mate-v-systemu-skodnou-zkuste-hijackthis
Software Článek Máte v systému škodnou? Zkuste HijackThis!

Máte v systému škodnou? Zkuste HijackThis! | Kapitola 3

Jiří Vašek

Jiří Vašek

28. 8. 2008 07:00 60

Seznam kapitol

1. Mám podezření na nákazu, co teď? 2. HijackThis - jak chápat jeho výpis? 3. HijackThis - Ox sekce

Povědomí uživatelů o bezpečnosti ve světě počítačů se neustále zvyšuje, bohužel počet počítačů roste ještě rychleji a obrovské množství systémů je nakaženo různými "breberkami". Dnes si ukážeme jeden způsob čištění vašich Windows od nechtěné nákazy, se kterou si běžné čistící programy nemusí poradit. Použijeme k tomu známou utilitu HijackThis.

Reklama

O1 - hosts redirect

Soubor hosts je obyčejný textový soubor, který slouží jako jakési jednoduché DNS proxy v každém systému. Typicky, kromě nějakého počátečního komentáře, obsahuje pouze jednu řádku
127.0.0.1 localhost
což v praxi znamená, že pokud napíšete v browseru http://localhost, automaticky se to přeloží na 127.0.0.1, a vůbec se nemusí dotazovat vašeho DNS serveru. Hosts může využívat mnoho antispywarového softwaru pro jakousi imunizaci. Stejně tak může hosts využívat i spyware, kdy v dobré víře jdete na nějaký web považovaný za bezpečný, a pomocí hosts je vám podvržena falešná IP adresa.

Obvykle HijackThis žádný O1 nenajde, pokud ano, prověřte jej. Pokud obsahuje nějakou podivnou IP adresu a za ní naopak známé URL, může se jednat o pokus o podvrh.

O2 - browser helper objects, O3 - toolbars

HijackThis obvykle vypíše několik O2 či O3 záznamů, jedná se totiž o rozšíření Internet Exploreru, které je často využíváno mnoha programy. Typická instalace systému obsahuje BHO pro Adobe Reader, Google Toolbar, nějaké antiviry a další neškodné programy. Rozumným postupem proto je zkontrolovat každý řádek, a pokud obsahuje nějaký vám neznámý název programu nebo adresu, je třeba ji prověřit, například pomocí tohoto seznamu - X znamená škodlivý, L znamená neškodný.

O4 - programy po spuštění

Možná nejběžnější místo, kam se malware rád zahnízdí. O4 vypisuje všechny možné větve registru, sloužící ke spouštění programů při startu Windows, a vypisuje také obsah složky Po spuštění. Zde je opět nutné zkontrolovat řádek po řádku, a neznámé aplikace prověřit - například pomocí tohoto seznamu - X znamená škodlivý, L znamená neškodný.

O5, O6, O7 - nestandardní nastavení Internet Exploreru

O5 znamená skrytou ikonu Možnosti Internetu v Ovládacích panelech, O6 zákaz hlavního okna v Možnostech Internetu, O7 zákaz přístupu k registru přes regedit.exe. Pokud správce počítače (nebo vy) tyto možnosti nastavil, jedná se jen o informaci. Pokud si toto nepřejete, fixnutí uvede zmíněné položky do standardního nastavení.

O8 - extra položky v kontextovém menu IE, O9 - extra tlačítka v IE

Podobná situace, jako u O2, O3 nebo O4. Pokud jsou vypsané O8 či O9 vám známé, je to v pořádku. Pokud narazíte na neznámou položku, je třeba ji prověřit. Obvykle zde naleznete něco příbuzné s MS Office. Vhodným seznamem pro kontrolu je tento.

O10 - Winsock

Winsock je síťovou záležitostí a oblíbeným cílem některého komplexnějšího spywaru, například New.net. Čistící programy (antivir, antispyware) jsou obvykle schopny tento spyware odstranit, ale už neuvedou Winsock do původního stavu. HijackThis umí na tento problém upozornit, bohužel už je na vás si s ním poradit (google, zkušenější uživatel). Pro kontrolu použijte například tento seznam.

O11 - pokročilé možnosti Internet Exploreru

Jediný známý škůdce využívající tuto možnost, je CommonName, takže pokud takovéto O11 HijackThis vypíše, fixněte.

O12 - pluginy v Internet Exploreru

O12 obvykle obsahuje bezpečné pluginy, jako například Adobe Reader plugin. Jediný známý škůdce v této oblasti je OnFlow plugin s příponou .OFB, takže jej případně fixněte.

O13 - IE default prefix hijack

Pokud zadáte v IE nějakou URL adresu bez počátečního udání http protokolu, za normálních okolností IE tuto situaci rozpozná a správně http doplní. Některý malware má ovšem ve zvyku toto změnit, tak aby se při zadání neúplné adresy vše přesměrovalo právě na nechtěné stránky. O13 je obvykle bezpečné fixnout, snad jen pokud jste nějakou změnu neudělali sami, což s největší pravděpodobností ne.

O14 - Reset web settings hijack

Podobně jako v případě O13, také výpis O14 znamená nestandardní stav. V tomto případě O14 znamená vašeho poskytovatele internetu - v našich končinách je toto nastavení snad úplně na vymření, pamatuji se že kdysi v dobách vytáčeného internetu "zdarma" měli poskytovatelé v oblibě toto nastavit. Jedná se pouze o informaci, nic nebezpečného, ovšem fixnutím nezkazíte také nic.

