HijackThis
1.99.1
Jest to podstawowe narzędzie do wykonania loga, pokazuje
wpisy szkodliwe i prawidłowe, podobne działanie jak u Silenta ale są to
trochę inne wpisy i inaczej pokazane.Loga pokazujecie osobie
analizującej.
Nie
wklejajcie do maszynek znajdujących się w necie , bo
można zrobić krzywdę swemu kompikowi....
Loga ma
analizować CZŁOWIEK a
nie durna MASZYNKA !!!
Ściągacie i odpalacie programik, zobaczycie taki obrazek :
Klikamy na
„Do a system scan and save a
logfile” , HijackThis
wykona skanowanie systemu, otworzy się okno z dokumentem
tekstowym ,a w nim nasz log. Log jest zapisywany w folderze, w
którym
znajduje się HijackThis. Tak to wygląda:
Logfile
of HijackThis v1.99.1
Scan saved at 14:21:13, on 2007-02-17
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.exe
C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.BIN
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Adobe\Photoshop 6.0.1 CE\Photoshp.exe
C:\Program Files\Common Files\Adobe\Web\AOM.exe
E:\PROGRAMY\DIAGNOSTYKA\hijack 1.99\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://cybertrash.pl/news.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
blank.htm
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Program
Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
Files\Java\jre1.5.0_11\bin\jusched.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) -
https://epromak.millenniumdm.pl/res/ntw4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner
- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program
Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program
Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program
Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO -
C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware,
Inc. - c:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. -
C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) -
VMware, Inc. - c:\Program Files\Common Files\VMware\VMware Virtual
Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. -
C:\WINDOWS\system32\vmnat.exe
Kasacja wpisów
odbywa się następująco, klikamy na
„Do a system scan only”, HijackThis
wykona skan bez tworzenia loga, poczym zobaczymy coś takiego:
Zaptaszkowujemy wpisy do usunięcia i klikamy
„Fix
checked”. Programik oczywiście posiada opcję
przywrócenia pomyłkowo skasowanego wpisu :
Zaptaszkowujecie wpis, naciskacie "Restore" , otrzymacie stosowny
komunikat, naciskacie "Tak" i powinno być po bólu.....
Bardzo niedocenianą opcją przez
"analizatorów" jest przycisk
"Open the
Misc Tools section" , w
której mamy bardzo przydatne narzędzia :
Między innymi mamy:
Generate
StartupList log – po wybraniu tej
opcji i zaptaszkowaniu 2 obok, HijackThis wygeneruje bardzo
poszerzonego loga.
Open process manager – odpowiednik
menadżera zadań, możemy zabić lub otworzyć dany proces, po
zaznaczeniu Show DLLs pokaże nam się
lista ładowanych bibliotek przez proces.
Delete a file on reboot – kasowanie pliku
podczas ponownego
uruchamiania komputera, po wybraniu tej opcji zostaniemy poproszeni o
wskazanie pliku, poczym zarzuci propozycją zresetowania kompa.
Open hosts file manager – edytor pliku HOSTS
(C:\WINDOWS\system32\drivers\etc\hosts)
Delete a Windows NT service – opcja ta
służy do kasowania usługi
z rejestru, w tym celu wpisujemy nazwe w nawiasie (*) ,
która pokazała
się obok wpisu O23 i klikamy ok.
Open ADS Spy – opcja, która
działa tylko na Windows z jądrem NT
czyli NT/2000/XP z systemem plików NTFS, dzięki
niej mamy podgląd
strumieni NTFS.
Open Uninstall Manager – odpowiednik
dodaj/usuń w panelu sterowania , możemy skasować/edytować zainstalowany
program.
Niestety mało kto używa tych możliwości Hijacka....a szkoda....
AKTUALIZACJA !!
Hmm....no niestety hijack został sprzedany
Trend Micro i wydał
nową wersję 2(beta) , ale już tylko na
system
XP/2000
....zobaczymy co czas przyniesie...
Do pobrania: Trend
Micro Hijack This v.2.0.0(BETA)
Najnowsza wersja programu na
Win98,Me,2000,XP,Vista,Windows 7: HijackThis v2.0.4 lub TUTAJ
