HijackThis - podrobnější informace

tatik, 19:26 | 28 Září, 2009

O prográmku hijackthis už na stránkách pcporadenství.cz, resp. na blogu, článek existuje. Jeho autorem je TOBiAS a článek najdete na adrese http://www.pcporadenstvi.cz/hijack-uzitecna-utilita . Já se pokusím o podrobnější popis programu...

Instalace a spuštění programu.
Existují různé verze, které se liší i způsobem instalace. Starší verze (např. 1.99.1) se neinstalovala, pouze se spustil exe soubor. U verze 2.0.2 se již provádí instalace. Instalace si vezme na disku něco přes 1 MB místa.
Doporučuji zvolit si verzi 2.x.x (u Visty je to nutnost). Není však problém, mít v počítači novější i starší verzi Hijachthis.

K čemu log z hijackthis slouží?
Již předem je nutné říci, že hijackthis není všelékem, ostatně jako asi všechny programy. Dokáže zobrazit běžící programy a klíče registrů, které se spouští při nabíhání operačního systému. Tím jste Vy (nebo ještě lépe zkušení účastníci fóra) schopni odhalit nějakou tu havěť v počítači, případně "brzdu" systému.

Ovládání
Jednoduché a intuitivní. Spustíte program (poklepáním na exe soubor nebo kliknutím na ikonu v případě instalované verze. Objeví se tabulka. Nejvíce nás zajímají horní dvě zvýrazněná tlačítka "Do a system scan and save a log" a "Do a scan system only".Jak již napovídá název, druhé tlačítko nám zajistí oskenování počítače a výsledek zobrazí na obrazovce. První navíc vytvoří a zobrazí log, který můžete dát na poradnu. Často se na poradně setkáte s výrazem "fixnout". Jedná se o označení řádku, který má být vymazán, resp. má být vymazán klíč z registru. Označte kliknutím řádek/řádky (zatrhne se čtvereček vlevo od řádku) a dejte "Fix checked". Pokud poté dáte "Scan", řádek by již neměl existovat. Pokud, například po restartu počítače, se opět objeví, může to signalizovat přítomnost havěti.

Na stránkách www.hijackthis.de si můžete obsah logu nechat zkontrolovat. Podotýkám, že se jedná o základní kontrolu a řádky, které nejsou označeny jako potenciálně nebezpečné, mohou nebezpečné být a naopak. Chybně odstraněná položka může znamenat až nestabilitu systému. Tím Vás ale nechci odradit od používání tohoto programu.

Výsledný log lze rozdělit do tří částí
1. Část - info. Tato část obsahuje informace o verzi hijackthis, datum a čas skenování, info o verzi operačního systému a prohlížeče.
2. Část - přehled běžících procesů. Zde se nabízí otázka, jak poznám, že běžící proces není procesem nežádoucím. Není to tak jednoduché. Je to věcí znalostí a zkušeností a hledání na internetu.
3. část - výpis z registrů. Každý řádek začíná dvoumístným kódem. Význam jednotlivých kódů je pěkně rozpracován na stránkách http://www.malwarehelp.org/understanding-and-interpreting-hjt1.html .
Text je v angličtině. Nemyslím, že bych jej měl zde překládat. Kdo hledá pomoc, toho většinou napadne otázka Na co si dát pozor a co mohu odstranit? Následné řádky jsou vodítkem, že v systému může být havěť a na co se zaměřit:

domovská (výchozí) stránka je odkazuje na neznámou stránku (řádky začínající R0, R1, N1-4). Je to jedním z příznaků havěti, kdy se snaží změnit domovskou stránku.

ve výpisu se objeví podivné názvy dynamických knihoven (soubory s příponou .dll). Jedná se o soubory, které mají v názvu více než 8 znaků (nepočítáme příponu) a jejich název je zkomolenina typu ddgftzzhjbs.dll. Tyto soubory prověřte na stránce www.virustotal.com .

ve výpisu se objevují odkazy na internetové stránky v číselném tvaru, tzv. IP adresa, (například 123.456.789.012). Prověřte si, zda se neodkazují na nějaké pochybné stránky. Mnohokrát se mi stalo, že stránka nenaběhla vůbec, nebo se odkazovala na ukrajinské stránky. Někdy však najdete odkaz na stránky např. O2. Zkuste IP adresu otestovat na stránce http://cqcounter.com/whois/

zaměřte se na řádky začínající 16. Jedná se o řádky ActiveX. Tady je to o zkušenosti. Obecně se ale dá říci, že se bez nich obejdete.

Toolbary. Zvažte, jestli je používáte nebo ne. Pokud ne, klidně je fixněte. Až jsem se někdy divil, kolik různých toolbarů může být v jednom počítači.

Objevilo se několik dotazů na našem fóru, že nejde vložit soubor s příponou .log stránky. Řešení je jednoduché
1. založte si vlastní téma a obsah logu z hijackthis do něj nakopírujte
2. zkomprimujte soubor na příklad na .zip, .rar, my už si s tím nějak poradíme :-)) a přidejte jako přílohu ke svému problému

Co dalšího umí hijackthis?
Umí toho podstatně více, než zde bylo popsáno nebo co je v článku od TOBiASe. Jsou to funkce, které využijí většinou zkušenější uživatelé, ale i tak se o některých z nich zmíním:

Záloha. Spouští se tlačítkem "View the list of backup" z hlavního menu. Zde najdete položky, které jste "fixli" (zaškrtli a dali volbu "Fix checked") a můžete je zpět obnovit. Obnova se provádí tak, že zaškrtnete zvolenou položku, dáte "Restore", na dotaz odpovíte yes a zmáčknete tlačítko back.

Tlačítko "Open the Misc Tools section". Tady bych upozornil na tlačítko "Open proces manager". Po jeho stisknutí se Vám objeví běžící procesy, a pokud zaškrtnete Show DLLs, zobrazí se Vám i příslušné dynamické knihovny

v horní části (Configuration) najdete položku "Main". Zde můžete měnit nastavení. Doporučuji jej nechat, tak jak je. :-))

pokud se budete chtít vrátit na hlavní menu, zmáčkněte tlačítko Main menu.

Program je možné dále konfigurovat a přetvářet k obrazu svému. Další popis by ale přesahoval rozsah tohoto článku a článek by neplnil účel, k jakému byl napsán. Tedy přinést základní informace o práci s programem hijackthis.

Hijackthis si můžete stáhnout například i z našich stránek - http://www.pcporadenstvi.cz/hijackthis .

Jakoukoliv činnost provádíte na vlastní zodpovědnost a autor ani pcporadenstvi.cz nenese odpovědnost za případnou nefunkčnost počítače či systému.

Vstup na tatik blog
Pro psaní komentářů se musíte přihlásit

Potřebujete poradit? Vložte problém do poradny!

Chcete se vyjádřit ke článku? Vložte komentář!

[1484] díky :)

Dne 29 Září, 2009 Tomáš Bohuněk komentuje:

Pro psaní komentářů se musíte přihlásit

díky, tatiku :) díky tobě je již muj blog nadíle zbytečný a není třeba, aby již více zabíral diskovou kapacitu PCP serveru :D

ne vážně.. já jsem to psal jen tak informativně :) je vidět, že ty jsi přes ten SW víc, a ač jsem psal člínek o HT, z tvého článku jsem se dověděl spoustu novinek :D ale je pravda, že já to prostě nezkoumal, jen jsem z pohledu (tenkrát ještě pouze) uživatele infromoval ty ostatní, co s ním.. paradoxně až dnes jsem si všiml diskuse pod ním :D