| |
המדריך מפורסם במקביל בפורום תוכנה ומערכות הפעלה ובפורום מדריכים, טריקים וטיפים. שלום לכולם. זהו החלק השני של המדריך, ועל מנת להבין אותו חשוב לקרוא קודם לכן את החלק הראשון אשר נמצא כאן:
https://rotter.name/cgi-bin/nor/dcboard.cgi?az=read_count&om=12032&forum=guide&viewmode=threaded ברצוני להתנצל על שלקח לי זמן לכתוב את החלק השני, הייתי עמוס מאוד בתקופה האחרונה. אני מוכרח להגיד שהתגובות למדריך שלי בנוגע לפתיחת גלריית תמונות בפורום מדריכים נתנו לי מוטיבציה לחזור ולכתוב את המדריך הזה. הערה א': מדריך זה הינו (עדיין) מבוא בלבד לנושא. גם אדם אשר יודע אותו לגמרי ואף מפנים את המידע המועבר, לא יכול לנתח לוגים של HijackThis באופן מבוטח. לנוחיותכם, חילקתי את המדריך לחלקים (מעבר למבוא שכבר ניתן עד כה):
1.הקדמה – מה היה לנו בחלק הקודם, וכיצד הוא מתקשר לחלק הזה.
2. ניתוח לוג פשוט.
3. עזרים מסויימים ומתי משתמשים בהם.
4. דוגמאות ל-Entries יוצאות דופן ודרך הטיפול בהן.
5. סיכום והקדמה לקראת החלק הבא. 1. הקדמה – מה היה לנו בחלק הקודם, וכיצד הוא מתקשר לחלק הזה. בחלק הקודם של המדריך ראינו את החלקים השונים בלוג של HijackThis. הפכנו למעשה את הלוג המסובך והבלתי-קריא, ללוג שאנו מבינים את משמעותו ומה הוא מסמן (לפחות עבור מי שהבין את המדריך). סקרנו את ה-Entries השונות, ואת משמעותה של כל אחת. בחלק הזה, נלמד איך לדעת אם ה-Entry רעה או לא, ואם כן – איך מגיבים. נחקור מעט את פעולותיו של מנתח לוגים של HijackThis כדי שנוכל להבין יותר טוב מה קורה במחשב וכיצד להעזר בתוכנה. על מנת לעשות זאת, נחקור לוג פשוט, נסקור מעט מן העזרים אשר משתמשים בהם כאשר מנחים משתמש המגיע עם לוג פגוע של HijackThis ונראה דוגמאות ל-Entries יוצאות דופן ודרך הטיפול בהן. חשוב מאוד שכל שאלה שעולה לכם במהלך המדריך, תשאלו כאן כדי שאוכל לענות עליה במדריך הבא. שאלה: מדוע לאחר קריאת המדריך לא נוכל לנתח לוגים באופן בטוח?
תשובה: מדריך זה כולל רק מקצת מן אומנות המלחמה במזיקי אינטרנט בעזרת HijackThis. על מנת להיות מסוגל לנתח לוגים באופן בטוח, יש צורך להתנסות בניתוח של הרבה מאוד לוגים. כמו כן, ישנם הרבה מאוד Entries מיוחדות, אשר לא נכללו במדריך. 2. ניתוח לוג פשוט.
העליתי עבורכם לוג של HijackThis שאני יצרתי (כמו בפעם הקודמת). הכוונה היא שזה לא לוג אמיתי של אף אחד, אלא לוג שיצרתי על מנת שיהיה קל להסביר. זהו לוג של מחשב לא עמוס, אך פגוע במעט מזיקים.
אני ממליץ בחום שתורידו אותו למחשב, ושהוא יהיה פתוח כל הזמן תוך כדי קריאת המדריך:
https://rotter.name/madric/guide1/44215e6848c1a6a2.txt כפי שנוכחנו לדעת במדריך הקודם, הלוג של HijackThis מחולק לחלקים. מכיוון שכבר הסברנו את משמעותם, לא אחזור על זה כאן. כפי שניתן לראות, החלק הראשון תקין – למשתמש יש את הגרסא האחרונה של HijackThis (גרסא 1.99.1), והוא מוגן בידי החבילה SP2. באם זה לא היה כך, היינו צריכים לדאוג קודם שלמשתמש תהיה הגרסא האחרונה של HijackThis ואת החבילה של SP2. כעת, נעבור לחלק של התהליכים הרצים. כיצד נדע אם הם רעים או טובים? לשם כך, יש לעבור על התהליכים בנפרד, אחד-אחד.
