HijackThis 2.0.2 - analiza log'a - O3

Wracam po przerwie z zamiarem dokończenia analizy log'ów z HijackThis. W tym rozdziale będzie krótko - wpisy oznaczone liczbą 03 odpowiadają za wszelkie dodatkowe paski narzędzi (tzw. toolbar'y) dodawane (umyślnie lub nie) do standardowej przeglądarki systemu Windows - Internet Explorer'a. Sebart pisał o nich nieco tu: Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!! 

Paski te mają swoje miejsce w systemowym Rejestrze - wpisy ich dotyczące znajdziemy w kluczu: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar  

Przykładowe dobre wpisy w logu - pochodzące akurat od antywirusa Norton'a (pierwszy) i Winampa (drugi) - wyglądają tak: 

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll 

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll 

Co do złych wpisów, to przykładów mogłoby być sporo, ale dwa z nich: 

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) 

O3 - Toolbar: H - {9FF1F987-4767-4986-99CB-425E55CC946D} - C:\Windows\system32\gooels.dll 

W zasadzie, jak i jest wspomniane na KFD, tutaj przy diagnozowaniu przypadku posługujemy się tą samą metodą, co przy wpisach 02 - tzn. jeżeli program znamy, kojarzymy jako zainstalowany przez nas na komputerze - zostawiamy, a jeśli wpis wydaje nam się podejrzany - sprawdzamy na bardzo obszernej liście CastleCops. Powiązane ze wpisem biblioteki .dll przed usunięciem wyrejestrowujemy z systemu - znów cytat z Sebart'a: 

"Start -> Uruchom tu wpisujemy:
W zależności jaką masz lokalizację pliku no i każdy wpisuje taką nazwę dll jaką wykrył ;)

Win 95/98/Me: %windir%\system\regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\system\wredny.dll
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\wredny.dll

Win NT/2000/XP: regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win NT/2000/XP: regsvr32 /u %windir%\system32\wredny.dll
Win NT/2000/XP: regsvr32 /u %windir%\wredny.dll

Powinno ukazać się info, że wredny.dll został pomyślnie wyrejestrowany.
Wersja ENG -> "DllUnregisterServer in C:\Program Files\xxx\wredny.dll succeeded"" - BHO - Browser Helper Objects - HijackThis - strona startowa cd.... Następnie dany wpis powinien zostać potraktowany Fix'em w HT, a na końcu usunięty z systemu. Dla pewności usunięcie wykonujemy w Trybie awaryjnym.

HijackThis 2.0.2 - analiza log'a - O2

Sekcja oznaczona O2 odpowiada za  BHO (Browser Helper Object) - różnego rodzaju dodatki rozszerzające funkcje, zmieniające konfigurację, bądź wygląd przeglądarki internetowej, o których więcej znaleźć można np. tutaj: BHO - Browser Helper Objects - HijackThis - strona startowa cd... Jak zwykle jednak bywa oprócz wykorzystywania tej funkcji przez np.: Google Toolbar, bądz Adobe 
Acrobat Reader, zainteresowali się nią także twórcy spyware czy adware. 
Jeśli chodzi o usuwanie wpisów O2 z log'a, to tutaj należy samemu zadecydować, czy dany wpis odnosi się do porządanego przez nas elementu, czy też został dodany drogą infekcji. Wpisy te wyglądają przykładowo tak:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Identyfikację ich przeprowadzić trzeba nie na podstawie samej nazwy, która dla pierwszego z przykładowych wpisów, to: Yahoo! Companion BHO , a po {CLSID} - class ID, który dla przykładu nr 1 to: {13F537F0-AF09-11d6-9029-0002B31F9E59} , jednak zdarza się, że zarówno nazwa, jak i CLSID tworzone są losowo. W takiej sytuacji przy rozpoznawaniu pomocne okazują się strony z wyszczególnionymi dobrymi i złymi BHO - przykładem takiej jest lista na CastleCops (tutaj wpisy oznaczone X uznane są za pochodzące z infekcji, a L to wpisy prawidłowe), czy też na Sysinfo. 
UWAGA: HT usuwając wpisy BHO bezpośrednio ze swojej listy po skanie, pozbywa się także (najczęściej) powiązanych z nimi bibliotek - dla pierwszego z przykładowych wpisów jest to plik YCOMP5_0_2_4.DLL . Tutaj znów nie jest to reguła 100%, dlatego lepiej stosować się do sposobu przedstawionego niżej, ewentualnie zrestartować komputer w Trybie awaryjnym i daną bibliotekę wyrzucić stamtąd.

