Skočiť na obsah


Fotografia
- - - - -

HijackThis Tutorial


  • Prosím prihláste sa ak chcete odpovedať
Téma má 1 príspevok

#1 Sniper

Sniper

    Aim and Shoot

  • Retired Members
  • PipPipPipPipPipPipPipPipPip
  • 22680 príspevkov
  • 1068 tém

Príspevok bol napísaný: 7. March 2006 - 18:43:06

[color=green][size=5][b]Preview[/b][/size][/color]

Program [b]HijackThis[/b] slúži k nájdeniu a odstráneniu spywaru vo Vašom počítači. Taktiež Vám vypíše zoznam spustených procesov, na základe ktorých môžete identifikovať vírusy a trojanov.

Samotný program je veľmi malý, aktuálna verzia [b]1.99.1[/b] zaberá cca 207 kB v archíve rar.

Stiahnúť si ho môžete napr. z [url="https://www.freespace.sk/media/software-zadarmo/kategoria/bezpecnost/hijackthis-r31"]tejto stránky[/url]

Informácie o HijackThis boli prevzaté zo stránky CastleCops a preložené do slovenčiny.


[color=green][size=5][b]Inštalácia[/b][/size][/color]

HijackThis nainštalujte (resp. rozpakujte) kam chcete, ale musí byť vo vlastnom adresári (napr. [b]C:\Program Files\HijackThis\hijackthis.exe[/b])

Je to veľmi dôležité, v opačnom prípade sa nevytvorí záloha, z ktorej môžete potom obnoviť to čo ste pokazili :lol:

[color=green][size=5][b]Spustenie programu[/b][/size][/color]

[color=#FF0000]Predtým ako spustíte program odporúčam reštartovať počítač. K správnemu chodu programu to vôbec nie je nutné, ale je dobré keď sa log súbor spraví zo systému, ktorý je čerstvo naštartovaný a nemá medzičasom spustené programy, ktoré by len zbytočne zaberali miesto v logu (Winamp, Office a pod.)[/color]

Kliknite na súbor hijackthis.exe, otvorí sa štartovacie okno:

[img]http://media.freespace.sk/images/security/hijackthis/hijackthis01_entry.png[/img]

Najviac nás bude zaujímať úplne prvé tlačítko [b]Do a system scan and save a logfile[/b]. Kliknite naň.

Program urobí scan systému, výsledok ktorého sa okamžite objaví v okne programu:

[img]http://media.freespace.sk/images/security/hijackthis/hijackthis02_scan.png[/img]

Taktiež sa ihneď to textového súboru uloží logfile s názvom [b]hijackthis.log[/b]. Tento súbor sa uloží do adresára kde máte nainštalovaný samotný program.


[color=green][size=5][b]Logfile[/b][/size][/color]

[code]Logfile of HijackThis v1.99.1
Scan saved at 15:24:12, on 8.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Software Installations\#System\#Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.freespace.sk/]http://www.freespace.sk/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\saIE.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Get File Size - res://C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe/130
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)
O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126777662109]http://update.microsoft.com/windowsupdate/...b?1126777662109[/url]
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe[/code]


Samotný logfile sa delí na 3 sekcie:


- druhá sekcia zobrazuje spustené procesy v počítači. Väčšinou pôjde o procesy samotného operačného systému (najčastejšie Windowsu). Pokým si nie ste istí s procesmi ktoré v logu budete vidieť, na ich identifikáciu môžete skúsiť pozrieť stránky [url="http://www.answersthatwork.com/Tasklist_pages/tasklist.htm"]Task List Programs[/url], [url="http://www.anti-spy.info/file/index.html"]Windows Files Databaze[/url], alebo[url="http://www.liutilities.com/products/wintaskspro/processlibrary/"]Windows Process Library[/url]. Ak by ste ani tam nenašli žiadne informácie o neznámych procesoch skúste ich vyhľadať pomocou [url="http://www.google.sk/"]Google[/url] alebo [url="http://www.altavista.com/"]AltaVista[/url]

- tretia (obr. 2) a posledná sekcia nás informuje o nainštalovaných programoch, utilitách a nastaveniach ktoré zásadne ovplyvňujú celý chod systému. Tretiu sekciu logu podrobne preberieme v nasledujúcom príspevku.[list]
- v prvej sekcii môžete vidieť akú máte verziu HijackThis-u, čas a dátum uloženia logu, aký systém používate (platforma + verzia), a verziu IExplorera.
[/list]
V tretej sekcii logu (obr. 2 v predchádzajúcom príspevku) môžeme vidieť výsledky rôznych procesov.



