Logi z HiJackThis, Silent Runners, OTL. Ich analiza

[pp3088]

Logi z HiJackTHis

Analiza

Każda z potencjalnych lokalizacji szpiegów i wirusów ma swój osobny identyfikator.
R0, R1, R2, R3- Strony startowe i wyszukiwarki IE
N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a
F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI
O1 - Przekierowania w pliku HOSTS
O2- BHO czyli Browser Helper Objects
O3 - Paski narzędziowe w IE
O4 - Autostart programów z kluczy rejestru lub folderu Startup
O5 - Ikona Opcji Internetowych NIE widoczna w Panelu sterowania
06 - Opcje Internetowe IE zablokowane przez "Administratora"
07 - Edytor rejestru Regedit zablokowany przez "Administratora"
O8- Dodatkowe opcje w menu prawokliku w IE
O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE
O10 - Integracja szpiegów z łańcuchem Winsock
O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane
O12- Pluginy wpuszczone do IE
O13 - Domyślne prefixy IE
O14 - 'Reset Web Settings' hijack
O15 - Strony www w "Zaufanych Witrynach"
O15 - Zmieniona wartość ProtocolsDefaults
O16 - Kontrolki ActiveX
O17 - Podmiana serwerów DNS na szkodliwe
O18 - Extra protokoły i protokoły zmienione przez szpiegów
O19 - User style sheet hijack
O20 - AppInit_DLLs Windows 2000/XP/2003
O20 - Winlogon Notify Windows 2000/XP/2003
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Usługi niestandardowe Windows 2000/XP/2003

zielony-wpisy prawidłowe
czerwone-wpisy szkodliwe

R0, R1, R2, R3- Strony startowe i wyszukiwarki IE

Wygląd w logu

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.instalki.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar\Links,FolderName = Łącza
R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)

Wpisy te usuwa się jeśli nie znamy ustawionej strony i nie my ją ustawiali

N1, N2, N3, N4-Strony startowe i wyszukiwarki Mozilli i Netscape'a

Informacje na temat tych ustawień są zgromadzone w plikach prefs.js generalnie zlokalizowanych w folderach Application Data (Dane Aplikacji). Netscape 4 trzyma pliki prefs.js jeszcze gdzie indziej: C:Program FilesNetscapeUsersdefaultprefs.js.

N1 = Netscape 4

N2 = Netscape 6

N3 = Netscape 7

N4 = Mozilla

Wygląd w logu:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\defaultprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\UserApplication\Data\Mozilla\Profiles\defaulto9t1tfl.sltprefs.js)

Alernatywne przeglądarki zwykle mają własne strony startowe. Praktycznie zmienia je tylko szpieg Lop.com

F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI

Miejsce w systemie:

Windows 9x/Me: F0 i F1

Pliki WIN.INI i SYSTEM.INI zlokalizowane w C:\WINDOWS.

F0 to wpis Shell= w pliku system.ini określający jaki program będzie domyślnym shellem Windows. Shell zgłaszający się wraz ze startem Windows to po prostu pulpit, pasek zadań, menu Start i okienka. Domyślnym shellem Windows jest explorer.exe.

F1 to wpisy Run= i Load= w pliku win.ini. Jakikolwiek program dopisany w tych linijkach będzie się ładował wraz z uruchomieniem Windows. Wejście Run= jest obecne na okoliczność zachowania kompatybilności ze starszymi programami a Load= jest dla sterowników.

Szkodliwe:
F0 - system.ini: Shell=explorer.exe trojan.exe np.
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe
F1 - win.ini: load=iexpIore.exe
F1 - win.ini: run=iexpIore.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe

Prawidłowe

F0 - system.ini: Shell=C:\Astonaston.exe ,svchost.exe
F2 - REG:system.ini: Shell=C:\Astonaston.exe ,svchost.exe
F1 - win.ini: run=hpfsched
F1 - win.ini: load=C:\YDPD\ctwatch.exe

Wejścia F0 zawsze usuwamy! One oznaczają iż wraz z shellem explorer.exe startuje zamaskowany trojan lub wirus. Jedyny prawidłowy wpis z tego gatunku to Shell=Explorer.exe.

Wejścia F1-tu już bywa róznie.

O1- Przekierowania w pliku HOSTS

Plik systemowy, znajduję sie w C:\WINDOWS\system32\driversetc

Szkodliwe:

Kod: Zaznacz wszystko

O1 - Hosts: 203.160.185.103 gg.muchina.com
O1 - Hosts: 203.160.185.103 ogg.muchnia.com
O1 - Hosts: 69.195.3.207 gg.muchina.com

