Kumaha cara analisa HijackThis Log

by Tony Bradley, CISSP-ISSAP

Alih Log Data Pikeun Mantuan Cabut Spyware na Browser pembajak

HijackThis mangrupakeun hiji pakakas haratis ti Trend Micro. Eta asalna dimekarkeun ku Merijn Bellekom, hiji murid di The Walanda. Spyware panyabutan software kayaning Adaware atanapi Spybot S & D do pakasaban hade detecting jeung nyoplokkeun paling program spyware, tapi sababaraha spyware jeung browser pembajak teuing insidious pikeun malah ieu Utiliti anti spyware hébat.

HijackThis ieu ditulis husus pikeun ngadeteksi jeung cabut browser hijacks, atawa software nu nyokot leuwih ti browser wéb anjeun, alters kaca anjeun standar imah search engine sarta hal jahat lianna. Teu kawas software anti spyware has, HijackThis teu nganggo tanda tangan atawa sasaran sagala program husus atanapi URL urang pikeun ngadeteksi na block. Rada, HijackThis Sigana keur trik jeung métode dipaké ku malware mun nginféksi Sistim anjeun sarta alihan panyungsi anjeun.

Teu sagalana nu nembongkeun up dina HijackThis log mangrupa barang goréng jeung sakuduna henteu kabeh dihapus. Kanyataanna, rada sabalikna. Ieu ampir dijamin nu sababaraha item dina log HijackThis anjeun bakal software sah jeung nyoplokkeun pamadegan item bisa dampak adversely sistem Anjeun atawa ngarobah eta tos rengse inoperable. Ngagunakeun HijackThis nyaeta pisan kawas ngédit éta pendaptaran Windows diri. Teu sains rokét, tapi Anjeun kudu pasti henteu eta tanpa sababaraha hidayah ahli iwal mun bener nyaho naon anu anjeun lakukeun.

Sakali anjeun install HijackThis tur ngajalankeun ka ngahasilkeun file log, aya rupa-rupa panglawungan jeung loka dimana anjeun bisa ngirim tulisan atawa unggah data log Anjeun. Ahli anu nyaho kumaha néangan lajeng bisa ngabantu anjeun nganalisis data log sarta mamatahan anjeun dina nu barang piceun na nu leuwih ninggalkeun nyalira.

Pikeun ngundeur aplikasi versi kiwari HijackThis, anjeun tiasa didatangan situs resmi di Trend Micro.

Di dieu nyaeta tinjauan tina HijackThis log éntri nu bisa Anjeun pake luncat kana informasi nu Anjeun keur pilari:

R0, R1, R2, R3 - Internet Explorer Mimitian / Search Kaca URL
F0, F1 - program Autoloading
N1, N2, N3, N4 - Netscape / Mozilla Mimitian Kaca / Search URL
O1 - sarwa file redirection
O2 - Browser nulungan objék
O3 - tulbar Internet Explorer
program Autoloading ti pendaptaran - O4
O5 - ikon IE Pilihan moal katingali dina Control Panel
O6 - Pilihan IE ngakses diwatesan ku Administrator
O7 - aksés Regedit diwatesan ku Administrator
O8 - barang tambahan dina IE menu-klik katuhu
O9 - tombol tambahan dina utama IE tombol toolbar, atawa tambahan Item dina menu 'Pakakas' IE
O10 - Winsock hijacker
O11 - group tambahan dina IE jandela 'Advanced Pilihan'
O12 - plugins IE
O13 - ngabajag IE DefaultPrefix
O14 - 'Reset Web Setélan' ngabajag
O15 - loka dihoyongkeun dina dipercaya Parabot
O16 - ActiveX objék (aka diundeur Program Payil)
O17 - Lop.com pembajak domain
O18 - protokol tambahan sarta pembajak protokol
O19 - pamaké lambar gaya ngabajag
O20 - AppInit_DLLs pendaptaran nilai autorun
O21 - ShellServiceObjectDelayLoad pendaptaran konci autorun
O22 - SharedTaskScheduler pendaptaran konci autorun

O23 - Windows nt Services

R0, R1, R2, R3 - IE Mimitian na kaca Search

Naon eta Sigana mah:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Mimitian Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (jenis ieu henteu dipaké ku HijackThis acan)
R3 - URLSearchHook Default geus leungit

Naon anu kedah dilakukeun:
Lamun ngakuan URL di tungtung jadi homepage atawa search engine, éta OK. Mun anjeun teu, pariksa deui jeung kudu HijackThis ngalereskeun eta. Keur barang R3, salawasna ngalereskeun aranjeunna iwal eta nyebutkeun program nu ngakuan, kawas Copernic.

