Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

[Grimekk]

No cze??!
W tym oto poradniku, przewodniku, tutorialu czy jakkolwiek to mo?na nazwa? - przeka?? Wam mistyczn? wiedz? jak? jest czytanie log?w z hijackthisa. Nie wiesz czym s? logi? Nie mia?e? nigdy do czynienia z programem hijackthis? Prosz?, opu?? ten artyku?. Nierozs?dne pos?ugiwanie si? tym programem mo?e powa?nie uszkodzi? Tw?j komputer. Od razu na wst?pie chcia?bym te? zaznaczy?, ?e nie bior? odpowiedzialno?ci za wszelkie problemy kt?re powsta?y po u?yciu poradnika.
Je?eli nie jeste? pewien czy na pewno chcesz podj?? ryzyko - jeszcze raz prosz?, wyjd?. Decyzja nale?y do Ciebie.

Czerwona pigu?ka - uciekasz i do ko?ca ?ycia jeste? nie?wiadom co si? kryje w Twoim komputerze:

Aby wzi?? czerwon?

You do not have permission to view link please Log in or Register

Nie bierzesz? Zatem kontynuuj.

___________________________________________​

A wi?c zdecydowa?e? si? zosta? . Mam nadziej?, ?e po tej ma?ej dawce humoru jeste? ju? rozlu?niony i gotowy do przeczytania tego ?miem powiedzie? - d?ugiego artyku?u. Czytanie log?w i kooperacja z nimi to bardzo trudny temat. Niewiele informatyk?w posiada tak? zdolno?? (na tibia.net.pl prezentowa? j? chocia?by Grzechu w tym temacie).
Je?li ju? czytasz to raczej jeste? w posiadaniu takiego programu i wiesz jak robi? raporty. Reszta (wiedza kt?r? posiadam ja) znajduje si? poni?ej.
Zacznijmy wi?c!

Po?am nogi!​

W logach HijackThis ka?da nowa sekcja zaczyna si? z jak?? nazw?. Np:

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs 
F0, F1, F2, F3 - Autoloading programs 
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs 
O1 - Hosts file redirection 
O2 - Browser Helper Objects 
O3 - Internet Explorer toolbars 
O4 - Autoloading programs from Registry 
O5 - IE Options icon not visible in Control Panel 
O6 - IE Options access restricted by Administrator 
O7 - Regedit access restricted by Administrator 
O8 - Extra items in IE right-click menu 
O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu 
O10 - Winsock hijacker 
O11 - Extra group in IE 'Advanced Options' window 
O12 - IE plugins 
O13 - IE DefaultPrefix hijack 
O14 - 'Reset Web Settings' hijack 
O15 - Unwanted site in Trusted Zone 
O16 - ActiveX Objects (aka Downloaded Program Files) 
O17 - Lop.com domain hijackers 
O18 - Extra protocols and protocol hijackers 
O19 - User style sheet hijack 
O20 - AppInit_DLLs Registry value autorun
O21 - ShellServiceObjectDelayLoad Registry key autorun
O22 - SharedTaskScheduler Registry key autorun
O23 - Windows NT Services
O24 - Windows Active Desktop Components

Ja om?wi? wszystkie przyk?ady osobno.

R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
Wygl?da to tak:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Je?li linki widoczne w raporcie s? zgodne ze stron? startow? przegl?darki - problemu nie ma. Je?eli za? widzisz jakie? nieporozumienie i startery si? r??ni?, napraw to Hijackthis'em. Wszystkie rzeczy R3 powinny by? zawsze naprawiane, no chyba, ?e jest to program kt?ry poznajesz. Np. copernic.


F0, F1, F2, F3 - Autoloading programs
Wygl?da to nast?puj?co:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
F1 - win.ini: load=malware.pif
F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\svcvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\svcvhost.exe

F0 - s? to wszystkie programy kt?re otwieraj? si? zaraz po starcie systemu. Powinien by? tam explorer.exe kt?ry odpowiada za nasz interfejs. Je?li widzisz tam inne rzeczy kt?re si? otwieraj? sprawd? je w google. Gdy nie instalowa?e? ?adnego innego shella, b?dziesz musia? si? tym zaj??.
F1 - wszystko co jest po "run=" lub "load=" b?dzie pr?bowa?o si? uruchomi? lub za?adowa? po starcie. Musisz sam zinterpretowa? czy to powinno si? uruchamia? czy nie. Po raz kolejny - google.
F2 - warto?? rejestru shell jest r?wnowa?na "shell=" w pliku system.ini jak wida? powy?ej. "Userinit=" specyfikuje jaki program powinien zosta? uruchomiony po tym jak u?ytkownik si? do windowsa. B?dzie to widoczne w raporcie tylko gdy HijackThis zidentyfikowa? to jako nieznany plik. To oczywi?cie nie znaczy, ?e to co? mo?e nam zaszkodzi?. Niestety w wi?kszo?ci przypadk?w to mo?e by? co? co niekoniecznie chcemy widzie? . Musisz zbada? to samemu.
Poni?szy rejestr powinien by? u?yty:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell

F3 - podobne do F1. Poni?szy rejestr powinien by? u?yty:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\run

N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
Jak to wygl?da:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

W wi?kszo?ci przypadk?w strony startowe mozilli i netscape s? bezpieczne. Rzadko kiedy zostaj? hijackowane. Je?eli jednak co? si? nie zgadza to b?dziesz musia? to naprawi?.