Szkodliwe

Wpisy występujące razem z VX2/Look2me

Kod: Zaznacz wszystko

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts: 127.0.0.1 liveupdate.symantecliveupdate.com
O1 - Hosts: 127.0.0.1 http://www.viruslist.com
O1 - Hosts: 127.0.0.1 viruslist.com
O1 - Hosts: 127.0.0.1 viruslist.com
O1 - Hosts: 127.0.0.1 f-secure.com
O1 - Hosts: 127.0.0.1 http://www.f-secure.com
O1 - Hosts: 127.0.0.1 kaspersky.com
O1 - Hosts: 127.0.0.1 mast.mcafee.com
O1 - Hosts: 127.0.0.1 my-etrust.com
O1 - Hosts: 127.0.0.1 http://www.my-etrust.com
O1 - Hosts: 127.0.0.1 download.mcafee.com
O1 - Hosts: 127.0.0.1 dispatch.mcafee.com
O1 - Hosts: 127.0.0.1 secure.nai.com
O1 - Hosts: 127.0.0.1 nai.com
O1 - Hosts: 127.0.0.1 http://www.nai.com
O1 - Hosts: 127.0.0.1 us.mcafee.com
O1 - Hosts: 127.0.0.1 rads.mcafee.com

Za pomocą tego pliku można przyśpieszać wyświetlanie swoich ulubionych stronek lub blokować te szpiegowskie. Ale szpiedzy też lubią ten plik tylko wykorzystują go inaczej.

Wpisy typu 127.0.0.1 https://www.kaspersky.com czyli zablokowanie przez szpiegów stronek mogących pomóc w ich usuwaniu.

Wpisy typu: 216.177.73.139 auto.search.msn.com czyli tworzenie fałszywych przekierowań ze strony prawidłowej na jakąś inną. NP. chcesz wejść na https://www.instalki.pl a odpala

Kod: Zaznacz wszystko

*morwill.com

02-BHO czyli Browser Helper Objects

BHO to są pluginy poszerzające funkcjonalność przeglądarki. Jest to dodatek typu nowe menu i inne elementy w interfejsie IE(połaczone częściowo z 03 i 09)

Szkodliwe

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL
O2 - BHO: (no name) - {6B754AA2-0CE7-4822-9865-E33AFD03E407} - C:\WINDOWS\system32\fontextg.dll
O2 - BHO: (no name) - {6F7A3CAD-54E2-1E9E-8E9B-93EA895FABE3} - (no file)
O2 - BHO: (no name) - {7E791FD2-D210-2A91-F218-563811C95758} - (no file)
O2 - BHO: (no name) - {9F414FFA-2AB1-1594-1756-1E68E08D313A} - (no file)
O2 - BHO: (no name) - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - C:\WINDOWS\system32\admparsex.dll
O2 - BHO: (no name) - {25C7CE21-E543-46A9-B4B3-01B845B28A6D} - C:\WINDOWS\system32\admparsex.dll
O2 - BHO: (no name) - {7E791FD2-D210-2A91-F218-563811C95758} - C:\WINDOWS\System32\gqduwcfs.dll (file missing)
O2 - BHO: (no name) - {9F414FFA-2AB1-1594-1756-1E68E08D313A} - C:\WINDOWS\System32\dusrpjor.dll (file missing

Prawidłowe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

Z anlizowaniem BHO bywają problemu, ze wzgledu na dośc częste wystepowanie(file missing). Bardzo przydatna jest ta stronka BHO & Toolbar List.
Wyszukiwanie przyniesie lepsze efekty przy użyciu numeru w ramkach { } czyli tzw. CLISD.

Oznaczenia stronki
X-szkodliwe
L-prawidłowe

Jeśli usuniesz te wejścia HijackThis skasuje również i powiązany plik dll. Zdarza się jednak iż plik ten może być ciągle "w użyciu" pomimo iż Internet Explorer jest zamknięty.

03- Paski narzędziowe w IE(Toolbars)

Tak wygląda Toolbar w tym wypadku Google Toolbar

Szkodliwe
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION\DATA\CKSTPRLLNQUL.DLL
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

Prawidłowe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL
O3 - Toolbar: Opiekun - {3453E1A9-9D23-4B6B-9222-4A4B5E1002C9} - C:\WINDOWS\system32\OpiekunIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Sprawa niemal identyczna jak z BHO używamy BHO & Toolbar List.
Jeżeli nie znajduje woogóle CLISD to być może na naszym kompie "gości" podły szpieg lop.com

04-Autostart

Automatyczne uruchamianie programów wraz ze startem Windows z:

Rejestr:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Startup: Aplikacje ładujące się z konkretnego profilu użytkownika. Skróty startowe są umieszczone w folderze:
C:Documents and SettingsNazwa kontaStart menuProgramsStartup

Global Startup: Aplikacje ładujące się ze wszystkich profili. Skróty startowe są umieszczone w folderze:
Win9x/Me - C:\Windows\Start Menu\Programs\StartUp
WinNT/2K - C:\Winnt\Profiles\All Users\Start Menu\Programs\StartUp
WinXP - C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Szkodliwe

