Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
Interpretacja logów
topic under construction
Nie jest to sprawa łatwa, ale może ten tutorial choć odrobinę pomoże wam "poczuć bluesa". Można się tego nauczyć jedynie w jeden sposób - praktyka, praktyka i jeszcze raz praktyka. Na dobry początek kilka linków, przydatnych przy sprawdzaniu.
[Aby zobaczyć linki, zarejestruj się tutaj] -> Absolutna podstawa. Nie znasz jakiegoś pliku? Wrzucaj go w google i sugeruj się wpisami na innych forach.
[Aby zobaczyć linki, zarejestruj się tutaj] -> Encyklopedia systemowych procesów.
[Aby zobaczyć linki, zarejestruj się tutaj] -> jw.
[Aby zobaczyć linki, zarejestruj się tutaj] -> Lista BHO
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj] -> Pokazuje dane o IP.
R0, R1, R2, R3 - Strony startowe i wyszukiwarki Internet Explorera
F0, F1 - Autostart programów z plików win.ini i system.ini
F2, F3 - Autostart programów z mapy miejsc zakodowanej w rejestrze
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli/Netscape
O1 - Restrykcje pliku HOSTS
O2 - Browser Helper Objects
O3 - Dodatkowe paski narzędziowe w Internet Explorerze
O4 - Autostart programów
O5 - Ikona opcji IE niewidoczna w Panelu Sterowania
O6 - Dostęp do opcji IE zablokowany przez Administratora
O7 - Dostęp do edytora rejestru zablokowany przez Administratora
O8 - Dodatkowe opcje w menu z prawokliku IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu Narzędzia w IE
O10 - Hijackery łańcucha Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12 - Wtyczki IE
O13 - Domyślny prefix IE
O14 - ‘Reset Web Settings’ hijack
O15 - Niechciane strony w Zaufanych Witrynach i ProtocolDefaults
O16 - Kontrolki ActiveX
O17 - Szpiegowska akcja Lop.com i DNS''y
O18 - Extra protokoły
O19 - User style sheet hijack
O20 - AppInit_DLLs
O21 - ShellServiceObjectDelayLoad (SSODL)
O22 - SharedTaskScheduler autorun Registry key
O23 - Usługi
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
R0, R1, R2, R3
Strony startowe i wyszukiwarki Internet Explorera
Wpisy pokazujące strony startowe i wyszukiwarki Internet Explorera. Usuwamy, jeśli nie były ustawiane przez nas. Nie ma to żadnych skutków ubocznych.
R0
Szkodliwe:
Cytat: R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = c:secure32.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = mk:@MSITStore:C:WINDOWSstart.chm::/start.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = mk:@MSITStore:C:spestart.chm::/start.html#
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj] - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = c:searchpage.html#1504
Prawidłowe:
Cytat: R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ĺącza
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1
Szkodliwe:
Cytat: R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = javascriptwindow.close()
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = c:secure32.html
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
Prawidłowe:
Cytat:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = [Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [Aby zobaczyć linki, zarejestruj się tutaj]
Serwer Proxy:
Cytat: R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = w3cache.piotrkow.net.pl:8080
R2
To wejście nie jest na razie pokazywane przez Hijacka.
R3
Wejścia R3 zawsze usuwamy, chyba, że jest to program instalowany przez nas.
Szkodliwe:
Cytat: R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - Crogram Files MyWebSearch SrchAstt1.binMWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - Crogram Files SurfSideKick 3 SskBho.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - {1F8D4189-0D3A-43BB-9854-EB94239642FC} - C:WINDOWSsystem32 Ypwt.dll
Prawidłowe:
Cytat: R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - CROGRA~1NEOSTR~1SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - CROGRA~1COPERN~3COPERN~4.DLL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - Crogram FilesICQToolbartoolbaru.dll
Wpisy z kreseczką:
Czasami zdarza się, że wpis ma „_” przed numerkiem CLSID.
Cytat:R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: (no name) - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB}_ - (no file)
Hijack nie może sobie poradzić z usunięciem takiego wpisu, więc on upierdliwie powraca.
