Have a problem and would like to ask us for help? To learn how to ask your question Click Here! Do you have popups or other malware infecting your computer? If so, Start Here! Are you having trouble using this site? Then you should visit the New User Orientation Center!
Wie HijackThis genutzt wird um Browser Hijacker +
Spyware zu entfernen
Dieser Artikel wurde von Yourhighness aus dem Englischen ins Deutsche übersetzt.
Original Deutsche Übersetzung hier: http://www.mytidbits.de/hijackthis.html DOWNLOAD HIJACKTHIS:
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program -- Save-- Savelog es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen (in deinen Thread im Forum)
HijackThis sollte nur benutzt werden wenn Ihr Browser oder Computer immer noch
Probleme aufweist, nach dem Sie Spybot oder andere Spyware/Hijack entferner laufen
hatten. HijackThis ist ein Programm für Fortgeschrittene und benötigt daher ein
erweitertes Wissen über Windows und Operations Systeme im generellen. Wenn Sie
aufgelistete Elemente löschen, ohne zu wissen was Sie sind, können andere Probleme
wie nicht funktionierender Internetzugang, oder ein nicht mehr arbeitendendes
Operations System die folge sein. Daher sollten Sie jegliche andere Möglichkeiten
ausprobieren bevor Sie HijackThis nutzen. Sollten Sie HijackThis erlauben Elemente
zu entfernen bevor ein anderes Programm Ihr System überprüft hat, werden die Dateien
der Hijacker/Spyware immer noch auf Ihrem Computer verbleiben und zukünftige
Entfernungstools werden nicht mehr in der Lage sein, sie zu finden.
Sollten Sie nicht über das nötige Fachwissen verfügen, so sollten Sie KEINE der
Einträge mit HijackThis reparieren, ohne vorher mit einem Experten über die Nutzung
dieses Programmes zu sprechen. Haben Sie schon Spybot und Ad-Aware laufen
lassen und haben immer noch Probleme, dann fahren Sie bitte mit diesem Tutorial
fort und posten Sie die Log-Datei in unserem Forum. Geben Sie bitte in Ihrem Post
auch Details zu Ihrem Problem an. Wir werden Ihnen dann mitteilen welche Einträge
Sie reparieren / fixen sollen.
HijackThis ist ein Hilfsprogramm welches eine Auflistung gewisser Einstellungen Ihres
Computers erstellt. HijackThis wid Ihre Registrierung und verschiedene andere Dateien
auf Einträge scannen, welche denen ähneln die Spyware oder Hijackerprogramme hinterlassen
würden. Diese Resultate zu interpretieren kann kniffelig sein und es gibt viele legitime
Programme die auf Ihrem Computer auf ähnliche Weise installliert sind, wie Hijacker
installiert werden.
Daher müssen Sie sehr vorsichtig sein wenn Sie
mit HijackThis arbeiten. Ich kann nicht genug darauf hinweisen, wie wichtig es ist,
der obigen Warnung zu folgen.
Es gibt im Internet im Moment verschiedene Interpretationen von HijackThis. Hier
werden nun die einzelnen Sektionen auf eine Art und Weise so erklärt, dass ein Laie
sie verstehen kann.
Diese Anleitung wird auf die Nutzung von HijackThis und den einzelnen Sektionen im
Detail eingehen und erklären was die einzelnen Sektionen bedeuten.
Es gibt keinen Grund, warum Sie nicht verstehen sollten, wenn die anderen Personen
die Log-Datei durchsehen und Ihnen sagen was Sie mit diesem Programm reparieren sollen.
Nach dem wir das geklärt haben, lassen Sie uns mit der Anleitung über die Nutzung von
HijackThis fortfahren. Wenn Sie die normale Grösse der Screenshots sehen wollen, klicken
Sie einfach auf diese. Denken Sie jedoch daran, das sich ein neues Fenster öffnen wird
und das bei der Nutzung von Popup-Blockern die Fenster eventuell nicht öffnen.
Der erste Schritt ist das Herunterladen von HijackThis. Das Programm wird nicht
installiert und Sie müssen daher wissen wo Sie es installiert haben um es in der
Zukunft auch wieder nutzen zu können.
Sie können HijackThis ( v1.99.0 ) hier herunterladen:
Download Link
Erstellen Sie einen Ordner in dem Sie HijackThis gerne speichern würden. Es ist
wichtig das Sie HijackThis in einem eigenen Ordner speichern, da dieser Ordner
für Sicherungen genutzt werden wird. Sollten Sie es aus einer gepackten Datei laufen
lassen, wie einer ZIP Datei, so werden die Sicherungen nicht erstellt.
Sobald Sie die Datei heruntergeladen haben, navigieren Sie mit dem Windows Explorer
zu der von Ihnen gewählten Position des Programmes und doppel-klicken Sie das Symbol
für die HijackThis.exe. Wenn Sie HijackThis das erste Mal starten erscheint ein Bild
ähnlich dem folgenden:
HijackThis Startbildschirm bei Erststart
HijackThis Startbildschirm bei Erststart
Wir schlagen Ihnen vor ein Häckchen bei 'Don't show this frame again when I start
HijackThis' zu setzen, da die meisten Anweisungen die Ihnen erteilt werden nicht
auf diesen Schirm zutreffen.
Nach dem Sie das Häckchen gesetzt haben, klicken Sie auf 'None of the above,
just start the program Button, gekennzeichnet durch die rote Box in der obigen
Grafik. Sie werden dann zu dem Hauptschirm von HijackThis geführt, wie in Figur 1
siehe unten.
Figure 1. Startschirm von HijackThis
Figure 1. Startschirm von HijackThis
Figure 2. HijackThis Konfigurations Optionen
Sie sollten zuerst auf den 'Config' Button klicken, welche durch die
Blaue Box in Figur 1 gekennzeichnet ist und stellen Sie sicher das Ihre
Einstellungen mit denen aus Figur 2 s. u. übereinstimmen. Die Optionen
die ausgewählt werden sollten sind durch die rote Box gekennzeichnet.
Wenn Sie diese Einstellungen vorgenommen haben, klicken Sie auf "Back"
und fahren Sie mit der HijackThis Anleitung fort.
Figure 2. HijackThis Konfigurations Optionen
Figure 3. Scan Resultate
Um mit HijackThis Ihren Computer nach eventuellen Hijackern zu durchsuchen,
klicken Sie nun auf den "Scan" Button, gekennzeichen durch die rote
Box in Figur 1. Sie werden dann mit einem Schirm konfrontiert der eine Liste
von dem Programm gefundenen Einträgen vorweist. Wie in Figur 3 illustriert.
Zu diesem Zeitpunkt haben Sie eine Auflistung von Einträgen, welche durch HijackThis
gefunden wurden. Sollte das was Sie sehen verwirrend und einschüchternd wirkken,
klicken Sie auf den Log speichern Button, durch die rote Box gekennzeichnet
und speichern Sie die Log-Datei auf Ihrem Computer wo Sie sie leicht wiederfinden.
Figure 3. Scan Resultate
Klicken Sie Save Log
Im Prinzip wird sich nun automatisch der Editor öffnen und Sie können den Inhalt
ins Forum kopieren.
Möglichkeit 1:
Mit der rechten Maustaste ueber den Text fahren, bis alles markiert ist
--> kopieren --> dann im Forum--> Einfügen klicken
Möglichkeit 2:
Klicken Sie auf 'Bearbeiten' und auf 'alles Auswählen.' Nun sollte der ganze
Text markiert sein.
Klicken Sie auf 'Bearbeiten' und dann auf 'kopieren.' was den gesamten Text in
die Zwischenablage speichert.
Gehen Sie in das Forum und erstellen Sie eine neue Nachricht
Im Forum: Geben Sie der Nachricht den Titel: 'HijackThis Log: Bitte helft
mir es zu prüfen'
Im Forum: Rechts-klicken Sie auf die 'Einfügen' Option. Der vorher selektierte
Text sollte nun in dem Nachrichtenfenster erscheinen.
Im Forum: Klicken Sie auf 'Absenden.'
Figure 4. Objekt Information
Sollten Sie Informationen zu den einzelnen Einträgen sehen wollen, so können Sie
auf den Eintrag klicken und 'Info on selected Item' anklicken. Dies bringt
einen ähnlichen Bildschirm wie in Figur 4 zu sehen ist.
Figure 4. Objekt Information
Figure 5. Wählen Sie einen Eintrag um Ihn zu entfernen
Wenn Sie damit fertig sind sich die Informationen der verschiedenen Einträge
anzusehen und Sie das Gefühl haben, sich genug auszukennen, um fortzufahren,
(oder Sie folgen den Anweisungen von Ratgebern aus dem Forum) ,dann gehen Sie
durch die Liste und setzen Sie ein Häckchen in die Checkbox vor alle Einträge
die Sie gerne entfernen würden, wie in Figur 5 zu sehen ist.
