Sicherheit: Überprüfung der Registry auf Schadprogramme mit HijackThis

Haben Sie den Verdacht, dass Ihr Rechner von Schadprogrammen infiziert ist, ist eine Überprüfung mit HijackThis hilfreich. Das Tool protokolliert Änderungen an der Registry; den Bericht wertet ein Analysedienst im Internet kostenlos für Sie aus. Zur HijackThis-Logdatei erhalten Sie auch Hilfe in Foren. Wie Sie HijackThis installieren und dessen Berichte auswerten, erfahren Sie in diesem Beitrag.

Die Geschichte von HijackThis: vom Spezialtool gegen Browser-Hijacking zum Malware-Allheilmittel

HijackThis wurde ursprünglich entwickelt, um Browser-Hijacking zu erkennen und rückgängig zu machen. Browser-Hijacking ist das Entführen der Startseite und Ändern der Suchmaschine des Browsers. Daher kommt auch der Name des Tools HijackThis, was übersetzt "entführe dies/das" bedeutet. Heute ist das Einsatzgebiet von HijackThis jedoch breiter und das Tool wird mittlerweile vor allem zum Erkennen und Entfernen von Spyware und Trojanern eingesetzt.

Der Bericht von HijackThis zeigt Änderungen an der Registry und speziellen Bereichen der Festplatte an. Das ermöglicht in vielen Fällen das schnelle Identifizieren vorhandener Schadprogramme, die vom installierten Antiviren-Programm übersehen wurden. Im Gegensatz zu einem Antiviren-Programm beseitigt HijackThis die Schadprogramme jedoch nicht, es liefert lediglich die Hinweise, die zum Erkennen und Entfernen benötigt werden.

Wie Sie HijackThis ausführen und damit die Änderungen an der Registry protokollieren

HijackThis ist Freeware und wird daher kostenlos über das Sicherheitsunternehmen Trend Micro und etliche Webseiten angeboten. Laden Sie die rund 380 KByte große Datei "hijack.exe" herunter, rufen Sie diese auf und bestätigen Sie die Lizenzbedingungen; diese werden dann beim nächsten Aufruf nicht mehr angezeigt.

Die Oberfläche von HijackThis ist ausschließlich in englischer Sprache verfügbar. Klicken Sie auf "Do a system scan and save a logfile", um Ihr Windows-System durchsuchen und eine Protokolldatei anlegen zu lassen. Es kann auch mit "Do a system scan only" das System durchsucht werden, ohne dass direkt eine Logdatei angelegt wird.

Empfehlenswert ist die erste Version, also der Aufruf mit "Do a system scan and save a logfile", denn dann zeigt HijackThis das Ergebnis des Scans im Notizblock von Windows an und Sie können die Einträge recht einfach in die Zwischenablage kopieren und dann in eine Blog-Nachricht oder in das Feld eines Analysedienstes einfügen.

Welche Informationen das HijackThis-Protokoll enthält

Zu Beginn des Protokolls stehen die verwendete Version von HijackThis, Uhrzeit und Datum des Scans, das verwendete Windows, der installierte Internet Explorer und die Art des Bootens. Hier ein Beispiel:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:33:36, on 23.03.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v10.0 (10.00.9200.16521)
Boot mode: Normal

Im nächsten Abschnitt sind hinter Running Processes alle laufenden Prozesse mit ihren Pfaden aufgelistet. Sie können hier nachsehen, ob Programme aufgeführt sind, die Sie nicht kennen und nicht selbst installiert haben.

Der dritte Teil enthält Registry-Einträge und BHO (Browser Helper Objects). Am Anfang jedes Eintrags ist eine Kennung in Form eines Buchstabens und einer Zahl. Der Buchstabe kennzeichnet die Aufgabe des Registry-Eintrags: Also stehen beispielsweise hinter Einträgen mit "R" Änderungen an den Voreinstellungen für Startseite und Suchmaschine des Internet Explorers.

Mit "N" sind dagegen Änderungen bei den alternativen Browsern, wie Mozilla Firefox, gekennzeichnet. Änderungen an INI-Dateien haben den Buchstaben "F." Der Buchstabe "O" steht für "Others", also andere Änderungen. Hier kann alles Mögliche eingetragen sein.

Die Zahl hinter den Buchstaben "R, F oder N" lässt Rückschlüsse auf die Art der Änderung zu. Bei "R0" wurde beispielsweise ein Registry-Wert (für die Startseite) geändert; bei "R1" ein solcher Wert neu erstellt. Der folgende Eintrag bedeutet also, dass der Registry-Wert für die Startseite des Internet Explorers geändert wurde, so dass dieser nun die Suchmaschine Google anzeigt.

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = https://www.google.de/?gfe_rd=cr&ei=XnB1Wdf3MdL08AfYjbeoBw&gws_rd=ssl

Was die Einträge bedeuten, finden Sie in dieser deutschen Übersicht mit Links zu dokumentierten Beispieleinträgen. 

HijackThis-Logdatei automatisch auswerten lassen

Sie können sich mit Hilfe der Beschreibungen in die Deutung der HijackThis-Einträge einarbeiten, aber das dauert und erfordert auch fortgeschrittene PC-Kenntnisse. Schneller zu einer Erklärung kommen Sie über den Online-Dienst Hijackthis.de.

Rufen Sie die Webseite auf und fügen Sie das Protokoll von HijackThis in der großen Textbox ein. Dann klicken Sie auf "Auswerten" und  ein paar Minuten später erhalten Sie die Auswertung mit roten und grünen Symbolen für zu prüfende Einträge und solche, die unbedenklich erscheinen.

Warnung: Nicht alles ist schädlich, was HijackThis als unsicher kennzeichnet

Im Protokoll werden Sie nahezu immer Hinweise auf unbekannte, eventuell schädliche oder auch schädliche Prozesse und Registry-Einträge finden. In einigen Fällen wird HijackThis Sie auffordern, einen Eintrag zu fixen, das bedeutet zu löschen.

Handeln Sie in solchen Fällen nicht voreilig, denn HijackThis kennt nicht jedes Programm und jeden Eintrag. Ein unbekannter Eintrag ist also zunächst einmal nichts mehr als dem Programm nicht bekannt und damit nicht automatisch schädlich.

Versuchen Sie mehr über einen solchen Prozess herauszufinden. Nur wenn sich dieser keinem beabsichtigt installierten Programm zuordnen lässt, sollten Sie den entsprechenden Eintrag entfernen. Sollte dies zu Fehlern führen, können Sie durch eine Systemwiederherstellung den vorherigen Zustand zurückerhalten.

Falls HijackThis Anzeichen für massive Infektion mit mehreren Schadprogrammen enthält, darunter besonders gefährliche Exemplare, wie Rootkits oder Online-Banking-Trojaner, sollten Sie keine Rettungsversuche mehr unternehmen, sondern Windows zur Sicherheit komplett neu installieren.

Es erfordert in jedem Fall Erfahrung, um ein HijackThis-Protokoll auszuwerten und die richtigen Schlüsse aus den Hinweisen in der Logdatei zu ziehen. Sie sollten sich daher im Zweifelsfall helfen lassen.

Hilfe in einem HijackThis-Support-Forum oder Chat

Persönliche Hilfe erhalten Sie in Chats und Foren, die sich dem Thema Sicherheit verschrieben haben und bei der Unterstützung auf die HijackThis-Protokolle zurückgreifen. Seien Sie freundlich und zuvorkommend, die Helfer sind ehrenamtlich tätig und keineswegs zur Hilfe verpflichtet. Übersicht der Foren und Chats zu HijackThis: