Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.


UWAGA: Log z HijackThis nie jest raportem, o który prosimy ogłoszeniem. Jest zbyt wąski jak na dzisiejsze zagrożenia. Zastępują go narzędzia typu OTL / OTS / DDS.

HijackThis

Strona oficjalna: http://free.antivirus.com/hijackthis/

Platforma: Windows 98/ME/2000/XP/2003/Vista/7 32-bit (x86)

Pobierz: HijackThis 2.0.4 (msi)
Pobierz: HijackThis 2.0.4 (exe)

Od wersji 2.0.4 HijackThis posiada kompatybilność z Windows 7 32-bit (x86).

___________________

. HijackThis - postawowe informacje użytkowania
. HijackThis - interpretacja logów

Silent Runners

Strona oficjalna: http://www.silentrunners.org/

Platforma: Windows 95/98/ME/NT4/2000/XP/Vista/7

Pobierz: SilentRunners.vbs (prawy klik >>> Zapisz jako)
___________________


. Silent Runners - jak skorzystać z programu i zrobić log

Ten post został edytowany przez picasso: 21/04/2010, 17:03

UWAGA: Hijack jest tak skonstruowany by pokazywać wszystkie lokalizacje, w których prawdopodobnie są szpiedzy czyli pokazuje zarówno wejścia prawidłowe jak i szkodliwe! Amatorzy i nie zaawansowani nie powinni jednak nic naprawiać na własną rękę! O wiele bezpieczniej jest wyprodukować loga by pokazać komuś innemu do oceny!

Wystarczy utworzyć sobie w dowolnym wygodnym dla siebie miejscu folder i wrzucić tam exe programu. Folder jest potrzebny po to by tworzone przez Hijacka kopie zapasowe usuwanych wpisów mogły zostać zgrupowane w jednym miejscu. Podstawowy błąd wielu osób: pozwalają WinZipom itd. automatycznie wypakować program do domyślnego folderu ustawionego w WinZip a to jest FOLDER TYMCZASOWY.



Scan:

Po uruchomieniu programu mamy ekranik szybkiego wyboru opcji w stylu Spybot Search & Destroy:

[attachment=10942:hj01.gif]



1. Tworzenie loga: Wybieramy opcję None of above, just start the program. Otworzy się główne okno skanowania. W głównym okienku klikamy Scan i pojawi nam się lista wyników. Zapis tekstowego loga odbywa się opcją Save log. Ten log należy pokazać na forum.

2. Usuwanie wpisów: Jeżeli damy takie wskazówki na podstawie loga, wpisy na usunięcie należy zaptaszkować w boxach i kliknąć Fix Checked.


Config:

W głównym oknie programu mamy dostęp do opcji Config zorganizowanych w cztery zakładki:











Tools:

1. Nie mogę ściągnąć HijackThis.

Być może w systemie są szkodniki, które blokują stronę Trend Micro, z której chcesz ściągnąć program. Skorzystaj z alternatywnego linka naszego forum (wersja *.COM ). A dlaczego nasze forum? Jesteśmy "mało znani" . Tutaj mała uwaga: funkcja Check for updates jest przeznaczona tylko do sprawdzania, czy masz najnowszą wersję programu, a jeśli nie ewentualne jej ściągnięcie na życzenie. TO NIE JEST UPDATOWANIE BAZY DANYCH HIJACKTHIS, bo HijackThis nie ma bazy danych!


2. Po ściągnięciu HijackThis znika z dysku!

Na komputerze jest prawdopodobnie rootkit Hacker Defender. Możliwy też inny rootkit z zaplanowanym ukrywaniem specyficznych narzędzi dezynfekujących.


3. HijackThis natychmiastowo się zamyka po uruchomieniu.

Oznacza to, że w tle działa infekcja, której zadaniem jest uniemożliwienie z korzystania z HijackThis. Jednym z pierwszych szkodników wpływających negatywnie na pracę HijackThis był trojan CWS.Smartsearch.2 (sprawę korygowało użycie CoolWWWSearch.Smartsearch Killer), aczkolwiek wieeeele się od tego czasu zmieniło. Obecnie jest bardzo dużo innych możliwości. Należy spróbować uruchomić wersję *.COM, którą zlikwidowałam na naszym serwerze. Lub podać inne logi.


4. Błędy HijackThis:

Błąd punktujący brak pliku msvbvm60.dll

Świadczy to o braku Visual Basic Runtime Libraries. Najnowsze Windowsy posiadają te biblioteki. Jest to błąd charakterystyczny dla Windows 98. Należy biblioteki ściągnąć ze strony Microsoftu i zainstalować: Visual Basic 6.0 SP5.


An unexpected error has occurred at procedure: modRegistry_GetFirstSubFolder

Twoja wersja Hijacka jest bardzo stara. Skąd tyś ją wytrzasnął???!!! Ściągnij NAJ-nowszą!


Unexpected error has occured at procedure : ModBackUp-MakeBackUp

Gdy Hijack ma problem ze stworzeniem kopii zapasowej usuwanych wpisów (a ta opcja tworzenia backupów jest domyślnie włączona), lub z przywracaniem z tejże kopii to wynik tego iż jeden z plików, które Hijack chce przenieść/skasować itd jest w użyciu. Sprawę rozwiąże puszczenie Hijacka w trybie awaryjnym.


Error: modMain_FIXUNIXHostsFile

Jest to problem przetwarzania przez Hijacka pliku HOSTS z nieprawidłowymi przełamaniami tekstu. Przed uruchomieniem należy więc ręcznie zedytować plik HOSTS usuwając z niego wszystko prócz linijki 127.0.0.1 localhost.


5. HijackThis nie pomógł lub nic nie wykrywa.

1. Jeśli po naprawieniu wszystkich wpisów będą wracać jak szalone w tej samej postaci lub o podobnym nazewnictwie to znaczy, że metoda usuwania jest nieprawidłowa lub istnieje na komputerze ukryty re-loader szkodnika.

2. Jeśli są znaki działania infekcji (pop-upy, przekierowania, zmiany stron startowych), ale log wygląda na czysty, to oznacza podobną sytuację co wyżej, czyli ukrytą metodę infekcji niewidzialną z poziomu Hijacka. Potrzebne dodatkowe logi: Silent Runners, DSS (lub ComboFix), Gmer.....



6. Nie rozumiem wyników skanu .....

Nic nie naprawiaj na własną rękę tylko wykonaj log i zaprezentuj do oceny na forum.

.

.....................

White List w HijackThis:

White List to wbudowana do HijackThis lista wejść prawidłowych które w skanie mają zostać pominięte. Uruchomienie dodatkowego parametru /ihatewhitelists powoduje pokazanie tych domyślnie omijanych wpisów. Efekt użycia tego parametru to np. taka długa lista z protokołami O18:




A oto przepis jak puścić Hijacka z tym przełącznikiem: Tworzysz skrót do HijackThis.exe, klikasz prawym na nowo utworzony skrót i pobierasz Właściwości. W linijce ścieżki dostępu dopisujesz /ihatewhitelists i wszystko potwierdzasz. Oto jak to powinno wyglądać:

Każda z potencjalnych lokalizacji szkodników ma swój osobny identyfikator. Nie u każdego będą pokazane wszystkie identyfikatory i nie trzeba przejmować się ich brakiem. Kliknij na czerwony znaczek, by zobaczyć szczegółowy opis z przykładami:

R0, R1, R2, R3 - Strona startowa / wyszukiwarka / proxy IE
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a
F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI
O1 - Przekierowania w pliku HOSTS
O2 - BHO czyli Browser Helper Objects
O3 - Paski narzędziowe w IE
O4 - Autostart programów z kluczy rejestru lub folderu Startup
O5 - Ikona Opcji Internetowych niewidoczna w Panelu sterowania
O6 - Opcje Internetowe IE zablokowane przez "Administratora"
O7 - Edytor rejestru Regedit zablokowany przez "Administratora"
O8 - Dodatkowe opcje w menu prawokliku w IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE
O10 - Integracja obiektów z łańcuchem Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12 - Wtyczki Internet Explorer
O13 - Domyślne prefixy IE
O14 - Resetuj ustawienia sieci Web
O15 - Strony www w "Zaufanych Witrynach"
O15 - Zmodyfikowana wartość ProtocolsDefaults
O16 - Kontrolki ActiveX
O17 - Ustawienia DNS
O18 - Extra protokoły i protokoły zmodyfikowane
O19 - Arkusz stylów IE
O20 - AppInit_DLLs Windows 2000/XP/2003/Vista
O20 - Winlogon Notify Windows 2000/XP/2003/Vista
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Usługi niestandardowe Windows 2000/XP/2003/Vista







.

