Máte v systému škodnou? Zkuste HijackThis!
autor: Jiří Vašek , publikováno 28.8.2008
Seznam kapitol
1. Mám podezření na nákazu, co teď?
2. HijackThis - jak chápat jeho výpis?
3. HijackThis - Ox sekce
Máte v systému škodnou? Zkuste HijackThis!

Povědomí uživatelů o bezpečnosti ve světě počítačů se neustále zvyšuje, bohužel počet počítačů roste ještě rychleji a obrovské množství systémů je nakaženo různými "breberkami". Dnes si ukážeme jeden způsob čištění vašich Windows od nechtěné nákazy, se kterou si běžné čistící programy nemusí poradit. Použijeme k tomu známou utilitu HijackThis.


Bez ohledu na to, zda jste spustili sken s logem nebo bez něj, výsledek je několik desítek řádků s různými hodnotami. Opět připomínám, že v ideálním případě jsou všechny tyto hodnoty v pořádku a nebude nutné s nimi nijak manipulovat, pouze v případě nějakého problému je třeba podniknout protiakci. Ovšem, nejdříve případný problém musíte identifikovat, což nemusí být nijak jednoduché, ale s trochou cviku to zvládne každý.

Máte v systému škodnou? Zkuste HijackThis!

První pohled na výpis může někoho vyděsit, ale je to jen počáteční šok. Ve skutečnosti je vše logicky uspořádané a seskupené podle kategorií. Typický výpis HijackThis obsahuje následující informace:

  • R0,R1,R2,R3 - registr - nastavení Internet Exploreru (domovská stránka, vyhledávače apod.)
  • F0,F1,F2,F3 - programy spouštějící se při startu systému
  • O1 - výpis hosts souboru (redirect zvláštních adres na jiné IP)
  • O2 - registr - BHO (Browser Helper Object, tedy jakýsi doplněk prohlížeče)
  • O3 - toolbary v prohlížeči
  • O4 - registr - programy spouštějící se po startu počítače (Run, RunOnce)
  • O4 - programy ve složce Po spuštění
  • O5,O6,O7 - jinak neviditelné nastavení Internet Exploreru a registru
  • O8,O9 - doplňky Internet Exploreru (toolbary, tlačítka)
  • O10 - nastavení Winsock
  • O11-015 - některá nastavení Internet Exploreru
  • O16 - DPF - dodatečné ActiveX komponenty v Internet Exploreru
  • O17 - Síť - nastavení DNS serverů
  • O18 - dodatečné protokoly
  • O20 - další sekce pro DLL inicializující se po startu systému
  • O21 - Systém - SSODL (souvisí se startem systému)
  • O22 - a ještě jedna autorun sekce, využívaná velmi zřídka
  • O23 - Služby
  • O24 - ActiveX komponenty na ploše

Pokud spustíte sken s logem, na začátku se ještě zobrazí výpis právě běžících procesů, což je pro prvotní kontrolu velmi důležité (umožňuje to odhalit běžící proces škůdce).

Máte v systému škodnou? Zkuste HijackThis!

Existují automatizované metody analýzy logu, které nejsou stoprocentně spolehlivé, ale pro hrubou kontrolu stačí. Namátkou lze využít například formulář na webu www.hijackthis.de/cz/. Pro naprostou jistotu však automatika nemusí stačit, a je nutné přistoupit k ručnímu čištění.

HijackThis - jak postupovat při ručním čištění?

V podstatě existují dvě metody ručního čištění systému. Jednak hrubou silou, kdy prostě vezmete řádek po řádku, a cokoli se vám nebude líbit, prověříte a případně smažete. Tato metoda je vhodná pro všechny, kdo již s HijackThis umějí pracovat, a přesně vědí, co mohou ve které části výpisu čekat.

Máte v systému škodnou? Zkuste HijackThis!

Pro relativní začátečníky je však přece jen vhodnější potupného procházení jednotlivých kategorií, a prověření všech řádků. Lehce se tak naučíte, který řádek je v pořádku, a který naopak podezřelý. V případě pozitivního nálezu stačí řádek zaškrtnout a na konci vybrat Fix. Tak pojďme na to.