Hinweis: Die gefixten Einträge werden nicht
etwa gelöscht, sondern kommen nach Neustart lediglich aus dem Systemstart
(siehe: Start--> Ausfuehren--> msconfig)
Der Sinn dieses Vorgangs ist es, dass nach dem Entfernen des jeweiligen
Eintrages nun das Löschen (manuell oder mit Virenscanner) oder Deinstallieren
möglich ist.
Am Ende dieses Dokumentes haben wir ein paar fundamentale Infos beigefügt um
die Informationen dieser Log-Dateien zu interpretieren. Diese Informationen
sind aber keines Falls ausreichend, um alle Entscheidungen abzudecken, aber sollte
Ihnen helfen, zu entscheiden was legitim ist und was nicht.
Figure 5 (Check-Box)
Sobald Sie alle Einträge ausgewählt haben die Sie entfernen möchten, klicken Sie
auf den Button 'Fix checked' gekennzeichnet durch die blaue Box in
Figur 5. HijackThis wird Sie dann auffordern zu bestätigen das Sie die Einträge
entfernen möchten. Klicken Sie auf 'Ja' oder 'Nein,' wie auch immer Ihre Entscheidung ist.
Nach dem "Fixen" wird der PC neustarten und wenn man un ueberprueft, muesste
der gefixte Eintrag nicht mehr im HijackThis-Log sichtbar sein
Figure 6. BackUps / Wiederherstellung eines versehentlich entfernten Eintrages
HijackThis kommt mit ein Datensicherheits- und wiederherstellungsvorgang für den
Fall, dass Sie versehentlich einen legitimen Eintrag entfernt haben. Wenn Sie
HijackThis so konfiguriert haben wie in dieser Anleitung erwähnt, dann sollten
Sie in der Lage sein die zuvor gelöschten Einträge wiederherzustellen. Sollten
Sie Ihr HijackThis Programm aus dem temporären Verzeichnis laufen lassen, so
wird der Wiederherstellungsvorgang nicht funktionieren.
Wenn die Konfiguration 'Make backups before fixing' mit einem Häckchen
versehen ist, dann wird HijackThis eine Datensicherung aller reparierten Einträge
in einem Verzeichnis namens 'Backup' vornehmen. Das Backup Verzeichnis befindet
sich in dem selben Verzeichnis in dem HijackThis residiert.
Wenn Sie HijackThis starten und auf 'Config' klicken und danach auf den 'Backups'
Button klicken, sollten Sie einen Shirm ähnlich Figur 6 sehen. Sie werden
eine Liste der vorher reparierten Einträge sehen und eine Option haben, diese
wieder herzustelllen. Sobald Sie einen der Einträge widerhergestellt haben und
erneut scannen, so wird der Eintrag wieder in der Liste erscheinen.
Sobald Sie diese wiederhergestellt haben, können Sie das Programm schliessen.
Funktion: Wie Sie eine Autostart Aufstellung erstellen
Ab und zu, wenn Sie die Log-Datei im Forum posten und um Hilfe bitten, werden
Sie vielleicht von den Helfern geben eine Autostart Aufstellung aller Programme
zu erstellen. HijackThis hat ein eingebautes Hilfsprogramm, welches Ihnen erlaubt
dies zu tun.
Um dies zu tun, gehen Sie beim Start von HijackThis in die Konfigurations
Optionen, dargestellt durch die blaue Box in Figur 7 , und klicken Sie
dann auf 'Misc Tools' (oben mittig).
Figure 7. hijackthis-misc
Klicken Sie nun auf die Button 'Generate StartupList Log',
gekennzeichnet durch die rote Box in Figur 7. Sobald Sie diese Button
angeklickt haben, wird das Programm automatisch das Programm Editor mit dem Text
öffnen.
oder mit :(Strg+C) und fügen Sie (Strg+V) diese Einträge (durch Strg+A) -->
ins Forum und klicken Sie auf 'Absenden.'
Hoffentlich wurde Ihr Computer entweder durch Ihr Wissen oder der Hilfe anderer,
bereinigt. Sollten Sie noch mehr über die Bedeutung der einzelnen Sektionen
lernen wollen und mehr Details darüber erfahren wollen, dann fahren Sie mit
dieser Anleitung fort.
HijackThis hat einen integrierten Prozess Manager, der zum Beenden von Programmen
genutzt werden kann, sowie dazu genutzt werden kann um zu sehen welche DLL Dateien
in diesem Prozess geladen werden. Um den Prozess Manager zu nutzen, klicken Sie
auf den Config Button und danach auf den Misc Tools Button. Sie
sollten nun einen Schirm sehen mit dem Button Open Process Manager. Wenn
Sie auf diesen klicken werden Sie einen neuen Schirm sehen, der Figur 8 ähnelt.
Figure 8. HijackThis Process Manager
Dieses Fenster wird alle auf Ihrem System laufenden offenen Prozesse auflisten.
Sie können dann auf die einzelnen Prozesse klicken um Sie auszuwählen und auf
Task beenden klicken, welche durch die rote Box in Figur 8 gekennzeichnet
ist. Durch Task beenden wird versucht den auf Ihrem System laufenden
Prozess zu beenden.
Wenn Sie mehrere Prozesse gleichzeitig beenden wollen, so halten Sie die
Strg-Taste auf Ihrer Tastatur gedrückt und wählen Sie die zu beendenden
Prozesse durch einfaches anklicken aus. Solange Sie Strg gedrückt halten,
können Sie mehrfache Prozesse auswählen. Haben Sie alle gewünschten Prozesse
ausgewählt, so klicken Sie nun auf Task beenden.
Wenn Sie sehen möchten welche DLL Dateien in einem ausgewählten Prozess geladen
werden, so können Sie ein Häckchen bei Show DLLs setzen. Gekennzeichnet
durch die blaue Box in der obigen Figur. Dies wird den Prozess Schirm in zwei
Sektionen teilen. Die erste Sektion wird die laufenden Prozesse wie zuvor
auflisten, nur dass Sie nun durch anklicken eines Prozesses in der unteren
Sektion DLL Dateien aufgelistet bekommen, welche durch diesen bestimmten
Prozess geladen wurden.
Um aus dem Prozess Manager zu gelangen müssen Sie zwei mal auf die Back
Button klicken, so dass Sie dann wieder in das Hauptmenü gelangen.
HijackThis besitzt ausserdem noch einen einen einfachen Host-Datei Manager. Mit
diesem Manager können Sie Ihre Host-Dateien ansehen und einzelne Zeilen aus
diesen Dateien löschen, oder Zeilen an oder aus schalten. Sie sollten config
anklicken und dann Misc Tools anklicken. Jetzt sollten Sie einen Schirm
sehen auf dem der Button Host file manager zu finden ist. Wenn Sie nun
diesen anklicken, werden Sie einen Schirm sehen, der der Figur 9 ähnelt.
Figure 9: Host-Datei-Manager
Diese Fenster wird den Inhalt der Host-Dateien auflisten. Um eine Zeile in Ihrer
Host-Datei zu löschen, würden Sie auf eine Zeile klicken wie durch die blaue Box
in Figur 9 illustriert wird. Dies wird die Zeile an Text selektieren. Dann können
Sie entweder die Zeile durch anklicken des Delete Line(s) Buttons löschen,
oder diese Zeile 'an' oder 'aus' schalten, durch anklicken des
Toggle line(s) Buttons. Es ist möglich mehrere Zeilen gleichzeitig durch
gedrückt halten der Shift und Strg-Tasten zu selektieren. Alternativ
können Sie auch mit Ihrer Maus über mehrere Zeilen ziehen, an denen Sie Veränderungen
vornehmen wollen.
Wenn Sie die Zeilen löschen, werden diese aus Ihrer HOST-Datei gelöscht. Wenn
Sie die Zeilen 'an/aus' schalten, so wird HijackThis ein '#' vor
die Zeile setzen. Dies wird die Zeile auskommentieren, so das sie nicht von
Windows benutzt wird. Wenn Sie sich nicht sicher sind was Sie tun sollen, dann
ist es immer sicherer Zeilen 'an/aus' zu schalten, so das dass '#'
Zeichen vor der Zeile erscheint.
Um den Host-Datei-Manager zu verlassen, müssen Sie zwei Mal auf back
klicken um auf den Hauptschirm zurück zu kommen.
Manchmal finden Sie vielleicht Dateien die sich hartnäckig dagegen währen, auf
konventionellen wegen löschen zu lassen. HijackThis hat in Version 1.98.2 eine
Methode eingeführt, mit der Windows die Datei bei einem Neustart löscht bevor
diese eine Chance hat sich zu laden. Um dies tun zu können, müssen Sie folgende
Schritte befolgen:
Starten Sie HijackThis
Klicken Sie auf Config
Klicken Sie auf Misc Tools
Klicken Sie auf die Button Delete a file on reboot
Ein neues Fenster wird sich öffnen und Sie danach fragen, welche Datei Sie
beim Neustart löschen möchten. Navigieren Sie zu der Datei und klicken Sie diese
einmal an. Klicken Sie danach auf öffnen
Sie werden nun gefragt ob Sie den Computer neustarten möchten, um die Datei
zu löschen. Klicken Sie auf Yes, wenn Sie nun Neustarten möchten.