R0, R1, R2, R3 - Strony startowe i wyszukiwarki IE

"Miejsce" w systemie:

Rejestr ..... a wyniki tego ogląda się przy każdym uruchomieniu przeglądarki.

"Wygląd" w logu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.myexexex.com/search.php?said=spage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.myexexex.com/search.php?said=spage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.myexexex.com/search.php?said=spage&qq=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = tu adresik IP/nazwa domeny + port na którym chodzi proxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R2 - (na razie to nie jest pokazywane przez HijackThis)

R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)



Wpisy R0 i R1 powinny być usuwane, jeśli to nie są strony ustawione przez ciebie! (www.google.com, www.onet.pl). Przy czym usuwane wpisy mogą wracać jak bumerang = oznacza to, że w systemie jest szkodliwy reloader. Wpis R3 zawsze naprawiamy chyba, że figuruje tu nazwa programu, który znasz i sam instalowałeś (np. Copernic, Yahoo, Neostrada).


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

ProxyOverride to wartość, która jest odpowiednikiem ustawienia w konfigu Internet Exporera opcji Bypass proxy server for local addresses / Nie używaj serwera proxy dla adresów lokalnych. Jeśli jest ustawione na local, jest ta opcja aktywna. Jeśli jest ustawione na 127.0.0.1 - przeciwnie.

Wpisy oznaczone jako (obfuscated):



Wpisy typu "Obfuscated" = trudne do zinterpretowania. W przypadku szkodników znaczy to, iż kryją one swoje własne wpisy poprzez przekonwertowanie ich wartości na takie, które tylko dla nich są zrozumiałe. Przykład to dodanie wpisów do rejestru w trybie heksadecymalnym (czytaj: chińskie znaczki nie do rozpoznania).





N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a

"Miejsce" w systemie:

Jak w opisie. Informacje na temat tych ustawień są zgromadzone w plikach prefs.js generalnie zlokalizowanych w folderach Application Data (Dane Aplikacji). Netscape 4 trzyma pliki prefs.js jeszcze gdzie indziej: C:\Program Files\Netscape\Users\default\prefs.js.

N1 = Netscape 4

N2 = Netscape 6

N3 = Netscape 7

N4 = Mozilla

"Wygląd" w logu:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.yahoo.com"); (C:WINDOWSApplication DataMozillaProfilesdefaultl7ujgpwv.sltprefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE%5Csearchplugins%5CSBWeb_02.src"); (C:WINDOWSApplication DataMozillaProfilesdefaultl7ujgpwv.sltprefs.js)



Tu zwykle problemu nie ma, gdyż te alternatywne browserki (Mozille i Netscape) mają swoje strony startowe i wyszukiwarki nieomal nie atakowane. W zasadzie jest tylko jeden znany morderca o nazwie Lop.com, który może to zrobić! Jeśli jednak kiedykolwiek zobaczysz tu coś niepokojącego i dziwnego usuwasz!



F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI

"Miejsce" w systemie:

Windows 9x/Me: F0 i F1

Pliki WIN.INI i SYSTEM.INI zlokalizowane w C:\WINDOWS.



F0 to wpis Shell= w pliku system.ini określający jaki program będzie domyślnym shellem Windows. Shell zgłaszający się wraz ze startem Windows to po prostu pulpit, pasek zadań, menu Start i okienka. Domyślnym shellem Windows jest explorer.exe. Oczywiście są i inne programy będące alternatywnymi shellami np. firmy Aston ale one są instalowane przez samego użytkownika! Wnętrze pliku system.ini z shell powinno wyglądać tak:



F1 to wpisy Run= i Load= w pliku win.ini. Jakikolwiek program dopisany w tych linijkach będzie się ładował wraz z uruchomieniem Windows. Wejście Run= jest obecne na okoliczność zachowania kompatybilności ze starszymi programami a Load= jest dla sterowników. Przykład wnętrza pliku z komentarzem:



W pierwszym przykładzie "hpfsched" jest wejściem prawidłowym. Jest to funkcja drukarki Hewlett-Packard mająca ci przypominać o czyszczeniu pojemników by zachować dobrą jakość wydruku. Usunięcie wpisu przy run usunie tą funkcję. W drugim przykładzie "CapsideRed.pif" to wejście dodane przez wirusaCASPID (%Windows% to po prostu folder Windowsa). W trzecim przykładzie "asistat.exe" jest wejściem prawidłowym. Jest to status monitor drukarki.
W czwartym przykładzie "System32.exe" to wejście dodane przez wirusa MARI.


Windows NT/2000/XP/2003: F2 i F3

Odpowiedniki w rejestrze plików WIN.INI i SYSTEM.INI gdyż Windowsy NT w zasadzie nie używają tych plików. W zamian by zachować wsteczną kompatybilność wykorzystują funkcję IniFileMapping, która całą zawartość z plików *.ini umieszcza w rejestrze w postaci osobnych kluczy dla każdej z indywidualnych linijek znalezionych w tych plikach. Kiedy więc puszczasz w ruch dany program, który normalną drogą odczytuje swoje ustawienia z pliku *.ini w pierwszej kolejności jest odczytywany klucz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

w którym jest mapa miejsc skąd mają zostać załadowane ustawienia.

F2 pokazuje dwie wartości Shell i Userinit ulokowane w rejestrze w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

O Shellu mówiłam już wcześniej. Natomiast Userinit określa jaki program zostanie zainicjowany zaraz po zalogowaniu się użytkownika do Windows. Domyślnie jest to C:\windows\system32\userinit.exe. Userinit.exe odpowiada za przywracanie profilu, czcionek, kolorów określonych dla twojej nazwy użytkownika. Zarówno Shell jak i Userinit powinny wyglądać dokładnie jak na obrazku:

"Wygląd" w logu:

SZKODLIWE:

F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe
F1 - win.ini: load=iexpIore.exe
F1 - win.ini: run=iexpIore.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe


PRAWIDŁOWE:

F0 - system.ini: Shell=C:\Aston\aston.exe ,svchost.exe
F2 - REG:system.ini: Shell=C:\Aston\aston.exe ,svchost.exe
F1 - win.ini: run=hpfsched
F1 - win.ini: load=C:\YDPDict\watch.exe


Wejścia F0 zawsze usuwamy! One oznaczają iż wraz z shellem explorer.exe startuje zamaskowany trojan lub wirus! Przy tym wpisie powinno być jedynie Shell=Explorer.exe. Oczywiście jest jak zwykle jeden wyjątek od reguły. Mianowicie jeśli ktoś korzysta z alternatywnego shella np. firmy Aston, to będzie miał tam inną sekwencję (patrz wyżej).

Wejścia F1 natomiast nie są aż takie oczywiste! Tu mogą figurować zarówno programy legalne (zwłaszcza starszego typu) czy też sterowniki jak i wirusy! Jak rozpoznać? Znaleźć opis nazwy pliku (Google ... lub spytać u nas na forum ....).





O1 - Przekierowania w pliku HOSTS

"Miejsce" w systemie:

Plik systemowy HOSTS, o którego lokalizacji, działaniu i metodach użycia można szczegółowo poczytać TU.

