man1
Administrator
Dołączył: 17 Maj 2007
Posty: 128
Przeczytał: 0 tematów
Pomógł: 1 raz
Ostrzeżeń: 0/5
Płeć: Mężczyzna
|
 Wysłany: Sob 15:35, 15 Wrz 2007 Temat postu: Hijack This - opis. |
 |
|
Hijack This - opis.
[link widoczny dla zalogowanych]- Do pobrania.
Postaram się w dużym skrócie wyjaśnić czego dotyczą poszczególne wpisy i jak je rozpoznawać. Tak więc zaczynamy:
R0; R1; R2; R3 - Są to strony startowe i wyszukiwarki (najczęściej dotyczą IE). Wpisy R0 i R1 powinny być usuwane, chyba, że są to strony ustawione przez Ciebie (np. [link widoczny dla zalogowanych] [link widoczny dla zalogowanych] itd. itp.) Wpis R3 usuwamy zawsze, chyba, że jest tutaj program, króry znamy i sami instalowaliśmy!
N1; N2; N3; N4 - To są strony startowe Mozilli i Netscape.
F0; F1; F2; F3 - W Windows 9x i Me jest to F0 i F1 a w Windows NT/2000/XP/2003 jest to F2 i F3. Wpisy te dotyczą pliku win.ini oraz system.ini.
01 - To są przekierowania pliku HOSTS.
02 - Browser Helper Objects a w skrócie BHO. To są pluginy poszerzające możliwości naszej przeglądarki. Mogą być pożyteczne jak i szkodliwe. Do ich identyfikacji może nam posłużyć strona Sysinfo.org. Wpisujemy tylko numerki (CLSID) znajdujące się pomiędzy klamrami czyli {}.
03 - Paski narzędziowe, które możemy zlokalizować w Rejestrze w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar.
04 - Są to programu uruchamiające się wraz ze startem systemu i możemy je zlokalizować w Rejestrze w kluczach:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\R un
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Ru n
Co do ewentualnego usuwania może nam posłużyć strona Sysinfo/Startup.org.
05 - Po prostu ikona Opcji Internetowych lub jej blokada. Jeśli sam nie zablokowałeś tejże ikony, to oczywiście to naprawiasz.
06 - Wpisy dotyczące Opcji Internetowych IE zablokowane przez "Administratora".
07 - Podobnie jak wyżej, tyle, że blokada dotyczy Rejestru.
08 - Dodatkowe opcje w menu kontekstowym (prawoklik) IE. Można je zlokalizować w Rejestrze w kluczu HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt.
09 - Tzw. Extra Button czyli Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE.
010 - Jest to nic innego jak "zerwany łańcuch Winsock". Niestety HJT nie potrafi naprawić wpisów Unknown file in Winsock LSP. Do tego musimy użyć niewielkiego narzędzia LSP-Fix. Jest kilka "dobrych" wyjątków takich wpisów i przeważnie dotyczą one zainstalowanych Firewalli.
011 - Jest to dodatkowa opcja (wpis) w Opcjach Internetowych w zakładce Zaawansowane. Można to zlokalizować w Rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions.
012 - Są to pluginy do IE. Można je zlokalizować w Rejestrze w kluczu HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins.
013 - Tzw. Prefixy czyli to, co ma dopisać domyślnie przeglądarka wtedy, kiedy wpisujemy adres www bezpośrednio do paska wyszukiwarki. Domyślnym jest [link widoczny dla zalogowanych] Lokalizacja w Rejestrze znajduje się w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes.
014 - Jest to Resetowanie domyślnych ustawień IE. Można je znaleźć w pliku C:\WINDOWS\inf\iereset.inf.
015 - Strony www w "Zaufanych Witrynach". W Rejestrze znajdziemy je w HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.
016 - Kontrolki ActiveX.
017 - Szkodliwe podmiany serwerów DNS. Jeśli znajduje się tutaj wpisy dostarczone Ci przez Twojego Dostawcę Internetowego, to oczywiście zostawiasz.
018 - Dodatkowe protokoły najczęściej zmienione przez szkodliwe oprogramowanie. Dane dotyczące protokołów można znaleźć w Rejestrze w kluczach HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID.
019 - Są to tzw. Niestandardowe Style Użytkownika. Często ich pojawienie skutkuje spowolnieniem przeglądarki i wyskakujących PopUp. Najczęściej powodują to trojany CWS a więc najlepszym rozwiązaniem jest użycie CWSShreder'a.
020 - Są to wartości Applnit_DLL oraz klucze WinlogonNotify znajdujące się w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows oraz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Niestety HJT nie do końca sobie z tym radzi, więc po skanowaniu należy ręcznie usunąć zarażony plik w trybie awaryjnym!
021 - SSODL czyli ShellServiceObjectDelayLoad. Obiekty ładowane po explorer.exe a więc po załadowaniu systemu. Odpowiednie klucze to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectD elayLoad.
