Ръководство/описание за/на HijackThis

[Night_Raven]

Внимание!

 

HijackThis е програма, която беше много полезна преди време, но времето й отмина. Имайте предвид следните неща:

1) ако работите с Windows XP, можете да използвате както версия 1.99.1, така и по-новите; ако работите с Windows Vista или Windows 7, трябва да използвате последната версия към настоящия момент - 2.0.4;

2) дори и да използвате последната версия, имайте предвид, че HijackThis е доста безсилна срещу съвременните заплахи и в общи линии не би била полезна така или иначе.

 

HijackThis

малката голяма програма

 

Официален сайт: Няма

Линк за изтегляне: HijackThis 1.99.1

Размер: 207KB

Лиценз: Безплатен (Freeware)

 

Информация и за версия 2.0, която вече трябва да се води официална, но аз напук няма да я водя такава в статията:

 

Официален сайт: Trend Micro Hijack This

Линк за изтегляне: Trend Micro HijackThis 2.0.2

Размер: 1.25MB

Лиценз: Безплатен (Freeware) (хи-хи, докога ли? )

 

*****

 

Добавено по случай излизането на версия 2.00.0 Beta на програмата и продаването й на TrendMicro.

 

Материалът се посвещава на версия 1.99.1 и всички други малки и полезни програми, които са били купени от големи компании и съсипани след това. Тази тенденция се забелязва и при HijackThis. Не мога да съм сигурен дали програмата ще се разводни малко или много, но началото е поставено.

Ето и една играчка-закачка - да определим какво повече има новата версия в сравнение със старата и доколко това оправдава 6 пъти по-големия размер (на beta версията) и близо 4 пъти по-големия размер на официалната.

 

*****

 

Стоя като препариран, втренчен в пикселите, които представляват мигащия курсор на клавиатурата, и се чудя какво да измисля за увод за тази програма и този материал. Дори имам чувството, че на монитора вече му стана неудобно да го гледам така и ако можеше, щеше да ми откърши един шамар, за да се посъбудя. Та...

 

Всеки потребител, сърфиращ интернет, е изложен на риск да бъде заразен с някакъв бацил. Имам предвид като общо понятие. Заплахите в днешно време не се изчерпват само с вируси и троянски коне. Съществува и друга категория с донякъде по-безвредни гадинки, но реално не и за пренебрегване. Това е adware и spyware - рекламен и шпионски софтуер. Дори и да няма чак такова разрушително действие като вирусите, този тип зловреден код си има своите последици - спъване на работата на компютъра, забиване, излишно натоварване и забавяне на системата, отказване на някои програми, използване на интернет връзката или - най-малкото - досаждане. Антивирусните постепенно се пренастройват да засичат и подобни гадинки, но не е приоритет за всички, а и е невъзможно една програма да засича всички бацили. За целта се създават съответните програми. Примери за известни такива са: Webroot Spy Sweeper, AVG Anti-Spyware (бившото ewido), Spybot - Search & Destroy, Ad-Aware, XoftSpySE и др. Повечето такива програми тях имат резидентен модул за защита в реално време и всичките такива програми имат ръчен скенер.

 

1. За програмата

 

Програмата, за която е и материалът, е доста различна от гореспоменатите. Тя няма резидентен скенер, няма модул за ъпдейт и задачата й не е да засича spyware или друг malware. Тя сканира дадена система за определени настройки и извежда списък с всичко, което не принадлежи на операционната система или което се стартира автоматично при зареждането й. В никакъв случай това не значи, че засечените обекти са вредни, напротив, може да са нужни и използвани от потребителя. Програмата не категоризира откритите обекти като зловредни или не, а оставя това на потребителя. Програмата просто извежда информация. Сигурно повечето потребители повдигат вежда и си казват "защо ми е програма, която не чисти?". Вярно е, че не чисти, но макар да звучи не дотам добре, всъщност в опитни ръце този инструмент може да се превърне в доста мощно оръжие за борба със зловредния софтуер. Програмата е започнала като инструмент за засичане на hijack-ове. Това е, когато даден зловреден софтуер промени стартовата страница и страницата за търсене на браузъра ви. Понякога и добавяне на непознати за вас препратки в Favorites/Bookmarks. В последствие програмата еволюирала и се е обогатила и засича и доста други неща.