"Wygląd" w logu:

PRAWIDŁOWE:

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

O1 - Hosts: 203.160.185.103 gg.muchina.com
O1 - Hosts: 203.160.185.103 ogg.muchnia.com
O1 - Hosts: 69.195.3.207 gg.muchina.com


SZKODLIWE:

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts: 127.0.0.1 www.sophos.com
O1 - Hosts: 127.0.0.1 sophos.com
O1 - Hosts: 127.0.0.1 www.mcafee.com
O1 - Hosts: 127.0.0.1 mcafee.com
O1 - Hosts: 127.0.0.1 liveupdate.symantecliveupdate.com
O1 - Hosts: 127.0.0.1 www.viruslist.com
O1 - Hosts: 127.0.0.1 viruslist.com
O1 - Hosts: 127.0.0.1 viruslist.com
O1 - Hosts: 127.0.0.1 f-secure.com
O1 - Hosts: 127.0.0.1 www.f-secure.com
O1 - Hosts: 127.0.0.1 kaspersky.com
O1 - Hosts: 127.0.0.1 kaspersky-labs.com
O1 - Hosts: 127.0.0.1 www.avp.com
O1 - Hosts: 127.0.0.1 www.kaspersky.com
O1 - Hosts: 127.0.0.1 avp.com
O1 - Hosts: 127.0.0.1 www.networkassociates.com
O1 - Hosts: 127.0.0.1 networkassociates.com
O1 - Hosts: 127.0.0.1 www.ca.com
O1 - Hosts: 127.0.0.1 ca.com
O1 - Hosts: 127.0.0.1 mast.mcafee.com
O1 - Hosts: 127.0.0.1 my-etrust.com
O1 - Hosts: 127.0.0.1 www.my-etrust.com
O1 - Hosts: 127.0.0.1 download.mcafee.com
O1 - Hosts: 127.0.0.1 dispatch.mcafee.com
O1 - Hosts: 127.0.0.1 secure.nai.com
O1 - Hosts: 127.0.0.1 nai.com
O1 - Hosts: 127.0.0.1 www.nai.com
O1 - Hosts: 127.0.0.1 us.mcafee.com
O1 - Hosts: 127.0.0.1 rads.mcafee.com
O1 - Hosts: 127.0.0.1 trendmicro.com
O1 - Hosts: 127.0.0.1 www.trendmicro.com
O1 - Hosts: 127.0.0.1 www.grisoft.com

O1 - Hosts file is located at C:\WINDOWS\Help\hosts
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts



Za pomocą tego pliku można przyśpieszać wyświetlanie swoich ulubionych stronek lub blokować te szpiegowskie. Ale szpiedzy też lubią ten plik tylko wykorzystują go inaczej. Generalnie adres stronki po prawej stronie jest przypisany do adresu IP po lewej stronie. Jeśli adres IP jest prawidłowym adresem stronki będzie się ona wyświetlać szybciej. Jeśli adres IP jest fałszywy czyli nie należy do nazwy stronki próba uruchomienia danej stronki nie powiedzie się. Są tu dwa warianty:

1. Wpisy typu: 216.177.73.139 auto.search.msn.com czyli tworzenie fałszywych przekierowań ze strony prawidłowej na jakąś inną. Przekierowanie będzie następować na adres IP zlokalizowany po lewej stronie. Przykład: chcesz wejść na stronkę www.onet.pl ale zamiast niej automatycznie pojawia się jakaś inna.

2. Wpisy typu 127.0.0.1 www.kaspersky.com czyli zablokowanie przez szpiegów stronek mogących pomóc w ich usuwaniu (skanery online, listy wirusów, downloady narzędzi anty, updatowanie antywirusów przez www). Przy próbie uruchomienia danej pożytecznej stronki nastąpi przekierowanie na 127.0.0.1 czyli ...... twojego własnego kompa i pojawi się okrutny komunikat "Strona nie może zostać wyświetlona". Jedyny sposób na odblokowanie to usunięcie owych wpisów poprzez Hijacka.

UWAGA: Bardzo często się zdarza, że te wpisy nie zostaną pokazane w Hijacku pomimo iż blokada ma miejsce! Przykład z forum TU. Wtedy trzeba samemu otworzyć plik HOSTS i usunąć z niego wszystkie linijki z wyjątkiem 127.0.0.1 localhost.

Zawsze usuwamy te linijki w Hijacku, o ile sami ręcznie nie wprowadziliśmy tam wpisów własnych!

Ostatnia linijka mówiąca "Hosts file is located at ..." oznacza, że została zmieniona domyślna lokalizacja pliku HOSTS, czyli plik ten został przeniesiony lub utworzony gdzie indziej (najprawdopodobniej przez jakiegoś szkodnika). Ma to miejsce na Windowsach 2000/XP zwłaszcza w przypadku infekcji trojanami rodziny CWS. I tę linijkę zawsze usuwamy w Hijacku.





O2 - BHO czyli Browser Helper Objects

"Miejsce" w systemie:

BHO to są pluginy poszerzające funkcjonalność przeglądarki. Graficznie jest to dodatek typu nowe menu i inne elementy w interfejsie IE (patrz dalej na identyfikatory O3 i O9)

"Wygląd" w logu:

SZKODLIWE:

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - (no file)


PRAWIDŁOWE:

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll



BHO może być zarówno pożyteczne (np. Google Toolbar, Acrobat Reader) jak i szpiegowskie (MyWebSearch). W przypadku kiedy kompletnie nie rozpoznajesz danego BHO, musisz znaleźć o nim jakieś informacje przed usunięciem. Przydatne w identyfikacji mogą się okazać super stronli zlinkowane w sekcji Baza danych. Wyszukiwanie należy przeprowadzać raczej na class ID (CLSID) czyli ten numerek pomiędzy {} aniżeli na nazwę pliku. Szkodniki bowiem mogą tworzyć zmienne nazwy plików przy zachowaniu jednego i tego samego numeru CLSID (możliwa też kombinacja: wszystko generowane losowo). Na stronkach bazy danych szkodliwe BHO są oznaczone jako X a nieszkodliwe BHO jako L.

Jeśli usuniesz te wejścia, HijackThis skasuje również i powiązany plik dll. Zdarza się jednak iż plik ten może być ciągle "w użyciu", pomimo iż Internet Explorer jest zamknięty. Wtedy startujesz do trybu awaryjnego i kasujesz plik ręcznie.





O3 - Paski narzędziowe w IE

"Miejsce" w systemie:

Owe dodatkowe paski narzędziowe np. w takim stylu:



oraz powiązane z nimi menu Widok >>> Pasek narzędzi. Wszystkie te dane są zapisane w rejestrze w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

"Wygląd" w logu:

SZKODLIWE:

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL


PRAWIDŁOWE:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Opiekun - {3453E1A9-9D23-4B6B-9222-4A4B5E1002C9} - C:\WINDOWS\system32\OpiekunIE.dll



Podobna historia jak z BHO. I tu również w celu identyfikacji możemy wykorzystać stronki podane w linkach Bazy danych.







.

Ten post został edytowany przez picasso: 17/01/2009, 2:32

O4 - Autostart programów z kluczy rejestru lub folderu Startup

"Miejsce" w systemie:

Automatyczne uruchamianie programów wraz ze startem Windows. Ogólnie są dwa główne rodzaje wpisów będących odbiciem typu miejsca (rejestr vs. folder startowy). Mają oczywiście spoje pod-typy.

Rejestr (HKLM, HKCU, HKUS):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run



Folder Autostartu (Startup, Global Startup):

Startup: Aplikacje ładujące się z konkretnego profilu użytkownika. Skróty startowe są umieszczone w folderze:
C:\Documents and Settings\Nazwa konta\Start menu\Programs\Startup

Global Startup: Aplikacje ładujące się ze wszystkich profili. Skróty startowe są umieszczone w folderze:
Win9x/Me - C:\Windows\Start Menu\Programs\StartUp
WinNT/2K - C:\Winnt\Profiles\All Users\Start Menu\Programs\StartUp
WinXP - C:\Documents and Settings\All Users\Start Menu\Programs\Startup

"Wygląd" w logu:

SZKODLIWE:

O4 - HKLM\..\Run: [c12167a6ea6e7c86534b1466697d38fc] C:\Program Files\Internet Explorer\c12167a6ea6e7c86534b1466697d38fc.exe
O4 - HKLM\..\Run: [IE Respository] iexplore.exe
O4 - HKLM\..\RunServices: [IE Respository] iexplore.exe
O4 - HKLM\..\Run: [Winsock2 driver] GG.EXE
O4 - HKLM\..\Policies\Explorer\Run: [ishost.exe] ishost.exe
O4 - Global Startup: winlogon.exe


PRAWIDŁOWE:

Procesy Windows 98/Me:
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

nVidia:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit

Zaawansowane usługi tekstowe (znaczek PL na pasku zadań):
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe


Przy okazji:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u





To jest jedna z trudniejszych rzeczy w interpretacji loga. Różne wiry/trojany/szpiedzy uwielbiają udawać rzeczy systemowe, co dla niedoświadczonego usera jest absolutną katastrofą, bo fałszywki opatrzone napisem niby Windowsowskim typu "Microsoft Windows Update" działają jak straszak. I przeciwnie, są nazwy brzmiące niezwykle podejrzanie, a w rzeczywistości są to stery modemu/grafy itd. Więc jeśli ktoś absolutnie nie ma doświadczenia w tym i nie wie co robi, niech raczej nie działa na własną rękę i od razu uderza na forum z logami. Dla tych co pragną jednak sami dokonać identyfikacji podaję przydatne linki w sekcji Baza danych.