Uruchamiamy edytor rejestru:
Start -> Uruchom -> regedit
Odszukujemy klucz HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks
i z prawokliku kasujemy wpisy z _kreseczką_.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
F0, F1
Autostart programów z plików win.ini i system.ini
F0
F0 to wpis Shell=w pliku system.ini . Jego wartość powinna wynosić explorer.exe . Wejścia F0 zawsze są szkodliwe, więc je fiksujemy.
Szkodliwe:
Cytat: F0 - system.ini: Shell=Explorer.exe C:WINDOWSsystem32 winmgd.win
F0 - system.ini: Shell=Explorer.exe Openme.exe
F0 - system.ini: Shell=
F0 - system.ini: Shell=Explorer.exe c:windows msmsgs.exe
F0 - system.ini: Shell=Explorer.exe c:windowssystem32 msiexec16.exe
F0 - system.ini: Shell=Explorer.exe C:WINDOWSSystem32 cmd32.exe
Wyjątkiem od reguły są alternatywne shelle innych firm, zastępujące ten windowsowy np:
Prawidłowe:
Cytat: F0 - system.ini: Shell=C:Astonaston.exe ,svchost.exe
F0 - system.ini: Shell=C:AstonShellSwp.exe ,svchost.exe
F1
F1 to wpisy run=i load=w pliku win.ini . Wejście run= jest używane przez starsze programy, a wejście load= przez sterowniki. Najczęściej jednak rezydują tam wszelkiej maści syfy.
Szkodliwe:
Cytat: F1 - win.ini: run= iexpIore.exe
F1 – win.ini: run=C:WINDOWS inet10055 services.exe
F1 - win.ini: run=C:WINDOWS inetdata services.exe
F1 - win.ini: run=C:WINDOWSsystem32 services y.exe
F1 - win.ini: run=Crogram FilesWindows Media Player services.exe
F1 - win.ini: run= Melis.exe
F1 - win.ini: run= arquivo.exe
F1 - win.ini: run=C:WINDOWSsystem32 mouse_configurator.win
F1 - win.ini: load=???
F1 - win.ini: load=c: 01comm32 bin\01comm32.exe
F1 - win.ini: run=E:windowssystem32 explorer32.exe
Prawidłowe:
Cytat: F1 - win.ini: run=hpfsched
F1 - win.ini: load=C:slownikwatch.exe
F1 - win.ini: load=C:YDPDictwatch.exe
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
F2, F3
Autostart programów z mapy miejsc zakodowanej w rejestrze
Są to odpowiedniki plików system.ini i win.ini w rejestrze Windowsów 2003, XP, NT. Wykorzystują one za to funkcję IniFileMapping . Zawartość plików .ini jest lokalizowana w osobnych kluczach, więc kiedy uruchamiasz program, odczytujący ustawienia z takiego pliku, uruchamiany jest klucz z mapą miejsc ustawień:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping
F2
F2 pokazuje wartości Shell i Userinit w kluczu:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Szkodliwe:
Cytat: F2 - REG:system.ini: Shell=Explorer.exe msdnxp.exe
F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe,msdnxp.exe
F2 - REG:system.ini: Shell=Explorer.exe MS32.exe
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,MS32.exe
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe
F2 - REG:system.ini: UserInit=C:WINNTsystem32userinit.exe,C:WINNT sysctl.exe
F2 - REG:system.ini: Shell=Explorer.exe D:WINDOWSsystem32 fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
F2 - REG:system.ini: Shell=
F2 – REG:system.ini: Shell=Explorer.exe mcafee32.exe
F2 - REG:system.ini: Shell=explorer.exe "Crogram FilesCommon FilesMicrosoft SharedWeb Folders ibm00003.exe "
Prawidłowe:
Cytat: F2 - REG:system.ini: Shell=C:Astonaston.exe ,svchost.exe
F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,,SKEYS /I
F3
Szkodliwe:
Cytat: F3 - REG:win.ini: run=C:WINDOWS inet20001 winlogon.exe
F3 - REG:win.ini: run=
F3 - REG:win.ini: run=C:WINDOWS inet20003 services.exe
F3 - REG:win.ini: run=C:windows svchost.exe
F3 - REG:win.ini: run=C:WINDOWS inet20099 services.exe
F3 - REG:win.ini: load= ,,,DTMONX.EXE
F3 - REG:win.ini: run=c:windowssystem32 include svchost.exe
F3 - REG:win.ini: load=C:WINDOWSSystem32 scvhost.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???