Ansonsten klicken Sie auf No und starten Sie den Computer zu einem späteren
Zeitpunkt neu, um die Datei dann zu löschen.
Es gibt eine bestimmte Infizierung namens Home Search Assistent oder CWS_NS3,
die manchmal eine Datei nutzen wird die Alternate Data Stream Datei
(Google Translator Übersetzung Lavasoft),
um Ihren Computer zu infizieren. Diese Dateien können nicht mit den normalen
Methoden gesichtet oder gelöscht werden. ADS Spy wurde dafür ausgelegt diese Dateien
zu löschen. Wenn Sie mehr über ADS und den Home Search Assistenten lernen wollen,
dann können Sie die folgenden Artikel lesen:
Um das ADS Spy Dienstprogramm zu nutzen, würden Sie HijackThis starten und auf
Config klicken. Dann klicken Sie auf Misc Tools, um dann letzendlich auf
ADS Spy zu klicken. Wenn sich das ADS Spy Dienstprogramm öffnet, werden
Sie einen Schirm ähnlich Figur 10 sehen.
Figur 10: ADS Spy
Klicken Sie auf scan und das Programm wird anfangen Ihren Windows Ordner
nach jeglichen ADS Dateien zu scannen. Wenn das Programm irgendwelche Dateien
finden sollte, so wird es diese auf ein Art illustrieren, die der in Figur 11 ähnelt.
Figure 11: Liste der gefundenen Alternate Data Streams
Um eine der aufgelisteten ADS Dateien zu entfernen, setzen Sie einfach ein
Häckchen neben den Eintrag und klicken Sie auf Remove selected. Dies
wird die ADS Datei von Ihrem System entfernen. Wenn Sie fertig sind, klicken
Sie auf Back neben dem Remove Selected Button, bis Sie wieder
auf dem Hauptschirm angelangt sind.
Der Deinstallationsmanager erlaubt Ihnen die Einträge in Ihrer Software Liste
zu verwalten. Wenn Sie Malware
von Ihrem System entfernen, bleiben unveränderliche Einträge in der Software Liste
zurück. Viele Nutzer bevorzugen verständlicherweise eine saubere Softwareliste und
haben Schwirigkeiten diese fehlgeleiteten Einträge zu löschen. Mit der Nutzung des
Deinstallationsmanagers können Sie diese Einträge aus der Deinstallationsliste löschen.
Um den Deinstallationsmanager nutzen zu können, müssen Sie folgende Schritte befolgen:
Starten Sie HijackThis
Klicken Sie auf Config
Klicken Sie auf Misc Tools
Klicken Sie auf Open Uninstall Manager
Sie werden nun mit einem Bild konfrontiert, der dem unten ähnelt
Figur 12: HijackThis Uninstall Manager
Um einen Eintrag zu löschen, klicken Sie einfach auf den Eintrag den Sie löschen
möchten und dann klicken Sie auf Delete this entry. Wenn Sie das Programm
ändern möchten mit dem dieser Eintrag verlinkt ist, dann können Sie auf Edit
uninstall command klicken und geben dann dort den Zielpfad zu dem gewünschten
Programm an, mit dem das Programm bei einem Doppel-klick in der Softwareliste
gestartet wird. Diese letzte Funktion sollte nur genutzt werden wenn Sie
wissen was Sie tun.
Wenn Sie von jemandem gebeten werden die Liste zu posten um dann analysiert
werden zu könne, so können Sie auf Save list... klicken und angeben in
welchem Verzeichnis Sie die Liste als Datei speichern wollen. Wenn Sie auf
Save klicken, öffnet sich Notepad in einem neuen Fenster mit dem Inhalt
der gespeicherten Datei. Kopieren Sie dann einfach den Inhalt aus der Notepad
Datei und fügen Sie den Inhalt in einen Antwortpost des von Ihnen gestarteten Threads.
Wenn Sie von jemandem gebeten werden die Liste zu posten um dann analysiert
werden zu können, so klicken Sie auf Save list... und angeben in
welchem Verzeichnis Sie die Liste als Datei speichern wollen. Wenn Sie auf Save
klicken, öffnet sich Notepad in einem neuen Fenster mit dem Inhalt der
gespeicherten Datei. Kopieren Sie dann einfach den Inhalt aus der Notepad
Datei und fügen Sie den Inhalt in einen Antwortpost des von Ihnen gestarteten Threads.
Die nächste Sektion dient Ihnen als eine Hilfe zur Prüfung der HijackThis
Scanresultate. Wenn Sie sich immer noch unsicher sein sollten wie Sie vorgehen
müssen, oder uns um Hilfe in der Prüfung des Scanresultates bitten wollen, dann
posten Sie einfach Ihre Log-Datei in unserem Online- und PC-Sicherheits Forum.
Jede Zeile des HijackThis Scans, fängt mit einem Sektionsnamen an. Im Folgenden
ist eine Liste der Sektionsnamen und deren Erklärungen. Diese stammt aus dem
Tutorial des HijackThis Schöpfers Merijn. Sie können auf die
Sektionsnamen klicken um direkt dort hin zu gelangen.
Es ist wichtig zu erwähnen, dass gewisse Sektionen eine interne
White list
haben, so daß HijackThis keine bekannten legitimen Dateien zeigen wird. Um die
White list auszuschalten, können Sie auch mit -->
--> hijackthis.exe /ihatewhitelists
Wir werden versuchen, möglichst einfache Erklärungen für die einzelnen
Sektionen zu erstellen. Wir werden Ihnen ausserdem erklären, welche Registrierungsschlüssel
die einzelnen Sektionen nutzen und/oder welche Dateien Sie nutzen und
werden Ihnen Ratschläge geben, was Sie mit den einzelnen Einträgen machen sollen.
Diese Sektion bezieht sich aufdie Internet Explorer Startseiten, Home Page,
und Url Search Hooks.
R0 ist für die Internet Explorer Startseiten und den Suchassistenten.
R1 ist für die Internet Explorer Suchfunktionen und andere charakteristiken.
R2 Wird im Moment nicht genutzt
R3 ist für einen Url Such Hook. Ein Url Search Hook wird benutzt wenn Sie eine
Adresse in dem Eingabefeld des Browsers eingeben ohne Protokolle wie http://
oder ftp:// zu nutzen.
Wenn Sie solch eine Adresse eingeben, wird der Browser versuchen selbstständig
das richtige Protokoll herauszufinden. Wenn die Suche fehlschlägt, wird der
Browser den UrlSearchHook, welcher in der R3 Sektion aufgelistet ost, nutzen um
die von Ihnen eingegebene Adresse zu finden.
Eine häufig gestellte Frage ist, was es bedeutet wenn das Wort unbekannt vor
einem dieser Einträge steht. Bei Spyware bedeutet dies, das die Spyware oder der
Hijacker einen von dem Hijacker / der Spyware erstellten Eintrag durch Veränderung
eines Wertes oder ähnlichem versteckt. Solche Einträge können z.B. in der Registrierung
sein, in Form von hexadezimalen Einträgen. Dies ist nur eine andere Art seine Präsenz
zu verstecken und macht es so schwer ,entfernt zu werden.
Wenn Ihnen die Webseite auf die die R0 und R1 Einträge zeigen nicht bekannt sind
und Sie wollen diese ändern, so können Sie sie durch HijackThis sicher reparieren.
Die Reparatur wird nicht schädlich für den Internet Explorer sein.
Wenn Sie sich bei der Webseite nicht sicher sind, so besuchen Sie diese einfach.
Sind auffällig viele PopUps und Links auf der Seite, können Sie sie fast immer
mit HijackThis löschen. Es ist wichtig zu erwähnen, dass wenn ein R0/R1 Eintrag zu einer Datei zeigt und Sie den Eintrag mit HijackThis reparieren, die Datei nicht von HijackThis gelöscht wird. Sie müssten es dann manuell tun.
Es gibt bestimmte R3 Einträge, die mit einem (_) enden. Ein Beispiel wie so ein
Eintrag aussehen könnte ist folgendes:
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
Beachten Sie die CLSID, die Nummer zwischen den {} haben manchmal ein _ am Ende
und sind ab und zu schwer mit HijackThis zu entfernen. Um dies zu reparieren,
müssen Sie den jeweiligen Registrierungseintrag manuell löschen, in dem Sie zu
dem folgenden Registrierungsschlüssel gehen:
Dann löschen Sie den gewünschten CLSID Eintrag unter diesem Registrierungsschlüssel.
Bitte lassen Sie aber die CLSID CFBFAE00-17A6-11D0-99CB-00C04FD64497, da es der
gültige Standardwert ist.
