Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neues HJt TUT

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 27.02.2008, 18:46   #1
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Hallo Forum,

ich hatte sie noch in der Schublade und bevor sie dort schimmelt, poste ich sie mal hier zu freien Diskussion.
Ich habe micht sehr an die gute, alte Anleitung gehalten, bis auf die Punkte die keinen Sinn (mehr) machen oder Links die nicht mehr funktionieren und einige Ergänzungen (Links, CodeTags, Download Versionen) gemacht.

-------

Was ist HijackThis?

HijackThis ist ein kostenloes Werkzeug von TrendMirco, welches den Computer auf Veränderungen durch Spyware, Malware oder anderen ungewollten Programmen untersucht. Nach dieser Untersuchung (Scan) erstellt HijackThis eine Reportdatei mit den Ergebnissen.

Wichtig: HijackThis legt nicht fest, welche Einträge gut oder böse sind, auch die automatische Auswertung auf HijackThis Logfileauswertung bietet nur einen Anhaltspunkt. Führe bitte keine Änderungen durch bis Du von einem erfahren Computer Benutzer dazu aufgefordert wurdest.

Download von HJT:

Trend Micro bietet drei Varianten zum Herunterladen an

Für das Entpacken der .zip Version benötigste Du ein zip Programm wie z.B. 7zip
Für alle Versionen gilt: Nach dem Download das Programm in einem zuvor eigens erstellten Ordner entpacken [1],
damit HJT Backups von den gefixten Einträgen anlegen kann.
Wichtig: Bei Fehlbedienung kann im Bedarfsfall auf die Backups zurückgegriffen werden.

[1] z.B. C:\Programme\HiJackThis

Fehlermeldung beim Start von HJT:

- MSVBVM60.DLL fehlt! -> VBRun60.exe installieren
- HJT startet nicht -> Einige Arten der Schädling verhindern das Starten des Prgramms. Hier hilft es die Datei HiJackThis.exe umzubennen in z.B. test.com. Wichtig ist es dabei die Endung auf .com zu ändern!


Einsetzen von HJT – Log-File erstellen:

1. Wenn Du die Version mit eigenem Installler gewählt hast, wirst Du gefragt, wohin HJT installiert werden soll



[Benutzer der Installer Version machen bei 3. weiter]
2. Navigiere nun zum Ordner 'C:\Programme\HiJackThis' [2] und starte HJT per Doppelklick auf 'HiJackThis.exe'.

[2] Wenn der Ordner wie unter [1] erstellt wurde, ansonsten in den entsprechenden Ordner


3. Beim ersten Start erhältst Du folgende Meldung die bestätigt werden muss, indem Du auf "I Accept" klickst.


4. Es öffnet sich das Programmfenster 'Main Menu'.
Klicke auf den rot markierten Button 'Do a system scan and save a logfile':


4. Nach dem Scan erscheint nun das HJT Log-File im geöffneten Notepad. Dieses Log-File wird automatisch im Installationsordner von HJT als hijackthis.txt gespeichert


Das erstellte Log-File besteht aus 3 Bereichen:
Oberer Bereich(grün): Systeminformationen - Patchstand
Mittlerer Bereich(blau): Aktuell laufende Prozesse
Unterer Bereich(rot): R0 bis O23 Einträge



Einsetzen von HJT – Auswertung:

1. Möglichkeit: Du wertest dein Log-File selbst mit Hilfe der nachfolgenden Seiten aus:
Pacmans-Startuplist BC Startuplist CLSID List Reger24 HJT Dateisuche Google


Allerdings musst du bei der Auswertung ganz genau wissen, was du tust. Sicherheitshalber solltest du das 1. Logfile auch nicht löschen oder überschreiben. Falls bei der Auswertung und dem anschließenden "Fixen" etwas schief geht, können wir daraus den Ausgangszustand ersehen.

2. Möglichkeit: Bei Unsicherheit wendest Du Dich an das Board und postest ein aktuelles HJT Log-File.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.


Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!


Die Logfiles sollten in Code Tags [CODE]Hier zwischen kommt Dein Logfile! :)[/CODE] gepostet werden (im Editor kannst Du auf die "#" drücken um die Code Tags zu erzeugen), dies verhindert Umbrüche und die Logs sind für die Helfer leichter zu lesen. Dies gilt im übrigen für alle Logs, die Du im Laufe einen Threads erstellst.