Prawidłowe:
Cytat: F3 - REG:win.ini: load=C:YDPDictwatch.exe
F3 - REG:win.ini: load=C:WINDOWSTWAIN_32VividVIVID.EXE
Pamiętaj, że przy usuwaniu Hijack usuwa jedynie sam wpis. Powiązany plik musisz usuwać ręcznie.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
N1, N2, N3, N4
Strony startowe i wyszukiwarki Mozilli/Netscape
Strony startowe i wyszukiwarki Mozilli i Netscape''a zazwyczaj są bezpieczne. Jedynym znanym szpiegiem, który potrafi im zaszkodzić jest Lop.com . Jednak jeśli dojrzymy coś podejrzanego, wystarczy zafiksować podane wejście za pomocą Hijacka.
N1- Netscape 4
N2- Netscape 6
N3- Netscape 7
N4- Mozilla
Szkodliwe:
Cytat: N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.vnbldfvumad.net/dWCWuAreAqU44vYj4dXP8mUGEpglL9Gxf5o5LNnUNS0.html");
nuser_pref("browser.startup.page", 1); (Crogram FilesNetscapeUsersjohnprefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.lop.com"); (Crogram FilesNetscapeUsersgigi_wopchopprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "mysearchnow.com"); (Cocuments and SettingsGebruikerApplication DataMozillaProfilesdefault4b94nbav.sltprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://kujiutunfcocelamijiuw.com/O2oXL_MLccTSCA1X7TWHzE676ZDGsOhzmiw62B0AHPk.asp")
;nuser_pref("browser.startup.page", 1); (Cocuments and SettingsOwnerApplication DataMozillaProfilesdefaultme8kmpp6.sltprefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.thcomisdfrqi.com/9ZqhA7UMj1lhQfV0H7S8sCD9UCtXOIlWMa8yqy14e_E.html");
(Cocuments and SettingsPropriĂŠtaireApplication DataMozillaProfilesdefaulti8wy2btg.sltprefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.jnegjgcuehdbwzgkbz.com/WtYylY5ZdKYFj1xEsyHzQ3wE5i0Yl_iAYGibyFiqUpk.asp" );nuser_pref("browser.startup.page", 1); (Cocuments and SettingsaLiMApplication DataMozillaProfilesdefaultvwenp6w1.sltprefs.js)
N4 - Mozilla: user_pref("browser.startup.homepage", "aboutblank"); (Cocuments and SettingsbriyuApplication DataMozillaProfilesdefault3toslckj.sltprefs.js)
N4 - Mozilla: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (Cocuments and SettingsbriyuApplication DataMozillaProfilesdefault3toslckj.sltprefs.js)
Prawidłowe:
Cytat: N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:/Program Files/Netscape/Users/default/prefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.netscape.com/"); (crogram FilesNetscapeUsersbgallwayprefs.js)
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.msn.com"); (Crogram <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (Cocuments and SettingsFamilyApplication DataMozillaProfilesdefaultvhdagj6a.sltprefs.j s)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_1/home.html"); (Cocuments and SettingsKirApplication DataMozillaProfilesdefaultsij0wvc1.sltprefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%
5Csearchplugins%5CSBWeb_01.src"); (Cocuments and SettingsKirApplication DataMozillaProfilesdefaultsij0wvc1.sltprefs.js)
N3 - Netscape 7: user_pref("browser.startup.homepage", "www.espn.com"); (Cocuments and SettingsJoseph CarboneApplication DataMozillaProfilesdefaultrdqfu7c6.sltprefs.js)
N4 - Mozilla: user_pref("browser.startup.homepage", "http://www.mozilla.org/start/"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.j s)
N4 - Mozilla: user_pref("browser.search.defaultengine", "engine://G%3A%5CProgram%20Files%5Cmozilla.org%5CMozilla%5Cs earchplugins%5Cgoogle.src"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.js)
N4 - Mozilla: user_pref("browser.startup.homepage", "http://www.mozilla.org/start/"); (Gocuments and SettingsmarkApplication DataMozillaProfilesdefaultjwmktmat.sltprefs.j s)
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O1
Restrykcje pliku HOSTS .