התהליך הראשון הינו:
C:\WINDOWS\System32\smss.exe
על מנת לדעת האם התהליך רע או טוב, נכנס לגוגל ונרשום את שם הקובץ שלו (ללא התיקייה). בדוגמא הזו, נרשום בגוגל smss.exe. מיד יופיע לנו העמוד הבא:
כפי שאתם רואים, האתר הראשון הוא האתר lutilities. זהו אתר מצויין להשתמש בו על מנת לקבל מידע בנושא תהליכים רצים במחשב. אנא לחצו על הלינק מגוגל, שמוביל לדף הבא:
http://www.liutilities.com/products/wintaskspro/processlibrary/smss/
כפי שאתם רואים, התהליך הנ"ל הוא חלק ממערכת ההפעלה של ה-Windows, ואתם תראו אותו בכל לוג של מערכת הפעלה מסוג Windows. הוא חיוני, וכמובן לא רע. אם תרדו מעט בדף, גם תראו את השורה הבאה:
זוהי הוכחה נוספת לכך שהתהליך אינו רע. מכיוון שהתהליך אינו בעייתי, ניתן להתעלם ממנו ולהמשיך לתהליך הבא.
התהליכים הבאים כולם תהליכים אשר קשורים למערכת ההפעלה Windows, ולכן לא אפרט על כל אחד מהם בנפרד (אם לא בטוחים, ניתן לחפש מידע על התהליך באמצעות גוגל):
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe כעת, נעבור לתהליך הבא:
שוב, נלך לגוגל ונקליד את שם הקובץ. נקבל את דף התוצאות הבא:
שוב, מתגלה בפנינו האתר lutilities. לחצו על הקישור הזה, ותגיעו לעמוד הבא:
http://www.liutilities.com/products/wintaskspro/processlibrary/explorer/
זהו תהליך שקשור בתוכנה Internet Explorer, ומכאן שגם הוא לא מזיק ונוכל להמשיך הלאה.נעבור לתהליך הבא:
C:\WINDOWS\System32\CTHELPER.EXE
פעם נוספת, נלך לגוגל ונקליד את שם הקובץ. יעלה בפנינו דף התוצאות הבא:
כאשר, שוב, האתר lutilities בראש. נלחץ על הקישור שלו, ונגלה כי התהליך הזה קשור ב-creative (כרטיס הקול), ומכאן שהוא אינו מזיק ונעזוב גם אותו.התהליך הבא והאחרון הינו:
C:\Documents and Settings\Jeffrey Sand\Desktop\Cleaning Ad Attacks\HijackThis.exe
אין צורך לבדוק, כמובן שזוהי התוכנה HijackThis! חברים, עברנו בקצרה על כל התהליכים הרצים, ואין בחלק הזה של הלוג מזיקים. החלק של התהליכים הוא תמיד קל יחסית, והעבודה הרבה נוצרת כאשר יש קובץ שלא בטוח אם הוא מזיק או לא. נראה דוגמאות לכך בחלק הבא של המדריך. כעת, נעבור לחלק הקשה יותר – הזה של ה-Entries.
מבוא
על מנת לחקור Entries, יש לנו מספר עזרים. ראשית, נעזר באתרים שנבנו למען המטרה הזו, ומכילים מאגרים עם Entries ותאורן. האנשים שעוזרים לאתרים האלה (ואני ביניהם), עושים את העבודה בשבילכם וחוקרים את ה-Entries ואז מוסיפים אותן למאגר, על מנת שאתם תוכלו לדעת בקלות האם ה-Entry בעייתית או לא. שאלה: כיצד נוכל לבטוח במאגרים האלו?
תשובה: לא כל אחד יכול להוסיף מידע על Entry למאגר. על מנת להוסיף למאגר, יש לפרסם את המידע שנמצא על ה-Entry, ואחראי על החלק המסויים במאגר בודק בעצמו את נכונות המסקנות של זה שחקר אותה, ורק אז מוסיף אותה למאגר. במידה ואחראי חלק במאגר (אני, לדוגמא, אחראי על ה-O9 באתר castlecops) מוסיף Entry, היא תבדק בידי אדם נוסף על מנת להבטיח את נכונות התוספת. חשוב לציין שרק אנשים בעלי ניסיון מתקבלים לנהל רשימות של Entries. באם ה-Entry לא מופיעה באתר, נאלץ לחקור אותה בעצמנו. לשם כך, נשתמש בגוגל. ונתחיל בעבודה...
