Nutzung von HiJackThis
|
15. März 2009
Posted in
Tipps und Tricks -
Sicherheit
Brautentführungen kennt jeder, aber Browser-Hijacking (Browser-Entführungen)?
Mit dem Begriff Browser-Hijacking ist die Umleitung von Browser-Anfragen auf fremde Internetseiten gemeint. Statt auf der voreingestellten Startseite oder der eingegebenen Adresse landet man also irgendwo im Internet-Nirwana, meist auf Werbeseiten.
Der Browser wird also im wahrsten Sinne des Wortes entführt, daher das englische Wort to hijack.
Dem nicht genug: Auch der Suchassistent – also die Schaltfläche Suchen – wird für solche Werbezwecke missbraucht und auf falsche Internetseiten umgeleitet.
Zusätzlich werden die Lieblingsinternetseiten (die Favoriten oder Bookmarks) verändert oder ergänzt.
Entfernen lässt sich das oftmals nur sehr schwer; die Schadsoftware wird bei jedem Start neu geladen.
Aber nicht nur der Browser spinnt auf einmal. Häufig wird dabei auch zusätzliche Malware wie z.B. Trojaner installiert.
Ein Tool, mit dem sich solch Browser-Hijacking entdecken und korrigieren lassen können, ist das kleine Tool HiJackThis von TrendMicro.
HiJackThis erlaubt es in gewissen Grenzen auch, sein System auf Schädlingsbefall zu untersuchen. Das Programm läßt sich unter TrendMicro
kostenlos downloaden.
Hat man die sogen. Installer-Variante gewählt (Installer), das Programm nicht in einem temporären Ordner oder auf dem Desktop installieren, da HiJackThis Backups anlegt.
Falls man das zip-Archiv geladen hat, entpackt man das Archiv mit einem Packprogramm in einen Orner auf der Festplatte und führt die Datei HijackThis.exe im Anschluss daran aus.
Da es Malware gibt, die sich vor HiJackThis (HJT) verstecken kann, sollte nach der Installation im Programmverzeichnis von HJT die Datei HijackThis.exe umbenannt werden, z.B. in: Pruefung.com.
Sicherstellen, dass im Explorer bei: Extras>Ordneroptionen>Ansicht: "Erweiterungen bei bekannten Dateitypen ausblenden" das Häkchen weggemacht ist, sonst schlägt der Echtzeitvirenschutz wegen doppelter Dateiendung an.
Beim ersten Start des Programms erscheint folgender Hinweis
In diesem Fenster müssen die Lizenzbedingungen akzeptiert werden durch Klick auf I Accept.
Nach dem Klick auf I Accept öffnet sich ein weiteres Fenster.
Jetzt hat man 2 Möglichkeiten.
Will man sein System untersuchen und das Log in einem Forum analysieren lassen, wählt man am sinnvollsten die Option Do a system scan and save a logfile.
Das bewirkt, das HJT nach dem Scannen des Systems automatisch ein Logfile anlegt, das dann in einem Editor-Fenster angezeigt wird. Jetzt kann man mittels eines Rechtsklick mit der Maus in das Dokument das erstellte Logfile markieren und mit anschließender Auswahl von Alles markieren in die Zwischenablage kopieren. Der Inhalt kann jetzt problemlos in einem Forum mittels Einfügen in ein Posting eingefügt werden.
Will man nur sein System überprüfen und eventuelle Fehler korrigieren, wählt man die Option Do a system scan only durch Klick auf den gleichnamigen Button aus.
Das erstellte Logfile kann man im jetzt erscheinenden Fenster zur späteren Analyse auch speichern.
Im sich nächsten Dialogfenster 
wählt man als Typ All files aus.
Da es Malware gibt, die das Abspeichern des Logfiles zu unterbinden versucht, sollte der Dateiname z.B. in pruefung.txt geändert werden.
Nach Klick auf Speichern öffnet sich ein Windows Texteditor-Fenster, das das soeben erstellte LogFile enthält.
Das so erstellte Logfile läßt sich mittels eines Rechtsklick mit der Maus in das Dokument markieren und anschließender Auswahl von Alles markieren in die Zwischenablage kopieren und jetzt in einem Forum über Einfügen in einem Beitrag posten.
Alternativ könnt ihr die Logdatei auch auf dieser Seite automatisch auswerten lassen.
Die wichtigsten Punkte und ihre Bedeutung
- R0, R1, R3:
Internet Explorer Startseite und Suchseite - F0:
Autostart genutzt von unerwünschten Programmen (immer fixen) - F1:
Autostart genutzt von älteren Programmen (entscheiden ob solche Programme vorhanden sind oder nicht) - N1, N2, N3, N4:
Netscape Start- und Suchseite - O1:
Redirect im Hostfile (wenn selbst keine Änderungen gemacht wurden fixen) - O2:
Browser Erweiterungen (entscheiden ob solche Programme vorhanden oder nicht) - O3:
IE Toolbars (wenn der Name zusammengewürfelt aussieht fixen) - O4:
normaler Autostart aus Registrierung oder Autostartordner (entscheiden ob solche Programme vorhanden sind oder nicht) - O5:
IE Optionen aus Systemsteuerung verschwunden? Dann hier fixen - O6, O7:
Sperrung der Registrierung und der Internetoptionen durch Administrator - O8:
Erweiterung des Kontextmenüs nach Klick mit der rechten Maustaste (bei Bedarf gewünschten Eintrag fixen) - O9:
Extra Buttons im Internet Explorer (bei Bedarf gewünschten Eintrag fixen) - O10:
Einträge hier am besten durch Spyware-Scanner fixen lassen - O11:
Extra Gruppe in IE Erweiterte Einstellungen (immer fixen) - O12:
IE Plugins: meistens sicher (nur Eintrag Plugin für .ofb fixen) - O13:
IE DefaultPrefix Hijack (immer fixen) - O14:
Startseite die verwendet wird, wenn die IE-Einstellungen zurückgesetzt werden (bei Bedarf gewünschten Eintrag fixen) - O15:
Vertrauenswürdige Webseiten (bei Bedarf gewünschten Eintrag fixen) - O16:
ActiveX Objekte: Downloaded Programm Files (bei Bedarf gewünschten Eintrag fixen) - O17:
Lop.com Domain Hijacking (bei Bedarf fixen) - O18:
zusätzliche Protokolls :bekannte Hijacker hier sind: ‘cn’ (CommonName), ‘ayb’ (Lop.com) und ‘relatedlinks’ (Huntbar) - O19:
User Stylesheet Hijack (wird nur von Coolwebsearch benutzt, daher mit CWShredder fixen) - O20, O21 und O22 sind nur für absolute Profis, im Zweifelsfall in einem Forum nachfragen, dass sich auf HijackThis spezialisiert hat.
| < Zurück |
|---|
Bitte beachtet die Nutzungsbedingungen
Zu beachten sind auch diese Regeln.
Wer sich nicht an diese Regeln hält, bekommt das Schreibrecht für eine gewisse Zeit entzogen.
Dauerndes Verstoßen gegen die Regeln zieht eine Sperrung des Zugangs nach sich.