Lokalizacja:
- Windows 98- C:WINDOWSHOSTS
- Windows ME- C:WINDOWSHOSTS
- Windows XP - C:WINDOWSSYSTEM32DRIVERSETCHOSTS
- Windows NT- C:WINNTSYSTEM32DRIVERSETCHOSTS
- Windows 2000 - C:WINNTSYSTEM32DRIVERSETCHOSTS
- Windows 2003 - C:WINDOWSSYSTEM32DRIVERSETCHOSTS
Plik ten może być wykorzystywany przez szpiegów w dwojaki sposób – do blokowania prawidłowych stron, np. antywirusowych:
127.0.0.1 [Aby zobaczyć linki, zarejestruj się tutaj]
I do tworzenia przekierowań na fałszywe wyszukiwarki:
216.177.73.139 auto.search.msn.com
Plik ten możemy edytować w dowolnym edytorze tekstowym, np. notatniku. Wygląda on tak:
Cytat:# Copyright © 1993-1999 Microsoft Corp.
#
# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresów IP na nazwy komputerów
# Każdy wpis powinien być w osobnej linii.
# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
# co najmniej jedną spacją
#
# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
# liniach lub po nazwie komputera, oznaczając je symbolem ''#''.
#
# Na przykład:
#
#102.54.94.97 rhino.acme.com# serwer źródłowy
# 38.25.63.10 x.acme.com# komputer kliencki x
127.0.0.1 localhost
Jeśli nie wprowadzaliśmy jakiś własnych wpisów lub widzimy w pliku nieznane, bezpiecznie usuwamy je za pomocą Hijacka.
Szkodliwe:
Cytat:O1 - Hosts: 64.237.45.18 [Aby zobaczyć linki, zarejestruj się tutaj]
O1 - Hosts: 64.237.45.18 oz.valueclick.com
O1 - Hosts: 64.237.45.18 a.tribalfusion.com
O1 - Hosts: 64.237.45.18 servedby.advertising.com
O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
O1 - Hosts: 65.32.86.213 game.ryl.com.my
O1 - Hosts: 65.32.86.213 nprotect.ryl.com.my
Prawidłowe:
Cytat: O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 [Aby zobaczyć linki, zarejestruj się tutaj]
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O1 - Hosts: 165.145.61.237 l2authd.lineage2.com
O1 - Hosts: nProtect.lineage2.com
Czysty plik HOSTS można odzyskać, pobierając [Aby zobaczyć linki, zarejestruj się tutaj] . Po uruchomieniu programu wystarczy wybrać Restore Original Hosti już możemy się cieszyć dziewiczym pliczkiem.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O2
Browser Helper Objects
Są to dodatki rozszerzające funkcjonalność Twojej przeglądarki. Mogą być zarówno pożyteczne, jak i szkodliwe. Sam wiesz, co instalujesz, jednak jeśli kompletnie nie masz pojęcia, co to za wpis, szukasz go po numerku CLSID na stronce [Aby zobaczyć linki, zarejestruj się tutaj] lub [Aby zobaczyć linki, zarejestruj się tutaj] .
Wpisy BHO rezydują oczywiście w rejestrze w kluczu:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
Jeśli jest taka możliwość najpierw deinstalujemy BHO za pomocą Dodaj/Usuń programy . Potem otwieramy Hijacka i zaznaczamy wpisy syfu. Podczas usuwania wpisu, zazwyczaj usuwany jest także plik powiązany z nim. Jeśli jednak to nie nastąpi, usuwasz plik ręcznie.