Sie sollten generell mit Google ein paar Recherchen über die UrlSearchHook
Software anstellen, bevor Sie HijackThis den Eintrag reparieren lassen. Sollten
Sie die Software kennen, können Sie es natürlich gleich mit HijackThis reparieren.
Diese Sektion ist über die Programme die aus der system.ini, win.ini und den *.ini
Dateien, oder den entsprechenden Stellen in der Registrierung geladen werden.
F0 entspricht der Shell= Angabe in der System.ini. Die Shell= Angabe in der system.ini
wird unter Windows 9X und niedriger (und ME?) genutzt, um zu bestimmen welches
Programm als 'Benutzeroberfläche' des Betriebssystems aufführen soll. Die
'Benutzeroberfläche' ist das Programm, dass Ihren Desktop laden würde und das
Fenster management und die Interaktion des Benutzers steuert.
Jedes Programm dass nach dem Shell Befehl aufgelistet ist, wird mit Windows
starten und als das Standard Benutzeroberfläche auftretten.
Es gab ein paar Programme die als gültige Benutzeroberflächenersatz galten, aber
sie werden nicht länger genutzt. Windows 95 und 98 (Windows ME?) beutzten beide
Explorer.exe als deren standard Benutzeroberfläche. Windows 3.X nutzte Progman.exe
als Benutzeroberfläche. Es ist außerdem möglich andere Programme aufzulisten
die mit Windows in der selben Shell= Zeile gestartet werden. Wie z.B. Shell=explorer.exe
badprogram.exe. Diese Zeile wird beide Programme mit Windows starten lassen.
F1 entspricht dem Run= oder Load= Eintrag in der win.ini. Alle Programme die nach
run= oder load= aufgelistet sind, werden mit Windows beim Start geladen. Dieser
run= Befehl wurde am meißten in den Windows 3.1, 95 und 98 Jahrengenutzt und
wurde beibehalten um Rückwärtskompatibilität für ältere Programme zu garantieren.
Die meißten modernen Programme nutzen diese ini Einstellung nicht mehr. Sollten
Sie also keine älteren Programme nutzen, so können Sie zurecht mißtrauisch werden.
Der load= Befehl wurde zum laden von Hardware Treibern genutzt.
F2 und F3 Einträge entsprechen den selben Standorten wie F0 und F1. Sie werden
allerdings stattdessen in der Registrierung für Windows XP, 200, und NT gespeichert.
Diese Windows Versionen nutzen im Allgemeinen nicht die system.ini und win.ini Dateien.
Anstatt der Rückwärtskompatibilität nutzten diese Betriebssysteme eine Funktion namens
IniFileMapping.
IniFileMapping nimmt den ganzen Inhalt einer *.ini Datei und fügt Ihn in die
Registrierung, mit je einem Schlüssel pro Zeile in dem dort gespeicherten *.ini
Schlüssel. Wenn Sie dann ein Programm laufen lassen, dass normaler Weise seine
Einstellungen aus einer *.ini Datei liest, dann wird es erst folgenden
Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
nach einer *.ini Übereinstimmung. Wenn ein passender Eintrag gefunden wurde, wird
es die Einstellungen stattdessen von dort übernehmen. Erkennen können Sie es durch
den Eintrag REG und dann die *.ini Datei auf die sich IniFileMapping bezieht.
Ein anderer häufig gefundener F2 Eintrag ist der UserInit Eintrag. Es entspricht dem
Schlüssel, HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
welchen Sie in WindowsNt, 2000, XP und 2003 finden. Dieser Schlüssel bestimmt
welche Programme direkt nch dem Benutzerlogin starten sollen. Das vorangegebene
Programm für diesen Schlüssel ist C:\windows\system32\userinit.exe. UserInit.exe
ist ein Programm, dass Ihr Benutzerprofil, Schriftarten, Farben, usw. für Ihren
Benutzernamen wiederherstellt. Es ist möglich Programme noch hinzu zu fügen, um
dann von diesem Schlüssel aus zu starten. Sie müssen nur die Programm durch ein
komma von einander trennen.
Wenn Sie unter F0 einen Eintrag wie diesem finden: Shell=Explorer.exe something.exe,
dann sollten Sie diesen Eintrag auf jedem Fall reparieren. Sie können diese
Einträge generell löschen, aber Sie sollten vorher immer bei Google recherchieren
und die unten angegebenen Seiten besuchen.
Bei F1 Einträgen sollten Sie, um festzustellen ob sie legitim sind, bei Google
suchen. Sie können außerdem die u.g. Seiten nach den Einträgen durchsuchen.
Wenn Sie bei F2 Einträgen UserInit=userinit.exe, mit oder ohne nddeagnt.exe wie
bei dem o.g. Beispiel finden, so können Sie diese(n) so belassen. Wenn Sie
UserInit=userinit.exe (beachten Sie - KEIN komma), dann ist das immer noch ok.
Daher sollten Sie diesen Eintrag auch belassen.
Sollten Sie einen anderen Eintrag mit userinit.exe, dann könnte dieser Eintrag
ein potentieller Trojaner oder malware
sein. Das selbe gilt für F2 Shell=; Einträge. Wenn Sie explorer.exe alleinstehend sehen,
dann sollte alles in Ordnung sein. Ist dies nicht der Fall wie in der o.g.
Beispiel Auflistung, dann könnte es ein potentieller Trojaner oder oder Malware sein.
Generell können Sie alle Einträge löschen, Sie sollten jedoch vorher bei Google
recherchieren oder die u.g. Seiten konsultieren.
Bitte beachten Sie das wenn HijackThis die Einträge entfernt, HijackThis nicht
die assoziierten Dateien löscht. Sie müssen diese Dateien manuell entfernen.
Diese Sektionen sind für Netscape und Mozilla Browser Start und voreingestellten Suchseiten.
Diese Einträge werden in dem prefs.js Dateien an verschiedenen Stellen unter
C:\Dokumente und Einstellungen\IhrBenutzerName\Programm Daten Ordner. Netscape 4's
Einträge werden in der prefs.js Datei in dem Programmpfad gespeichert. Dieser
ist grundsätzlich LaufwerkBuchstabe:\Program Files\Netscape\Users\default\prefs.js.
N1 entspricht Netscape 4's Startseite und standard Suchseite
N2 entspricht Netscape 6's Startseite und standard Suchseite
N3 entspricht Netscape 7's Startseite und standard Suchseite
N4 entspricht Mozilla's Startseite und standard Suchseite
Benutzte Dateien: prefs.js
Da die meisten Spyware und Hijacker Programme zielen auf den Internet Explorer,
daher sind Netscape und Mozilla meist sicher. Wenn sie also hier Webseiten
eingetragen finden, die Sie nicht selber eingestellt haben, können Sie sie mit
HijackThis entfernen. Es gibt jedoch eine bekannte Seite die dies auch bei
Netscape und Mozilla tut und die her besprochen wird und zwar Lop.com.
Die Hostdatei enthält die Zuordnungen der Hostnamen zu IP Adressen. Z.B.: Wenn
ich in meine Hostdatei eingebe: 127.0.0.1
www.google.com
und Sie versuchen auf
www.google.com
zu gehen, wird es die Hostdatei überprüfen, findet den Eintrag und wird es in die IP Adresse 127.0.0.1 anstatt der korekten Adresse umwandeln.
Hostdatei Umleitung bedeutet, dass ein Hijacker Ihre Hostdatei abändert, um zu versuchen, eine bestimmte Webseite auf eine andere Webseite umzuleiten. Wenn also jemand einen Eintrag wie diesen dazu fügen würde: 127.0.0.1 www.google.com und Sie würden versuchen auf www.google.com zu gehen, würden Sie stattdessen zu der IP Adresse 127.0.0.1 umgeleitet werden. Dies ist Ihr eigener Computer.
Beispiel Auflistung:
O1 - Hosts: 192.168.1.1 www.google.com
Die Hostdatei ist eine Textdatei, die durch jeden Texteditor verändert werden
kann und wird standardmäßig für jedes Betriebssystem in den folgenden Pfade
gespeichert. Ausser, Sie entscheiden sich die Hostdatei woanders zu speichern.
Operating System
Location
Windows 3.1
C:\WINDOWS\HOSTS
Windows 95
C:\WINDOWS\HOSTS
Windows 98
C:\WINDOWS\HOSTS
Windows ME
C:\WINDOWS\HOSTS
Windows XP
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Die Position der Hostdatei kann durch Modifizierung des folgenden Windows
NT/2000/XP Registrierungsschlüssels geändert werden.
Wenn Sie einen Eintrag wie den o.g. Finden und sie sind nicht aus einem Ihnen
bekannten, bestimmten Grund dort, dann können Sie diesen ohne Probleme entfernen.
Wenn Sie in einem Eintrag sehen, dass Ihre Hostdatei in dem Zielpfad
C:\Windows\Help\hosts ist, dann haben Sie sich mit dem CoolWebSearch infiziert.
