Hijackthis Guide um Keylogger und andere unerwünschte Software zu entfernenDieser Guide wurde speziell für die Leute von Jsp geschrieben, die einen Keylogger bei sich vermuten oder eingeschleusst haben. Die notwendigen Schritte für andere Gefahren, die Hijackthis erkennen kann, sind allerdings die gleichen. Zu diesen gehören Spyware und Adware Programme und natürlich auch Browser Hijacker, also Programme die den Browser auf fremde Seiten umleiten.
Einige Hinweise zu Beginn:Hijackthis ist eine sehr mächtige Software, die deinem Pc potentiell Schaden zufügen könnte, wenn sie unsachgemäss oder unovrsichtig verwendet wird. Hijackthis sollte nur verwendet werden
nachdem bereits Spybot search and destroy oder Ad-aware SE Personal ohne Erfolg laufen gelassen wurden. Links zu den beiden letztgenannten Programmen findet ihr im Anhang.
Ich empfehle euch nachfolgende Schritte unbedingt im Abgesicherten Modus von Windows durchzuführen (drückt die F8 Taste während des Bootvorgangs), da es möglich ist, dass einige Dateien ansonsten nicht erfolgreich gelöscht werden können. Beachtet ausserdem, dass schädliche Programme Hijackthis am Starten hindern könnten. In diesem Falle benennt ihr Hijackthis.exe in Start.com um (oder ähnliches, wobei *.com beibehalten werden muss).
Eine letzte Warnung:Löscht
keinen Eintrag, wenn ihr unsicher seid, ob es sich tatsächlich um eine Gefahr handelt. Parallel zu der im Guide vorgestellten Methode könnt ihr auch immer mit Hilfe von Google nach den Dateinamen des entsprechenden Eintrages suchen und damit Drittinformationen einholen. Ihr könnt mich zudem jederzeit mit dem in Frage kommenden Teil des Logs hier auf Jsp Pm‘en, damit ich den Sachverhalt ebenfalls beurteilen kann. Solltet ihr dennoch einmal versehentlich einen Eintrag gelöscht haben, verweise ich an dieser Stelle auf den Anhang dieses Guides.
Die 6 notwendigen Schritte1. Downloadet Hijackthis von
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis2. Einmal heruntergeladen, entpackt ihr die Exe in ein Verzeichnis eurer Wahl, z.b. C:\Programme\Hijackthis\
3. Klickt auf die Hijackthis.exe, um das Programm auszuführen
Folgendes Fenster sollte zu sehen sein:
Klickt nun auf den “Do a system scan and save a logfile” Knopf.
Für den Moment werden wir alle fortgeschrittenen Funktionen dieses Programmes ignorieren, da die hier präsentierten Optionen und automatischen Voreinstellungen für unseren Bedarf ausreichend sind.
Nach dem Scanvorgang sollte ein Fenster ähnlich dem Screenshot zu sehen sein
In dem obigen Falle haben wir uns einen Keylogger eingefangen (rote Box). Dummerweise ist nicht jedes Programm so einfach zu finden und die Auswertung des Logs gestaltet sich oft mühselig und benötigt einiges an Fachwissen. Glücklicherweise gibt es Seiten, die diesen Job automatisch übernehmen
4. Die Logfile automatisch auswerden
Geht zur URL
http://www.hijackthis.de Ihr könnt nun wahlweise den Text des Logfiles direkt in das dafür vorgesehene Feld kopieren, oder aber mit dem Klick auf den Durchsuchen Button in das Hijackthis Installationsverzeichnis wechseln und dort die Logfile anwählen.
Nach einigen Sekunden wird auf dem Bildschirm eine Liste angezeigt mit allen ausgewerteten Logeinträgen und grünen Häkchen (gutartig), unbekannten Einträgen (Fragezeichen) und roten Kreuzen (bösartig). Auf der rechten Seite sind Informationen zur Bedrohlichkeit und Art des entsprechenden Eintrages gelistet, die bei dessen Einschätzung zur Gefährlichkeit helfen.
Achtung:In meinen Tests hat diese Homepage zuverlässige Resultate geliefert. Da dies aber ein automatisierter Prozess darstellt, gibt es natürlich keine 100% Garantie dafür. Solltet ihr betreffend eines Eintrages und dessen Gefährlichkeit unsicher sein, empfehle ich den entsprechenden Teil, resp. den Dateinamen zu googlen.
Vor allem wenn der Eintrag als unbekannt angezeigt oder nicht eingeordnet werden kann, ist manuelles überprüfen zwingend angebracht. Unbekannte Einträge erkennt ihr zudem an
in der Linken Kolonne. In diesen Fällen empfiehlt es sich besonders grundlich zu recherchieren. Es soll auch erwähnt werden, dass als vermeintlich sicher eingestufte Programme durchaus schädlich sein könnten und unbekannte Einträge sich als harmlos herausstellen können.
