Manchmal kommt es trotz aller Bemühungen vor, dass sich heimtückische Adware tief im Innern des Computers verbirgt und einfach nicht aufzuspüren ist. Solche Programme können die Startseite des Browsers “entführen”, unerwünschte Symbolleisten hinzufügen, Werbung einblenden oder sogar das gesamte Surfverhalten ausspionieren, um damit Geld zu verdienen. Man sollte immer erst versuchen, Adware mit Standardprogrammen wie Ad-aware oder Spybot – Search & Destroy zu entfernen, aber falls dies nichts fruchtet, kann man der Sache mithilfe von HijackThis auf den Grund gehen. Dabei gilt es allerdings, Vorsicht walten zu lassen, denn das Programm identifiziert häufig missbrauchte Methoden zum Ändern von Computereinstellungen, von denen einige harmlos sind, andere aber durchaus wichtig. Glücklicherweise bietet das Internet umfangreiche Informationen, um Spyware von wichtigen Systemkomponenten zu unterscheiden.
Setup
HijackThis wird als ZIP-Datei heruntergeladen, die nur das eigentliche Programm enthält, keinen Installer. Man sollte das Programm in einen separaten Ordner entpacken, z.B. C:\Programme\HijackThis, sonst landet es im Standardordner für Downloads. Um das Programm noch einfacher starten zu können, kann man mit der rechten Maustaste auf das Programmicon klicken und eine Verknüpfung auf dem Desktop erstellen. Die meisten Windows-Versionen erlauben es, den Ordner oder auch nur das Icon per Drag&Drop an einer beliebigen Stelle im Startmenü abzulegen. Bei Windows XP kann man mit der rechten Maustaste auf das Icon klicken und dieses an das Startmenü “heften”. Falls man die Schnellstart-Leiste verwendet, kann man das Icon auch dort unterbringen.
Das System scannen
Ganz unabhängig davon, wie man das Programm startet, kann HijackThis verwirrend sein. Man klickt einfach auf den Scan-Button, um eine Liste aller fragwürdigen Einträge in der Registry und auf dem Computer zu erzeugen. Allerdings kann diese Liste selbst auf einem vollständig gesunden Computer, auf dem z.B. eine neue Startseite für den Internet Explorer eingestellt wurde, Dutzende von Einträgen aufweisen. Ein Scan auf dem Testrechner ergab 44 Einträge, die sich alle als harmlos herausstellten. (Falls man genauer wissen will, warum das Programm einen unschuldigen Eintrag verdächtigt hat, kann man die entsprechenden Einträge markieren und dann den Button Info on selected item anklicken oder das vorzügliche Log-Tutorial des Herstellers zurate ziehen.) Am besten speichert man die Logdatei, z.B. im HijackThis-Ordner, und sucht im Internet nach Informationen.
Probleme identifizieren
Praktischerweise wird nach Abschluss des Scanvorgangs aus dem Scan-Button ein Save Log-Button. Wenn man darauf klickt, wird die Logdatei im Editor (Notepad) geöffnet. Wer mutig (oder tollkühn) ist, kann die einzelnen Einträge jetzt im Internet suchen, um festzustellen, ob sie harmlos ist. Dort wird man z.B. feststellen, dass lsass.exe ein Microsoft Windows-Prozess ist, der bei der Authentifizierung von Benutzeranmeldungen hilft. Diese Datei wird man also sicher nicht löschen wollen, wohl aber die harmlos klingende Datei rundll16.exe, die Bestandteil des Adware-Programms BrowserAid ist.
Beim Säuberungsprozess ist man allerdings nicht auf sich allein gestellt. In vielen Online-Foren zu Anti-Adware und für technischen Support gibt es versierte und hilfsbereite Teilnehmer, die einen Blick auf die HijackThis-Logdatei werfen und einem sagen, welche Einträge man löschen kann oder sollte. SpywareInfo bietet ein gutes Forum, ebenso Computer Cops und TweakXP. Für alle drei Foren ist eine Registrierung erforderlich, aber diese ist kostenlos und schnell erledigt. Man sollte die Forum-Regeln lesen, ehe man postet, und etwas Geduld mitbringen.
Aufräumarbeiten
Sobald man sich kundig gemacht hat, kann man die Einträge, die als bösartig identifiziert wurden, markieren und auf den Button Fix checked klicken. Danach sollte man den Computer neu starten und ein Anti-Adware-Programm laufen lassen, um zu sehen, ob das Problem behoben ist. Falls es immer noch Probleme gibt, kann man den Prozess wiederholen oder sich noch einmal an die Foren wenden. Der hilfsbereite Teilnehmer wird einem sagen, welche Dateien zu entfernen sind, und einen dann wahrscheinlich auffordern, den Rechner neu zu starten, erneut zu scannen und die neue Logdatei zu posten. Dieser Prozess kann fortgesetzt werden, bis der Computer wieder als ordnungsgemäß gilt. An dieser Stelle kann man Einträge, die als harmlos erkannt wurden, markieren (z.B. die Änderung der Startseite des Browsers) und diese für künftige Scans ausblenden, indem man auf den Button Add checked to ignorelist klickt.
Download: HijackThis
