Sniper Zverejnené 7. Marec, 2006 Zdieľať Zverejnené 7. Marec, 2006 Preview Program HijackThis slúži k nájdeniu a odstráneniu spywaru vo Vašom počítači. Taktiež Vám vypíše zoznam spustených procesov, na základe ktorých môžete identifikovať vírusy a trojanov. Samotný program je veľmi malý, aktuálna verzia 1.99.1 zaberá cca 207 kB v archíve rar. Stiahnúť si ho môžete napr. z tejto stránky Informácie o HijackThis boli prevzaté zo stránky CastleCops a preložené do slovenčiny. Inštalácia HijackThis nainštalujte (resp. rozpakujte) kam chcete, ale musí byť vo vlastnom adresári (napr. C:\Program Files\HijackThis\hijackthis.exe) Je to veľmi dôležité, v opačnom prípade sa nevytvorí záloha, z ktorej môžete potom obnoviť to čo ste pokazili :lol: Spustenie programu Predtým ako spustíte program odporúčam reštartovať počítač. K správnemu chodu programu to vôbec nie je nutné, ale je dobré keď sa log súbor spraví zo systému, ktorý je čerstvo naštartovaný a nemá medzičasom spustené programy, ktoré by len zbytočne zaberali miesto v logu (Winamp, Office a pod.) Kliknite na súbor hijackthis.exe, otvorí sa štartovacie okno: Najviac nás bude zaujímať úplne prvé tlačítko Do a system scan and save a logfile. Kliknite naň. Program urobí scan systému, výsledok ktorého sa okamžite objaví v okne programu: Taktiež sa ihneď to textového súboru uloží logfile s názvom hijackthis.log. Tento súbor sa uloží do adresára kde máte nainštalovaný samotný program. Logfile Logfile of HijackThis v1.99.1 Scan saved at 15:24:12, on 8.3.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe C:\Program Files\Netropa\Onscreen Display\OSD.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\wuauclt.exe G:\Software Installations\#System\#Security\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.freespace.sk/]http://www.freespace.sk/[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\saIE.dll O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Get File Size - res://C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe/130 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU) O9 - Extra 'Tools' menuitem: Get File Size - {2340D032-73C1-40b1-98E8-923290905E29} - C:\Program Files\UnH Solutions\Get File Size\GetFileSize.exe (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126777662109]http://update.microsoft.com/windowsupdate/...b?1126777662109[/url] O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Samotný logfile sa delí na 3 sekcie: - druhá sekcia zobrazuje spustené procesy v počítači. Väčšinou pôjde o procesy samotného operačného systému (najčastejšie Windowsu). Pokým si nie ste istí s procesmi ktoré v logu budete vidieť, na ich identifikáciu môžete skúsiť pozrieť stránky Task List Programs, Windows Files Databaze, aleboWindows Process Library. Ak by ste ani tam nenašli žiadne informácie o neznámych procesoch skúste ich vyhľadať pomocou Google alebo AltaVista - tretia (obr. 2) a posledná sekcia nás informuje o nainštalovaných programoch, utilitách a nastaveniach ktoré zásadne ovplyvňujú celý chod systému. Tretiu sekciu logu podrobne preberieme v nasledujúcom príspevku.- v prvej sekcii môžete vidieť akú máte verziu HijackThis-u, čas a dátum uloženia logu, aký systém používate (platforma + verzia), a verziu IExplorera.V tretej sekcii logu (obr. 2 v predchádzajúcom príspevku) môžeme vidieť výsledky rôznych procesov. Definícia hodnôt v logu Položky môžu byť označené písmenami R, F, N, O, v závislosti od toho čo predstavujú. R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs - (Internet Explorer Štart/Hľadanie linky stránok)F0, F1 - Autoloading programs - (Autonahrávanie programov)N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs - (Netscape/Mozilla Štart/Hľadanie linky stránok)O1 - Hosts file redirection - (Presmerovanie hostiteľa)O2 - Browser Helper Objects - (Objekty pomocníka prehliadača)O3 - Internet Explorer toolbars - (Panel nástrojov Internet Explorera)O4 - Autoloading programs from Registry - (Autonahrávanie programov z registra)O5 - IE Options icon not visible in Control Panel - (Ikona možností IE nie je viditeľná