So analysieren Sie HijackThis-Protokolle

Innovationsmanagement: So analysieren Sie Ihre Innovationskultur (April 2025)

Innovationsmanagement: So analysieren Sie Ihre Innovationskultur (April 2025)

Inhaltsverzeichnis:

Anonim

HijackThis ist ein kostenloses Tool von Trend Micro. Es wurde ursprünglich von Merijn Bellekom, einem Studenten in den Niederlanden, entwickelt. Spyware-Entfernungssoftware wie Adaware oder Spybot S & D kann die meisten Spyware-Programme erkennen und entfernen. Einige Spyware- und Browser-Hijacker sind jedoch selbst für diese großartigen Anti-Spyware-Dienstprogramme zu schleichend.

HijackThis wurde speziell zum Erkennen und Entfernen von Browser-Hijacks oder von Software entwickelt, die Ihren Webbrowser übernimmt, Ihre Standard-Startseite, Ihre Suchmaschine und andere schädliche Dinge ändert. Im Gegensatz zu herkömmlicher Anti-Spyware-Software verwendet HijackThis keine Signaturen oder zielt auf bestimmte Programme oder URLs, um diese zu erkennen und zu blockieren. HijackThis sucht vielmehr nach den Tricks und Methoden, mit denen Malware Ihr System infiziert und Ihren Browser umleitet.

Nicht alles, was in den Hijack-Protokollen angezeigt wird, ist schlechtes Zeug und sollte nicht alle entfernt werden. Im Gegenteil. Es ist fast garantiert, dass einige der Elemente in Ihren HijackThis-Protokollen legitime Software sind. Das Entfernen dieser Elemente kann Ihr System beeinträchtigen oder völlig funktionsunfähig machen. Verwenden von HijackThis ähnelt dem Editieren der Windows-Registrierung. Es ist keine Hexerei, aber Sie sollten es definitiv nicht ohne fachkundige Anleitung tun, wenn Sie nicht wirklich wissen, was Sie tun.

Nachdem Sie HijackThis installiert und ausgeführt haben, um eine Protokolldatei zu erstellen, gibt es eine Vielzahl von Foren und Websites, auf denen Sie Ihre Protokolldaten veröffentlichen oder hochladen können. Experten, die wissen, wonach sie suchen müssen, können dann bei der Analyse der Protokolldaten behilflich sein und Ihnen mitteilen, welche Elemente entfernt werden müssen und welche nicht.

Um die aktuelle Version von HijackThis herunterzuladen, besuchen Sie die offizielle Website von Trend Micro.

Hier ist eine Übersicht der HijackThis-Protokolleinträge, mit denen Sie zu den gewünschten Informationen springen können:

  • R0, R1, R2, R3 - URLs für Start / Suchseiten der Internet Explorer
  • F0, F1 - Autoloading-Programme
  • N1, N2, N3, N4 - URLs für Netscape / Mozilla-Start / Suchseiten
  • O1 - Umleitung von Hosts
  • O2 - Browser-Hilfsobjekte
  • O3 - Internet Explorer-Symbolleisten
  • O4 - Autoloading von Programmen aus der Registry
  • O5 - IE-Optionssymbol in der Systemsteuerung nicht sichtbar
  • O6 - Zugriff auf IE-Optionen durch Administrator eingeschränkt
  • O7 - Regedit-Zugriff durch Administrator eingeschränkt
  • O8 - Zusätzliche Elemente im Kontextmenü des IE
  • O9 - Zusätzliche Schaltflächen in der Hauptsymbolleiste der IE-Schaltfläche oder zusätzliche Elemente im IE-Menü "Extras"
  • O10 - Winsock-Hijacker
  • O11 - Zusätzliche Gruppe im IE-Fenster "Advanced Options"
  • O12 - IE-Plugins
  • O13 - IE DefaultPrefix-Hijack
  • O14 - Hijack 'Reset Web Settings'
  • O15 - Unerwünschte Site in der vertrauenswürdigen Zone
  • O16 - ActiveX-Objekte (auch als heruntergeladene Programmdateien bezeichnet)
  • O17 - Lop.com Domain-Hijacker
  • O18 - Zusätzliche Protokolle und Protokollentführer
  • O19 - Benutzer-Style-Sheet-Hijack
  • O20 - AppInit_DLLs Registrierungswert wird automatisch ausgeführt
  • O21 - ShellServiceObjectDelayLoad Registrierungsschlüsselautorun
  • O22 - SharedTaskScheduler-Registrierungsschlüssel-Autorun
  • O23 - Windows NT-Dienste