Jeśli widzimy podejrzany wpis z przedrostkiem O2, należy się go pozbyć - tu zacytuję Sebart'a: 

"Kasacja wrednych BHO

1. Wchodzisz w Panel Sterowania -> Dodaj/Usuń Programy
Odinstalowujesz wszystko czego nie znasz, wszystko co Ci podpada choćby taki New.Net zero skrupułów dla podejrzanego syfu. ;)

2. Zaczynamy od wyrejestrowania dll'a wykrytego w HijackThis

Start -> Uruchom tu wpisujemy:
W zależności jaką masz lokalizację pliku no i każdy wpisuje taką nazwę dll jaką wykrył ;)

Win 95/98/Me: %windir%\system\regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\system\wredny.dll
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\wredny.dll

Win NT/2000/XP: regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win NT/2000/XP: regsvr32 /u %windir%\system32\wredny.dll
Win NT/2000/XP: regsvr32 /u %windir%\wredny.dll

Powinno ukazać się info, że wredny.dll został pomyślnie wyrejestrowany.
Wersja ENG -> "DllUnregisterServer in C:\Program Files\xxx\wredny.dll succeeded"

3. Zaznaczamy w HijackThis to wykryte wredne BHO, które przed chwilą wyrejestrowaliśmy i dajemy klik na "Fix Checked"" - uzupełnić należy, że przy wyrzucaniu z Rejestru bibliotek, wpis %windir% oznacza katalog systemowy (nie trzeba więc pisać pełnej ścieżki do niego).

"4. Poprawiamy czyszcząc rejestr, tak dla pewności ;)

Start -> Uruchom -> regedit

Wciskamy Ctrl+F tu w Wyszukaj wpisujemy ten długi numer {CLSID} ten w nawiasach skręconych %)

O2 - BHO: (no name) - {1675AA03-A4B6-B52E-621F-A324E2D9D861} - C:/WINDOWS/adddn.dll

Czyli Ctrl+F wpisujemy wykryty numer tu akurat było by to 1675AA03-A4B6-B52E-621F-A324E2D9D861 i szukamy... co znajdzie to kasujemy, teraz klikamy F3 aby szukać dalej... tak przeszukujemy cały rejestr.

5. Restartujemy kompa i kasujemy wredny plik przykładowo C:/WINDOWS/adddn.dll czy też cały folder C:/Program Files/ClearSearch/ zależy co tam było u Ciebie ;)

6. Gdyby jeszcze były problemy z usunięciem, choć nie powinny :) to kasujemy dziada przy pomocy CopyLock." - BHO - Browser Helper Objects - HijackThis - strona startowa cd...

HijackThis 2.0.2 - analiza log'a - O1

Wpisy rozpoczynające się ciągiem O1 odnoszą się do pliku hosts, o którym było już nieco wcześniej. W skrócie, jest to plik, który kojarzy z sobą wpisane w nim w jednej linii IP i adres strony internetowej. Ma to za zadanie przyspieszyć proces ładowania wymienionych tam stron, ale w przypadku infekcji zdarza się, że strony zostają skojarzone z niewłaściwymi IP, co prowadzi do tego, że sie one nie ładują wcale, albo użytkownik jest przenoszony na niewłaściwe strony zamiast tych prawidłowych. 
Warto też powtórzyć domyślne lokalizacje tego pliku w różnych systemach:
Windows 3.1 - C:\WINDOWS\HOSTS
Windows 95 - C:\WINDOWS\HOSTS
Windows 98 - C:\WINDOWS\HOSTS
Windows ME - C:\WINDOWS\HOSTS
Windows XP - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Zmiany jego lokalizacji można dokonać wprowadzając zmiany w Rejestrze, a dokładnie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

UWAGA: Jeśli zauważysz, że ściezka do tego pliku wygląda w ten sposób: Windows\Help\hosts (na przykładzie poniżej), oznacza to najprawdopodobniej infekcję CoolWebSearch (do usuwania jej nadaje się CWShredder). Także (o ile nikt tego nie zmieniał) jeżeli 
hosts jest w innej lokalizacji niż domyślna, to istnieje duże prawdopodobieństwo, że w systemie coś jest namieszane. 