v Ovládacom Paneli)O6 - IE Options access restricted by Administrator - (Prístup k možnostiam IE je obmedzený Administrátorom)O7 - Regedit access restricted by Administrator - (Prístup k Regedit je obmedzený Administrátorom)O8 - Extra items in IE right-click menu - (Extra položky v IE menu pravým kliknutím myšou)O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu - (Extra tlačítka na hlavnom paneli nástrojov tlačidiel, alebo extra položky v IE ponuke "Nástroje")O10 - Winsock hijacker - (hijacker rozhrania Winsock)O11 - Extra group in IE 'Advanced Options' window - (Extra skupina v IE - "Pokročilé možnosti")O12 - IE plugins - (IE Pluginy)O13 - IE DefaultPrefix hijack - (hijack VýchodziehoPrefixu v IE)O14 - 'Reset Web Settings' hijack - (hijack Východzieho nastavenia webu)O15 - Unwanted site in Trusted Zone - (Nevyžiadaná stránka v Dôveryhodnej lokalite)O16 - ActiveX Objects (aka Downloaded Program Files) - (ActiveX objekty - stiahnuté programové súbory)O17 - Lop.com domain hijackers - (hijackery domény Lop.com)O18 - Extra protocols and protocol hijackers - (Extra protokoly a hijackery protokolov)O19 - User style sheet hijack - (hijack užívateľského hárku)O20 - AppInit_DLLs Registry value autorun - (Autospustenie hodnôt registra)O21 - ShellServiceObjectDelayLoad - (Oneskorené Nahratie Objektov Služby Prostredia)O22 - SharedTaskScheduler - (Zdieľaný Plánovač Úloh)O23 - Windows NT Services - (Služby Windows NT) Odkaz na príspevok Zdieľať na iných stránkach Ďalšie možnosti zdieľania...
Sniper Zverejnené 9. Marec, 2006 Autor Zdieľať Zverejnené 9. Marec, 2006 Analýza hodnôt v logu HijackThis Poznámka: toto nie je analýza logu uvedeného vyššie R0, R1, R2, R3 - IE Start & Search pages Ako to v logu vyzerá:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.freespace.sk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ R2 - (tento typ nie je HijackThis-om používaný) R3 - Default URLSearchHook is missingRozbor: Ak poznáte linky, ktoré sú na konci riadkov tak je všetko v poriadku. Ak nie, alebo máte podozrenie že by mohlo ísť o škodlivé stránky fixnite ich v HijackThis. R3 fixnite iba vtedy ak neviete o aké programy ide. F0, F1, F2, F3 - Autoloading programs from INI files Ako to v logu vyzerá:F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfschedRozbor: Hodnoty F0 sú vždy zlé, treba ich fixnúť. Hodnoty F1 sú zvyčajne veľmi staré programy, ktoré sú bezpečné, ale môžete nájsť viac informácií o nich aby ste zistili či sú naozaj dobré alebo zlé. Pacmanov'>http://www.sysinfo.org/startuplist.php"]Pacmanov Startup List vám môže pomocť identifikovať ich. N1, N2, N3, N4 - Netscape/Mozilla Start & Search page Ako to v logu vyzerá:N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) Rozbor: Netscape a Mozilla domovské a vyhľadávacie stránky sú zvyčajne bezpečné. Málokedy sú hijacknuté, známe sú prípady že to robieva/l iba Lop.com. Ak vidíte nejaký link ktorý nepovažujete za svoju domovskú alebo vyhľadávaciu stránku tak HijackThis-om ju môžete fixnúť. O1 - Hostsfile redirections Ako to v logu vyzerá:O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch O1 - Hosts file is located at C:\Windows\Help\hostsRozbor: Tento hijack presmeruje adresu (napísanú vpravo) na IP adresu (napísanú vľavo). Ak IP nepatrí adrese, budete presmerovaní na zlú stránku zakaždým keď napíšete spomínanú adresu. HijakThis-om môžete fixnúť tieto hodnoty, v prípade ak ste si ich sami nenastavili ručne vo vašom hosts súbore. Posledná hodnota sa obyčajne vyskytuje vo Win2000/XP ak je systém napadnutý CoolWebSearch-om'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch-om. Vždy fixnite túto hodnotu, alebo použite CWShredder na automatické odstránenie infekcie. O2 - Browser Helper Objects Ako to v logu vyzerá:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL Rozbor: Ak vy bezpečne nepoznáte názov Browser Helper Object-u, použite tento BHO'>http://castlecops.com/CLSID.html"]BHO and Toolbar list na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V BHO liste X znamená zlé veci, L znamená dobré veci. O3 - IE toolbars Ako to v logu vyzerá:O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLLRozbor: Ak nepoznáte názov lišty, použite BHO'>http://castlecops.com/CLSID.html"]BHO & Toolbar List na identifikáciu BHO pomocou triedy ID (CLSID, číslo medzi hranatými zátvorkami) či ide o dobrú vec alebo zlú. V Toolbar liste X znamená zlé veci, L znamená dobré veci. Ak v Liste nič nenájdete a zdá sa že položky majú náhodne hodnoty znakov a súbor je z adresári Application Data (podobne ako v poslednom príklade hore), ide pravdepodobne o Lop.com infekciu. Tieto položky v HijackThis fixnite. O4 - Autoloading programs from Registry or Startup group Ako to v logu vyzerá:O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [systemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: winlogon.exeRozbor: Použite PacManov StartUp'>http://castlecops.com/StartupList.html"]StartUp List na identifikáciu vstupov, či ide o dobré alebo zle vstupy. Ak sa nejaká hodnota ukazuje v logu a prislušný súbor sa nachádza v Skupine po spustení (ako príklad poslúži posledná položka v ukážke logu) HijackThis nemôže fixnúť túto hodnotu pokým sa program nachádza v pamäti. Použite Windows Task Manager (TASKMGR.EXE) na ukončenie procesu a následne ho fixnite v HijackThis. O5 - IE Options not visible in Control Panel Ako to v logu vyzerá:O5 - control.ini: inetcpl.cpl=noRozbor: Pokiaľ ste vy alebo váš systémový administrátor neukryli ikonu z Control Panel na známom mieste, nechajte HijackThis nech to opraví. O6 - IE Options access restricted by Administrator Ako to v logu vyzerá:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Rozbor: Pokiaľ nemáte voľbu "Lock homepage from changes" aktívnu, alebo to váš systémový administrátor nezadal, nechajte HijackThis nech to opraví. O7 - Regedit access restricted by Administrator Ako to v logu vyzerá:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Rozbor: Tieto hodnoty vždy v HijackThis fixnite, neopravujte to iba v tom prípade ak toto obmedzenie nastavil váš systémový administrátor. O8 - Extra items in IE right-click menu Ako to v logu vyzerá:O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm Rozbor: Ak nepoznáte tieto položky v menu po stlačení pravého tlačítka myši, fixnite ich v HijackThis. O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu Ako to v logu vyzerá:O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AIM (HKLM) Rozbor: Ak nepoznáte názvy tlačítok v IE menu fixnite ich v HijackThis. O10 - Winsock hijackers Ako to v logu vyzerá:O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll Rozbor: Na fixnutie týchto položiek použite LSPFix alebo SpyBot Search and Destroy. Súbory v LSP stack s označením "neznáme" nebudú programom HijackThis opravené z bezpečnostných dôvodov. O11 - Extra group in IE 'Advanced Options' window Ako to v logu vyzerá:O11 - Options group: [CommonName] CommonNameRozbor: Jediný hijacker ktorý pridá možnosti pomocou týchto hodnôt do pokročilých nastavení IE je CommonName. Použite HijackThis na ich fixnutie. O12 - IE plugins Ako to v logu vyzerá:O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Rozbor: Veľa týchto hodnôt je bezpečných. Iba OnFlow sem pridá pluginy ktoré si neželáte (.ofb). O13 - IE DefaultPrefix hijack Ako to v logu vyzerá:O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/? Rozbor: Tieto hodnoty sú vždy zlé. Fixnite ich. O14 - 'Reset Web Settings' hijack Ako to v logu vyzerá:O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.comRozbor: Ak URL nie sú vášho providera alebo ISP fixnite ich HijackThis-om. O15 - Unwanted sites in Trusted Zone Ako to v logu vyzerá:O15 - Trusted Zone: http://free.aol.com O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.msn.comRozbor: Prakticky len AOL a CoolWebSearch'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch pridávajú pochybné stránky medzi Dôveryhodné lokality. Ak ste si vy sami nepridali stránky medzi Dôveryhodné lokality tak tieto hodnoty treba HijackThis-om fixnúť. O16 - ActiveX Objects (aka Downloaded Program Files) Ako to v logu vyzerá:O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Rozbor: Ak nepoznáte názvy hodnôt alebo URL ktoré boli stiahnuté, fixnite ich. Ak názvy hodnôt alebo URL obsahujú slová ako napr. 'dialer', 'casino', 'free_plugin' a pod určite ich fixnite. Javacool Spyware Blaster obsahuje obrovskú databázu škodlivých ActiveX komponentov, ktorá vám môže pomôcť blokovať tieto hodnoty. O17 - Lop.com domain hijacks Ako to v logu vyzerá:O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175Rozbor: Ak domény nie sú vášho providera fixnite ich v HijackThis. To isté platí aj pre "SearchList" hodnoty. Pre hodnoty 'NameServer' (DNS servery), skúste použiť Google pre overenie IP adries či sú dobré alebo zlé. O18 - Extra protocols and protocol hijackers Ako to v logu vyzerá:O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} Rozbor: Len niekoľko hijackerov sa tu ukáže. Známe sú zlé hijacky "cn" (CommonName), "ayb" (Lop.com), a "relatedlinks" (HuntBar). Fixnite ich HijackThis-om. Ostatné hodnoty v logu zobrazené tiež nie sú bezpečné, alebo sú hijacknuté (CLSID bol zmenený) spywarom. Fixnite ich. O19 - User style sheet hijack Ako to v logu vyzerá:O19 - User style sheet: c:\WINDOWS\Java\my.cssRozbor: V prípade že váš browser sa výrazne spomalí a bude vám vyskakovať veľa pop-up okien tieto hodnoty HijackThis-om fixnite. Keďže tieto hodnoty do logu pridáva iba CoolWebSearch'>https://www.freespace.sk/tema/209-cwshredder/"]CoolWebSearch je lepšie použiť CWShredder na ich fixnutie. O20 - AppInit_DLLs Registry value autorun Ako to v logu vyzerá:O20 - AppInit_DLLs: msconfd.dllRozbor: Táto hodnota Registra lokalizovaná v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows načítava DLL keď sa user prihlási do systému a zostáva v pamäti pokým sa user neodhlási. Len niekoľko legitímnych programov ju používa (napr. Norton CleanSweep používa APITRAP.DLL), veľmi často je používaná trojanmi a agresívnymi hijackermi. V prípade načítania "skrytých" DLL z Registra (sú viditeľné v prípade použitia "Edit Binary Data" možnosti v Regedit-e) DLL budú označené prefixom |. O21 - ShellServiceObjectDelayLoad Ako to v logu vyzerá:O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -C:\WINDOWS\System\auhook.dll Rozbor: Toto je nezdokumentovaná autorun metóda, bežne používaná niekoľkými Windows systémovými komponentami. Hodnoty zapísané v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sú načítané Explorerom keď Windows štartuje. HijackThis používa bielu listinu veľmi bežných SSODL vecí, takže ak sa nejaká hodnota zobrazí v tomto logu bude pravdepodobne neznáma alebo škodlivá. Používať veľmi opatrne. O22 - SharedTaskScheduler Ako to v logu vyzerá:O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll Rozbor: Toto je nezdokumentovaný autorun vo Windows 2000/XP, ktorá je používaná veľmi zriedkavo. Iba CWS.Smartfinder ju používa. Používať veľmi opatrne. O23 - NT Services Ako to v logu vyzerá:O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exeRozbor: Toto je zoznam služieb mimo Microsoftu. Tento zoznam môže byť podobný alebo taký istý aký môžete vidieť v utilite MSConfig. Niekoľko trojanov a hijackerov môže používať tieto hodnoty k opätovnému reinštalovaniu sa. Celé meno obyčajne znie dôležito, napr. ako 'Network Security Service', 'Workstation Logon Service' or 'Remote Procedure Call Helper', ale vnútorné meno (medzi zátvorkami) je len zmesou rôznych znakov ako napr. 'O?..rtn$centerÓ'. V druhej časti linku je napísaný vlastník súboru, videný aj vo vlastnostiach súboru. Fixnutie hodnôt O23 spôsobí len zastavenie služby. Služba sa musí vymazať z Registry manuálne alebo použitím nástrojov na čistenie systému. V HijackThis od verzie 1.99.1 je k dispozícii utilita "Delete NT Service" v Misc Tools, ktorá je schopná toto učiniť. Odkaz na príspevok Zdieľať na iných stránkach Ďalšie možnosti zdieľania...
Odporúčané príspevky
Vytvorte si účet alebo sa prihláste, aby ste mohli písať príspevky
Ak chcete odoslať príspevok, musíte byť členom
Vytvoriť konto
Zaregistrujte si nový účet v našej komunite. Je to ľahké!
Zaregistrovať si nové kontoPrihlásiť sa
Máte už konto? Prihláste sa tu.
Prihlásiť sa teraz