Pozycje siedzące w grupie opatrzonej opisem Startup (np. ów winlogon.exe wskazany w logu), będą nienaprawialne przez HijackThis, jeśli program jest ciągle w pamięci. Wtedy przed naprawianiem w Hijacku trzeba w pierwszej kolejności zabić proces a to można uczynić dwojako: Alt-Ctrl-Del i zabicie danego procesu lub start w trybie awaryjnym





O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania

"Miejsce" w systemie:

Jak w opisie wyżej czyli:

Control Panel (Panel sterowania) >>> ikona Internet Options (Opcje internetowe)



Dane dotyczące widoczności poszczególnych elementów w Panelu sterowania są przechowywane w pliku control.ini.

"Wygląd" w logu:

O5 - control.ini: inetcpl.cpl=no

O ile ta ikona nie została ukryta świadomie, usuwamy.





O6 - Opcje Internetowe IE zablokowane przez "Administratora"

"Miejsce" w systemie:

Blokada uruchamiania Opcji Internetowych i zmian stron startowych nałożona w rejestrze, a objawiająca się komunikatem "Operacja została anulowana ze względu na ograniczenia nałożone na ten komputer, skontaktuj się z administratorem systemu" przy każdorazowej próbie uruchomienia tychże opcji. Zszarzone pole wyboru strony startowej.

"Wygląd" w logu:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

I historia się powtarza, czyli o ile nie jest to wprowadzone celowo, należy wpisy zlikwidować. UWAGA: Takie blokady mogą wprowadzać ... programy ochronne, mające zdolność tzw. "immunizowania" przeglądarki. Dobrym przykładem jest tutaj Spybot Search & Destroy. Ustawienia blokujące są w Tools / Narzędzia >>> IE Tweaks:

Opcje w Spybot

O7 - Edytor rejestru Regedit zablokowany przez "Administratora"

"Miejsce" w systemie:

Blokada edytora rejestru nałożona w .... rejestrze, a objawiająca się komunikatem "Edycja rejestru została wyłączona przez administratora sieci" przy każdorazowej próbie uruchomienia polecenia Start >>> Uruchom >>> regedit.

"Wygląd" w logu:

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ten wpis zawsze naprawiamy, gdyż to oczywisty znak szkodliwej działalności. Bardzo popularny zabieg szkodników. Jedyny wyjątek jest na systemach, na których istnieją konta limitowanych użytkowników, a zostały założone celowo, lub komputery firmowe / w pracy etc. Ewentualnie .... ktoś się bawił tweakerem i sam się urządził.





O8 - Dodatkowe opcje w menu prawokliku w IE

"Miejsce" w systemie:

Prawoklikowe menu kontekstowe Internet Explorer. HijackThis uwzględnia tylko wpisy wtórnie dodane, domyślne IE są pomijane.

Wygląd opcji

Te dane są zgrupowane w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Wygląd w regedit

"Wygląd" w logu:

SZKODLIWE:

O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm


PRAWIDŁOWE:

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm


Tu sprawa jest w miarę prosta. To co kojarzysz jako instalowane przez samego siebie, pozostaje nietknięte. To czego kompletnie nie znasz i brzmi podejrzanie, od razu usuwasz.

Metoda usuwania:

Wystarczy wpisy usunąć za pomocą HijackThis. To jednak likwiduje tylko i wyłącznie zapis w rejestrze, ale nie powiązany z wpisem plik na dysku. W przypadku, gdy chcemy tylko pozbyć się zbędników (ale program ma działać), wpisy te można bezpiecznie usuwać nie podejmując żadnych dodatkowych akcji. Natomiast jeśli są to wpisy szkodliwe należy wykonać dodatkowo ręczną kasację pliku z dysku. By uniknąć problemów z "w użyciu" najlepiej zastartować komputer do trybu awaryjnego = OPIS





O9 - Narzędzia w Internet Explorer

"Miejsce" w systemie:

Jest to wejście w HijackThis pokazujące niestandardowe wtórnie dodane przyciski w głównym pasku narzędziowym i skorelowane dodatkowe opcje w menu "Narzędzia" w Internet Explorer. Domyślne wpisy IE nie są uwzględniane.

Wygląd opcji

Dane te są zlokalizowane w rejestrze w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions

Wygląd w regedit

"Wygląd" w logu:

PRAWIDŁOWE:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


SZKODLIWE:

O9 - Extra button: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll


Tę sekcję lubią modyfikować tzw. "chińskie infekcje". Metoda weryfikacje identyczna jak w przypadku O8. Znasz i potrzebujesz = nie ruszasz, nie znasz lub nie chcesz posiadać takich extra opcji = kasujesz. Te wejścia generalnie zawsze można usuwać bez uszczerbku "na zdrowiu". Poza utratą dostępu do tych opcji nie ma żadnych innych skutków ubocznych.

Metoda usuwania:

Wystarczy wpisy usunąć za pomocą HijackThis. To jednak likwiduje tylko i wyłącznie zapis w rejestrze, ale nie powiązany z wpisem plik na dysku. W przypadku, gdy chcemy tylko pozbyć się zbędników (ale program ma działać), wpisy te można bezpiecznie usuwać nie podejmując żadnych dodatkowych akcji. Natomiast jeśli są to wpisy szkodliwe należy wykonać dodatkowo ręczną kasację pliku z dysku. By uniknąć problemów z "w użyciu" najlepiej zastartować komputer do trybu awaryjnego = OPIS








.

Ten post został edytowany przez picasso: 17/01/2009, 2:35

O10 - Integracja szpiegów z łańcuchem Winsock

"Miejsce" w systemie:

Bardzo skomplikowana struktura kombinująca rejestr i pliki dll. Z punktu widzenia usera nieedytowalne. Serce działania netu.

"Wygląd" w logu:

SZKODLIWE:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\calsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\cdlsp.dll
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Broken Internet access because of LSP provider 'csloa.dll' missing
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lsp.dll' missing
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nmtracer.dll
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
O10 - Unknown file in Winsock LSP: e:\winnt\system32\ws2_64.dll

Spyware jednego z modów eMule - rpc32vm.dll:
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing



PRAWIDŁOWE:

Wyjątki od reguły .... czyli działalność antywirusów, firewalli, narzędzi kontroli rodzicielskiej czy specjalnych monitorów sieciowych.


Panda:
O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll

Nod32:
O10 - Broken Internet access because of LSP provider 'imon.dll' missing

Antiy ghostbusters:
O10 - Unknown file in Winsock LSP: d:\\antiy labs\agb4\agbfilt.dll

Norman Antivirus:
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing

Windows ME infra red port:
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wspirda.dll' missing

McAfee antivirus:
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cslsp.dll' missing

SpamSubtract:
O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing

ZoneLabs IM Secure:
O10 - Broken Internet access because of LSP provider 'imslsp.dll' missing

Opiekun:
O10 - Broken Internet access because of LSP provider 'olsp.dll' missing

Beniamin:
O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll


itd....itp.... Te wejścia są prawidłowe i nie naprawiamy ich. To co należy zrobić, to dodać je do listy ignorowanej przez Hijacka. Może się jednak zdarzyć na drodze absolutnego wyjątku, iż faktycznie mamy tu skomplikowany przypadek, czyli pad netu na skutek ingerencji narzędzi ANTY (lub anty było odinstalowywane i pozostawiło po sobie takie szczątki). Wtedy naprawiamy. Dobry przykład w TYM temacie (nieudolna deinstalacja Opiekuna, jako skutek brak łączenia www i komunikatorów).

Metoda usuwania:

Ze względów bezpieczeństwa HijackThis nie potrafi naprawić wpisów typu Unknown file in Winsock LSP. A pozostałych nie należy naprawiać za pomocą HijackThis! W zamian należy skorzystać z darmowego narzędzia dedykowanego modyfikowaniu Winsock LSP-Fix. Opis użytkowania narzędzia jest zlokalizowany TUTAJ.




.