Nieznane sobie wpisy sekcji O1 można w zasadzie usuwać bez strachu, pamiętając, że w razie czego, można domyślny wygląd pliku hosts przywrócić używając narzędzia o nazwie HostsXpert. W razie problemu wystarczy odpalić program, kliknąć przycisk Restore Original Hosts i sprawa załatwiona.
Przykładowe wpisy z O1:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Ostatni z w/w przykładów wskazuje na zmianę położenia hosts w systemie, a więc najprawdopodobniej na infekcję CoolWebSearch (o tym nieco wyżej).

Istnieją również sytuacje, w których w HijackThis nie widać tych wpisów (albo widać je, ale po ich usunięciu przez program nic się nie zmienia) - wtedy należy odszukać plik hosts w systemie i edytować go ręcznie (usunąć nieprawidłowe wpisy i ewentualnie zaznaczyć we właściwościach pliku opcję Tylko do odczytu). 

HijackThis 2.0.2 - analiza log'a - N1, N2, N3, N4

Wpisy sekcji N (N1, N2, N3, N4), występują one u użytkowników przeglądarek internetowych Netscape i Mozilla. Obejmują one strony startowe tych przeglądarek i wyszukiwarki z nimi związane i są tam odpowiednikami wartości z grupy R dla Internet Explorer'a. Wpisy te przeglądarki gromadzą w plikach prefs.js, które z kolei umieszczone są w folderach: Documents and Settings\YourUserName\Application Data , jedynie Netscape w wersji 4 przechowuje je w: Program Files\Netscape\Users\default\prefs.js .
Poszczególne wartości we wpisach przyporządkowane są różnym wersjom przeglądarek:

- N1 odpowiada za Netscape 4 - jej stronę startową i stronę wyszukiwania,
- N2 odnosi się do Netscape 6 i jej stron startowej i wyszukiwania,
- N3 odpowiedzialne są za strony startową i wyszukiwania Netscape 7,
- N4 natomiast pojawia się u użytkowników Mozilli - także obejmuje stronę startową i wyszukiwania.

Przykładowo wpisy te mogą wyglądać tak:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)


Ogólnie przeglądarki te są o wiele bezpieczniejsze niż IE, ale zdarza się, że zostają infekowane np. Lop.com . Jeśli więc widoczne w tym miejscu są jakieś anomalia, to spokojnie któryś w tych wpisów można usunąć.

HijackThis 2.0.2 - analiza log'a - F0, F1, F2, F3

Kolejną grupą, którą napotkać można podczas analizy log'ów z HT są wpisy zaczynające się na literę F - F0, F1, F2, F3. Sekcja ta odpowiada za aplikacje i procesy uruchamiane automatycznie na podstawie wpisów w plikach system.ini i win.ini lub odpowiednich miejsc w Rejestrze.
Jeśli chodzi o wpisy z przedrostkiem F0, to sprawa jest prosta - wywalamy je praktycznie zawsze (chyba, że korzystamy z shell'a alternatywnego, wtedy F0 będzie odnosił się do niego [tyle, że wtedy pewnie rozpoznamy w tym miejscu aplikację, którą w tym celu instalowaliśmy]). F0 w log'u HijakThis odpowiada właśnie za shell w Windows. W pliku system.ini zobaczyć to możemy 
odnajdując ciąg Shell=. Wpis ten określa, jaki program będzie pełnił rolę shell'a Windows. Jest on wykorzystywany w Win 9x i wcześniejszych. W skrócie, ten program ładuje pulpit, zarządza oknami i ogólnie pozwala użytkownikowi na interakcję z systemem operacyjnym. Program, do którego odnosi się wpis Shell=, zostanie automatycznie załadowany po starcie systemu i będzie pełnił funkcję domyślnego shell'a (jest też możliwość załadowania kilku plików w ten sposób - wtedy wyglądałoby to np.: Shell=explorer.exe inny_program.exe). Windows'y 95 i 98 standardowo jako shell'a używają Explorer.exe.
F1 z kolei odnosi się do pliku win.ini - konkretnie do wartości pojawiających się po ciągach: Run= i/lub Load= - tu również program, który pojawi się w tych miejscach, zostanie załadowany po starcie systemu. Wpis run= był wykorzystywany raczej przez Windows'y 3.1, 95 i 98, a pozwala na kompatybilność wsteczną ze starszymi 
programami. Drugi wpis - load= jest używany do ładowania sterowników sprzętu. W przypadku F1, użytkownik musi sam określić, czy znajdujący się tutaj program powinien zostać usunięty, czy nie.
Przykłady wpisów z F0 i F1:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

