Hijackthis benutzen

Internet Internet Sicherheit
1

Hallo,

weiter unten wurde mir hijackthis empfohlen. Habe ich gemacht. Das Ergebnis steht nun in einem hijackthis - Editor. Damit kann ich aber nichts anfangen. Dann habe ich hier http://www.hijackthis.de/de die Logfileauswertung gefunden und gemacht. Auf dieser Liste sind zwei zum fixen empfohlen. Wie geht das? Zum anderen habe ich auch gelesen, daß Auswerteprogramme nicht zuverlässig seien. Zu fixende Prog:

  1. O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - h…
  2. O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
    Dann wurden noch drei nicht bekannte Programme gefunden. wie kann ich deren Bedeutung für mich erkennen?
    Der Empfehler von oben hat angeboten, das gepostete Logfile zu überprüfen. Ich bin etwas ungeduldig, würde zum anderen auch selbst Hand anlegen wollen.
    Gibt es Tipps?

Gruß
Otto

2

Hallo Otto,

Auf dieser Liste sind zwei zum fixen empfohlen. Wie
geht das?

Hier wäre es zum nachlesen:
http://members.linzag.net/680262/HJT/HijackThis.html…

Zum anderen habe ich auch gelesen, daß
Auswerteprogramme nicht zuverlässig seien. Zu fixende Prog:

  1. O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF}
    (StarInstall Control) - h…
  2. O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC}
    (IELoaderCtl Class) -
    http://install.global-netcom.de/ieloader.cab
    Dann wurden noch drei nicht bekannte Programme gefunden. wie
    kann ich deren Bedeutung für mich erkennen?

Das ist schwierig. Meist erkannt man unbekannte Programme an wenigen Buchstabenfolgen (z.B. bei mir irgendwo avm, dann weiss ich, es hängt mit meinem Modem zusammen), oft Modem, Antivirenprogramm etc.
Ich würde nur als kritisch oder böse gemeldete Programme fixen, und zwar immer nur ein Programm, danach neu starten und erstmal schauen, welche Programme nicht mehr funktionieren.
Grüße
BW

3

Hi Otto

weiter unten wurde mir hijackthis empfohlen. Habe ich gemacht.

Brav :wink:

Das Ergebnis steht nun in einem hijackthis - Editor. Damit
kann ich aber nichts anfangen. Dann habe ich hier
http://www.hijackthis.de/de die Logfileauswertung gefunden und
gemacht. Auf dieser Liste sind zwei zum fixen empfohlen. Wie
geht das?

neuen scan starten, die entsprechenden Einträge auswählen und den Button ‚fix checked‘ drücken

Zum anderen habe ich auch gelesen, daß
Auswerteprogramme nicht zuverlässig seien. Zu fixende Prog:

  1. O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF}
    (StarInstall Control) - h…
  2. O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC}
    (IELoaderCtl Class) -
    http://install.global-netcom.de/ieloader.cab
    Dann wurden noch drei nicht bekannte Programme gefunden. wie
    kann ich deren Bedeutung für mich erkennen?

Tja, die Auswertung des Logfiles beruht auf Erfahrungen von Usern, sie ist also nie zu 100%. Andrerseits können bei bekannten Programme, die aber in anderen Verzeichnissen stehen als üblich, auch Trojaner am Werk sein, die einfach den Namen einer beaknnten Datei angenommen haben.
Bei unbekannten Programmen ist Detektivarbeit angeagt.
Es braucht schon ein bisschen Erfahrung, um ein Logfile richtig auszuwerten.
Kleiner Tipp: wenn du dir bei einer Datei nicht sicher bist, ob es sich um ein Virus handelt oder nicht, kannst du sie zu einem Onlinevirenscanner hochladen.
ich benutze zB den hier, weil er mit vielen verschiedenen Scannern arbeitet:
http://virusscan.jotti.org/de/

Der Empfehler von oben hat angeboten, das gepostete Logfile zu
überprüfen. Ich bin etwas ungeduldig, würde zum anderen auch
selbst Hand anlegen wollen.

ja, der Empfehler war mit seiner Freundin im Wochenendurlaub. Muss auch mal sein. Aber heute abend wird der Empfehler hoffentlich Zeit haben für eine Analyse :wink:

Gruss
ExNicki

4

Hallo Otto

geht das? Zum anderen habe ich auch gelesen, daß
Auswerteprogramme nicht zuverlässig seien. Zu fixende Prog:

  1. O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF}
    (StarInstall Control) - h…
  2. O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC}
    (IELoaderCtl Class) -
    http://install.global-netcom.de/ieloader.cab
    Dann wurden noch drei nicht bekannte Programme gefunden. wie
    kann ich deren Bedeutung für mich erkennen?
    Der Empfehler von oben hat angeboten, das gepostete Logfile zu
    überprüfen. Ich bin etwas ungeduldig, würde zum anderen auch
    selbst Hand anlegen wollen.

Als erstes grundsätzlich:
Auch HijackThis ist nur ein Computerprogramm und kann dir nicht das Denken abnehmen. Wenn also die Aussage gemacht wird, das du den einen oder anderen Eintrag fixen sollst, so entspricht das der Vorgabe des Programmes. Es hat dir kein vernunftbegabter Mensch gesagt.

Da die beiden O16 Objekte in die Registry eingetragenen ActiveX-Objekte (auch bekannt als Downloaded Program Files) sind, kann man davon ausgehen, das diese im Hintergrund agieren und es sich um Schadsoftware handelt. hxxp://www.global-netcom.de/ ist ein deutscher Server und Netzanbieter, auf dem auch viele 0190-Nummern „beheimatet“ sind. Eine Datei ieloader.cab gibt es dort nicht mehr. Ich würde sagen, das dies ursprünglich ein Dialer oder BHO war, welcher sich vermutlich noch in deinem System befindet.

Oft wirst du in der Auswertung der Logfile darauf verwiesen, das die eine oder andere Datei nicht vorhanden ist. Das ist sehr seltsam. Vor allem dann wenn du dich nicht erinnern kannst, diese jemals gelöscht zu haben. Beachte in diesem Zusammenhang bitte diese Ausführungen in http://www.heise.de/ct/07/02/076/ und http://www.heise.de/security/news/meldung/82462

Wenn es mein PC wäre, hätte ich ihn schon längst platt gemacht und alles neu installiert.

der hinterwäldler