HiJackThis - narzędzie na medal. (sprawdzanie)


(Dragonlnx) #1

R0, R1, R2, R3 - Strony startowe i wyszukiwarki Internet Explorer

N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a

F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI

O1 - Przekierowania w pliku HOSTS

O2 - BHO

O3 - Paski narzędziowe w IE (Toolbar)

O4 - Autostart programów

O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania

O6 - Opcje Internetowe IE zablokowane przez "Administratora"

O7 - Edytor rejestru Regedit zablokowany przez "Administratora"

O8 - Dodatkowe opcje w menu w IE (po kliknięciu prawym przyciskiem w przeglądarce)

O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub tym podobne opcje w menu "Narzędzia" w IE

O10 - Integracja szpiegów z łańcuchem Winsock

O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane

O12 - Pluginy zainstalowane w IE

O13 - Domyślne prefixy IE

O14 - 'Reset Web Settings' hijack

O15 - Strony www - Zaufane witryny

O16 - Kontrolki ActiveX

O17 - możliwa szpiegowska akcja domen Lop.com

O18 - zawaliste protokoły i protokoły zmienione przez szpiegów

O19 - User style sheet hijack

O20 - AppInit_DLLs

O21 - ShellServiceObjectDelayLoad

O22 - SharedTaskScheduler

Nie wszystkie "numerki" mogą wystąpić w logu - nie ma się co przejmować


(Dragonlnx) #2

R0, R1, R2, R3 - Strony startowe i wyszukiwarki Internet Explorer

Wygląd w log hijackthis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/beta.html*

* - tutaj jest adres ustawionej przez Ciebie strony startowej. Jeżeli nie jest taka co ustawiłeś lub zmienia Ci się sama - usuń bez wahania !

Na podstawie logów na tym forum przedstawię parę dobrych i złych wpisów.:

DOBRE:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dobreprogramy.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

ZŁE: (usuwamy najczęściej w trybie awaryjnym)

jeżeli ustawiłeś na swoją a zmienia Ci się na about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=5019

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://D:\PROGRA~1\Toolbar\toolbar.dll/sa

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iddam.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iddam.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\iddam.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iddam.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iddam.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iddam.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iddam.dll/sp.html#28129

Usunięcie wpisów R0,R1 nie spowoduje żadnego uszczerbku w systemie ....


(Dragonlnx) #3

N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a

M.in. To samo co wyżej w R0,R1.

N1 = Netscape 4

N2 = Netscape 6

N3 = Netscape 7

N4 = Mozilla

Wygląd w logu:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com.pl*"); (C:\Program Files\Netscape\Users\default\prefs.js)

Twoja strona startowa.

Usunięcie wpisów N1, N2, N3, N4 nie spowoduje żadnego uszczerbku w systemie ....


(Dragonlnx) #4

F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI

Pliki WIN.INI i SYSTEM.INI znajdują się w katalogu [partycja]:\Windows.

F0 to wpis Shell=

F1 to wpisy Run= i Load=

SZKODLIWE:

F0 - system.ini: Shell=explorer.exe hotsexxxx.exe np.

F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe

F1 - win.ini: load=iexpIore.exe

F1 - win.ini: run=iexpIore.exe

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe

DOBRE:

F0 - system.ini: Shell=C:\Aston\aston.exe ,svchost.exe

F2 - REG:system.ini: Shell=C:\Aston\aston.exe ,svchost.exe

F1 - win.ini: run=hpfsched

F1 - win.ini: load=C:\YDPDict\watch.exe

--ZACZERPNIĘTE Z FORUM P2P & Wyszukiwarki--

F0 - zawsze fixxxujemy !

F1 - nie zawsze, mogą tu figurować programy bezwirusów, ale także trojany


(Dragonlnx) #5

O1 - Przekierowania w pliku HOSTS

A tak wygląda to w logu:

O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1 - Hosts: 216.177.73.139 search.netscape.com

O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts: 127.0.0.1 http://www.sophos.com

O1 - Hosts: 127.0.0.1 sophos.com

O1 - Hosts: 127.0.0.1 http://www.mcafee.com

O1 - Hosts: 127.0.0.1 mcafee.com

O1 - Hosts: 127.0.0.1 liveupdate.symantecliveupdate.com

O1 - Hosts: 127.0.0.1 http://www.viruslist.com

O1 - Hosts: 127.0.0.1 viruslist.com

O1 - Hosts: 127.0.0.1 viruslist.com

O1 - Hosts: 127.0.0.1 f-secure.com

O1 - Hosts: 127.0.0.1 http://www.f-secure.com

O1 - Hosts: 127.0.0.1 kaspersky.com

O1 - Hosts: 127.0.0.1 kaspersky-labs.com

O1 - Hosts: 127.0.0.1 http://www.avp.com

O1 - Hosts: 127.0.0.1 http://www.kaspersky.com

O1 - Hosts: 127.0.0.1 avp.com

O1 - Hosts: 127.0.0.1 http://www.networkassociates.com

O1 - Hosts: 127.0.0.1 networkassociates.com

O1 - Hosts: 127.0.0.1 http://www.ca.com

O1 - Hosts: 127.0.0.1 ca.com

O1 - Hosts: 127.0.0.1 mast.mcafee.com

O1 - Hosts: 127.0.0.1 my-etrust.com

O1 - Hosts: 127.0.0.1 http://www.my-etrust.com

O1 - Hosts: 127.0.0.1 download.mcafee.com

O1 - Hosts: 127.0.0.1 dispatch.mcafee.com

O1 - Hosts: 127.0.0.1 secure.nai.com

O1 - Hosts: 127.0.0.1 nai.com

O1 - Hosts: 127.0.0.1 http://www.nai.com

O1 - Hosts: 127.0.0.1 us.mcafee.com

O1 - Hosts: 127.0.0.1 rads.mcafee.com

O1 - Hosts: 127.0.0.1 trendmicro.com

O1 - Hosts: 127.0.0.1 http://www.trendmicro.com

O1 - Hosts: 127.0.0.1 http://www.grisoft.com

O1 - Hosts file is located at C:\WINDOWS\Help\hosts

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

Cytat od picasso:


(Dragonlnx) #6

O2 - BHO

DOBRE:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton 2004 Works\Norton Antivirus\NavShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

ZŁE:

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL

O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - (no file)

O2 - BHO: (no name) - {2695CF9C-04F6-4DF7-8B54-240BA26089C9} - C:\WINDOWS\System32\lmohem.dll

O2 - BHO: (no name) - {902D085A-1964-42EA-8D8F-1E35B2D8164E} - C:\WINDOWS\System32\mfndmea.dll

O2 - BHO: (no name) - {7262596F-CFE5-4FCD-B0B8-5B15E7646320} - C:\WINDOWS\system32\goea.dll


(Dragonlnx) #7

O3 - Paski narzędziowe w IE (Toolbar)

Później dodam trochę komentarzy...

Dobre:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll

Złe:

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O3 - Toolbar: Search - {8A0C6EFA-462F-D086-5DE1-CFC2C0C1EA38} - C:\WINDOWS\Ifatonum.dll

O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - D:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll

WSZYSTO W TRAKCIE TWORZENIA - BĘDĘ DOŁĄCZAŁ DODATKOWE OPISY ITP. BĄDŹCIE CIERPLIWI.