[FONT=Verdana]Um ein tragfähiges und einheitliches Vorgehen im Umgang mit HjT zu erhalten, sollten wir abgekoppelt vom aktuellen Thread das Problem diskutieren.
Voraus schicken möchte ich, dass wir uns in die Situation des Users hinein denken sollten.
Ein User, der sich im Umgang mit den Internet der damit verbundenen Gefahren bewusst ist und auch sonst über ausreichende PC-Kenntnisse verfügt, kommt eher selten in die Situation, dass sich Schadsoftware etabliert hat. Er weiß sich sicher auch selber zu helfen.
Jemand der ein Schadensbild bemerkt und in einem Forum um Hilfe nachsucht, ist sicher in der Regel unerfahrener. Er muss unter Stress erst mal das diffuse Schadensbild konkretisieren. Wenn wir ihm nun die etwas aufwändigere Vorgehensweise mit diesem Reparatur-Tool empfehlen, sehen wir ihn oft überfordert, diese Vorgaben einzuhalten. Wir könnten es uns einfach machen, indem wir ihm den Link einstellen und einen weiteren zur automatischen Auswertung. Soll er doch selbst sehen, wie er damit klar kommt. Wenn wir ihm diese Auswertung abnehmen, ist – zumindest mir – immer bewusst, dass wir uns dabei oft in einer Grauzone bewegen. Oft denke ich, es wäre besser zu einer Neuinstallation des BS zu raten, als diese Ausbesserungen vorzunehmen.
Zur Sache selbst:
Wir sollten zwar dafür sorgen, dass die Anleitung Hand und Fuß hat, aber den User auch nicht überfordert.
Da meine Kenntnisse von der Arbeitsweise dieses Tools auch nur rudimentär sind, habe ich mich bisher darauf verlassen, dass das Scannen im abgesicherten Modus und bei deaktivierter Systemwiederherstellung erfolgen soll.
Der Einwand von *Dirjo*, dass dabei nicht geladene Elemente unkontrolliert bleiben, leuchtet mir zwar ein. Dem gegenüber steht aber, dass beim Scan im Normal-Modus eine sofortige Regeneration der Schadsoftware über das Netz möglich wäre, wenn sie entsprechend programmiert wurde.
Mit meiner laienhaften Logik verträgt sich aber nicht, dass im Normal-Modus gescannt werden soll. Ein zweiter Durchlauf im abgesicherten Modus würde die evtl. regenerierten Dateien vorfinden.
Wäre es daher nicht logischer, man würde zuerst den abgesicherten Modus wählen und nach dem Fixen und Löschen einen zweiten Durchlauf im Normal-Modus durchführen lassen und diesen dann noch einmal gegen zu checken?[/FONT]
Wäre es daher nicht logischer, man würde zuerst den abgesicherten Modus wählen und nach dem Fixen und Löschen einen zweiten Durchlauf im Normal-Modus durchführen lassen und diesen dann noch einmal gegen zu checken?
Ich denke die Reihenfolge ist fast egal, nur sollte man wirklich beides machen.
Der Link den ich im anderen Thread beigepackt habe, ist gar nicht so übel und in wirklich vielen Anleitungen wird der abges. Modus gar nicht erwähnt.
Das halte ich aber auch für verkehrt, wie gesagt beides zu machen und auch zu empfehlen kostet nicht viel Zeit.
Bzw. wenn in deiner Anleitung beides empfohlen wird, würde ich diese auch bei jeder sich bietenden Gelegenheit verlinken.
Es ist aber doch kein Ding, den Scan im normalen Modus ohne Verbindung nach außen zu bewerkstelligen, egal ob Netzwerk oder Inet.
Die Anzahl der aktiven Prozesse/Dienste ist nun mal im abges. Modus nicht wirklich gleich zu setzen.
Anders ist das ganze auch nicht mit z.B. AntiVir und anderen Sicherheitsprogrammen die über eine Scanfunktion verfügen und sich im abg. Modus starten lassen, wer sicher gehen will, scannt wenigstens in beiden Modi und das nicht selten 1-2x.
Wer nur einen Modus nutzt, läuft doch viel zu schnell Gefahr erfolglos zu sein.
ich denke wir sollten unsere Anleitung überarbeiten. In dem Link von Dirjo ist folgendes zu lesen:
Für die Systembereinigung sollte man in vielen Fällen in den abgesicherten Modus von Windows wechseln. Dieser Modus ist eine Startart von Microsoft Windows, bei dem nur jene Dienste und Prozesse geladen werden, die für den minimalen Betrieb von Windows notwendig sind, also Malware gehört hier normal nicht dazu. Da sich das aber auch unter den Malwareautoren herumgesprochen hat, wird oft ein Start in das Auswahlmenü zum abgesicherten Modus blockiert.
Heißt nichts anderes als erst einmal Scannen im Normalmodus und den Reinigungslauf dann abgesichert durchführen.
Das macht auch Sinn, denn ich scanne alles und beim Reinigen lass ich das System auf Sparflamme laufen.
Die Mischung macht es, so würde man ganz sicher am besten/sichersten fahren, halt in beiden Modi scannen und fixen.
Falls ein Pc ohnehin durch und durch verseucht ist, so kann die ganze Sicherheitssoftware ohnehin nur für etwas Schadensbegrenzung sorgen, da würde ich auch stets eine Formatierung empfehlen.
Ein Hinweis wo wir auswerten wäre nach wie vor fair, ist nun mal nicht unser Verdienst, sondern der von vielen und bedeutet ja nicht das man deswegen nicht mehr als Ansprechpartner fungiert.
Der letzte Blick vom erfahrenen User ist doch für viele Gold wert.