Benutzt zudem gesunden Menschenverstand – Eine Datei mit Namens Kernel32.dll (eine Windos Datei), die sich z.B. im Ordner C:\Mein Hackertool\ befindet, ist mit an Sicherheit grenzender Wahrscheinlichkeit keine Microsoft Datei. Auch hier gilt, benutzt Google falls ihr unsicher seid. Im Anhang findet ihr eine weiterführende Möglichkeit, falls ihr Probleme bei der Auswertung habt.
In unserem Fall sieht die Liste (Ausschnitt) folgendermassen aus
Da in unserem Beispiel der Eintrag unter “Running Processes” gelistet it, müssen wir ihn manuell beenden (5a). Es könnte auch ein versteckter Prozess oder ein Service/Registryeintrag sein, in diesem Falle lest ihr bitte bei 5b nach.
5. Die Gefahr neutralisieren
a. Aktiver Prozess “Running Process”
Öffnet den Task Manager indem ihr ctrl + alt + del simultan drückt und spürt den Prozess unter dem Menüpunkt Prozesse auf (Keylogger.exe in unserem Fall). Wenn ihr das getan habt, müsst ihr die Datei noch manuell löschen. Dazu geht ihr zu dem Pfad, der euch im Log angezeigt wird und entfernt die Datei manuell. Anschliessend rebootet ihr den Pc und checkt ein zweites mal, um sicher zu gehen, dass die Gefahr tatsächlich gebannt wurde.
5. Die Gefahr neutralisieren
b. Versteckter Prozess /Service /Registryeintrag - Praktisch alles, was nicht unter “Running Process” im Log läuft.
In diesem Fall müsst ihr zurück zu Hijackthis gehen.
Folgendes Fenster sollte jetzt zu sehen sein
Der Eintrag beim ausgewerteten Log muss jetzt in Hijackthis gefunden und dann markiert werden.
In diesem Falle nehmen wir an, dass markierte Element ist dasjenige, dass entfernt werden soll (beachtet bitte, dass das nur der Windows Media Player ist und in Warhheit nicht gefährlich ist).
Klickt auf den “Fix checked” Knopf und bestätigt eure Auswahl. Nachdem ihr den Eintrag gelöscht habt stellt ihr sicher, dass auch die infizierte Datei (falls bekannt), etwa ein Grafiktool, ebenfalls manuell löscht. Rebootet schliesslich euren Pc und stellt sicher, dass die Gefahr auch tatsächlich eleminiert wurde, indem ihr nochmal scant.
6. Herzlichen Glückwunsch, ihr habt erfolgreich euren Pc von der Gefahr bereinigt
Wenn ihr den Eintrag gelöscht habt und euer Pc einige Zeit fehlerfrei gelaufen ist, öffnet ihr noch ein weiteres Mal Hijackthis und klickt auf „Open the misc tools section“ und geht zum Eintrag Backups. Dort löscht ihr mit einem Klick auf den Eintrag und den „delete“ Knopf die Wiederherstellungsinfo, da diese ansonsten von Virenscannern erkannt werden könnte.
Sollten nach der Lektüre dieses Guides noch fragen dazu oder zu Hijackthis generell aufkommen, könnt ihr mich gerne ne Private Nachricht hier auf dem Board schreiben.
Anhang:- Versehentlich gelöschte Einträge
Das ist kein Grund in Panik zu geraten, Hijackthis stellt standardmässig Backups her. Öffnet Hijackthis und klickt auf „Open the misc tools section“ und geht dort zum Menüpunkt backups. Indem ihr den entsprechenden Eintrag und Restore anklickt, wird der entsprechende Eintrag wiederhergestellt.
- Weiterführende Hilfe bei der Logfileauswertung
Der beste Ort um bei schwierigen Fällen Hilfe zu erhalten, stellt das Trojaner Board (deutsch) dar. Diese Community erreicht ihr unter
http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/ Beachtet bitte, dass eine vorhergehende Registrierung notwendig ist.
- Hast du dir wirklich einen Keylogger installiert?
Zum Überprüfen des Guides und für die Screenshots, ja. Allerdings hat dieser die Informationen nur Lokal gespeichert und konnte anschliessend gefahrlos deinstalliert werden. Ich empfehle ausdrücklich dies
nicht nachzuahmen. Zudem wird es hier keine Hilfe zur Installation oder zum Versenden von Keyloggern geben, da dies ohne die Zustimmung des auszuspionierenden Pc-Benutzers illegal ist und gegen die Jsp Regeln verstösst.
- Offizieller Link zu Spybot Search and Destroy
http://www.safer-networking.org/de/mirrors/index.html- Offizieller Link zu Ad-Aware Personal (Gratis)
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5- Offizieller LInk zu Ad-Aware Professional (kostenpflichtig)
http://www.lavasoftusa.com/index.phpHinweise:Dieser Guide basiert auf Hijackthis Versionen vor 2.00 (momentan im Beta Stadium). Die Software wurde vom Autor verkauft und wird in Zukunft (ab Ver. 2.00) wohl zunehmend anders aussehen, da jetzt eine kommerzielle Firma dahinter steckt.
Guide Ver. 1.02 - Verfasst 2007 und überarbeitet 2009 von CueqzappeR
Screenshots mit Vista und Hijackthis Version1.99.1