Отново: програмата извежда информация за настройки и параметри в системата, които не са по подразбиране (променени), както са при току-що инсталиран Windows. Кой ги е променил и с каква цел трябва вие да прецените.

 

2. Стартиране на програмата и главен екран

 

Важно: СИЛНО препоръчително е, преди да стартирате програмата, да преименувате изпълнимия файл от HijackThis на нещо друго, каквото на вас ви харесва. Това е нужно, защото някои гадинки успешно се маскират, ако засекат, че се зарежда програма на име "HijackThis".

 

При първото стартиране на програмата се извежда следното предупреждение:

 

http://pics.softvisia.com/design/pics/3282/00-warning.PNG

 

То гласи, че е не всичко, което бъде засечено, всъщност е вредно и че спирането на някои обекти може да доведе до проблеми. Предупреждението се появява само веднъж - при първото пускане на програмата.

 

При кликане на OK се появява стартовият екран на програмата:

 

http://pics.softvisia.com/design/pics/3282/01-quickstartscreen.PNG

 

Ето и описание на опциите на тази страница:

- Do a system scan and save a logfile - сканира компютъра и запазва текстов LOG файл (hijackthis.log) в папката, където е програмата;

- Do a system scan only - сканира компютъра, без да запазва LOG файл;

- View the list of backups - отвежда ви в прозореца с резервни копия на изтрити обекти, които могат да послужат за възстановяване; още информация - след малко;

- Open the Misc Tools section - отвежда ви на страницата с вградени инструменти в самия HijackThis;

- Open onlne HijackThis QuickStart - отваря интернет страница с кратко описание на програмата на английски;

- None of the above, just start the program - стартира програмата, без да извършва нищо;

- отметката Don't show this frame again when I start HijackThis - указва на програмата повече да не извежда това стартово меню, а винаги да стартира програмата, без да извършва никакво друго действие (все едно сте кликнали последния бутон).

 

При натискане на един от първите два бутона ще започне сканиране. Ето как изглежда програмата, след като приключи сканирането:

 

http://pics.softvisia.com/design/pics/3282/02-mainscreen.PNG

 

Премахването на даден обект става със слагането на отметка пред него и кликане на бутона Fix checked. По-нататък ще обясня всеки обект какво означава.

 

А ето и описание на функциите на всичките 6 бутона на този екран. Лявата част:

- Scan/Save log - ако в началната страница сте избрали да сканира и да запази LOG файл, ще имате бутон Scan, а ако сте избрали да не запазва LOG файл, ще имате бутон Save log, който след като кликнете върху него, ще се смени на Scan.

- Fix checked - поправя/премахва обектите, на които сте поставили отметки;

- Info on selected item... - извежда информация за маркирания от вас обект (не с отметка) и действието, което се предприема - дали се поправя или изтрива;

И дясната част:

- Info... - извежда обща информация за отделните обекти и информация за промените в минали версии;

- Config... - отвежда ви при настройките на програмата;

- Add checked to ignorelist - добавя обектите, на които сте сложили отметки към списъка с изключения, за да не се сканират занапред;

 

Добавено за версия 2.00.0 Beta:

- AnalyzeThis - изпраща LOG файла на сайта на TrendMicro за анализ. За жалост не се класифицират обектите дали и доколко са вредни, а просто се извежда статистика кой обект в колко процента от LOG-овете, качени от други потребители, фигурира. Леко безсмислено според мен.

- Main Menu - връща ви стартовата страница, независимо дали сте сложили отметка да не се появява повече.

 

3. Настройки на програмата и други

 

За да влезете в настройките на програмата кликнете бутона Config... в главния прозорец на програмата. Като цяло настройките са си наред и не е нужно да се бутат допълнително, но ще ги опиша за всеки случай.