R0, R1, R2, R3 - IE Start und Suchseiten

Wie es aussieht:R0 - HKCU Software Microsoft Internet Explorer Main, Startseite = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (dieser Typ wird von HijackThis noch nicht verwendet)R3 - Standard-URLSearchHook fehlt

Was ist zu tun:Wenn Sie die URL am Ende als Ihre Startseite oder Suchmaschine erkennen, ist dies in Ordnung. Wenn Sie dies nicht tun, überprüfen Sie es und lassen Sie es von HijackThis beheben. Korrigieren Sie diese für die R3-Elemente immer, es sei denn, es wird ein Programm erwähnt, das Sie wie Copernic kennen.

F0, F1, F2, F3 - Automatisches Laden von Programmen aus INI-Dateien

Wie es aussieht:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Was ist zu tun:Die F0-Items sind immer schlecht, also korrigieren Sie sie. Bei den F1-Elementen handelt es sich normalerweise um sehr alte Programme, die sicher sind. Sie sollten also mehr Informationen zum Dateinamen finden, um zu sehen, ob er gut oder schlecht ist. Die Startliste von Pacman kann bei der Identifizierung eines Elements helfen.

N1, N2, N3, N4 - Netscape / Mozilla-Start & Suchseite

Wie es aussieht:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Programme Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumente und Einstellungen Benutzer Anwendungsdaten Mozilla Profile defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumente und Einstellungen Benutzer Anwendungsdaten Mozilla Profile defaulto9t1tfl.slt prefs.js)

Was ist zu tun:Normalerweise sind die Homepage und die Suchseite von Netscape und Mozilla sicher. Sie werden selten entführt, nur Lop.com ist dafür bekannt. Wenn Sie eine URL sehen, die Sie nicht als Startseite oder Suchseite erkennen, lassen Sie diese von HijackThis beheben.

O1 - Hostsfile-Weiterleitungen

Wie es aussieht:O1 - Hosts: 216.177.73.139 auto.search.msn.comO1 - Hosts: 216.177.73.139 search.netscape.comO1 - Hosts: 216.177.73.139 ieautosearchO1 - Die Hosts-Datei befindet sich unter C: Windows Help hosts

Was ist zu tun:Dieser Hijack leitet die Adresse nach rechts zur IP-Adresse nach links um.Wenn die IP-Adresse nicht zur Adresse gehört, werden Sie bei jeder Eingabe der Adresse zu einer falschen Site weitergeleitet. HijackThis kann diese Probleme jederzeit beheben, sofern Sie diese Zeilen nicht wissentlich in Ihre Hosts-Datei einfügen.

Das letzte Element tritt unter Windows 2000 / XP manchmal mit einer Coolwebsearch-Infektion auf. Reparieren Sie diesen Artikel immer oder lassen Sie ihn von CWShredder automatisch reparieren.

O2 - Browser-Hilfsobjekte

Wie es aussieht:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMMDATEIEN YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (kein Name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAMMDATEIEN POPUP-ELIMINATOR AUTODISPLAY401.DLL (Datei fehlt)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAMMDATEIEN MEDIALOADS ENHANCED ME1.DLL

Was ist zu tun:Wenn Sie den Namen eines Browser Helper-Objekts nicht direkt erkennen, suchen Sie anhand der Klassen-ID (CLSID, der Zahl zwischen geschweiften Klammern) nach TonyKs BHO- und Toolbar-Liste, um zu sehen, ob es gut oder schlecht ist. In der BHO-Liste steht "X" für Spyware und "L" für "sicher".