F2 i F3, to odpowiedniki F0 i F1 z tą różnicą, że o ile poprzednie korzystały z plików .ini, tak te odnoszą się do 
systemowego Rejestru, z którego korzystają Windows 2000, XP i NT. Te systemy nie używają już 
praktycznie plików system.ini i win.ini, a funkcja kompatybilności została tutaj przechrzczona na IniFileMapping. Ładuje on zawartość plików .ini w Rejestr, każdej linii zapisanej w w/w plikach przyporządkowując pojedyńczy klucz. Uruchamiając więc program, który normalnie sprawdza ustawienia w pliku .ini, najpierw sprawdzany jest w Rejestrze klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping , w którym podane są miejsca, skąd mają zostać odczytane ustawienia.
Kolejnym wpisem, który można znaleźć w F2 jest UserInit. W systemach Win 2000, XP, NT i 2003 
jest on związany z wpisem: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit . Zawarte są w nim wytyczne, jaki program ma zostać załadowany, po zalogowaniu się użytkownika do systemu. W nim znajdują się też informacje o profilu, uzywanych czcionkach, barwach, itp., które są przyporządkowane dla danego użytkownika. Standardowo program, który odpowiada temu kluczowi, znajduje się w systemowym folderze windows\system32\userinit.exe . W tym miejscu możliwe jest również dodanie kilku innych programów ładowanych przez ten klucz, oddzielając je po prostu przecinkami, np.: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\inny_program.exe . W ten sposób oba programy zostaną uruchomione przy starcie systemu, co może się okazać dobrym miejscem dla trojan'ów, spyware, itp.

Warto też pamiętać, że sam Fix na wpisach w HT nie wystarcza, aby usunąć podejrzany plik z dysku - jeśli więc zauważymy taki, to po usunięciu jego wpisu z listy HijackThis, powinniśmy namierzyć go np.: poprzez Start => Szukaj, bądź przez narzędzie do wyszukiwania w Total Commander i usunąć taki plik ręcznie.

HijackThis 2.0.2 - analiza log'a - wstęp, nagłówek i R0, R1, R2, R3

Na samym początku napiszę, że gdyby ktoś uznał, że coś zostało tutaj przedstawione za pobieżnie/niezrozumiale, to zapraszam do tematu założonego przez Sebart'a - Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!. Dotyczy on co prawda HT w wersji 1.99.0, ale jeżeli chodzi o analizę log'ów, to w tej kwestii nic się praktycznie nie zmieniło.

Analizę log'a zaczynamy od jego początku, a więc od wpisów umieszczonych na górze. Jeśli zapisujemy log do pliku tekstowego, to w pliku tym zauważymy jeszcze nagłówek (w samym HT tego nie ma). 

• W jego pierwszej linii (nagłówka) mamy więc wpis mniej więcej taki: Logfile of Trend Micro HijackThis vwersja_HT - oznacza on, że dany log został stworzony w HT, np. w wersji 2.0.2 (numery te mogą się różnić, w zależności jakiej wersji używaliśmy do zrobienia log'a).
• Druga linia, to data i czas wykonania log'a, np. wygląda ona tak: Scan saved at czas, on data . Tu również, co logiczne, data i czas powinny być różne dla różnych log'ów.
• Linia trzecia, to już informacja o systemie operacyjnym komputera, na którym robiony był log, np.: Platform: wersja_systemu operacyjnego. 
• W linii nr 4 mamy informacje dotyczące przeglądarki internetowej, przykładowo: MSIE: wersja_przeglądarki_internetowej. 
• Dzięki ostatniej, piątej linii, możemy odczytać, w jakim trybie przeprowadzono skan (utworzono log) - przykład: Boot mode: tryb_uruchomienia_systemu_(normalny_lub_awaryjny).
  