 

3.1. Main

 

http://pics.softvisia.com/design/pics/3282/03-options-main.PNG

 

- Mark everyting found for fixing after scan - указва на програмата да слага отметки на всички обекти по подразбиране след сканиране;

- Make backups before fixing items - указва на програмата да прави резервни копия на обектите, които поправя/трие, за да се възстановят при нужда;

- Confirm fixing & ignoring of items (safe mode) - указва на програмата да иска потвърждение преди да извърши поправка или преди да добави даден обект към списъка с изключения;

- Ignore non-standard but safe domains in IE - указва на програмата да не взима под внимание страници, които, макар и нестандартни, са безопасни;

- Include list of running processes in logfiles - указва на програмата да включва и списък с активните в момента на сканиране процеси в LOG файловете, които прави;

- Show intro frame at startup - указва на програмата да показва началното стартов екран с различните задачи (както описах в т. 2.);

- Run HijackThis scan at startup and show it when items are found - указва на програмата да сканира компютъра при всяко стартиране и да показва резултатите накрая.

 

Следват 4 полета с интернет адреси. Адресите в тези полета ще се използват при поправяне на проблеми, когато са заменени с други. Можете да си ги промените, но тези са по подразбиране.

 

3.2. Ignorelist

Списъкът с изключения. Тук са обекти, които сте добавили ръчно и не искате да се сканират занапред. Бутоните

- Delete изтрива избрания от вас обект, което означава, че ще бъде сканиран;

- Delete all изчиства целия списък.

 

3.3. Backups

Резервните копия на поправени/изтрити обекти. Те се съдържат в папка backups в папката, където е самата програма. Бутоните:

- Restore - възстановява маркираното резервно копие;

- Delete - изтрива маркираното резервно копие;

- Delete all - изтрива всички резервни копия.

 

3.4. Misc Tools

Допълнителни инструменти, вградени в HijackThis. Подред на номерата:

 

3.4.1. StartupList

- Generate StartupList log - създава текстов LOG файл с приложенията, процесите и файловете, които се стартират заедно с Windows.

 

3.4.2. System tools

- Open process manager - извежда мениджър на активните в момента процеси, много подобен на този в Task Manager в Windows;

- Open hosts file manager - отваря файла hosts за редакция;

- Delete a file on reboot - указва на програмата да изтрие някой файл при стартиране на компютъра ако в момента се използва от операционната система или от друга програма и не може да бъде изтрит;

- Delete an NT service - служи за изтриване на дадена услуга при NT базирани операционни системи (NT, 2000 и XP); отваря прозорче, където трябва да въведете името на услугата точно както е изведено от HijackThis при сканирането му или да въведете името между скобите, ако е изписано такова. Внимавайте с този инструмент, защото макар някои услуги на Microsoft да са критично важни и да не могат да се трият, други могат, а изтрита услуга НЕ можете да върнете.

- Open ADS Spy... - отваря модул за сканиране на файлове за скрита мета информация в тях. На тези от вас, на които това не им говори нищо, надали ще имат нужда от това, но ако има желание, ще се спра по-подробно.

- Open Uninstall Manager - извежда мениджър на инсталираните програми, много подобен на този в RegCleaner и CCleaner;

 

3.4.3. Advanced settings

- Calculate MD5 of files if possible - указва на програмата да изчислява контролна сума (checksum) за файловете. Ако знаете какво правите, можете да я включите, но в останалите случаи няма нужда да се активира.

- Include environment variables in logfile - указва на програмата да включва и системните променливи в LOG файловете. Отново, ако не знаете, че ви трябва изрично, не е нужно да я пипате.

 

3.4.4. Update check

- Check for update online - проверява за ъпдейти на програмата в интернет;

- Use this proxy server - позволява да въведете в полето избран от вас прокси сървър, ако ползвате такъв.

 

3.4.5. Uninstall HijackThis

- Uninstall HijackThis & exit - премахва HijackThis от регистратурата и спира програмата след това.

 

4. Описание на различните групи обекти (легенда)

 

4.1. R0, R1, R2, R3 - стартови страници, страници за търсене или прокси сървъри за Internet Explorer

 

Изглежда ето така:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

R2 - (все още неизползвана от HijackThis стойност)

R3 - Default URLSearchHook is missing

- R0 - променени стойности в регистратурата и заменени с различни от стандартните;

- R1 и R2 - създадени стойности в регистратурата;

- R3 - създадени допълнителни стойности в регистратурата, а в действителност трябва да е само една.