O1 - Hosts file redirection
Wygl?da to nast?puj?co:

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Ten hijack b?dzie przesy?a? adres IP do strony po prawej. Je?eli IP nie nale?y do tego adresu zostaniesz przekierowany na z?y za ka?dym razem gdy b?dziesz pr?bowa? go otworzy?. Zawsze mo?esz to naprawi? HijackThis. No chyba, ?e wprowadzasz ?wiadomie te wersy do Twojego pliku Hosts.


O2 - Browser Helper Objects
Wygl?da to tak:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Je?eli nie rozpoznajesz tego browse helpera u?yj

You do not have permission to view link please Log in or Register

. Wprowad? CLSID (numer pomi?dzy upo?ledzonymi nawiasami). Gdy wyjdzie "X" masz jaki? spyware, a gdy "L" numer bezpieczny.


O3 - Internet Explorer toolbars
Tak to wygl?da:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Je?li nie rozpoznajesz nazwy tego toolbara u?yj bazy CLSID (link kt?ry poda?em wy?ej). Je?eli na li?cie nie ma tego kodu a nazwa to jaki? zbi?r randomowych liter, to prawie na pewno lop.com i powiniene? to naprawi? hijackthisem.


O4 - Autoloading programs from Registry
Wygl?da to tak:

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

U?yj google do je?li masz do czynienia z jakimikolwiek nieznanymi procesami. Gdy program jest nadal w pami?ci Hijackthis go nie naprawi i b?dziesz musia? r?cznie zamkn?? go w task managerze i dopiero potem u?y? Hijackthisa.


O5 - IE Options icon not visible in Control Panel
Wygl?da to tak:

O5 - control.ini: inetcpl.cpl=no

Je?eli administrator systemu r?cznie nie ukry? ikony z panelu, napraw to HijackThisem.


O6 - IE Options access restricted by Administrator
Wygl?da to tak:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Je?li administrator tego nie wprowadzi?, napraw to hijackthisem.


O7 - Regedit access restricted by Administrator
Wygl?da to tak:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Je?eli administrator systemu nie stworzy? sam tego ograniczenia, napraw to Hijackthisem.


O8 - Extra items in IE right-click menu
Wygl?da to tak:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Je?li nie rozpoznajesz nazwy pliku z right-click menu w IE, napraw to hijackthisem.


O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
Wygl?da to tak:

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Nie rozpoznajesz nazwy buttonu? Napraw to hijackthisem.


O10 - Winsock hijacker
Wygl?da to tak:

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Najpro?ciej usun?? to g?wienko po prostu

You do not have permission to view link please Log in or Register

.


O11 - Extra group in IE 'Advanced Options' window
Wygl?da to tak:

O11 - Options group: [CommonName] CommonName

Tylko ty jeste? w stanie wprowadzi? to do grupy zaawansowanych opcji w IE. Zawsze mo?esz u?y? hijackthis aby to naprawi?.


O12 - IE plugins
Wygl?da to tak:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Wi?kszo?? plik?w w tej sekcji jest bezpieczna. Naprawiaj tylko pliki OnFlow (.ofb).


O13 - IE DefaultPrefix hijack
Wygl?da to tak:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Tych nigdy nie chcemy. Napraw je.


O14 - 'Reset Web Settings' hijack
Wygl?da to tak:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Je?eli link nie pochodzi od Twojego dostawcy komputera lub ISP - napraw to.


O15 - Unwanted site in Trusted Zone
Wygl?da to tak:

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Je?li nie dodawa?e? tych stron do trusted zone w IE - napraw je.


O16 - ActiveX Objects (aka Downloaded Program Files)
Wygl?da to tak:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Je?eli nie rozpoznajesz nazwy obiektu albo url z kt?rego go ?ci?gni?to zawsze to naprawiaj.


O17 - Lop.com domain hijackers
Wygl?da to tak:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Je?li domena to nie nazwa Twojego dostawcy internetu, napraw to. Tak samo z "searchlist". Te z "nameserver" wygoogluj - bardzo ?atwo sprawdzi? czy szkodz?.


O18 - Extra protocols and protocol hijackers
Wygl?da to tak:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Te z?e to "cn" (CommonName), "ayb" (Lop.com) i "relatedlinks" (Huntbar), powiniene? je naprawi?.


19 - User style sheet hijack
Wygl?da to tak:

O19 - User style sheet: c:\WINDOWS\Java\my.css

Je?li zwalnia Ci to przegl?dark? lub masz jakie? popupy napraw to (je?li pokazuje Ci w logu). Najpro?ciej u?y?