[color=green][size=5][b]Definícia hodnôt v logu[/b][/size][/color]

Položky môžu byť označené písmenami [b]R[/b], [b]F[/b], [b]N[/b], [b]O[/b], v závislosti od toho čo predstavujú.

[b][color=red]R0, R1, R2, R3[/color] - Internet Explorer Start/Search pages URLs[/b] - (Internet Explorer Štart/Hľadanie linky stránok)
[b][color=purple]F0, F1[/color] - Autoloading programs[/b] - (Autonahrávanie programov)
[b][color=green]N1, N2, N3, N4[/color] - Netscape/Mozilla Start/Search pages URLs[/b] - (Netscape/Mozilla Štart/Hľadanie linky stránok)
[b][color=blue]O1[/color] - Hosts file redirection[/b] - (Presmerovanie hostiteľa)
[b][color=blue]O2[/color] - Browser Helper Objects[/b] - (Objekty pomocníka prehliadača)
[b][color=blue]O3[/color] - Internet Explorer toolbars[/b] - (Panel nástrojov Internet Explorera)
[b][color=blue]O4[/color] - Autoloading programs from Registry[/b] - (Autonahrávanie programov z registra)
[b][color=blue]O5[/color] - IE Options icon not visible in Control Panel[/b] - (Ikona možností IE nie je viditeľná v Ovládacom Paneli)
[b][color=blue]O6[/color] - IE Options access restricted by Administrator[/b] - (Prístup k možnostiam IE je obmedzený Administrátorom)
[b][color=blue]O7[/color] - Regedit access restricted by Administrator[/b] - (Prístup k Regedit je obmedzený Administrátorom)
[b][color=blue]O8[/color] - Extra items in IE right-click menu[/b] - (Extra položky v IE menu pravým kliknutím myšou)
[b][color=blue]O9[/color] - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu[/b] - (Extra tlačítka na hlavnom paneli nástrojov tlačidiel, alebo extra položky v IE ponuke "Nástroje")
[b][color=blue]O10[/color] - Winsock hijacker[/b] - (hijacker rozhrania Winsock)
[b][color=blue]O11[/color] - Extra group in IE 'Advanced Options' window[/b] - (Extra skupina v IE - "Pokročilé možnosti")
[b][color=blue]O12[/color] - IE plugins[/b] - (IE Pluginy)
[b][color=blue]O13[/color] - IE DefaultPrefix hijack[/b] - (hijack VýchodziehoPrefixu v IE)
[b][color=blue]O14[/color] - 'Reset Web Settings' hijack[/b] - (hijack Východzieho nastavenia webu)
[b][color=blue]O15[/color] - Unwanted site in Trusted Zone[/b] - (Nevyžiadaná stránka v Dôveryhodnej lokalite)
[b][color=blue]O16[/color] - ActiveX Objects (aka Downloaded Program Files)[/b] - (ActiveX objekty - stiahnuté programové súbory)
[b][color=blue]O17[/color] - Lop.com domain hijackers[/b] - (hijackery domény Lop.com)
[b][color=blue]O18[/color] - Extra protocols and protocol hijackers[/b] - (Extra protokoly a hijackery protokolov)
[b][color=blue]O19[/color] - User style sheet hijack[/b] - (hijack užívateľského hárku)
[b][color=blue]O20[/color] - AppInit_DLLs Registry value autorun[/b] - (Autospustenie hodnôt registra)
[b][color=blue]O21[/color] - ShellServiceObjectDelayLoad[/b] - (Oneskorené Nahratie Objektov Služby Prostredia)
[b][color=blue]O22[/color] - SharedTaskScheduler[/b] - (Zdieľaný Plánovač Úloh)
[b][color=blue]O23[/color] - Windows NT Services[/b] - (Služby Windows NT)
  • 0

#2 Sniper

Sniper

    Aim and Shoot

  • Retired Members
  • PipPipPipPipPipPipPipPipPip
  • 22680 príspevkov
  • 1068 tém

Príspevok bol napísaný: 9. March 2006 - 18:53:48

[color="green"][size=5][b]Analýza hodnôt v logu HijackThis[/b][/size][/color]
[i]Poznámka: toto nie je analýza logu uvedeného vyššie[/i]

[size=4][b]R0, R1, R2, R3 - IE Start & Search pages[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [b]https://www.freespace.sk/[/b]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [b]http://www.google.com/[/b]
R2 - [i](tento typ nie je HijackThis-om používaný)[/i]
R3 - Default URLSearchHook is missing[/color]
[/list][color="blue"]Rozbor:[/color]

Ak poznáte linky, ktoré sú na konci riadkov tak je všetko v poriadku. Ak nie, alebo máte podozrenie že by mohlo ísť o škodlivé stránky fixnite ich v HijackThis.
R3 fixnite iba vtedy ak neviete o aké programy ide.