 

R0, R1 и R2 може да са сменени както от зловреден код, така и от вас самите. Някои програми (като Google Toolbar например) предлагат да заменят стандартната стартова страница или страницата за търсене с предпочитаните от тях. Ако вие сте се съгласили, то значи вие сте направили промените. Същото важи и за прокси сървъра ако бъде засечен такъв. Ако не сте оторизирали промяна или просто искате да възстановите стандартните страници, отметнете ги за поправка. R3 са почти винаги за триене, освен ако в обекта не фигурира програма, която разпознавате и й имате доверие.

 

4.2. F0, F1, F2, F3 - стартиране на програми с Windows от .ini файлове

 

Изглежда ето така:

F0 - system.ini: Shell=Explorer.exe нещо.exe

F1 - win.ini: run=нещо

- F0 - променена стойност в даден .ini файл;

- F1 - добавена стойност в даден .ini файл;

- F2 - променена стойност в даден .ini файл, която фигурира и в регистратурата;

- F3 - добавена стойност в даден .ini файл, която фигурира и в регистратурата;

 

F0 и F2 са винаги зловредни, затова ги отмятайте за изтриване. F1 и F3 са стари програми, което обикновено са безопасни, но е най-добре да се консултирате със запознат или да потърсите повече информация в интернет ако изпитвате съмнения.

 

4.3. N1, N2, N3, N4 - стартови страници, страници за търсене или прокси сървъри за Netscape и/или Mozilla

 

Изглежда ето така:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

 

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

 

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

- N1 - промяна в настройките на Netscape 4.x;

- N2 - промяна в настройките на Netscape 6;

- N3 - промяна в настройките на Netscape 7;

- N4 - промяна в настройките на Mozilla;

 

Стартовите страници и страниците за търсене на тези браузъри се "отвличат" доста рядко. Ако не разпознавате адресите, които са изведени от HijackThis или искате да върнете тези, по подразбиране, отметнете за поправка.

 

4.4. O1 - добавени пренасочвания във файла hosts

 

Изглежда ето така:

O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1 - Hosts: 216.177.73.139 search.netscape.com

O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts file is located at C:\Windows\Help\hosts

Това е пример за hijack-ване на файла hosts. В този случай, ако напишете адреса, който е в синьо, ще бъдете пренасочени към адреса, който е в червено. Ако имате такива обекти, ги поправяйте, освен ако не сте ги добавили лично и с конкретна идея на ум. Последният ред показва, че файлът е изместен в указаната папка или и там е създаден такъв, което е нередно. Файлът hosts трябва да се намира в C:\WINDOWS\system32\drivers\etc.

 

4.5. O2 - помощни обекти за Internet Explorer - Browser Helper Objects

 

Изглежда ето така:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

 

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

 

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Browser Helper Objects са помощни обекти за браузърите. Те осигуряват допълнителна функционалност. Нещо като плъгини (plug-in), но не съвсем. Могат да са както полезни, така и вредни. Програми като Spybot или Flashget например имат такива обекти, за да подсигурят нужните функции, които предлагат. Ако имате такъв BHO обект, чийто файл липсва (file missing) или който не го желаете повече, го отмятайте за поправка/изтриване. BHO, който не го разпознавате да е от някоя програма, която сте инсталирали лично и/или изглежда съмнителен, го маркирайте за поправка/триене или го проверете ако се съмнявате. Ако се съмнявате в някой, попитайте запознат човек или потърсете из интернет чрез Google. Това важи още повече за обектите, които са без име и имат само идентификационен код в средни скоби - {}.

 

4.6. O3 - ленти с инструменти (toolbars) за Internet Explorer

 

Изглежда ето така:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

 

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

 

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Ситуацията тук е почти аналогична с BHO обектите. Ленти с инструменти, които са с липсващи файлове (file missing) и които не желаете повече, ги маркирайте за поправка/изтриване. Ленти, които или не разпознавате да са от програма, която сте инсталирали лично, или са със съмнителни имена, ги маркирайте за поправка/триене, като можете да ги проверите ако се съмнявате.

