Öffnen Sie die Datei, nachdem Sie die neueste Version von Trend Micro HijackThis heruntergeladen und installiert haben. Wenn Ihr Computer das Programm nicht öffnen kann, versuchen Sie, die Datei in eine andere Datei umzubenennen (z. B. sniper.exe), und führen Sie sie erneut aus. Nach dem Öffnen sollte ein Bildschirm ähnlich dem unten abgebildeten Beispiel angezeigt werden.
Klicken Sie auf die letzte Schaltfläche "Keine der oben genannten, starten Sie einfach das Programm" und wählen Sie die Schaltfläche "Config ..". Stellen Sie sicher, dass die Kontrollkästchen für Folgendes aktiviert sind.
- Machen Sie Sicherungskopien, bevor Sie Elemente reparieren
- Bestätigen Sie das Fixieren und Ignorieren von Elementen
- Ignorieren Sie nicht standardmäßige, aber sichere Domänen in IE
- Liste der laufenden Prozesse in Protokolldateien einschließen
Klicken Sie nach der Überprüfung oder Überprüfung auf die Schaltfläche Hauptmenü .
Wählen Sie anschließend die erste Schaltfläche System scannen aus und speichern Sie eine Protokolldatei, um den System-Scan zu starten. Wenn Sie fertig sind, sehen Sie einen Bildschirm ähnlich dem unten abgebildeten Beispiel und ein neues Notizfenster, in dem das neue HijackThis-Protokoll angezeigt wird.
Wenn Sie dieses Protokoll für die Online-Analyse generieren, kopieren Sie das gesamte Protokoll in die Zwischenablage, indem Sie Strg + A drücken, um den gesamten Text auszuwählen. Klicken Sie nach dem Markieren auf Bearbeiten und Kopieren. Sobald dies erledigt ist, kann dies in eine Forumsseite oder ein HijackThis-Tool eingefügt werden, z. B. das Prozesswerkzeug Computer Hope Windows.
Die HijackThis-Protokolldatei wird auch auf Ihrem Computer im Standardverzeichnis "C: \ Programme \ Trend Micro \ HijackThis \" gespeichert und kann an einen Forenbeitrag angehängt oder an einen anderen Benutzer in einer zu analysierenden E-Mail gesendet werden.
Die Ergebnisse verstehen
Auf den ersten Blick können die Ergebnisse überwältigend erscheinen, aber das Protokoll enthält alle Informationen und potenziellen Standorte, an denen Malware Ihren Computer angreifen kann. Nachfolgend finden Sie eine kurze Beschreibung jedes dieser Abschnitte, um ein allgemeines Verständnis dessen zu erhalten, was sie sind.
Achtung: HijackThis ist ein erweitertes Dienstprogramm, das Änderungen an der Registrierung und an anderen Systemdateien vornehmen kann, die zusätzliche Computerprobleme verursachen können. Vergewissern Sie sich, dass Sie die oben genannten Anweisungen befolgt haben, Sicherungskopien der Änderungen erstellen und sich mit dem Problem vertraut machen, bevor Sie die markierten Elemente reparieren.
R0 - R3-Abschnitte
Windows-Registrierungswerte, die erstellt und geändert wurden und sich auf Ihren Microsoft Internet Explorer-Browser beziehen. Häufig greift Malware diese Registrierungswerte an, um Ihre Standard-Startseite, Suchseite usw. zu ändern. Nachfolgend finden Sie ein Beispiel für einen R0-Wert.
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Startseite = //www.computerhope.com/
F0 - F3 Abschnitte
Eine Übersicht aller angezeigten Elemente, die aus den Dateien system.ini oder win.ini geladen werden.
N1 - N4 Abschnitte
Ähnlich wie die Abschnitte R0-R3 sind diese Abschnitte Bestandteil der Datei prefs.js, die sich auf die Browser Netscape und Mozilla Firefox beziehen. N1-N4-Abschnitte werden angegriffen, um die Standard-Startseite, die Suchseite usw. zu ändern.
Abschnitt O1
Dieser Abschnitt enthält alle Host-Datei-Umleitungen, die an die Windows-Hosts-Datei vorgenommen wurden. Umleitungen sind eine andere Art von Angriff, der einen Domänennamen an eine andere IP-Adresse umleitet. Ein Angriff kann dies beispielsweise verwenden, um Ihre Bank-URL zu einer anderen Website umzuleiten, um Anmeldeinformationen zu stehlen. Unten ist ein Beispiel für eine O1-Leitung.
O1 - Hosts: :: 1 localhost
O2-Abschnitt
Dieser Abschnitt enthält alle Internet-BHOs (Browser Helper Object) mit CLSID (eingeschlossen in {}), die auf dem Computer installiert sind. Unten ist ein Beispiel für eine O2-Leitung.
O2 - BHO: Link-Hilfe für Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: \ Programme \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O3-Abschnitt
In diesem Abschnitt werden alle Microsoft Internet Explorer-Symbolleisten beleuchtet, die auf dem Computer installiert sind. Obwohl es viele legitime Browsersymbolleisten gibt, gibt es auch viele schädliche Symbolleisten und Symbolleisten, die von anderen Programmen installiert werden, die Sie möglicherweise nicht möchten. Unten ist ein Beispiel für eine O3-Leitung.
O3 - Symbolleiste: StumbleUpon-Symbolleiste - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: \ Programme \ StumbleUpon \ StumbleUponIEBar.dll Abschnitt O4
Einer der am häufigsten betrachteten Abschnitte, der O4-Abschnitt, enthält alle Programme, die bei jedem Start des Computers automatisch in die Windows-Registrierung geladen werden. Unten ist ein Beispiel für diese Zeile.
