HijackThis - narzędzie do usuwania szkodliwego oprogramowania Jak wykonać log

Kategoria: Forum AV-SchoolPingwin
15 styczeń 2009 - 11:51
Czasami zdarza się, że konwencjonalne metody walki z wirusami zawodzą... W sieci jest wiele narzędzi, które mogą pomóc w pozbyciu się szkodnika, jednak czasami przypadkowo zamiast programu mającego zwalczyć infekcję, można pobrać aplikację która dodatkowo zaraża nasz komputer nowymi trojanami/wirusami czy programami szpiegującymi (spyware). W tym poście przedstawiam program HijackThis, który jest bezpieczny i mimo swojej niewielkiej wielkości, bardzo skuteczny. Przed użyciem zalecam wykonanie kopii zapasowej, a w razie wątpliwości użycia - pytać na forum co usunąć. Program używany jest na własną odpowiedzialność  ^_^

HijackThis

Program wykrywa wszystkie usługi, również te działające w tle. Pokazuje zainstalowane i uruchomione programy. W logu mamy podział na sekcje O, F, N oraz R.
R - pokazuje odwołania do rejestru, F odwołuje się do aplikacji i narzędzi uruchamianych ze startem systemu, N pokazuje wpisy dotyczące innych przeglądarek niż IE, natomiast O to pozostałe programy znajdujące się w systemie.

http://img394.imageshack.us/img394/936/18591821xm2.jpg
Instalacja programu

W Menu programu mamy do wyboru:

1. Wykonaj skanowanie systemu i zapisz log.
2. Wykonaj tylko skanowanie systemu.
3. Wyświetl listę plików do przywrócenia.
4. Otwórz pozostałe narzędzia (Misc Tools).
5. Przejdź do strony pomocy online HijackThis.
6. Żadne (z powyższych), po prostu włącz program.

http://img440.imageshack.us/img440/8170/97420712ip1.jpg
Menu programu

Dla naszych celów wystarczy na razie opcja 1. Klikamy i w kilka sekund mamy gotowy log (jeden w programie, drugi w pliku notatnika .txt)

http://img519.imageshack.us/img519/2903/50404966hy6.jpg
Okienko, w którym dokonujemy zmian

1. Skanowanie (Scan)
2. Napraw zaznaczone (Fix checked)
3. Informacje o zaznaczonym wpisie (Info on selected item...)
4. Analizuj wpis (Analyze This)
5. Powrót do menu (Main Menu)
6. Informacje (Info)
7. Konfiguracja (Config...)
8. Dodaj zaznaczone do listy ignorowanej (Add checked to ignorelist)

Bardziej interesuje nas log zawarty w notatniku, gdyż jest szczegółowy. Osoby początkujące mogą napotkać problemy w jego interpretacji, a samodzielne rozwiązywanie i analizowanie może przynieść skutek odwrotny do zamierzonego. Na wielu forach dyskusyjnych (wliczając to ;) ) można wklejać logi w celu ich interpretacji i porad jakie wartości i sekcje usunąć, jakich narzędzi dodatkowo użyć itp.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:05:57, on 2009-01-15 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\WapSter\WapSter AQQ\AQQ.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\JetAudio\JetAudio.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [AQQ] C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA') O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\npjpi160_11.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\npjpi160_11.dll O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL (file missing) O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 6059 bytes
Przykładowy wynik działania programu

W sieci można znaleźć analizatory logów, które automatycznie sprawdzają jego zawartość, porównują wpisy z bazą programów i sugerują użytkownikowi jakie ma usunąć. Jeden z nich znajduje się na stronie Analiza loga - kliknij napis, aby przejść na stronę Jego używanie z pewnością może pomóc w nauce programu, jednak nie można go traktować jako wyroczni, gdyż nie zna on wielu programów i opiera się także na opinii użytkowników (Visitor's assessment) co może wprowadzać w błąd. Najlepiej zaznaczyć wpis tagami code i wkleić na forum, wraz z krótkim opisem problemu.

W razie problemów w działaniu jakiegoś programu lub stabilności systemu, można przypuszczać że usunięty został poprawny wpis. Należy go przywrócić. Wchodzimy zatem z Menu głównego do Viev the list of bacups.

http://img79.imageshack.us/img79/8895/66414410of4.jpg
Wyświetl listę plików do przywrócenia

Na liście będą pliki wcześniej usunięte, toteż wybieramy ten którego brak odpowiada za brak stabilności systemu/programu i przywracamy go.

