Hijackthis 1.98, bitte nutzt es fuer neue Logs Einstellungen

[raman]

Hijackthis 1.98 ist Verfuegbar. Zur Zeit wohl nur ueber die Updatefunktion einer aelteren Hijackthis Version. Zu finden unter config/misc Tools/Check for update online oder hier: http://www.net-integration.net/tools/hijackthis.html

Folgendes hat sich geaendert:

HijackThis 1.98:
* Added freaking 50 new Registry value to scan for IE!
* Added status text during scan.
* Added a ton of new files to the LSP whitelist (missing imon.dll
shouldn't show anymore as well).
* Support for non-US character sets (Japanese, Traditional/Simplified
Chinese and Korean)!
* Fixed a bug where R3 entries ending in '}_' weren't fixed.
* Backups are now placed in a seperate folder labelled 'backups'.
* Improved detection of O4 Registry autoruns, RunServicesOnce key is now
also checked.
* Fixed a possible catastrophic bug in fixing of F2 Userinit entries
(incorrect backup restore).
* Added small process manager and hosts file editor (Misc Tools).
* Disabled routine to fix O10 items, since this can break the Winsock LSP
stack.

Der Beitrag wurde von raman bearbeitet: 29.06.2004, 17:53

[SAM]

hi,
ich frag gleich hier - oder soll ich dafür einen neuen thread aufmachen ?

die neue hijackthis version findet bei mir dieses:

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,



"Einträge unter 'F0' sind immer 'schlecht' und sollten gefixt werden."
steht bei trojaner-info-allerdings ist ja nach shell= nix eingetragen .
trotzdem fixen ????

und zu F2 hab ich nix gefunden ...ist o.k. oder ?

danke und gruß
sam

[SAM]

zu F0 ist klar - habs selbst gefunden

bleibt F2 ???

[Remover]

@Raman

DANKE!!!!

[raman]

Das mit den "F" Eintraegen ist mir auch schleierhaft, das zeigt es hier auch an, aber hier funktioniert es auf einem Rechner eh nicht 100%ig. Ich dachte es lag daran.

[tost]

Bei mir zeigt es auch schleierhafte Einträge an, die ich vorher nie gesehen habe ! :

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

mfg
tost

[Remover]

dito
beide Eintraege auf ein komplett neu installiertem System!

[JFK]

Hier etwas Licht ins Dunkle

The different sections of hijacking possibilities have been separated into these groups:
R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key

JFK

[Grinko]

Bei mir wird der F0 und der F2 Eintrag ebenfalls angezeigt.
Was mich mehr stört ist dieser Eintrag, der bei 1.97 nicht zu sehen war:
O20 - AppInit_DLLs: wbsys.dll
EDIT: Gehört wohl zu Windowblinds.

Der Beitrag wurde von Grinko bearbeitet: 29.06.2004, 17:29

[SAM]

@JFK

hier gibts das ´ganze auch in deutsch

http://www.trojaner-info.de/anleitungen/hi...ogtutorial.html

gruß sam

[JFK]

@ Sam

kenn ich
Die Frage von tost richtete sich doch nach F2.
Dahingehend müsste die Anleitung auf Trojanerinfo noch überarbeitet werden, da einige Punkte in der Version1.98 dazugekommen sind.

F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key

JFK

[Gast_rock_*]

hey,
danke für die info,...soll man noch warten mit der installation der neuen version? irgendwie klingt's so nicht ganz sicher wenn ich so durchlese...

BestenGruss
rock

Der Beitrag wurde von rock bearbeitet: 30.06.2004, 13:45

[DerBilk]

Dahingehend müsste die Anleitung auf Trojanerinfo noch überarbeitet werden, da einige Punkte in der Version1.98 dazugekommen sind.

Das steht auch schon auf der 'to-do'-Liste
Allerdings wird das vorm Urlaub vermutlich nichts mehr...
Im 'englischen' Original ist es auch noch nicht drin, so kann ich es auch schlecht übersetzen...

[SAM]

@ JFK,
klar, du hast recht - JETZT seh ich den unterschied auch.
du hast genauer gelesen.

[DerBilk]

Das englischsprachige Original des HijackThis-Tutorials ist mittlerweile ergänzt worden:
-> http://www.spywareinfo.com/~merijn/htlogtutorial.html

[Gast_rock_*]

was ist damit gemeint?
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key

was kann sich warum dort befinden?

besten gruss
rock

edit: okey hab's schon: sowas kann's sein:
WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL
AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL

Der Beitrag wurde von rock bearbeitet: 02.07.2004, 12:40

[Gast_NyteWysh_*]

Eine gefixte Version von HJT ist erschienen.

Die Einträge

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

erscheinen nun nicht mehr.


Hier ist ein Download möglich. Spywareinfo.com reagiert im Moment nicht.