O4 - HKLM..Run: [Winsock2 driver] GG.EXE
O4 - Global Startup: winlogon.exe
O4 - HKLM..Run: [bupttdeu] C:\WINDOWS\System32\bupttdeu.exe
O4 - HKLM..Run: [tezkneht] C:\WINDOWS\System32\tezkneht.exe
O4 - HKLM..Run: [rE2W36l] wsnsta.exe
O4 - HKLM..Run: [Shell API32] svcnet.exe
O4 - HKCU..Run: [Rtac] "C:\DOCUME~1\KACPER~1\.KACMOJEDO~1\CROSOF~1.\NETalg.exe" -vt yazb
O4 - HKCU..Run: [Wab] C:\Program Files\?raclem\?iexec.exe
O4 - HKLM..Run: [Windows ControlAd] C:Program FilesWindows ControlAdWinCtlAd.exe
O4 - HKLM..Run: [appcg.exe] C:\WINDOWS\system32\appcg.exe
O4 - HKLM..Run: [tibs5] C:\WINDOWS\System32\tibs5.exe
O4 - HKLM..Run: [Web Service] C:\WINDOWS\System32\sm.exe
O4 - HKLM..Run: [ffis] C:\WINDOWS\isrvsffi\search.exe
O4 - HKLM..Run: [evpeit] c:\windows\system32\evpeit.exe
O4 - HKLM..Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
O4 - HKLM..Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM..Run: [apiuk32.exe] C:\WINDOWS\system32\apiuk32.exe
O4 - HKLM..Run: [antiware] C:\windows\system32\elitehln32.exe
O4 - HKLM..Run: [jfdjkswf] C:\WINDOWS\System32\jfdjkswf.exe
O4 - HKLM..Run: [Windows Service] C:\WINDOWS\System32\dddd.exe
O4 - HKLM..Run: [Desktop Search] C:\WINDOWS\isrvsdesktop.exe
O4 - HKLM..RunOnce: [ntgx32.exe] C:\WINDOWS\system32\
tgx32.exe
O4 - HKCU..Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU..Run: [svphost.exe] C:\WINDOW\Ssystem32\svphost.exe
O4 - HKCU..Run: [Ubsj] C:\WINDOWS\System32\??chost.exe
O4 - HKCU..Run: [Aidr] C:\Documents and Settings\greg\Dane aplikacji\udps.exe
O4 - HKCU..Run: [Web Service] C:\WINDOWS\System32\sm.exe

Prawidłowe

Procesy Windows 98/Me:
O4 - HKLM..Run: [internat.exe] internat.exe
O4 - HKLM..Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe

nVidia:
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE E:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSYSTEMNvMcTray.dll,NvTaskbarInit

Jeden z problemów 04

O4 - HKLM..Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM..Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

To jest błąd Windows a nie śmieć! Można usuwać Hijackiem i zapobiec jego pojawianiu w przyszłości poprzez:

Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i odzyskiwanie

Klikasz Ustawienia i w sekcji Zapisywanie informacji o debugowaniu ustaw opcję Brak.

Obok 023 chyba najtrudniejsza część loga do interpretacji. Najczęściej tu jest syf. Syf jest dosyć pomysłowy. tworzac np. prawie kopie

1. przkyład (zmienna końcówka)
explorer.exe
explorer.dll

2 przykład(zmienna jedna literka)

svchost.exe
svhost.exe

3. przykład kodowanie ANSII
msiexec.exe
m?iexec.exe

Bardzo mylące są nazwy syfu definjowane jako Microsoft Windows Update"czy "Antywirus". Z drugiej strony są nazwy podejrzane, które z kolei są czyste.

Tutaj także istnieje stronka PacMan's Startup List. Jednak nie polecam sam analizować poczatkującym.

05-Ikona Opcji Internetowych

Są widoczne w Control Panel (Panel sterowania) >>> Internet Options (Opcje internetowe)

Dane dotyczące widoczności poszczególnych elementów w Panelu sterowania są przechowywane w pliku control.ini.

O5 - control.ini: inetcpl.cpl=no

Jedyny przypadek z jakim miałem styczność. Jeżei sam nie ukryłeś, to natychmiastowy fix.

06-Opcje Internetowe IE zablokowane przez "Administratora"

Blokada uruchamiania Opcji Internetowych i zmian stron startowych nałożona w rejestrze, a objawiająca się komunikatem "Operacja została anulowana ze względu na ograniczenia nałożone na ten komputer, skontaktuj się z administratorem systemu" przy każdorazowej próbie uruchomienia tychże opcji.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Oczwiście fix.

UWAGA Użytkoniwcy Spybota powinni w pierwszej kolejności sprawdzić czy sami nie nałożli tej blokady.
Tools >>> IE Tweaks, w starszych pod Immunize.

07-Edytor rejestru Regedit zablokowany przez "Administratora"

Objawia się komunikatem "Edycja rejestru została wyłączona przez administratora sieci" przy każdorazowej próbie uruchomienia polecenia Start >>> Uruchom >>> regedit.

Oczywiście kasacja.

08-Dodatkowe opcje w menu prawokliku w IE

Te dane są zgrupowane w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Szkodliwe

O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm

Prawidłowe
O8 - Extra context menu item: E&xport to Microsoft Excel
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Convert link target to Adobe PDF

Zasada jest dosyć banalna. Znasz to nie ruszaj. Nie znasz do śmietnika.

09-Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE

Prawidłowe
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

Szkodliwe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Zasada jak z 08.

010-Integracja szpiegów z łańcuchem Winsock

Można by to nazwać najważniejszym elementem Neta. Zainfekowany, bądź uszkdozony LSP jest bardzo złym znakiem

Szkodliwe
WebHancer - webhdll.dll:
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing

New.Net:
O10 - Hijacked Internet access by New.Net

Trojan CWS - msspi.dll:
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll

Virtumundo - aklsp.dll, lspak.dll, winlspak.dll:
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\winlspak.dll

Trojan.Redfall - ws2_64.dll:
O10 - Unknown file in Winsock LSP: e:\winnt\system32\ws2_64.dll

Prawidłowe
Nod32
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
Panda
O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
Norman Antivirus
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
Opiekun
O10 - Broken Internet access because of LSP provider 'olsp.dll' missing

Cała lista plików prawidłowych znajduje się tutaj: Strona nie jest już dostępna
(w pierwszej sekcji zatytułowanej "Valid").