Szkodliwe:
Cytat:O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - CROGRAM FILES MYWEBSEARCH SRCHASTT1.BINMWSSRCAS.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:/Program Files/ NewDotNet /newdotnet3_88.dll
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:/Program Files/ AproposClient /AproposPlugin.dll
O2 - BHO: (no name) - {902D085A-1964-42EA-8D8F-1E35B2D8164E} - C:WINDOWSSystem32 mfndmea.dll
O2 - BHO: (no name) - {7262596F-CFE5-4FCD-B0B8-5B15E7646320} - C:WINDOWSsystem32 goea.dll
O2 - BHO: (no name) - {168A83DA-A78D-4B5C-A8EE-01FF612E9E61} - (no file)
Prawidłowe:
Cytat:O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - Crogram FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - Crogram FilesJavajre1.5.0_09binssv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Program Files/Spybot - Search & Destroy/SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:/Program Files/FlashGet/jccatch.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - Crogram FilesNorton AntiVirusNavShExt.dll
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O3
Dodatkowe paski narzędziowe w Internet Explorerze
Ulokowane są poniżej paska adresowego w IE i wyglądają mniej więcej tak:
[Aby zobaczyć linki, zarejestruj się tutaj]
Podobnie jak BHO rezydują w rejestrze, tym razem w kluczu:
HKLMSOFTWAREMicrosoftInternet ExplorerToolbar
Widentyfikacji pomogą nam wymienione wyżej listy [Aby zobaczyć linki, zarejestruj się tutaj] lub [Aby zobaczyć linki, zarejestruj się tutaj] . Podczas usuwania wpisu, zazwyczaj usuwany jest także plik powiązany z nim. Jeśli jednak to nie nastąpi, usuwasz plik ręcznie.
Szkodliwe:
Cytat: O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - Drogram Files MyWay myBar1.binMYBAR.DLL
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - Crogram Files ISTbar istbar.dll
O3 - Toolbar: oqeaealykng - {6bf2f755-0534-4e8e-a4fc-07957af4d702} - COCUME~1DWAYNE~1APPLIC~1 crthouagrou.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Prawidłowe:
Cytat: O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - CROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - CROGRA~1MEGAUP~1MEGAUP~1.DLL
O3 - Toolbar: IDA Bar - {C70E30C7-140A-4166-A2E8-43557E62B41A} - Crogram FilesIDAidabar.dll
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O4
Autostart programów
Ulubione miejsce rezydowania szkodników. Wpisy w tej sekcji odpowiadają za autostart danych programów wraz ze startem systemu. Wniosek? Wpis syfka tutaj umożliwia mu uruchomienie się samoczynnie kiedy startuje Windows. Rozpoznanietakiego wpisu nie jest proste, gdyż szkodniki przybierają nazwy podszywające się pod znane aplikacje bądź windowsowskie komponenty. Jeśli więc czegoś nie znamy od razu korzystamy z naszego największego przyjaciela – [Aby zobaczyć linki, zarejestruj się tutaj] . Bardzo przydatna tutaj jest także [Aby zobaczyć linki, zarejestruj się tutaj] . Programy startują z dwóch, a właściwie z trzech lokalizacji: z rejestru, z folderu autostartu danego konta, i globalnego folderu autostartu.