Dalej, jeżeli chodzi o log zapisany do pliku tekstowego, są wypisane uruchomione Procesy, wraz ze ścieżkami dostępu do odpowiadającym im plików wykonawczych. Dopiero pod listą procesów utworzona jest lista odpowiednich wpisów charakterystycznych dla HijackThis.

Bezpośrednio w programie HT nie widać już ani nagłówka, ani też wypisanych procesów. Lista tam obejmuje już jedynie same wpisy, z których każdy poprzedzony jest literą i cyfrą, np.: R0, R1, R2, R3, F0, F1, F2,F3, N1, N2, N3, N4, O1, O2, O3, O4, O5, O6, O7... (tak dalej, aż do O24). Właśnie od przyporządkowania danego wpisu do któregoś z w/w przedrostków, zależy jego funkcja, a także działanie, jakie względem niego można podjąć.

Zacznijmy więc omawianie po kolei - sekcja R0, R1, R2, R3 - związana z systemowym Rejestrem. Do niej przyporządkowane są strony startowe przeglądarki Internet Explorer i jej wyszukiwarki. Konkretnie R0, to strony startowe Internet Explorer'a, a także wyszukiwarki dołączane do IE. R1 odpowiada za m.in. funkcje wyszukiwania IE. R2 obecnie nie jest używana w systemie, a R3 przypada na tzw. Url Search Hook. Funkcja ta, w skrócie, jest używana, gdy przeglądarka sama dopasowuje odpowiednio protokół http:// lub ftp:// do adresu wpisanego bez określenia wspomnianego przedrostka. Wpisy te przykładowo wyglądają tak: 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Jeśli chodzi o wpisy z grup R0 i R1, to można stąd bez większych ceregieli zaznaczać i dawać w Fix wszystkie strony, których nie 
znamy i nie ustawialiśmy ich sami. Przykładem stron, do których można mieć w tym miejscu zaufanie, są np.: interia.pl, onet.pl, wp.pl, google.pl, itp. Grupa R3  natomiast podobnie j/w - można śmiało usuwać, o ile nie pojawia się przy tym wpisie program świadomie przez nas 
instalowany (np. oprogramowanie Neostrady).

HijackThis 2.0.2 - Uninstall Manager

Uninstall Manager zawarty w HijackThis jest prostym narzędziem do edycji i usuwania wpisów, które standardowo możemy oglądać w Panelu sterowania => Dodaj/usuń programy. W ten sposób można pozbyć się wpisów, których odinstalować korzystając z Dodaj/usuń programy nie potrafimy (np. wpis pozostaje na liście nawet po procesie deinstalacji). Jest to ostatnia z omawianych opcji HT, a dotrzeć do niej można w znany już dobrze sposób - uruchamiając HijackThis, następnie klikając Open the Misc Tools section:

Jako, że jest to ostatnie narzędzie, któremu się tutaj przyjrzymy, więc w kolejnym otwartym oknie klikamy przycisk nieużywany poprzednio - Open Uninstall Manager...:

Na liście, którą zobaczymy, mamy wyszczególnione wszystkie zainstalowane w systemie aplikacje (jest to lista identyczna, lub przynajmniej podobna do tej, którą widzimy pod Dodaj/usuń programy). Wygląda ona przykładowo tak: 
 
Z podstawowych opcji, któte możemy stąd wykorzystać warto wymienić:
- usunięcie zaznaczonego na liście wpisu - operacja prosta, klikamy raz wpis na liście, którego chcemy się pozbyć, alby go zaznaczyć, a następnie naciskamy przycisk Delete this entry (nr 1),
- przeniesienie się do systemowego Dodaj/usuń programy - tu wystarczy kliknięcie w Open Add/Remove Software list (nr 2),
- odświeżenie listy - przydatne dla upewnienia się, czy dany wpis na pewno został usunięty - Refresh list (nr 3),
- zapis listy do pliku .txt (np. celem pokazania go innym) - Save list... (nr 4).
Istnieje także możliwość edycji wpisu, który odpowiada za odinstalowanie programu - jest to jednak opcja przeznaczona dla osób doświadczonych i używanie jej bez posiadania odpowiednich wiadomości w jaki sposób edytować wpis, jest niewskazane.

