Jump to content

HijackThis Tutorial


Recommended Posts

Sniper

Preview

 

Program HijackThis slúži k nájdeniu a odstráneniu spywaru vo Vašom počítači. Taktiež Vám vypíše zoznam spustených procesov, na základe ktorých môžete identifikovať vírusy a trojanov.

 

Samotný program je veľmi malý, aktuálna verzia 1.99.1 zaberá cca 207 kB v archíve rar.

 

Stiahnúť si ho môžete napr. z tejto stránky

 

Informácie o HijackThis boli prevzaté zo stránky CastleCops a preložené do slovenčiny.

 

 

Inštalácia

 

HijackThis nainštalujte (resp. rozpakujte) kam chcete, ale musí byť vo vlastnom adresári (napr. C:\Program Files\HijackThis\hijackthis.exe)

 

Je to veľmi dôležité, v opačnom prípade sa nevytvorí záloha, z ktorej môžete potom obnoviť to čo ste pokazili :lol:

 

Spustenie programu

 

Predtým ako spustíte program odporúčam reštartovať počítač. K správnemu chodu programu to vôbec nie je nutné, ale je dobré keď sa log súbor spraví zo systému, ktorý je čerstvo naštartovaný a nemá medzičasom spustené programy, ktoré by len zbytočne zaberali miesto v logu (Winamp, Office a pod.)

 

Kliknite na súbor hijackthis.exe, otvorí sa štartovacie okno:

 

hijackthis01_entry.png

 

Najviac nás bude zaujímať úplne prvé tlačítko Do a system scan and save a logfile. Kliknite naň.

 

Program urobí scan systému, výsledok ktorého sa okamžite objaví v okne programu:

 

hijackthis02_scan.png

 

Taktiež sa ihneď to textového súboru uloží logfile s názvom hijackthis.log. Tento súbor sa uloží do adresára kde máte nainštalovaný samotný program.

 

 

Logfile

 

Logfile of HijackThis v1.99.1
Scan saved at 15:24:12, on 8.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Software Installations\#System\#Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.freespace.sk/]http://www.freespace.sk/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\saIE.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Get File Size - res://C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe/130
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)
O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126777662109]http://update.microsoft.com/windowsupdate/...b?1126777662109[/url]
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Samotný logfile sa delí na 3 sekcie:

 

 

- druhá sekcia zobrazuje spustené procesy v počítači. Väčšinou pôjde o procesy samotného operačného systému (najčastejšie Windowsu). Pokým si nie ste istí s procesmi ktoré v logu budete vidieť, na ich identifikáciu môžete skúsiť pozrieť stránky Task List Programs, Windows Files Databaze, aleboWindows Process Library. Ak by ste ani tam nenašli žiadne informácie o neznámych procesoch skúste ich vyhľadať pomocou Google alebo AltaVista

 

- tretia (obr. 2) a posledná sekcia nás informuje o nainštalovaných programoch, utilitách a nastaveniach ktoré zásadne ovplyvňujú celý chod systému. Tretiu sekciu logu podrobne preberieme v nasledujúcom príspevku.


  • - v prvej sekcii môžete vidieť akú máte verziu HijackThis-u, čas a dátum uloženia logu, aký systém používate (platforma + verzia), a verziu IExplorera.

V tretej sekcii logu (obr. 2 v predchádzajúcom príspevku) môžeme vidieť výsledky rôznych procesov.

 

 

 

Definícia hodnôt v logu

 

Položky môžu byť označené písmenami R, F, N, O, v závislosti od toho čo predstavujú.

 

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs - (Internet Explorer Štart/Hľadanie linky stránok)

F0, F1 - Autoloading programs - (Autonahrávanie programov)

N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs - (Netscape/Mozilla Štart/Hľadanie linky stránok)

O1 - Hosts file redirection - (Presmerovanie hostiteľa)

O2 - Browser Helper Objects - (Objekty pomocníka prehliadača)

O3 - Internet Explorer toolbars - (Panel nástrojov Internet Explorera)

O4 - Autoloading programs from Registry - (Autonahrávanie programov z registra)

O5 - IE Options icon not visible in Control Panel - (Ikona možností IE nie je viditeľná v Ovládacom Paneli)

O6 - IE Options access restricted by Administrator - (Prístup k možnostiam IE je obmedzený Administrátorom)

O7 - Regedit access restricted by Administrator - (Prístup k Regedit je obmedzený Administrátorom)

O8 - Extra items in IE right-click menu - (Extra položky v IE menu pravým kliknutím myšou)

O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu - (Extra tlačítka na hlavnom paneli nástrojov tlačidiel, alebo extra položky v IE ponuke "Nástroje")