O3 - IE-Symbolleisten

Wie es aussieht: O3 - Symbolleiste: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMMDATEIEN YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Symbolleiste: Popup-Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAMMDATEIEN POPUP-ELIMINATOR PETOOLBAR401.DLL (Datei fehlt)O3 - Symbolleiste: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS ANWENDUNGSDATEN CKSTPRLLNQUL.DLL

Was ist zu tun:Wenn Sie den Namen einer Symbolleiste nicht direkt erkennen, suchen Sie anhand der Klassen-ID (CLSID, die Zahl zwischen geschweiften Klammern) nach TonyKs BHO- und Symbolleistenliste, um zu sehen, ob sie gut oder schlecht ist. In der Symbolleistenliste steht "X" für Spyware und "L" für "sicher". Wenn es sich nicht in der Liste befindet und der Name eine zufällige Zeichenfolge ist und sich die Datei im Ordner 'Anwendungsdaten' befindet (wie der letzte in den obigen Beispielen), handelt es sich wahrscheinlich um Lop.com, und Sie sollten unbedingt HijackThis verwenden es.

O4 - Automatisches Laden von Programmen aus der Registrierungs- oder Autostartgruppe

Wie es aussieht:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Programme Gemeinsame Dateien Symantec Shared ccApp.exe"O4 - Start: Microsoft Office.lnk = C: Programme Microsoft Office Office OSA9.EXEO4 - Globaler Start: winlogon.exe

Was ist zu tun:Verwenden Sie die PacMan-Startliste, um den Eintrag zu finden und zu sehen, ob er gut oder schlecht ist.

Wenn das Element ein Programm zeigt, das sich in einer Startgruppe befindet (wie das letzte Element oben), kann HijackThis das Element nicht reparieren, wenn sich dieses Programm noch im Speicher befindet. Verwenden Sie den Windows Task-Manager (TASKMGR.EXE), um den Prozess vor dem Beenden zu schließen.

O5 - IE-Optionen in der Systemsteuerung nicht sichtbar

Wie es aussieht: O5 - control.ini: inetcpl.cpl = nein

Was ist zu tun:Wenn Sie oder Ihr Systemadministrator das Symbol nicht wissentlich in der Systemsteuerung ausgeblendet haben, lassen Sie HijackThis das Problem beheben.

O6 - Zugriff auf IE-Optionen durch Administrator eingeschränkt

Wie es aussieht:O6 - HKCU Software Policies Microsoft Internet Explorer Einschränkungen vorhanden

Was ist zu tun:Wenn Sie nicht die Spybot S & D-Option "Startseite von Änderungen sperren" aktiviert haben oder Ihr Systemadministrator dies eingerichtet hat, lassen Sie HijackThis das beheben.

O7 - Regedit-Zugriff durch Administrator eingeschränkt

Wie es aussieht:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Was ist zu tun:HijackThis muss dieses Problem immer beheben, es sei denn, Ihr Systemadministrator hat diese Einschränkung vorgenommen.

O8 - Zusätzliche Elemente im Kontextmenü des IE

Wie es aussieht: O8 - Zusätzliches Kontextmenüelement: & Google Search - res: // C: WINDOWS DOWNLOADED-PROGRAMMDATEIEN WelfLETOOLBAR_DE_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Zusätzlicher Kontextmenüpunkt: Yahoo! Suchdatei: /// C: Programme Yahoo! Common / ycsrch.htmO8 - Zusätzlicher Kontextmenüpunkt: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Zusätzlicher Kontextmenüpunkt: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Was ist zu tun:Wenn Sie den Namen des Elements im Kontextmenü des IE nicht erkennen, lassen Sie ihn von HijackThis beheben.

O9 - Zusätzliche Schaltflächen in der Hauptsymbolleiste des IE oder zusätzliche Elemente im Menü "Extras" des IE

Wie es aussieht: O9 - Zusätzliche Taste: Messenger (HKLM)O9 - Zusätzliches Menü "Tools": Messenger (HKLM)O9 - Extra-Taste: AIM (HKLM)

Was ist zu tun:Wenn Sie den Namen der Schaltfläche oder des Menüelements nicht erkennen, lassen Sie es von HijackThis beheben.

O10 - Winsock-Entführer

Wie es aussieht: O10 - Entführter Internetzugang durch New.NetO10 - Defekter Internetzugang aufgrund des LSP-Providers 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' fehltO10 - Unbekannte Datei in Winsock LSP: c: Programme newton knows vmain.dll

Was ist zu tun:Beheben Sie diese am besten mit LSPFix von Cexx.org oder Spybot S & D von Kolla.de.

Beachten Sie, dass "unbekannte" Dateien im LSP-Stack aus Sicherheitsgründen nicht von HijackThis behoben werden.