1. Przywróć (Restore)
2. Usuń (Delete) - niezalecane
3. Usuń wszystko (Delete all) - niezalecane

Teraz przejdźmy do Konfiguracji programu (Main)

http://img265.imageshack.us/img265/5350/97273807xq5.jpg
Main

Domyślne ustawienia są jak najbardziej wystarczające dla większości użytkowników i nie ma potrzeby ich zmieniania.

- Mark everything found for fixing after scan (zaznacz wszystko do usunięcia/naprawy po skanowaniu) - niezalecane
- Make Backups befor fixing items (wykonaj kopię zapasową plików przed ich usunięciem)
- Confirm fixing/ignoring of items (safe mode) (potwierdź usunięcie/naprawę/ignorowanie wpisu)
- Ignore non-standard but safe domains in IE (Ignoruj nietypowe, lecz bezpieczne domeny w Internet Explorer)
- Include list of running processes in logfiles (dołącz listę działających procesów w logu)
- Show intro frame on starup (pokaż okienko dialogowe z wyborem opcji przy starcie)
- Run HijackThis scan at startup and show it when items are found (włącz HijackThis przy starcie i pokaż kiedy wpisy zostaną znalezione)

Kolejnym istotnym elementem programu, jest tworzenie listy programów startowych - wraz ze szczegółowymi odniesieniami.
W tym celu z Menu głównego wybieramy Open the Misc Tools section

http://img379.imageshack.us/img379/391/45814052el3.jpg
Otwórz pozostałe narzędzia (Misc Tools)

W powyższym okienku zaznaczamy opcję Generate StartupList Log.
Jeżeli pojawi się komunikat taki jak poniżej, klikamy tak (generalnie jest to informacja, że przez kilka sekund będzie się tworzył log, w tym czasie komputer może działać wolniej).

http://img66.imageshack.us/img66/7003/23203904lb2.jpg

W wyniku działania programu otrzymujemy log (wklejamy go na forum na życzenie osoby sprawdzającej, zazwyczaj wystarcza pierwszy log)

StartupList report, 2009-01-15, 09:28:54 StartupList version: 1.52.2 Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE Detected: Windows Vista SP1 (WinNT 6.00.1905) Detected: Internet Explorer v7.00 (7.00.6001.18000) * Using default options ================================================== Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\WapSter\WapSter AQQ\AQQ.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\JetAudio\JetAudio.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\System32\mspaint.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\Windows\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run RtHDVCpl = RtHDVCpl.exe AVP = "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" SynTPEnh = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe NvSvc = RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart NvCplDaemon = RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup NvMediaCenter = RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit SunJavaUpdateSched = "C:\Program Files\Java\jre6\bin\jusched.exe" -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Sidebar = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun AQQ = C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] = -------------------------------------------------- Load/Run keys from C:\Windows\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll -------------------------------------------------- Shell & screensaver key from C:\Windows\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=C:\Windows\system32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: AcroIEHelperStub - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} IEVkbdBHO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} (no name) - C:\Program Files\Java\jre6\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (no name) - C:\Program Files\Java\jre6\bin\jp2ssv.dll - {DBC80044-A445-435b-BC74-9C25C1C588A9} -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\Windows\system32\NLAapi.dll NameSpace #2: C:\Windows\system32\napinsp.dll NameSpace #3: C:\Windows\system32\pnrpnsp.dll NameSpace #4: C:\Windows\system32\pnrpnsp.dll -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\Windows\system32\webcheck.dll -------------------------------------------------- End of report, 5 748 bytes Report generated in 0,125 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only

Kolejny ważny element sekcji Misc Tools to Process Manager (Open process manager). Działa on na podobnej zasadzie co menedżer zadań systemu Windows, z tą różnicą, że posiada kilka dodatkowych funkcji.

http://img83.imageshack.us/img83/7631/73252777ce1.jpg
Misc Tools, process manager

Listę możemy zapisać w postaci pliku (.txt) lub zapisać w schowku systemowym.
Kolejne opcje to:

1. Kill process (zakończ proces) - kończy wybrany proces programu
2. Refresh (Odśwież) - odświeża całą listę programów i procesów
3. Run... (Uruchom) - Pozwala na uruchomienie wybranego pliku (wpisując go ręcznie lub przeglądając foldery na komputerze)
4. Back (Powrót do Menu) - wiadomo :P

W prawym górnym rogu mamy też możliwość zaznaczenia Show DLLs, pozwala to na pokazanie jakie biblioteki aktualnie są wykorzystywane przez konkretny proces.

http://img129.imageshack.us/img129/5760/81037674cb8.jpg
Misc Tools, process manager, DLLs

