Interpretacja logów z HijackThis

[phancy]

Interpretacja logów
topic under construction


Nie jest to sprawa łatwa, ale może ten tutorial choć odrobinę pomoże wam "poczuć bluesa". Można się tego nauczyć jedynie w jeden sposób - praktyka, praktyka i jeszcze raz praktyka. Na dobry początek kilka linków, przydatnych przy sprawdzaniu.

[Aby zobaczyć linki, zarejestruj się tutaj]

-> Absolutna podstawa. Nie znasz jakiegoś pliku? Wrzucaj go w google i sugeruj się wpisami na innych forach.

[Aby zobaczyć linki, zarejestruj się tutaj]

-> Encyklopedia systemowych procesów.

[Aby zobaczyć linki, zarejestruj się tutaj]

-> jw.

[Aby zobaczyć linki, zarejestruj się tutaj]

-> Lista BHO

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

-> Pokazuje dane o IP.

R0, R1, R2, R3 - Strony startowe i wyszukiwarki Internet Explorera
F0, F1 - Autostart programów z plików win.ini i system.ini
F2, F3 - Autostart programów z mapy miejsc zakodowanej w rejestrze
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli/Netscape
O1 - Restrykcje pliku HOSTS
O2 - Browser Helper Objects
O3 - Dodatkowe paski narzędziowe w Internet Explorerze
O4 - Autostart programów
O5 - Ikona opcji IE niewidoczna w Panelu Sterowania
O6 - Dostęp do opcji IE zablokowany przez Administratora
O7 - Dostęp do edytora rejestru zablokowany przez Administratora
O8 - Dodatkowe opcje w menu z prawokliku IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu Narzędzia w IE
O10 - Hijackery łańcucha Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12 - Wtyczki IE
O13 - Domyślny prefix IE
O14 - ‘Reset Web Settings’ hijack
O15 - Niechciane strony w Zaufanych Witrynach i ProtocolDefaults
O16 - Kontrolki ActiveX
O17 - Szpiegowska akcja Lop.com i DNS''y
O18 - Extra protokoły
O19 - User style sheet hijack
O20 - AppInit_DLLs
O21 - ShellServiceObjectDelayLoad (SSODL)
O22 - SharedTaskScheduler autorun Registry key
O23 - Usługi

[phancy]

R0, R1, R2, R3

Strony startowe i wyszukiwarki Internet Explorera

Wpisy pokazujące strony startowe i wyszukiwarki Internet Explorera. Usuwamy, jeśli nie były ustawiane przez nas. Nie ma to żadnych skutków ubocznych.

R0

Szkodliwe:

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = c:secure32.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = mk:@MSITStore:C:WINDOWSstart.chm::/start.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = mk:@MSITStore:C:spestart.chm::/start.html#
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

- HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = c:searchpage.html#1504

Prawidłowe:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1

Szkodliwe:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = javascriptwindow.close()
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = c:secure32.html
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

[Aby zobaczyć linki, zarejestruj się tutaj]

Serwer Proxy:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = w3cache.piotrkow.net.pl:8080

R2
To wejście nie jest na razie pokazywane przez Hijacka.


R3
Wejścia R3 zawsze usuwamy, chyba, że jest to program instalowany przez nas.

Szkodliwe:

R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - Crogram Files MyWebSearch SrchAstt1.binMWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - Crogram Files SurfSideKick 3 SskBho.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - {1F8D4189-0D3A-43BB-9854-EB94239642FC} - C:WINDOWSsystem32 Ypwt.dll

Prawidłowe:

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - CROGRA~1NEOSTR~1SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - CROGRA~1COPERN~3COPERN~4.DLL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - Crogram FilesICQToolbartoolbaru.dll

Wpisy z kreseczką:
Czasami zdarza się, że wpis ma „_” przed numerkiem CLSID.

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: (no name) - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB}_ - (no file)

Hijack nie może sobie poradzić z usunięciem takiego wpisu, więc on upierdliwie powraca.

Uruchamiamy edytor rejestru:
Start -> Uruchom -> regedit

Odszukujemy klucz HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks
i z prawokliku kasujemy wpisy z _kreseczką_.