O11 - Zusätzliche Gruppe im IE-Fenster "Advanced Options"

Wie es aussieht: O11 - Optionsgruppe: CommonName CommonName

Was ist zu tun:Der einzige Hijacker, der dem IE Advanced Options-Fenster jetzt eine eigene Optionsgruppe hinzufügt, ist CommonName. So können Sie HijackThis immer beheben lassen.

O12 - IE-Plugins

Wie es aussieht: O12 - Plugin für .spop: C: Programme Internet Explorer Plugins NPDocBox.dllO12 - Plugin für .PDF: C: Programme Internet Explorer PLUGINS nppdf32.dll

Was ist zu tun:Meist sind diese sicher. Nur OnFlow fügt hier ein Plugin hinzu, das Sie nicht möchten (.ofb).

O13 - IE DefaultPrefix-Hijack

Wie es aussieht: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW-Präfix: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Präfix: http://ehttp.cc/?

Was ist zu tun:Diese sind immer schlecht. HijackThis soll sie reparieren.

O14 - Hijack 'Reset Web Settings'

Wie es aussieht: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Was ist zu tun:Wenn die URL nicht der Anbieter Ihres Computers oder Ihres Internetdienstanbieters ist, lassen Sie ihn von HijackThis korrigieren.

O15 - Unerwünschte Sites in der vertrauenswürdigen Zone

Wie es aussieht: O15 - Vertrauenswürdige Zone: http://free.aol.comO15 - Vertrauenswürdige Zone: * .coolwebsearch.comO15 - Vertrauenswürdige Zone: * .msn.com

Was ist zu tun:Meistens fügen nur AOL und Coolwebsearch automatisch Sites zur vertrauenswürdigen Zone hinzu. Wenn Sie die aufgelistete Domäne nicht selbst zur vertrauenswürdigen Zone hinzugefügt haben, lassen Sie HijackThis dies beheben.

O16 - ActiveX-Objekte (auch als heruntergeladene Programmdateien bezeichnet)

Wie es aussieht: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave-Flashobjekt) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Was ist zu tun:Wenn Sie den Namen des Objekts oder die URL, von der es heruntergeladen wurde, nicht erkennen, lassen Sie es von HijackThis beheben. Wenn der Name oder die URL Wörter wie "dialer", "casino", "free_plugin" usw. enthält, beheben Sie dies auf jeden Fall. Javacools SpywareBlaster verfügt über eine riesige Datenbank mit schädlichen ActiveX-Objekten, die zum Nachschlagen von CLSIDs verwendet werden können. (Klicken Sie mit der rechten Maustaste auf die Liste, um die Suchfunktion zu verwenden.)

O17 - Lop.com Domain entführt

Wie es aussieht: O17 - HKLM System CCS Services VxD MSTCP: Domäne = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameter: Domäne = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domäne = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameter: Suchliste = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Was ist zu tun:Wenn die Domain nicht von Ihrem ISP oder Firmennetzwerk stammt, lassen Sie HijackThis dies beheben. Gleiches gilt für die 'SearchList'-Einträge. Bei den "NameServer" -Einträgen (DNS-Servern) wird Google für die IP-Adresse oder IP-Adressen angegeben, und es ist leicht zu erkennen, ob sie gut oder schlecht sind.

O18 - Zusätzliche Protokolle und Protokollentführer

Wie es aussieht: O18 - Protokoll: Relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protokollentführung: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Was ist zu tun:Hier sind nur einige Entführer zu sehen. Die bekannten Bösewichte sind 'cn' (CommonName), 'ayb' (Lop.com) und 'Relatedlinks' (Huntbar). HijackThis sollte diese beheben. Andere Dinge, die auftauchen, sind entweder noch nicht sicher bestätigt oder werden von Spyware missbraucht (d. H. Die CLSID wurde geändert). Im letzten Fall haben HijackThis das Problem behoben.

O19 - Benutzer-Style-Sheet-Hijack

Wie es aussieht: O19 - Benutzer-Stylesheet: c: WINDOWS Java my.css

Was ist zu tun:Wenn ein Browser langsamer wird und häufige Popups angezeigt werden, lassen Sie HijackThis dieses Element reparieren, wenn es im Protokoll angezeigt wird. Da dies jedoch nur von Coolwebsearch durchgeführt wird, ist es besser, CWShredder zu verwenden, um das Problem zu beheben.