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

010 - Einträge dürfen nicht gefixt werden. Winsock-Veränderungen werden mit dem Programm LSP-Fix repariert.
O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Remote Procedure Call (RPC) Helper -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen


Abschliessende Frage noch mit 'Ja' bestätigen.


Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!

-------
Sagt was, nehmts auseinander, wat Ihr wollt.

Geändert von BataAlexander (27.02.2008 um 18:53 Uhr)

Alt 27.02.2008, 20:06   #2
ordell1234
 
Neues HJt TUT - Standard

Neues HJt TUT



Schaut richtig gut aus!

eine Anm. aus aktuellem Anlass :

Zitat:
Zitat von BataAlexander Beitrag anzeigen
O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Remote Procedure Call (RPC) Helper -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen
Bitte nicht den rpc kicken! Das zB wird auch mal überlesen. Eine harmlosere Variante wäre zB upnp

cheers
__________________


Alt 28.02.2008, 00:58   #3
myrtille
/// TB-Ausbilder
 
Neues HJt TUT - Standard

Neues HJt TUT



Hi,
ich wär dafür, die Sache mit den Links editieren noch in den Teil "logfile erstellen" zu schreiben.
So kriegen es auch die Leute mit, die von usn aufgefordert ein Logfile zu erstellen.

lg myrtille
__________________

Alt 28.02.2008, 19:27   #4
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Sollte man denn eigentlich diese Option miteinbauen?



Würde man dies konsequent fordern, wären Dateivergleiche erst mal einfacher, sicherlich aber auch der Aufwand ein Log zu prüfen.

Alt 27.03.2008, 19:40   #5
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Wegen fehlenden Feedback, poste ich einfach mal die Version 1.2

Was ist HijackThis?

HijackThis ist ein kostenloes Werkzeug von TrendMirco, welches den Computer auf Veränderungen durch Spyware, Malware oder anderen ungewollten Programmen untersucht. Nach dieser Untersuchung (Scan) erstellt HijackThis eine Reportdatei mit den Ergebnissen.

Wichtig: HijackThis legt nicht fest, welche Einträge gut oder böse sind, auch die automatische Auswertung auf HijackThis Logfileauswertung bietet nur einen Anhaltspunkt. Führe bitte keine Änderungen durch bis Du von einem erfahren Computer Benutzer dazu aufgefordert wurdest.

Download von HJT:

Trend Micro bietet drei Varianten zum Herunterladen an

Für das Entpacken der .zip Version benötigste Du ein zip Programm wie z.B. 7zip
Für alle Versionen gilt: Nach dem Download das Programm in einem zuvor eigens erstellten Ordner entpacken [1],
damit HJT Backups von den gefixten Einträgen anlegen kann.
Wichtig: Bei Fehlbedienung kann im Bedarfsfall auf die Backups zurückgegriffen werden.

[1] z.B. C:\Programme\HiJackThis

Fehlermeldung beim Start von HJT:

- MSVBVM60.DLL fehlt! -> VBRun60.exe installieren
- HJT startet nicht -> Einige Arten der Schädling verhindern das Starten des Prgramms. Hier hilft es die Datei HiJackThis.exe umzubennen in z.B. test.com. Wichtig ist es dabei die Endung auf .com zu ändern!


Einsetzen von HJT - Log-File erstellen:

1. Wenn Du die Version mit eigenem Installler gewählt hast, wirst Du gefragt, wohin HJT installiert werden soll



[Benutzer der Installer Version machen bei 3. weiter]
2. Navigiere nun zum Ordner 'C:\Programme\HiJackThis' [2] und starte HJT per Doppelklick auf 'HiJackThis.exe'.

[2] Wenn der Ordner wie unter [1] erstellt wurde, ansonsten in den entsprechenden Ordner


3. Beim ersten Start erhältst Du folgende Meldung die bestätigt werden muss, indem Du auf "I Accept" klickst.


4. Es öffnet sich das Programmfenster 'Main Menu'.
Klicke auf den rot markierten Button 'Do a system scan and save a logfile':


4. Nach dem Scan erscheint nun das HJT Log-File im geöffneten Notepad. Dieses Log-File wird automatisch im Installationsordner von HJT als hijackthis.txt gespeichert


Das erstellte Log-File besteht aus 3 Bereichen:
Oberer Bereich(grün): Systeminformationen - Patchstand
Mittlerer Bereich(blau): Aktuell laufende Prozesse
Unterer Bereich(rot): R0 bis O23 Einträge


