Witam !
W związku z tym że na forum coraz częsciej pojawiają się prośby o sprawdzenie loga HijackThis zamieszczam tutaj porady (nie mojego autorstwa, a znalezione w sieci przez kolegę marek216) jak zrobić to samemu. Od dziś każdy nowy temat z prośbą o sprawdzenie loga bez podania przyczyny moderatorzy będą usuwali do kosza.
Po uruchomieniu programu pojawia się taki oto widok:
Do a system scan and save a logfile - Wykonuje automatycznie skan i od razu tworzy loga do pokazania picasso tongue.gif . Opcja zdecydowanie dla mocno początkujących i ... na początek . Log będzie wyglądał tak:
Ta metoda zapisuje log do pliku jednak nie ma natychmiastowej możliwości usunięcia potencjalnie szkodliwych wpisów.
Najlepsza metoda to Do a system scan only Automatyczny skan i pokaże się lista wyników. Opcja dla tych, którzy chcą usuwać to co może być potencjalnie szkodliwe. Te które chcesz usunąć haczkujesz i klikasz Fix Checked co usunie zarówno wpis w rejestrze jak i powiązany z nim plik.
View the list of backups - Lista kopii usuniętych wpisów na okoliczność ich przywracania w razie pomyłki (patrz dalej)
Open the Misc Tools section - Dodatkowe narzędzia wbudowane do HijackThis (patrz dalej)
Przywracanie omyłkowo usuniętego wpisu:
HijackThis posiada opcję przywracania skasowanych wpisów o ile w naszej konfiguracji przed kasowaniem mieliśmy zaznaczoną opcję Make backups before fixing items. By odzyskać przechodzisz do zakładki:
View the list of backups na ekranie startowym lub tradycyjnie Config >>> Backup
Interpretacja loga:
Każda z potencjalnych lokalizacji szpiegów i wirusów ma swój osobny identyfikator:
R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a
F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI
O1 - Przekierowania w pliku HOSTS
O2 - BHO czyli Browser Helper Objects
O3 - Paski narzędziowe w IE
O4 - Autostart programów z kluczy rejestru lub folderu Startup
O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania
O6 - Opcje Internetowe IE zablokowane przez "Administratora"
O7 - Edytor rejestru Regedit zablokowany przez "Administratora"
O8 - Dodatkowe opcje w menu prawokliku w IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE
O10 - Integracja szpiegów z łańcuchem Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12 - Pluginy wpuszczone do IE
O13 - Domyślne prefixy IE
O14 - 'Reset Web Settings' hijack
O15 - Strony www w "Zaufanych Witrynach"
O15 - Zmieniona wartość ProtocolsDefaults
O16 - Kontrolki ActiveX
O17 - Prawdopodobna szpiegowska akcja domen Lop.com
O18 - Extra protokoły i protokoły zmienione przez szpiegów
O19 - User style sheet hijack
O20 - AppInit_DLLs Windows 2000/XP/2003
O20 - Winlogon Notify Windows 2000/XP/2003
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Usługi niestandardowe Windows 2000/XP/2003
Nie u każdego będą pokazane wszystkie identyfikatory i nie trzeba przejmować się ich brakiem.
Najlepsza metodą jest sprawdzenie zainstalowanych programów. Jeżeli w logu jest program którego nie zainstalowałeś to nalezy to sprawdzić. Tak samo ze stronami www i plikami temp.
Sprawdzenia automatycznego (nie zawsze dokładnego) można dokonać na stronie http://www.hijackthis.de/
W głownym okienku możemy przekopiować loga lub też wgrać plik z logiem i wcisnąć przycisk ANALYZE
Po chwili na stronie otrzymamy przybliżone sprawdzenie loga.
Większość informacji pochodzi ze strony http://www.searchengines.pl/index.php?showtopic=15989&hl= którą również polecam odwiedzić.