Ten post został edytowany przez picasso: 17/01/2009, 2:36

O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane

"Miejsce" w systemie:

Jak w opisie czyli w Internet Explorer:

Tools (Narzędzia) >>> Internet Options (Opcje internetowe) >>> Advanced (Zaawansowane)

Wygląd opcji

Dane te są skupione w rejestrze w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Wygląd w regedit

"Wygląd" w logu:

SZKODLIWE:

O11 - Options group: [CommonName] CommonName
O11 - Options group: [!CNS] ????
O11 - Options group: [CDNCLIENT] ????
O11 - Options group: [TBH] SOSO AddressBar Search


PRAWIDŁOWE:

O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O11 - Options group: [JAVA_IBM] Java (IBM)

Tutaj rzadko coś się dzieje. Znanym szkodnikiem, który aplikuje te dodatki, jest CommonName. Rozmaite infekcje "made in China" też mogą dodawać takie wpisy. Jeśli pojawi się tu jakieś niespotykane wejście, należy poszukać informacji, jaki soft to tam umieścił.



O12 - Wtyczki Internet Explorer

"Miejsce" w systemie:

Pluginy / wtyczki Internet Explorer czyli soft ładujący się automatycznie z przeglądarką w celu poszerzenia jego funkcjonalności. Np. podgląd PDF, niestandardowe przeglądarki obrazków, obsługa dodatkowych typów plików (np. pliki mov otwierane za pomocą Quicktime'a). Pluginy są przechowywane w folderze C:\Program Files\Internet Explorer\Plugins:



Korespondujące dane są zapisane w rejestrze w kluczu:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

"Wygląd" w logu:

SZKODLIWE:

O12 - Plugin for .ofb: C:\Program Files\Internet Explorer\Plugins\NPONFLOW.DLL


PRAWIDŁOWE:

O12 - Plugin for .fxf: C:\Program Files\Internet Explorer\PLUGINS\NPFxViewer.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\Plugins\nppdf32.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .m2v: C:\Program Files\Internet Explorer\Plugins\npqtplugin3.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\Plugins\npqtplugin3.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\Plugins\npqtplugin7.dll

O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll


W większości przypadków te wpisy są nieszkodliwe. Znanym szkodnikiem jest OnFlow dodający plugin .ofb, który oczywiście usuwamy. Jeśli czegoś zupełnie nie rozpoznajesz, poszukaj w pierwszej kolejności informacji na ten temat.






O13 - Domyślne prefixy IE

"Miejsce" w systemie:

Domyślny prefix to ustawienie określające co ma zostać dodane do początku adresu strony w przypadku wpisania jej niekompletnie bez elementu poprzedzającego typu http:// czy ftp://. Np. dla www:



Domyślnie Windows dodaje automatycznie na początku http://:



Dane te są zlokalizowane w rejestrze w następujących kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes

Wygląd w regedit

"Wygląd" w logu:

SZKODLIWE:

O13 - DefaultPrefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=
O13 - WWW Prefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=
O13 - Home Prefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=
O13 - Mosaic Prefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=
O13 - FTP Prefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=
O13 - Gopher Prefix: hxxp://www.myexexex.com/search.php?said=pfxp&qq=


Te wejścia zawsze są szkodliwe - Sztandarowo akcji tych dokonują trojany CWS. One oznaczają, że przy każdym uruchamianiu jakiejkolwiek strony www do jej adresu jest doklejany przedrostek. Np. próbujesz otworzyć http://www.onet.pl a zamiast tego ładuje się http://www.myexexex.com/search.php?said=pfxp&qq=/www.onet.pl, co jest przekierowaniem na szkodliwą stronę ..........





O14 - Resetuj ustawienia sieci Web

"Miejsce" w systemie:

Resetowanie ustawień Internet Explorer do domyślnych Windowsa. Lokalizacja i zasięg opcji są zależne od wersji przeglądarki Internet Explorer:

IE6: Opcja służy tylko do resetowania stron startowych i wyszukiwarek. Znajduje się w zakładce:

Tools (Narzędzia) >>> Internet Options (Opcje internetowe) >>> Programs (Programy) >>> Reset Web Settings (Resetuj Ustawienia....):



IE7: Opcja (aka RIES) znajduje się w innej zakładce i służy do szerszego resetowania (BHO, Toolbary etc) - więcej w KB923737

Tools (Narzędzia) >>> Internet Options (Opcje internetowe) >>> Advanced (Zaawansowane) >>> Reset (Resetuj)

Opcja w IE7

Domyślne ustawienia strony startowej / wyszukiwrki wykorzystywane w resetowaniu są zgromadzone w pliku C:\WINDOWS\inf\iereset.inf. Kiedy resetujesz ustawienia, odczytywany jest właśnie ten plik i zmiany są wprowadzone zgodnie z tym co ma w środku. Identyfikator O14 w Hijacku dotyczy tylko wersji IE6 i niżej. Funkcja RIES Internet Explorer 7 nie korzysta z tego pliku.

Wnętrze pliku

"Wygląd" w logu:

SZKODLIWE:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com


PRAWIDŁOWE:

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\uk.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/dk/da
O14 - IERESET.INF: START_PAGE_URL=http://www.orange.co.uk

Szkodniki potrafią zmieniać informacje w tym pliku tak, że po dokonaniu resetu do ustawień domyślnych następuje reinfekcja. Zwykle te wejścia w logu natychmiast usuwamy. Jeśli jednak figuruje tu adres www, który dostałeś od swojego dostawcy, to oczywiście tego nie ruszasz. Takie wejścia są charakterystyczne dla komputerów / systemów typu "OEM" (Dell, HP etc.)





O15 - Strony www w "Zaufanych Witrynach"

"Miejsce" w systemie:

Hierarchia bezpieczeństwa IE oparta jest o strefy, ze zróżnicowanym poziomem zabezpieczeń. Ta sekcja HijackThis adresuje dwa zagadnienia: Trusted sites (zaufane strony) i Trusted IP (zaufany zakres IP).

Tools (Narzędzia) >>> Internet Options (Opcje internetowe) >>> Security (Zabezpieczenia) >>> Trusted sites (Zaufane Witryny):

Wygląd opcji

Dane w rejestrze są w kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Klucze Domains grupują hurtem zarówno Zaufane Witryny jak i Witryny z ograniczeniami, a jedyne co je różni to liczba wartości: 2 vs. 4.

Wygląd w regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

Klucze Ranges trzymają zakres zaufanych IP. Tu jest inny przelicznik.

"Wygląd" w logu:

SZKODLIWE:

O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com


PRAWIDŁOWE:

O15 - Trusted Zone: hxxp://arcaonline.arcabit.com
O15 - Trusted Zone: hxxp://www.mks.com.pl
O15 - Trusted Zone: hxxp://www.msi.com.tw

W większości przypadków (o ile sami nie dodaliśmy ręcznie danego wpisu) należy wszystkie "zaufane witryny" usunąć, bo to jeden z trików szkodników. Zwłaszcza te manipulacje lubią robić trojany CWS. Nawet jeśli jakiś adres jest w porządku, lepiej by nic nie znajdowało się w sekcji "zaufane". Wyjątkiem od reguły są nasze macierzyste skanery online ArcaOnline i MKS = wymagają obowiązkowego dodania adresu do zaufanych, w przeciwnym wypadku nie chcą się uruchomić.

UWAGA: Program SpywareBlaster ma opcje blokowania szkodliwych stron w sekcji Restricted Sites, właśnie poprzez metodę dodawania ich jako "Witryny z ograniczeniami" w kluczu Domains na numerze 4. Niektóre programy antyspyware mogą dawać false positiva na wpisach wprowadzonych przez SpywareBlaster - tzn. skaner może nie umieć przeczytać, że wpis jest ustawiony na 4 (blokada) a nie na 2 (zaufane).

Opcje w SpywareBlaster

Metoda usuwania:

Można usunąć to za pomocą HijackThis. Są też inne narzędzia umiejące to prowadzić automatycznie np. KillTusted lub opcja numer 3 w SmitfraudFix. Metoda usuwania dowolna, a samo usuwanie nie przysparzające problemów, o ile nie ma w systemie szkodliwego regeneratora. Jeśli po usuwaniu wpisy będą wracać, zgłosić się na forum z logami.