F0, F1, F2, F3 - program Autoloading tina file INI

Naon eta Sigana mah:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: ngajalankeun = hpfsched

Naon anu kedah dilakukeun:
Item F0 anu salawasna goréng, jadi ngalereskeun aranjeunna. Item F1 mangrupakeun biasana program pisan heubeul anu aman, jadi Anjeun kudu neangan sababaraha info nu langkung lengkep ihwal Ngaran koropak nu ningali lamun éta hadé atawa goréng. Pacman urang ngamimitian Daptar bisa mantuan kalawan identifying hiji item.

N1, N2, N3, N4 - Netscape / Mozilla Mimitian & amp; kaca search

Naon eta Sigana mah:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Payil \ Netscape \ Pamaké \ standar \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.startup.homepage", "http://www.google.com"); (C: \ Dokumén jeung Setélan \ pamaké \ Data Aplikasi \ Mozilla \ Propil \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.search.defaultengine", "mesin: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumén jeung Setélan \ pamaké \ Data Aplikasi \ Mozilla \ Propil \ defaulto9t1tfl.slt \ prefs.js)

Naon anu kedah dilakukeun:
Biasana Netscape jeung Mozilla homepage na kaca pilarian téh aman. Aranjeunna jarang meunang ngabajak, ngan Lop.com geus dipikawanoh pikeun ngalakukeun ieu. Kedah nu katingali hiji URL anjeun teu ngakuan sakumaha homepage atawa kaca pilarian, gaduh HijackThis ngalereskeun eta.

redirections Hostsfile - O1

Naon eta Sigana mah:
O1 - sarwa: 216.177.73.139 auto.search.msn.com
O1 - sarwa: 216.177.73.139 search.netscape.com
O1 - sarwa: 216.177.73.139 ieautosearch
O1 - sarwa file perenahna di C: \ Windows \ Pitulung \ sarwa

Naon anu kedah dilakukeun:
ngabajag ieu bakal alihan alamat ka katuhu ka alamat IP ka kénca. Lamun IP teu milik alamatna, Anjeun bakal dialihkeun ka loka everytime lepat anjeun ngasupkeun alamat. Anjeun salawasna tiasa gaduh HijackThis ngalereskeun ieu, iwal mun knowingly nempatkeun jalma garis dina file sarwa Anjeun.

Item panungtungan sakapeung lumangsung dina Windows 2000 / XP jeung inféksi Coolwebsearch. Salawasna ngalereskeun item ieu, atanapi gaduh CWShredder ngalereskeun eta otomatis.

O2 - Browser nulungan objék

Naon eta Sigana mah:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:! \ Program file \ Yahoo \ Companion \ YCOMP5_0_2_4.DLL
O2 - BHO: (euweuh ngaran) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ program file \ kaluar ELIMINATOR \ AUTODISPLAY401.DLL (file leungit)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ program file \ MEDIALOADS ditingkatkeun \ ME1.DLL

Naon anu kedah dilakukeun:
Mun anjeun teu langsung mikawanoh ngaran Browser nulungan Objék urang, migunakeun TonyK urang BHO & Toolbar Daptar pikeun manggihan eta ku ID kelas (CLSID, jumlah antara kurung Curly) jeung tingali lamun éta hadé atawa goréng. Dina Daptar BHO, 'X' hartina spyware jeung 'L' hartina aman.

tulbar IE - O3

Naon eta Sigana mah:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:! \ Program file \ Yahoo \ Companion \ YCOMP5_0_2_4.DLL
O3 - Toolbar: kaluar Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ program file \ kaluar ELIMINATOR \ PETOOLBAR401.DLL (file leungit)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ Windows \ aplikasi DATA \ CKSTPRLLNQUL.DLL