האדם בלוג הזה לא הכניס אתר בית, ולכן אין Entries מסוג R המציינות את אתר הבית שלו. למרות זאת, קיימת ה-Entry הבאה:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
קל מאוד להבין שמדובר ב-Proxy, ומכיוון שהוא 127.0.0.1 (נייטרלי), אנו מסיקים כי זו לא Entry רעה. ככלל, Entries מסוג R נחקור בגוגל באם יש ספק לגביהן. ה-Entry הבאה היא:
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx שאלה: הקובץ נמצא בתיקייה של Acrobat Reader, זה לא מספיק כדי לדעת שה-Entry איננה מזיקה?
תשובה: חד משמעית - לא. יוצרי ה-Entries המזיקות מעוניינים שתחשבו שה-Entry שלהם איננה מזיקה, וזו אחת השיטות. יש לבדוק כל Entry, גם אם היא נראית "תמימה". ובכן, נלך למאגר ה-Entries מסוג O2 ב-castlecops (האתר העדיף עליי, באופן אישי):
http://castlecops.com/CLSID.html
כעת, הכניסו לתיבת החיפוש את שם הקובץ (AcroIEHelper.ocx), שם ה-Entry (AcroIEHlprObj Class) או לחילופין את ה-CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3). כך או אחרת, תגיעו ל-Entry המבוקשת. כפי שאתם רואים, כל פרטי ה-Entry שנמצאים אצלכם בלוג, נמצאים גם כאן. הערך הזה אכן שייך ל-Acrobat Reader, והוא בסדר ואינו מזיק (שימו לב שהסטטוס הוא L). עד כאן לא מצאנו מזיקים להזכירכם. הוה נמשיך:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
מכיוון שזו עדיין Entry מסוג O2, נבדוק עדיין במאגר הזה. הפעם, אין שם ל-Entry ולכן נכניס לחיפוש או את ה-CLSID, או את שם הקובץ. כפי שאתם רואים, גם כאן מדובר ב-Entry בסדר לחלוטין, השייכת לתוכנת Spybot Search&Destroy.
שימו לב! אם תחפשו את שם הקובץ בלבד SDHelper.dll, תקבלו באתר הזה שתי תוצאות, שאחת מהן רעה. על מנת להבדיל, השוו את שם ה-Entry ואת ה-CLSID לאלו שלכם. במקרים רבים תהיינה ENTRIES עם שם משותף או שם קובץ משותף (לעולם לא CLSID משותף) וחשוב לדעת להבדיל ביניהן. נמשיך:
O2 - BHO: (no name) - {A78860C8-EE1A-46DF-A97F-E3E6D433F80B} - C:\WINDOWS\system32\cbkh038.dll
עדיין O2, בואו נבדוק שוב באתר. הפעם, אין תוצאה. גם ה-CLSID וגם שם הקובץ לא מחזירים תשובה. לכן, נפתח את גוגל ונחפש את שם הקובץ. לא נקבל ולו תוצאה אחת.
חברים, ישנה מסקנה אחת לכך – שם הקובץ הינו רנדומלי, והוא מזיק! לכל קובץ תקין יש אזכור כלשהו באינטרנט, אם אתם מחפשים קובץ בגוגל ולא מקבלים עליו מידע, הוא מזיק. שאלה: מה נעשה כאשר גילינו שה-Entry מזיקה?
תשובה: במקרה הזה, כמו גם ברוב המקרים, ננקוט בשני צעדים:
א. נתקן את ה-Entry בעזרת התוכנת HijackThis (כלומר, נמחק את ערך ה-Registry שלה.