O15 - ProtocolDefaults

"Miejsce" w systemie:

Każda ze stref (jest ich 5 a nie 4 = Mój komputer domyślnie ukryty w tym widoku):



... ma przypisany swój numer identyfikacyjny w rejestrze:

0 - Mój komputer
1 - Lokalny Intranet
2 - Zaufane Witryny
3 - Internet
4 - Witryny z ograniczeniami

Protokoły (np. HTTP, FTP..) wykorzystywane do łączenia się do stron mają ściśle określoną domyślną przynależność strefową definiującą tym samym poziom zabezpieczeń realizowany przy łączeniu:

3 - HTTP
3 - HTTPS
3 - FTP
1 - @ivt
0 - shell

Dane te są zlokalizowane w rejestrze w kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Wygląd w regedit

Jednym z objawów działalności szpiegowskiej jest fakt, że wszystkie strony otwierają się jako Zaufane Witryny. Na pasku statusu zamiast standardowego:



... zawsze widnieje więc znacznik zaufany:



Jest to wynik zmian w rejestrze. Szkodnik zamienia liczbę 3 na 2. Trudno wskazać konkretną infekcję dokonującą takiej modyfikacji, ale na forum było kilka takich przypadków.

"Wygląd" w logu:

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

Metoda usuwania:

Wystarczy usunąć te wpisy za pomocą HijackThis. Aczkolwiek przytrafiło się nam na forum w TYM temacie, że HJ nie umiał tego skasować. W takim przypadku należy wszystko skorygować ręcznie. W linku, do którego kieruję, jest instrukcja tworzenia pliku REG.






O16 - Kontrolki ActiveX

"Miejsce" w systemie:

Są to kontrolki ActiveX zwane inaczej Downloaded Program Files czyli programy ściągnięte z neta na kompa i zgromadzone w folderze C:\WINDOWS\Downloaded Program Files. Są one scharakteryzowane w rejestrze za pomocą CLSID czyli tego ciągu numerków w klamerkach {}.

"Wygląd" w logu:

SZKODLIWE:

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {41A482C3-CDC6-4915-B515-7D52A174C486} (ActiveSex Control) - hxxp://www.gosex.pl/ActiveSex.cab


PRAWIDŁOWE:

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/...8113.4127777778
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.es/activescan/as/asinst.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - hxxp://skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwa...ash/swflash.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - hxxp://www.ipix.com/download/ipixx.cab



Jeśli coś jest ci kompletnie nie znane (ani nazwa pliku, ani "firmy", ani adres) to usuwasz. Przypadkowe usunięcie nieszkodliwej kontrolki niczym nie grozi, gdyż po prostu ściągniesz ją z netu ponownie. Niekiedy sprawa jest oczywista gdy w URL figurują słowa typu sex, dialer, casino i oczywiście to dewastujemy. Olbrzymią bazę wiedzy o bardzo szkodliwych ActiveX ma super programik SpywareBlaster i on może posłużyć do wyszukania info na temat danego CLSID czyli numerku w klamerkach {}.

Opcje w SpywareBlaster

W normalnych przypadkach usunięcie wpisów O16 poprzez HijackThis spowoduje również i usunięcie tych obiektów z dysku. Zdarza się jednak iż Hijack z jakiś względów nie umie skasować agresywnego pliku i wtedy należy zastartować do trybu awaryjnego w celu dokonania kasacji ręcznej.







.

Ten post został edytowany przez picasso: 17/01/2009, 2:37

O17 - Ustawienia DNS

"Miejsce" w systemie:

Ustawienia DNS / domeny konfigurowane we Właściwościach Połączeń sieciowych. Mają korespondujące zapisy w rejestrze w kluczach:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

... oraz kopiach konfiguracyjnych ControlSet00X (X = numer od 1 w górę). Dodatkowym kluczem dla połączeń typu dial jest:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony

Wygląd w regedit

"Wygląd" w logu:

Wpisów O17 nie widać w logu z HijackThis, jeśli konfiguracja połączenia ma Automatycznie przyznawany IP / DNS, zamiast konkretnego statycznego. Z oczywistych względów zapis w logu ma formę skróconej ścieżki i np. CurrentControlSet / ControlSet001 występuje pod abrewiacją CCS / CS1. Bardzo długie ścieżki są wykropkowane w dość mocny sposób.


SZKODLIWE:

Lop.com:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h14412.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = h14412.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{486D40A5-F68F-4874-A0C2-01AB62A22BBB}: Domain = h14412.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h14412.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{575C73D2-1A72-4A39-B8F3-1B8B44829DA9}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{73C972C2-467E-4772-8FB2-D4D283F6F173}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B52223B-7618-4D0D-9866-5D64F0715A42}: Domain = thko.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = thko.com

DNSChanger:
O17 - HKLM\System\CCS\Services\Tcpip\..\{215D38FD-6262-45E2-B17D-8EBD86693A4C}: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{866F4C4B-4F8F-495E-AFDB-4E59432BF411}: NameServer = 85.255.114.102,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1926F93-C83D-482E-9010-1D0BF5841009}: NameServer = 85.255.114.102,85.255.112.83
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.102 85.255.112.83

Obecnie charakterystyczną infekcją podmieniającą DNS jest Trojan.Flush aka DNSChanger, który wprowadza IP w tych przedziałach: 69.50.x.x, 195.95.x.x, 195.225.x.x, 85.255.x.x (x = zmienne liczby).



PRAWIDŁOWE:

Serwery Neostrady:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2454F438-51E7-46E5-955F-D93CBD67E103}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2454F438-51E7-46E5-955F-D93CBD67E103}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA94426-6B7D-4BD2-AB22-AA812F37E5FA}: NameServer = 194.204.152.34,194.204.159.1

Wpisy identycznie skonstruowane, lecz jako Domain i NameServer figurują adresy dostarczone przez dostawcę internetowego. Nieprawidłowe usunięcie tych wpisów skutkuje brakiem dostępu do www.

Metoda usuwania:

Teoretycznie wpisy da się usunąć poprzez HijackThis. Aczkolwiek nie zawsze jest to takie proste. Zmiana DNS może być tylko jednym z komponentów infekcji. Do usuwania tej specyficznej zarazy DNSChanger w całości można wykorzystać Malwarebytes Anti-Malware. Skrócony wariant resetu DNS posiada też SmitfraudFix (opcja 5). Dodatkowa uwaga: bardzo częsty przypadek na forum to niemożność pozbycia się tych wpisów z HijackThis, mimo użycia narzędzi czyszczących resetujących DNS. Należy więc wykorzystać metodę ręcznego resetowania DNS + komendę ipconfig /flushdns opisaną TUTAJ.





O18 - Extra protokoły i protokoły zmodyfikowane

"Miejsce" w systemie:

Jest to tworzenie nowego protokołu, który jest interpretowany przez IE jako początek adresu strony. Protokołami prawidłowymi są:

http://
https://
ftp://
gopher://
irc://
file:///

Dane o protokołach są zlokalizowane w rejestrze w następujących kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

"Wygląd" w logu:

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}


PRAWIDŁOWE:

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll


Stare przykłady: O18.html


Szkodniki mogą albo modyfikować właściwy protokół (np. http://) albo tworzyć swój własny (np. cn://). Np. szpiegowski Lop powoduje, że IE ładuje strony za pomocą ayb://adresik zamiast http://adresik. Tu pokazuje się raczej niewielka ilość szkodników, aczkolwiek uwielbiają to miejsce trojany CWS.

Wpisy oznaczone jako długa lista mają prawidłowe CLSID zgodne z tym co jest w rejestrze na przeważającej większości komputerów. Dlaczego więc pokazały się w logu? Jest to wynik użycia HijackThis z parametrem /ihatewhitelists powodującym wyszczególnianie nawet i wpisów OK, które domyślnie Hijack w skanie ignoruje. Jak uruchomić HijackThis w ten sposób, jest opisane w ostatnim poście tego tematu.





O19 - Arkusz stylów IE

"Miejsce" w systemie:

Style sheet / Arkusz stylów to matryca layoutu strony, kolorów i czcionek wyświetlanych na stronie html. W Internet Explorer:

Tools (Narzędzia) >>> Internet Options (Opcje internetowe) >>> General (Ogólne) >>> Accessibility (Dostępność)

Wygląd opcji

W rejestrze dane te są gromadzone w kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles

Wygląd w regedit

"Wygląd" w logu:

SZKODLIWE:

O19 - User stylesheet: C:\WINDOWS\sstyle.css
O19 - User stylesheet: C:\WINDOWS\sstyle.css (HKLM)
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
O19 - User stylesheet: C:\WINDOWS\windows.dat
O19 - User stylesheet: C:\WINDOWS\default.css (HKLM)
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp
O19 - User stylesheet: C:\WINDOWS\system32\a02eg96.a94
O19 - User stylesheet: C:\Program Files\Internet Explorer\readme.txt

Szkodniki umieją lubią podmieniać "style sheet", czego wynikiem jest nagłe i drastyczne spowolnienie przeglądarki oraz liczne pop-upy. Należy ten element natychmiastowo naprawić w Hijacku, o ile oczywiście użytkownik własnoręcznie nie wprowadził ulubionej matrycy. Znanymi szkodnikami prowadzącymi te akcje są głównie trojany CWS i należy raczej użyć solucji kompletnej czyli narzędzia CWShredder.







