HijackThis - Anwendungsfragen

17Antworten
  1. #1
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard HijackThis - Anwendungsfragen

    [FONT=Verdana]Um ein tragfähiges und einheitliches Vorgehen im Umgang mit HjT zu erhalten, sollten wir abgekoppelt vom aktuellen Thread das Problem diskutieren.
    Voraus schicken möchte ich, dass wir uns in die Situation des Users hinein denken sollten.
    Ein User, der sich im Umgang mit den Internet der damit verbundenen Gefahren bewusst ist und auch sonst über ausreichende PC-Kenntnisse verfügt, kommt eher selten in die Situation, dass sich Schadsoftware etabliert hat. Er weiß sich sicher auch selber zu helfen.
    Jemand der ein Schadensbild bemerkt und in einem Forum um Hilfe nachsucht, ist sicher in der Regel unerfahrener. Er muss unter Stress erst mal das diffuse Schadensbild konkretisieren. Wenn wir ihm nun die etwas aufwändigere Vorgehensweise mit diesem Reparatur-Tool empfehlen, sehen wir ihn oft überfordert, diese Vorgaben einzuhalten. Wir könnten es uns einfach machen, indem wir ihm den Link einstellen und einen weiteren zur automatischen Auswertung. Soll er doch selbst sehen, wie er damit klar kommt. Wenn wir ihm diese Auswertung abnehmen, ist – zumindest mir – immer bewusst, dass wir uns dabei oft in einer Grauzone bewegen. Oft denke ich, es wäre besser zu einer Neuinstallation des BS zu raten, als diese Ausbesserungen vorzunehmen.
    Zur Sache selbst:
    Wir sollten zwar dafür sorgen, dass die Anleitung Hand und Fuß hat, aber den User auch nicht überfordert.
    Da meine Kenntnisse von der Arbeitsweise dieses Tools auch nur rudimentär sind, habe ich mich bisher darauf verlassen, dass das Scannen im abgesicherten Modus und bei deaktivierter Systemwiederherstellung erfolgen soll.
    Der Einwand von *Dirjo*, dass dabei nicht geladene Elemente unkontrolliert bleiben, leuchtet mir zwar ein. Dem gegenüber steht aber, dass beim Scan im Normal-Modus eine sofortige Regeneration der Schadsoftware über das Netz möglich wäre, wenn sie entsprechend programmiert wurde.
    Mit meiner laienhaften Logik verträgt sich aber nicht, dass im Normal-Modus gescannt werden soll. Ein zweiter Durchlauf im abgesicherten Modus würde die evtl. regenerierten Dateien vorfinden.
    Wäre es daher nicht logischer, man würde zuerst den abgesicherten Modus wählen und nach dem Fixen und Löschen einen zweiten Durchlauf im Normal-Modus durchführen lassen und diesen dann noch einmal gegen zu checken?[/FONT]

  2. #2
    Avatar von Dirjo
    Dirjo

    Standard

    Wäre es daher nicht logischer, man würde zuerst den abgesicherten Modus wählen und nach dem Fixen und Löschen einen zweiten Durchlauf im Normal-Modus durchführen lassen und diesen dann noch einmal gegen zu checken?
    Ich denke die Reihenfolge ist fast egal, nur sollte man wirklich beides machen.
    Der Link den ich im anderen Thread beigepackt habe, ist gar nicht so übel und in wirklich vielen Anleitungen wird der abges. Modus gar nicht erwähnt.
    Das halte ich aber auch für verkehrt, wie gesagt beides zu machen und auch zu empfehlen kostet nicht viel Zeit.
    Bzw. wenn in deiner Anleitung beides empfohlen wird, würde ich diese auch bei jeder sich bietenden Gelegenheit verlinken.

    Es ist aber doch kein Ding, den Scan im normalen Modus ohne Verbindung nach außen zu bewerkstelligen, egal ob Netzwerk oder Inet.
    Die Anzahl der aktiven Prozesse/Dienste ist nun mal im abges. Modus nicht wirklich gleich zu setzen.

    Anders ist das ganze auch nicht mit z.B. AntiVir und anderen Sicherheitsprogrammen die über eine Scanfunktion verfügen und sich im abg. Modus starten lassen, wer sicher gehen will, scannt wenigstens in beiden Modi und das nicht selten 1-2x.
    Wer nur einen Modus nutzt, läuft doch viel zu schnell Gefahr erfolglos zu sein.

  3. #3
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Hi,

    ich denke wir sollten unsere Anleitung überarbeiten. In dem Link von Dirjo ist folgendes zu lesen:

    Für die Systembereinigung sollte man in vielen Fällen in den abgesicherten Modus von Windows wechseln. Dieser Modus ist eine Startart von Microsoft Windows, bei dem nur jene Dienste und Prozesse geladen werden, die für den minimalen Betrieb von Windows notwendig sind, also Malware gehört hier normal nicht dazu. Da sich das aber auch unter den Malwareautoren herumgesprochen hat, wird oft ein Start in das Auswahlmenü zum abgesicherten Modus blockiert.
    Heißt nichts anderes als erst einmal Scannen im Normalmodus und den Reinigungslauf dann abgesichert durchführen.