[phancy]

F0, F1

Autostart programów z plików win.ini i system.ini

F0

F0 to wpis Shell=w pliku system.ini . Jego wartość powinna wynosić explorer.exe . Wejścia F0 zawsze są szkodliwe, więc je fiksujemy.

Szkodliwe:

F0 - system.ini: Shell=Explorer.exe C:WINDOWSsystem32 winmgd.win
F0 - system.ini: Shell=Explorer.exe Openme.exe
F0 - system.ini: Shell=
F0 - system.ini: Shell=Explorer.exe c:windows msmsgs.exe
F0 - system.ini: Shell=Explorer.exe c:windowssystem32 msiexec16.exe
F0 - system.ini: Shell=Explorer.exe C:WINDOWSSystem32 cmd32.exe

Wyjątkiem od reguły są alternatywne shelle innych firm, zastępujące ten windowsowy np:

Prawidłowe:

F0 - system.ini: Shell=C:Astonaston.exe ,svchost.exe
F0 - system.ini: Shell=C:AstonShellSwp.exe ,svchost.exe

F1

F1 to wpisy run=i load=w pliku win.ini . Wejście run= jest używane przez starsze programy, a wejście load= przez sterowniki. Najczęściej jednak rezydują tam wszelkiej maści syfy.

Szkodliwe:

F1 - win.ini: run= iexpIore.exe
F1 – win.ini: run=C:WINDOWS inet10055 services.exe
F1 - win.ini: run=C:WINDOWS inetdata services.exe
F1 - win.ini: run=C:WINDOWSsystem32 services y.exe
F1 - win.ini: run=Crogram FilesWindows Media Player services.exe
F1 - win.ini: run= Melis.exe
F1 - win.ini: run= arquivo.exe
F1 - win.ini: run=C:WINDOWSsystem32 mouse_configurator.win
F1 - win.ini: load=???
F1 - win.ini: load=c: 01comm32 bin\01comm32.exe
F1 - win.ini: run=E:windowssystem32 explorer32.exe

Prawidłowe:

F1 - win.ini: run=hpfsched
F1 - win.ini: load=C:slownikwatch.exe
F1 - win.ini: load=C:YDPDictwatch.exe

[phancy]

F2, F3

Autostart programów z mapy miejsc zakodowanej w rejestrze

Są to odpowiedniki plików system.ini i win.ini w rejestrze Windowsów 2003, XP, NT. Wykorzystują one za to funkcję IniFileMapping . Zawartość plików .ini jest lokalizowana w osobnych kluczach, więc kiedy uruchamiasz program, odczytujący ustawienia z takiego pliku, uruchamiany jest klucz z mapą miejsc ustawień:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping


F2

F2 pokazuje wartości Shell i Userinit w kluczu:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Szkodliwe:

F2 - REG:system.ini: Shell=Explorer.exe msdnxp.exe
F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe,msdnxp.exe
F2 - REG:system.ini: Shell=Explorer.exe MS32.exe
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,MS32.exe
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe
F2 - REG:system.ini: UserInit=C:WINNTsystem32userinit.exe,C:WINNT sysctl.exe
F2 - REG:system.ini: Shell=Explorer.exe D:WINDOWSsystem32 fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
F2 - REG:system.ini: Shell=
F2 – REG:system.ini: Shell=Explorer.exe mcafee32.exe
F2 - REG:system.ini: Shell=explorer.exe "Crogram FilesCommon FilesMicrosoft SharedWeb Folders ibm00003.exe "

Prawidłowe:

F2 - REG:system.ini: Shell=C:Astonaston.exe ,svchost.exe
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,,SKEYS /I

F3


Szkodliwe:

F3 - REG:win.ini: run=C:WINDOWS inet20001 winlogon.exe
F3 - REG:win.ini: run=
F3 - REG:win.ini: run=C:WINDOWS inet20003 services.exe
F3 - REG:win.ini: run=C:windows svchost.exe
F3 - REG:win.ini: run=C:WINDOWS inet20099 services.exe
F3 - REG:win.ini: load= ,,,DTMONX.EXE
F3 - REG:win.ini: run=c:windowssystem32 include svchost.exe
F3 - REG:win.ini: load=C:WINDOWSSystem32 scvhost.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???