.

O20 - AppInit_DLLs

"Miejsce" w systemie:

Start >>> Uruchom >>> regedit i w kluczu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Wartość AppInit_DLLs:

Wygląd w regedit

Wartość AppInit_DLLs zawiera listę plików DLL, które zostaną załadowane w momencie ukończenia ładowania user32.dll. Czyli każdy plik DLL zlokalizowany w tym miejscu rejestru będzie ładowany przez każdą aplikację Windowsa uruchomioną w obrębie bieżącej sesji (czytaj od resetu do resetu kompa). To powoduje trudność usuwania takiego dll, gdyż może być załadowane przez wiele procesów, z których część jest niemożliwa do zatrzymania ze względu na utratę stabilności Windowsa. Plik user32.dll jest też wykorzystywany przez procesy Windows automatycznie startujące w trakcie logowania, co oznacza, że pliki DLL dopisane do AppInit_DLLs zawsze będą startować z Windows w jego wczesnej fazie startowej. Skutek to samoukrywanie i samoochrona DLL, już na poziomie, gdy jeszcze nie mamy dostępu do systemu. DLL zapisanego w AppInit_DLLs może nie być widać w rejestrze. Prawoklikowa opcja Modyfy Binary Data (opcja niedostępna na Windows 2000) może ewentualnie pokazać plik, aczkolwiek jeśli szkodnik jest dobrze zamaskowany, wpis będzie pozorowany na pusty.

Naprawianie wpisu tego typu w HijackThis nie usuwa pliku! Po usunięciu wpisu plik trzeba usuwać ręcznie w trybie awaryjnym lub co gorzej poprzez dyskietki startowe!.

"Wygląd" w logu:

SZKODLIWE:

O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat


PRAWIDŁOWE:

O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL


Stare przykłady: O20_appinit.html






O20 - Winlogon Notify

"Miejsce" w systemie:

Start >>> Uruchom >>> regedit i klucz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wygląd w regedit

Obecny tylko na Windows NT/2000/XP/2003. Usunięcie wpisu tego typu w HijackThis nie usuwa pliku! Po usunięciu wpisu plik trzeba usuwać ręcznie w trybie awaryjnym lub co gorzej poprzez dyskietki startowe!.

"Wygląd" w logu:

SZKODLIWE:

O20 - Winlogon Notify: hiphicza - C:\WINDOWS\SYSTEM32\hiphicza.dll
O20 - Winlogon Notify: qomjgee - C:\WINDOWS\SYSTEM32\qomjgee.dll
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll


PRAWIDŁOWE:

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

Stare przykłady: O20_notify.html






O21 - ShellServiceObjectDelayLoad (SSODL)

"Miejsce" w systemie:

Start >>> Uruchom >>> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Wygląd w regedit

Ten wpis rejestru zawiera podobne wartości do kluczy typu Run, z tą różnicą iż zamiast bezpośredniej nazwy pliku jest punktowany w wartości InProcServer numerek CLSID zawierający informacje o danym DLL, które ma zostać użyte. Obiekty zlokalizowane w tym kluczu są automatycznie uruchamiane przez shella explorer.exe zaraz po jego kompletnym załadowaniu. A, że jest to shell te pliki zawsze będą startować z Windows, przeważnie w najwcześniejszej fazie uruchamiania i nie można temu przeciwdziałać!

"Wygląd" w logu:

SZKODLIWE:

O21 - SSODL: pmkret - {D9ACCE85-9600-478A-AD1F-3DC5E09D2082} - C:\WINDOWS\pmkret.dll
O21 - SSODL: gormet - {64DA91AF-67BE-4A07-B2C2-D187EDDB4584} - C:\WINDOWS\gormet.dll
O21 - SSODL: msvb - {90C62FFC-2305-4E3B-BB9F-D9561BA810B1} - C:\WINDOWS\msvb.dll
O21 - SSODL: sysdx - {36111F9D-0421-4EDB-A070-EFD03C3DA99A} - C:\WINDOWS\sysdx.dll


PRAWIDŁOWE:

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - D:\Program Files\Stardock\Object Desktop\IconPackager\iprepair.dll
O21 - SSODL: EnhancedDialog - {6D972050-A934-44D7-AC67-7C9E0B264220} - D:\Program Files\Stardock\Object Desktop\EnhancedDialog\enhdlginit.dll

Stare przykłady: O21.html

Metoda usuwania:

Naprawianie wpisu tego typu w HijackThis nie usuwa pliku! Po usunięciu wpisu plik trzeba usuwać ręcznie w trybie awaryjnym lub co gorzej poprzez dyskietki startowe!






O22 - SharedTaskScheduler

"Miejsce" w systemie:

Jest to autouruchamianie instrukcji sprecyzowanych w Task Scheduler (Harmonogram Zadań) w następujących kluczu:

Start >>> Uruchom >>> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Wygląd w regedit

"Wygląd" w logu:

SZKODLIWE:

O22 - SharedTaskScheduler: dimanganous - {3ae12a89-2063-409b-87f2-f809a6e76862} - C:\WINDOWS\system32\chzbi.dll
O22 - SharedTaskScheduler: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll
O22 - SharedTaskScheduler: ineffulgent - {b585105c-0e84-4ef0-9c6a-fbe134a72945} - (no file)
O22 - SharedTaskScheduler: bemocked - {b0883848-1466-4470-a418-3fe7d36694b9} - C:\WINDOWS\system32\rldyt.dll
O22 - SharedTaskScheduler: sdf4dgvcvgsdxdklsjf9dtj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hd783fdg.dll


PRAWIDŁOWE:

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - C:\Programs\DESKSC~1\deskscapes.dll
O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - C:\Programs\DESKSC~1\DesktopControlPanel.dll
O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - C:\Programs\DESKSC~1\DreamControl.dll


Pierwszym z trojanów wykorzystujących tę metodę ładowania był CWS smartfinder / nkvd.us (aka Trojan.Bookmarker.C). Obecnie jest to klucz bardzo często "używany" przez liczne szkodniki. Typowy przykład: infekcja Smitfraud.

UWAGA: HijackThis 1.99.1 ma błąd listowania wpisów O22 i wpisy tych infekcji nie pokazują się. Dlatego obowiązkowa wersja do stosowania to HijackThis 2.0

Metoda usuwania:

Naprawianie wpisu tego typu w HijackThis usuwa tylko wartość skorelowaną z SharedTaskScheduler, ale nie plik i jego CLSID! Po usunięciu wpisu plik trzeba usuwać ręcznie w trybie awaryjnym lub co gorzej poprzez dyskietki startowe!





O23 - Usługi niestandardowe Windows NT/2000/XP/2003

"Miejsce" w systemie:

Proszę zaglądnąć TUTAJ a wszystko stanie się jasne. Temat do którego kieruję analizuje natywne usługi Windows XP (bez obaw: inne Windowsy typu NT mają usługi nieomal identyczne). W HijackThis ukażą się tylko usługi, które nie są standardowe = dodane wtórnie przez dodatkowy soft. Metodą usług posługują się też szkodniki różnego kalibru - głównie robaki sieciowe i trojany.

"Wygląd" w logu:

Przykłady: O23.html






O24 - ActiveDesktop

...... under construction ......

"Miejsce" w systemie:

Jest to funkcja Windows umożliwiająca wprowadzenie na Pulpicie lokalnego lub zdalnego pliku HTML, także "linkowanie" obrazów na Pulpicie. Dane te są zapisane w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components

Komponenty ActiveDesktop będą zapisane w tym kluczu w podkluczach numerycznych (numerowanie zaczyna się od zera w górę) np.:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\3

... etc. Te numery będą mieć odbicie w logu.

