R0, R1, R2, R3 - Internet Explorer Start.- Suchseiten
    F0, F1 - Autostart-Programmeinträge in INI-Dateien
    N1, N2, N3, N4 - Mozilla Start.-Suchseiten
    O1 - Eingetragene Umleitungen in der Datei HOSTS
    O2 - BHO-Programmerweiterungen des IE
    O3 - Internet Explorer Werkzeugleiste
    O4 - Autostartaufrufe aus der Registry
    O5 - IE Optionen werden unter "Extras" nicht angezeigt
    O6 - Zugriff auf IE Optionen durch Administrator verhindert
    O7 - Zugang auf Regedit durch Administrator verhindert
    O8 - Extra Einträge im "Rechts-Klick-Menü" des IE
    O9 - Extra Buttons in der IE-Toolbar, oder zusätzliche Einträge im IE-Menü 'Extras'
    O10 - Winsock Veränderungen
    O11 - Zusätzliche Gruppe im IE-Fenster "Erweiterte Optionen"
    O12 - IE Plugins (Programmerweiterungen des IE)
    O13 - Veränderung der Standard Voreinstellungen des IE
    O14 - Veränderungen unter "Webeinstellungen zurücksetzen"
    O15 - Unerwünschte Seiten in "Vertrauenswürdige Seiten"
    O16 - ActiveX-Objekte
    O17 - Lop.com-Domain Veränderungen
    O18 - Zusätzliche bzw. veränderte Protokolle
    O19 - Veränderungen des "User Style Sheet"
    O20 - AppInit_DLLs - Autostarteinträge in der Registry
    O21 - ShellServiceObjectDelayLoad (SSODL) - Autostarteinträge in der Registry
    O22 - SharedTaskScheduler - Autostarteinträge in der Registry
    O23 - Windows NT Services - Dienste unter Windows NT


    Was mache ich nun mit der LogFile?
    Als ersten Rat: Die Log-File zu bearbeiten um persönliche Informationen unkenntlich zu machen, z.B. die Pfadangaben an die mit "c:\Dokumente und Einstellungen\" beginne und dann ein Name kommt. Also z.B. "C:\Dokumente und Einstellungen\Max Mustermann\"
    Machen Sie daraus einfach "C:\Dokumente und Einstellungen\XXXX\"

    Rufen Sie nun diese Seite auf und kopieren in das große Eingabefeld den Inhalt Ihrer LogFile und klicken anschliessend auf "Auswerten"
    [​IMG]


    Sie erhalten nun eine recht Verständliche Übersicht und Erklärung zu Ihren Einträgen in der Log-File.

    Außerdemkönnen Sie in diesen Datenbanken Prozesse nachschlagen: hier, hier oder hier.

    Ihre Auswertung der Logile ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden: Vor den genannten Einträgen einen Haken setzen und auf "Fix Checked" klicken.
    [​IMG]


    Dann bestätigen Sie das folgende Fenster mit "Ja"
    [​IMG]

    Das war es.
    Wichtig - ändern Sie nichts von dem Sie nicht wissen was es bewirkt!

Diese Seite empfehlen