HijackThis 2.0.2 - analiza log'a - O2

Sekcja oznaczona O2 odpowiada za  BHO (Browser Helper Object) - różnego rodzaju dodatki rozszerzające funkcje, zmieniające konfigurację, bądź wygląd przeglądarki internetowej, o których więcej znaleźć można np. tutaj: BHO - Browser Helper Objects - HijackThis - strona startowa cd... Jak zwykle jednak bywa oprócz wykorzystywania tej funkcji przez np.: Google Toolbar, bądz Adobe 
Acrobat Reader, zainteresowali się nią także twórcy spyware czy adware. 
Jeśli chodzi o usuwanie wpisów O2 z log'a, to tutaj należy samemu zadecydować, czy dany wpis odnosi się do porządanego przez nas elementu, czy też został dodany drogą infekcji. Wpisy te wyglądają przykładowo tak:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Identyfikację ich przeprowadzić trzeba nie na podstawie samej nazwy, która dla pierwszego z przykładowych wpisów, to: Yahoo! Companion BHO , a po {CLSID} - class ID, który dla przykładu nr 1 to: {13F537F0-AF09-11d6-9029-0002B31F9E59} , jednak zdarza się, że zarówno nazwa, jak i CLSID tworzone są losowo. W takiej sytuacji przy rozpoznawaniu pomocne okazują się strony z wyszczególnionymi dobrymi i złymi BHO - przykładem takiej jest lista na CastleCops (tutaj wpisy oznaczone X uznane są za pochodzące z infekcji, a L to wpisy prawidłowe), czy też na Sysinfo. 
UWAGA: HT usuwając wpisy BHO bezpośrednio ze swojej listy po skanie, pozbywa się także (najczęściej) powiązanych z nimi bibliotek - dla pierwszego z przykładowych wpisów jest to plik YCOMP5_0_2_4.DLL . Tutaj znów nie jest to reguła 100%, dlatego lepiej stosować się do sposobu przedstawionego niżej, ewentualnie zrestartować komputer w Trybie awaryjnym i daną bibliotekę wyrzucić stamtąd.

Jeśli widzimy podejrzany wpis z przedrostkiem O2, należy się go pozbyć - tu zacytuję Sebart'a: 

"Kasacja wrednych BHO

1. Wchodzisz w Panel Sterowania -> Dodaj/Usuń Programy
Odinstalowujesz wszystko czego nie znasz, wszystko co Ci podpada choćby taki New.Net zero skrupułów dla podejrzanego syfu. ;)

2. Zaczynamy od wyrejestrowania dll'a wykrytego w HijackThis

Start -> Uruchom tu wpisujemy:
W zależności jaką masz lokalizację pliku no i każdy wpisuje taką nazwę dll jaką wykrył ;)

Win 95/98/Me: %windir%\system\regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\system\wredny.dll
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\wredny.dll

Win NT/2000/XP: regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win NT/2000/XP: regsvr32 /u %windir%\system32\wredny.dll
Win NT/2000/XP: regsvr32 /u %windir%\wredny.dll

Powinno ukazać się info, że wredny.dll został pomyślnie wyrejestrowany.
Wersja ENG -> "DllUnregisterServer in C:\Program Files\xxx\wredny.dll succeeded"

3. Zaznaczamy w HijackThis to wykryte wredne BHO, które przed chwilą wyrejestrowaliśmy i dajemy klik na "Fix Checked"" - uzupełnić należy, że przy wyrzucaniu z Rejestru bibliotek, wpis %windir% oznacza katalog systemowy (nie trzeba więc pisać pełnej ścieżki do niego).

"4. Poprawiamy czyszcząc rejestr, tak dla pewności ;)

Start -> Uruchom -> regedit

Wciskamy Ctrl+F tu w Wyszukaj wpisujemy ten długi numer {CLSID} ten w nawiasach skręconych %)

O2 - BHO: (no name) - {1675AA03-A4B6-B52E-621F-A324E2D9D861} - C:/WINDOWS/adddn.dll

Czyli Ctrl+F wpisujemy wykryty numer tu akurat było by to 1675AA03-A4B6-B52E-621F-A324E2D9D861 i szukamy... co znajdzie to kasujemy, teraz klikamy F3 aby szukać dalej... tak przeszukujemy cały rejestr.

5. Restartujemy kompa i kasujemy wredny plik przykładowo C:/WINDOWS/adddn.dll czy też cały folder C:/Program Files/ClearSearch/ zależy co tam było u Ciebie ;)

6. Gdyby jeszcze były problemy z usunięciem, choć nie powinny :) to kasujemy dziada przy pomocy CopyLock." - BHO - Browser Helper Objects - HijackThis - strona startowa cd...

HijackThis 2.0.2 - analiza log'a - O1

Wpisy rozpoczynające się ciągiem O1 odnoszą się do pliku hosts, o którym było już nieco wcześniej. W skrócie, jest to plik, który kojarzy z sobą wpisane w nim w jednej linii IP i adres strony internetowej. Ma to za zadanie przyspieszyć proces ładowania wymienionych tam stron, ale w przypadku infekcji zdarza się, że strony zostają skojarzone z niewłaściwymi IP, co prowadzi do tego, że sie one nie ładują wcale, albo użytkownik jest przenoszony na niewłaściwe strony zamiast tych prawidłowych. 
Warto też powtórzyć domyślne lokalizacje tego pliku w różnych systemach:
Windows 3.1 - C:\WINDOWS\HOSTS
Windows 95 - C:\WINDOWS\HOSTS
Windows 98 - C:\WINDOWS\HOSTS
Windows ME - C:\WINDOWS\HOSTS
Windows XP - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Zmiany jego lokalizacji można dokonać wprowadzając zmiany w Rejestrze, a dokładnie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

UWAGA: Jeśli zauważysz, że ściezka do tego pliku wygląda w ten sposób: Windows\Help\hosts (na przykładzie poniżej), oznacza to najprawdopodobniej infekcję CoolWebSearch (do usuwania jej nadaje się CWShredder). Także (o ile nikt tego nie zmieniał) jeżeli 
hosts jest w innej lokalizacji niż domyślna, to istnieje duże prawdopodobieństwo, że w systemie coś jest namieszane. 