"Wygląd" w logu:

SZKODLIWE:

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
O24 - Desktop Component 0: (no name) - C:\Program Files\Internet Explorer\vikokifsuz.html
O24 - Desktop Component 0: (no name) - C:\Program Files\WindowsUpdate\polokijoj.html
O24 - Desktop Component 1: (no name) - C:\Program Files\Messenger\mejeh.html
O24 - Desktop Component 2: (no name) - C:\WINDOWS\system32\ad.html


PRAWIDŁOWE:

O24 - Desktop Component 0: (no name) - hxxp://photos.aukcje.wosp.org.pl/photos/wosp/oryginal/59/5963/59639
O24 - Desktop Component 1: (no name) - hxxp://www.pilskie.com/templates/rk_notebook/images/rk_notebook_r3_c1.jpg
O24 - Desktop Component 2: (no name) - file:///C:/DOCUME~1/darek/USTAWI~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 3: (no name) - file://E:\Moje obrazy\różne\Nowy folder (3)\Zdjecie 10.jpg
O24 - Desktop Component 4: (no name) - hxxp://www.zdjecia.pl/images/galeria/20051120Falowiec%20mr%F3wkowiec/dscn7856.jpg







.

Ten post został edytowany przez picasso: 27/04/2009, 23:30

Silent Runners

Pobierz: SilentRunners.vbs (prawy klik >>> Zapisz jako)
________________







Ściągamy linkowany wyżej plik na dysk. Plik podwójnie klikamy. Jeśli uruchomienie się powiedzie i nie będzie błędów (patrz niżej) otrzymamy takie tajemnicze pytanko które jest nieco podchwytliwe:



"Supplementary searches" oznacza wyszukiwanie dodatkowe i bardziej kompletne ale za to bardzo powolne. "Do You want to skip..." = czy chcesz ominąć:
- Zaznaczenie opcji Yes wygeneruje loga z pominięciem wyszukiwania plików desktop.ini
- Zaznaczenie opcji No wygeneruje log uwzględniający to szukanie (długo trwa)
Zatwierdzenie tego wyboru rozpocznie pracę narzędzia obwieszczoną komunikatem:



Od tego momentu odbywa się skan rejestru i kompletowanie loga i tu ... UWAGA ... Praca narzędzia odbywa się w sposób niewidoczny i to wygląda jakby się nic nie działo, ale macie czekać cierpliwie nawet jeśli będzie to trwać 3 minuty (teoretycznie trwa to tylko 30 sec)! Znakiem zakończenia pracy narzędzia jest komunikat:



Dopóki ten komunikat się nie pojawi log będzie niekompletny i obcięty! Log jest tworzony automatycznie w folderze w którym jest Silent Runners w postaci pliku Startup Programs (data-czas). TXT. Mamy więc loga, otwieramy go w Notatniku i przeklejamy jego zawartość do posta by pokazać picasso i spółce.






Norton lub inny antywirus zawiadamia o szkodliwym skrypcie

Pomyłka antywirusa Silent Runners jest programem skryptowym VBS a skrypty są często wykorzystywaną metodą przez wirusy /robaki. Program antywirusowy z wbudowaną funkcją filtrunku skryptów natychmiast wyłapuje próbę uchrumienia skryptu a że nie zna jego pochodzenia na oko ocenia go tylko na podstawie rozszerzenia VBS jako szkodliwy. Silent Runners NIE JEST SZKODLIWY i proszę w Nortonie autoryzować skrypt:




Po kliknięciu na VBS następuje prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku

Problemem jest wyłączone WSH Windowsa. Proszę z TEJ instrukcji wykonać włączenie WSH (narzędzie Noscript na Enable, skojarzyć otwieranie VBS z wscript.exe, ustawić domyślną akcję z Edytuj na Otwórz).


Komunikat "Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze"

Kolejna wariacja problemu wyżej świadcząca o wyłączonym WSH ale na bazie restrykcji w rejestrze. W TYM temacie jest opisana edycja rejestru którą trzeba wykonać na odwrót by to odblokować (Wartości Enabled przypisać liczbę 1 i zresetować komputer).


Komunikat "Brak aparatu skryptów dla plików o rozszerzeniu vbs"



Mój komputer >>> Narzędzia >>> Opcje folderów >>> Typy plików

Na liście znaleźć obecne rozszerzenie VBS >>> podświetlić je i skasować. Następnie wybrać opcję Nowe >>> wpisać nazwę VBS >>> kliknąć Zaawansowane >>> w rozwijalnej liście wybrać jako skojarzony typ VBSscript Script File >>> zatwierdzić = gotowe


Komunikat "This script requires WMI to run. Click on Start, Control Panel, Administrative Tools, Services, and start the WMI service."

Windows 2000/XP/2003: Jeśli usługa WMI jest włączona w services.msc to przypuszczalnie WMI nie pracuje poprawnie. Rozwiązaniem problemu jest przebudowanie bazy WMI wg kroków:

Start >>> Uruchom >>> cmd i komenda net stop winmgmt

Następnie opróżnić folder C:\WINDOWS\system32\wbem\Repository

Start >>> Uruchom >>> cmd i komenda net start winmgmt

Po tym restart komputera.


Komunikat "This script requires WMI to run. It can be downloaded at: ..."

Windows 95/98/NT: Te stare systemy nie posiadają składnika WMI. Proszę sobie ściągnąć i zainstalować:

Windows Management Instrumentation (WMI) CORE


Komunikat "Serwer zdalny nie istnieje lub jest niedostępny"

Dotyczy Windows XP SP2. Problem może tworzyć wyłączona jedna z usług Windows. Proszę:

Start >>> Uruchom >>> services.msc

Na liście znaleźć usługę o nazwie Program uruchamiający proces serwera DCOM >>> prawy klik >>> Właściwości >>> Typ startowy ustawić na Auto >>> zresetować komputer.



Komunikat "Could not create object named WScript.Shell" / "Nie można utworzyć obiektu o nazwie WScript.Shell"

Komunikt świadczy, że system nie jest zdolny w ogóle uruchamiać skryptów. W takim przypadku należy przemontować całą maszynę skryptową:

Windows Script 5.7 for Windows XP
Windows Script 5.7 for Windows 2000
Windows Script 5.7 for Windows Server 2003

Alternatywny link z wszystkimi pobieraniami dla wszystkich systemów (również starszych niż wyżej wymienione): Windows Script


Komunikat "The script cannot create its report file"



Dotyczy Windows XP a jest znakiem iż narzędzie nie może zapisać loga. Obejściem problemu jest skorzystanie z innej wersji Silent Runners: SilentRunnerRED.vbs gdy ukończy skorzystać z wersji oryginalnej.


Komunikat "... cannot use WMI to identify operating system. This is caused by corruption od WMI installation."



Komunikat świadczy iż WMI definitywnie nie działa w sposób poprawny gdyż nawet nie potrafi rozpoznać systemu operacyjnego. Rozwiązanie nie będzie na dłoni. Należy ściągnąć WMI Diagnosis Utility, wypakować i uruchomić WMIDiag.vbs. Działanie narzędzie jest prawie niewidoczne lecz czekać cierpliwie. Ukończenie jego pracy będzie obwieszczone podsumowującym komunikatem i samootwarciem loga. Tego loga należy pokazać do analizy.





Analiza loga:


Opiszę za jakiś czas. Na teraz zaznaczę jedną ważną rzecz:

Silent Runners TYLKO robi listę lokalizacji gdzie coś ewentualnie się czai a lista ta zawiera zarówno pozycje prawidłowe jak i szkodliwe. Nie ma żadnej bazy danych i nie potrafi ocenić wpisów które listuje. Jedyny mechanizm który jest wbudowany do Silent Runners to porównanie zastanych wpisów do domyślnych wpisów aplikowanych na Windows. W związku z tym możecie napotkać dwa rodzaje komunikatów w logu:

INFECTION WARNING! / HIJACK WARNING!

Wpis sugerujący zakażenie ale wcale nie znaczący iż jest to faktyczna infekcja! Ten zapis jedynie mówi iż skanowanie zwróciło nietypowy wpis w miejscu gdzie go nie powinno domyślnie być ale ocena tego faktu zostaje dla tego kto loga analizuje. Kilka przykładów wpisów które mimo towarzyszącego opisu "WARNING" są absolutnie nieszkodliwe:



EXECUTION UNLIKELY

Tak markowane wpisy to oznaczenie przez Silent Runners iż jest to obiekt nie wykorzystywany przez system. Teoretycznie do usuwania jako zbędny, w praktyce tego nie ruszamy. Bardzo rzadki przypadek.






.