 

4.7. O4 - приложения, които се стартират от регистратурата при зареждане на Windows

 

Изглежда ето така:

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: winlogon.exe

Това е списък, равносилен на този, който ще видите ако стартирате msconfig (Start -> Run -> пишете msconfig -> OK) и изберете страница Startup. Това са програми, които се стартират със зареждането на операционната система. Тези, които ги преценявате като вредни или ненужни, можете да ги отметнете за премахване от списъка за автоматично стартиране. Ако имате в списъка програма, която е в Startup папката и е все още активна в паметта, то HijackThis няма да може да се справи. Преди да поправите този обект е нужно да прекратите процеса на програмата от Task Manager (CTRL+ALT+DELETE).

 

4.8. O5 - настройките на Internet Explorer са скрити от контролния панел на Windows

 

Изглежда ето така:

O5 - control.ini: inetcpl.cpl=no

Освен ако не сте забранили нарочно показването на този модул в контролния панел, отметнете го за поправка.

 

4.8. O6 - достъпът до настройките на Internet Explorer е забранен

 

Изглежда ето така:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Има два случая, в които ще има ограничение за достъпа до настройките на Internet Explorer: ако вие или някой друг администратор нарочно го е наложил или ако ползвате Spybot - Search & Destroy и сте включили опцията му Lock homepage from changes. В противен случай промяната е нередна, затова я отметнете за поправка.

 

4.9. O7 - достъпът до Regedit е забранен

 

Изглежда ето така:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ако забраната е съзнателна и знаете за нея, подминете обекта, но в противен случай сложете отметка за поправка.

 

4.10. O8 - допълнителни опции/обекти в контекстното меню (десен клик) в Internet Explorer

 

Изглежда ето така:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm

O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Ако не желаете повече опцията, я отметнете за премахване. Ако не разпознавате опцията да е от някоя програма, която сте инсталирали лично, можете да отметнете за поправка или да проверите първо в Google, за да сте сигурни.

 

4.11. O9 - допълнителни бутони в лентата на Internet Explorer

 

Изглежда ето така:

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O9 - Extra button: AIM (HKLM)

Ако не разпознавате бутона да е от някоя програма, която вие сте инсталирали, сложете отметка, за да се поправи.

 

4.12. O10 - "отвличане" (hijack) на WinSock

 

Изглежда ето така:

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing

O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

WinSock определя как Windows използва мрежовите ресурси и протоколи и най-вече TCP/IP протокола. Много вероятно е промените да са нежелани и вредни, но е и възможно всичко да е наред. Някои download мениджъри интегрират там свой DLL файл, в някои от режимите си на прихващане на файлове за теглене. Премахването на DLL файловете им оттам най-вероятно просто ще изключи тази опция и ще трябва да я включите отново. Поправките по WinSock обаче е препоръчително да се извършват с LSP-Fix 1.1 (197KB), която е създадена точно за целта, или с известната антиспай програма Spybot - Search & Destroy 1.4. Файлове, които са със статут "Unknown" (неизвестен), не се поправят от HijackThis.

 

Премахване на файл чрез LSP-Fix: стартирате програмата, слагате отметка на I know what I'm doing (or enjoy re-installing my operating system...), избирате файла, който искате да премахнете, от колонка Keep и кликате бутона >>, за да го преместите в колонка Remove. Кликате Finish>>.

Забележка: при стартирането си LSP-Fix съобщава дали има проблеми според него. Ако пише, че има проблем, то по всяка вероятност е така. Ако пише, че няма проблеми, може и да е така, но не е чак толкова сигурно, колкото предния случай, затова е най-добре да се проучи по-обстойно ситуацията.

 

4.13. O11 - допълнителни групи в прозореца Advanced Options на Internet Explorer

 

Изглежда ето така:

O11 - Options group: [CommonName]CommonName

За момента това е единственият hijack-ър, който извършва подобни пакости, така че по всяка вероятност е нежелана промяна. Отметнете за поправка.

