Temat: Poradnik o czytaniu logów z hijackthis'a.

*poradnik znajdujący się poniżej napisałem już stosunkowo dawno temu i przypomniało mi się o nim przeglądając ostatnio wszystko moje dzieła. na torgu nie ma jeszcze takiego tutoriala, więc postanowiłem go Wam tutaj wkleić. pozdrawiam :)


No cześć!
W tym oto poradniku, przewodniku, tutorialu czy jakkolwiek to można nazwać - przekażę Wam mistyczną wiedzę jaką jest czytanie logów z hijackthisa. Nie wiesz czym są logi? Nie miałeś nigdy do czynienia z programem hijackthis? Proszę, opuść ten artykuł. Nierozsądne posługiwanie się tym programem może poważnie uszkodzić Twój komputer. Od razu na wstępie chciałbym też zaznaczyć, że nie biorę odpowiedzialności za wszelkie problemy które powstały po użyciu poradnika.
Jeżeli nie jesteś pewien czy na pewno chcesz podjąć ryzyko - jeszcze raz proszę, wyjdź. Decyzja należy do Ciebie.

Czerwona pigułka - uciekasz i do końca życia jesteś nieświadom co się kryje w Twoim komputerze:

Aby wziąć czerwoną kliknij tutaj

Nie bierzesz? Zatem kontynuuj.


A więc zdecydowałeś się zostać :). Mam nadzieję, że po tej małej dawce humoru jesteś już rozluźniony i gotowy do przeczytania tego śmiem powiedzieć - długiego artykułu. Czytanie logów i kooperacja z nimi to bardzo trudny temat. Niewiele informatyków posiada taką zdolność.
Jeśli już czytasz to raczej jesteś w posiadaniu takiego programu i wiesz jak robić raporty. Reszta (wiedza którą posiadam ja) znajduje się poniżej.
Zacznijmy więc!



W logach HijackThis każda nowa sekcja zaczyna się z jakąś nazwą. Np:
Ja omówię wszystkie przykłady osobno.

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
Wygląda to tak:
Jeśli linki widoczne w raporcie są zgodne ze stroną startową przeglądarki - problemu nie ma. Jeżeli zaś widzisz jakieś nieporozumienie i startery się różnią, napraw to Hijackthis'em. Wszystkie rzeczy R3 powinny być zawsze naprawiane, no chyba, że jest to program który poznajesz. Np. copernic.


F0, F1, F2, F3 - Autoloading programs
Wygląda to następująco:
F0 - są to wszystkie programy które otwierają się zaraz po starcie systemu. Powinien być tam explorer.exe który odpowiada za nasz interfejs. Jeśli widzisz tam inne rzeczy które się otwierają sprawdź je w google. Gdy nie instalowałeś żadnego innego shella, będziesz musiał się tym zająć.
F1 - wszystko co jest po "run=" lub "load=" będzie próbowało się uruchomić lub załadować po starcie. Musisz sam zinterpretować czy to powinno się uruchamiać czy nie. Po raz kolejny - google.
F2 - wartość rejestru shell jest równoważna "shell=" w pliku system.ini jak widać powyżej. "Userinit=" specyfikuje jaki program powinien zostać uruchomiony po tym jak użytkownik się do windowsa. Będzie to widoczne w raporcie tylko gdy HijackThis zidentyfikował to jako nieznany plik. To oczywiście nie znaczy, że to coś może nam zaszkodzić. Niestety w większości przypadków to może być coś co niekoniecznie chcemy widzieć :(. Musisz zbadać to samemu.
Poniższy rejestr powinien być użyty:
F3 - podobne do F1. Poniższy rejestr powinien być użyty:

N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
Jak to wygląda:
W większości przypadków strony startowe mozilli i netscape są bezpieczne. Rzadko kiedy zostają hijackowane. Jeżeli jednak coś się nie zgadza to będziesz musiał to naprawić.


O1 - Hosts file redirection
Wygląda to następująco:
Ten hijack będzie przesyłał adres IP do strony po prawej. Jeżeli IP nie należy do tego adresu zostaniesz przekierowany na zły za każdym razem gdy będziesz próbował go otworzyć. Zawsze możesz to naprawić HijackThis. No chyba, że wprowadzasz świadomie te wersy do Twojego pliku Hosts:D.


O2 - Browser Helper Objects
Wygląda to tak:
Jeżeli nie rozpoznajesz tego browse helpera użyj tego. Wprowadź CLSID (numer pomiędzy upośledzonymi nawiasami). Gdy wyjdzie "X" masz jakiś spyware, a gdy "L" numer bezpieczny.


O3 - Internet Explorer toolbars
Tak to wygląda:
Jeśli nie rozpoznajesz nazwy tego toolbara użyj bazy CLSID (link który podałem wyżej). Jeżeli na liście nie ma tego kodu a nazwa to jakiś zbiór randomowych liter, to prawie na pewno lop.com i powinieneś to naprawić hijackthisem.


O4 - Autoloading programs from Registry
Wygląda to tak:
Użyj google do jeśli masz do czynienia z jakimikolwiek nieznanymi procesami. Gdy program jest nadal w pamięci Hijackthis go nie naprawi i będziesz musiał ręcznie zamknąć go w task managerze i dopiero potem użyć Hijackthisa.


O5 - IE Options icon not visible in Control Panel
Wygląda to tak:
Jeżeli administrator systemu ręcznie nie ukrył ikony z panelu, napraw to HijackThisem.


O6 - IE Options access restricted by Administrator
Wygląda to tak:
Jeśli administrator tego nie wprowadził, napraw to hijackthisem.