Naon anu kedah dilakukeun:
Mun anjeun teu langsung mikawanoh ngaran toolbar urang, migunakeun TonyK urang BHO & Toolbar Daptar pikeun manggihan eta ku ID kelas (CLSID, jumlah antara kurung Curly) jeung tingali lamun éta hadé atawa goréng. Dina Daptar Toolbar, 'X' hartina spyware jeung 'L' hartina aman. Lamun éta henteu dina daptar jeung nami sigana a string acak tina karakter jeung file aya dina folder nu 'Data Aplikasi' (kawas hiji panungtungan dina conto di luhur), éta meureun Lop.com, jeung anjeun definately kudu boga HijackThis ngalereskeun ieu.

program Autoloading ti pendaptaran atawa grup ngamimitian - O4

Naon eta Sigana mah:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ Windows \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Payil \ umum Payil \ Symantec Tanjungjaya \ ccApp.exe"
O4 - ngamimitian: Microsoft Office.lnk = C: \ Program Payil \ Microsoft Office \ Kantor \ OSA9.EXE
O4 - ngamimitian Global: winlogon.exe

Naon anu kedah dilakukeun:
Paké PacMan urang ngamimitian Daptar pikeun manggihan Éntri tur tingali lamun éta hadé atawa goréng.

Mun item nembongkeun program linggih di grup ngamimitian (kawas dina item panungtungan luhur), HijackThis teu tiasa ngalereskeun item nu lamun program ieu masih dina mémori. Nganggo Windows Tugas Manager (TASKMGR.EXE) pikeun nutup prosés saméméh ngaropéa.

O5 - Pilihan IE teu katingali dina Control Panel

Naon eta Sigana mah:
O5 - control.ini: inetcpl.cpl = euweuh

Naon anu kedah dilakukeun:
Iwal mun atanapi administrator sistem Anjeun geus knowingly disumputkeun ikon ti Control Panel, gaduh HijackThis ngalereskeun eta.

O6 - Pilihan IE ngakses diwatesan ku Administrator

Naon eta Sigana mah:
O6 - HKCU \ Software \ Kawijakan \ Microsoft \ Internet Explorer \ Watesan hadir

Naon anu kedah dilakukeun:
Iwal mun boga Spybot S & D pilihan 'homepage konci ti parobahan' aktif, atawa administrator sistem Anjeun nyimpen ieu kana tempat, kudu HijackThis ngalereskeun ieu.

O7 - aksés Regedit diwatesan ku Administrator

Naon eta Sigana mah:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Kawijakan \ System, DisableRegedit = 1

Naon anu kedah dilakukeun:
Salawasna kudu HijackThis ngalereskeun ieu, iwal administrator sistem Anjeun geus nempatkeun pangwatesan ieu kana tempat.

O8 - barang tambahan dina IE menu-klik katuhu

Naon eta Sigana mah:
O8 - item menu konteks tambahan: & Google Search - res: // C: \ Windows \ diundeur program file \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - tambahan konteks item menu: Yahoo! Pilarian - file: /// C: \ Program Payil \ Yahoo \ umum / ycsrch.htm!
O8 - item menu konteks tambahan: Deukeutkeun & Dina - C: \ Windows \ wéb \ zoomin.htm
O8 - tambahan konteks item menu: Deukeutkeun O & UT - C: \ Windows \ wéb \ zoomout.htm

Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan ngaran item dina menu-klik katuhu dina IE, gaduh HijackThis ngalereskeun eta.

O9 - tombol tambahan dina toolbar IE utama, atawa barang tambahan di IE & # 39; Pakakas & # 39; menu

Naon eta Sigana mah:
O9 - tombol tambahan: Rasul (HKLM)
O9 - tambahan 'Pakakas' menuitem: Rasul (HKLM)
O9 - tombol tambahan: Tujuan (HKLM)

Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan nami tombol atanapi menu nu item, gaduh HijackThis ngalereskeun eta.