W związku z tym że na forum coraz częsciej pojawiają się prośby o sprawdzenie loga HijackThis zamieszczam tutaj porady (nie mojego autorstwa, a znalezione w sieci przez kolegę marek216) jak zrobić to samemu. Od dziś każdy nowy temat z prośbą o sprawdzenie loga bez podania przyczyny moderatorzy będą usuwali do kosza.
Po uruchomieniu programu pojawia się taki oto widok:
Do a system scan and save a logfile - Wykonuje automatycznie skan i od razu tworzy loga do pokazania picasso tongue.gif . Opcja zdecydowanie dla mocno początkujących i ... na początek . Log będzie wyglądał tak:
Code:
Logfile of HijackThis v1.98.2
Scan saved at 21:07:40, on 2004-10-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Downloads\anty\HijackThis\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
Ta metoda zapisuje log do pliku jednak nie ma natychmiastowej możliwości usunięcia potencjalnie szkodliwych wpisów.
Najlepsza metoda to Do a system scan only Automatyczny skan i pokaże się lista wyników. Opcja dla tych, którzy chcą usuwać to co może być potencjalnie szkodliwe. Te które chcesz usunąć haczkujesz i klikasz Fix Checked co usunie zarówno wpis w rejestrze jak i powiązany z nim plik.
View the list of backups - Lista kopii usuniętych wpisów na okoliczność ich przywracania w razie pomyłki (patrz dalej)
Open the Misc Tools section - Dodatkowe narzędzia wbudowane do HijackThis (patrz dalej)
Przywracanie omyłkowo usuniętego wpisu:
HijackThis posiada opcję przywracania skasowanych wpisów o ile w naszej konfiguracji przed kasowaniem mieliśmy zaznaczoną opcję Make backups before fixing items. By odzyskać przechodzisz do zakładki:
View the list of backups na ekranie startowym lub tradycyjnie Config >>> Backup
Interpretacja loga:
Każda z potencjalnych lokalizacji szpiegów i wirusów ma swój osobny identyfikator:
R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a
F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI
O1 - Przekierowania w pliku HOSTS
O2 - BHO czyli Browser Helper Objects
O3 - Paski narzędziowe w IE
O4 - Autostart programów z kluczy rejestru lub folderu Startup
O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania
O6 - Opcje Internetowe IE zablokowane przez "Administratora"
O7 - Edytor rejestru Regedit zablokowany przez "Administratora"
O8 - Dodatkowe opcje w menu prawokliku w IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE
O10 - Integracja szpiegów z łańcuchem Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12 - Pluginy wpuszczone do IE
O13 - Domyślne prefixy IE
O14 - 'Reset Web Settings' hijack
O15 - Strony www w "Zaufanych Witrynach"
O15 - Zmieniona wartość ProtocolsDefaults
O16 - Kontrolki ActiveX
O17 - Prawdopodobna szpiegowska akcja domen Lop.com
O18 - Extra protokoły i protokoły zmienione przez szpiegów
O19 - User style sheet hijack
O20 - AppInit_DLLs Windows 2000/XP/2003
O20 - Winlogon Notify Windows 2000/XP/2003
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Usługi niestandardowe Windows 2000/XP/2003
Nie u każdego będą pokazane wszystkie identyfikatory i nie trzeba przejmować się ich brakiem.
Najlepsza metodą jest sprawdzenie zainstalowanych programów. Jeżeli w logu jest program którego nie zainstalowałeś to nalezy to sprawdzić. Tak samo ze stronami www i plikami temp.
Sprawdzenia automatycznego (nie zawsze dokładnego) można dokonać na stronie http://www.hijackthis.de/
W głownym okienku możemy przekopiować loga lub też wgrać plik z logiem i wcisnąć przycisk ANALYZE
Po chwili na stronie otrzymamy przybliżone sprawdzenie loga.
Większość informacji pochodzi ze strony http://www.searchengines.pl/index.php?showtopic=15989&hl= którą również polecam odwiedzić.