Co do syfiastych to macie tutaj kopie z inneo poradnika(mojego autorstwa)

Łańcuch Winsock i spiedzy

Layered Service Provider (LSP) to szczególny typ softu mający za zadanie zintegrować się bezpośrednio z protokołem TCP/IP służącym do komunikacji z internetem. Łańcuchy łączą się, więc zle usunięcie szpiega/łańchuchu kończy działanie Internetu. LSP mogą być pożyteczne, czasem zagnieżdżają się tam firewalle i antywirusy, a czasem świnstwa typu Web.hancer czy New.net("dodatek" do Emula

Jak rozponać??

Wpis 010 w Hijacku

Jak usunąć??

Jak to zwkle bywa potrzeba matką wynalzku, i tutaj takżę znalazło to zastosowanie.

LSPFix
Ściągnij z:

Kod: Zaznacz wszystko

http://cexx.org/lspfix.htm

Jak widać na załączonym rysunku są 2 okna programu.

Keep=co zostawiamy
Remove=co chcemy usunąć

Pliki przenosimy pomiędzy okienkami za pomocą strzałek >> (przenosi do okienka Remove) i << (przenosi do okienka Keep). Te przyciski staną się aktywne dopiero po zaptaszkowaniu opcji I know what I'm doing.

UWAGA: LSP-Fix pokaże kilka plików w lewym oknie (patrz obrazek). To są pliki Windows i nie można ich dotknąć bo inaczej utracicie internet!

Po akcji restart, potem można usunąć plik syfu np.newdotnet7_22.dll

011-Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane

Tools (Narzędzia) >> Internet Options (Opcje internetowe) >> Advanced (Zaawansowane)

Miejsce w rejestrze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

W logu z HJT ukaże się:
O11 - Options group: [CommonName] CommonName

Wyżej wymieniony wpis, to jak dotąd jedyny trojan atakujący tą pozycję. Usunąc HJT.

012-Plugin związane z Internet Explorerem.

Są to automatycznie ładowane pluginy, używane w celu rozszerzenia funkcjonalności IE. Różne bajery typu obsługa dodatkowych plików, alternatywne przeglądanie pliku itd.
Znajdziesz je w tej lokacji:
C:\Program Files\Internet Explorer\Plugins

albo w rejestrze:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Wykaz w logu:
Prawidłowe
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll
O12 - Plugin for .m2v: C:\Program Files\Internet Explorer\Plugins\npqtplugin3.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\Plugins\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\Plugins\nppdf32.dll
Szkodliwe
OnFlow
O12 - Plugin for .ofb: C:\Program Files\Internet Explorer\Plugins\NPONFLOW.DLL

Usuwamy HJT.

013- Domyślne prefixy IE

Domyślne prefixy Ie to nic innego niż dodawanie http:// na początku. Oczywiście można dowolnie modyfikować prefixy co wykorzystują wirusy, na sczeszcie niezbyt często.

Dane te są zlokalizowane w rejestrze:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes

Praktycznie każdy wpis tego rodzaju należy potraktować HJT. Kiedyś tą lukę wykorzystywały trojany CWS, aktualnie bardzo ciężko jakiegokolwiek złapać.

014- 'Reset Web Settings' hijack

Zmiana domyślnych ustawień Internet Explorera.

IE6: Opcja służywyłącznie do resetowania stron startowych i wyszukiwarek.

IE7: Opcja mieści się w innej zakładce i służy do szerszego resetowania (BHO, Toolbary etc).

Ustawienia domyślne są zgromadzone w pliku C:\WINDOWS\inf\iereset.inf.

Wykaz w logu:
Prawidłowe
O14 - IERESET.INF: START_PAGE_URL=strona www dostawcy internetu.
Szkodliwe
O14 - IERESET.INF: START_PAGE_URL=strona całkowicie nam nieznana

[kominekl]

Analiza Logów Z OTL

1.Wprowadzenie.

Po ściągnięciu aplikacji na dysk uruchamiamy ją i konfigurujemy. Proponuję konfigurację zalecaną na naszym forum autorstwa mati8898. Wizualnie wszystko na poniższym obrazku.

2.Niestandardowe Opcje Skanowania.

OTL umożliwia wykonanie skanowania z własnymi ustawieniami. W tym celu w pole Własne opcje skanowanie / skrypt wpisujemy dodatkowe komendy i klikamy Skanuj. Wspomniane komendy to:

a) netsvcs wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost,
b) msconfig wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Msconfig,
c) safebootminimal wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal,
d) safebootnetwork wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network,
e) activex wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents,
f) drivers32 wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32.

Domyślnie wyniki zostaną przefiltrowane i nie wyświetlą znanych, zaufanych elementów. Aby wyświetlić wszystkie elementy, do każdego z powyższym poleceń dodajemy przełącznik /all (np. netsvcs /all).

