Sicherheitsorientierte Anleitungen
Check mit Tool "HijackThis
Hier will ich beschreiben, wie man bei evtl. Viren/Trojaner - Befall den Rechner mit "HijackThis" untersucht. Dabei gehe ich auf auch auf die Auswertung des Logfiles ein und erläutere Programmeinträge zum besseren Verständnis.
Anwendung vorbereiten und starten
Zunächst muss man sich das Tool downloaden, zu finden unter Merijn.org. Aktuell ist die
Version 1.99.1. Starten lässt sich das Programm einfach mit der exe-Datei. Es ist keine Installation notwendig.
Nachfolgend erscheint der Startdialog des Programms:
Jetzt kann man den Scanvorgang starten "Do a system scan only". Nach dem erfolgreichen Scan zeigt HijackThis die gefundenen suspekten Einträge an:
Auswertung
Die gefundenen Einträge müssen nicht alle betroffen sein; wir konzentrieren uns auf Einträge mit komischen Namen oder (file missing)-Einträge.
Damit wir aber das Scanergebnis aber besser verstehen, folgt nun eine Liste mit näheren Erläuterungen zu einzelnen Ergebnisszeilen:
| Einträge: | |
|---|---|
| R0, R1, R2, R3 | Internet Explorer Start- /Suchseiten |
| F0, F1 | Autostart-Programmeinträge in INI-Dateien |
| N1, N2, N3, N4 | Netscape/Mozilla Start- /Suchseiten |
| O1 | Eingetragene Umleitungen in der Datei HOSTS |
| O2 | BHO-Programmerweiterungen des IE (Browser Helper Objects) |
| O3 | Internet Explorer Werkzeugleiste (Toolbar) |
| O4 | Autostartaufrufe aus der Registry |
| O5 | IE Optionen werden unter 'Extras' nicht angezeigt |
| O6 | Zugriff auf IE Optionen durch Administrator verhindert |
| O7 | Zugang auf Regedit durch Administrator verhindert |
| O8 | Extra Einträge im 'Rechts-Klick-Menü' des IE |
| O9 | Extra Buttons in der IE-Toolbar, oder zusätzliche Einträge im IE-Menü 'Extras' |
| O10 | Winsock Veränderungen |
| O11 | Zusätzliche Gruppe im IE-Fenster 'Erweiterte Optionen' |
| O12 | IE Plugins (Programmerweiterungen des IE) |
| O13 | Veränderung der Standard Voreinstellungen des IE |
| O14 | Veränderungen unter 'Webeinstellungen zurücksetzen' |
| O15 | Unerwünschte Seiten in 'Vertrauenswürdige Seiten' |
| O16 | ActiveX-Objekte (auch bekannt als Downloaded Program Files) |
| O17 | Lop.com-Domain Veränderungen |
| O18 | Zusätzliche bzw. veränderte Protokolle |
| O19 | Veränderungen des 'User Style Sheet' (CSS) |
| Neu hinzugekommene Einträge ab der Version HijackThis 1.98: | |
| O20 | AppInit_DLLs - Autostarteinträge in der Registry |
| O21 | ShellServiceObjectDelayLoad (SSODL) - Autostarteinträge in der Registry |
| O22 | SharedTaskScheduler - Autostarteinträge in der Registry |
| Neu hinzugekommene Einträge ab der Version HijackThis 1.99: | |
| O23 | Windows NT Services - Dienste unter Windows NT |
Jeder Bereich in einem HijackThis-Log beginnt mit einem Bereichstitel. Für technische Informationen über die einzelnen Bereiche, kann im Hauptfenster von HijackThis auf 'Info' geklickt und dann nach unten gescrollt werden. Mit Markieren des gewünschten Bereichs und einem weiteren Klick auf 'More info on this item' erhält man innerhalb des Programms HijackThis Hinweise zum ausgewählten Bereich (Anmerkung: Die Erläuterungen sind in englischer Sprache).
Mit dem Button "Fix checked" können wir einen Reparaturversuch starten, die jeweiligen Zeilen sind dabei anzukreuzen.
Wer will, kann das Log zur späteren Auswertung mit dem Button "Save Log" abspeichern. Viele Internet-Foren bieten auch eine Auswertung des Logs an, falls man sich nicht an das System herantraut.