Rejestr
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
Folder Autostart pojedynczego konta użytkownika - Startup
C ocuments and SettingsNazwa Twojego kontaMenu StartProgramyAutostart
Globalne foldery autostartu – Global Startup
C ocuments and SettingsAll UsersMenu StartProgramyAutostart
Szkodliwe:
Cytat: O4 - HKLM..Run: [zango]"c:program files zango zango.exe"
O4 - HKLM..Run: [WindowsServicesStartup]COCUME~1ADMINI~1LOCALS~1Temp svchost.exe
O4 - HKLM..Run: [Administrator]c:WINDOWS lsass.exe
O4 - HKLM..Run: [IpWins]Crogram Files ipwins ipwins.exe
O4 - HKLM..Run: [{0C590E6A-0682-1045-1007-030309100030}]"Crogram FilesCommon Files {0C590E6A-0682-1045-1007-030309100030} Update.exe" mc-110-12-0000272
O4 - HKCU..Run: [rizu]CROGRA~1COMMON~1 rizu rizum.exe
O4 - HKCU..Run: [Rsua]"Crogram Files odem ieea.exe" -vt mt
O4 - HKCU..Run: [Windows installer]C: winstall.exe
O4 - HKCU..Run: [WhenUSave]"Crogram Files Save Save.exe"
O4 - HKCU..Run: [WinUpdate]"C:WINDOWSsystem32 mcgqfnmd900125.exe "
O4 - Global Startup: Uninstall.exe ... Cocuments and SettingsAll UsersMenu StartProgramyAutostart Uninstall.exe
Prawidłowe:
Cytat:O4 - HKLM..Run: [ccApp]"crogram FilesCommon FilesSymantec SharedccApp.exe"
O4 - HKLM..Run: [ATIPTA]"Crogram FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [SunJavaUpdateSched]"Crogram FilesJavajre1.5.0_09binjusched.exe"
O4 - HKLM..Run: [avgnt]"Crogram FilesAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [NvCplDaemon]RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz]nwiz.exe /install
O4 - HKCU..Run: [Gadu-Gadu]"Crogram FilesGadu-Gadugg.exe" /tray
O4 - HKCU..Run: [Skype]"Crogram FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [Odkurzacz-MCD]Crogram FilesOdkurzaczodk_mcd.exe
O4 - Startup: flashget.lnk = C:/Program Files/FlashGet/flashget.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOfficeOSA9.EXE
Błędy Windowsa:
Cytat:O4 - HKLM..Run: [KernelFaultCheck]%systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [UserFaultCheck]%systemroot%system32dumprep 0 –u
Nic szkodliwego, ale można bezpiecznie fiksować.
Reszta poprawnych wpisów, ktore niepotrzebnie spowalniają start systemu dostępna [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O5
Ikona opcji IE niewidoczna w Panelu Sterowania
[Aby zobaczyć linki, zarejestruj się tutaj]
Chodzi właśnie o tę ikonkę, znajdującą się w Panelu Sterowania. Jeśli jej nie ma, a sam nie ustawiałeś podobnej rzeczy, usuwasz w Hijacku następujące wejście:
Cytat: O5 - control.ini: inetcpl.cpl=no
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O6
Dostęp do opcji IE zablokowany przez Administratora
Zablokowanie uruchamiania opcji internetowych objawia się następującym komunikatem:
[Aby zobaczyć linki, zarejestruj się tutaj]
Odpowiedzialny jest za to wpis:
Cytat: O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
Jeśli sam się nie bawiłeś w restrykcje to usuwasz to wejście. Szczególną uwagę powinni zwrócić na to użytkownicy Spybot Search & Destroy , gdyż program ten samoczynnie wprowadza wyżej wymienioną blokadę.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O7
Dostęp do edytora rejestru zablokowany przez Administratora
Przy próbie uruchomienia edytora rejestru, otrzymujemy następujący komunikat:
[Aby zobaczyć linki, zarejestruj się tutaj]
Winny temu jest jeden niepozorny wpis:
Cytat: O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Usuwamy czym prędzej, chyba że jesteśmy na limitowanym koncie.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O8
Dodatkowe opcje w menu z prawokliku IE
Wygląda to mniej więcej tak (podświetlona pozycja):
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszystkie wymienione tutaj wpisy siedzą w kluczu:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
Jeśli coś instalowaliśmy to zostawiamy, jeśli nie, to usuwamy. Podczas kasacji wpisu leci tylko wejście w rejestrze, powiązany plik musisz usunąć sam.