Oprócz przełącznika /all istnieją również inne przełączniki, takie, jak:

a) /C przełącznik uruchamia linie komend MS-DOS. Mamy możliwość wpisania komend z wiersza poleceń (np. regedit do uruchamiania edytora rejestru). Przykład użycia:

regedit /c
attrib /d /s -s -h C:\Users\Kominekl\AppData\Roaming\* /C

b) /MD5 przełącznik umożliwia wygenerowanie sumy kontrolnej części składowych. Możemy wpisać pojedynczy element lub użyć symboli wieloznacznych (*.*; *.exe …), np. C:\Program Files\7-Zip\7z.exe /MD5. Jeżeli mamy kilka plików, to możemy ich listę zamknąć w przełącznikach /MD5START i /MD5STOP:

/md5start
netlogon.dll
logevent.dll
atapi.sys
nvgts.sys
/md5stop

c) /LOCKEDFILES przełącznik wyszuka wszystkie zablokowane pliki, którym nie można obliczyć sumy MD5. Podajemy ścieżkę dostępu do folderu, ewentualnie przełącznik /s w celu analizy podfolderów, np:

C:\Windows\System32\*.dll /lockedfiles

d) /RS przełącznik umożliwia wyszukiwanie w rejestrze, np:

HKLM\Software\Microsoft\Windows\CurrentVersion|nazwa elementu /RS

e) /S przełącznik umożliwia analizę subfolderów oraz podkluczy w rejestrze, np:

C:\Windows\*.dat /S

f) /U wyświetlanie tylko elementów zawierających znaki Unicode, np:

C:\Windows\*.* /U

g) /64 wyszukiwanie w 64 bit`owych folderach i rejestrze na systemie 64 bit`owym, np:

C:\Windows\System32\*.dat /64

h) /X wykluczenie plików ze skanowania, np:

C:\Windows\*.exe /X

i) / wyświetlanie plików tylko o określonej ilości dni, np:

C:\Windows\System32\*.* /3

j) Ścieżka Dostępu\Typ Elementów listowanie zawartości katalogów (poniżej przykłady).

C:\Windows\System32\*.dll
%PROGRAMFILES%\*.*
C:\*.*

3.Problemy z uruchomieniem oprogramowania OldTimer.

Czasem, gdy w systemie jest aktywna infekcja, może nastąpić zablokowanie uruchomienia OTL. W tym przypadku pomocne może być zabicie wszystkich uruchomionych procesów. W tym celu skorzystamy z OTH. W razie problemów z uruchomieniem OTH proszę użyć alternatywnych wersji OTH, takich, jak OTH.com i OTH.scr. OTH to pomocnicza aplikacja ułatwiająca uruchamianie OTL. Po uruchomieniu klikamy w button Kill All Processes, następnie uruchomić OTL (wcześniej Go pobieramy https://www.instalki.pl/programy/downlo ... e/OTL.html) opcją Start OTL. Opcją Start Misc Program możemy uruchomić dowolny inny program, a button Internet Explorer uruchomi przeglądarkę.

4.Interpretacja logów OTL.

Dochodzimy teraz do chyba najbardziej interesującego wszystkich punktu odebrania logów. Czyli odwieczne pytanie forumowiczów - "Co to są te wszystkie literki i cyferki?!". Omówienie loga nastąpi w podpunktach.

a) nagłówek

OTL logfile created on: 10-10-22 19:11:24 – Run 14
OTL by OldTimer – Version 3.2.16.0 Folder = C:\
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) – Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yy-MM-dd

Pierwsza linia –> mówi o dokładnej dacie wykonania loga oraz liczbie uruchomień aplikacji.
Druga linia –> mówi o wersji aplikacji oraz lokalizacji, z której jest uruchamiana.
Trzecia linia –> mówi o wersji systemu Windows oraz rodzaju systemu plików.
Czwarta linia – informuje nas o wersji przeglądarki Internet Explorer.
Piąta linia – pokazuje nam informacje na temat kraju, języku i formatu daty.

900,00 Mb Total Physical Memory | 600,00 Mb Available Physical Memory | 92,00% Memory free
1534,00 Mb Paging File | 1200,00 Mb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 704 768 [binary data]

Ta sekcja informuje nas o ilości zainstalowanej pamięci RAM oraz o ilości procentowej wolnej pamięci. Informuje też o ilości pamięci wirtualnej oraz ilości procentowej wolnej pamięci tego typu. Pokazuje nam również lokalizacje pliku wymiany.

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 18,66 Gb Total Space | 0,58 Gb Free Space | 3,61% Space Free | Partition Type: FAT32
Drive D: | 3,97 Gb Total Space | 0,18 Gb Free Space | 4,46% Space Free | Partition Type: NTFS

Ta część mówi o literze napędu, z którego uruchomiony jest system oraz lokalizacji katalogu systemowego i Program Files. Mówi o zainstalowanych dyskach/partycjach na komputerze i ich pojemności. Podaje liczbę procentową wolnego miejsca oraz system plików.