Nieznane sobie wpisy sekcji O1 można w zasadzie usuwać bez strachu, pamiętając, że w razie czego, można domyślny wygląd pliku hosts przywrócić używając narzędzia o nazwie HostsXpert. W razie problemu wystarczy odpalić program, kliknąć przycisk Restore Original Hosts i sprawa załatwiona.
Przykładowe wpisy z O1:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Ostatni z w/w przykładów wskazuje na zmianę położenia hosts w systemie, a więc najprawdopodobniej na infekcję CoolWebSearch (o tym nieco wyżej).

Istnieją również sytuacje, w których w HijackThis nie widać tych wpisów (albo widać je, ale po ich usunięciu przez program nic się nie zmienia) - wtedy należy odszukać plik hosts w systemie i edytować go ręcznie (usunąć nieprawidłowe wpisy i ewentualnie zaznaczyć we właściwościach pliku opcję Tylko do odczytu). 

HijackThis 2.0.2 - analiza log'a - N1, N2, N3, N4

Wpisy sekcji N (N1, N2, N3, N4), występują one u użytkowników przeglądarek internetowych Netscape i Mozilla. Obejmują one strony startowe tych przeglądarek i wyszukiwarki z nimi związane i są tam odpowiednikami wartości z grupy R dla Internet Explorer'a. Wpisy te przeglądarki gromadzą w plikach prefs.js, które z kolei umieszczone są w folderach: Documents and Settings\YourUserName\Application Data , jedynie Netscape w wersji 4 przechowuje je w: Program Files\Netscape\Users\default\prefs.js .
Poszczególne wartości we wpisach przyporządkowane są różnym wersjom przeglądarek:

- N1 odpowiada za Netscape 4 - jej stronę startową i stronę wyszukiwania,
- N2 odnosi się do Netscape 6 i jej stron startowej i wyszukiwania,
- N3 odpowiedzialne są za strony startową i wyszukiwania Netscape 7,
- N4 natomiast pojawia się u użytkowników Mozilli - także obejmuje stronę startową i wyszukiwania.

Przykładowo wpisy te mogą wyglądać tak:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)


Ogólnie przeglądarki te są o wiele bezpieczniejsze niż IE, ale zdarza się, że zostają infekowane np. Lop.com . Jeśli więc widoczne w tym miejscu są jakieś anomalia, to spokojnie któryś w tych wpisów można usunąć.

HijackThis 2.0.2 - analiza log'a - F0, F1, F2, F3

Kolejną grupą, którą napotkać można podczas analizy log'ów z HT są wpisy zaczynające się na literę F - F0, F1, F2, F3. Sekcja ta odpowiada za aplikacje i procesy uruchamiane automatycznie na podstawie wpisów w plikach system.ini i win.ini lub odpowiednich miejsc w Rejestrze.
Jeśli chodzi o wpisy z przedrostkiem F0, to sprawa jest prosta - wywalamy je praktycznie zawsze (chyba, że korzystamy z shell'a alternatywnego, wtedy F0 będzie odnosił się do niego [tyle, że wtedy pewnie rozpoznamy w tym miejscu aplikację, którą w tym celu instalowaliśmy]). F0 w log'u HijakThis odpowiada właśnie za shell w Windows. W pliku system.ini zobaczyć to możemy 
odnajdując ciąg Shell=. Wpis ten określa, jaki program będzie pełnił rolę shell'a Windows. Jest on wykorzystywany w Win 9x i wcześniejszych. W skrócie, ten program ładuje pulpit, zarządza oknami i ogólnie pozwala użytkownikowi na interakcję z systemem operacyjnym. Program, do którego odnosi się wpis Shell=, zostanie automatycznie załadowany po starcie systemu i będzie pełnił funkcję domyślnego shell'a (jest też możliwość załadowania kilku plików w ten sposób - wtedy wyglądałoby to np.: Shell=explorer.exe inny_program.exe). Windows'y 95 i 98 standardowo jako shell'a używają Explorer.exe.
F1 z kolei odnosi się do pliku win.ini - konkretnie do wartości pojawiających się po ciągach: Run= i/lub Load= - tu również program, który pojawi się w tych miejscach, zostanie załadowany po starcie systemu. Wpis run= był wykorzystywany raczej przez Windows'y 3.1, 95 i 98, a pozwala na kompatybilność wsteczną ze starszymi 
programami. Drugi wpis - load= jest używany do ładowania sterowników sprzętu. W przypadku F1, użytkownik musi sam określić, czy znajdujący się tutaj program powinien zostać usunięty, czy nie.
Przykłady wpisów z F0 i F1:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

F2 i F3, to odpowiedniki F0 i F1 z tą różnicą, że o ile poprzednie korzystały z plików .ini, tak te odnoszą się do 
systemowego Rejestru, z którego korzystają Windows 2000, XP i NT. Te systemy nie używają już 
praktycznie plików system.ini i win.ini, a funkcja kompatybilności została tutaj przechrzczona na IniFileMapping. Ładuje on zawartość plików .ini w Rejestr, każdej linii zapisanej w w/w plikach przyporządkowując pojedyńczy klucz. Uruchamiając więc program, który normalnie sprawdza ustawienia w pliku .ini, najpierw sprawdzany jest w Rejestrze klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping , w którym podane są miejsca, skąd mają zostać odczytane ustawienia.
Kolejnym wpisem, który można znaleźć w F2 jest UserInit. W systemach Win 2000, XP, NT i 2003 
jest on związany z wpisem: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit . Zawarte są w nim wytyczne, jaki program ma zostać załadowany, po zalogowaniu się użytkownika do systemu. W nim znajdują się też informacje o profilu, uzywanych czcionkach, barwach, itp., które są przyporządkowane dla danego użytkownika. Standardowo program, który odpowiada temu kluczowi, znajduje się w systemowym folderze windows\system32\userinit.exe . W tym miejscu możliwe jest również dodanie kilku innych programów ładowanych przez ten klucz, oddzielając je po prostu przecinkami, np.: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\inny_program.exe . W ten sposób oba programy zostaną uruchomione przy starcie systemu, co może się okazać dobrym miejscem dla trojan'ów, spyware, itp.