O10 - Winsock hijacker - (hijacker rozhrania Winsock)

O11 - Extra group in IE 'Advanced Options' window - (Extra skupina v IE - "Pokročilé možnosti")

O12 - IE plugins - (IE Pluginy)

O13 - IE DefaultPrefix hijack - (hijack VýchodziehoPrefixu v IE)

O14 - 'Reset Web Settings' hijack - (hijack Východzieho nastavenia webu)

O15 - Unwanted site in Trusted Zone - (Nevyžiadaná stránka v Dôveryhodnej lokalite)

O16 - ActiveX Objects (aka Downloaded Program Files) - (ActiveX objekty - stiahnuté programové súbory)

O17 - Lop.com domain hijackers - (hijackery domény Lop.com)

O18 - Extra protocols and protocol hijackers - (Extra protokoly a hijackery protokolov)

O19 - User style sheet hijack - (hijack užívateľského hárku)

O20 - AppInit_DLLs Registry value autorun - (Autospustenie hodnôt registra)

O21 - ShellServiceObjectDelayLoad - (Oneskorené Nahratie Objektov Služby Prostredia)

O22 - SharedTaskScheduler - (Zdieľaný Plánovač Úloh)

O23 - Windows NT Services - (Služby Windows NT)

Link to post
Share on other sites
Sniper

Analýza hodnôt v logu HijackThis

Poznámka: toto nie je analýza logu uvedeného vyššie

 

R0, R1, R2, R3 - IE Start & Search pages

 

Ako to v logu vyzerá:

  • R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://www.freespace.sk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (tento typ nie je HijackThis-om používaný)
R3 - Default URLSearchHook is missing

Rozbor:

 

Ak poznáte linky, ktoré sú na konci riadkov tak je všetko v poriadku. Ak nie, alebo máte podozrenie že by mohlo ísť o škodlivé stránky fixnite ich v HijackThis.

R3 fixnite iba vtedy ak neviete o aké programy ide.

 

 

 

F0, F1, F2, F3 - Autoloading programs from INI files

 

Ako to v logu vyzerá:

  • F0 - system.ini: Shell=Explorer.exe Openme.exe
    F1 - win.ini: run=hpfsched

Rozbor:

 

Hodnoty F0 sú vždy zlé, treba ich fixnúť.

Hodnoty F1 sú zvyčajne veľmi staré programy, ktoré sú bezpečné, ale môžete nájsť viac informácií o nich aby ste zistili či sú naozaj dobré alebo zlé.

Pacmanov'>http://www.sysinfo.org/startuplist.php"]Pacmanov Startup List vám môže pomocť identifikovať ich.

 

 

 

N1, N2, N3, N4 - Netscape/Mozilla Start & Search page

 

Ako to v logu vyzerá:

  • N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
     
    N2 - Netscape 6: user_pref("browser.startup.homepage", "
http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
 
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Rozbor:

 

Netscape a Mozilla domovské a vyhľadávacie stránky sú zvyčajne bezpečné. Málokedy sú hijacknuté, známe sú prípady že to robieva/l iba Lop.com. Ak vidíte nejaký link ktorý nepovažujete za svoju domovskú alebo vyhľadávaciu stránku tak HijackThis-om ju môžete fixnúť.

 

 

O1 - Hostsfile redirections

 

Ako to v logu vyzerá:

  • O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch
    O1 - Hosts file is located at C:\Windows\Help\hosts

Rozbor:

 

Tento hijack presmeruje adresu (napísanú vpravo) na IP adresu (napísanú vľavo). Ak IP nepatrí adrese, budete presmerovaní na zlú stránku zakaždým keď napíšete spomínanú adresu. HijakThis-om môžete fixnúť tieto hodnoty, v prípade ak ste si ich sami nenastavili ručne vo vašom hosts súbore.

Posledná hodnota sa obyčajne vyskytuje vo Win2000/XP ak je systém napadnutý CoolWebSearch-om'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch-om. Vždy fixnite túto hodnotu, alebo použite CWShredder na automatické odstránenie infekcie.

 

 

O2 - Browser Helper Objects

 

Ako to v logu vyzerá:

  • O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
     
    O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
     
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Rozbor:

 

Ak vy bezpečne nepoznáte názov Browser Helper Object-u, použite tento BHO'>http://castlecops.com/CLSID.html"]BHO and Toolbar list na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V BHO liste X znamená zlé veci, L znamená dobré veci.