O15 - Důvěryhodné adresy v Internet Exploreru

Standardní nastavení IE neobsahuje žádnou důvěryhodnou adresu, ale při mírně striktnějším nastavení je vhodné vložit do důvěryhodných například servery Microsoftu kvůli Windows Update. O15 všechny tyto adresy vypíše, pokud nějakou z nich neznáte a jste si jisti, že jste ji do důvěryhodných neuložili, fixněte. Toto nastavení má ve zvyku měnit především AOL (bezpečné) a CoolWebSearch (nebezpečný agresivní malware).

O16 - Downloaded Program Files (ActiveX komponenty IE)

HijackThis vypisuje pouze nestandardní ActiveX komponenty, které byly do IE přidány po instalaci systému. Obvykle se zde nachází ActiveX WindowsUpdate. Pokud nějakou z komponent nepoznáváte, je vhodné ji prověřit, ActiveX již dnes není primárním cílem malware, ale stále na něj můžete natrefit, opět použijte například tento seznam.

O17 - Lop.com domain hijacks

O17 obvykle vypisuje DNS server, přidělený vám vaším ISP. Některý spyware má však ve zvyku nahradit jej svým vlastním DNS, a efektivně tak přesměrovat adresy na jiné IP, než jste zvyklí. Je vhodné zkontrolovat, zda vypsané DNS je opravdu vaše, a pokud si nejste jisti, použijte google.

O18 - Extra protocols and protocol hijackers

Situace podobná jako v předchozích případech. Pokud nepoznáváte některý z vypsaných záznamů, je vhodné jej prověřit. K tomu pomůže například tento seznam - L znamená bezpečný, X znamená nebezpečný a určený k fixnutí, O nebo ? znamená diskutabilní a je nutné ještě hledat další informace.

O19 - User style sheet hijack

Pokud narazíte na O19, s největší pravděpodobností jste se stali obětí CoolWebSearch. Nejlepší možností je nefixovat jej v HijackThis, ale použít CWShredder.

O20 - AppInit_DLLs registry value autorun

Poněkud méně známý způsob, jak automaticky spustit program (v tomto případě nahrát DLL knihovnu) při startu systému. Dnes je tato cesta využívána velmi zřídka legitimním softwarem, naopak agresivní malware se sem nacpe rád. Takže pokud objevíte vám neznámou DLL knihovnu, prověřte ji, například pomocí tohoto seznamu - L znamená bezpečný, X nebezpečný a určený k fixnutí, O nebo ? znamená diskutabilní a je nutné ještě hledat další informace. Pozor, pokud si nejste jisti, postupujte s nejvyšší opatrností, mazat bezpečný záznam by se vám tady mohlo vymstít.

O21 - SSODL autorun

Podobně jako v případě O20, jedná se o zřídka využívaný způsob automatického spuštění při startu. A také občas využívaný malwarem. Opět je nutno postupovat velmi opatrně, neznámé kousky prověřit, například opět pomocí tohoto seznamu. A stejně tak je třeba při likvidaci dát pozor na legitimní komponenty.

O22 - SharedTaskScheduler autorun

Třetí zřídka používaný způsob spouštění aplikací při startu, opět postupujte opatrně, a využijte tento seznam.

O23 - Services

Služby jsou v podstatě také programy, které se spouštějí při startu systému. Existuje pro ně ovšem jednotné ovládací rozhraní. Některý malware má ve zvyku se maskovat jako legitimní služba, a je proto záhodno služby pozorně prozkoumat. Seznam běžných služeb najdete v našem starším článku (pro Windows Vista), případně v ještě starším článku (pro Windows XP), a nebo v rozsáhlé databázi služeb s informacemi o škodlivosti a postupem odstranění.

Pokud pomocí HijackThis fixnete nějakou službu, dojde k jejímu zastavení a zakázání, ovšem samotný kód služby bude dál existovat na disku, a je třeba jej smazat ručně.

O24 - ActiveX desktop components

Už od dob Windows 98 a zavedení Active Desktopu je možné umístit aktivní obsah na plochu. Tento způsob zkrášlení plochy se nikdy moc neprosadil, ale představuje možné bezpečnostní riziko, typicky jej zneužívá SmitFraud malware, různé podvodné rádobyčističe (AVGold, Raze AntiSpyware, AlfaCleaner, TopAntispyware) a další ksindl. Za normálních okolností žádné O24 nenajdete, takže pokud nějaké vysloveně nechcete, je bezpečné fixnout.

A co dál?

HijackThis je velmi mocná utilita, ovšem je nutné se s ní naučit zacházet. Rozhodně nenabízí takový komfort jako automatické skenery typu Spybot, ale to ani principielně není možné. Čištění systému pomocí HijackThis je o něco složitější a zdlouhavější, ale je možné tak odhalit jinak neviditelnou infekci.

Máte v systému škodnou? Zkuste HijackThis!
i Zdroj: PCTuning.cz

Tento článek bych rád použil jako pomůcku pro uživatele našeho fóra, kteří si nevědí rady s rozluštěním HijackThis logu - doufám, že jsem vám pomohl alespoň trochu.

HijackThis download - web TrendMicro, alternativní zdroj WhatTheTech.com

Zdroje informací: Aumha.org, Bleepingcomputer.com

Předchozí
Další
Reklama
Reklama

Komentáře

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

Google Seznam
Reklama
Reklama