Z tym wpisem również nie radzi sobie HJT a więc po skanowaniu należy w trybie awaryjnym usunąć plik z dysku!
022 - Autouruchamianie instrukcji zawartych w Harmonogramie Zadań. Informacje na ten temat można znaleźć w Rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler .
023 - Są to niestandardowe Usługi uruchamiane na systemach Windows NT/2000/XP/2003. Te wpisy pokazują tylko niestandardowe usługi czyli te dodane przez dodatkowy program. Bardzo często wykorzystywane przez różnego rodzaju robactwo!
Tak jak mówiłem, jest to w dużym skrócie.
Z instalacją nie powinno być zatem już problemu a po uruchomieniu programu ukazuje się naszym oczom okno powitalne z różnymi opcjami. My na razie zainteresujemy się dwoma pierwszymi. Pierwsza z nich to:
1.Do a system scan and save a logfile - Jest to najczęściej stosowana opcja. Wykonuje automatyczny scan i generuje jednocześnie *log.
2.Do a system scan only - Wykonuje tylko scan bez generowania logu. Opcja dla tych, co wiedzą, co chcą zrobić i jak zrobić.
Program po uruchomieniu wygeneruje nam *log, który musimy zinterpretować. Jak to robimy? Dobrą metodą jest wyeliminowanie z naszych podejrzeń tych wpisów, co do których jesteśmy pewni. Mogą to być programy, dodatki, wtyczki do przeglądarek oraz usługi, które znamy i wiemy, że powinny się uruchamiać. Po wstępnej selekcji przystępujemy do analizy całej reszty - o ile oczywiście mamy taką potrzebę. Pomocne mogą być w tym pewne specjalistyczne strony takie jak:
BHO List - służy do identyfikacji CLSID, czyli tzw. BHO z wpisów 02 jak również 03.
StartUp - służy do identyfikacji programów z Autostartu czyli wpisów 04.
ProcessLibrary - Służy do rozpoznawania różnych procesów uruchamianych na naszym komputerze. Dla nieznających języka angielskiego dobrą alternatywą (niestety 'statyczną') jest polska Wersja.
Oprócz z tych powyższych, można skorzystać z innych cennych informacji, które bez trudu znajdziemy w Sieci. Dobrym przykładem mogą być tutaj strony poświęcone tematyce bezpieczeństwa, jak chociażby opisom popularnych trojanów, które znajdziemy tutaj oraz tutaj.
Dobrze wiedzieć też jak owe robactwo dostaje się do naszego komputera. Bardzo często winą za to jest pozostawienie otwartych portów, które stanowią istne zaproszenie! Spis tych najbardziej popularnych znajdziecie w tym miejscu. Dobra strona, za pomocą której można przetestować swój komputer pod kątem otwartych portów jest tutaj. Spis większości portów można przeanalizować na tej stronie. Można się przed tym ustrzec instalując niewielki program, który zamyka wszystkie najbardziej narażone porty. A jest to Windows Worms Doors Cleaner (WWDC). Program skuteczny i w dodatku freeware.
Kolejnym powodem, przez który możemy mieć prblemy, to oczywiście przeglądarka. Niestety większość z Użytkowników wciąż używa IE. Nie jest to dobry pomysł, ale i nie zamierzam tutaj negować tych wszystkich, którzy się na to zdecydowali. Dlatego też jedyne co zrobię, to zaproponuję tutaj parę alternatywnych rozwiązań. Pierwsze z nich, to zainstalowanie tzw. nakładki na IE. Jest ich kilka, ale najbardziej popularne to:
Avant Browser
Maxthon
Slim Browser
Kolejną propozycją jest całkowita zmiana przeglądarki na chociażby:
Firefox
Opera
------------------------------------------------------------------------
>>>>WAŻNE!<<<<
To było tak po krótce, a teraz zajmijmy się sposobem, w jaki należy pozbywać się już zidentyfikowanych gości. Oto kilka podstawowych zasad, których należy bezwzględnie przestrzegać!
1.Wyłączyć Przywracanie Systemu.
2. Włączyć Pokaż ukryte pliki i foldery oraz wyłączyć Ukryj chronione pliki systemu operacyjnego (zalecane) - Narzędzia=>Opcje folderów=>Widok.
3. Jeśli nie stanowi to większego problemu, to odłączamy fizycznie dostęp do Sieci.
4. Zrestartować komputer i przejść do Trybu Awaryjnego - Przy bootowaniu systemu wciskamy klawisz F8 (Opis rozruchu w Trybie Awaryjnym).
5. Logujemy się na konto Administrator. Jeżeli z poziomu konta Administrator nie widać wpisów, które były widoczne w normalnym trybie, to należy się zalogować na swoje własne konto!
6. Odpalamy program HJT i haczykujemy wcześniej znalezione nieprawidłowe wpisy, po czym klikamy na Fix Checked.
Jedynie przestrzeganie wszystkich powyższych zasad uchroni nas od ewentualnego niepowodzenia i zapewni nam bezpieczne korzystanie z naszego komputera.