Befindet sich die Hostdatei nicht an dem Standardort für Ihr Betriebssystem, siehe
Tabelle oben, dann sollten Sie diesen Eintrag mit HijackThis reparieren, da die
Wahrscheinlichkeit einer Infektion groß ist.
Sie können ausserdem das Programm HostsXpert laden, dass Ihnen die Möglichkeit gibt, die Standardeinstellungen wiederherzustellen. Um dies zu tun, laden Sie das Programm runter und starten Sie es. Wenn sich das Programm öffnet, klicken Sie auf Restore Original Hosts und schließen Sie dann den Hoster.
Diese Sektion entspricht den Browser Hilfsobjekten (Browser Helper Objekts).
Browser Helper Objekts sind plugins die die Funktionalität Ihres Browsers erweitert. Diese können von Spyware- und Hijack-Programmen genutzt werden , aber auch von legitimen Programmen wie der Google Toolbar und Adobe Acrobat Reader.Bevor Sie sich zum entfernen einer dieser Einträge entscheiden, müssen Sie unbedingt recherchieren, da sich auch legitime Einträge dazwischen befinden können.
Es gibt eine exzellente Liste mit bekannten CLSIDs, die mit BHO's (Browser Helper Objects)
und Toolbars assoziiert sind. Diese wurde von Tony Klein erstellte
CLSID List. Wenn Sie die Liste
benutzen wollen, nutzen Sie die CLSID (die Nummer zwischen den {}. Die
CLSID in der Auflistung entsprechen den Registrierungseinträgen, die Informationen
über die BHO's oder Toolbars beinhalten.
Wenn Sie Einträge dieser Art mit HijackThis reparieren, wird HijackThis versuchen
die aufgelistete angreifende Datei zu löschen. Manch mal sind die Dateien aber
in Nutzung, selbst wenn der Internet Explorer geschloßen ist. Wenn die Datei
trotzdem noch existieren sollte, wird empfohlen den Computer neu zu starten und
die Datei im Abgesicherten Modus zu entfernen.
Es gibt eine exzellente Liste mit bekannten CLSIDs, die mit BHO's (Browser Helper Objects) und Toolbars assoziiert sind. Diese wurde von Tony Klein erstellte CLSID List. Wenn Sie die Liste benutzen wollen, nutzen Sie die CLSID (die Nummer zwischen den {}. Die CLSID in der Auflistung entsprechen den Registrierungseinträgen, die Informationen über die BHO's oder Toolbars beinhalten.
Wenn Sie Einträge dieser Art reparieren, wird HijackThis die aufgelisteten
bösartigen Dateien nicht löschen. Es wird daher empfohlen in den Abgesicherten
Modus zu wechsel und dort die bösartigen Dateien zu löschen.
Diese Sektion entspricht den Programmen die in bestimmten Schlüsseln in der
Registrierung, sowie in den Startup Ordnern und werden automatisch gestartet
wenn Windows hochfährt. Die hier aufgelisteten Registrierungsschlüssel gelten
für Windows XP, NT und 2000. Sollten Sie auch für andere Betriebssysteme gültig
sein, lassen Sie es mich wissen.
Wenn es wie ein Registrierungsschlüssel aussieht, dann spiegelt es einen der
unten in der Registrierungsschlüssel Tabelle eingetragenen Schlüssel.
Startup: Diese Einträge beziehen sich auf die Programmme, die durch einen Eintrag
in der Benutzer Startup Gruppe, beim einloggen starten.
Global Startup: Diese Einträge beziehen sich auf Programme die sich in dem Global
Startup Ordner befinden und beim einloggen starten.
Startup: c:\documents and settings\USERNAME\start menu\programs\startup
Global: c:\documents and settings\All Users\start menu\programs\startup
Beispiel Auflistung:
04 - HKLM\..\Run: nwiz.exe /install
Wenn Sie Einträge dieser Art reparieren, wird HijackThis die aufgelisteten
bösartigen Dateien nicht löschen. Es wird daher empfohlen in den Abgesicherten
Modus zu wechsel und dort die bösartigen Dateien zu löschen.
Die Global Startup und Startup Einträge funktionieren anders. HijackThis wird die
in diesen Einträgen gefundenen Shortcuts löschen, aber nicht die Datei auf die der
Shortcut verweist. Wenn eine tatsächlich ausführbare Datei in den Global Startup
oder Startup Ordnern residiert, dann WIRD die bösartige Datei gelöscht.
Obwohl viele legitime Programme auf diese Art und Weise starten, kann ein Eintrag so
aussehen als ob dieser dorthin gehört und trotzdem ein bösartige Programm sein.
Diese Sektion entspricht dem Anzeigen Ihres Internet Explorer Bedienungselementes.
Es ist möglich das Erscheinen des Bedienungselementes zu deaktivieren, in dem man
der Datei control.ini einen Eintrag hinzufügt. Unter Windows XP wird
diese Datei zumindest unter C:\Windows\control.ini . Von dieser Datei aus können
Sie steuern welche Bedienungselemente nicht angezeigt werden sollen.
Dateien benutzt:
control.ini
Beispiel Auflistung:
O5 - control.ini: inetcpl.cpl=no
Wenn Sie eine Zeile wie diese finden, kann dies ein Zeichen dafür sein das ein
Teil Ihrer Software es Ihnen erschwert Ihre Einstellungen zu verändern. Es sei
denn dieser Eintrag ist aus einem bestimmten Grund vorhanden, wi z.B. das ein
Administrator diese Richtline vorgibt, oder Spybot S&D hat eine Restriktion an
diese Stelle gesetzt, so lassen Sie es durch HijackThis reparieren.
Diese Sektion entspricht einer administrativem Begrenzung der Änderungsmöglichkeiten
der Optionen oder der Startseite im Internet Explorer, durch das Abändern bestimmter
Einstellungen in der Registrierung.
Diese Optionen sollten nur dann erscheinen, wenn Ihr Administrator diese
absichtlich gesetzt hat, oder wenn Sie Spybot Startseiten und Options
Begrenzungsoptionen in der Imunisierungs Sektion von Spybot benutzt haben.
Bitte nehmen Sie zur Kenntnis das Administratoren in Büros dies mit Absicht sperren.
Daher kann das Reparieren dieser Einträge durch HijackThis ein Verstoß gegen die Firmen
Policy sein. Sollten Sie der Administrator seín und Regedit ist aktiviert, dann
reparieren Sie den Eintrag mit HijackThis.
O8 - Extra context menu item: &Google Search – res://c:\windows\GoogleToolbar1.dll/cmsearch.html
Die Auflistung dieser Einträge wird Ihnen zeigen was in dem Menü erscheinen wird,
wenn Sie rechts-klicken und welches Program genutzt wird, wenn Sie tatsächlich
auch auf einen dieser Menüpunkte klicken. Bestimmte Einträge wie Browser Pal,
sollten immer entfernt werden. Die restlichen sollten mit Google recherchiert werden.
Ein legitimes Beispiel für einen Eintrag ist die Google Toolbar Leiste.
Wenn Sie Einträge dieser Art reparieren, wird HijackThis die aufgelisteten
bösartigen Dateien nicht löschen. Es wird daher empfohlen in den Abgesicherten
Modus zu wechsel und dort die bösartigen Dateien zu löschen.
Diese Sektion entspricht den Buttons im Internet Explorer Toolbar, oder den
Elementen unter dem Internet Explorer Extras Menü (die die nicht standardmäßig
installiert wurden).
Sollten Sie diese Buttons oder Elemente im Menü nicht benötigen, oder diese als malware
identifizieren, können Sie die Einträge ohne bedenken löschen.
Wenn Sie Einträge dieser Art reparieren, wird HijackThis die aufgelisteten
bösartigen Dateien nicht löschen. Es wird daher empfohlen in den Abgesicherten
Modus zu wechsel und dort die bösartigen Dateien zu löschen.
LSPs ist eine Methode eine Software an Ihre Winsock 2 Ausführungauf Ihrem
Computer zu ketten. Da LSPs aneinander gekettet sind, wierden die Daten auch durch
die einzelnen LSPs transportiert sobald Winsock genutzt wird. Spyware und Hijacker
können dies nutzen um den gesamten Datenverkehr Ihres Computers der über das
Internet statt gefunden hat, zu sehen.
Sie sollten besonders vorsichtig beim Löschen dieser Einträge vorgehen, da Sie
bei nicht angemessener Reparatur der Lücke der LSP-Kette einen Verlust der
Internet Verbindung hervorrufen können.
Beispiel Auflistung:
O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing
Viele Virenscanner fangen damit an, nach Viren, Trojanern usw auf Winsock level
zu scannen. Das Problem ist, das viele dazu tendieren, die LSPs nicht in der
richtigen Reihenfolge zu rekreiren, nach dem die angreifenden Einträge gelöscht
wurden. Dies kann HijackThis dazu bringen eine Warnung zu erzeugen, welche ähnlich
dem Beispiel oben ist und trotzdem eine Internet Verbindung zulässt. Sie sollten
daher Hilfe einer erfahrenen Person suchen, wenn Sie diese Einträge reparieren
wollen. Sie sollten ausserdem LSPFix nutzen um diese Einträge zu reparieren.