Prawidłowe:

F3 - REG:win.ini: load=C:YDPDictwatch.exe
F3 - REG:win.ini: load=C:WINDOWSTWAIN_32VividVIVID.EXE

Pamiętaj, że przy usuwaniu Hijack usuwa jedynie sam wpis. Powiązany plik musisz usuwać ręcznie.

[phancy]

N1, N2, N3, N4

Strony startowe i wyszukiwarki Mozilli/Netscape

Strony startowe i wyszukiwarki Mozilli i Netscape''a zazwyczaj są bezpieczne. Jedynym znanym szpiegiem, który potrafi im zaszkodzić jest Lop.com . Jednak jeśli dojrzymy coś podejrzanego, wystarczy zafiksować podane wejście za pomocą Hijacka.

N1- Netscape 4
N2- Netscape 6
N3- Netscape 7
N4- Mozilla

Szkodliwe:

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.vnbldfvumad.net/dWCWuAreAqU44vYj4dXP8mUGEpglL9Gxf5o5LNnUNS0.html");
nuser_pref("browser.startup.page", 1); (Crogram FilesNetscapeUsersjohnprefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.lop.com"); (Crogram FilesNetscapeUsersgigi_wopchopprefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "mysearchnow.com"); (Cocuments and SettingsGebruikerApplication DataMozillaProfilesdefault4b94nbav.sltprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://kujiutunfcocelamijiuw.com/O2oXL_MLccTSCA1X7TWHzE676ZDGsOhzmiw62B0AHPk.asp")
;nuser_pref("browser.startup.page", 1); (Cocuments and SettingsOwnerApplication DataMozillaProfilesdefaultme8kmpp6.sltprefs.js)

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.thcomisdfrqi.com/9ZqhA7UMj1lhQfV0H7S8sCD9UCtXOIlWMa8yqy14e_E.html");
(Cocuments and SettingsPropriĂŠtaireApplication DataMozillaProfilesdefaulti8wy2btg.sltprefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.jnegjgcuehdbwzgkbz.com/WtYylY5ZdKYFj1xEsyHzQ3wE5i0Yl_iAYGibyFiqUpk.asp" );nuser_pref("browser.startup.page", 1); (Cocuments and SettingsaLiMApplication DataMozillaProfilesdefaultvwenp6w1.sltprefs.js)

N4 - Mozilla: user_pref("browser.startup.homepage", "aboutblank"); (Cocuments and SettingsbriyuApplication DataMozillaProfilesdefault3toslckj.sltprefs.js)
N4 - Mozilla: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (Cocuments and SettingsbriyuApplication DataMozillaProfilesdefault3toslckj.sltprefs.js)

Prawidłowe:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:/Program Files/Netscape/Users/default/prefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.netscape.com/"); (crogram FilesNetscapeUsersbgallwayprefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.msn.com"); (Crogram <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (Cocuments and SettingsFamilyApplication DataMozillaProfilesdefaultvhdagj6a.sltprefs.j s)

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_1/home.html"); (Cocuments and SettingsKirApplication DataMozillaProfilesdefaultsij0wvc1.sltprefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%
5Csearchplugins%5CSBWeb_01.src"); (Cocuments and SettingsKirApplication DataMozillaProfilesdefaultsij0wvc1.sltprefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "www.espn.com"); (Cocuments and SettingsJoseph CarboneApplication DataMozillaProfilesdefaultrdqfu7c6.sltprefs.js)

N4 - Mozilla: user_pref("browser.startup.homepage", "http://www.mozilla.org/start/"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.j s)
N4 - Mozilla: user_pref("browser.search.defaultengine", "engine://G%3A%5CProgram%20Files%5Cmozilla.org%5CMozilla%5Cs earchplugins%5Cgoogle.src"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.js)
N4 - Mozilla: user_pref("browser.startup.homepage", "http://www.mozilla.org/start/"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.j s)

[phancy]

O1

Restrykcje pliku HOSTS .