 

 

O3 - IE toolbars

 

Ako to v logu vyzerá:

  • O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
     
    O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
     
    O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Rozbor:

 

Ak nepoznáte názov lišty, použite BHO'>http://castlecops.com/CLSID.html"]BHO & Toolbar List na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V Toolbar liste X znamená zlé veci, L znamená dobré veci.

Ak v Liste nič nenájdete a zdá sa že položky majú náhodne hodnoty znakov a súbor je z adresári Application Data (podobne ako v poslednom príklade hore), ide pravdepodobne o Lop.com infekciu. Tieto položky v HijackThis fixnite.

 

 

O4 - Autoloading programs from Registry or Startup group

 

Ako to v logu vyzerá:

  • O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [systemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: winlogon.exe

Rozbor:

 

Použite PacManov StartUp'>http://castlecops.com/StartupList.html"]StartUp List na identifikáciu vstupov, či ide o dobré alebo zle vstupy.

Ak sa nejaká hodnota ukazuje v logu a prislušný súbor sa nachádza v Skupine po spustení (ako príklad poslúži posledná položka v ukážke logu) HijackThis nemôže fixnúť túto hodnotu pokým sa program nachádza v pamäti. Použite Windows Task Manager (TASKMGR.EXE) na ukončenie procesu a následne ho fixnite v HijackThis.

 

 

O5 - IE Options not visible in Control Panel

 

Ako to v logu vyzerá:

  • O5 - control.ini: inetcpl.cpl=no

Rozbor:

 

Pokiaľ ste vy alebo váš systémový administrátor neukryli ikonu z Control Panel na známom mieste, nechajte HijackThis nech to opraví.

 

 

O6 - IE Options access restricted by Administrator

 

Ako to v logu vyzerá:

  • O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Rozbor:

 

Pokiaľ nemáte voľbu "Lock homepage from changes" aktívnu, alebo to váš systémový administrátor nezadal, nechajte HijackThis nech to opraví.

 

 

O7 - Regedit access restricted by Administrator

 

Ako to v logu vyzerá:

  • O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Rozbor:

 

Tieto hodnoty vždy v HijackThis fixnite, neopravujte to iba v tom prípade ak toto obmedzenie nastavil váš systémový administrátor.

 

 

O8 - Extra items in IE right-click menu

 

Ako to v logu vyzerá:

  • O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
    O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Rozbor:

 

Ak nepoznáte tieto položky v menu po stlačení pravého tlačítka myši, fixnite ich v HijackThis.

 

 

O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu

 

Ako to v logu vyzerá:

  • O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: AIM (HKLM)

Rozbor:

 

Ak nepoznáte názvy tlačítok v IE menu fixnite ich v HijackThis.

 

 

O10 - Winsock hijackers

 

Ako to v logu vyzerá:

  • O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
    O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Rozbor:

 

Na fixnutie týchto položiek použite LSPFix alebo SpyBot Search and Destroy.

Súbory v LSP stack s označením "neznáme" nebudú programom HijackThis opravené z bezpečnostných dôvodov.

 

 

O11 - Extra group in IE 'Advanced Options' window

 

Ako to v logu vyzerá:

  • O11 - Options group: [CommonName] CommonName

Rozbor:

 

Jediný hijacker ktorý pridá možnosti pomocou týchto hodnôt do pokročilých nastavení IE je CommonName.

Použite HijackThis na ich fixnutie.

 

 

O12 - IE plugins

 

Ako to v logu vyzerá:

  • O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Rozbor:

 

Veľa týchto hodnôt je bezpečných. Iba OnFlow sem pridá pluginy ktoré si neželáte (.ofb).

 

 

O13 - IE DefaultPrefix hijack

 

Ako to v logu vyzerá:

  • O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Rozbor:

 

Tieto hodnoty sú vždy zlé. Fixnite ich.

 

 

O14 - 'Reset Web Settings' hijack

 

Ako to v logu vyzerá:

  • O14 - IERESET.INF: START_PAGE_URL=
http://www.searchalot.com

Rozbor:

 

Ak URL nie sú vášho providera alebo ISP fixnite ich HijackThis-om.

 

 

O15 - Unwanted sites in Trusted Zone

 

Ako to v logu vyzerá:

  • O15 - Trusted Zone:
http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Rozbor:

 

Prakticky len AOL a CoolWebSearch'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch pridávajú pochybné stránky medzi Dôveryhodné lokality. Ak ste si vy sami nepridali stránky medzi Dôveryhodné lokality tak tieto hodnoty treba HijackThis-om fixnúť.