Aby skorzystać z tej możliwości należy zaznaczyć dany wpis (podobnie jak przy usuwaniu go). Zauważymy wtedy komendę odpowiedzialną za usuwanie zaznaczonego wpisu (nr 1), 
którą właśnie przyjdzie na edytować (trzeba zauważyć, że część z tych komend nie jest skomplikowana, bo wymaga podania ścieżki dostępu do pliku odpowiedzialnego za uninstall, bądź np. ścieżki z dodanym na końcu parametrem /uninstall). Aby to zrobić, klikamy Edit uninstall command (nr 2) - ukaże nam się kolejne okno, którym już bezpośrednio dokonamy edycji:

HijackThis 2.0.2 - wyłączanie usług z rejestru (023)

UWAGA: Omawiana opcja działa na systemach Windows NT, Windows 2000 i Windows XP i powinna być (jak każda z możliwości HT) używana z rozwagą.

HijackThis pozwala wyróżnić usługi systemowe (a więc te, generowane bezpośrednio przez system operacyjny) od tych, które uruchamiane są niestandardowo przez różnej maści programy. Usługi te w najczęściej wykorzystywanym log'u tworzonym przez HT, oznaczane przedrostkiem 023. Właśnie tym, usługom włączanym przez software niezwiązanym domyślnie z 
systemem operacyjnym, poświęcone jest kolejne z narzędzi HijackThis. Jeżeli więc widzimy w 
wygenerowanym właśnie przez HijackThis log'u podejrzanie wyglądające usługi oznaczone jako grupa 023, to możemy ich się pozbyć korzystając z opcji Delete an NT service.... Kolejność klikania, aby do niej dotrzeć jest taka, jak zwykle: uruchomienie programu, w pierwszym oknie Open the Misc Tools section: 
 
i praktycznie jesteśmy u celu - wystarczy wcisnąć przycisk Delete an NT service...:
 
Oczom naszym powinno ukazać się okno, spod którego bezpośrednio można pozbyć się niechcianej usługi:
 
W przeznaczone do tego pole wpisujemy więc nazwę usługi (taką samą, jaka jest wyświetlona w log'u, bądź skróconą nazwę usługi wprowadzoną pomiędzy nawiasami).

W temacie samych usług postaram się napisać więcej przy opisywaniu analizy log'ów HijackThis.

Warto jeszcze wspomnieć, że w swoich poradnikach sporo nt. usług rozpisał się Sebart, więc zachęcam do przejrzenia: Strona startowa, wirus, trojan - Jak sobie radzić... , Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!