 

4.14. O12 - плъгини за Internet Explorer

 

Изглежда ето така:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Плъгините за Internet Explorer също добавят допълнителна функционалност, като BHO обектите, но не са същите. Повечето плъгини са безопасни. Единственият плъгин, който е по-опасен, е OnFlow плъгина. Него ще го познаете по съкращението .ofb. Ако го срещнете, отмятайте за поправка. В други случаи най-добре се консултирайте с Google, преди да поправяте/триете обекта.

 

4.15. O13 - IE DefaultPrefix hijack

 

Изглежда ето така:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=

O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

O13 - WWW. Prefix: http://ehttp.cc/?

Тези обекти са винаги зловредни, затова ги отмятайте за поправка.

 

4.16. O14 - 'Reset Web Settings' hijack

 

Изглежда ето така:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Ако на мястото на удебеления адрес видите адреса на интернет доставчика ви, то значи нещата са наред. В противен случай обаче сложете отметка, за да бъде поправен обекта.

 

4.17. O15 - наличие на нежелани сайтове в зоната за доверените сайтове (Trusted Zone)

 

Изглежда ето така:

O15 - Trusted Zone: http://free.aol.com

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.msn.com

В най-честия случай AOL и Coolwebsearch добавят сайтове в тази зона. И все пак, ако не сте добавяли сайтовете лично, то значи са там без ваше разрешение, затова сложете отметка за поправка.

 

4.18. O16 - ActiveX обекти (надстройки на браузъра)

 

Изглежда ето така:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

Ако не разпознавате името на обекта или сайта, от който е изтеглен, значи най-вероятно е нежелан обект. Ако видите съмнителни думички като "dialer", "casino", "free_plugin" и др., със сигурност ги отметнете. Разбира се, консултация с Google е винаги добра идея.

 

4.19. O17 - Lop.com hijack

 

Изглежда ето така:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

 

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

За удебелените стойности на Domain, DomainNamee и SearchList важи правилото, че ако адресите не принадлежат на доставчика ви или не са част от някаква вътрешна мрежа, ги отмятайте за поправка. IP адресите за NameServer лесно се проверяват в Google дали са опасни/зловредни или не.

 

4.20. O18 - допълнителни протоколи и hijack-ъри на протоколи

 

Изглежда ето така:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Сигурните зловредни обекти са: "cn" (CommonName), "ayb" (Lop.com) and "relatedlinks" (Huntbar), които ако ги видите, отмятайте за поправка. Ако попаднете на други обекти, използвайте Google да намерите информация дали опасни или не.

 

4.21. O19 - user style sheet hijack

 

Изглежда ето така:

O19 - User style sheet: c:\WINDOWS\Java\my.css

Ако усещате забавяния в браузъра и постоянни изскачащи прозорци, то сложете отметки на този обект, ако го имате в списъка. До момента само Coolwebsearch прави тези поразии, затова е по-добре и сигурно да използвате CWShredder (306KB), която е специализирана в чистенето на Coolwebsearch.

 

4.22. O20 - автоматично стартиране чрез AppInit_DLLs стойността в регистратурата

 

Изглежда ето така:

O20 - AppInit_DLLs: msconfd.dll

Даден .dll файл се зарежда в паметта при стартиране на Windows и остава там до изключването на компютъра. Много малко легални програми ползват това. Най-често са агресивни hijack-ъри или троянски коне. Най-добре е да ползвате Google, за да сте сигурни.

 

4.23. O21 - ShellServiceObjectDelayLoad

 

Изглежда ето така:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Това е недокументиран и много малко известен метод за стартиране на процеси заедно с Windows. Използва се за някои системни процеси на операционната система. Стойността в регистратурата се намира в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad. HijackThis разполага със списък с файловете, които са редовни, така че ако ви се изведе такъв обект, то е почти сигурно, че е зловреден. И все пак подхождайте много внимателно и се консултирайте с човек, който е запознат с материята или ползвайте Google, за проверите дали са наред.

 

4.24. O22 - SharedTaskScheduler

 

Изглежда ето така:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Това е недокументирана функция за автоматично стартиране на процеси на NT базирани платформи. Използва се много рядко. От зловредните само CWS.Smartfinder се намества там. Подхождайте внимателно с този обект все пак.