[size=4][b]F0, F1, F2, F3 - Autoloading programs from INI files[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched[/color]
[/list][color="blue"]Rozbor:[/color]

Hodnoty F0 sú [color="red"]vždy zlé[/color], treba ich fixnúť.
Hodnoty F1 sú zvyčajne veľmi staré programy, ktoré sú bezpečné, ale môžete nájsť viac informácií o nich aby ste zistili či sú naozaj dobré alebo zlé.
[url="http://www.sysinfo.o...t.php"]Pacmanov Startup List[/url] vám môže pomocť identifikovať ich.



[size=4][b]N1, N2, N3, N4 - Netscape/Mozilla Start & Search page[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) [/color]
[/list][color="blue"]Rozbor:[/color]

Netscape a Mozilla domovské a vyhľadávacie stránky sú zvyčajne bezpečné. Málokedy sú hijacknuté, známe sú prípady že to robieva/l iba [b]Lop.com[/b]. Ak vidíte nejaký link ktorý nepovažujete za svoju domovskú alebo vyhľadávaciu stránku tak HijackThis-om ju môžete fixnúť.


[size=4][b]O1 - Hostsfile redirections[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts[/color]
[/list][color="blue"]Rozbor:[/color]

Tento hijack presmeruje adresu (napísanú vpravo) na IP adresu (napísanú vľavo). Ak IP nepatrí adrese, budete presmerovaní na zlú stránku zakaždým keď napíšete spomínanú adresu. HijakThis-om môžete fixnúť tieto hodnoty, v prípade ak ste si ich sami nenastavili ručne vo vašom [i]hosts[/i] súbore.
Posledná hodnota sa obyčajne vyskytuje vo Win2000/XP ak je systém napadnutý [url="https://forum.freesp...oolWebSearch-om[/url]. Vždy fixnite túto hodnotu, alebo použite CWShredder na automatické odstránenie infekcie.


[size=4][b]O2 - Browser Helper Objects[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL [/color]
[/list][color="blue"]Rozbor:[/color]

Ak vy bezpečne nepoznáte názov Browser Helper Object-u, použite tento [url="http://castlecops.co...CLSID.html"]BHO and Toolbar list[/url] na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V BHO liste X znamená zlé veci, L znamená dobré veci.


[size=4][b]O3 - IE toolbars[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL[/color]
[/list][color="blue"]Rozbor:[/color]

Ak nepoznáte názov lišty, použite [url="http://castlecops.co...CLSID.html"]BHO & Toolbar List[/url] na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V Toolbar liste X znamená zlé veci, L znamená dobré veci.
Ak v Liste nič nenájdete a zdá sa že položky majú náhodne hodnoty znakov a súbor je z adresári Application Data (podobne ako v poslednom príklade hore), ide pravdepodobne o Lop.com infekciu. Tieto položky v HijackThis fixnite.


[size=4][b]O4 - Autoloading programs from Registry or Startup group[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe[/color]
[/list][color="blue"]Rozbor:[/color]

Použite PacManov [url="http://castlecops.co...t.html"]StartUp List[/url] na identifikáciu vstupov, či ide o dobré alebo zle vstupy.
Ak sa nejaká hodnota ukazuje v logu a prislušný súbor sa nachádza v Skupine po spustení (ako príklad poslúži posledná položka v ukážke logu) HijackThis nemôže fixnúť túto hodnotu pokým sa program nachádza v pamäti. Použite Windows Task Manager (TASKMGR.EXE) na ukončenie procesu a následne ho fixnite v HijackThis.


[size=4][b]O5 - IE Options not visible in Control Panel[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O5 - control.ini: inetcpl.cpl=no[/color]
[/list][color="blue"]Rozbor:[/color]

Pokiaľ ste vy alebo váš systémový administrátor neukryli ikonu z Control Panel na známom mieste, nechajte HijackThis nech to opraví.


