Analýza výpisu programu HijackThis
Jistě se Vám již stalo, že jste měli podezření, že je ve Vašem systému nějaká „škodná“. Jednou z prvních věcí, které provedete je test antivirovým a antimalware/spyware programem. Další užitečnou věcí, pro zjištění zda-li je Váš systém nakažen nějakou „škodnou“ je program HijackThis. V článku Vám popíši, jak s programem pracovat a jak analyzovat výpis, který program vytvoří.
Důležité, co by jste měli vědět je to, že HijackThis není automatický „kontrolní a léčící“ program. HijackThis Vám vytvoří výpis, který budete muset analyzovat manuálně. I když Vám s analýzou pomůže např. německý web HijackThis.de Security, nezbude Vám stejně jiná možnost, než-li výpis zkontrolovat manuálně.
Aby jste mohli korektně vytvořit výpis musíte program spouštět s administrátorskými právy.
Popis okna programu:
Do a system scan and save a logfile – provede kontrolu systému a uloží výpis
Do a system scan only – provede pouze kontrolu systému
View the list of backup – zobrazí seznam záloh
Open the Misc Tools section – otevře sekci nástrojů
Open online HijackThis QuickStart – přesměruje Vás na domovskou stránku programu
None of above, just start the program – pouze otevře program
Analýza výpisu (logu) HijackThis:
Když se podíváte na výpis programu, může se zdát, že analýza bude velmi zdlouhavá a komplikovaná záležitost. Opak je však pravdou. Jednotlivé vstupy (části) výpisu jsou označeny „značkami“, které nám jasně definují význam jednotlivých položek.
Popis jednotlivých vstupů výpisu:
Vstupy Rx: nastavení Internet Exploreru
R0, R1 – domovská stránka či vyhledávací moduly
R2 – tento vstup HijackThis nepoužívá
R3 – výrazy, kterými se doplní neúplná URL adresa
Vstupy Fx: programy spouštějící se při startu systému
F0 – výpis Boot sekce souboru system.ini
F1 – výpis souborů, které se nahrávají při startu systému pomocí souboru win.ini
F2 – pokud vstup obsahuje odkazy na soubory userinit.exe, userinit.exe, nddeagnt.exe či explorer.exe je vše v naprostém pořádku. Pokud vstup odkazuje i na jiné soubory, doporučuji soubory prověřit
F3 – pokud tento vstup odkazuje na nějaký program, velmi doporučuji jej prověřit. V drtivé většině případů se jedná o škodlivý program
Pokud fixnete jakýkoliv vstup ze sekce Fx, bude škodlivý program pouze deaktivován. Ve vašem systému se ale bude nacházet stále, proto je jej nutno odstranit manuálně.
Vstupy Ox: tyto vstupy jsou rozdělený na více „podvstupů“ z nichž každý má zvláštní význam
O1 – výpis souboru Hosts
02 – výpis registru Browser Helper Object (rozšíření pro Internet Explorer)
03 – výpis instalovaných toolbarů
04 – výpis programů spouštějících se po startu počítače (položky registru Run a RunOnce)
05 – nastavení z Možností Internetu (nastavení se nachází v Ovládacích panelech)
06 – nestandardní nastavení Internet Exploreru
07 – nastavení přístupu k registru
08 – nestandardní položky v kontextové nabídce Internet Exploreru
09 – nestandardní tlačítka v Internet Exploreru
010 – nastavení Winsocks
011 – pokročilé nastavení Internet Exploreru
012 – pluginy Internet Exploreru
013 – správné rozpoznání http protokolu, pokud není v URL adrese vyplněno
014 – informace o Vašem poskytovateli internetu
015 – důvěryhodné adresy Internet Exploreru
016 – ActiveX komponenty Internet Exploreru
017 – nastavení DNS serveru
018 – dodatečné protokoly
019 – pokud je u tohoto vstupu nějaká hodnota, měli byste zbystřit, bude se s největší pravděpodobností jednat o nákazu ve vašem systému
020 – knihovny nahrávané při startu systému
021 – SSODL položky registru načítané při startu systému
022 – úlohy spouštěné při startu systému pomocí Sdíleného plánovače úloh
023 – služby spouštěné při startu systému
024 – ActiveX komponenty umístěné na ploše
Nyní můžete bez větších problémů analyzovat výpis generovaný programem HijackThis. S jeho analýzou Vám může pomoci např. web HijackThis.de Security. Ovšem nelze se 100 % spoléhat na automatickou analýzu. Je stále nutno výpis řádně zkontrolovat a ověřit označení každého vstupu.
Snad jsem Vám bude nyní obsah výpisu jasnější a přeji hodně štěstí při kontrole Vašeho systému.
Program HijackThis můžete stahovat ze sekce Ke stažení nebo z domovské stránky TrendMicro.
em
Zatím nebyl přidám žádný komentář, buď první a okomentuj článek.