Upozornění zejména pro uživatele 64bitových systémů (Windows XP x64 a Windows Vista x64) - HijackThis je schopen odhalit chybějící položku, jako například záznam pro spuštění fyzicky neexistujícího souboru, takovýto záznam označí jako (file missing). V případě 64bitových systémů však toto nutně nemusí znamenat problém; jelikož HijackThis je 32bitová aplikace jeho složka Windows\System32 je ve skutečnosti přesměrována do Windows\SysWOW64, a proto se mu mnoho služeb jeví jako neexistující (ve složce SysWOW64 nejsou). Berte proto tento fakt v potaz, a neděste se případného hlášení o chybějícím souboru. Podobný případ může zřídka nastat i na 32bitovém systému, například z důvodu nestandardních oprávnění.

Máte v systému škodnou? Zkuste HijackThis!

Rx sekce - Internet Explorer

R0, R1 - zde můžete narazit na domovskou stránku IE a vyhledávací engine. Zde mohlo dojít k nahrazení vašeho nastavení nějakým spywarem, takže pokud se vám nějaká adresa nezdá a vy jste ji určitě nechtěli a nezadávali, označte.

R2 - v současné době jej HijackThis nepoužívá, tudíž byste na něj neměli ani narazit.

R3 - slouží k doplnění neúplné URL adresy - například pokud zadáte pouze pctuning.cz, prohlížeč se pokusí doplnit správný protokol http, a pokud se mu to nepodaří, použije právě R3. Zde se může nacházet URL adresa nebo součást nějakého programu (typicky třeba ICQ Toolbar). Může však nastat situace, kdy se právě sem nacpe nějaký malware - pokud vám tedy hodnota R3 nic neříká, je na místě ji řádně prověřit (google, jiní uživatelé, tento seznam - X znamená škodlivý malware, L znamená neškodný záznam). Hodnot R3 může být více než jedna.

Výchozí nastavení Windows ovšem nemá R3 vůbec nastaveno, takže pokud vám HijackThis vypsal nějaké R3 a vy vůbec nevíte co je to zač (žádná známá adresa nebo program), je bezpečné to odstranit.

Fx sekce - soubory načítané z ini souborů

F0 - výpis [Boot] sekce souboru system.ini, definující Shell. Za normálních okolností jej HijackThis nevypisuje vůbec, pouze pokud dojde k nějaké změně, typicky malwarem. Výpis pak vypadá například takto:
F0 - system.ini: Shell=Explorer.exe program.exe
Explorer.exe je v pořádku, nějaký program.exe již ne, a jedná se o hijack shellu. Pokud si nevíte rady, je bezpečné tuto hodnotu vždy fixnout.

F1 - výpis souborů, nahrávajících se přes win.ini. Tento soubor je na Windows s NT jádrem již nevyužívaný, najdete zde pouze zřídka některé starší aplikace. Pokud vám HijackThis nějaké F1 vypíše, je záhodno jej prověřit.

F1 a F3 jsou analogické F0 a F1, pouze jsou mapované v registru, narazíte na ně tedy spíše než na F0 či F1.

Pokud v F2 narazíte na samotné userinit.exe, nebo userinit.exe,nddeagnt.exe anebo samotný explorer.exe, jedná se o bezpečné záznamy. Cokoli navíc obvykle znamená infiltraci. Například
F2 - REG:system.ini: Shell=explorer.exe program.exe
je typickým příkladem.

Cokoli v F3 obvykle znamená problém, je třeba jej prověřit.

Upozornění - pokud fixnete něco z Fx sekce, původce infiltrace bude odříznut, ale bude dál nečinně čekat na disku na svoji příležitost, takže je třeba jej ručně najít a smazat.

Nx sekce - Netscape a Mozilla

Jedná se o ekvivalentní sekci Rx pro alternativní prohlížeče. Vzhledem k mizivému zastoupení těchto alternativních prohlížečů, na nějaké Nx narazíte jen velmi zřídka, a i tak si spyware těchto programů moc nevšímá, jediný známý zdroj infiltrace je Lop.com.



 
Komentáře naleznete na konci poslední kapitoly.
231 čtenářů navrhlo autorovi prémii: 109.9Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.