[FONT=Verdana]Moin,[/FONT]
[FONT=Verdana]ich hätte nichts dagegen, diesen Link [/FONT]
[FONT=Verdana]https://members.linzag.net/680262/HJT/HijackThis.html[/FONT]
[FONT=Verdana]anzubieten. Ich befürchte, viele User sind damit überfordert und geben auf bevor sie zu Ende gelesen haben oder machen Fehler auf Grund dieser Überlänge.[/FONT]
[FONT=Verdana]Dass wir uns fremder Hilfe bedienen, kann erwähnt werden. Mir gefällt von Beginn an nicht, dass unsere Anleitungen personalisiert sind.[/FONT]
[FONT=Verdana]Die Erwähnung und den Link zur automatischen Auswertung kann auch aufgenommen werden. [/FONT]
[FONT=Verdana]Also würde das doch genügen:[/FONT]
[FONT=Verdana]Normal-Modus und 'Offline arbeiten' anhaken [/FONT]
Das klingt gut und fair.
Der Link zur Auswertungsseite und ob nun die Anleitung oder eine andere ist fast egal.
Nur ist die verlinkte gar nicht übel und schön bebildert.
Einem User der sich dennoch mit Hijack schwer tut, dem ist doch ohnehin auch schwer zu helfen
Ich per. finde deine Anleitung absolut nicht übel, mir fehlen halt nur der Auswertungslink, der Hinweis das der Scan im normalen Modus ebenso erfolgen soll und das wir im gewünschten Fall zusätzlich auch einen Blick über diese Logdatei werfen würden.
Manche Einträge sind für den User vielleicht zu sensibel und er sollte wissen, das er auch eine offizielle Möglichkeit der Auswertung hat, eben genau die, die wir auch nutzen.
Moin,
ich habe einen Entwurf erstellt. Schaut es an, kontrolliert es auf Verständlichkeit, macht Verbesserungsvorschläge und von VISTA- und WIN 7-Nutzern erbitte ich Angaben, wo die Systemwiederherstellung deaktiviert werden kann.
Entwurf entfernt
Ist doch gut und immer noch übersichtlich.
Alle nötigen Infos sind vorhanden, bzw. werden durch Links ergänzt.
Den Begriff Offline könnte man vielleicht noch durch "ohne Inet- oder Netzwerkverbindung" ersetzen.
Systemwiederherstellung deaktivieren Vista Home Premium 64Bit, Version dürfte aber keine Rolle spielen.:
Start / Systemsteuerung / System / Computerschutz;
unter verfügbare Datenträger den Haken bei den dort zu findenden Einträgen entfernen;
die Meldung Systemwiederherstellung ausschalten anklicken;
bei gewünschte Aktivierung den Haken einfach wieder setzen.
Das sieht sehr gut aus, ich würde das aber abändern.
Nach der Auswertung des ersten Logfiles, sollte der abgesicherte Modus mit deaktivierter Systemwiederherstellung zum fixen benutzt werden.
Das ist doch genau der Punkt, wo wir dran rumdoktern.
Scannen zum Fehler finden im Normalmodus...
Scannen zum Fixen der Fehler abgesichert ohne Systemwiederherstellung, damit zum Beseitigen der Fehler das System im Minimalmodus läuft und sich nichts wiederholt.
Moin,
ich habe eure Anmerkungen eingearbeitet:
gelöscht
Ich denke Q-Max hat insofern Recht, dass in der ursprünglichen Form 3 Scans stattfanden.
Es ist doch egal, ob schon nach dem ersten gefixt wird und nach dem 2ten evtl. noch mal oder nur nach dem 2ten.
Seht es euch noch mal an.
Eine offene Sache besteht noch:
Irgendwo steht, dass der Scann bei Vista nur unter Administratorrechten funktioniert. Das wird sicher bei WIN 7 auch so sein. Nur wo bringt man das noch unter?
@ Q-Max, nicht weiter suchen. Ich habe bei WIN 7 nachgeschaut.
Ich verstehe das nicht, warum denn nicht im normalen Modus auch fixen?
Es macht doch nur Sinn wenn in beiden Modi gescannt und gefixt wird, abgesichert startet doch schon wieder nicht alles an Diensten und Prozessen mit.
In ganz vielen Fällen (oft bei den unliebsamen Browserentführern) reicht es im normalen Modus zu scannen und zu fixen, da muss u.U. noch nicht einmal mehr ein Pfad gelöscht werden.
Als wichtig würde ich erachten, das nach dem ersten Scan/Fixen im Normalmodus, direkt in den abgesicherten gestartet werden soll und nicht erst nochmal in den normalen Windowsbetrieb.
Es sollte meiner Ansicht nach zwingend in beiden Modi gescannt und gefixt werden.
Mein Hintergedanke war beim ersten Scan im Normalmodus alles zu "Erwischen" was da sein Unwesen treibt.
Da da gewonnene Logfile wird ja ausgewertet und der zweite Scan im abgesicherten Modus sollte meiner Meinung nach Aktivitäten der Malware verhindern, so das sie sich auch fixen lässt..
Ich hab da aber wohl einen Gedankenfehler. Eventuell werden schädliche Prozesse, die im Normalmodus angezeigt werden, im abgesicherten Modus nicht angezeigt - dementsprechend können sie natürlich auch dann nicht gefixt werden.
Ich kann das nur nicht verifizieren, ich hab keine Malware auf dem Rechner
Moin,
Ich habe es umgearbeitet. Die beiden vorigen Entwürfe habe ich entfernt, damit passive Mitleser nicht irre werden.
Danke, *Dirjo*, dass du von außen aktiv mit wirkst und mit denkst. So hatten wir uns das mal vorgestellt, um nicht nur im eigenen Saft intern rumzustochern.
Entwurf: HijackThis3.doc