 

 

O16 - ActiveX Objects (aka Downloaded Program Files)

 

Ako to v logu vyzerá:

  • O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Rozbor:

 

Ak nepoznáte názvy hodnôt alebo URL ktoré boli stiahnuté, fixnite ich. Ak názvy hodnôt alebo URL obsahujú slová ako napr. 'dialer', 'casino', 'free_plugin' a pod určite ich fixnite. Javacool Spyware Blaster obsahuje obrovskú databázu škodlivých ActiveX komponentov, ktorá vám môže pomôcť blokovať tieto hodnoty.

 

 

O17 - Lop.com domain hijacks

 

Ako to v logu vyzerá:

  • O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
     
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
    O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
     
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
     
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
     
    O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Rozbor:

 

Ak domény nie sú vášho providera fixnite ich v HijackThis. To isté platí aj pre "SearchList" hodnoty. Pre hodnoty 'NameServer' (DNS servery), skúste použiť Google pre overenie IP adries či sú dobré alebo zlé.

 

 

O18 - Extra protocols and protocol hijackers

 

Ako to v logu vyzerá:

  • O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
    O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
    O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Rozbor:

 

Len niekoľko hijackerov sa tu ukáže. Známe sú zlé hijacky "cn" (CommonName), "ayb" (Lop.com), a "relatedlinks" (HuntBar). Fixnite ich HijackThis-om.

Ostatné hodnoty v logu zobrazené tiež nie sú bezpečné, alebo sú hijacknuté (CLSID bol zmenený) spywarom. Fixnite ich.

 

 

O19 - User style sheet hijack

 

Ako to v logu vyzerá:

  • O19 - User style sheet: c:\WINDOWS\Java\my.css

Rozbor:

 

V prípade že váš browser sa výrazne spomalí a bude vám vyskakovať veľa pop-up okien tieto hodnoty HijackThis-om fixnite. Keďže tieto hodnoty do logu pridáva iba CoolWebSearch'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch je lepšie použiť CWShredder na ich fixnutie.

 

 

 

O20 - AppInit_DLLs Registry value autorun

 

Ako to v logu vyzerá:

  • O20 - AppInit_DLLs: msconfd.dll

Rozbor:

 

Táto hodnota Registra lokalizovaná v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows načítava DLL keď sa user prihlási do systému a zostáva v pamäti pokým sa user neodhlási. Len niekoľko legitímnych programov ju používa (napr. Norton CleanSweep používa APITRAP.DLL), veľmi často je používaná trojanmi a agresívnymi hijackermi.

V prípade načítania "skrytých" DLL z Registra (sú viditeľné v prípade použitia "Edit Binary Data" možnosti v Regedit-e) DLL budú označené prefixom |.

 

 

O21 - ShellServiceObjectDelayLoad

 

Ako to v logu vyzerá:

  • O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -C:\WINDOWS\System\auhook.dll

Rozbor:

 

Toto je nezdokumentovaná autorun metóda, bežne používaná niekoľkými Windows systémovými komponentami. Hodnoty zapísané v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sú načítané Explorerom keď Windows štartuje. HijackThis používa bielu listinu veľmi bežných SSODL vecí, takže ak sa nejaká hodnota zobrazí v tomto logu bude pravdepodobne neznáma alebo škodlivá. Používať veľmi opatrne.

 

 

O22 - SharedTaskScheduler

 

Ako to v logu vyzerá:

  • O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Rozbor:

 

Toto je nezdokumentovaný autorun vo Windows 2000/XP, ktorá je používaná veľmi zriedkavo. Iba CWS.Smartfinder ju používa. Používať veľmi opatrne.

 

 

O23 - NT Services

 

Ako to v logu vyzerá:

  • O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

Rozbor:

 

Toto je zoznam služieb mimo Microsoftu. Tento zoznam môže byť podobný alebo taký istý aký môžete vidieť v utilite MSConfig. Niekoľko trojanov a hijackerov môže používať tieto hodnoty k opätovnému reinštalovaniu sa.

 

Celé meno obyčajne znie dôležito, napr. ako 'Network Security Service', 'Workstation Logon Service' or 'Remote Procedure Call Helper', ale vnútorné meno (medzi zátvorkami) je len zmesou rôznych znakov ako napr. 'O?..rtn$centerÓ'. V druhej časti linku je napísaný vlastník súboru, videný aj vo vlastnostiach súboru.

 

Fixnutie hodnôt O23 spôsobí len zastavenie služby. Služba sa musí vymazať z Registry manuálne alebo použitím nástrojov na čistenie systému. V HijackThis od verzie 1.99.1 je k dispozícii utilita "Delete NT Service" v Misc Tools, ktorá je schopná toto učiniť.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. Additional information you can see at Privacy Policy