Trzecią opcją Misc Tools jest edycja pliku hosts (Open hosts file manager).
Nie zalecana jest jego edycja, jeżeli nie wie się jak to poprawnie zrobić

Na początku należy wyjaśnić czym jest plik hosts. Posłużę się tutaj encyklopedią Viruslist:

Plik Hosts jest rodzajem "mini serwera DNS" w każdym systemie Windows. Po wpisaniu przez użytkownika adresu URL wyszukiwarka sprawdza lokalny plik Hosts, aby ustalić, czy jest tam wyszczególniona żądana nazwa domeny, zanim zacznie szukać serwera DNS. Jest to bardzo wydajny sposób: jeśli wyszukiwarka internetowa znajdzie pasującą nazwę w pliku Hosts, nie musi szukać serwera DNS w Internecie.

Niestety, twórcy złośliwego kodu, programów "spyware" czy osoby przeprowadzające oszustwa typu phishing mogą manipulować danymi przechowywanymi w pliku Hosts. Na przykład, autor złośliwego programu może przekierować wszystkie żądania wyszukiwania (poprzez Google, Yahoo itd.), edytując plik Hosts: może wyszczególnić nazwy tych domen przypisując je do adresów IP stron internetowych, które zawierają złośliwy kod. Robak może uniemożliwić aktualizację programu antywirusowego, przypisując nazwy domeny w pliku Hosts adresom IP komputera ofiary.
Źródło: http://www.viruslist...html?glossid=84

Plik hosts w systemach Windows (2000 i wyżej) znajduje się w lokalizacji C:\Windows\system32\drivers\etc\hosts

http://img82.imageshack.us/img82/4277/37891186va9.jpg
Edycja pliku hosts

1. Kasuj wpis (Delete line)
2. Dodanie znaku # (Toggle line) - Dodanie tego znaku sprawia, że wpis jest ignorowany przez przeglądarkę internetową.
3. Edycja w notatniku (Open in Notepad)

Edycja tego pliku może być pomocna np. przy blokowaniu niechcianych treści, reklam na często odwiedzanych stronach. Wystarczy zdobyć adres (nazwę lub IP) strony która odwołuje się do reklamy. Aby to zrobić, na często odwiedzanej stronie www klikamy prawym przyciskiem myszy i wybieramy opcję "pokaż źródło strony". Tam szukamy wpisu http:// który to naprowadzi nas na reklamowaną stronę. Po upewnieniu się, że jest to faktycznie strona z reklamą możemy edytować plik hosts, blokując ją w ten sposób. Aby to zrobić programem HijackThis, należy wybrać edytowanie w notatniku (Open in Notepad), a następnie dodać nazwę serwera zawsze poprzedzając ją wpisem 127.0.0.1 np.
127.0.0.1 przykladowy.serwer.reklamowy1.pl 127.0.0.1 przykladowy.serwer.reklamowy2.pl 127.0.0.1 przykladowy.serwer.reklamowy3.pl 127.0.0.1 przykladowy.serwer.reklamowy4.pl

Również istotną cechą programu jest usuwanie wskazanych plików przy restarcie komputera. Jest to o tyle pomocne, że pozwala pozbyć się pliku, który jest wykorzystywany przez inne procesy w danym momencie - jego usunięcie będzie trudne. Usuwanie pliku przy restarcie komputera pozwala na jego wyrzucenie w momencie, kiedy nie zdąży się on jeszcze załadować. Jest to istotne zwłaszcza przy programach szpiegujących, które uruchamiają się przy starcie systemu.
Aby usunąć plik, w sekcji Misc Tools wybieramy Delete a file on reboot (Usuń plik przy restarcie). Otworzy się w tym momencie okienko, w którym wskazujemy plik/pliki i zatwierdzamy operację. Kiedy pojawi się okienko, wciśnięcie TAK oznacza natychmiastowy restart, a NIE odkłada proces na później (użytkownik sam musi ponownie uruchomić system).
Pingwin
15 styczeń 2009 - 21:34
NT Service - Delete an NT service...

Następne narzędzie w Misc Tools to opcja usuwania wpisów O23. Czym jest sekcja O23?
Są to wpisy, które nie są generowane przez usługi Microsoftu, lecz inne programy. Ich przykłady możemy znaleźć w pierwszym logu w tym poście:

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Usługi O23

Wszystkie powyższe usługi są poprawne i generowane przez programy, usługi takie jak Kaspersky Internet Security, programy firmy Toshiba itp.
Czasami jednak wpisy te są tworzone przez szkodliwe oprogramowanie i zalecane jest usuwanie ich właśnie przy pomocy tego narzędzia.
Uwaga! Skasowanego wpisu nie można przywrócić! Wpis możemy skopiować z loga i wkleić w poniższe okienko jego lokalizację:

http://img258.imageshack.us/img258/5333/17379465mk2.jpg
Usuwanie wpisów O23

Open ADS Spy

Aby zrozumieć do czego przyda się nam następne narzędzie, należy najpierw określić pewne właściwości systemu plików NTFS.

