Wie liest man eine HijackThis-file???
 

Ich möchte mal einfach die Frage in den Raum werfen, ob es eine Patent-Lösung gibt, um eine HijackThis-File zu lesen??? :)

Ich meine, ich habe jetzt soviel Hilfe bekommen, so dass ich mich bei anderen Hilfesuchenden revanchieren möchte.
Ich weiss, dass man mit der Erfahrung wächst und ich jetzt doch wieder wieder versuche durch das Haus zu gehen, um in den Garten zu gelangen und nicht den längeren Weg um das Haus herum nehmen will, aber das wäre der einfachste Weg.
Ich kann schließlich nicht Jahre warten, bis ich dann endlich jemandem helfen kann. Abgesehen davon sieht so eine Datei für mich aus wie ein Buch mit sieben Siegeln, was ich niemals lesen kann.

Ich bin mir auch sicher, wenn Tipps gegeben werden, wie die Dateien ausgewertet werden, dann gibt es auch andere, die sich über Details freuen würden.

Also, worauf muss man so ungefähr achten?
Welche Anzeichen sind Anzeichen für ein verseuchtes System und welche nicht?
usw.

MfG
commodusreal

Grundlage zur Auswertung ist die deutsche Übersetzung oder gleich das englische Tutorial. Wenn man weiß was die einzelnen Einträge bedeuten (O4 etc.) kann man sich an die Auswertung machen. In der HjT-Anleitung von 'Cidre' findest du einige Seiten, die dir bei unbekannten Einträgen weiterhelfen können.


Fangen wir ganz oben an:
Logfile of HijackThis v1.99.1
Scan saved at 13:48:24, on 17.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)

Ein nicht aktualisiertes OS ist der beste Nährboden für Malware.

Machen wir bei den O4-Einträgen weiter. Es gibt drei Arten von Autostart-Einträgen, die sehr verdächtig sind:

1. Zufallsnamen, wie z.B. HKLM\..\Run: [lasgdow] C:\Windows\System32\lasgdow.exe
   Das gilt auch für andere Einträge im HjT-Log (z.B. O2)
   
2. Dateien, die wie Windows-Systemdateien heißen, aber im falschen Ordner liegen, oder fast wie Windows-Systemdateien heißen (z.B. C:\Windows\System32\Explorer.exe -> falscher Ort, oder C:\Windows\System32\scvhost.exe -> richtig wäre svchost.exe)
   
3. Dateien, die unglaublich wichtige Namen haben, z.B. Windows Update Machine etc.
   Wenn diese mehrmals im Autostart stehen handelt es sich mit großer Wahrscheinlichkeit um einen Bot

Weitere typische Anzeichen für eine Infektion:

Eine veränderte Startseite (R-Einträge):
Dinge wie w*w.bestsearch.com o.ä sind immer schlecht. Bei Ungewissheit einfach mal nachfragen, ob die Startseite gewollt ist.

Eine veränderte Hostdatei (O1-Einträge) deutet meist auch auf eine Infektion hin, aber nicht immer.

Die Einträge unter O6 u. O7 sind oftmals auch ein Anzeichen für eine Infektion.

Unseriöse Seiten die als vertrauenswürdige Seiten im IE eingetragen sind (O15-Einträge)

Ungewollte ActiveX-Objecte (O16). Auffällig sind Wörter wie 'Dialer', 'Hot' und was es sonst noch so gibt.

Unseriöse Toolbars wie 'Quicksearch' o.ä. deuten ebenfalls auf eine Infektion hin.


Zum Schluss noch was zur Reihenfolge. Ich gehe meist so vor:
Patchstand-> beime Runterscrollen kurz die Startseite überfliegen-> Autostart-Einträge. Sollte sich bis jetzt nichts verdächtiges finden, schau ich das ganze Logfile durch ;)


HTH


P.S.: Auch wenn es überheblich klingen mag, aber es gehört auch eine Portion Erfahrung dazu ;)

So ist es.

Am besten schaust du dir mal die geposteten HJT-Logs an, machst dir mit Hilfe von Google deine eigenen Gedanken und vergleichst dann deine Ideen mit denen der Regulars. Und irgendwann hast du dann ein Gespür für faule Einträge entwickelt.

Gruß :daumenhoc
Yopie

Oukay, also ist es schon so, wie ich dachte. Es gibt nicht direkt eine Patentlösung. Man kann durch das HAus in den Garten gelangen, aber sollte auch ab und zu mal um das Haus herum gehen.

Thanx für die Tipps

MfG
commodusreal

Ich möchte noch hinzufügen, dass man mit hijackthis auch nicht alle Malware auslesen kann.

In Verbindung mit eScan kann man dann schon sicherer sein.