Warto też pamiętać, że sam Fix na wpisach w HT nie wystarcza, aby usunąć podejrzany plik z dysku - jeśli więc zauważymy taki, to po usunięciu jego wpisu z listy HijackThis, powinniśmy namierzyć go np.: poprzez Start => Szukaj, bądź przez narzędzie do wyszukiwania w Total Commander i usunąć taki plik ręcznie.

HijackThis 2.0.2 - analiza log'a - wstęp, nagłówek i R0, R1, R2, R3

Na samym początku napiszę, że gdyby ktoś uznał, że coś zostało tutaj przedstawione za pobieżnie/niezrozumiale, to zapraszam do tematu założonego przez Sebart'a - Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!. Dotyczy on co prawda HT w wersji 1.99.0, ale jeżeli chodzi o analizę log'ów, to w tej kwestii nic się praktycznie nie zmieniło.

Analizę log'a zaczynamy od jego początku, a więc od wpisów umieszczonych na górze. Jeśli zapisujemy log do pliku tekstowego, to w pliku tym zauważymy jeszcze nagłówek (w samym HT tego nie ma). 

• W jego pierwszej linii (nagłówka) mamy więc wpis mniej więcej taki: Logfile of Trend Micro HijackThis vwersja_HT - oznacza on, że dany log został stworzony w HT, np. w wersji 2.0.2 (numery te mogą się różnić, w zależności jakiej wersji używaliśmy do zrobienia log'a).
• Druga linia, to data i czas wykonania log'a, np. wygląda ona tak: Scan saved at czas, on data . Tu również, co logiczne, data i czas powinny być różne dla różnych log'ów.
• Linia trzecia, to już informacja o systemie operacyjnym komputera, na którym robiony był log, np.: Platform: wersja_systemu operacyjnego. 
• W linii nr 4 mamy informacje dotyczące przeglądarki internetowej, przykładowo: MSIE: wersja_przeglądarki_internetowej. 
• Dzięki ostatniej, piątej linii, możemy odczytać, w jakim trybie przeprowadzono skan (utworzono log) - przykład: Boot mode: tryb_uruchomienia_systemu_(normalny_lub_awaryjny).
  

Dalej, jeżeli chodzi o log zapisany do pliku tekstowego, są wypisane uruchomione Procesy, wraz ze ścieżkami dostępu do odpowiadającym im plików wykonawczych. Dopiero pod listą procesów utworzona jest lista odpowiednich wpisów charakterystycznych dla HijackThis.

Bezpośrednio w programie HT nie widać już ani nagłówka, ani też wypisanych procesów. Lista tam obejmuje już jedynie same wpisy, z których każdy poprzedzony jest literą i cyfrą, np.: R0, R1, R2, R3, F0, F1, F2,F3, N1, N2, N3, N4, O1, O2, O3, O4, O5, O6, O7... (tak dalej, aż do O24). Właśnie od przyporządkowania danego wpisu do któregoś z w/w przedrostków, zależy jego funkcja, a także działanie, jakie względem niego można podjąć.

Zacznijmy więc omawianie po kolei - sekcja R0, R1, R2, R3 - związana z systemowym Rejestrem. Do niej przyporządkowane są strony startowe przeglądarki Internet Explorer i jej wyszukiwarki. Konkretnie R0, to strony startowe Internet Explorer'a, a także wyszukiwarki dołączane do IE. R1 odpowiada za m.in. funkcje wyszukiwania IE. R2 obecnie nie jest używana w systemie, a R3 przypada na tzw. Url Search Hook. Funkcja ta, w skrócie, jest używana, gdy przeglądarka sama dopasowuje odpowiednio protokół http:// lub ftp:// do adresu wpisanego bez określenia wspomnianego przedrostka. Wpisy te przykładowo wyglądają tak: 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Jeśli chodzi o wpisy z grup R0 i R1, to można stąd bez większych ceregieli zaznaczać i dawać w Fix wszystkie strony, których nie 
znamy i nie ustawialiśmy ich sami. Przykładem stron, do których można mieć w tym miejscu zaufanie, są np.: interia.pl, onet.pl, wp.pl, google.pl, itp. Grupa R3  natomiast podobnie j/w - można śmiało usuwać, o ile nie pojawia się przy tym wpisie program świadomie przez nas 
instalowany (np. oprogramowanie Neostrady).

HijackThis 2.0.2 - Uninstall Manager

Uninstall Manager zawarty w HijackThis jest prostym narzędziem do edycji i usuwania wpisów, które standardowo możemy oglądać w Panelu sterowania => Dodaj/usuń programy. W ten sposób można pozbyć się wpisów, których odinstalować korzystając z Dodaj/usuń programy nie potrafimy (np. wpis pozostaje na liście nawet po procesie deinstalacji). Jest to ostatnia z omawianych opcji HT, a dotrzeć do niej można w znany już dobrze sposób - uruchamiając HijackThis, następnie klikając Open the Misc Tools section:

Jako, że jest to ostatnie narzędzie, któremu się tutaj przyjrzymy, więc w kolejnym otwartym oknie klikamy przycisk nieużywany poprzednio - Open Uninstall Manager...:

Na liście, którą zobaczymy, mamy wyszczególnione wszystkie zainstalowane w systemie aplikacje (jest to lista identyczna, lub przynajmniej podobna do tej, którą widzimy pod Dodaj/usuń programy). Wygląda ona przykładowo tak: 
 
Z podstawowych opcji, któte możemy stąd wykorzystać warto wymienić:
- usunięcie zaznaczonego na liście wpisu - operacja prosta, klikamy raz wpis na liście, którego chcemy się pozbyć, alby go zaznaczyć, a następnie naciskamy przycisk Delete this entry (nr 1),
- przeniesienie się do systemowego Dodaj/usuń programy - tu wystarczy kliknięcie w Open Add/Remove Software list (nr 2),
- odświeżenie listy - przydatne dla upewnienia się, czy dany wpis na pewno został usunięty - Refresh list (nr 3),
- zapis listy do pliku .txt (np. celem pokazania go innym) - Save list... (nr 4).
Istnieje także możliwość edycji wpisu, który odpowiada za odinstalowanie programu - jest to jednak opcja przeznaczona dla osób doświadczonych i używanie jej bez posiadania odpowiednich wiadomości w jaki sposób edytować wpis, jest niewskazane.