Lokalizacja:

• Windows 98- C:WINDOWSHOSTS
  
• Windows ME- C:WINDOWSHOSTS
  
• Windows XP - C:WINDOWSSYSTEM32DRIVERSETCHOSTS
  
• Windows NT- C:WINNTSYSTEM32DRIVERSETCHOSTS
  
• Windows 2000 - C:WINNTSYSTEM32DRIVERSETCHOSTS
  
• Windows 2003 - C:WINDOWSSYSTEM32DRIVERSETCHOSTS

Plik ten może być wykorzystywany przez szpiegów w dwojaki sposób – do blokowania prawidłowych stron, np. antywirusowych:

127.0.0.1

[Aby zobaczyć linki, zarejestruj się tutaj]

I do tworzenia przekierowań na fałszywe wyszukiwarki:

216.177.73.139 auto.search.msn.com

Plik ten możemy edytować w dowolnym edytorze tekstowym, np. notatniku. Wygląda on tak:

# Copyright © 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem ''#''.
#
# Na przykład:
#
#102.54.94.97 rhino.acme.com# serwer źródłowy
# 38.25.63.10 x.acme.com# komputer kliencki x

127.0.0.1 localhost

Jeśli nie wprowadzaliśmy jakiś własnych wpisów lub widzimy w pliku nieznane, bezpiecznie usuwamy je za pomocą Hijacka.

Szkodliwe:

O1 - Hosts: 64.237.45.18

[Aby zobaczyć linki, zarejestruj się tutaj]

O1 - Hosts: 64.237.45.18 oz.valueclick.com
O1 - Hosts: 64.237.45.18 a.tribalfusion.com
O1 - Hosts: 64.237.45.18 servedby.advertising.com
O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
O1 - Hosts: 65.32.86.213 game.ryl.com.my
O1 - Hosts: 65.32.86.213 nprotect.ryl.com.my

Prawidłowe:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255

[Aby zobaczyć linki, zarejestruj się tutaj]

O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O1 - Hosts: 165.145.61.237 l2authd.lineage2.com
O1 - Hosts: nProtect.lineage2.com

Czysty plik HOSTS można odzyskać, pobierając

[Aby zobaczyć linki, zarejestruj się tutaj]

. Po uruchomieniu programu wystarczy wybrać Restore Original Hosti już możemy się cieszyć dziewiczym pliczkiem.

[phancy]

O2

Browser Helper Objects

Są to dodatki rozszerzające funkcjonalność Twojej przeglądarki. Mogą być zarówno pożyteczne, jak i szkodliwe. Sam wiesz, co instalujesz, jednak jeśli kompletnie nie masz pojęcia, co to za wpis, szukasz go po numerku CLSID na stronce

[Aby zobaczyć linki, zarejestruj się tutaj]

lub

[Aby zobaczyć linki, zarejestruj się tutaj]

.
Wpisy BHO rezydują oczywiście w rejestrze w kluczu:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

Jeśli jest taka możliwość najpierw deinstalujemy BHO za pomocą Dodaj/Usuń programy . Potem otwieramy Hijacka i zaznaczamy wpisy syfu. Podczas usuwania wpisu, zazwyczaj usuwany jest także plik powiązany z nim. Jeśli jednak to nie nastąpi, usuwasz plik ręcznie.

Szkodliwe:

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - CROGRAM FILES MYWEBSEARCH SRCHASTT1.BINMWSSRCAS.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:/Program Files/ NewDotNet /newdotnet3_88.dll
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:/Program Files/ AproposClient /AproposPlugin.dll
O2 - BHO: (no name) - {902D085A-1964-42EA-8D8F-1E35B2D8164E} - C:WINDOWSSystem32 mfndmea.dll
O2 - BHO: (no name) - {7262596F-CFE5-4FCD-B0B8-5B15E7646320} - C:WINDOWSsystem32 goea.dll
O2 - BHO: (no name) - {168A83DA-A78D-4B5C-A8EE-01FF612E9E61} - (no file)

Prawidłowe:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - Crogram FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - Crogram FilesJavajre1.5.0_09binssv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Program Files/Spybot - Search & Destroy/SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:/Program Files/FlashGet/jccatch.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - Crogram FilesNorton AntiVirusNavShExt.dll