Szkodliwe:
Cytat:O8 - Extra context menu item: &Search - [Aby zobaczyć linki, zarejestruj się tutaj]
O8 - Extra context menu item: Web Rebates. - [Aby zobaczyć linki, zarejestruj się tutaj] FilesWebRebates4websrebateswebtrebatestoprC0.htm
O8 - Extra context menu item: &Search - [Aby zobaczyć linki, zarejestruj się tutaj]
Prawidłowe:
Cytat:O8 - Extra context menu item: E&ksport do programu Microsoft Excel - [Aby zobaczyć linki, zarejestruj się tutaj]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_06binssv.dll
O8 - Extra context menu item: &Google Search - [Aby zobaczyć linki, zarejestruj się tutaj] FilesGoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ieSpell Options - [Aby zobaczyć linki, zarejestruj się tutaj] FilesieSpelliespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Backward &Links - [Aby zobaczyć linki, zarejestruj się tutaj] FilesGoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - [Aby zobaczyć linki, zarejestruj się tutaj] FilesGoogleGoogleToolbar2.dll/cmcache.html
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O9
Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu Narzędzia w IE
Wygląda to mniej więcej tak:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Siedzi w kluczu:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions
Szkodliwe:
Cytat:O9 - Extra button: ?????? (HKLM)
Prawidłowe:
Cytat:O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_09binssv.dll
O9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.5.0_09binssv.dll
O9 - Extra button: Messenger (HKLM)
O9 - Extra ''Tools'' menuitem: Messenger (HKLM)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exeO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - CROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O10
Hijackery łańcucha Winsock
Łańcuch Winsock jest odpowiedzialny za poprawne funkcjonowanie połączeń internetowych. Jedna fałszywa operacja = net kaput. Dlatego, kiedy widzimy w logu coś takiego,zaczyna się panikowanie:
Cytat:O10 - Broken Internet access because of LSP provider ''imon.dll'' missing
I tu zatrzymamy się na dłuższa chwilkę. Owszem, takie wpisy sieją grozę, samo „Broken Internet access” i „missing” może nieźle podnieść ciśnienie. Jednakże takie wpisy nie zawsze są szkodliwe. Wyżej wymieniony powstał w wyniku działalności antywirusa NOD32. Jednak cóż zrobić, kiedy wiemy, że coś naprawdę powstało z syfu? Wejść w Hijacku fiksować nie można, gdyż pokaszanimy sobie net totalnie. Z pomocą przychodzi nam tutaj [Aby zobaczyć linki, zarejestruj się tutaj] .
[Aby zobaczyć linki, zarejestruj się tutaj]
To akurat screen z mojego czystego kompa. Jeśli jednak mamy szkodliwy plik, podświetlamy go, zaznaczamy „I know what I’m doing...”i przenosimy strzałeczkami do okienka Remove , klikamy Finishi restart kompa.
Szkodliwe:
Cytat: O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider ''c:windowswebhdll.dll'' missing
O10 - Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 - Unknown file in Winsock LSP: c:winntsystem32msvrl.dll
Prawidłowe:
Cytat: O10 - Unknown file in Winsock LSP: c:program filesf-securefspsprogramfslsp.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:program filesmks_vir_2007bin\mkslsp.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:winntsystem32oplsp.dll
Bardzo przydatna lista wejść dostępna [Aby zobaczyć linki, zarejestruj się tutaj] .
Ratunku! Zapomniałem o tym i z rozmachu usunąłem to ręcznie!
Brak netu, sieczka w Winsocku - bywa i tak Ale spokojnie: istnieje narzędzie [Aby zobaczyć linki, zarejestruj się tutaj] .
[Aby zobaczyć linki, zarejestruj się tutaj]
Po uruchomieniu klikamy na Fixi po restarcie powinno wszystko śmigać.
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O11
Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
[Aby zobaczyć linki, zarejestruj się tutaj]
Rezyduje w kluczu:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions
Jedynym szpiegiem, który aplikuje te dodatki tam jest CommonName – widoczny na screenie. Jeśli zobaczymy coś takiego, usuwamy bezzwłocznie. Jeśli natomiast nie jesteśmy pewni, co to – odsyłam do najlepszego przyjaciela internauty, czyli google.
Szkodliwe:
Cytat:O11 - Options group: [CommonName]CommonName
Prawidłowe:
Cytat: O11 - Options group: [INTERNATIONAL]International*
O11 - Options group: [TABS]Tabbed Browsing
O11 - Options group: [JAVA_IBM]Java (IBM)
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O13
Domyślny prefix IE
Jego funkcją jest dodanie odpowiedniego prefixu np. http://czy ftp:// , kiedy wpisujemy żądany adres URL. Domyślnie dodawane jest właśnie [Aby zobaczyć linki, zarejestruj się tutaj] .