Aby skorzystać z tej możliwości należy zaznaczyć dany wpis (podobnie jak przy usuwaniu go). Zauważymy wtedy komendę odpowiedzialną za usuwanie zaznaczonego wpisu (nr 1), 
którą właśnie przyjdzie na edytować (trzeba zauważyć, że część z tych komend nie jest skomplikowana, bo wymaga podania ścieżki dostępu do pliku odpowiedzialnego za uninstall, bądź np. ścieżki z dodanym na końcu parametrem /uninstall). Aby to zrobić, klikamy Edit uninstall command (nr 2) - ukaże nam się kolejne okno, którym już bezpośrednio dokonamy edycji:

HijackThis 2.0.2 - wyłączanie usług z rejestru (023)

UWAGA: Omawiana opcja działa na systemach Windows NT, Windows 2000 i Windows XP i powinna być (jak każda z możliwości HT) używana z rozwagą.

HijackThis pozwala wyróżnić usługi systemowe (a więc te, generowane bezpośrednio przez system operacyjny) od tych, które uruchamiane są niestandardowo przez różnej maści programy. Usługi te w najczęściej wykorzystywanym log'u tworzonym przez HT, oznaczane przedrostkiem 023. Właśnie tym, usługom włączanym przez software niezwiązanym domyślnie z 
systemem operacyjnym, poświęcone jest kolejne z narzędzi HijackThis. Jeżeli więc widzimy w 
wygenerowanym właśnie przez HijackThis log'u podejrzanie wyglądające usługi oznaczone jako grupa 023, to możemy ich się pozbyć korzystając z opcji Delete an NT service.... Kolejność klikania, aby do niej dotrzeć jest taka, jak zwykle: uruchomienie programu, w pierwszym oknie Open the Misc Tools section: 
 
i praktycznie jesteśmy u celu - wystarczy wcisnąć przycisk Delete an NT service...:
 
Oczom naszym powinno ukazać się okno, spod którego bezpośrednio można pozbyć się niechcianej usługi:
 
W przeznaczone do tego pole wpisujemy więc nazwę usługi (taką samą, jaka jest wyświetlona w log'u, bądź skróconą nazwę usługi wprowadzoną pomiędzy nawiasami).

W temacie samych usług postaram się napisać więcej przy opisywaniu analizy log'ów HijackThis.

Warto jeszcze wspomnieć, że w swoich poradnikach sporo nt. usług rozpisał się Sebart, więc zachęcam do przejrzenia: Strona startowa, wirus, trojan - Jak sobie radzić... , Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!

HijackThis 2.0.2 - używanie narzędzia ADS Spy

Wśród zagrożeń, na które narażony jest komputer, trafiają się czasem infekcje nazywane Home Search Assistant lub CWS_NS3. Zdarza się, że do zarażania komputera używają one plików zwanych jako Alternate Data Stream (ADS) - cytując stronę programu antywirusowego AVG: "Alternate Data Streams (ADS) w tłumaczeniu wielokrotne / alternatywne strumienie danych są to dodatkowe dane na partycjach NTFS umożliwiające stworzenie ukrytych plików "pod" innym plikiem / folderem. To najczęstszy sposób ukrywania aplikacji typu rootkit.". Powołując się natomiast na Microsoft, można dodać, że: "NTFS wspiera wiele strumieni danych, które są atrybutami pliku i mogą przechowywać różne dane – są one czymś w rodzaju plików w pliku. Na pewno wielu użytkowników Windows 2000 i XP zauważyło, że we właściwościach dowolnego pliku można wpisać m.in. autora, tytuł, temat czy słowa kluczowe. Bardziej dociekliwi sprawdzili pewnie, że dane te nie są zapisywane w samym pliku ani w rejestrze. Windows umieszcza je właśnie w jednym ze strumieni pliku, gdzie można przechowywać dowolne dane, nawet całe duże pliki. Daje to wiele różnych możliwości, np. w jednym pliku może się znajdować kod źródłowy programu, backup kodu źródłowego, skompilowany kod wykonywalny oraz plik pomocy." Pliki te pozostają niezauważone przy normalnym użytkowaniu komputera i nie można ich usunąć używając tzw. standardowych metod. 
Aby użytkownik nie pozostawał bezbronnym na zagrożenia tego typu, w HijackThis 
umieszczone zostało narzędzie o nazwie ADS Spy (UWAGA: trzeba wiedzieć, że ADS Spy jest w stanie działać jedynie na partycjach z systemem plików NTFS, jako że i ADS jest wspierane właśnie w tym systemie). 
Samo dotarcie do w/w narzędzia nie jest zbyt skomplikowane. Wystarczy bowiem, jak zwykle, uruchomić program, w pierwszym oknie kliknąć przycisk Open the Misc Tools section:
 
W oknie opcji programu, do którego zostaniemy przeniesieni, klikamy Open ADS Spy...: 
 
Po kliknięciu go zobaczymy jeszcze informację, mówiącą o tym, że narzędzie to działa jedynie w systemie NTFS (tu pozostaje nam jedynie kliknięcie OK):
 
Zobaczymy wówczas okno narzędzia służącego do usuwania ADS:
 