[phancy]

O3

Dodatkowe paski narzędziowe w Internet Explorerze

Ulokowane są poniżej paska adresowego w IE i wyglądają mniej więcej tak:

[Aby zobaczyć linki, zarejestruj się tutaj]

Podobnie jak BHO rezydują w rejestrze, tym razem w kluczu:

HKLMSOFTWAREMicrosoftInternet ExplorerToolbar

Widentyfikacji pomogą nam wymienione wyżej listy

[Aby zobaczyć linki, zarejestruj się tutaj]

lub

[Aby zobaczyć linki, zarejestruj się tutaj]

. Podczas usuwania wpisu, zazwyczaj usuwany jest także plik powiązany z nim. Jeśli jednak to nie nastąpi, usuwasz plik ręcznie.

Szkodliwe:

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - Drogram Files MyWay myBar1.binMYBAR.DLL
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - Crogram Files ISTbar istbar.dll
O3 - Toolbar: oqeaealykng - {6bf2f755-0534-4e8e-a4fc-07957af4d702} - COCUME~1DWAYNE~1APPLIC~1 crthouagrou.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

Prawidłowe:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - CROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - CROGRA~1MEGAUP~1MEGAUP~1.DLL
O3 - Toolbar: IDA Bar - {C70E30C7-140A-4166-A2E8-43557E62B41A} - Crogram FilesIDAidabar.dll

[phancy]

O4

Autostart programów

Ulubione miejsce rezydowania szkodników. Wpisy w tej sekcji odpowiadają za autostart danych programów wraz ze startem systemu. Wniosek? Wpis syfka tutaj umożliwia mu uruchomienie się samoczynnie kiedy startuje Windows. Rozpoznanietakiego wpisu nie jest proste, gdyż szkodniki przybierają nazwy podszywające się pod znane aplikacje bądź windowsowskie komponenty. Jeśli więc czegoś nie znamy od razu korzystamy z naszego największego przyjaciela –

[Aby zobaczyć linki, zarejestruj się tutaj]

. Bardzo przydatna tutaj jest także

[Aby zobaczyć linki, zarejestruj się tutaj]

. Programy startują z dwóch, a właściwie z trzech lokalizacji: z rejestru, z folderu autostartu danego konta, i globalnego folderu autostartu.

Rejestr

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit
  
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

Folder Autostart pojedynczego konta użytkownika - Startup

Cocuments and SettingsNazwa Twojego kontaMenu StartProgramyAutostart

Globalne foldery autostartu – Global Startup

Cocuments and SettingsAll UsersMenu StartProgramyAutostart

Szkodliwe:

O4 - HKLM..Run: [zango]"c:program files zango zango.exe"
O4 - HKLM..Run: [WindowsServicesStartup]COCUME~1ADMINI~1LOCALS~1Temp svchost.exe
O4 - HKLM..Run: [Administrator]c:WINDOWS lsass.exe
O4 - HKLM..Run: [IpWins]Crogram Files ipwins ipwins.exe
O4 - HKLM..Run: [{0C590E6A-0682-1045-1007-030309100030}]"Crogram FilesCommon Files {0C590E6A-0682-1045-1007-030309100030} Update.exe" mc-110-12-0000272
O4 - HKCU..Run: [rizu]CROGRA~1COMMON~1 rizu rizum.exe
O4 - HKCU..Run: [Rsua]"Crogram Files odem ieea.exe" -vt mt
O4 - HKCU..Run: [Windows installer]C: winstall.exe
O4 - HKCU..Run: [WhenUSave]"Crogram Files Save Save.exe"
O4 - HKCU..Run: [WinUpdate]"C:WINDOWSsystem32 mcgqfnmd900125.exe "
O4 - Global Startup: Uninstall.exe ... Cocuments and SettingsAll UsersMenu StartProgramyAutostart Uninstall.exe

Prawidłowe:

O4 - HKLM..Run: [ccApp]"crogram FilesCommon FilesSymantec SharedccApp.exe"
O4 - HKLM..Run: [ATIPTA]"Crogram FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [SunJavaUpdateSched]"Crogram FilesJavajre1.5.0_09binjusched.exe"
O4 - HKLM..Run: [avgnt]"Crogram FilesAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [NvCplDaemon]RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz]nwiz.exe /install
O4 - HKCU..Run: [Gadu-Gadu]"Crogram FilesGadu-Gadugg.exe" /tray
O4 - HKCU..Run: [Skype]"Crogram FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [Odkurzacz-MCD]Crogram FilesOdkurzaczodk_mcd.exe
O4 - Startup: flashget.lnk = C:/Program Files/FlashGet/flashget.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOfficeOSA9.EXE

Błędy Windowsa:

O4 - HKLM..Run: [KernelFaultCheck]%systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [UserFaultCheck]%systemroot%system32dumprep 0 –u

Nic szkodliwego, ale można bezpiecznie fiksować.

Reszta poprawnych wpisów, ktore niepotrzebnie spowalniają start systemu dostępna

[Aby zobaczyć linki, zarejestruj się tutaj]

[phancy]

O5

Ikona opcji IE niewidoczna w Panelu Sterowania

[Aby zobaczyć linki, zarejestruj się tutaj]

Chodzi właśnie o tę ikonkę, znajdującą się w Panelu Sterowania. Jeśli jej nie ma, a sam nie ustawiałeś podobnej rzeczy, usuwasz w Hijacku następujące wejście:

O5 - control.ini: inetcpl.cpl=no

[phancy]

O6

Dostęp do opcji IE zablokowany przez Administratora

Zablokowanie uruchamiania opcji internetowych objawia się następującym komunikatem:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedzialny jest za to wpis:

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

Jeśli sam się nie bawiłeś w restrykcje to usuwasz to wejście. Szczególną uwagę powinni zwrócić na to użytkownicy Spybot Search & Destroy , gdyż program ten samoczynnie wprowadza wyżej wymienioną blokadę.

[phancy]

O7

Dostęp do edytora rejestru zablokowany przez Administratora

Przy próbie uruchomienia edytora rejestru, otrzymujemy następujący komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]

Winny temu jest jeden niepozorny wpis:

O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Usuwamy czym prędzej, chyba że jesteśmy na limitowanym koncie.

[phancy]

O8

Dodatkowe opcje w menu z prawokliku IE

Wygląda to mniej więcej tak (podświetlona pozycja):

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystkie wymienione tutaj wpisy siedzą w kluczu:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

Jeśli coś instalowaliśmy to zostawiamy, jeśli nie, to usuwamy. Podczas kasacji wpisu leci tylko wejście w rejestrze, powiązany plik musisz usunąć sam.

Szkodliwe:

O8 - Extra context menu item: &Search -

[Aby zobaczyć linki, zarejestruj się tutaj]

O8 - Extra context menu item: Web Rebates. -

[Aby zobaczyć linki, zarejestruj się tutaj]

FilesWebRebates4websrebateswebtrebatestoprC0.htm
O8 - Extra context menu item: &Search -

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawidłowe:

O8 - Extra context menu item: E&ksport do programu Microsoft Excel -

[Aby zobaczyć linki, zarejestruj się tutaj]

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_06binssv.dll
O8 - Extra context menu item: &Google Search -

[Aby zobaczyć linki, zarejestruj się tutaj]

FilesGoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ieSpell Options -

[Aby zobaczyć linki, zarejestruj się tutaj]

FilesieSpelliespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Backward &Links -

[Aby zobaczyć linki, zarejestruj się tutaj]

FilesGoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -

[Aby zobaczyć linki, zarejestruj się tutaj]

FilesGoogleGoogleToolbar2.dll/cmcache.html

[phancy]

O9

Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu Narzędzia w IE

Wygląda to mniej więcej tak:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Siedzi w kluczu:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions

Szkodliwe:

O9 - Extra button: ?????? (HKLM)

Prawidłowe:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_09binssv.dll
O9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_09binssv.dll
O9 - Extra button: Messenger (HKLM)
O9 - Extra ''Tools'' menuitem: Messenger (HKLM)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exeO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - CROGRA~1MICROS~3OFFICE11REFIEBAR.DLL