    Das macht auch Sinn, denn ich scanne alles und beim Reinigen lass ich das System auf Sparflamme laufen.

    LG

  4. #4
    Avatar von Dirjo
    Dirjo

    Standard

    Die Mischung macht es, so würde man ganz sicher am besten/sichersten fahren, halt in beiden Modi scannen und fixen.
    Falls ein Pc ohnehin durch und durch verseucht ist, so kann die ganze Sicherheitssoftware ohnehin nur für etwas Schadensbegrenzung sorgen, da würde ich auch stets eine Formatierung empfehlen.

    Ein Hinweis wo wir auswerten wäre nach wie vor fair, ist nun mal nicht unser Verdienst, sondern der von vielen und bedeutet ja nicht das man deswegen nicht mehr als Ansprechpartner fungiert.
    Der letzte Blick vom erfahrenen User ist doch für viele Gold wert.

  5. #5
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    [FONT=Verdana]Moin,[/FONT]
    [FONT=Verdana]ich hätte nichts dagegen, diesen Link [/FONT]
    [FONT=Verdana]https://members.linzag.net/680262/HJT/HijackThis.html[/FONT]
    [FONT=Verdana]anzubieten. Ich befürchte, viele User sind damit überfordert und geben auf bevor sie zu Ende gelesen haben oder machen Fehler auf Grund dieser Überlänge.[/FONT]
    [FONT=Verdana]Dass wir uns fremder Hilfe bedienen, kann erwähnt werden. Mir gefällt von Beginn an nicht, dass unsere Anleitungen personalisiert sind.[/FONT]
    [FONT=Verdana]Die Erwähnung und den Link zur automatischen Auswertung kann auch aufgenommen werden. [/FONT]
    [FONT=Verdana]Also würde das doch genügen:[/FONT]


    • [FONT=Verdana]Normal-Modus und 'Offline arbeiten' anhaken [/FONT]
    • [FONT=Verdana]Systemwiederherstellung deaktivieren[/FONT]
    • [FONT=Verdana]Scannen [/FONT]
    • [FONT=Verdana]Logfile auswerten (lassen) [/FONT]
    • [FONT=Verdana]Zweiter Scan im 'abgesicherten Modus'[/FONT]
    • [FONT=Verdana]fixen[/FONT]
    • [FONT=Verdana]löschen [/FONT]
    • [FONT=Verdana]Erneut scannen [/FONT]
    • [FONT=Verdana]Selbst den Erfolg kontrollieren oder nochmals posten[/FONT]

  6. #6
    Avatar von Dirjo
    Dirjo

    Standard

    Das klingt gut und fair.
    Der Link zur Auswertungsseite und ob nun die Anleitung oder eine andere ist fast egal.
    Nur ist die verlinkte gar nicht übel und schön bebildert.
    Einem User der sich dennoch mit Hijack schwer tut, dem ist doch ohnehin auch schwer zu helfen

    Ich per. finde deine Anleitung absolut nicht übel, mir fehlen halt nur der Auswertungslink, der Hinweis das der Scan im normalen Modus ebenso erfolgen soll und das wir im gewünschten Fall zusätzlich auch einen Blick über diese Logdatei werfen würden.
    Manche Einträge sind für den User vielleicht zu sensibel und er sollte wissen, das er auch eine offizielle Möglichkeit der Auswertung hat, eben genau die, die wir auch nutzen.

  7. #7
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    ich habe einen Entwurf erstellt. Schaut es an, kontrolliert es auf Verständlichkeit, macht Verbesserungsvorschläge und von VISTA- und WIN 7-Nutzern erbitte ich Angaben, wo die Systemwiederherstellung deaktiviert werden kann.
    Entwurf entfernt

  8. #8
    Avatar von Dirjo
    Dirjo

    Standard

    Ist doch gut und immer noch übersichtlich.
    Alle nötigen Infos sind vorhanden, bzw. werden durch Links ergänzt.
    Den Begriff Offline könnte man vielleicht noch durch "ohne Inet- oder Netzwerkverbindung" ersetzen.

    Systemwiederherstellung deaktivieren Vista Home Premium 64Bit, Version dürfte aber keine Rolle spielen.:

    Start / Systemsteuerung / System / Computerschutz;
    unter verfügbare Datenträger den Haken bei den dort zu findenden Einträgen entfernen;
    die Meldung Systemwiederherstellung ausschalten anklicken;
    bei gewünschte Aktivierung den Haken einfach wieder setzen.