W opcjach ADS Spy (nr 1) można zmienić m.in. czy program ma przeprowadzić skanowanie jedynie folderu systemowego oraz czy ma ignorować strumienie uznawane za bezpieczne (domyślnie obie te opcje są włączone). Widząc więc gotowość narzędzia do pracy - napis Ready (nr 2), można przystąpić do samego skanowania - odpowiada za to przycisk o tajemniczej nazwie Scan (nr 3). 
Przykładowy wynik pracy programu pojawi się na liście po zakończeniu skanowania i wyglądać 
może tak: 
 
Widzimy więc napis świadczący o zakończeniu skanowania - Scan complete (nr 1), wynik skanowania widoczny na liście (nr 2) - w tym przypadku jest tam wypisany plik test.txt, który korzysta z aplikacji notepad.exe (to akurat systemowy Notatnik), możliwość usunięcia zaznaczonej pozycji z listy - przycisk Remove selected (nr 3) i standardowo już - zapis listy do pliku .txt (Save log... - nr 4)

HijackThis 2.0.2 - usuwanie plików przy restarcie komputera

Kolejną opcją zawartą w pozornie prostym HijackThis jest narzędzie umożliwiające automatyczne uswanie plików przy restarcie komputera. Jeśli więc masz problem z usunięciem pliku, który np. 
jest blokowany przez uruchomiony proces - zanim zainstalujesz dodatkowe oprogramowanie, 
powinieneś rzucić okiem na tą część poradnika HT. 
Narzędzie służące do usuwania plików w ten sposób znajdziemy, standardowo już, klikając po uruchomieniu programu w Open the Misc Tools section: 
 
W oknie, do którego przejdziemy klikamy przycisk znajdujący się pod omówionymi wcześniej Manager'em procesów i Manager'em pliku hosts - Delete a file on reboot...: 
 
Otwarte zostanie wówczas okno, w którym należy wskazać plik, który chcemy usunąć przy restarcie komputera. Po wskazaniu danego pliku, a następnie zatwiedzeniu go przyciskiem Otwórz, 
powinniśmy jeszcze potwierdzić całą operację klikając Tak (kliknięcie Tak spowoduje automatyczne zrestartowanie komputera, więc aby nie stracić niezapisanej pracy, zalecane jest zamknięcie wszelkich uruchomionych programów) lub przełożyć ją na później - wtedy klikamy Nie (przycisk Nie nie anuluje usunięcia pliku, a jedynie pozwala nam zrestartować komputer w czasie późniejszym): 

Po restarcie komputera (tym natychmiastowym, bądź późniejszym), wskazany przez nas plik powinien zostać automatycznie usunięty.

HijackThis 2.0.2 - manager pliku hosts

W HijackThis znaleźć można także wbudowane narzędzie do edycji pliku hosts, dzięki któremu szybko i łatwo możemy wprowadzić odpowiednie zmiany w ten plik.
Aby zrozumieć do czego może być przydatna ta opcja - kilka słów o samym pliku. Plik hosts (plik bez żadnego rozszerzenia) można znaleźć zależnie od wersji systemu operacyjnego w:
- Windows 9x/Me:
windows/hosts   

- Windows 200x/XP
windows/system32/drivers/etc/hosts

Odpowiada on za kojarzenie DNS'ów. Umieszczając więc w nim IP serwera i obok nazwę domeny, przyspieszymy kojarzenie DNS przeznaczonych dla nich. Można też (wpisując "127.0.0.1 nazwa domeny") zablokować wyświetlanie wpisanego w nim ciągu znaków. Standardowo edycja tego pliku może być dokonywana z poziomu systemowego Notatnika (przykładowo wygląd): 

W HijackThis również mamy taką możliwość. Aby uruchomić narzędzie edycji pliku hosts, powinniśmy uruchomić HT, jak zwykle przejść do opcji programu, klikając w pierwszym oknie po uruchomieniu programu Open the Misc Tools Section:

 a następnie wcisnąć Open hosts file manager: 
 
W oknie, które się teraz pojawi się zawartość hosts'a (nr 1 poniżej; zawartość taka sama, jak przy edycji Notatnikiem), oraz kilka opcji:
 
W ramce z numerem 2 widać ścieżkę dostępu do tego pliku i liczbę linii, które zawiera hosts. Linie na liście (nr 1) zaznaczać można, klikając je pojedyńczo (kilka linii zaznaczamy trzymając klawisz Ctrl na klawiaturze podczas kilkania, bądź po prostu przeciągając kursor myszy z wciśniętym jej lewym przyciskiem). Po zaznaczeniu linii (jednej lub kilku) można je usunąć - odpowiada za to przycisk Delete line(s) (nr 3). Można przetestować tą opcję na przykładowych wpisach w hosts, które są poprzedzone znakiem #. Postawienie go na początku wiersza sprawia, że nie jest on brany pod uwagę w ustawieniach przeglądarki - ten znak można dodawać/zdejmować z początku linii (po zaznaczeniu ich) przyciskiem Toggle line(s) (nr 4). Aby ewentualnie dopisać cokolwiek do pliku hosts, należy kliknąć przycisk Open in Notepad (nr 5), co wyświetli zawartość hosts w Notatniku - Notatnik uruchomi się automatycznie.
Ewentualnie wprowadzone zmiany w pliku hosts przyniosą efekt dopiero po restarcie przeglądarki.