[phancy]

O10

Hijackery łańcucha Winsock

Łańcuch Winsock jest odpowiedzialny za poprawne funkcjonowanie połączeń internetowych. Jedna fałszywa operacja = net kaput. Dlatego, kiedy widzimy w logu coś takiego,zaczyna się panikowanie:

O10 - Broken Internet access because of LSP provider ''imon.dll'' missing

I tu zatrzymamy się na dłuższa chwilkę. Owszem, takie wpisy sieją grozę, samo „Broken Internet access” i „missing” może nieźle podnieść ciśnienie. Jednakże takie wpisy nie zawsze są szkodliwe. Wyżej wymieniony powstał w wyniku działalności antywirusa NOD32. Jednak cóż zrobić, kiedy wiemy, że coś naprawdę powstało z syfu? Wejść w Hijacku fiksować nie można, gdyż pokaszanimy sobie net totalnie. Z pomocą przychodzi nam tutaj

[Aby zobaczyć linki, zarejestruj się tutaj]

.

[Aby zobaczyć linki, zarejestruj się tutaj]

To akurat screen z mojego czystego kompa. Jeśli jednak mamy szkodliwy plik, podświetlamy go, zaznaczamy „I know what I’m doing...”i przenosimy strzałeczkami do okienka Remove , klikamy Finishi restart kompa.

Szkodliwe:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider ''c:windowswebhdll.dll'' missing
O10 - Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 - Unknown file in Winsock LSP: c:winntsystem32msvrl.dll

Prawidłowe:

O10 - Unknown file in Winsock LSP: c:program filesf-securefspsprogramfslsp.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:program filesmks_vir_2007bin\mkslsp.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:winntsystem32oplsp.dll

Bardzo przydatna lista wejść dostępna

[Aby zobaczyć linki, zarejestruj się tutaj]

.

Ratunku! Zapomniałem o tym i z rozmachu usunąłem to ręcznie!

Brak netu, sieczka w Winsocku - bywa i tak Ale spokojnie: istnieje narzędzie

[Aby zobaczyć linki, zarejestruj się tutaj]

.

[Aby zobaczyć linki, zarejestruj się tutaj]

Po uruchomieniu klikamy na Fixi po restarcie powinno wszystko śmigać.

[phancy]

O11

Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane

[Aby zobaczyć linki, zarejestruj się tutaj]

Rezyduje w kluczu:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions


Jedynym szpiegiem, który aplikuje te dodatki tam jest CommonName – widoczny na screenie. Jeśli zobaczymy coś takiego, usuwamy bezzwłocznie. Jeśli natomiast nie jesteśmy pewni, co to – odsyłam do najlepszego przyjaciela internauty, czyli google.

Szkodliwe:

O11 - Options group: [CommonName]CommonName

Prawidłowe:

O11 - Options group: [INTERNATIONAL]International*
O11 - Options group: [TABS]Tabbed Browsing
O11 - Options group: [JAVA_IBM]Java (IBM)

[phancy]

O12

Wtyczki IE

Ta sekcja zawiera dodatkowe Pluginy do IE. Wiele z nich jest prawidłowych, więc przed kasacją upewnij się, że na pewno jest to wejście szkodliwe. Do tej pory jedynym znanym szpiegiem używającym tego wejścia jest OnFlow .

Klucz odpowiedzialny: HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugin

Szkodliwe:

O12 - Plugin for .ofb: Crogram FilesInternet ExplorerPluginsNPONFLOW.DLL

Prawidłowe:

O12 - Plugin for .exe: Crogram FilesOperaPLUGINSNPFgc1.dll
O12 - Plugin for .spop: Crogram FilesInternet ExplorerPluginsNPDocBox.dll
O12 - Plugin for .ZIP: Crogram FilesOperaPLUGINSNPFgc1.dll
O12 - Plugin for .mid: Crogram FilesInternet ExplorerPLUGINSnpqtplugin2.dll
O12 - Plugin for .mpeg: Crogram FilesInternet ExplorerPluginsnpqtplugin.dll
O12 - Plugin for .pdf: Crogram FilesInternet ExplorerPLUGINSnppdf32.dll

[phancy]

O13

Domyślny prefix IE

Jego funkcją jest dodanie odpowiedniego prefixu np. http://czy ftp:// , kiedy wpisujemy żądany adres URL. Domyślnie dodawane jest właśnie

[Aby zobaczyć linki, zarejestruj się tutaj]

.