Siehe u.g. Link.
Spybot kann generell diese Einträge reparieren, aber Sie müssen sicherstellen
das Sie die neueste Version haben, da die ältere Versionen Probleme haten.
Sie sollten LSPFix nutzen um diese Einträge zu reparieren, da es hierfür designed
wurde. Um eine große Liste an LSPs einzusehen und deren Gültigkeit festzustellen,
besuchen Sie Zupe's LSP List Seite.
Zupe's LSP
Diese Sektion entspricht einer nicht-standard Optionsgruppe die dem Reiter
Erweiterte Optionen unter Internetoptionen des IE hinzugefügt wurde.
Wenn Sie bei Internet Optionen für den Internet Explorer schauen, werden
Sie einen Erweitert Reiter sehen, wo es Ihnen möglich ist einen Eintrag
durch einen Registrierungsschlüssel hinzuzufügen, so dass eine neue Gruppe dort
erscheinen würde.
Laut Merjin von HijackThis gibt es nur einen bekannten Hijacker der dies nutzt
und dessen CommonName.
Sollten Sie CommonName in dieser Auflistung, so können Sie es sicher
entfernen. Ist dort jedoch ein anderer Eintrag, sollten Sie etwas "googeln", um
etwas Nachforschungen zu betreiben.
Diese Sektion entspricht den Internet Explorer plugins.
IE Plugins sind Software Produkte, die gestartet werden, wenn der IE startet.
Sie fügen dem IE Funktionalität bei. Es gibt viele legitime Plugins wie z.B.
das PDF anzeige und nicht-standard Bilder anzeige Plugin.
Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Die meisten Plugins sind legitim, daher sollten Sie auf jedem Falle bei Google
etwas recherchieren, bevor Sie diese löschen. Ein plugin dass Sie löschen
sollten ist: Onflow Plugin. Es hat die Dateiendung *.OFB.
Wenn Sie diese Art von Einträgen mit HJT reparieren, wird HJT versuchen die „angreifende" aufgelistete Datei zu löschen. Es kann Zeiten geben, in denen die Datei benutzt wird selbst wenn der IE geschlossen wird. Sollte die Datei bestehen bleiben, nach dem der Eintrag mit HijackThis entfernt wurde, dann sollten Sie im Abgesicherten Modus starten und die Datei von dort aus löschen.
Diese Sektion entspricht dem IE DefaultPrefix (Standardprefix) Hijack.
Der Standardprefix ist eine Enstellung in Windows, die angibt wie URLs die Sie ohne vorstehende http://, ftp://, etc. eingeben, behandelt werden. Als Standardeinstellung fügt Windows ein http:// dem Anfang bei, da dies das Standard Windows Prefix ist. Es ist möglich, dies auf ein Standardprefix Ihrer Wahl einzustellen, in dem Sie die Registrierung bearbeiten. Der CoolWebSearch Hijacker tut dies indem er das Standardprefix in das http://ehttp.cc/?. abändert. Das bedeutet, das Sie bei dem Verbindung zu einem URL wie tatsächlich zu dem URL http://ehttp.cc/?www.google.com umgeleitet werden, was der Webseite für CoolWebSearch entspricht.
Wenn Sie Probleme feststellen sollten, die denen im o.g. Beispiel ähneln, so sollten Sie CWSShredder laufen lassen. Dieses Programm wird benutzt um alle bekannten Varianten des CWS zu entfernen, die vielleicht auf Ihrem Computer sind. Sie können hier ein Tutorial zur Nutzung von CWShredder (Englisch) finden.
Sollte CWShredder nicht das Problem lösen und nichts finden, so lassen Sie auf
jedem Falle noch einmal HijackThis laufen und diese Einträge löschen, wenn HJT
Einträge hierzu findet.
Diese Sektion entspricht einem Rücksetzung der Internet Einstellungen Hijack.
Es gibt eine Datei auf Ihrem PC, die der Internet Explorer nutzt wenn Sie Ihre
Einstellungen auf die Standardeinstellungen von Windows zurücksetzen. Diese Datei
wird unter c:\windows\inf\iereset.inf gespeichert. Diese Datei enthält
alle Standardeinstellungen die benötigt werden. Wenn Sie die Einstellungen zurücksetzen,
wird die Datei gelesen und die entsprechende Einstellung zu dem abgeändert, was
in der Datei gespeichert ist. Wenn ein Hijacker die Informationen in dieser Datei
abändern, werden Sie wieder infiziert, sobald Sie die Einstellungen auf Windows
Standardeinstellungen zurücksetzen wollen. Dies resultiert aus dem lesen der
falschen Informationen der iereset.inf Datei.
Seien Sie sich jedoch bitte bewusst, das ein PC Hersteller oder Administrator
des PC's, dies legitimer Weise verändert haben könnte. Sollten Sie die Adresse
jedoch nicht identifizieren können, so sollten Sie diesen Eintrag mit HJT reparieren.
zu 29: O15 Sektion
Diese Sektion entspricht Seiten oder IP Adressen in der IE Vertrauenswürdige Sites
und Protokollvoreinstellungen.Vertrauenswürdige Sites
die Sicherheit des Internet Explorer's basiert auf einer Gruppe von Zonen.
Jede Zone hat eine andere Sicherheitsstufe in dem es verschiedenen Skripten und
Programmen, die von Webseiten aus laufen können erlaubt zu arbeiten. Es gibt eine
Zone die Vertrauenswürdige Sites heisst. Diese Zone ist die mit der
geringsten Sicherheitsstufe und erlaubt Skripten und Anwendungen zu laufen,
ohne das Sie es wissen.
Es ist daher für Malwareseiten eine beliebte Einstellung um Ihren Computer
zukünftig einfacher zu infizieren ohne das Sie davon kentniss nehmen, da sich die
Seiten in Ihrer VertrauenswürdigeSites befinden.
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
Welchen Schlüssel, welche domains,
oder welcher Beriech vom IE benutzt werden soll, wird der URL entnommen die Sie
erreichen wollen. Wenn die URL einen Domainnamen enthält, dann wird in dem
Unterschlüssel der Domain nach einer Übereinstimmung suchen. Wenn die URL eine
IP Adresse enthält, wird es in dem Unterschlüssel der Bereiche nache einer
Übereinstimmung suchen. Wenn Domains zu den Vertrauenswürdigen Sites oder den
Eingeschränkte Sites hinzugefügt werden, wird ihnen ein Wert zugeteilt.
Wird ihnen ein *=4 Wert zugeteilt, wird die Domain in die Eingeschrenkte
Sites genommen. Wird ihnen ein *=2 Wert zugeteilt, so wird die Domain der
Vertrauenswürdige Sites Zone zugeteilt.
Eine IP Adresse hinzufügen, funktioniert ein wenig anders. Unter dem
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges Schlüssel
finden Sie vielleicht noch andere Schlüssel die Range1, Range2, oder Range3,... heissen.
Jeder dieser Unterschlüssel entspricht einer bestimmten Sicherheitszone /
Sicherheitsprotokoll. Wenn Sie eine IP Adresse zu einer Sicherheitszone hinzufügen,
wird Windows automatisch einen Unterschlüssel mit Range1 erstellen und diesen
Unterschlüssel nominieren, alle IP Adressen einer bestimmten Sicherheitszone
für ein bestimmtes Protokoll zu enthalten. Wenn Sie z.B. http://192.168.1 als
eine Vertrauenswürdige Site hinzufügen würden, würde Windows den ersten
verfügbaren Ranges Schlüssel (Range1) erstellen und einen Wert von http=2 hinzufügen.
Jede weitere Vertrauenswürdige http:// IP Adresse wird dem Range1 Schlüssel
hinzugefügt.
Würden Sie nun eine IP Adresse der „Eingeschränkte Sites" Zone hinzufügen und
das http:// Protokoll nutzen (z.B: 192.168.1.10), würde Windows einen neuen fortlaufenden
Schlüssel erstellen (Range2). Dies würde einen Wert von http=4 haben und alle weiteren
IP Adressen die bei „Eingeschränkte Sites" hinzugefügt werden, werden diesem Schlüssel
beigefügt. Dies geht so weiter, für jegliche Kombinationen der Protokoll und
Sicherheitszonen Einstellungen.
Sie sollten die hier aufgeführten Domains oder IP Adressen immer entfernen, es
sei denn es ist eine wiedererkennbare URL, wie die Ihrer Firma z.B. Die am häufigsten
gefundene Auflistung die Sie hier finden werden ist free.aol.com. Wenn Sie wollen,
können Sie diesen Eintrag reparieren. Generell ist es nicht nötig, jegliche
Einträge in der „Vertrauenswürdigen Sites" Zone zu haben und daher kann man Sie
ohne Gefahr entfernen.