------------------------------------------------------------------------
Chciałbym jeszcze dodać, że część Użytkowników wciąż nie ma zainstalowanego dodatku Service Pack2, a jest to poważny błąd.
Drugim poważnym błędem jest brak jakiejkolwiek zapory ogniowej. Podam tylko kilka tych najbardziej popularnych:
ZoneAlarm Free
Sygate Personal Firewall
Agnitum Outpost Firewall
Kerio Personal Firewall
Jetico Personal Firewall
--------------------------------------------------------------------------------
Pozostałe opcje w HiJackThis
View the list of backups - Pozycja wyświetla listę usuniętych wpisów na wypadek pomyłkowego skasowania prawidłowego wpisu.
Program ten posiada możliwość przywracania z kopii bezpieczeństwa, o ile przed usuwaniem zaznaczyliśmy Make backups before fixing items.
Po użyciu tej opcji i zaznaczeniu wpisu, który chcemy przywrócić, dajemy Restore i po kłopocie.
Open the Misc Tools section - Rozbudowane i przydatne dodatkowe opcje konfiguracyjne i nie tylko.
Generate StartupList Log - Zaznaczenie tych dwóch opcji spowoduje wygenerowanie dość obszernego i szczegółowego loga.
Open Process Manager - Tak właściwie jest to odpowiednik wbudowanego w Windows Menadżera Zadań. W tym miejscu możemy zabić każdy proces, a zaznaczając dodatkową opcję Show DLL's, pokaże listę .dll, ładowanych razem z danym procesem.
Open Host File Manager - Nic innego, jak menadżer pliku HOSTS, którego opis możecie znaleźc tutaj.
Delete a file on reboot - Jest to kasowanie pliku, ale dopiero w trakcie restartowania komputera. Po naciśnięciu tej opcji, należy wskazać plik, a następnie padnie propozycja zrestartowania maszyny, na którą oczywiście się zgadzasz.
Delete an NT Service - Opcja umożliwiająca kasację nie-Windowsowych usług, widocznych w logu pod numerem 023.
Open ADS Spy - Zaawansowane narzędzie (dla Windows NT/2000/XP) z systemem plików NTFS. Wybierając tę opcję będziecie mieli możliwość podglądu strumieni NTFS. Daje to nam nadzieję, że zobaczymy te robaki, które gnieżdżą się właśnie tam, a tym samym są niewidoczne dla żadnego AV!
Open Uninstall Manager - Odpowiednik Windowsowego Dodaj/Usuń programy.
Jeszcze kilka słów na temat dodatkowych zakładek:
Main - W tym miejscu możemy ustawić stronę startową IE, domyślną wyszukiwarkę i dodatkowe opcje dotyczące samego programu, których radzę nie ruszać.
Ignorelist - Tutaj możemy usunąć wpisy z listy ignorowanych podczas skanowania. Zaznaczamy i dajemy Delete.
Backups - Służy do przywracania omyłkowo skasowanych wpisów. Jest to to samo okno, co po wyborze View the list of backups.
None of the above, just start the program - Opcja dokładnie odwrotna do Do a system scan and save a logfile, czyli robimy wszystko oddzielnie. Skanujemy, zapisujemy log...itd. Opcja kompletnie nieprzydatna, a przynajmniej dla mnie.
--------------------------------------------------------------------------------
Coraz więcej osób interesuje się tym tematem, co mnie osobiście bardzo cieszy, ale są też tacy, którzy nie potrafią skasować wpisów, które wskazała mu osoba, która log interpretowała. W związku z powyższym pokaże, jak należy to prawidłowo wykonać.
Po wejściu do trybu awaryjnego i wykonaniu wcześniej opisanych przeze mnie instrukcji, należy posłużyć się opcją Do a system scan only. Po prawej stronie okna widoczne będą małe kwadraciki i w nich to właśnie zaznaczamy te wpisy, które wskazał interpretator loga. Zgodnie ze sreen'em:
Po zaznaczeniu wszystkich złych wpisów należy wcisnąć FixCheked, a program zrobi swoje.
--------------------------------------------------------------------------------
Dość często również program wykorzystuje się w celu skasowania usług, które widnieją pod wpisami 023. Do tego celu służy opcja Delete an NT Service w zakładce Open the Misc Tools section. Pojawi się nam okienko, w którym należy wpisać nazwę usługi, której chcemy się pozbyć.
UWAGA!
Aby skutecznie pozbyć się nieprawidłowych usług należy je w pierwszej kolejności zdeaktywować poprzez:
Start=>Uruchom=>services.msc
Odnaleźć odpowiedni wpis i ustawić jej tryb uruchamiania na Wyłączony. Nazwę zazwyczaj możemy znaleźć w samym HJT przy wpisie 023 - pomiędzy nawiasami - (...) - np.:
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Nero\InCD\InCDsrv.exe
Tym sposobem nie skasujemy usług systemowych, autorstwa Microsoftu oraz firmy Symantec!
Post został pochwalony 0 razy
|
|