Hijack This 2.0.2 - manager procesów

Hijack This posiada również wbudowany Process Manager - manager uruchomionych procesów.Może on być używany 
zamiennie z manager'em systemowym, z tym, że Manager HT ma możliwość wyświetlania powiązanych z uruchomionymi procesami bibliotek. Dzięki temu jest szansa, na dokładniejsze przeanalizowanie plików działających w tle. Aby dostać się do Manager'a uruchamiamy HijackThis i, podobnie jak poprzednio, klikamy Open the Misc Tools section: 
 
Przycisk Open Process Manager przeniesie nas do opisywanej opcji: 

Okno manager'a HT wygląda tak:
 
Krótki opis znajdujących się w tym oknie rzeczy: numerem 1 oznaczona jest lista uruchomionych i działających w tle procesów. Listę można dowolnie przewijać w dół/górę, a dwuklik na którykolwiek z wyszczególnionych tutaj plików, przeniesie nas do okna Właściwości klikniętego pliku. Nr 2 (w obrębie ramki widać liczbę - w tym wypadku: 41), to suma uruchomionych procesów. Dwie ikony (nr 3) odpowiadają za: Zapis listy do pliku (zostanie zapisana jako plik tekstowy) - ikona dyskietki i druga ikona - kliknięcie jej kopiuje listę do systemowego Schowka, możemy ją bezpośrednio stamtąd wkleić np. na KFD celem jej sprawdzenia. Przycisk opisany jako Kill process (nr 4), to nic innego jak zakończenie działania procesu (jeżeli chcemy zakończyć jednocześnie kilka procesów - zaznaczamy je na liście po kolei z wciśniętym jednocześnie klawiszem Ctrl na klawiaturze komputera); Refresh (nr 5) odświeża listę; klikając Run... można  uruchomić plik wpisując jego ścieżkę w oknie, które się pojawi (nr 1 na poniższym obrazku), lub znaleźć pożądany plik korzystając z Przeglądaj... (nr 2 na screen'ie niżej): 

Jeszcze jedna przydatna opcja w tym oknie - zaznaczenie Show DLL's (nr 1 poniżej), dzieli okno Manager'a na pół i w dolnej części pokazuje biblioteki (wraz z ich liczbą - nr 2), które są wykorzystywane przez uruchomiony proces. Wystarczy więc kliknąć dany proces na liście u góry (nr 3), a w dolnej części (nr 4) zostaną wyświetlone używane przez niego pliki .dll:

HijackThis 2.0.2 - tworzenie listy autostartu

Opcja omawiana w tym odcinku nie jest może zbyt popularna i często używana, ale mimo wszystko warto znać możliwości programu - być może i ją kiedyś wykorzystamy. Umożliwia ona sporządzenie listy procesów uruchamianych wraz ze startem systemu operacyjnego.

Aby dostać się do tej opcji - nazwanej w programie StartupList - w pierwszym oknie po otwarciu HijackThis klikamy Open the Misc Tools section:
 
Stąd wystarczy już tylko kliknąć przycisk opisany jako Generate StartupList log:
 
Zobaczymy jeszcze tylko jedno - informacja, że HijackThis otworzy systemowy Notatnik i jednocześnie zapytanie, czy aby na pewno stworzyć listę procesów autostartu:
 
W tym oknie wybór jest łatwy: Tak - pokazuje listę procesów w otwartym Notatniku (wygląda to podobnie do tworzonego przez HijackThis log'a); Nie - wracamy do poprzedniego okna. Wyświetlony tekst wystarczy więc, jeśli zajdzie taka potrzeba, stąd skopiować i wkleić np. na forum KFD.

HijackThis 2.0.2 - porad ciąg dalszy - przywracanie usuniętych wpisów

W poprzednim odcinku poradnika użytkowania HijackThis doszliśmy do momentu, w którym usuwaliśmy wpisy z log'a. Niestety, jak to bywa - zdarza się, że przez przypadek (np. przez podobieństwo nazw plików systemowych i szkodników), usuniemy coś potrzebnego do pracy systemu, bądź któregoś z zainstalowanych programów. Co wtedy? Otóż HijackThis posiada narzędzie pozwalające cofnąć wykonane operacje, ale tylko wówczas, gdy program znajduje się w oddzielnym, przeznaczonym dla niego katalogu.  
Jeżeli (co było pokazywane w pierwszej części poradnika) w opcjach programu mieliśmy włączoną pozycję: Make backups before fixing items, to HT tworzy kopie usuwanych plików tam, gdzie jest zainstalowany, w folderze Backups. Uruchamiamy więc program - w pierwszym oknie klikamy View the list of backups: 

i automatycznie zostaniemy przeniesieni do opcji HijackThis, konkretnie do zakładki Backups: 
 

Jeżeli HijackThis będzie miał swój własny folder, a opcje programu zostaną ustawione tak, jak na screen'ie z pierwszej części poradnika, to po usunięciu jakiegoś wpisu - pojawi się on na liście (nr 4) i będą go dotyczyły trzy możliwości: Restore (nr 1) - przywrócenie wpisu. Używany, gdy okaże się, że usunięty wpis był jednak potrzebny; Delete (nr 2) - usunięcie pojedyńczego wpisu. Jeśli widzimy, że po skanie HT 
komputer pracuje normalnie (najlepiej przetestować go przez dłuższy czas), to możemy usunąć 

wpis z listy; Delete all (nr 3) - tu jak w poprzedniej opcji, ale kliknięcie tego przycisku wyczyści całą listę Backups. 

HijackThis 2.0.2 - poradnik użytkowania

HijackThis jest programem, który powinien być używany przy problemach z przeglądarką internetową, bądź przy kłopotach z systemem i programami na nim zainstalowanymi. Program jest zalecany do użycia w wypadku stwierdzenia podejrzanego zachowania się komputera (w szczególności chodzi o objawy infekcji złośliwym oprogramowaniem), jednak najpierwpoleca się zastosowanie uaktualnionego antywirusa, a także programów przeznaczonych do usuwania spyware i tym podobnych (np.: Ad-aware, Spybot, Spyware Doctor). Użycie HijackThis przed w/w narzędziami może spowodować, że wpisy odpowiedzialne, za usuwanie szkodników zostaną przez HT skasowane, natomiast niekoniecznie oznacza to usunięcie plików tych programów (można w ten sposób utrudnić, albo nawet uniemożliwić działanie innych programów do walki ze szkodnikami. HijackThis jest narzędziem zaawansowanym, wymagające znajomości Windows którego nieodpowiednie użycie może sporo namieszać w systemie, także jeżeli nie masz pewności co do swoich działan, to lepiej daj spokój z użyciem w/w programu, ewentualnie skorzystać z pomocy osób bardziej doświadczonych. Żeby nie podchodzić do problemu od złej strony - każdy, kto potrafi sprawdzić log'i z HT, musiał się tego w jakiś sposób nauczyć, więc nie ma powodu dla którego początkujący w tym użytkownik (choćby kierując się tym poradnikiem), nie może się nauczyć analizy log'ów.

