Trojaner-Info Spezial
					Homepage
			HijackThis Anleitung
		HijackThis Anleitung - Deutsche Übersetzung Hinweis: Diese deutsche Übersetzung erfolgte nach besten Wissen und Gewissen auf dem Stand der englischsprachigen Originalseite HijackthisTutorial vom 28. Januar 2004, ergänzt um die erweiterten Angaben mit Stand vom 30. Juni 2004 und 13. Januar 2005. Dennoch können etwaige Übersetzungsfehler nicht ausgeschlossen werden. Bitte außerdem beachten, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch diese Übersetzung inhaltlich abweichen kann. In diversen Foren zum Thema Internetsicherheit, häufen sich die Bitten verunsicherter Anwender nach Hilfe bei der Analyse der Logdatei von HijackThis, weil sie nicht wissen, welche Einträge 'gut' und welche 'schlecht' sind. Ohne dieses Wissen ist es kaum möglich, 'schlechte' Einträge herauszufinden und mit HijackThis zu reparieren (zu fixen). Dies ist eine einführende Erläuterung, der einzelnen Angaben (und ihrer Bedeutungen) eines HijackThis-Log. Bleiben Fragen offen oder bei Zweifeln kann eine erstellte Log-Datei natürlich auch weiterhin mit der Bitte um Hilfe in einen neuen Beitrag in unserem Forum kopiert werden. << Zurück zur Übersicht O20 - AppInit_DLLs-Autostarteinträge in der Registry Beispieleinträge: O20 - AppInit_DLLs: msconfd.dll Was zu unternehmen ist: Dieser Registry-Wert, zu finden unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art (z. B. Norton CleanSweep benutzt die APITRAP.DLL). Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt. Falls eine 'verborgene' DLL durch diesen Registry-Wert (nur sichtbar, wenn im Registrierungs-Editor unter Ansicht die Option 'Binärdaten anzeigen' verwendet wird) geladen wird, kann dem dll-Namen das Zeichen '|' vorangestellt sein, um diesen Eintrag im Log sichtbar zu machen. O21 - ShellServiceObjectDelayLoad (SSODL)-Autostarteinträge in der Registry Beispieleinträge: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll Was zu unternehmen ist: Hierbei handelt es sich um eine undokumentierte Autostart-Methode, welche normalerweise von einigen wenigen Windows System Komponenten genutzt wird. Einträge unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad werden beim Windows-Start durch den Explorer mit gestartet. HijackThis benutzt eine Whitelist verschiedener 'SSODL'-Einträge. Wird ein solcher Eintrag im Log angezeigt handelt es sich um einen unbekannten Eintrag, der möglicherweise schadhaft. Hier gefundene Einträge sollten mit besonderer Vorsicht behandelt werden. O22 - SharedTaskScheduler-Autostarteinträge in der Registry Beispieleinträge: O22 - SharedTaskScheduler: (no name - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll Was zu unternehmen ist: Hierbei handelt es sich ebenfalls um eine undokumentierte Autostart-Methode unter Windows NT/2000/XP, welche nur äußerst selten angewandt wird. Bisher ist nur CWS.Smartfinder für die Verwendung dieser Methode bekannt. Hier gefundene Einträge sollten ebenfalls mit besonderer Vorsicht behandelt werden. O23 - Windows NT Services-Dienste unter Windows NT Beispieleinträge: O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe Was zu unternehmen ist: Hier werden alle nichtwindowseigenen Dienste aufgelistet. Diese Liste sollte identisch sein, mit den Autostarteinträgen des Msconfig-Tools unter Windows XP. Diverse Hijacking-Trojaner benutzen in Verbindung mit weiteren Autostartmöglichkeiten einen eigenen Dienst um sich immer wieder selbst neu zu installieren. Der komplette Name eines solchen Dienstes klingt zumeist äußerst wichtig, z. B. 'Network Security Service', 'Workstation Logon Service' oder 'Remote Procedure Call Helper', aber der interne Name (in Klammern) ist eine Sammlung unsinniger Zeichen, z. B. 'O?’ŽrtñåȲ$Ó'. Der hintere Teil der jeweiligen Zeile zeigt den Namen der Datei an, welche zu diesem Dienst gehört. Achtung: Das 'Fixen' eines 023-Eintrages beendet und deaktiviert lediglich einen solchen Dienst. Es ist daher erforderlich, den Dienst entweder manuell oder mit einem entsprechenden Tool aus der Registry zu entfernen. In HijackThis 1.99.1 oder höher kann die Option 'Delete NT Service' unter 'Misc Tools' hierfür genutzt werden. Das BrowserHijacking nutzt eine (von vielen) Schwachstellen des Internet Explorers von Microsoft aus. Deshalb kann HijackThis auch 'nur' die Veränderungen durch BrowserHijacker reparieren, aber es bietet keinen vorbeugenden Schutz vor erneuten Infektionen. Wer nicht -zum Beispiel aus beruflichen Zwängen- auf die Nutzung des Internet Explorers angewiesen ist, sollte sich Gedanken über einen Wechsel zu einem alternativen Browser machen. Mozilla, Mozilla Firefox oder Opera bieten mindestens den gleichen Surfkomfort wie der Internet Explorer bei einem Mehr an Sicherheit. Ganz gleich, welcher Browser favorisiert wird. Ein regelmäßiges Windowsupdate ist auf jeden Fall unerläßlich. Version zum drucken bzw. als PDF-Datei downloaden (90 KB) Lutz (lk) 01.07.2004 (zuletzt ergänzt am 24. Jan. 2004)