[size=4][b]O6 - IE Options access restricted by Administrator[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[/color]
[/list][color="blue"]Rozbor:[/color]

Pokiaľ nemáte voľbu "Lock homepage from changes" aktívnu, alebo to váš systémový administrátor nezadal, nechajte HijackThis nech to opraví.


[size=4][b]O7 - Regedit access restricted by Administrator[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/color]
[/list][color="blue"]Rozbor:[/color]

Tieto hodnoty vždy v HijackThis fixnite, neopravujte to iba v tom prípade ak toto obmedzenie nastavil váš systémový administrátor.


[size=4][b]O8 - Extra items in IE right-click menu[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
[/color]
[/list][color="blue"]Rozbor:[/color]

Ak nepoznáte tieto položky v menu po stlačení pravého tlačítka myši, fixnite ich v HijackThis.


[size=4][b]O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
[/color]
[/list][color="blue"]Rozbor:[/color]

Ak nepoznáte názvy tlačítok v IE menu fixnite ich v HijackThis.


[size=4][b]O10 - Winsock hijackers[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
[/color]
[/list][color="blue"]Rozbor:[/color]

Na fixnutie týchto položiek použite LSPFix alebo SpyBot Search and Destroy.
Súbory v LSP stack s označením "neznáme" nebudú programom HijackThis opravené z bezpečnostných dôvodov.


[size=4][b]O11 - Extra group in IE 'Advanced Options' window[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O11 - Options group: [CommonName] CommonName[/color]
[/list][color="blue"]Rozbor:[/color]

Jediný hijacker ktorý pridá možnosti pomocou týchto hodnôt do pokročilých nastavení IE je CommonName.
Použite HijackThis na ich fixnutie.


[size=4][b]O12 - IE plugins[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll [/color]
[/list][color="blue"]Rozbor:[/color]

Veľa týchto hodnôt je bezpečných. Iba OnFlow sem pridá pluginy ktoré si neželáte (.ofb).


[size=4][b]O13 - IE DefaultPrefix hijack[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O13 - DefaultPrefix: [b]http://www.pixpox.co...n/click.pl?url=[/b]
O13 - WWW Prefix: [b]http://prolivation.com/cgi-bin/r.cgi?[/b]
O13 - WWW. Prefix: [b]http://ehttp.cc/?[/b]
[/color]
[/list][color="blue"]Rozbor:[/color]

Tieto hodnoty sú vždy zlé. Fixnite ich.


[size=4][b]O14 - 'Reset Web Settings' hijack[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O14 - IERESET.INF: START_PAGE_URL=[b]http://www.searchalot.com[/b][/color]
[/list][color="blue"]Rozbor:[/color]

Ak URL nie sú vášho providera alebo ISP fixnite ich HijackThis-om.


[size=4][b]O15 - Unwanted sites in Trusted Zone[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O15 - Trusted Zone: [b]http://free.aol.com[/b]
O15 - Trusted Zone: [b]*.coolwebsearch.com[/b]
O15 - Trusted Zone: [b]*.msn.com[/b][/color]
[/list][color="blue"]Rozbor:[/color]

Prakticky len AOL a [url="https://forum.freesp..."]CoolWebSearch[/url] pridávajú pochybné stránky medzi Dôveryhodné lokality. Ak ste si vy sami nepridali stránky medzi Dôveryhodné lokality tak tieto hodnoty treba HijackThis-om fixnúť.


[size=4][b]O16 - ActiveX Objects (aka Downloaded Program Files)[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O16 - DPF: Yahoo! Chat - [b]http://us.chat1.yimg...t/c381/chat.cab[/b]

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [b]http://download.macr...ash/swflash.cab[/b] [/color]
[/list][color="blue"]Rozbor:[/color]

Ak nepoznáte názvy hodnôt alebo URL ktoré boli stiahnuté, fixnite ich. Ak názvy hodnôt alebo URL obsahujú slová ako napr. 'dialer', 'casino', 'free_plugin' a pod určite ich fixnite. Javacool Spyware Blaster obsahuje obrovskú databázu škodlivých ActiveX komponentov, ktorá vám môže pomôcť blokovať tieto hodnoty.