  9. #9
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Das sieht sehr gut aus, ich würde das aber abändern.

    Nach der Auswertung des ersten Logfiles, sollte der abgesicherte Modus mit deaktivierter Systemwiederherstellung zum fixen benutzt werden.

    Das ist doch genau der Punkt, wo wir dran rumdoktern.

    Scannen zum Fehler finden im Normalmodus...

    Scannen zum Fixen der Fehler abgesichert ohne Systemwiederherstellung, damit zum Beseitigen der Fehler das System im Minimalmodus läuft und sich nichts wiederholt.

    Wegen Win 7 schau ich gleich mal nach.

    LG

  10. #10
    Avatar von Dirjo
    Dirjo

    Standard

    Scannen und fixen in beiden Modi ist doch völlig ok und schadet nicht, so verstehe ich die abgeänderte Anleitung auch.

  11. #11
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    ich habe eure Anmerkungen eingearbeitet:
    gelöscht
    Ich denke Q-Max hat insofern Recht, dass in der ursprünglichen Form 3 Scans stattfanden.
    Es ist doch egal, ob schon nach dem ersten gefixt wird und nach dem 2ten evtl. noch mal oder nur nach dem 2ten.
    Seht es euch noch mal an.
    Eine offene Sache besteht noch:
    Irgendwo steht, dass der Scann bei Vista nur unter Administratorrechten funktioniert. Das wird sicher bei WIN 7 auch so sein. Nur wo bringt man das noch unter?
    @ Q-Max, nicht weiter suchen. Ich habe bei WIN 7 nachgeschaut.

  12. #12
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Vergesst den Anfang, das ist Blödsinn!
    Es muss ja auf jeden Fall eine 2te Auswertung erfolgen.
    Morgen gehts weiter.

  13. #13
    Avatar von Dirjo
    Dirjo

    Standard

    Ich verstehe das nicht, warum denn nicht im normalen Modus auch fixen?
    Es macht doch nur Sinn wenn in beiden Modi gescannt und gefixt wird, abgesichert startet doch schon wieder nicht alles an Diensten und Prozessen mit.

    In ganz vielen Fällen (oft bei den unliebsamen Browserentführern) reicht es im normalen Modus zu scannen und zu fixen, da muss u.U. noch nicht einmal mehr ein Pfad gelöscht werden.

    Als wichtig würde ich erachten, das nach dem ersten Scan/Fixen im Normalmodus, direkt in den abgesicherten gestartet werden soll und nicht erst nochmal in den normalen Windowsbetrieb.

    Es sollte meiner Ansicht nach zwingend in beiden Modi gescannt und gefixt werden.

  14. #14
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Es könnte sein das ihr recht habt.

    Mein Hintergedanke war beim ersten Scan im Normalmodus alles zu "Erwischen" was da sein Unwesen treibt.

    Da da gewonnene Logfile wird ja ausgewertet und der zweite Scan im abgesicherten Modus sollte meiner Meinung nach Aktivitäten der Malware verhindern, so das sie sich auch fixen lässt..

    Ich hab da aber wohl einen Gedankenfehler. Eventuell werden schädliche Prozesse, die im Normalmodus angezeigt werden, im abgesicherten Modus nicht angezeigt - dementsprechend können sie natürlich auch dann nicht gefixt werden.


    Ich kann das nur nicht verifizieren, ich hab keine Malware auf dem Rechner

    LG

  15. #15
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    Ich habe es umgearbeitet. Die beiden vorigen Entwürfe habe ich entfernt, damit passive Mitleser nicht irre werden.
    Danke, *Dirjo*, dass du von außen aktiv mit wirkst und mit denkst. So hatten wir uns das mal vorgestellt, um nicht nur im eigenen Saft intern rumzustochern.
    Entwurf:
    HijackThis3.doc

  16. #16
    Avatar von Dirjo
    Dirjo

    Standard

    Ja passt doch, für die finale Anleitung kannst du ja noch ein wenig am Satzbau u.s.w. arbeiten, aber so sichert man sich jetzt in alle Richtungen ab.

    Danke fürs Danke, gerne geschehen...

  17. #17
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Ich finde es gut, lade es hoch

    LG

  18. #18
    Avatar von schmidtchen
    schmidtchen ist offline
    Themen Starter

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    OK, ist erfolgt.

Ähnliche Themen

  1. HijackThis Log

    Von holliwald im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 20.12.2012, 14:57
  2. HijackThis

    Von wallerbaby78 im Forum Antivirus und PC Sicherheit
    Antworten: 21
    Letzter Beitrag: 11.12.2009, 18:40
  3. Hijackthis log

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 1
    Letzter Beitrag: 04.12.2005, 19:50
  4. Hijackthis log

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 9
    Letzter Beitrag: 02.12.2005, 20:19
  5. Hijackthis

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 31.07.2005, 14:19
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz