Poradnik o czytaniu logów z hijackthis'a.

*poradnik znajdujący się poniżej napisałem już stosunkowo dawno temu i przypomniało mi się o nim przeglądając ostatnio wszystko moje dzieła. na torgu nie ma jeszcze takiego tutoriala, więc postanowiłem go Wam tutaj wkleić. pozdrawiam :)

http://i49.tinypic.com/50p36x.png

No cześć!
W tym oto poradniku, przewodniku, tutorialu czy jakkolwiek to można nazwać - przekażę Wam mistyczną wiedzę jaką jest czytanie logów z hijackthisa. Nie wiesz czym są logi? Nie miałeś nigdy do czynienia z programem hijackthis? Proszę, opuść ten artykuł. Nierozsądne posługiwanie się tym programem może poważnie uszkodzić Twój komputer. Od razu na wstępie chciałbym też zaznaczyć, że nie biorę odpowiedzialności za wszelkie problemy które powstały po użyciu poradnika.
Jeżeli nie jesteś pewien czy na pewno chcesz podjąć ryzyko - jeszcze raz proszę, wyjdź. Decyzja należy do Ciebie.

Czerwona pigułka - uciekasz i do końca życia jesteś nieświadom co się kryje w Twoim komputerze:
http://i48.tinypic.com/651zpy.png
Aby wziąć czerwoną kliknij tutaj

Nie bierzesz? Zatem kontynuuj.

___________________________________________

A więc zdecydowałeś się zostać :). Mam nadzieję, że po tej małej dawce humoru jesteś już rozluźniony i gotowy do przeczytania tego śmiem powiedzieć - długiego artykułu. Czytanie logów i kooperacja z nimi to bardzo trudny temat. Niewiele informatyków posiada taką zdolność.
Jeśli już czytasz to raczej jesteś w posiadaniu takiego programu i wiesz jak robić raporty. Reszta (wiedza którą posiadam ja) znajduje się poniżej.
Zacznijmy więc!

Połam nogi!

W logach HijackThis każda nowa sekcja zaczyna się z jakąś nazwą. Np:

Kod:

---

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
F0, F1, F2, F3 - Autoloading programs
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Autoloading programs from Registry
O5 - IE Options icon not visible in Control Panel
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - Extra items in IE right-click menu
O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
O10 - Winsock hijacker
O11 - Extra group in IE 'Advanced Options' window
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Unwanted site in Trusted Zone
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
O20 - AppInit_DLLs Registry value autorun
O21 - ShellServiceObjectDelayLoad Registry key autorun
O22 - SharedTaskScheduler Registry key autorun
O23 - Windows NT Services
O24 - Windows Active Desktop Components

---

Ja omówię wszystkie przykłady osobno.

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
Wygląda to tak:

Kod:

---

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

---

Jeśli linki widoczne w raporcie są zgodne ze stroną startową przeglądarki - problemu nie ma. Jeżeli zaś widzisz jakieś nieporozumienie i startery się różnią, napraw to Hijackthis'em. Wszystkie rzeczy R3 powinny być zawsze naprawiane, no chyba, że jest to program który poznajesz. Np. copernic.


F0, F1, F2, F3 - Autoloading programs
Wygląda to następująco:

Kod:

---

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
F1 - win.ini: load=malware.pif
F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\svcvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\svcvhost.exe

---

F0 - są to wszystkie programy które otwierają się zaraz po starcie systemu. Powinien być tam explorer.exe który odpowiada za nasz interfejs. Jeśli widzisz tam inne rzeczy które się otwierają sprawdź je w google. Gdy nie instalowałeś żadnego innego shella, będziesz musiał się tym zająć.
F1 - wszystko co jest po "run=" lub "load=" będzie próbowało się uruchomić lub załadować po starcie. Musisz sam zinterpretować czy to powinno się uruchamiać czy nie. Po raz kolejny - google.
F2 - wartość rejestru shell jest równoważna "shell=" w pliku system.ini jak widać powyżej. "Userinit=" specyfikuje jaki program powinien zostać uruchomiony po tym jak użytkownik się do windowsa. Będzie to widoczne w raporcie tylko gdy HijackThis zidentyfikował to jako nieznany plik. To oczywiście nie znaczy, że to coś może nam zaszkodzić. Niestety w większości przypadków to może być coś co niekoniecznie chcemy widzieć :(. Musisz zbadać to samemu.
Poniższy rejestr powinien być użyty:

Kod:

---

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell

---

F3 - podobne do F1. Poniższy rejestr powinien być użyty:

Kod:

---

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\run

---

N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
Jak to wygląda:

Kod:

---

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

---

W większości przypadków strony startowe mozilli i netscape są bezpieczne. Rzadko kiedy zostają hijackowane. Jeżeli jednak coś się nie zgadza to będziesz musiał to naprawić.


O1 - Hosts file redirection
Wygląda to następująco:

Kod:

---

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

---

Ten hijack będzie przesyłał adres IP do strony po prawej. Jeżeli IP nie należy do tego adresu zostaniesz przekierowany na zły za każdym razem gdy będziesz próbował go otworzyć. Zawsze możesz to naprawić HijackThis. No chyba, że wprowadzasz świadomie te wersy do Twojego pliku Hosts:D.


O2 - Browser Helper Objects
Wygląda to tak:

Kod:

---

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

---

Jeżeli nie rozpoznajesz tego browse helpera użyj tego. Wprowadź CLSID (numer pomiędzy upośledzonymi nawiasami). Gdy wyjdzie "X" masz jakiś spyware, a gdy "L" numer bezpieczny.


O3 - Internet Explorer toolbars
Tak to wygląda:

Kod:

---

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

---

Jeśli nie rozpoznajesz nazwy tego toolbara użyj bazy CLSID (link który podałem wyżej). Jeżeli na liście nie ma tego kodu a nazwa to jakiś zbiór randomowych liter, to prawie na pewno lop.com i powinieneś to naprawić hijackthisem.


O4 - Autoloading programs from Registry
Wygląda to tak:

Kod:

---

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

---

Użyj google do jeśli masz do czynienia z jakimikolwiek nieznanymi procesami. Gdy program jest nadal w pamięci Hijackthis go nie naprawi i będziesz musiał ręcznie zamknąć go w task managerze i dopiero potem użyć Hijackthisa.


O5 - IE Options icon not visible in Control Panel
Wygląda to tak:

Kod:

---

O5 - control.ini: inetcpl.cpl=no

---

Jeżeli administrator systemu ręcznie nie ukrył ikony z panelu, napraw to HijackThisem.


O6 - IE Options access restricted by Administrator
Wygląda to tak:

Kod:

---

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

---

Jeśli administrator tego nie wprowadził, napraw to hijackthisem.


O7 - Regedit access restricted by Administrator
Wygląda to tak:

Kod:

---

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

---

Jeżeli administrator systemu nie stworzył sam tego ograniczenia, napraw to Hijackthisem.


O8 - Extra items in IE right-click menu
Wygląda to tak:

Kod:

---

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

---

Jeśli nie rozpoznajesz nazwy pliku z right-click menu w IE, napraw to hijackthisem.


O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
Wygląda to tak:

Kod:

---

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

---

Nie rozpoznajesz nazwy buttonu? Napraw to hijackthisem.


O10 - Winsock hijacker
Wygląda to tak:

Kod:

---

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

---

Najprościej usunąć to gówienko po prostu tutaj.


O11 - Extra group in IE 'Advanced Options' window
Wygląda to tak:

Kod:

---

O11 - Options group: [CommonName] CommonName

---

Tylko ty jesteś w stanie wprowadzić to do grupy zaawansowanych opcji w IE. Zawsze możesz użyć hijackthis aby to naprawić.


O12 - IE plugins
Wygląda to tak:

Kod:

---

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

---

Większość plików w tej sekcji jest bezpieczna. Naprawiaj tylko pliki OnFlow (.ofb).


O13 - IE DefaultPrefix hijack
Wygląda to tak:

Kod:

---

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

---

Tych nigdy nie chcemy. Napraw je.


O14 - 'Reset Web Settings' hijack
Wygląda to tak:

Kod:

---

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

---

Jeżeli link nie pochodzi od Twojego dostawcy komputera lub ISP - napraw to.


O15 - Unwanted site in Trusted Zone
Wygląda to tak:

Kod:

---

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

---

Jeśli nie dodawałeś tych stron do trusted zone w IE - napraw je.


O16 - ActiveX Objects (aka Downloaded Program Files)
Wygląda to tak:

Kod:

---

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

---

Jeżeli nie rozpoznajesz nazwy obiektu albo url z którego go ściągnięto zawsze to naprawiaj.


O17 - Lop.com domain hijackers
Wygląda to tak:

Kod:

---

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

---

Jeśli domena to nie nazwa Twojego dostawcy internetu, napraw to. Tak samo z "searchlist". Te z "nameserver" wygoogluj - bardzo łatwo sprawdzić czy szkodzą.


O18 - Extra protocols and protocol hijackers
Wygląda to tak:

Kod:

---

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

---

Te złe to "cn" (CommonName), "ayb" (Lop.com) i "relatedlinks" (Huntbar), powinieneś je naprawić.


19 - User style sheet hijack
Wygląda to tak:

Kod:

---

O19 - User style sheet: c:\WINDOWS\Java\my.css

---

Jeśli zwalnia Ci to przeglądarkę lub masz jakieś popupy napraw to (jeśli pokazuje Ci w logu). Najprościej użyć CWShredder'a do tego.


O20 - AppInit_DLLs Registry value autorun
Wygląda to tak:

Kod:

---

O20 - AppInit_DLLs: msconfd.dll

---

Ta wartość rejestru co jest w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows załadowuje plik DLL do pamięci gdy użytkownik się loguje. Pozostaje tam do wylogowania. Bardzo mało programów tego używa (norton ma APITRAP.DLL), ale najczęściej to jest używane przez trojany.


O21 - ShellServiceObjectDelayLoad Registry key autorun
Wygląda to tak:

Kod:

---

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

---

Jest to nieudokumentowana metoda autorunu, normalnie używana przez system. Rzeczy zlokalizowane w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
ShellServiceObjectDelayLoad są otwierane gdy windows startuje. UWAŻAJ Z TYM!


O22 - SharedTaskScheduler Registry key autorun
Wygląda to tak:

Kod:

---

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

---

To jest nieudokumentowany autorun w Windows NT/2000/XP. Używany bardzo rzadko. UWAŻAJ Z TYM!


O23 - Windows NT Services
Wygląda to tak:

Kod:

---

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

---

Nawet jeśli jest to groźne, niestety nie usuniesz tego za pomocą HijackThisa. Musi to być usuwane z rejestru manualnie lub za pomocą innego narzędzia. Z tego co wiem w HijackThis 1.99.1 przycisk "Delete NT Service" za to odpowiada.


O24 - Windows Active Desktop Components
Wygląda to tak:
Active desktop components to pliki html które zostały użyte jako tło na pulpicie. Hakerzy często używają tego do wyświetlania nieprawdziwych ostrzeżeń jako tło pulpitu.
Wygląda to tak:

Kod:

---

O24 - Desktop Component 0: (Security) - %windir%\index.html
O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html

---

W rejestrze:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
Jeśli nie dodałeś tego samodzielnie ściągnij jakiś anty-wirus aby to naprawić.

___________________________________________

A więc dotrwałeś do końca artykułu. Teraz Twoja wiedza nt. czyszczenia rejestru jest o wiele większa - gwarantuję. Na koniec chciałbym tylko powiedzieć, że nie zezwalam na kopiowanie tego poradnika na inne strony bez mojej zgody. Dodam także, że jest to ulepszona, przetłumaczona i zaktualizowana wersja tego tutoriala.

Pamiętaj! Hijackthis nie usunie wszystkich niechcianych programów z komputera! Służy on do czyszczenia rejestru!
W planach mam napisanie poradników do programów takich jak combofix/otl. Na dzień dzisiejszy to tyle.

Dzięki za czytanie i pozdrawiam.

Moim zdaniem przejrzyście napisane. Dobrze, że użyłeś kodów do wrzucania logów.
Co do samego poradnika to na pewno mi się przyda.
Good job

No ale po co? Hijackthisa juz dawno nie uzywa sie w profesjonalnej diagnostyce, zostal zastapiony przez otl/dds. No chyba, ze ktos chce samemu sobie cos tam usuwac to ok, bo hijackthis latwy w obsludze.

Cytuj:

---

Vadim napisał

No ale po co?

---

Dla greenbagów ^_^.

Cytuj:

---

Vadim napisał

Hijackthisa juz dawno nie uzywa sie w profesjonalnej diagnostyce, zostal zastapiony przez otl/dds. No chyba, ze ktos chce samemu sobie cos tam usuwac to ok, bo hijackthis latwy w obsludze.

---

OTL jest o wiele lepszy i bardziej uniwersalny, ale podczas pisania poradnika nie umiałem się nim posługiwać. W przyszłości napiszę jakiś tutek dotyczący OTL (:

No ale po co tutek z otl? Zeby ludzie sobie problemow narobili?. Jest masa for gdzie mozna wrzuci logi i ktos kto sie zna napisze skrypt, i bedzie pewne, ze wszystko jest ok.

Cytuj:

---

Vadim napisał

No ale po co tutek z otl? Zeby ludzie sobie problemow narobili?. Jest masa for gdzie mozna wrzuci logi i ktos kto sie zna napisze skrypt, i bedzie pewne, ze wszystko jest ok.

---

Bo są osoby takie jak ja kiedyś (raczej to pamiętasz) które są tym zainteresowane i chciałyby się nauczyć czytać logi. Niewiele dobrych poradników można znaleźć w internecie.