HijackThis 2.0.2 - używanie narzędzia ADS Spy

Wśród zagrożeń, na które narażony jest komputer, trafiają się czasem infekcje nazywane Home Search Assistant lub CWS_NS3. Zdarza się, że do zarażania komputera używają one plików zwanych jako Alternate Data Stream (ADS) - cytując stronę programu antywirusowego AVG: "Alternate Data Streams (ADS) w tłumaczeniu wielokrotne / alternatywne strumienie danych są to dodatkowe dane na partycjach NTFS umożliwiające stworzenie ukrytych plików "pod" innym plikiem / folderem. To najczęstszy sposób ukrywania aplikacji typu rootkit.". Powołując się natomiast na Microsoft, można dodać, że: "NTFS wspiera wiele strumieni danych, które są atrybutami pliku i mogą przechowywać różne dane – są one czymś w rodzaju plików w pliku. Na pewno wielu użytkowników Windows 2000 i XP zauważyło, że we właściwościach dowolnego pliku można wpisać m.in. autora, tytuł, temat czy słowa kluczowe. Bardziej dociekliwi sprawdzili pewnie, że dane te nie są zapisywane w samym pliku ani w rejestrze. Windows umieszcza je właśnie w jednym ze strumieni pliku, gdzie można przechowywać dowolne dane, nawet całe duże pliki. Daje to wiele różnych możliwości, np. w jednym pliku może się znajdować kod źródłowy programu, backup kodu źródłowego, skompilowany kod wykonywalny oraz plik pomocy." Pliki te pozostają niezauważone przy normalnym użytkowaniu komputera i nie można ich usunąć używając tzw. standardowych metod. 
Aby użytkownik nie pozostawał bezbronnym na zagrożenia tego typu, w HijackThis 
umieszczone zostało narzędzie o nazwie ADS Spy (UWAGA: trzeba wiedzieć, że ADS Spy jest w stanie działać jedynie na partycjach z systemem plików NTFS, jako że i ADS jest wspierane właśnie w tym systemie). 
Samo dotarcie do w/w narzędzia nie jest zbyt skomplikowane. Wystarczy bowiem, jak zwykle, uruchomić program, w pierwszym oknie kliknąć przycisk Open the Misc Tools section:
 
W oknie opcji programu, do którego zostaniemy przeniesieni, klikamy Open ADS Spy...: 
 
Po kliknięciu go zobaczymy jeszcze informację, mówiącą o tym, że narzędzie to działa jedynie w systemie NTFS (tu pozostaje nam jedynie kliknięcie OK):
 
Zobaczymy wówczas okno narzędzia służącego do usuwania ADS:
 
W opcjach ADS Spy (nr 1) można zmienić m.in. czy program ma przeprowadzić skanowanie jedynie folderu systemowego oraz czy ma ignorować strumienie uznawane za bezpieczne (domyślnie obie te opcje są włączone). Widząc więc gotowość narzędzia do pracy - napis Ready (nr 2), można przystąpić do samego skanowania - odpowiada za to przycisk o tajemniczej nazwie Scan (nr 3). 
Przykładowy wynik pracy programu pojawi się na liście po zakończeniu skanowania i wyglądać 
może tak: 
 
Widzimy więc napis świadczący o zakończeniu skanowania - Scan complete (nr 1), wynik skanowania widoczny na liście (nr 2) - w tym przypadku jest tam wypisany plik test.txt, który korzysta z aplikacji notepad.exe (to akurat systemowy Notatnik), możliwość usunięcia zaznaczonej pozycji z listy - przycisk Remove selected (nr 3) i standardowo już - zapis listy do pliku .txt (Save log... - nr 4)

HijackThis 2.0.2 - usuwanie plików przy restarcie komputera

Kolejną opcją zawartą w pozornie prostym HijackThis jest narzędzie umożliwiające automatyczne uswanie plików przy restarcie komputera. Jeśli więc masz problem z usunięciem pliku, który np. 
jest blokowany przez uruchomiony proces - zanim zainstalujesz dodatkowe oprogramowanie, 
powinieneś rzucić okiem na tą część poradnika HT. 
Narzędzie służące do usuwania plików w ten sposób znajdziemy, standardowo już, klikając po uruchomieniu programu w Open the Misc Tools section: 
 
W oknie, do którego przejdziemy klikamy przycisk znajdujący się pod omówionymi wcześniej Manager'em procesów i Manager'em pliku hosts - Delete a file on reboot...: 
 
Otwarte zostanie wówczas okno, w którym należy wskazać plik, który chcemy usunąć przy restarcie komputera. Po wskazaniu danego pliku, a następnie zatwiedzeniu go przyciskiem Otwórz, 
powinniśmy jeszcze potwierdzić całą operację klikając Tak (kliknięcie Tak spowoduje automatyczne zrestartowanie komputera, więc aby nie stracić niezapisanej pracy, zalecane jest zamknięcie wszelkich uruchomionych programów) lub przełożyć ją na później - wtedy klikamy Nie (przycisk Nie nie anuluje usunięcia pliku, a jedynie pozwala nam zrestartować komputer w czasie późniejszym): 

Po restarcie komputera (tym natychmiastowym, bądź późniejszym), wskazany przez nas plik powinien zostać automatycznie usunięty.