NTFS wspiera wiele strumieni danych, które są atrybutami pliku i mogą przechowywać różne dane – są one czymś w rodzaju plików w pliku. Na pewno wielu użytkowników Windows 2000 i XP zauważyło, że we właściwościach dowolnego pliku można wpisać m.in. autora, tytuł, temat czy słowa kluczowe. Bardziej dociekliwi sprawdzili pewnie, że dane te nie są zapisywane w samym pliku ani w rejestrze. Windows umieszcza je właśnie w jednym ze strumieni pliku, gdzie można przechowywać dowolne dane, nawet całe duże pliki. Daje to wiele różnych możliwości, np. w jednym pliku może się znajdować kod źródłowy programu, backup kodu źródłowego, skompilowany kod wykonywalny oraz plik pomocy.
Źródło: http://www.microsoft...cle/art015.mspx

Oznacza to, że można w pewnych sytuacjach ukryć w systemie rootkita (program, który ukrywa działanie np. trojana czy backdoora - utrudniając jego usunięcie). Sprawa jest o tyle poważna, że nie da się usunąć tego typu programu, ukrytego w taki sposób przy użyciu zwykłych narzędzi i metod.

http://img86.imageshack.us/img86/8230/50935916fg2.jpg
ADS Spy

Domyślnie zaznaczone są opcje:

- Quick scan (Windows base folder only) - Szybki skan, główny folder systemu Widnows
- Ingore safe system info streams - Ignoruje przy skanowaniu wpisy uznane za nieszkodliwe

Jest również opcja trzecia:

- Calculate MD5 checksum of streams (wyliczanie sumy kontrolnej MD5)

Klikamy scan, aby rozpocząć skanowanie. Jeżeli nie pojawi się tam nic po skanowaniu (scan complete) to dobrze, jednak nie ma potrzeby panikować jeżeli zobaczymy tam wpis :wacko: . Wystarczy wtedy zapisać log (save log) i wysłać go na forum. Jeżeli jesteśmy pewni co robimy, można skasować wpis (delete).

Ostatnią funkcją jaką tutaj zaprezentuję jest menedżer deinstalacji programów.

Open uninstall manager - Otwórz menedżera deinstalacji programów

http://img150.imageshack.us/img150/6239/98499621vy9.jpg
Uninstall manager

Czasami używając dodaj/usuń programy systemu Windows napotykamy problemy, nie wszystkie wpisy są usuwane z rejestru, wpis po odinstalowaniu programu pozostaje na liście dodaj/usuń...
W powyższym okienku możemy najpierw przejść do dodaj/usuń (Open add/remove Software list) odinstalować program i w razie problemu usunąć wpis w HijackThis (delete this entry).

Poza tym widzimy także przy zaznaczeniu programu jego nazwę (Name) oraz komendę jaka jest używana do odinstalowania programu (Uninstall command).
Możemy ją edytować, jednak jest to raczej zbędny proceder i niezalecany osobom początkującym...

http://img407.imageshack.us/img407/1535/87875798ok7.jpg
Uninstall manager

To już wszystkie opcje jakie prezentuje HijackThis. Jak widać, na tak małe narzędzie ma wiele możliwości edycji systemu i usuwania szkodników. B)
Mam nadzieję, że nie napotkacie problemów w trakcie używania tego programu. W razie jakichkolwiek wątpliwości lepiej zapytać się na forum co powinno zostać usunięcie, a najlepiej wkleić log (zaznaczając go nawiasami CODE) i opisać problem. Na pewno znajdzie się osoba, która Wam pomoże. ;)


Podobne tematy:
Narzędzia do automatyzacji uruchamiania oprogramowania w sy
Aktualności - BitDefender - darmowe narzędzie do usuwania Downadup
Darmowe narzędzie do usuwania wirusów - HIJACK THIS Jak rozpoznać infekcję systemową i stworzyć log
Powrót Do Niższej Wersji Oprogramowania Czy Da Sie To Wykonać? n95 nokia najnowsze oprogramowanie zmiana???
Narzędzie do usuwania zotoba
Narzędzie do usuwania złośliwego oprogramowania