ב. נמחק את הקובץ הבעייתי, בדוגמא הזו את C:\WINDOWS\system32\cbkh038.dll. נמשיך, הגענו ל-Entry מסוג O4:
O4 - HKLM\..\Run: C:\WINDOWS\system32\idhuecir.exe
לשם כך, נפנה למאגר המתאים באתר castlecops:
http://castlecops.com/StartupList.html
גם במקרה הזה, באם תחפשו את שם הקובץ או את ה-Entry, לא תגיעו לתוצאות. גם חיפוש בגוגל לא יתן לכם אף מידע על הקובץ. המסקנה היא שוב, אחת – הקובץ הינו מזיק, ולכן ננקוט באותם הצעדים שנקטנו בפעם שעברה. ל-Entry הבאה:
O4 - HKLM\..\Run: C:\WINDOWS\system32\exp.exe
גם כאן מדובר ב-Entry מסוג O4 ולכן נוכל לחפש אותה במאגר בו חיפשנו את הקודמת. חיפוש של exp.exe יניב הרבה תוצאות, אך שוב – רק אחת מתאימה, זו שבה גם שם הקובץ וגם שם ה-Entry הוא exp.exe. אתרו אותה מבין התוצאות. כפי שאתם רואים, מדובר ב-Entry מזיקה (סטטוס מוגדר כ-X), והיא קשורה לסוס טרוייאני. שוב, ננקוט בצעדים בהם נקטנו גם בפעמים הקודמות. נמשיך:
O4 - HKLM\..\Run: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
חיפוש כאן של שם הקובץ לא יניב תוצאות, אך של שם ה-Entry כן, זאת משום ששם הקובץ משתנה לפי הגרסא. לכן, חשוב מאוד לחפש גם לפי שם ה-Entry!
כפי שאתם רואים, זוהי Entry תקינה, ולכן לא ניגע בה. ה-Entry הבאה קצת מיוחדת:
O4 - HKLM\..\Run: Rundll32.exe ptipbmf.dll,SetWriteCacheMode
לא מצויין כאן המיקום של הקובץ. שימו לב, כי הקובץ אותו נחפש הוא ptipbmf.dll, שכן Rundll32.exe רק מפעיל אותו. חיפוש של קובץ זה במאגר יתן תוצאה אחת. על אף שהסטטוס מוגדר כ-?, ניתן להבין מהתאור כי ה-Entry תקינה, ונעזוב גם אותה. בצורה דומה מאוד, ניתן לעבור על כל אחת ואחת מן ה-Entries הבאות:
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\RunOnce: "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /play
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
כולן קשורות לתוכנות שונות שכולנו מכירים. נמשיך:
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
על מנת לבדוק Entries מסוג O8, אין מאגר. ניתן לחקור את ה-Entry בגוגל, ולגלות בקלות שהיא קשורה באקסל. נמשיך לשתי ה-Entries הבאות אשר קשורות זו בזו:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
בשביל לחקור Entries מסוג O9, אנא הכנסו למאגר הבא (שאני, כאמור, אחראי עליו):
http://castlecops.com/O9.html
חיפוש קצר יוביל אותנו למסקנה אחת – אלו Entries הקשורות במסנג'ר, ולכן אין איתן שום בעייה. ה-Entry הבאה היא מסוג O12:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
כפי שהסברתי במדריך הקודם, כל O12 עם סיומת .dll הינה בסדר, ובכלל – עוד לא יצא לי לראות מזיק בחלק זה של הלוג. נשארו לנו רק Entries מסוג O16. על מנת לחקור אותן, אנא הולכים לגוגל ומחפשים עליהם מידע, כאשר אנו מחפשים את כתובת האתר בגרשיים, לדוגמא: ”https://rotter.name”.
נתחיל:
החיפוש בדרך הנ"ל יביא אותנו לעמוד הבא:
http://www.google.com/search?hl=en&lr=&q=%22dynamicdesktopmedia.com%22
שימו לב לתוצאה הרביעית:
http://www.doxdesk.com/parasite/Roimoi.html
האתר הזה קשור למזיק Roimoi. מעבר לכך, כל שאר התוצאות כאן קשורות בלוגים של אנשים עם בעיות מזיקים.
לצורך ההשוואה, בואו נבדוק את התוצאות בגוגל של האתר ב-Entry הבאה:
(הערה: כמובן שנחפש רק ”Symantec.com” ולא את כל הכתובת).
החיפוש יביא אותנו לעמוד הבא:
http://www.google.com/search?hl=en&lr=&q=%22symantec.com%22
כפי שאתם נוכחים לראות, יש כאן המון תוצאות נורמליות לחלוטין.ניתן להסיק מכך שה-Entry המתקשרת לאתר dynamicdesktopmedia.com היא רעה ולכן נתקן אותה. מכיוון שה-Entry לא מייצגת קובץ במחשב, אין לנו מה למחוק. גם שאר ה-Entries שבלוג הן בסדר, וקשורות לאתרים המוכרים symantec.com ו-msn.com. לסיכום השלב הזה:
ראינו לוג פשוט מאוד וניתחנו אותו. למדנו להבדיל בין Entry מזיקה לבין תקינה, ומה עושים כאשר נתקלים ב-Entry מזיקה. 3. עזרים מסויימים ומתי משתמשים בהם.