Wichtig: Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
Auch persönliche Informationen wie Klarnamen (z.B. c:\dokumente und einstellungen\horst mustermann\hjt.exe) editieren in z.B. c:\dokumente und einstellungen\XXX\hjt.exe


Einsetzen von HJT - Auswertung:

1. Möglichkeit: Du wertest dein Log-File selbst mit Hilfe der nachfolgenden Seiten aus:
Pacmans-Startuplist BC Startuplist CLSID List Reger24 HJT Dateisuche Google


Allerdings musst du bei der Auswertung ganz genau wissen, was du tust. Sicherheitshalber solltest du das 1. Logfile auch nicht löschen oder überschreiben. Falls bei der Auswertung und dem anschließenden "Fixen" etwas schief geht, können wir daraus den Ausgangszustand ersehen.

2. Möglichkeit: Bei Unsicherheit wendest Du Dich an das Board und postest ein aktuelles HJT Log-File.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
Auch persönliche Informationen wie Klarnamen (z.B. c:\dokumente und einstellungen\horst mustermann\hjt.exe) editieren in z.B. c:\dokumente und einstellungen\XXX\hjt.exe


Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!


Die Logfiles sollten in Code Tags [CODE]Hier zwischen kommt Dein Logfile! :)[/CODE] gepostet werden (im Editor kannst Du auf die "#" drücken um die Code Tags zu erzeugen), dies verhindert Umbrüche und die Logs sind für die Helfer leichter zu lesen. Dies gilt im übrigen für alle Logs, die Du im Laufe einen Threads erstellst.

Einsetzen von HJT - Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

010 - Einträge dürfen nicht gefixt werden. Winsock-Veränderungen werden mit dem Programm LSP-Fix repariert.
O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Nachrichtendienst -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen


Abschliessende Frage noch mit 'Ja' bestätigen.


Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!


Alt 27.03.2008, 19:57   #6
GUA
entlassen
 
Neues HJt TUT - Standard

Neues HJt TUT



Zitat:
Zitat von BataAlexander Beitrag anzeigen
Wegen fehlenden Feedback, poste ich einfach mal die Version 1.2
sehr gut bata, danke
direkt geuppt in das forum "anleitungen"...
ich hoffe, das ging jetzt nicht zu schnell

GUA
(aus dem buch:"meine pünktlichkeit drückt aus, dass mir deine zeit so wertvoll ist wie meine eigene...")

Alt 27.03.2008, 20:04   #7
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Zitat:
Zitat von GUA Beitrag anzeigen

ich hoffe, das ging jetzt nicht zu schnell
Frag mal Cad, aber danke soweit.

Cad gefragt: Kann man letzten Absatz:

Zitat:
Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!
Rot und Fett machen, quasi so:

Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!


Na, was meint der Gua?

Geändert von BataAlexander (27.03.2008 um 20:09 Uhr)

Alt 27.03.2008, 20:07   #8
Da GuRu
Administrator
/// technical service
 

Neues HJt TUT - Standard

Neues HJt TUT



super cad & Bata!
sieht echt super aus. danke für eure mühe.

.daguru

Edit: jetzt müsste es passen
__________________

Alt 27.03.2008, 20:09   #9
cad
/// caddy ☀
 

Neues HJt TUT - Standard

Neues HJt TUT



Nicht falsch verstehen Gua

Du warst so schnell ....ich war noch am tippen, da stand es schon unter Anleitungen.


Edit: Ging nur um die Optik am Schluss...das die User das auf keinen Fall übersehen

Edit2: Die Arbeit hat bata gemacht und der Dank gehört allein Ihm

Edit3 @bata....nö...siehe Edit 2...Du hattest die Arbeit!

Geändert von cad (27.03.2008 um 20:23 Uhr)

Alt 27.03.2008, 20:19   #10
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Zitat:
Zitat von cad Beitrag anzeigen
Edit2: Die Arbeit hat bata gemacht und der Dank gehört allein Ihm
Korrekturlesen ist auch Arbeit. Demnach kann das Eure stehen bleiben.

Alt 27.03.2008, 20:32   #11
GUA
entlassen
 
Neues HJt TUT - Cool

Neues HJt TUT



Zitat:
Zitat von BataAlexander
Rot und Fett machen, quasi so:

Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!