Computer Name: Kominekl-EBE78BR | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Następna część informuje nas o nazwie komputera, nazwie użytkownika wraz z uprawnieniami, typie uruchomienia komputera oraz typie skanowania bieżącym lub wszystkich użytkowników. Mówi nam o wybranych opcjach skanowania plików wyborze, co do skanowania według nazwy firmy, odfiltrowania plików Microsoftu, z pominięciem nazwy producenta oraz "wieku plików" utworzonych/modyfikowanych.

b) skróty używane w logach

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C]

W przypadku, gdy litera oznaczono na czerwono przyjmie formę C oznacza to utworzenie pliku, gdy przyjmie formę M oznacza to modyfikację pliku.

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] — C:\Documents and Settings\Administrator\Recent

Oznaczone kolorem litery oznaczają kolejno następujące atrybuty:

R tylko do odczytu,
H ukryty,
S systemowy,
D folder.

SRV – (NMSArgtessU) — C:\Program Files (x86)\RKBurneres\NMSArgtessU.exe ()

() pusty nawias na końcu oznacza, że plik nie ma nazwy producenta/firmy, ale nie wszystkie takie pliki są szkodliwe.

c) uruchomione procesy

W sekcji:

========== Processes (SafeList) ==========

PRC - [2011-09-10 14:48:14 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Users\ada\Desktop\OTL.exe
PRC - [2011-09-03 08:37:45 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2011-07-01 16:52:52 | 019,772,360 | ---- | M] (Redefine Sp z o.o.) -- C:\Program Files (x86)\ipla\ipla.exe
PRC - [2011-05-30 10:30:00 | 000,885,760 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe
PRC - [2011-01-13 20:54:26 | 000,464,856 | ---- | M] (SoftThinks - Dell) -- C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe
PRC - [2011-01-13 20:42:12 | 003,811,648 | ---- | M] (SoftThinks - Dell) -- C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe
PRC - [2011-01-13 20:39:32 | 000,783,680 | ---- | M] () -- C:\Program Files (x86)\Dell DataSafe Local Backup\COMPONENTS\SCHEDULER\STSERVICE.EXE
PRC - [2011-01-13 20:37:02 | 000,705,856 | ---- | M] (SoftThinks SAS) -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
PRC - [2011-01-12 16:41:42 | 000,810,144 | ---- | M] (ESET) -- C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe

mamy listę uruchomionych procesów.

d) załadowane moduły

W sekcji:

========== Modules (No Company Name) ==========

MOD - [2011-09-03 08:37:45 | 001,846,232 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
MOD - [2011-08-19 12:21:26 | 006,277,280 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
MOD - [2011-07-01 16:52:56 | 000,068,456 | ---- | M] () -- C:\Program Files (x86)\ipla\ziplib.dll
MOD - [2011-07-01 16:52:54 | 000,392,552 | ---- | M] () -- C:\Program Files (x86)\ipla\jabberoo.dll
MOD - [2011-07-01 16:42:14 | 000,291,840 | ---- | M] () -- C:\Program Files (x86)\ipla\MediaFileScanner.dll
MOD - [2011-07-01 16:39:34 | 000,156,160 | ---- | M] () -- C:\Program Files (x86)\ipla\lua.dll
MOD - [2011-05-30 10:30:00 | 000,885,760 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe
MOD - [2011-05-30 10:25:10 | 007,938,048 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\QtGui4.dll
MOD - [2011-05-30 10:25:10 | 002,225,664 | ---- | M] () -- C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\QtCore4.dll
MOD - [2011-05-05 00:32:40 | 003,190,784 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
MOD - [2011-03-30 00:33:52 | 005,025,792 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
MOD - [2011-03-30 00:33:48 | 004,550,656 | ---- | M] () -- C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
MOD - [2011-01-31 10:28:48 | 000,032,768 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_pl_b77a5c561934e089\System.Runtime.Remoting.resources.dll

mamy podaną listę załadowanych modułów.

e) uruchomione usługi

W sekcji:

========== Win32 Services (SafeList) ==========

SRV - [2011-01-13 20:37:02 | 000,705,856 | ---- | M] (SoftThinks SAS) [Auto | Running] -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE -- (SftService)
SRV - [2010-10-22 13:08:18 | 001,039,360 | ---- | M] (Hewlett-Packard Co.) [Auto | Running] -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL -- (HPSLPSVC)
SRV - [2010-09-04 09:15:22 | 000,219,632 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe -- (RoxWatch12)

mamy listę uruchomionych usług.

f) uruchomione sterowniki

W sekcji:

========== Driver Services (SafeList) ==========

DRV - [2009-07-14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)

mamy podane uruchomione sterowniki.

g) Internet Explorer

W sekcji:

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-836742906-157368657-1576765218-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKU\S-1-5-21-836742906-157368657-1576765218-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

mamy podane wpisy rejestralne Internet Explorer`a. W tej części najczęściej usuwa się wpisy zamulających pasków narzędzi (toolbar`ów).

h) Firefox

Ta sekcja:

========== FireFox ==========


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)

dotyczy ustawień przeglądarki Mozilla Firefox, takich, jak strona startowa, dostawcy wyszukiwania, paski narzędziowe, katalogi rozszerzeń… .