 

4.25. O23 - услуги на NT базирани системи

 

Изглежда ето така:

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

Списъкът извежда всички услуги, които не принадлежат на Microsoft. Някои hijack-ъри и троянски коне имат собствени услуги, чрез които се поддържат "живи" и остават упорити за премахване. Обикновено имената на подобни фалшиви услуги звучат важно (като например "Network Security Service" или "Workstation Logon Service"), но текстът между скобите е от "гарги" (произволни и/или неясни символи). Слагането на отметка на подобни услуги ги спира и изключва (Disabled), но не ги изтрива. За целта ползвайте вградения инструмент в HijackThis - Delete NT Service опцията в секцията Misc Tools (описана в началото на материала). Спирането на услуга от HijackThis е равносилно на ръчно спиране от модула във Windows. Така че ако искате да пуснете отново услугата, изведете списъка с услугите (Start -> Run -> пишете services.msc -> OK), кликате върху съответната услуга и от падащото меню избирате съотвения желан режим на стартиране (Automatic или Manual). Това ще активира услугата при следващото стартиране на Windows. Ако желаете да я пуснете веднага, просто натиснете и бутона Start.

 

*****

 

С това се надявам да съм ви бил полезен в откриването на съмнителни и подозрителни гадинки в компютъра ви. За целта на материала е използвано описанието на тази страница.

 

Ако има информация, която бихте желали да се включи в материала или имате други въпроси, предложения и проблеми, не се колебайте да пишете в темата.

 

*****

 

Всички права върху текущата статия и картинките, включени в нея, са собственост на автора им. Копирането на материала без разрешението на автора е забранено.

 

Автор: Венцислав Димитров (Night_Raven)

[orion]

Привет Night_Raven,

Много ми се иска просто да те поздравя за това което правиш,

винаги съм се притеснявал да пиша след твойте ръководства за да не ги загрозявам с излишни мнения, та...

Просто едно голямо БЛАГОДАРЯ ще кажа!

[Tragedy]

Венци, поредното СТРАХОТНО ръководство.

 

Евала ти човече!!!

[black hawk]

Night_Raven поздравления за доброто ръководство,наистина перфектно си се справил .Имам един въпрос.Като сканирах с HijackThis 1.99.1 видях следните редове:

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

Сканирах със Spybot - Search & Destroy 1.4,но нищо не намери.След това стартирах програмката LSP-Fix 1.1,но и тя ми изписа Problem not faund.Какво би ме посъветвал?

[Night_Raven]

Файлът е част от Internet Download Manager. При включване на Advanced browser integration той добавя този .dll файл към LSP-то, за да може да работи самия режим. Ако ползваш даунлоуд мениджъра, остави файла. В противен случай го махни чрез LSP-Fix.

Тъкмо ще разширя обяснението за конкретния обект.

[black hawk]

Файлът е част от Internet Download Manager. При включване на Advanced browser integration той добавя този .dll файл към LSP-то, за да може да работи самия режим. Ако ползваш даунлоуд мениджъра, остави файла. В противен случай го махни чрез LSP-Fix.

Тъкмо ще разширя обяснението за конкретния обект.

Благодарско за инфото Night_Raven.Да ползвам IDM и ще оставя файловете.И още нещо да те попитам,препоръчително ли е когато в даден файл пише file missing или no name примерно:

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

да му слагам отметка.

[Night_Raven]

Когато е no name, значи, че даденият обект просто няма име, но това не пречи той да е активен и полезен. Опира до конкретен случай. В такива случаи се гледа останалата информация. В твоя случай е Java, което е наред. А и винаги има Google да поровиш за дадения файл ако те съмнява.

Обекти с липсващ файл (file missing) спокойно можеш да ги триеш.

[Pe6o]

Здравейте,

поздравления за отличната работа.

За разчитане на лог файла може да се използва услугата предлагана от

http://www.hijackthis.de.Просто копирайте целия или част от него

и веднага получавате отговор.

 

VY 73.