Szkodliwe:
Cytat:O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O13 - DefaultPrefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - WWW Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Home Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Mosaic Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Gopher Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - WWW Prefix: [Aby zobaczyć linki, zarejestruj się tutaj] ?
O13 - Home Prefix: [Aby zobaczyć linki, zarejestruj się tutaj] ?
O13 - DefaultPrefix: c:searchpage.html?page=
O13 - WWW Prefix: c:searchpage.html?page=
O13 - Home Prefix: c:searchpage.html?page=
O13 - Mosaic Prefix: c:searchpage.html?page=
O13 – DefaultPrefix: [Aby zobaczyć linki, zarejestruj się tutaj] ?
O13 – WWW Prefix: [Aby zobaczyć linki, zarejestruj się tutaj] ?
O13 – WWW. Prefix: [Aby zobaczyć linki, zarejestruj się tutaj] ?
O13 - DefaultPrefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - WWW Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Home Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Mosaic Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - FTP Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
O13 - Gopher Prefix: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O14
’Reset Web Settings’ hijack
Jest to opcja resetowania ustawień przeglądarki Internet Explorer, czyli przywracanie jej standardowych ustawień Windowsowych (wszystkie te ustawienia zgromadzone są w pliku: C:WINDOWSinf iereset.inf ). Opcję tę mamy dostępną poprzez:
Narzędzia -> Opcje Internetowe -> Programy
I widzimy tam opcję: Resetuj ustawienia sieci Web
[Aby zobaczyć linki, zarejestruj się tutaj]
Zwykle wpisy te są usuwane, jednak pojawiają się przypadki, że są to adresy nadane przez naszego dostawcę internetowego -wtedy zostawiamy to w świętym spokoju.
Szkodliwe:
Cytat: O14 - IERESET.INF: START_PAGE_URL=[ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=EN_US
&c=Q304&bd=pavilion&pf=laptop]
Prawidłowe:
Cytat: O14 - IERESET.INF: START_PAGE_URL=http://www.idg.pl
O14 - IERESET.INF: START_PAGE_URL=file://zeus/intranet/http/index.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O14 - IERESET.INF: START_PAGE_URL=http://www.pcworld.pl
O14 - IERESET.INF: START_PAGE_URL= [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 108
Liczba wątków: 4
Dołączył: 13.07.2006
Reputacja:
0
O15
Niechciane strony w Zaufanych Witrynach i ProtocolDefaults
Grupę tę możemy podzielić na dwie części: Zaufane witryny(Trusted Zone lub Trusted IP range) oraz ProtocolDefaults . Wszystkie informacje w grupach tych zgromadzone są w kluczu:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
Opiszę najpierw pierwszą część, czyli zaufane witryny. Nasza przeglądarka systemowa (Internet Explorer) ma opcję dodawania witryn do zaufanych. Możemy to zrobić poprzez:
Narzędzia -> Opcje internetowe -> Zabezpieczenia
I widzimy tam opcję: Zaufane Witryny .
[Aby zobaczyć linki, zarejestruj się tutaj]
Bardzo często szpieg sam dodaje niechciane strony do naszych (rzekomo) zaufanych, w związku z tym jeżeli danej witryny nie znamy (sami jej nie ustawialiśmy), to wpisy te usuwamy.
Szkodliwe:
Cytat: O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
Prawidłowe:
Cytat: O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
O15 - Trusted Zone: [Aby zobaczyć linki, zarejestruj się tutaj]
Druga grupa to ProtocolDefaults , czyli otwieranie każdej witryny w sieci jako witryny zaufanej. Wpisy te zawsze usuwamy Hijackiem, lub innym przystosowanym do tego narzędziem.
Szkodliwe:
Cytat: O15 - ProtocolDefaults: ''http'' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: ''http'' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: ''https'' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: ''https'' protocol is in Trusted Zone, should be Internet Zone (HKLM)
UWAGA: Bardzo często wpisy O15 podczas usuwnia stawiają opór. W razie takich problemów należy skorzystać z narzędzia [Aby zobaczyć linki, zarejestruj się tutaj] .
|