i) pozycje O1 do 37

Pozycja 01 pokazuje zawartość oraz lokalizacje pliku HOSTS. Pokazuje czy plik nie zawiera wpisów blokujących strony lub przekierowujących na inne witryny.
Pozycja 02 BHO (Browser Helper Objects), czyli wtyczki rozszerzające funkcjonalność przeglądarki jak nowe menu i inne elementy pomocnicze/wtyczki do przeglądarki Internet Explorer`a, rozszerzające jego funkcjonalność.
Pozycja 03 pokazuje listę pasków narzędziowych Internet Explorer`a (toolbar`y). Jest to po prostu zawartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar.
Pozycja 04 są to aplikacje startujące wraz z systemem z kluczy rejestru lub folderu Autostartu.
Pozycja 05 widoczność ikony Opcje Internetowe w Panelu Sterowania.
Pozycja 06 są to informacje o zablokowanych funkcjach systemu.
Pozycja 07 podobnie, jak pozycja 06 pokazuje informacje o zablokowanych funkcjach systemu.
Pozycja 08 są to dodatkowe opcje w menu kontekstowym IE wywoływanym przez PPM. Innymi słowy zawartość klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt.
Pozycja 09 są to dodatkowe przyciski w głównym pasku narzędziowym IE. Innymi słowy zawartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions.
Pozycja 010 tu znajdują się elementy zintegrowane z łańcuchem Winsock.
Pozycja 011 dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane.
Pozycja 012 są tu wtyczki, które są ładowane podczas uruchamiania programu Internet Explorer, aby dodać nową funkcjonalność do przeglądarki. Innymi słowy zawartość klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins.
Pozycja 013 domyślne prefiksy IE (np. domyślnym prefiksem dla WWW jest HTTP://, ale może być zmieniony do postaci httx://ehttp.cc/?, przez co tworzone są przekierowania z tego wynika, że po wpisaniu http://www.google.com w istocie będzie to httx://ehttp.cc/?www.google.com, która jest stroną szkodliwą).
Pozycja 014 reset ustawień sieciowych.
Pozycja 015 strony WWW i adresy IP w zaufanych witrynach.
Pozycja 016 kontrolki ActiveX.
Pozycja 017 ustawienia serwera DNS, czyli klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Pozycja 018 dodatkowe protokoły i protokoły zmodyfikowane.
Pozycja 019 arkusze stylów użytkownika.
Pozycja O20 AppInit_DLLs AppInit_DLLs, czyli biblioteki startujące we wczesnej fazie startowania systemu i ładowane przez aplikacje uruchamiane w obrębie bieżącej sesji (od resetu do resetu komputera). Innymi słowy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.
Pozycja 020 Winlogon Notify wyświetla wszystkie niestandardowe klucze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify.
Pozycja 021 pliki ładowane za pomocą klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad (SSODL) przez Explorer podczas uruchamiania komputera.
Pozycja 022 pliki ładowane za pośrednictwem Harmonogramu Zadań z klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler.
Pozycja 023 usługi niestandardowe Windows`a.
Pozycja 024 ActiveDesktop, czyli pokazuje elementy ładowane na Pulpicie, takie, jak tapeta oraz pliki .html.
Pozycja 027 Image File Execution Options, czyli zawartość klucza HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, opcja ta pozwala na uruchamianie programów pod przykrywką innych programów, to znaczy, że np. plik 360rpt.exe uruchamiany jest w momencie uruchomienia pliku xnxlufi.exe.
Pozycja 028 Shell Execute Hooks, czyli zawartość klucza HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks.
Pozycja 029 Security Providers, czyli dostawcy zabezpieczeń. Ukazuje zawartość klucza HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders.
Pozycja 030 składniki klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
Pozycja 032 pliki autorun znajdujące się na dyskach.
Pozycja 033 pozycje z klucza HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Klucz ten zawiera odwołania do plików znajdujących na dyskach przenośnych, które mają automatycznie startować po podłączeniu urządzenia.
Pozycja 034 pozycje z klucza HKEY_Local_Machine\System\CurrentControlSet\Control Manager\Session.
Pozycja 035 skojarzenia plików .com i .exe.
Pozycja 037 podobnie, jak w pozycji 035 są to skojarzenia plików .com i .exe.

j) pliki i foldery utworzone w wybranym okresie

========== Files/Folders - Created Within 30 Days ==========

[2011-09-10 20:14:08 | 000,000,000 | ---D | C] -- C:\Users\ada\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Urządzenia interfejsu Bluetooth
[2011-09-10 14:47:57 | 000,581,120 | ---- | C] (OldTimer Tools) -- C:\Users\ada\Desktop\OTL.exe
[2011-09-10 14:20:09 | 014,716,072 | ---- | C] (Mozilla) -- C:\Users\ada\Desktop\Firefox Setup 6.0.2.exe
[2011-09-10 10:39:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET

W tym przypadku pokazane są tu pliki i foldery utworzone w przeciągu ostatnich 30 dni.

k) pliki i foldery zmodyfikowane w wybranym okresie

========== Files - Modified Within 30 Days ==========

[2011-09-10 21:02:10 | 002,097,152 | -HS- | M] () -- C:\Users\ada\NTUSER.DAT
[2011-09-10 21:01:56 | 000,000,006 | -H-- | M] () -- C:\windows\tasks\SA.DAT
[2011-09-10 21:01:40 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011-09-10 21:01:35 | 2307,928,064 | -HS- | M] () -- C:\hiberfil.sys

