Meine HJT-Anleitung, ->zieht um Einstellungen

[Grinko]

Da ich meinen Funpic-Account in nächster Zeit löschen will und einige User noch Gebrauch meiner bescheidenen Anleitung für HJT machen, poste ich sie nun hier rein, damit sie nicht im Datennirvana verschwindet.
Hierbei handelt es sich nur um das Copy&Paste meiner Seite.
----------------------------------------------------------------
HijackThis

Mittlerweile ist HJT eines der wichtigsten Programme bei einem Befall von sog. “Browser Hijackern” (dt. Browser-Entführer) oder anderen schädlichen Objekten. Es zeigt dabei nur eine Liste, die ein Nicht-Experte kaum versteht, aber gepostet in Foren (z.B. Rokop Security) den Experten sofort zeigt, was sich im System so alles befindet.

Diese Anleitung soll einerseits eine grundlegende Hilfestellung für die Bedienung von HJT sein, andererseits auch die verschiedenen Einträge und deren richtige Interpretierung erklären.

WICHTIG: Ich habe diese Anleitung nach bestem Wissen und Gewissen erstellt. Jedoch kann selbst ich mich irren. Solltet ihr einen Fehler finden, bitte eine kurze Mail an mich. Ich kann für evtl. Schäden nicht haftbar gemacht werden!

Diese Seite soll ausserdem lediglich eine Hintergrundinformation liefern, bei akuten Browser-Hijacker-Befall solltet ihr euch an diese Seite halten: Rokop Securitys Erste Hilfe bei Browser Hijackern

PS: E-Mails beantworte ich gerne, aber bitte nicht zu viele auf einmal

-------------------------------------------------------------------
Startet man das Programm, sieht man zuerst das:

Scan: HJT beginnt mit dem Sammeln von Informationen und zeigt diese im weißen Feld.
Fix checked: Momentan deaktiviert, weil noch keine Informationen gesammelt wurden. Dazu später mehr.
Info on selected item: Diese Option zeigt nicht, was das für ein Eintrag ist und was er macht, sondern liefert allgemeine Informationen zur Gruppe, in der sich dieser Eintrag befindet.
Die Gruppen sind mit Buchstaben-Zahlen-Kombinationen gekennzeichnet, die sich vor jedem Eintrag befinden, Beispiel: R0, R1, O2, O4, usw.
Info: Liefert allgemeine Informationen zu HijackThis, eine Versionshistory und detailierte (englische) Erklärungen zu den einzelnen Gruppen. So etwas auf Deutsch findet ihr hier auch, aber nur mit den wichtigsten, die auf jedem System vorzufinden sind.
Config: Allgemeine Einstellungen. Diese sind schon richtig konfiguriert, eine Änderung ist selten nötig. Unter “Backups” kann man Sicherungen zurückspielen (bei Problemen) und unter “Misc” kann man HJT updaten oder eine spezielle Autostartliste erstellen. Es kann sein, dass sich ein Schädling so gut versteckt, dass selbst HJT ihn nicht findet. Dann kann ein Forenmitglied diese Liste anfordern, welche den Unterschied hat, dass sie sich auf alle Autostarts konzentriert statt auf das ganze System. Ich werde jedoch (noch) nicht näher darauf eingehen, Details bitte beim jeweiligen Forenmitglied erfragen.


Also lassen wir HJT erstmal arbeiten. Klick auf Scan.

Auf meinem System bietet sich dann folgendes:


Die zwei Änderungen: Im vorher leeren Feld befinden sich nun die Einträge, die HJT gefunden hat.Als zweites wandelt sich der “Scan” button in “Save log”. Ein Experte vermag nun sofort “gute” von suspekten Einträgen zu unterscheiden und die suspekten zu löschen.
Der unerfahrene Anwender kann aber mit dieser Liste nicht viel anfangen. Deswegen kann HJT diese Liste in einer Textdatei speichern.

Also klick auf Save log (dt, speichere einen Bericht)

(Die Maus ist hier nicht sichtbar)

Nun kann man diese Datei an einem beliebigen Platz speichern.

Öffnen wir mal die Datei. (Sollte beim Öffnen ein Programm-Auswahlfeld kommen beim Öffnen, wähle Notepad oder Editor)
Sie sieht so aus:

-----------------------
So sieht die geöffnete Datei aus. Der Inhalt variiert von Computer zu Computer.

Der Kopf des Logs scheint auf den ersten Blick unwichtig, jedoch kann man aus ihm wichtige Informationen herauslesen:

Logfile of HijackThis v1.97.7
Scan saved at 08:27:57, on 23.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

In der ersten Zeile kann man die Versionsnummer von HJT sehen. Man kann in Foren darauf hingewiesen werden, dass die verwendete HJT-Version veraltet ist. Es kann sein, dass einige Schädlinge von dieser alten Version nicht gefunden werden, aber die neuen Versionen von HJT gegen diese Art von Manipulation immun sind. Updaten kannst du einfach, indem du dir HJT nochmal herunterlädst (Link siehe Programmliste).

Die zweite Zeile gibt die Zeit des Scans an.