כפי שנכתב כבר, לא תמיד אנחנו מסתפקים במחיקת הקובץ שמוצג ב-Entry ותיקון ה-Entry עצמה. לעיתים, אנו משתמשים בעזרים. להלן דוגמאות על קצה המזלג של חלק מן העזרים בהם משתמשים, ומתי משתמשים בהם: CleanUP!
כאשר ישנה Entry הקשורה לקובץ הנמצא בתיקייה זמנית, אנו מנקים את התיקיות הזמניות בעזרת התוכנה CleanUP!. גם כאשר המחשב עמוס מומלץ להשתמש בתוכנה הזו, שכן היא מנקה את המחשב מזבל וממהרת את פעולתו.
דוגמאות ל-Entries אשר יצריכו שימוש בתוכנה:
O2 - BHO: CATLEvents Object - {3EC8E271-FAB9-418a-8A8E-65AEB4029E64} - C:\DOCUME~1\YOUTHM~1\LOCALS~1\Temp\litu3pm.dat
O2 - BHO: CATLEvents Object - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - C:\DOCUME~1\YOUTHM~1\LOCALS~1\Temp\litu3pm.dat
O2 - BHO: CATLEvents Object - {C69FA570-7FDE-4C49-A7BC-CB1CF24BE66B} - C:\DOCUME~1\YOUTHM~1\LOCALS~1\Temp\ipatcvsm.dat
O4 - HKLM\..\Run: C:\windows\temp\ksX4vp0.exe Hoster
כאשר יש Entry בעייתית (או אוסף של Entries בעיתיות) מסוג O1 (עליהן פורט בהרחבה במדריך הקודם), לא מספיק לתקן את ה-Entry או שהיא תחזור לאחר איתחול המחשב. לשם כך, ניתן להשתמש בכלי Hoster, אותו ניתן להוריד מכאן:
הערה: ניתן גם להשתמש בקובץ מסויים שנבנה למען המטרה.
דוגמאות ל-Entries אשר יצריכו שימוש בתוכנה:
O1 - Hosts: 72.36.156.164 altfarm.mediaplex.com
O1 - Hosts: 72.36.156.164 ad.doubleclick.net DelO15Domains.inf
כאשר יש Entry בעייתית (או אוסף של Entries בעיתיות) מסוג O15 (עליהן פורט בהרחבה במדריך הקודם), גם לא מספיק לתקן את ה-Entry. לשם כך, יש קובץ בשם DelO15Domains.inf שמטפל בעניין.
דוגמאות ל-Entries אשר יצריכו שימוש בקובץ:
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) LSPFix
כאשר ישנה Entry בעייתית (או אוסף של Entries בעיתיות) מסוג O10 (עליהן פורט בהרחבה במדריך הקודם), תיקון של ה-Entry אמנם יעלים את האחרונה, אך יגרום לנתק מהאינטרנט. הסיבה לכך היא ש-O10 היא למעשה קשר בין המחשב לאינטרנט, וכאשר מתקנים את ה-Entry, המחשב מחפש את החוליה הזו בקשר בין המחשב לאינטרנט, אך היא לא נמצאת. לשם כך, משתמשים בתוכנה LSPFix ומונעים מן המחשב לחפש את החוליה הבעייתית. את התוכנה אפשר להוריד מכאן:
דוגמאות ל-Entries אשר יצריכו שימוש בתוכנה:
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll שימו לב כי אלו רק מקצת מן העזרים בהם משתמשים, והם כאן רק בכדי להסביר לכם שקיימים עזרים כאלו ולא מספיק לתקן את ה-Entries בחלק מן הפעמים. 4. דוגמאות ל-Entries יוצאות דופן ודרך הטיפול בהן.
הכוונה ל-Entries יוצאות דופן הן כאלה שלא מספיק לתקן אותן ולמחוק את הקובץ, אך גם אין להן כלי-עזר כולל כמו שראינו בסעיף 3. מה הכוונה?