W tym przypadku pokazane są tu modyfikacje plików i folderów w przeciągu ostatnich 30 dni.

l) pliki i foldery bez nazwy producenta / firmy

========== Files Created - No Company Name ==========

[2011-09-10 21:01:56 | 000,000,006 | -H-- | C] () -- C:\windows\tasks\SA.DAT
[2011-09-10 14:27:29 | 000,001,140 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2011-09-10 14:27:28 | 000,001,152 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2011-09-09 19:20:29 | 036,322,056 | ---- | C] () -- C:\Users\ada\Desktop\Sygic_Mobile_10.rar.part

W tej części mamy podane pliki i foldery bez nazwy producenta. Nie wszystkie takie pliki są szkodliwe.

m) LOP Check

========== LOP Check ==========

[2011-07-14 23:14:47 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\ESET
[2011-06-28 17:52:44 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\Fingertapps
[2011-06-13 21:54:18 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\Gadu-Gadu 10
[2011-09-10 21:02:26 | 000,000,000 | ---D | M] -- C:\Users\ada\AppData\Roaming\ipla

========== Purity Check ==========

Sekcja wyświetla pliki i foldery z katalogu Dane aplikacji oraz pliki z folderu Windows/Tasks.

n) alternatywne strumienie

========== Alternate Data Streams ==========

@Alternate Data Stream – 136 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B755D674
@Alternate Data Stream – 24 bytes C:\WINDOWS:5E501A1F2E0E5F46
@Alternate Data Stream – 109 bytes C:\ProgramData\TEMP:A8ADE5D8

5.Instrukcje usuwania.

Dyrektywy usuwające OTL:

a) :processes polecenie umożliwiające zabicie poszczególnych procesów wpisując nazwę procesu lub wszystkich jednocześnie, np :

fdm.exe
explorer.exe
killallprocesses

b) :OTL podstawowa komenda aplikacji usuwająca większość elementów. Komenda usuwa element i jednocześnie przenosi go do kwarantanny OTL. Aby polecenie działało musimy wkleić tutaj całą linię poszczególnego elementu z uzyskanego loga, np:

:OTL

O2 - BHO: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found.
O3 - HKU\S-1-5-21-836742906-157368657-1576765218-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.

c) :Services komenda zatrzymuje, wyłącza i finalnie usuwa usługi (Win32 Services) oraz sterowniki (Driver Services). Ważne jest abyśmy wpisali nazwę usługi, nie jej opis, np:

AntiVirService
Weemi Service
Bonjour Service

d) :Reg operacje na wpisach do rejestru, np:

USUWANIE:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

DODAWANIE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

e) :Files dyrektywa usuwająca dodatkowe pliki oraz foldery. Nie wklejamy tutaj linii z loga, tylko samą ścieżkę do elementu, np:

G:\h3wp9.exe
E:\autorun.inf

f) :Commands dyrektywa zawierająca kilka poleceń wykonujących dodatkowe przydatne operacje:

[PURITY] – polecenie usuwające infekcje Purity
[EMPTYTEMP] – opróżnienie lokalizacji tymczasowych systemu i przeglądarek. Polecenie zabija wszystkie procesy oraz wykonuje restart systemu, więc nie ma potrzeby zabijania procesów lub wywoływanie restartów innymi komendami.
[EMPTYFLASH] – usunięcie wszystkich cookies Flash.
[RESETHOSTS] – polecenie zresetuje plik HOSTS do domyślnej postaci zawierającej tylko jeden wpis 127.0.0.1 localhost.
[CREATERESTOREPOINT] - utworzenie nowego punktu przywracania systemu po zakończeniu napraw.
[CLEARALLRESTOREPOINTS] – polecenie usunie wszystkie aktualne punkty przywracania i utworzy nowy punkt przywracania po zakończeniu napraw.

UWAGA!!!

Powyższe instrukcje zostały opracowane na podstawie oficjalnego tutorial`a OldTimer`a oraz własnej wiedzy i obserwacji. W interpretacji logów, a zwłaszcza w usuwaniu poszczególnych elementów najważniejsza jest duża wiedza o systemie operacyjnym. Posiadając taką wiedzę patrząc na dowolny raport z każdej aplikacji, która taki generuje, szkodniki same wychodzą na wierzch. Dlatego jeżeli nie posiadasz dostatecznej wiedzy nie zabieraj się samodzielnie za usuwanie elementów, bo możesz narobić więcej szkody niż pożytku. Powyższy tekst ukazuje tylko teoretyczne znaczenie niektórych aspektów programu. Aby rozpoznać, który plik jest szkodliwy należy posiadać dużą wiedzę o systemie i o prawach, które nim rządzą. Tekst ma charakter wyłącznie edukacyjny. Jeśli ktoś zauważy jakiś błąd w tym pości proszę o poinformowanie mnie o Tym, wysyłając prywatną wiadomość. Proszę nie zaśmiecać tego tematu również głupimi komentarzami, gdyż cały ten temat ma charakter edukacyjny.

Rozpowszechnianie tego tekstu bez zgody autora jest łamaniem prawa i podlega surowym sankcją.