[size=4][b]O17 - Lop.com domain hijacks[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = [b]aoldsl.net[/b]

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = [b]W21944.find-quick.com[/b]
O17 - HKLM\Software\..\Telephony: DomainName = [b]W21944.find-quick.com[/b]

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = [b]W21944.find-quick.com[/b]

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [b]gla.ac.uk[/b]

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = [b]69.57.146.14,69.57.147.175[/b][/color]
[/list][color="blue"]Rozbor:[/color]

Ak domény nie sú vášho providera fixnite ich v HijackThis. To isté platí aj pre "SearchList" hodnoty. Pre hodnoty 'NameServer' (DNS servery), skúste použiť Google pre overenie IP adries či sú dobré alebo zlé.


[size=4][b]O18 - Extra protocols and protocol hijackers[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} [/color]
[/list][color="blue"]Rozbor:[/color]

Len niekoľko hijackerov sa tu ukáže. Známe sú zlé hijacky "cn" (CommonName), "ayb" (Lop.com), a "relatedlinks" (HuntBar). Fixnite ich HijackThis-om.
Ostatné hodnoty v logu zobrazené tiež nie sú bezpečné, alebo sú hijacknuté (CLSID bol zmenený) spywarom. Fixnite ich.


[size=4][b]O19 - User style sheet hijack[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O19 - User style sheet: c:\WINDOWS\Java\my.css[/color]
[/list][color="blue"]Rozbor:[/color]

V prípade že váš browser sa výrazne spomalí a bude vám vyskakovať veľa pop-up okien tieto hodnoty HijackThis-om fixnite. Keďže tieto hodnoty do logu pridáva iba [url="https://forum.freesp..."]CoolWebSearch[/url] je lepšie použiť CWShredder na ich fixnutie.



[size=4][b]O20 - AppInit_DLLs Registry value autorun[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O20 - AppInit_DLLs: msconfd.dll[/color]
[/list][color="blue"]Rozbor:[/color]

Táto hodnota Registra lokalizovaná v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows načítava DLL keď sa user prihlási do systému a zostáva v pamäti pokým sa user neodhlási. Len niekoľko legitímnych programov ju používa (napr. Norton CleanSweep používa APITRAP.DLL), veľmi často je používaná trojanmi a agresívnymi hijackermi.
V prípade načítania "skrytých" DLL z Registra (sú viditeľné v prípade použitia "Edit Binary Data" možnosti v Regedit-e) DLL budú označené prefixom [b]|[/b].


[size=4][b]O21 - ShellServiceObjectDelayLoad[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -C:\WINDOWS\System\auhook.dll [/color]
[/list][color="blue"]Rozbor:[/color]

Toto je nezdokumentovaná autorun metóda, bežne používaná niekoľkými Windows systémovými komponentami. Hodnoty zapísané v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sú načítané Explorerom keď Windows štartuje. HijackThis používa bielu listinu veľmi bežných SSODL vecí, takže ak sa nejaká hodnota zobrazí v tomto logu bude pravdepodobne neznáma alebo škodlivá. Používať veľmi opatrne.


[size=4][b]O22 - SharedTaskScheduler[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll [/color]
[/list][color="blue"]Rozbor:[/color]

Toto je nezdokumentovaný autorun vo Windows 2000/XP, ktorá je používaná veľmi zriedkavo. Iba CWS.Smartfinder ju používa. Používať veľmi opatrne.


[size=4][b]O23 - NT Services[/b][/size]

[color="blue"]Ako to v logu vyzerá:[/color][list][color="purple"]O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe[/color]
[/list][color="blue"]Rozbor:[/color]

Toto je zoznam služieb mimo Microsoftu. Tento zoznam môže byť podobný alebo taký istý aký môžete vidieť v utilite MSConfig. Niekoľko trojanov a hijackerov môže používať tieto hodnoty k opätovnému reinštalovaniu sa.

Celé meno obyčajne znie dôležito, napr. ako 'Network Security Service', 'Workstation Logon Service' or 'Remote Procedure Call Helper', ale vnútorné meno (medzi zátvorkami) je len zmesou rôznych znakov ako napr. 'O?..rtn$centerÓ'. V druhej časti linku je napísaný vlastník súboru, videný aj vo vlastnostiach súboru.

Fixnutie hodnôt O23 spôsobí len zastavenie služby. Služba sa musí vymazať z Registry manuálne alebo použitím nástrojov na čistenie systému. V HijackThis od verzie 1.99.1 je k dispozícii utilita "Delete NT Service" v Misc Tools, ktorá je schopná toto učiniť.
  • 0