Druckversion des Themas

Geschrieben von: raman 29.06.2004, 11:33

Hijackthis 1.98 ist Verfuegbar. Zur Zeit wohl nur ueber die Updatefunktion einer aelteren Hijackthis Version. Zu finden unter config/misc Tools/Check for update online oder hier: http://www.net-integration.net/tools/hijackthis.html

Folgendes hat sich geaendert:

HijackThis 1.98:
* Added freaking 50 new Registry value to scan for IE!
* Added status text during scan.
* Added a ton of new files to the LSP whitelist (missing imon.dll
shouldn't show anymore as well).
* Support for non-US character sets (Japanese, Traditional/Simplified
Chinese and Korean)!
* Fixed a bug where R3 entries ending in '}_' weren't fixed.
* Backups are now placed in a seperate folder labelled 'backups'.
* Improved detection of O4 Registry autoruns, RunServicesOnce key is now
also checked.
* Fixed a possible catastrophic bug in fixing of F2 Userinit entries
(incorrect backup restore).
* Added small process manager and hosts file editor (Misc Tools).
* Disabled routine to fix O10 items, since this can break the Winsock LSP
stack.

Geschrieben von: SAM 29.06.2004, 12:19

hi,
ich frag gleich hier - oder soll ich dafür einen neuen thread aufmachen ?

die neue hijackthis version findet bei mir dieses:

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,



"Einträge unter 'F0' sind immer 'schlecht' und sollten gefixt werden."
steht bei trojaner-info-allerdings ist ja nach shell= nix eingetragen .
trotzdem fixen ????

und zu F2 hab ich nix gefunden ...ist o.k. oder ?

danke und gruß
sam

Geschrieben von: SAM 29.06.2004, 12:27

zu F0 ist klar - habs selbst gefunden

bleibt F2 ???

Geschrieben von: Remover 29.06.2004, 12:28

@Raman

DANKE!!!!

Geschrieben von: raman 29.06.2004, 13:26

Das mit den "F" Eintraegen ist mir auch schleierhaft, das zeigt es hier auch an, aber hier funktioniert es auf einem Rechner eh nicht 100%ig. Ich dachte es lag daran.

Geschrieben von: tost 29.06.2004, 13:30

Bei mir zeigt es auch schleierhafte Einträge an, die ich vorher nie gesehen habe ! :

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

mfg
tost

Geschrieben von: Remover 29.06.2004, 15:18

dito
beide Eintraege auf ein komplett neu installiertem System!

Geschrieben von: JFK 29.06.2004, 15:34

Hier etwas Licht ins Dunkle

The different sections of hijacking possibilities have been separated into these groups:
R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key

JFK

Geschrieben von: Grinko 29.06.2004, 17:29

Bei mir wird der F0 und der F2 Eintrag ebenfalls angezeigt.
Was mich mehr stört ist dieser Eintrag, der bei 1.97 nicht zu sehen war:
O20 - AppInit_DLLs: wbsys.dll
EDIT: Gehört wohl zu Windowblinds.

Geschrieben von: SAM 29.06.2004, 21:56

@JFK

hier gibts das ´ganze auch in deutsch

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

gruß sam

Geschrieben von: JFK 30.06.2004, 04:16

@ Sam

kenn ich
Die Frage von tost richtete sich doch nach F2.
Dahingehend müsste die Anleitung auf Trojanerinfo noch überarbeitet werden, da einige Punkte in der Version1.98 dazugekommen sind.

F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key

JFK

Geschrieben von: rock 30.06.2004, 06:43

hey,
danke für die info,...soll man noch warten mit der installation der neuen version? irgendwie klingt's so nicht ganz sicher wenn ich so durchlese...

BestenGruss
rock

Geschrieben von: DerBilk 30.06.2004, 07:00

Das steht auch schon auf der 'to-do'-Liste
Allerdings wird das vorm Urlaub vermutlich nichts mehr...
Im 'englischen' Original ist es auch noch nicht drin, so kann ich es auch schlecht übersetzen...

Geschrieben von: SAM 30.06.2004, 10:13

@ JFK,
klar, du hast recht - JETZT seh ich den unterschied auch.
du hast genauer gelesen.

Geschrieben von: DerBilk 30.06.2004, 21:10

Das englischsprachige Original des HijackThis-Tutorials ist mittlerweile ergänzt worden:
-> http://www.spywareinfo.com/~merijn/htlogtutorial.html

Geschrieben von: rock 02.07.2004, 12:25

was ist damit gemeint?
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key

was kann sich warum dort befinden?

besten gruss
rock

edit: okey hab's schon: sowas kann's sein:
WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL
AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL

Geschrieben von: NyteWysh 04.07.2004, 09:41

Eine gefixte Version von HJT ist erschienen.

Die Einträge

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

erscheinen nun nicht mehr.


http://www.majorgeeks.com/download3155.html ist ein Download möglich. Spywareinfo.com reagiert im Moment nicht.