Na, was meint der Gua?
da hier nicht steht "Fixen alleine beseitigt deine proble nicht" stimme ich voll zu
ist geändert

Zitat:
Zitat von cad
Du warst so schnell
"so schnell..." mit dieser art der kritik muss ich noch lernen umzugehen


GUA
(aus dem buch:"jeder tag ist ein neuer anfang")

Alt 27.03.2008, 20:38   #12
cad
/// caddy ☀
 

Neues HJt TUT - Standard

Neues HJt TUT



Zitat:
Zitat von cad Beitrag anzeigen


Du warst so schnell ....
Grins, Du hast den Smiley vergessen

cad

Alt 27.03.2008, 20:49   #13
raman
 
Neues HJt TUT - Standard

Neues HJt TUT



"Calculate MD5..." bietet den Vorteil, das man sehen kann, ob Dateien, die unter O4 Gelistet sind wirklich vorhanden sind, oder ob die Eintraege nur noch ueberbleibsel sind, da HijackThis diese Eintraege nicht mit (file missing) meldet. Ansonsten bietet sie in meinen Augen keinen grossen Vorteil.
__________________
MfG Ralf

Alt 27.03.2008, 21:01   #14
BataAlexander
> MalwareDB
 
Neues HJt TUT - Standard

Neues HJt TUT



Zitat:
Zitat von raman Beitrag anzeigen
Ansonsten bietet sie in meinen Augen keinen grossen Vorteil.
Ok, also interpretiere ich die Tendenz, brauch man auch nicht wirklich, raus.
Zitat:
Zitat von Gua
ist geändert
Danke

Alt 27.03.2008, 21:14   #15
raman
 
Neues HJt TUT - Standard

Neues HJt TUT



Das hat jetzt nicht unbedingt etwas mit HijackThis Logs zu tun, aber wenn man HijackThis nutzt um eine Uninstall Liste zu erstellen, kann man diese Eintraege mit der Uninstall Database von Bleeping Combuter vergleichen, wenn man mit einem Eintrag nichts anfangen kann: http://www.bleepingcomputer.com/uninstall/

Die anderen tools unter miscs tools section (Ads spy, hostsfilemanager usw) sind auch sehr gut und einfach zu bedienen, aber das wuerde wohl den Rahmen eines solchen Tutorials sprengen.
__________________
MfG Ralf

Antwort

Themen zu Neues HJt TUT
.dll, abgesicherten modus, ausführbare datei, auswertung, blau, computer, dateien, download, einstellungen, entfernen, frage, helper, hijack, hijackthis, install.exe, log-file, logfiles, löschen, ordner, programme, scan, schädling, seiten, sicherheitshalber, software, starten, system, ändern, öffnet



Ähnliche Themen: Neues HJt TUT


  1. Neues Netzteil
    Netzwerk und Hardware - 24.02.2015 (12)
  2. Neues Motherboard
    Netzwerk und Hardware - 03.07.2012 (4)
  3. Verschlüsselungstrojaner - auf ein Neues!
    Log-Analyse und Auswertung - 04.05.2012 (5)
  4. Neues Log -
    Mülltonne - 02.12.2008 (0)
  5. Neues von der Telekom
    Überwachung, Datenschutz und Spam - 21.11.2006 (2)
  6. Neues Forum
    Überwachung, Datenschutz und Spam - 19.09.2006 (28)
  7. Neues log mal kontrollieren
    Log-Analyse und Auswertung - 08.11.2005 (4)
  8. Neues LogFile
    Log-Analyse und Auswertung - 30.09.2005 (4)
  9. ein neues logfile...
    Plagegeister aller Art und deren Bekämpfung - 14.09.2005 (4)
  10. neues Log
    Log-Analyse und Auswertung - 10.07.2005 (1)
  11. Neues Log
    Log-Analyse und Auswertung - 22.03.2005 (10)
  12. Neues Sicherheitsupadate für IE 6
    Alles rund um Windows - 12.11.2003 (0)
  13. neues referenzfile
    Antiviren-, Firewall- und andere Schutzprogramme - 14.03.2003 (8)
  14. Neues Gehäuse
    Netzwerk und Hardware - 17.01.2003 (10)

Zum Thema Neues HJt TUT - Hallo Forum, ich hatte sie noch in der Schublade und bevor sie dort schimmelt, poste ich sie mal hier zu freien Diskussion. Ich habe micht sehr an die gute, alte - Neues HJt TUT...
Archiv
Du betrachtest: Neues HJt TUT auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.