[Sir William]

Здравейте,

поздравления за отличната работа.

За разчитане на лог файла може да се използва услугата предлагана от

http://www.hijackthis.de.Просто копирайте целия или част от него

и веднага получавате отговор.

 

VY 73.

 

Добре.

Аз преди време използвах HJT Helper. Информация: FixMyXP.com

На пръв поглед като че ли се справяше добре с анализ на логове от HijackThis, подобно а http://www.hijackthis.de. Понякога обаче дава доста подвеждаща информация със съмнителни препоръки.

 

Има и версия на a-squared за онлайн анализ на резултатите от HijackThis, даже смело са направили собствена версия: a-squared HiJackFree.

 

Понякога може да се добие съвсем погрешна представа за логовете при онлайн или допълнителна "гуру" проверка от подобни анализатори на логове. Не изключвам добри попадения. Много от автоматичните анализатори на логове бъркат често, съвсем нормално е.

 

Но това "Ръководство/описание за/на HijackThis" според мен е достатъчно да се оценят на български език доста добре логовете от проверката на HijackThis.

Поздрави и благодарности на автора!

[Night_Raven]

Добре.

Аз преди време използвах HJT Helper. Информация: FixMyXP.com

На пръв поглед като че ли се справяше добре с анализ на логове от HijackThis, подобно а http://www.hijackthis.de. Понякога обаче дава доста подвеждаща информация със съмнителни препоръки.

 

...

 

Понякога може да се добие съвсем погрешна представа за логовете при онлайн или допълнителна "гуру" проверка от подобни анализатори на логове. Не изключвам добри попадения. Много от автоматичните анализатори на логове бъркат често, съвсем нормално е.

Съгласен. Сайтовете за автоматичен анализ могат да са полезни, но могат и да са доста подвеждащи. Те са по-скоро ориентировачни, отколкото категорични. Все едно някой да си избира антивирусна и да попита 100 души с цел вземане на решение. Накрая може да се окаже много по-объркан, отколкото в началото.

Казано накратко: информацията в тези анализи също трябва да се проверява допълнително.

[aleksoft]

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

 

 

За удебелените стойности на Domain, DomainNamee и SearchList важи правилото, че ако адресите не принадлежат на доставчика ви или не са част от някаква вътрешна мрежа, ги отмятайте за поправка. IP адресите за NameServer лесно се проверяват в Google дали са опасни/зловредни или не.

 

Ще обясниш ли как се проверяват IP адресите за NameServer в Google?

[Night_Raven]

Ще обясниш ли как се проверяват IP адресите за NameServer в Google?

Ами просто - пишат се в Google и се проверява дали някъде някой друг няма подобни, които са се оказали проблемни. Друг вариант е чрез WhoIs услуги - например www.whois.sc.

[black hawk]

Здравейте!

Днес направих един скан с HijackThis v1.99.1.Излезе ми един ред, непознат за мен

O23 - Service: DiRT Drivers Auto Removal (pr2ah4nb) (pr2ah4nb) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nb.exe

Какво бихте ме посъветвали?Да си питам, трябва ли да фиксна това:

O11 - Options group: [INTERNATIONAL] International*

[Night_Raven]

DiRT Drivers Auto Removal, както се вижда, е инсталирана редом с игра на Codemasters. Каква е целта на тази услуга си нямам ни най-малка представа. Не вярвам да е опасна, но и не смятам, че ще е жизнено важна. Ако искаш я отметни, за да бъде спряна. Винаги можеш да я пуснеш обратно от панела с услугите.

"O11 - Options group: [iNTERNATIONAL] International*" е в реда на нещата. Остави го.

[black hawk]

Привет Night_Raven, ето какво стана.След премахването на DiRT Drivers Auto Removal, проверих в Services, тази услуга липсваше. Но както каза "Не вярвам да е опасна, но и не смятам, че ще е жизнено важна"

DiRT Drivers Auto Removal, както се вижда, е инсталирана редом с игра на Codemasters

Бях забравил, че преди време бях инсталирал играта Colin McRae DIRT, деинсталирах я по-късно, но явно услугата е останала.Благодарско за инфото.