You do not have permission to view link please Log in or Register

'a do tego.


O20 - AppInit_DLLs Registry value autorun
Wygl?da to tak:

O20 - AppInit_DLLs: msconfd.dll

Ta warto?? rejestru co jest w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows za?adowuje plik DLL do pami?ci gdy u?ytkownik si? loguje. Pozostaje tam do wylogowania. Bardzo ma?o program?w tego u?ywa (norton ma APITRAP.DLL), ale najcz??ciej to jest u?ywane przez trojany.


O21 - ShellServiceObjectDelayLoad Registry key autorun
Wygl?da to tak:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Jest to nieudokumentowana metoda autorunu, normalnie u?ywana przez system. Rzeczy zlokalizowane w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad s? otwierane gdy windows startuje. UWA?AJ Z TYM!


O22 - SharedTaskScheduler Registry key autorun
Wygl?da to tak:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

To jest nieudokumentowany autorun w Windows NT/2000/XP. U?ywany bardzo rzadko. UWA?AJ Z TYM!


O23 - Windows NT Services
Wygl?da to tak:

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

Nawet je?li jest to gro?ne, niestety nie usuniesz tego za pomoc? HijackThisa. Musi to by? usuwane z rejestru manualnie lub za pomoc? innego narz?dzia. Z tego co wiem w HijackThis 1.99.1 przycisk "Delete NT Service" za to odpowiada.


O24 - Windows Active Desktop Components
Wygl?da to tak:
Active desktop components to pliki html kt?re zosta?y u?yte jako t?o na pulpicie. Hakerzy cz?sto u?ywaj? tego do wy?wietlania nieprawdziwych ostrze?e? jako t?o pulpitu.
Wygl?da to tak:

O24 - Desktop Component 0: (Security) - %windir%\index.html
O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html

W rejestrze:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
Je?li nie doda?e? tego samodzielnie ?ci?gnij jaki? anty-wirus aby to naprawi?.

___________________________________________​

A wi?c dotrwa?e? do ko?ca artyku?u. Teraz Twoja wiedza nt. czyszczenia rejestru jest o wiele wi?ksza - gwarantuj?. Na koniec chcia?bym tylko powiedzie?, ?e nie zezwalam na kopiowanie tego poradnika na inne strony bez mojej zgody. Dodam tak?e, ?e jest to ulepszona, przet?umaczona i zaktualizowana wersja

You do not have permission to view link please Log in or Register

tutoriala.

Pami?taj! Hijackthis nie usunie wszystkich niechcianych program?w z komputera! S?u?y on do czyszczenia rejestru!
W planach mam napisanie poradnik?w do program?w takich jak combofix/otl. Na dzie? dzisiejszy to tyle.

Dzi?ki za czytanie i pozdrawiam.

 

[Kurtis]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

?wietnie! Bardzo ?adnie uj??e? istot? rzeczy, oraz pi?knie opisa?e? Hijackthis oraz jego kody. My?l?, ?e w dziale Komputery i Informatyka jak najbardziej nadaje si? do przyklejenia .


Reputacja+,
Pozdrawiam.

 

[Zepri]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

No... super! Bardzo dobry pomys?. Wszystko ?wietnie opisane. Nic tylko pogratulowa?!
Ciekawie to wymy?li?e?... czerwona pigu?ka

rep+

 

[Dziki Johnson]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

Osobi?cie wole wkleja? logi na hijackthis.de, ni? sprawdza? je r?cznie lecz poradnik jak najbardziej przydatny.
Rep++

Pozdrawiam

 

[Zheyr]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

hijackthisa

B?agam Ci?.
Logi OTL, RSiT (to bodaj?e jest powi?zane z Hijackiem), DSS, GMER s? znacznie lepsze od tego *syfu.

*wg. mnie

Polecam zajrze?

You do not have permission to view link please Log in or Register

.
Oczywi?cie reputacja idzie za wk?ad w?o?ony w napisanie poradnika

 

[Grimekk]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

HijackThis specjalizuje si? w sprawdzaniu rejestru i jest pod tym k?tem dopracowany bardziej ni? programy og?lnie, takie jak OTL. Poza tym nie chc? wstawia? niepewnych informacji, moje czytanie log?w z OTL pozostawia wiele do ?yczenia. A gdy taki kto? jak ja niedawno ma zawalone przegl?darki pluginami i innym syfem HijackThis jest najlepszym narz?dziem do odkurzania.

@grzechu
Again, nie umiem czyta? log?w OTL.

 

[Zheyr]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

Tak jak my?la?em, gratuluj?!

 

[Grzechu]

Odp: Czytanie log?w - czyli bezpiecze?stwo ponad wszystko

HijackThis nie jest dobrym programem do usuwania problem?w. Jest zbyt przestarza?y. OTL podaje 2 pliki z kt?rych mo?esz odczyta? wszystko