Przedstawiany program w trakcie użycia prezentuje listę plików, procesów i ustawień, z których korzysta komputer. HT skanuje rejestr i pliki komputera sprawdzając dane, które po skanie programami typu Spybot mogły mimo wszystko zostać pozostawione - tą całą pracę programu widzimy w postaci wyświetlanego log'a, z którego można następnie wyłączać przedstawione w nim wpisy. Z powodu, że często zainstalowanych programów jest sporo, analiza log'a HijackThis może okazać się trudna. Jest to o tyle ważne, że jak zostało wspomniane wcześniej, często jeden wpis w log'u HT może okazać się kluczowy dla usunięcia szkodników z komputera, a z drugiej strony - usunięcie o wpis za dużo, może narobić sporego zamieszania w całym systemie. W internecie można znaleźć mnóstwo poradników odnoszących się do HijackThis (do różnych jego wersji), np.: KFD - Jak wkleić loga z HijackThis na forum? by Sebart , który dotyczy akurat wersji 1.99.0 . Takie poradniki zawierają cenne wskazówki, ale należy pamiętać, że wraz ze zmianą wersji programu, problem zaznaczenia właściwego wpisu może wyglądać nieco inaczej. W sieci można także spotkać automatyczne analizery log'ów HT (wystarczy wkleić log, bądź podać ścieżkę do pliku tekstowego z nim), np.: hijackthis.de i hjt.networktechs.com . Rzeczy tego typu potrafią ułatwić pracę przy analizie wpisów (choćby wyświetlając je przejrzyście), ale nie można wierzyć im bezmyślnie, bo zdarza się, że identyfikują wpisy błędnie.

Przejdźmy do samego programu - jest to aplikacja darmowa, którą może ściągnąć i używać każdy (HT "waży" niewiele, więc nie jest to problem). HijackThis działa z systemami: Windows™ 98, Windows™ Me, Windows™ 2000, Windows™ XP i Windows™ Vista. Pierwszą rzeczą, jaką należałoby zrobić, jest znalezienie go w wyszukiwarce internetowej - nic prostszego, pierwszy link w Google: Google prowadzi nas do strony, skąd można ściągnąć program w wersji 2.0.2, a więc jak na razie najbardziej aktualnej. Znaleźć go też można na stronie producenta programu: TrendSecure . Dla programu należy utworzyć oddzielny folder (tam zainstalować program), w którym aplikacja będzie mogła zapisywać kopie bezpieczeństwa (backup'y), z których, w razie czego, będzie można skorzystać.

Instalacja programu jest bardzo prosta. Należy kliknąć dwukrotnie na ikonę HJTInstall.exe - standardowo wygląda ona tak: 

Po dwukliku na nią ukaże się takie okno:

Zmiany lokalizacji instalowanej aplikacji można dokonać zmieniając ręcznie ścieżkę (1 na screen'ie) lub wybierając ją spod przycisku oznaczonego numerem 2, nr 3 to sam proces instalacji (który przebiega tak szybko, że praktycznie niezauważalnie), a nr 4 to natychmiastowe wyjście z programu instalacyjnego. 

Automatycznie po instalacji (jeżeli nie, to przy pierwszym ręcznym uruchomieniu HT - plik wykonawczy - domyślnie nosi nazwę: HijackThis.exe) zobaczymy kolejne okno - Licencja Użytkownika programu, którą (żeby móc korzystać z HijackThis) trzeba przeczytać i  zaakceptować:

Tutaj nietrudno się domyślić, że nr 1 to koniec pracy programu (brak akceptacji), a nr 2 odpowiada za akceptację warunków Licencji - 
wtedy można swobodnie rozpocząć pracę z HT.

Jeżeli zdecydujemy się zaakceptować Licencję, oczom naszym powinno 
pokazać się okno takie, jak to:  
 
Tu, jak na razie, warto przyjrzeć się dwóm rzeczom: po pierwsze czy jest zaznaczona haczykiem opcja Show this window when I start HijackThis (nr 1) - jeśli nie, to zaznaczamy jak na screen'ie. Druga sprawa, to po prostu przejście do sedna - skanu - bez zagłębiania się na razie w resztę pozycji. Aby tego dokonać klikamy None of the above, just start the program.

W tym momencie znajdziemy się praktycznie w sednie programu. W oknie, które się ukaże, zauważymy dwa przyciski, którymi się zainteresujemy: 

Pierwszy (nr 1), to samo skanowanie komputera - nim zajmiemy się za chwilę, a na razie zajrzyjmy do opcji programu klikając przycisk Config... (nr 2).

Okno opcji HijackThis wygląda tak: 

Widzimy tutaj coś w rodzaju zakładek, dzielących opcje na grupy: Main, Ignorelist, Backup, Misc Tools (nr 1) . Po włączeniu opcji powinniśmy znajdować się w zakładce Main - jeżeli nie, to klikamy ją, bo ona nas na razie interesuje. Pod spodem widać opcje, które można uaktywniać/dezaktywować zaznaczając odpowiednio opisane pola. Będąc tutaj zostawiamy haczyk na opcji Show intro frame at startup (nr 3) - jest to dokładnie to samo, co powyżej przy głównym oknie programu Show this window when I start HijackThis. Następnie upewniamy się, że zaznaczone są opcje oznaczone numerem 2: Make backups before fixing items, Confirm fixing & ignoring of items (Safe mode), Ignore non-standard but safe domains in IE (e.g. msn.com, microsoft.com), Include list of running processes in logfiles.
Zaznaczanie ich nie jest może rzeczą niezbędną, ale uczynią one pracę z programem nieco łatwiejszą i ograniczą ewentualne możliwości popełnienia 
błędu. Ogólnie więc, całość tego okna powinna wyglądać jak na powyższym obrazku. 
Jeśli tak jest, klikamy Back (nr 4) i wracamy do poprzedniego okienka:

Właśnie teraz przyszła pora, aby przejść do samego skanowania - klikamy przycisk Scan (nr 1).
UWAGA: Przy skanowaniu komputera wskazane jest, żeby powyłączać wszelkie zbędne programy (także takie, które działają w tle). Wyłączamy więc komunikatory (Gadu-gadu, Tlen, AQQ i inne...), programy korzystające z sieci P2P (eMule, klienty torrent'a, Ares, itp.), akceleratory downloadu (FlashGet, GetRight, DAP, itp.), przeglądarki internetowe (Internet Explorer, Opera, Firefox, itp.), wszelkie odtwarzacze (Winamp, foobar2000, Windows Media Player, AllPlayer, Media Player Classic, itp.), programy graficzne (Paint, Photoshop, Corel) - słowem wszystko, co mamy pootwierane, a co jest nam niepotrzebne. Zmniejsza to liczbę powstałych podczas skanowania wpisów, co czyni log nieco łatwiejszym do odczytania.

Po skanowaniu, które trwa dosłownie chwilę, w oknie pojawiają się wpisy - wygląda to wówczas mniej więcej tak:  

W tym momencie dla niewprawionej w sprawdzaniu log'ów osoby istnieją trzy wyjścia (czwartym jest wyjście z programu i zamknięcie systemu): 
- zapisanie log do pliku .txt - Save log (nr 1) - można stamtąd skopiować całość jako tekst i umieścić np. na forum KFD, zakładając nowy temat w dziale Bezpieczeństwo w sieci. 
UWAGA: Aby wkleić log na KFD, wystarczy zapisać go do pliku .txt - klikając Save log, następnie odszukać ten plik, otworzyć go jakimkolwiek edytorem tekstu (np. Notatnikiem), skopiować całość tekstu z pliku i wkleić to jako tekst wiadomości w nowym temacie na KFD w dziale Bezpieczeństwo w sieci.
Można też w ten sposób wkleić tekst do jednego z automatycznych analizerów log'ów HT - linki do nich podane są powyżej, 
- umieszczenie log'a na zagranicznym forum (dostępne w kilku językach, ale wśród nich brak niestety języka polskiego), powiązanym z producentem HijackThis - odpowiada za to przycisk 
Send Log To TrendMicro (nr 3). Po naciśnięciu go, zostaniemy przeniesieni na 
tak wyglądającą stronę internetową: 
 
W ramkach po prawej i lewej stronie zaznaczone są fora, na które można wkleić log, 
- próbowanie samemu poznawać i analizować poszczególne wpisy log'a, podświetlając na niebiesko dany wpis (pojedyńczo) i następnie klikając Info on selected item... (nr 2) - wtedy pojawia się informacja o danym wpisie: 

Jeżeli uznamy (na skutek analizy własnej, automatycznego analizera, bądź podpowiedzi np. na którymś forum), że dany wpis powinien zostać usunięty przez HijackThis, zaznaczamy znaczkiem linijkę 
za niego odpowiedzialną (nr 1 poniżej): 
 
i następnie klikamy Fix checked (nr 2). Można oczywiście zaznaczyć za jednym razem więcej niż jeden wpis. Zostaniemy jeszcze tylko zapytani, czy jesteśmy pewni swojej decyzji: 

Tutaj wybór jest prosty: Tak lub Nie - jeżeli dasz Tak, program usunie wskazany wpis; jeśli Nie - wróci do wcześniejszego okna bez usuwania czegokolwiek.

To by było na tyle, jeśli chodzi o dziś. W następnym odcinku poradnika przedstawię dalsze opcje HijackThis. Przy opracowaniu tego tekstu rzucałem okiem na: bleepingcomputer.com

Brakujące biblioteki

System, bądź któryś z zainstalowanych programów sygnalizuje brak jakiejś biblioteki .dll? Wystarczy, jeżeli zajrzysz na którąś z podanych niżej stron (albo poszukasz w Google):
- dll-files.com ,
- dlldll.com ,
- afreedll.com ,
- dlldump.com .
Następnie wystarczy wpisać już tylko nazwę poszukiwanego pliku i postępować wg ukazujących sie na stronie wskazówek.

Program internetowych telewizji

Coraz więcej ludzi wykorzystuje Internet do oglądania telewizji za pomocą programów typu SopCast, TVUPlayer, czy też JLC's Internet TV.
O ile korzystanie z w/w programów jest dziecinnie proste, bo sprowadza się do:
- w przypadku SopCast'a:

1) utworzenia własnego, darmowego konta, bądź zalogowania się jako anonim, 

 
2) wyboru zakładki Kanały i z przewijanej listy - interesującej nas pozycji.

- w TVUPlayer także można założyć darmowe konto, dzięki któremu możemy przez określony czas (przedłużać go można opłacając konto) oglądać kanały dostępne dla zarejestrowanych użytkowników. 
Obsługa TVUPlayer'a także jest banalna: 
 
z zakładek (poziomych) wybrać należy kategorię, do której należy dany kanał, a później z przewijanej listy (pionowej) wybrać konkretny program.

- JLC's Internet TV delikatnie się od nich różni:
 
tu z rozwijanej listy wybieramy kraj, z którego pochodzi program, który zamierzamy obejrzeć, a następnie wyszukujemy już dokładnie jego. Warto tu zauważyć, że w programie możliwa jest (raz dziennie dla osób korzystających z darmowej wersji - w płatnej są dodatkowo kanały erotyczne) aktualizacja kanałów dostepnych w JLC's Internet TV. 
Robi się to przez kliknięcie menu File => Update channel list.

Osoby używające popularnych programów do oglądania telewizji z całego świata w internecie mają często problem ze znalezieniem kanału z interesującą ich propozycją. Opisy w samych programach są bowiem niekiedy bardzo lakoniczne i przez to mylące. Tu z pomocą mogą przyjść im strony, na których wypisane są zawartości danych kanałów. Są to np.: myp2p.eu, kuszotv.pl i bhejafry.net . Dzięki nim można dużo szybciej i łatwiej znaleźć interesującą pozycję.