Die dritte zeigt die Version des Betriebssystems. Windows steckt leider voller Sicherheitslücken, die mit Patches nach und nach gestopft werden. Viele Schädlinge nutzen Sicherheitslücken aus und sind bei gepatchten Systemen wirkungslos.
Anhand der Versionsnummer kann man erkennen, ob das System auf dem neuesten Stand ist. Man muss nur die Versionsnummer, die bei Windows gerade aktuell ist, mit der auf dem System vergleichen. Stimmen sie überein, ist das System auf dem neuesten Stand, ist die auf dem System niedriger, ist das System veraltet.

Patches kann man über die Verknüpfung im Startmenü beziehen (Windows-Update) oder man besucht mit dem Internet Explorer www.windowsupdate.com.

Dasselbe gilt für den IE: Viele Browser Hijacker nutzen Lücken aus, die mit den Patches geschlossen werden. Anhand der IE-Versionsnummer in der vierten Zeile kann man erkennen, ob der IE veraltet und deswegen anfällig ist.

Nun kommen wir zum ersten Teil der Liste: die Running Processes (dt. momentan laufende Prozesse)
-----------------------------
Die Running Processes

Es läuft immer, wenn der Computer eingeschaltet ist (also auch gerade jetzt, wo du diesen Text liest) eine Reihe Programme im Hintergrund. Diese Liste zeigt alle Programme, die zum Zeitpunkt des Scans im Hintergrund liefen.

Als Beispiel mein System:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\InetSecurity\Sygate Firewall\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\NOD32\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\RealVNC\winvnc4.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\NOD32\nod32kui.exe
F:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\Bruno\Desktop\HijackThis.exe

Man muss hier lernen, suspekte von normalen Prozessen zu unterscheiden.

Eine Hilfe bietet hier Google oder die Prozessliste von Sysinfo; das einfachste ist es, den Prozessnamen ins Suchfeld einzutippen und sich die Ergebnisse anzusehen. Besonders die Resultate mit dem Namen “Process Information” geben einem Informationen über die Art dieses Prozesses.

Typische Windows-Prozesse sind:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe (Mehrere davon gleichzeitig sind normal)
C:\WINDOWS\system32\spoolsv.exe

VORSICHT! Viele Schädlingsautoren versuchen den Anwender reinzulegen, indem sie die Wurmdatei (den Schädling) ähnlich benennen wie Windows-Prozesse. Dem Anwender fällt das meist nicht auf. Aber sobald eine Datei auch nur einen geringen Unterschied in Name/Pfad hat, ist es eine völlig andere Datei mit möglicherweise schädlichen Funktionen!

Abhängig vom System gibt es eine Reihe weiterer Prozesse wie Virenscanner, Firewalls, Grafik/Drucker/Soundkartentreiber usw. Auch hier hilft Google.

Auf meinem System sind das diese:

C:\Programme\InetSecurity\Sygate Firewall\Smc.exe --> Ist meine Sygate Firewall
F:\Programme\NOD32\nod32krn.exe --> NOD32 Antivirus System
F:\Programme\NOD32\nod32kui.exe --> NOD32 Antivirus System
F:\Programme\RealVNC\winvnc4.exe --> RealVNC Remote Fernsteuerungsprogramm
F:\Programme\Miranda IM\miranda32.exe --> Miranda Messenger
C:\Dokumente und Einstellungen\Bruno\Desktop\HijackThis.exe --> HJT hat sich selbst gefunden

Eine große Hilfe sind da die Pfadangaben. Die Programme hier finden sich in Pfaden, in denen ich bewusst Programme installiert habe. Also haben diese Programme einen sog. “Wächter” oder “Agenten” und sind meist unschädlich (aber manchmal auch unnötig, wie RealPlayerTask oder QuickTimePlayerAgent. Benutzt die Einstellungen im Hauptprogramm um die Agenten auszuschalten), weil man ja bewusst diese Programme installiert hat. Auch WindowsXPprozesse lernt man nach und nach kennen, die häufigsten habe ich oben aufgelistet.

Wenn man dann kennt, welche Programme für das System normal sind, fallen einem unbekannte Prozesse dann sofort auf.

Schwieriger wird es bei Systemen von anderen Personen, deren installierte Programme man ja nicht kennt. Aber mit der Zeit lernt man häufige Programme wie Treiber oder aber Wurmprozesse schnell kennen und notfalls hilft Google weiter.

Findet ihr einen schädlichen Prozess und es wurde von den Experten gesagt, dass ihr ihn löschen sollt, könnt ihr euch an die Entfernungsanleitung auf Seite 5 halten.

Jedoch ist diese Liste nur eine Momentaufnahme und viele Hijacker haben keinen Prozess, der ständig mitläuft. Kommen wir also zur nächsten Liste von HijackThis:
------------------------------

Der Beitrag wurde von Bo Derek bearbeitet: 22.05.2005, 17:11

[raman]

Wie sieht das eigentlich mit den "O16" Autocad Eintraegen aus? Ich habe mich noh nie getraut die entfernen zu lassen.