O10 - pembajak Winsock

Naon eta Sigana mah:
aksés Internet ngabajak ku New.Net - O10
O10 - aksés Internet pegat kusabab panyadia LSP 'c: \ progra ~ 1 \ umum ~ 2 \ toolbar \ cnmib.dll' leungit
O10 - file noname di Winsock LSP: c: \ file program \ newton weruh \ vmain.dll

Naon anu kedah dilakukeun:
Hadé Éta mun ngalereskeun ieu ngagunakeun LSPFix ti Cexx.org, atawa Spybot S & D tina Kolla.de.

Catetan yen 'kanyahoan' file dina tumpukan LSP moal dibereskeun ku HijackThis, pikeun isu kaamanan.

O11 - group tambahan dina IE & # 39; Advanced Pilihan & # 39; jandela

Naon eta Sigana mah:
O11 - group Options: [CommonName] CommonName

Naon anu kedah dilakukeun:
Hijina hijacker sakumaha tina kiwari nu nambihan pilihan grup sorangan ka IE Advanced Pilihan jandela anu CommonName. Jadi maneh salawasna tiasa gaduh HijackThis ngalereskeun ieu.

O12 - plugins IE

Naon eta Sigana mah:
O12 - plugin for .spop: C: \ Program Payil \ Internet Explorer \ plugins \ NPDocBox.dll
O12 - plugin for .PDF: C: \ Program Payil \ Internet Explorer \ plugins \ nppdf32.dll

Naon anu kedah dilakukeun:
Kalolobaan waktu ieu aman. Ngan OnFlow nambihan plugin a didieu nu teu hayang (.ofb).

O13 - ngabajag IE DefaultPrefix

Naon eta Sigana mah:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Rarangkén Hareup: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Awalan: http://ehttp.cc/?

Naon anu kedah dilakukeun:
Ieu salawasna goréng. Gaduh HijackThis ngalereskeun aranjeunna.

O14 - & # 39; Reset Web Setélan & # 39; ngabajag

Naon eta Sigana mah:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Naon anu kedah dilakukeun:
Mun URL teu panyadia tina komputer atanapi ISP anjeun, boga HijackThis ngalereskeun eta.

O15 - loka dihoyongkeun dina dipercaya Parabot

Naon eta Sigana mah:
O15 - dipercaya Zone: http://free.aol.com
O15 - dipercaya Zone: * .coolwebsearch.com
O15 - dipercaya Zone: * .msn.com

Naon anu kedah dilakukeun:
Kalolobaan waktu ukur Kaol na Coolwebsearch cicingeun nambahan loka kana Parabot dipercaya. Lamun henteu nambah domain didaptarkeun kana Parabot dipercaya diri, kudu HijackThis ngalereskeun eta.

O16 - ActiveX objék (aka diundeur Program Payil)

Naon eta Sigana mah:
O16 - DPF: Yahoo! Ngobrol - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Objék) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan nami objek, atanapi URL eta ieu diundeur ti, gaduh HijackThis ngalereskeun eta. Mun nami atanapi URL ngandung kecap kawas 'pamuter', 'kasino', 'free_plugin' jsb, pasti ngalereskeun eta. Javacool urang SpywareBlaster boga database badag objék ActiveX jahat anu bisa dipaké pikeun néangan up CLSIDs. (Katuhu-klik daftar ka nganggo fungsi Néangan.)

O17 - Lop.com hijacks domain

Naon eta Sigana mah:
O17 - HKLM \ System \ CCS \ Layanan \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Layanan \ Tcpip \ parameter: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Layanan \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Layanan \ Tcpip \ parameter: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Layanan \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Naon anu kedah dilakukeun:
Mun domain nu teu ti anjeun ISP jaringan atawa parusahaan, gaduh HijackThis ngalereskeun eta. Sami mana pikeun éntri éta 'SearchList'. Keur 'NameServer' ( DNS server ) éntri, Google pikeun IP atawa IPS jeung eta bakal gampang ningali lamun aranjeunna hadé atawa goréng.