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O5 Abschnitt
In diesem Abschnitt werden alle Symbole der Windows-Systemsteuerung angezeigt, die deaktiviert wurden. Einige Malware deaktiviert möglicherweise die Windows-Systemsteuerung, um die Problembehandlung durch das Programm zu verhindern.
O6-Abschnitt
Wenn Microsoft Internet Explorer-Optionen von den Richtlinien deaktiviert wurden, sollten sie behoben werden.
O7 Abschnitt
Dieser Abschnitt wird angezeigt, wenn der Zugriff auf den Registrierungseditor (regedit) deaktiviert wurde. Wenn vorhanden sollte behoben werden.
O8 Abschnitt
Alle zusätzlichen Funktionen, die dem Microsoft Internet Explorer-Kontextmenü hinzugefügt wurden, werden in diesem Abschnitt angezeigt. Unten ist ein Beispiel für diese Zeile.
O8 - Zusätzliches Kontextmenüelement: & Windows Live Search - res: // C: \ Programme \ Windows Live Toolbar \ msntb.dll / search.htm.
O9 Abschnitt
Alle zusätzlichen Schaltflächen oder Menüelemente, die Microsoft Internet Explorer hinzugefügt wurden, werden hier angezeigt. Unten ist ein Beispiel für diese Zeile.
O9 - Zusätzliche Taste: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: \ Programme \ StumbleUpon \ StumbleUponIEBar.dll. O10 Abschnitt
In diesem Abschnitt werden alle Windows-Winsock-Hijacker angezeigt. Obwohl diese Zeilen aufgrund der Funktionsweise von Winsock von HijackThis behoben werden können, empfehlen wir die Verwendung von LSP-Fix, einem alternativen Tool, das diesen Abschnitt repariert, falls vorhanden. Unten ist ein Beispiel für diese Zeile.
O10 - Unbekannte Datei in Winsock LSP: c: \ windows \ system32 \ nwprovau.dll
O11 Abschnitt
Zeigt alle zusätzlichen Gruppen an, die dem Abschnitt Erweiterte Optionen von Microsoft Internet Explorer hinzugefügt wurden.
O12-Abschnitt
In diesem Abschnitt werden alle auf dem Computer installierten Microsoft Internet Explorer-Plug-Ins angezeigt.
O13 Abschnitt
Zeigt alle Änderungen an, die am // Standardpräfix von Microsoft Internet Explorer vorgenommen wurden. Wird verwendet, wenn ein Benutzer eine URL-Adresse eingibt, das "//" jedoch nicht davor fügt.
O14 Abschnitt
Dieser Abschnitt zeigt alle Änderungen in der Datei iereset.inf an. Diese Datei wird verwendet, wenn Sie die Microsoft Internet Explorer-Einstellungen auf die Standardeinstellungen zurücksetzen.
O15-Abschnitt
Zeigt alle Änderungen der vertrauenswürdigen Zone von Microsoft Internet Explorer an. Sofern Sie diesen Abschnitt nicht hinzugefügt oder erkannt haben, sollten Sie ihn durch HijackThis beheben. Unten sehen Sie ein Beispiel für eine O15-Leitung.
O15 - Vertrauenswürdige Zone: //www.partypoker.com
O16-Abschnitt
Zeigt alle Microsoft Internet Explorer-ActiveX-Objekte an. Unten ist ein Beispiel für diese Zeile.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. O17-Abschnitt
In diesem Abschnitt werden mögliche DNS- und Domain-Hijacks angezeigt. Unten ist ein Beispiel für diese Zeile.
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Nameserver = 203.23.236.66 203.23.236.69. O18-Abschnitt
Alle Protokoll-Hijacker werden hier angezeigt. Wenn dieser Abschnitt zu sehen ist, wird empfohlen, ihn von HijackThis zu beheben.
O18 - Protokoll: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: \ PROGRA ~ 1 \ mcafee \ SITEAD ~ 1 \ mcieplg.dll. Abschnitt O19
In diesem Abschnitt werden alle Änderungen an CSS-Stylesheets angezeigt. Wenn Sie kein benutzerdefiniertes Stylesheet verwenden, wird empfohlen, HijackThis zu verwenden, um diesen Abschnitt zu korrigieren.
O20-Abschnitt
In diesem Abschnitt wird alles angezeigt, was über APPInit_DLL oder Winlogon geladen wird. Nachfolgend finden Sie ein Beispiel für jede dieser Zeilen.
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Programme \ SUPERAntiSpyware \ SASWINLO.DLL.
O21 Abschnitt
Alles, was in den Windows-Registrierungsschlüssel SSODL (ShellServiceObjectDelayLoad) geladen wird, wird in diesem Abschnitt angezeigt.
O22 Abschnitt
Dieser Abschnitt zeigt alle SharedTaskScheduler-Windows-Registrierungsschlüssel. Unten ist ein Beispiel für diese Zeile.
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: \ Windows \ System32 \ DreamScene.dll. O23 Abschnitt
In diesem Abschnitt werden alle Startdienste von Windows XP, NT, 2000, 2003 und Vista in diesem Abschnitt angezeigt. Unten ist ein Beispiel für diese Zeile.
O23 - Service: AVG8 E-Mail-Scanner (avg8emc) - AVG Technologies CZ, sro - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe.
O24 Abschnitt
Der Abschnitt O24 enthält schließlich alle Microsoft Windows Active Desktop-Komponenten, die auf dem Computer installiert sind. Wenn Sie Active Desktop nicht verwenden oder den Namen nicht erkennen, sollten Sie diese ebenfalls beheben. Unten ist ein Beispiel für diese Zeile.
O24 - Desktop-Komponente 1: (kein Name) - //mbox.personals.yahoo.com/mbox/mboxlist.