Protokoll Standardeinstellungen
Wenn Sie IE nutzen um zu Ihrer Seite zu verbinden, dann entscheiden die
Sicherheitsvorkehrungen, die einer Seite gegeben wurden, über die Zone in die
es gehört. Es gibt 5 Zonen, wobei jede mit einer speziellen Identifizierungsnummer
assoziiert ist. Diese Zonen, mit Ihren dazugehörigen Nummern sind:
Zone
Zonenabbildung
Arbeitsplatz
0
Intranet
1
Vertrauenswürdig
2
Internet
3
Eingeschränkt
4
Jedes der Protokolle die Sie zum Verbinden mit dem Internet nutzen, wie z.B. HTTP,
FTP, HTTPS, werden dann in einer dieser Zonen abgebildet. Folgende sind die
Standardabbildungen:
Protokoll
Zonenabbildung
HTTP
3
HTTPS
3
FTP
3
@ivt
1
shell
0
Wenn Sie z.B. zu einer Seite Verbindung aufnehmen und dabei das http:// Protokoll
benutzen, so ist es automatisch eine Seite die der Internet Zone angehört. Das
Problem entsteht, wenn Malware die voreingestellten Zonen eines Protokolles
verstellt. Wenn Malware z.B. die Standardzone für das HTTP Protokoll auf 2 ändert,
dann wird jede von Ihnen besuchte http Seite als „Vertrauenswürdige Site" gehalten.
Bis jetzt gibt es keine bekannte Malware hierfür, aber wir werden hier vielleicht
bald Malware finden, jetzt wo HijackThis diese Schlüssel benennt.
Diese Sektion entrspricht den ActiveX Objekten auch als „Downloaded Program Files" bekannt.
ActiveX Objekte sind Programme die von Webseiten heruntergeladen werden und auf Ihrem
Computer gespeichert werden. Diese Objekte werden unter C:\windows\Downloaded Program Files.
Sie finden Sie auch in der Registrierung, gespeichert unter Ihrer CLSID. Dies ist
die lange Zahlenfolge zwischen den zwei Klammern. Es gibt viele legitime ActiveX
Bedienungselemente, wie das in dem u.g. Beispiel zeigt. Hierbei handelt es sich
um einen iPix Betrachter.
Wenn Sie Namen und Adressen sehen, die Ihnen unbekannt sind, dann sollten Sie
diese ergoogeln um zu sehen ob diese legitim sind oder nicht. Haben Sie das Gefühl
sie sind nicht legitim, können Sie sie mit HijackThis reparieren. Das Löschen der
meisten ActiveX Objekte ruft keine Probleme hervor, da Sie sie ohne weiteres aus
dem Internet wieder herunterladen können. Seien Sie sich jedoch bewusst das
einige Programme jedoch ActiveX Objekte nutzen und seien Sie dem entsprechend
vorsichtig. Siie sollten alle O16 Einträge reparieren die Wörter wie Sex, Porn,
Dialer, Free, casino, adult, etc.
Es gibt ein Programm namens O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) – http://www.ipix.com/download/ipixx.cab
SpywareBlaster," welches eine große Datenbank an bösartigen ActiveX Objekten hat. Sie können es sich herunterladen und die Datenbank nach bekannten ActiveX Objekten durchsuchen. Ein Tutorial zur Nutzung von SpywareBlaster können Sie hier finden:
Wenn Sie O16 Einträge reparieren wird HijackThis versuchen diese von der
Festplatte zu löschen. Normallerweise würde dies kein Problem sein, aber in
manchen Situationen ist HijackThis nicht in der Lage die angreifende Datei zu
löschen.Wenn dies der Fall ist, starten Sie im abgesicherten Modus und löschen
Sie die Datei dann.
Diese Sektion entspricht dem Lop.com Domain hacks.
Wenn Sie auf eine Webseite gehen, indem Sie einen Hostnamen wie
www.bleepingcomputer.com, anstatt einer IP Adresse, dann nutzt Ihr Computer
einen DNS-Server
um den Hostnamen in eine IP Adresse wie 192.168.1.0 umzuwandeln. Ein Domain Hack
entsteht durch einen Hacker, der Ihre DNS Server auf Ihrem PC zu seinem Server
umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den
Hackern genehm ist. Durch das hinzufügen von google.com zu dem DNS Server der
Hacker, ermöglicht es den Hackern Ihren Versuch auf www.google.com zukommen,
auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.
Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb
gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören,
dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können
zu ARIN gehen um dort eine „WhoIs" nach
DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu
ermitteln.
Diese Sektion entspricht extra Protokollen und Protokollhijackern.
Diese Methode wird benutzt um die Standard Protokolltreiber Ihres Computers
mit denen aus zu tauschen, die der Hijacker zur Verfügung stellt. Dies ermöglicht
dem Hijacker die Kontrolle über bestimmte Arten des Epfangens- und Senden von
Informationen zu erhalten.
HijackThis durchsucht erst die Protokollsektion der Registrierung nach nicht-standard
Protokollen. Wenn es eines findet, dann fragt es die dort aufgeführte CLSID nach
einer Information über den dazugehörigen Zielpfad.
Allgemein bekannte Schädlinge für diese Sektion sind CoolWebSearch, Related Links
und Lop.com. Wenn Sie diese finden, sollten Sie HijackThis dies reparieren lassen.
Nutzen Sie Google um heraus zu finden ob die Einträge legiitim sind. Sie können auch Castlecop's O18 Liste
nutzen um Hilfestellung bei der Identifiezierung der Einträge zu erhalten.
Es ist wichtig davon Kenntnis zu nehmen, dass das Reparieren dieser Einträge
nicht den Registrierungsschlüssel oder die damit assoziierte Datei löscht. Sie
sollten in den Abgesicherten Modus wechseln und die Datei manuell löschen.
Diese Sektion entspricht dem StyleSheet Hijacking.
Ein StyleSheet ist eine Formatvorlage um zu definieren wie Seitenlayout, Farben
und Schriftarten beim betrachten der Webseite angezeigt werden. Diese Art von
Hijacking überschreibt das standard StyleSheet, welches für benachteiligte Nutzer
entwickelt wurde und führt zu großen Mengen an Popups und potentiellen Verlangsammungen.
Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Beispiel Auflistung:
O19 - User style sheet: c:\WINDOWS\Java\my.css
Sie können diese Einträge generell entfernen, es sei den Sie haben ein StyleSheet
für Ihre Nutzung laufen.
Wenn Sie diese Einträge reparieren, entfernt HijackThis nicht die angreifende
Datei. Es wird empfohlen in den Abgesicherten Modus zu wechseln und das StyleSheet
manuell zu löschen.
Diese Sektion entspricht den Dateien die durch den AppInit_DLLs Registrierungswert
und dem Winlogon anmelde Unterschlüssel geladen werden.
Der AppInit_DLLs Registrierungswert enthält eine Liste von DLLs die geladen werden,
wenn user32.dll lädt. Ausführbare Windows Programme nutzen die user32.dll,
was bedeutet das alle DLLs die in dem AppInit_DLLs Registrierungswert aufgelistet
sind, auch geladen werden. Dies erschwert es ungemein eine DLL zu entfernen, da
sie mit mehreren Prozessen gestartet wird, von denen einige nicht gestoppt werden
können ohne Systeminstabilität hervor zu rufen. Die user32.dll wird ausserdem von
Prozessen gestartet die automatisch vom System gestartet werden, wenn Sie sich
bei Windows anmelden. Das bedeutet das die Dateien sehr früh während der Windows
Startroutine in den AppInit_DLLs Wert geladen werden und der DLL erlauben sich
selbst zum Schutz zu verstecken, bevor wir Zugang zum System haben.
Diese Methode wird bekannter Weise von CoolWebSearch vrianten genutzt und kann
nur in der Registrierung durch Rechts-klick auf einen Wert gesehen werden. Sie
müssen dafür Binärwert ändern wählen.
Registrar Lite,
andererseits macht es wesentlich leichter diese DLL zu sehen.
Es gibt nur sehr wenige legitime Programme die diesen Registrierungsschlüssel
nutzen. Aber Sie sollten mit Vorsicht an das Löschen der hier gelisteten Dateien
herangehen. Nutzen Sie google um fest zu stellen ob ein Eintrag legitim ist. Sie sollten für O20 Einträge folgende Seiten konsultieren:
Wenn Sie diese Einträge reparieren, entfernt HijackThis nicht die angreifende
Datei die hier gelistet wurde. Es wird daher empfohlen diese im Abgesicherten
Modus zu entfernen.
Windows Anmeldung
Der Windows Anmeldungsschlüssel wird generell von den Look2Me Infizierungen
genutzt. HijackThis wird alle Winlogon Anmeldungsschlüssel auflisten die nicht
Standard sind. Dies ermöglicht Ihnen die einfache Identifiezierung von den
Einträgen die dort nicht hingehören. Den Look2Me Infektionsschlüssel können Sie
durch einen per Zufall erstellten DLL Namen im %SYSTEM% Pfad erkennen. Der Name
des Anmeldungsschlüssels wird einen Normalwirkenden Namen besitzen, obwohl es
dort nicht hingehört.
Diese Sektion entspricht den Dateien die durch den Registrierungsschlüssel
ShellServiceObjectDelayLoad geladen werden.
Dieser Registrierungsschlüssel enthält Werte auf eine ähnliche Art und Weise
wie der Run Registrierungsschlüssel. Der Unterschied ist der, das anstatt direkt
auf die Datei zu verweisen, es auf die CLSIDs inProcserververweist. Inprocserver
enthält Informationen zu der jeweiligen DLL die in Benutzung ist.
Die Dateien unter diesem Registrierungsschlüssel werden automatisch durch
Explorer.exe geladen, wenn Ihr Computer hochfährt. Da Explorer.exe die Benutzeroberfläche
Ihres Computers ist, wird es immer starten und daher immer die Dateien unter diesem
Registrierungsschlüssel laden und dies auch sehr früh während des Hochfahrens
Ihres Computers. Ohne das irgendeine menschliche Einmischung statt findet.
Ein Hijacker der diese Methode nutzt, kann durch die folgenden Einträge identifiziert werden:
O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll
HijackThis nutzt eine interne Weiße Liste für
nicht angezeigte gebräuchliche legitime Einträge unter diesem Schlüssel. Sollten
Sie hierfür eine Auflistung finden, dann ist es kein Standardeintrag und sollte
als fragwürdig betrachtet werden. Wie auch zuvor, sollten Sie eine Recherche bei
Google nach jeder aufgelisteten DLL durchführen. Sie sollten für O20 Einträge folgende Seiten konsultieren:
Wenn Sie derartige Einträge reparieren, wird HJT nicht die angreifende Datei löschen.
Es ist daher erneut empfohlen im Abgesicherten Modus diese Datei manuell zu entfernen.
zu 36: O22 Sektion
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Seien Sie vorsichtig beim Entfernen dieser Einträge, da einige von Ihnen
legitim sind. Sie können Google nutzen um heraus zu finden, ob es ein gültiger
Schlüssel ist. CWS.Smartfinder kann mit CWShredder entfernt werden. Sie sollten für O20 Einträge folgende Seiten konsultieren:
HijackThis wird den SharedTaskScheduler Wert löschen, der mit diesem Eintrag
assoziiert ist, aber nicht die CLSID zu der es verweist und der Datei zu der
die CSLID's Inprocserver32 verweist. Daher sollte immer im Abgesicherten Modus
manuell gelöscht werden.
Diese Sektion entspricht den XP, NT, 2000 und 2003 Diensten.
Dienste sind Programme die automatsch durch Windows bei Systemstart geladen werden.
Diese Dienste werden geladen, egal ob sich ein Nutzer bei Windows anmeldet oder
nicht und werden tendenziell für Windows Betriebssystem weite Prozeße genutzt.
Diese können Antivirus Programme, oder Anwendungs Server sein. In letzter Zeit
hat sich ein verstärkter Trend gezeigt bei dem Malware diese Dienste nutzt um ein
System zu infizieren. Es ist daher wichtig das jeder der verdächtigen Einträge
genauer angesehen wird. Allgemein bekannte Malware Dienste, die Sie eventuell
finden könnten, sind der Home Search Assistant und die neue Bargain Buddy variante.
Assoziierte Beispiel Auflistungen können Sie etwas weiter unten finden.
Die meißten der Microsoft Dienste wurden der Weißen Liste hinzugefügt, so dass
diese nicht aufgelistet werden. Wenn Sie diese jedoch sehen möchten können Sie
dies durch das Starten von HijackThis mit /ihatewhitelists.
Wenn Sie O23 Einträge reparieren, wird HijackThis den Autostart für diesen
Dienst deaktivieren, den Dienst stoppen und dann den Benutzer bitten den Computer
neu zu starten. Es wird nicht den jeweiligen Dienst aus der Registrierung löschen,
oder die Datei zu der es zeigt. Um den Dienst zu löschen, müssen Sie den Namen
des Dienstes wissen. Der Dienstname ist der Text zwischen den runden Klammern,
Ist der angezeigte Name der selbe, wie der des Dienstes, dann wird der Dienstname
nicht aufgelistet. Es gibt 3 Methoden um diesen Dienstschlüssel zu entfernen:
Löschen Sie es, indem Sie den SC Befehl nutzen. Dazu geben Sie folgendes
unter Start --> Ausführen ein: sc delete servicename.
Nutzen Sie eine Registrierungsdatei um einen Dienst zu löschen. Die u.g.
Registrierungsdatei ist ein Beispiel um Angelex.exe des Bargain Buddy zu entfernen:
Nutzen Sie HijackThis um einen Dienst zu löschen. Sie können auf Config,
dann Misc Tools und dann klicken Sie Delete an NT Service an.
Wenn es dann öffnet, sollten Sie den Dienstnamen eingeben und OK drücken.
Seien Sie vorsichtig beim entfernen Einträge dieser Auflistungen, da die meißten
legitime Einträge sind. Sie können folgende Seiten nutzen um nach O23 Einträgen
zu recherchieren:
Diese Sektion entspricht dem Windows Active Desktop
Komponenten.
Achtung: Dieser Eintrag ist zur
Zeit nur in der Beta Version von TrendMicro HijackThis vorhanden. Wir
empfehlen TrendMicro HijackThis nicht zu nutzen, bis es aus dem Beta
Stadium ist.
Active Desktop Komponenten sind lokale, oder auf externen PCs
gespeicherte HTML Dateien die direkt in den Desktop als Hintergrund
eingebettet sind.
Infizierungen nutzen diese Methode um Nachrichten, Bilder oder
Webseiten in den Desktop des Benutzers einzubetten. Allgemeines
Beispiel fuer die Nutzung dieser Infizierung ist die SmitFraud Familie
der "rogue anti-spyware" (angebliche Spyware-Entfernungstools). Diese
Tools nutzen den Active Desktop um falsche Sicherheitswarnungen als den
Hintergrund des Benutzers darzustellen.
Andere Infizierungen die diese Methode nutzen können mit den
folgenden Links genauer recherchiert werden:
Da es moeglich ist, dass jemand mit Absicht eine Desktop
Komponente konfiguriert hat, wird geraten bei unbekannten Komponenten
den Benutzer zu fragen, ob er diese mit Absicht hinzugefuegt hat.
Zu diesem Zeitpunkt scheint es, als ob TrendMicro beta diese
Eintraege nicht korrekt entfernt. Sie koennen diese Eintraege durch die
folgenden Schritte manuell entfernen:
Klicken Sie auf den Start
Button und waehlen Sie dann Systemsteuerung.
Doppel-klicken Sie auf das Darstellung und
Design Systemsteuerungsicon.
Klicken Sie auf Desktophintergrund aendern.
Klicken Sie auf den Desktop anpassen
Button.
Klicken Sie auf den Web
Reiter auf dem neu erscheinenden Fenster.
Unter den Webseiten: Fenster
werden Sie nun eine Liste der Active Desktop Komponenten sehen.
Selektieren Sie einfach eine Komponente die Sie entfernen wollen und
klicken Sie auf den Loeschen Button.
Klicken Sie auf den OK Button
um dieses Fenster zu schließen.
Klicken Sie nun auf den Uebernehmen
Button und dann den OK Button um das
"Eigenschaften von Anzeige" Fenster zu schließen
Loeschen Sie die Datei, die mit dem O24 Eintrag assoziiert
ist.
Der O24 Eintrag sollte nun aus Ihrem HijackThis Log entfernt
sein
HijackThis ist ein sehr leistungsfähiges Hilfsprogramm um die genauen Angaben
Ihres Browsers und was unter Windows läuft heraus zu finden. Leider kann die
Diagnose eines HijackThis Logs sehr kompliziert sein. Hoffentlich hat jedoch
diese Schilderung / Erklärung Ihrem Verständis von HijackThis etwas geholfen.
Dieses Programm sollte jedoch immer mit einem gewissen Maße an Vorsicht genossen
werden, da falsch entfernte Einträge zu Problemen mit legitimen Programmen führen
kann. Sollten Sie jedoch jegliche Fragen haben, so posten Sie diese bitte in
unserem Hijackthis
Logs and Analysis Forum / Online-
und Pc-Sicherheitsforum..
Have a problem and would like to ask us for help? To learn how to ask your question Click Here!
Do you have popups or other malware infecting your computer? If so, Start Here!
Are you having trouble using this site? Then you should visit the New User Orientation Center!
BleepingComputer.com -> Tutorials -> Spyware/Hijacker/Malware Removal -> Wie HijackThis genutzt wird um Browser Hijacker + Spyware zu entfernen (HijackThis Tutorial in German)
Figure 1. Startschirm von HijackThis
Figure 3. Scan Resultate
Figure 6. BackUps