O18 - protokol tambahan sarta pembajak protokol

Naon eta Sigana mah:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ umum ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol ngabajag: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Naon anu kedah dilakukeun:
Ngan sababaraha pembajak némbongkeun nepi ka dieu. baddies nu dipikawanoh nyaéta 'CN' (CommonName), 'ayb' (Lop.com) jeung 'relatedlinks' (Huntbar), anjeun kudu boga HijackThis ngalereskeun maranéhanana. hal séjén nu némbongkeun up anu boh henteu dikonfirmasi aman acan, atanapi nu ngabajak (ie CLSID nu geus robah) ku spyware. Dina kasus panungtungan, kudu HijackThis ngalereskeun eta.

O19 - pamaké lambar gaya ngabajag

Naon eta Sigana mah:
O19 - pamaké gaya lambar: c: \ Windows \ Java \ my.css

Naon anu kedah dilakukeun:
Dina kasus hiji slowdown browser tur sering popups, gaduh HijackThis ngalereskeun item ieu lamun nembongkeun up dina log. Sanajan kitu, ti ukur Coolwebsearch manten ieu, éta hadé migunakeun CWShredder mun ngalereskeun eta.

O20 - AppInit_DLLs pendaptaran nilai autorun

Naon eta Sigana mah:
O20 - AppInit_DLLs: msconfd.dll

Naon anu kedah dilakukeun:
nilai pendaptaran Ieu lokasina di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows nt \ CurrentVersion \ Windows beban DLL a kana memori nalika log pamaké di, nu satutasna mah tetep dina mémori dugi logoff. sababaraha program sah pisan make eta (Norton CleanSweep migunakeun APITRAP.DLL), paling sering dipaké ku Trojans atanapi pembajak browser agressive.

Dina hal anu 'disumputkeun' DLL loading tina nilai pendaptaran ieu (mung katingali nalika ngagunakeun pilihan 'Edit binér Data' di Regedit) nami dll bisa jadi prefixed ku pipa '|' sangkan eta katingali dina log.

O21 - ShellServiceObjectDelayLoad

Naon eta Sigana mah:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ Windows \ System \ auhook.dll

Naon anu kedah dilakukeun:
Ieu hiji metodeu autorun undocumented, ilaharna dipaké ku sababaraha komponén sistem Windows. Item nu didaptarkeun di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad anu dimuat ku Explorer nalika Windows dimimitian. HijackThis ngagunakeun whitelist tina sababaraha item SSODL pisan umum, jadi iraha hiji item dipintonkeun dina log éta kanyahoan jeung kamungkinan jahat. Ngubaran kalayan perawatan ekstrim.

O22 - SharedTaskScheduler

Naon eta Sigana mah:
O22 - SharedTaskScheduler: (euweuh ngaran) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ jandéla \ system32 \ mtwirl32.dll

Naon anu kedah dilakukeun:
Ieu mangrupa autorun undocumented pikeun Windows nt / 2000 / XP hijina, nu geus dipake jarang. Sajauh ukur CWS.Smartfinder migunakeun eta. Ngubaran kalayan perawatan.

O23 - nt Services

Naon eta Sigana mah:
O23 - Service: Kerio Personal firewall (PersFw) - Kerio Panyiaran - C: \ Program Payil \ Kerio \ Personal firewall \ persfw.exe

Naon anu kedah dilakukeun:
Ieu teh Listing tina jasa non-Microsoft. Daptar kudu sarua jeung salah sahiji nu katingali dina Msconfig utiliti tina Windows XP. Sababaraha pembajak Trojan ngagunakeun layanan homemade di adittion mun startups séjén pikeun reinstall sorangan. Ngaran lengkep biasana penting-sounding, kawas 'Network Service Kaamanan', 'Workstation Sandi Liwat Service' atawa 'Jauh Prosedur Telepon nulungan', tapi nami internal (antara kurung) mangrupakeun string of sampah, kawas 'Ort'. Bagian kadua jalur anu boga sahiji file di ahir, sakumaha katingal dina pasipatan nu file urang.

Catet yén ngaropéa hiji item O23 ngan bakal eureun jasa jeung mareuman eta. jasa nu perlu dihapus tina pendaptaran sacara manual atawa ku alat sejen. Dina HijackThis 1.99.1 atawa saluhureuna, tombol 'Hapus nt Service' dina bagian Pakakas Misc bisa dipaké pikeun ieu.