O7 - Regedit access restricted by Administrator
Wygląda to tak:
Jeżeli administrator systemu nie stworzył sam tego ograniczenia, napraw to Hijackthisem.


O8 - Extra items in IE right-click menu
Wygląda to tak:
Jeśli nie rozpoznajesz nazwy pliku z right-click menu w IE, napraw to hijackthisem.


O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
Wygląda to tak:
Nie rozpoznajesz nazwy buttonu? Napraw to hijackthisem.


O10 - Winsock hijacker
Wygląda to tak:
Najprościej usunąć to gówienko po prostu tutaj.


O11 - Extra group in IE 'Advanced Options' window
Wygląda to tak:
Tylko ty jesteś w stanie wprowadzić to do grupy zaawansowanych opcji w IE. Zawsze możesz użyć hijackthis aby to naprawić.


O12 - IE plugins
Wygląda to tak:
Większość plików w tej sekcji jest bezpieczna. Naprawiaj tylko pliki OnFlow (.ofb).


O13 - IE DefaultPrefix hijack
Wygląda to tak:
Tych nigdy nie chcemy. Napraw je.


O14 - 'Reset Web Settings' hijack
Wygląda to tak:
Jeżeli link nie pochodzi od Twojego dostawcy komputera lub ISP - napraw to.


O15 - Unwanted site in Trusted Zone
Wygląda to tak:
Jeśli nie dodawałeś tych stron do trusted zone w IE - napraw je.


O16 - ActiveX Objects (aka Downloaded Program Files)
Wygląda to tak:
Jeżeli nie rozpoznajesz nazwy obiektu albo url z którego go ściągnięto zawsze to naprawiaj.


O17 - Lop.com domain hijackers
Wygląda to tak:
Jeśli domena to nie nazwa Twojego dostawcy internetu, napraw to. Tak samo z "searchlist". Te z "nameserver" wygoogluj - bardzo łatwo sprawdzić czy szkodzą.


O18 - Extra protocols and protocol hijackers
Wygląda to tak:
Te złe to "cn" (CommonName), "ayb" (Lop.com) i "relatedlinks" (Huntbar), powinieneś je naprawić.


19 - User style sheet hijack
Wygląda to tak:
Jeśli zwalnia Ci to przeglądarkę lub masz jakieś popupy napraw to (jeśli pokazuje Ci w logu). Najprościej użyć CWShredder'a do tego.


O20 - AppInit_DLLs Registry value autorun
Wygląda to tak:
Ta wartość rejestru co jest w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows załadowuje plik DLL do pamięci gdy użytkownik się loguje. Pozostaje tam do wylogowania. Bardzo mało programów tego używa (norton ma APITRAP.DLL), ale najczęściej to jest używane przez trojany.


O21 - ShellServiceObjectDelayLoad Registry key autorun
Wygląda to tak:
Jest to nieudokumentowana metoda autorunu, normalnie używana przez system. Rzeczy zlokalizowane w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
ShellServiceObjectDelayLoad są otwierane gdy windows startuje. UWAŻAJ Z TYM!


O22 - SharedTaskScheduler Registry key autorun
Wygląda to tak:
To jest nieudokumentowany autorun w Windows NT/2000/XP. Używany bardzo rzadko. UWAŻAJ Z TYM!


O23 - Windows NT Services
Wygląda to tak:
Nawet jeśli jest to groźne, niestety nie usuniesz tego za pomocą HijackThisa. Musi to być usuwane z rejestru manualnie lub za pomocą innego narzędzia. Z tego co wiem w HijackThis 1.99.1 przycisk "Delete NT Service" za to odpowiada.


O24 - Windows Active Desktop Components
Wygląda to tak:
Active desktop components to pliki html które zostały użyte jako tło na pulpicie. Hakerzy często używają tego do wyświetlania nieprawdziwych ostrzeżeń jako tło pulpitu.
Wygląda to tak:
W rejestrze:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
Jeśli nie dodałeś tego samodzielnie ściągnij jakiś anty-wirus aby to naprawić.




A więc dotrwałeś do końca artykułu. Teraz Twoja wiedza nt. czyszczenia rejestru jest o wiele większa - gwarantuję. Na koniec chciałbym tylko powiedzieć, że nie zezwalam na kopiowanie tego poradnika na inne strony bez mojej zgody. Dodam także, że jest to ulepszona, przetłumaczona i zaktualizowana wersja tego tutoriala.

Pamiętaj! Hijackthis nie usunie wszystkich niechcianych programów z komputera! Służy on do czyszczenia rejestru!
W planach mam napisanie poradników do programów takich jak combofix/otl. Na dzień dzisiejszy to tyle.

Dzięki za czytanie i pozdrawiam.

No ale po co? Hijackthisa juz dawno nie uzywa sie w profesjonalnej diagnostyce, zostal zastapiony przez otl/dds. No chyba, ze ktos chce samemu sobie cos tam usuwac to ok, bo hijackthis latwy w obsludze.

Dla greenbagów ^_^.

OTL jest o wiele lepszy i bardziej uniwersalny, ale podczas pisania poradnika nie umiałem się nim posługiwać. W przyszłości napiszę jakiś tutek dotyczący OTL (:

No ale po co tutek z otl? Zeby ludzie sobie problemow narobili?. Jest masa for gdzie mozna wrzuci logi i ktos kto sie zna napisze skrypt, i bedzie pewne, ze wszystko jest ok.

Bo są osoby takie jak ja kiedyś (raczej to pamiętasz) które są tym zainteresowane i chciałyby się nauczyć czytać logi. Niewiele dobrych poradników można znaleźć w internecie.