O20 - AppInit_DLLs Registrierungswert wird automatisch ausgeführt

Wie es aussieht: O20 - AppInit_DLLs: msconfd.dll

Was ist zu tun:Dieser Registrierungswert, der sich unter HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows befindet, lädt eine DLL in den Speicher, wenn sich der Benutzer anmeldet. Danach bleibt er bis zur Abmeldung im Speicher. Nur wenige legitime Programme verwenden es (Norton CleanSweep verwendet APITRAP.DLL), meistens wird es von Trojanern oder aggressiven Browser-Hijackern verwendet.

Wenn ein 'verstecktes' DLL aus diesem Registrierungswert geladen wird (nur sichtbar, wenn die Option 'Binäre Daten bearbeiten' in Regedit verwendet wird), kann dem DLL-Namen ein Pipe '|' vorangestellt werden. um es im Protokoll sichtbar zu machen.

O21 - ShellServiceObjectDelayLoad

Wie es aussieht: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Was ist zu tun:Dies ist eine undokumentierte Autorun-Methode, die normalerweise von einigen Windows-Systemkomponenten verwendet wird. Die unter HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad aufgelisteten Elemente werden beim Start von Windows vom Explorer geladen. HijackThis verwendet eine Whitelist aus mehreren sehr häufigen SSODL-Elementen. Wenn also ein Element im Protokoll angezeigt wird, ist es unbekannt und möglicherweise schädlich. Mit äußerster Vorsicht behandeln.

O22 - SharedTaskScheduler

Wie es aussieht: O22 - SharedTaskScheduler: (kein Name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Was ist zu tun:Dies ist ein undokumentierter Autorun nur für Windows NT / 2000 / XP, der sehr selten verwendet wird. Bisher wird nur CWS.Smartfinder verwendet. Mit Vorsicht behandeln.

O23 - NT-Dienste

Wie es aussieht: O23 - Dienst: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Programme Kerio Personal Firewall persfw.exe

Was ist zu tun:Dies ist die Liste der Dienste, die nicht von Microsoft stammen.Die Liste sollte der Liste entsprechen, die Sie im Dienstprogramm Msconfig von Windows XP sehen. Mehrere Trojanische Entführer nutzen einen selbstgebastelten Dienst, um sich selbst zu installieren. Der vollständige Name ist normalerweise wichtig, z. B. "Network Security Service", "Workstation Logon Service" oder "Remote Procedure Call Helper". Der interne Name (zwischen Klammern) ist jedoch eine Zeichenfolge aus "Müll" wie "Ort". Der zweite Teil der Zeile ist der Besitzer der Datei am Ende, wie in den Eigenschaften der Datei dargestellt.

Beachten Sie, dass durch das Fixieren eines O23-Objekts der Dienst nur angehalten und deaktiviert wird. Der Dienst muss manuell oder mit einem anderen Tool aus der Registrierung gelöscht werden. In HijackThis 1.99.1 oder höher kann dazu die Schaltfläche 'NT-Dienst löschen' im Abschnitt 'Verschiedene Tools' verwendet werden.

Analysieren Sie Datentabellen aus dem Web mit Microsoft Excel

Analysieren Sie Datentabellen aus dem Web mit Microsoft Excel

Verwenden Sie die Excel-Tools zum Abrufen und Transformieren von Daten, um Tabellen und andere Daten von Websites für die Analyse in einer Kalkulationstabelle zu kratzen. Aktualisiert mit Excel 2019.

Kostenlose Wi-Fi-Apps zum Analysieren und Scannen von Netzwerken

Kostenlose Wi-Fi-Apps zum Analysieren und Scannen von Netzwerken

Mit diesen kostenlosen WLAN-Apps können Sie den Bereich nach offenen WLAN-Netzwerken durchsuchen oder Ihr eigenes WLAN-Netzwerk analysieren, um Ihre Geräte und Sicherheitseinstellungen zu sehen.

Anzeigen und Analysieren der Seitenquelle im Opera-Webbrowser

Anzeigen und Analysieren der Seitenquelle im Opera-Webbrowser

Eine schrittweise Anleitung zum Anzeigen, Bearbeiten und Analysieren der Seitenquelle im Opera-Webbrowser für Windows und Mac OS X.

Tipp Der Redaktion