כל ה-Entries הבעייתיות מסוג O1 יטופלו בעזרת Hoster, אך לא כל ה-Entries הבעייתיות מסוג O4 או O20 (לדוגמא) יטופלו בעזרת תוכנה מסויימת. ישנן מספר Entries, שבאופן מאוד מסויים מצריכות טיפול מאוד מסויים, אחרת הן יחזרו.
להלן מספר דוגמאות:
Look2Me
להזכירכם, Entries מסוג O20 מכילות שם וקובץ. כאשר שם הקובץ של ה-Entry הינו רנדומלי, והשם של ה-Entry הוא אחד מהבאים, מדובר ב-Look2Me בוודאות:
App Management, App Paths, Applets, BITS, Control Panel, Controls Folder, CSCSettings, DateTime, Dynamic Directory, Explorer, Extensions, H323TSP, Hints, Installer, Internet Settings, IPConfTSP, Media Center, MediaContentIndex, ModuleUsage, MS-DOS Emulation, Nls, OemStartMenuData, OfficeUpdate, OptimalLayout, policies, Reinstall, Reliability, Guardian, Run, RunOnce, RunOnceEx, RunServices-, Setup, Shell Extensions, ShellCompatibility, ShellScrap, ShellServiceObjectDelayLoad, SideBySide, StillImage, Syncmgr, Telephony, ThemeManager, Themes, Unimodem, Uninstall, URL, WebCheck, WindowsUpdate, SharedDLLs, MCD, FS Templates
והרשימה חלקית בלבד.
במקרה כזה, יש כלי מיוחד שפותר את הבעייה והוא נקרא L2MFix. ניתן להורידו מכאן:
SmitFraud ואחיותיה
עד לא מזמן, היינו צריכים לטפל במזיק הזה ברצף ארוך מאוד של עוד ועוד לוגים. היום, למזלנו, קיים כלי עזר שנועד כדי להשמיד את SmitFraud ואחיותיה, בשם SmitRem. הפעם מדובר במספר של Entries מזהות, המפוזרות ברחבי הלוג. להלן דוגמא ל-Entries הקשורות למזיק זה:
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp89E9.tmp
O4 - HKLM\..\Run: C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: C:\Program Files\P.S.Guard\PSGuard.exe Vundo
ישנם גם מזיקים שאין להם Entries מסויימות, וצריך לזהות אותן לפי דפוס מסויים. Vundo היא אחת מהן. כאשר יש את המזיק Vundo, יופיעו בלוג שתי Entries המתייחסות לאותו הקובץ, פעם אחת ב-O20 ופעם אחת ב-O2. כאשר מזיק זה מזוהה בלוג, יש להשתמש בכלי VundoFix.
לדוגמא, שתי ה-Entries הבאות, יופיעו יחדיו בלוג שיש בו את Vundo:
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\ddcyw.dll
O20 - Winlogon Notify: ddcyw - C:\WINDOWS\system32\ddcyw.dll
חשוב לציין כי על מנתח לוגים של HijackThis לזכור את כל יוצאי הדופן האלה ולהשתמש בתוכנות הנדרשות בזמן הנדרש. 5. סיכום והקדמה לקראת החלק הבא.
בחלק ב' של המדריך, למדנו לזהות האם Entry רעה או לא, ואיך להגיב באם היא ראה. חקרנו בתחילה לוג פשוט, סקרנו מעט מן העזרים שמשתמשים בהם כאשר מנחים משתמש המגיע עם לוג פגוע של HijackThis ואף ראינו מספר דוגמאות ל-Entries יוצאות דופן ודרך הטיפול בהן. כולי תקווה שכעת אתם מבינים טוב יותר את משמעות ניתוח לוגים של HijackThis, ושיש לכם את הבסיס להתקדם בעניין. בחלק הבא של המדריך, אשתדל להציג מקרים נוספים ואף ננתח לוג מעט מתקדם יותר. נלמד שיטות נוספות לחקירה של Entries, ובתקווה שתהיינה לכן שאלות בעקבות המדריך הזה – אני אענה עליהן. זהו, תם ונשלם חברים  -
המדריך הזה נכתב על ידי בלבד במשך זמן רב, נא לא להעתיק אותו או חלקים ממנו ללא רשותי.
כל שאלה נא להפנות אליי, אשמח לענות. ממני אליכם, עומר.
  |
גירסת הדפסה
סגן המנהל
מפקח
Winner
צל"ש
מומחה