Szkodliwe:

O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

O13 - DefaultPrefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - WWW Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Home Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Mosaic Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Gopher Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - WWW Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

?
O13 - Home Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

?

O13 - DefaultPrefix: c:searchpage.html?page=
O13 - WWW Prefix: c:searchpage.html?page=
O13 - Home Prefix: c:searchpage.html?page=
O13 - Mosaic Prefix: c:searchpage.html?page=

O13 – DefaultPrefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

?
O13 – WWW Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

?
O13 – WWW. Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

?

O13 - DefaultPrefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - WWW Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Home Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Mosaic Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - FTP Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

O13 - Gopher Prefix:

[Aby zobaczyć linki, zarejestruj się tutaj]

[phancy]

O14

’Reset Web Settings’ hijack

Jest to opcja resetowania ustawień przeglądarki Internet Explorer, czyli przywracanie jej standardowych ustawień Windowsowych (wszystkie te ustawienia zgromadzone są w pliku: C:WINDOWSinf iereset.inf ). Opcję tę mamy dostępną poprzez:

Narzędzia -> Opcje Internetowe -> Programy

I widzimy tam opcję: Resetuj ustawienia sieci Web

[Aby zobaczyć linki, zarejestruj się tutaj]

Zwykle wpisy te są usuwane, jednak pojawiają się przypadki, że są to adresy nadane przez naszego dostawcę internetowego -wtedy zostawiamy to w świętym spokoju.

Szkodliwe:

O14 - IERESET.INF: START_PAGE_URL=[ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=EN_US
&c=Q304&bd=pavilion&pf=laptop]

Prawidłowe:

O14 - IERESET.INF: START_PAGE_URL=http://www.idg.pl
O14 - IERESET.INF: START_PAGE_URL=file://zeus/intranet/http/index.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O14 - IERESET.INF: START_PAGE_URL=http://www.pcworld.pl
O14 - IERESET.INF: START_PAGE_URL=

[Aby zobaczyć linki, zarejestruj się tutaj]

[phancy]

O15

Niechciane strony w Zaufanych Witrynach i ProtocolDefaults

Grupę tę możemy podzielić na dwie części: Zaufane witryny(Trusted Zone lub Trusted IP range) oraz ProtocolDefaults . Wszystkie informacje w grupach tych zgromadzone są w kluczu:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains

Opiszę najpierw pierwszą część, czyli zaufane witryny. Nasza przeglądarka systemowa (Internet Explorer) ma opcję dodawania witryn do zaufanych. Możemy to zrobić poprzez:

Narzędzia -> Opcje internetowe -> Zabezpieczenia

I widzimy tam opcję: Zaufane Witryny .

[Aby zobaczyć linki, zarejestruj się tutaj]

Bardzo często szpieg sam dodaje niechciane strony do naszych (rzekomo) zaufanych, w związku z tym jeżeli danej witryny nie znamy (sami jej nie ustawialiśmy), to wpisy te usuwamy.

Szkodliwe:

O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 213.159.117.202

Prawidłowe:

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

O15 - Trusted Zone:

[Aby zobaczyć linki, zarejestruj się tutaj]

Druga grupa to ProtocolDefaults , czyli otwieranie każdej witryny w sieci jako witryny zaufanej. Wpisy te zawsze usuwamy Hijackiem, lub innym przystosowanym do tego narzędziem.

Szkodliwe:

O15 - ProtocolDefaults: ''http'' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: ''http'' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: ''https'' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: ''https'' protocol is in Trusted Zone, should be Internet Zone (HKLM)

UWAGA: Bardzo często wpisy O15 podczas usuwnia stawiają opór. W razie takich problemów należy skorzystać z narzędzia

[Aby zobaczyć linki, zarejestruj się tutaj]

.