HijackThis 2.0.2 - analiza log'a - wstęp, nagłówek i R0, R1, R2, R3

Na samym początku napiszę, że gdyby ktoś uznał, że coś zostało tutaj przedstawione za pobieżnie/niezrozumiale, to zapraszam do tematu założonego przez Sebart'a - Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!. Dotyczy on co prawda HT w wersji 1.99.0, ale jeżeli chodzi o analizę log'ów, to w tej kwestii nic się praktycznie nie zmieniło.

Analizę log'a zaczynamy od jego początku, a więc od wpisów umieszczonych na górze. Jeśli zapisujemy log do pliku tekstowego, to w pliku tym zauważymy jeszcze nagłówek (w samym HT tego nie ma). 

• W jego pierwszej linii (nagłówka) mamy więc wpis mniej więcej taki: Logfile of Trend Micro HijackThis vwersja_HT - oznacza on, że dany log został stworzony w HT, np. w wersji 2.0.2 (numery te mogą się różnić, w zależności jakiej wersji używaliśmy do zrobienia log'a).
• Druga linia, to data i czas wykonania log'a, np. wygląda ona tak: Scan saved at czas, on data . Tu również, co logiczne, data i czas powinny być różne dla różnych log'ów.
• Linia trzecia, to już informacja o systemie operacyjnym komputera, na którym robiony był log, np.: Platform: wersja_systemu operacyjnego. 
• W linii nr 4 mamy informacje dotyczące przeglądarki internetowej, przykładowo: MSIE: wersja_przeglądarki_internetowej. 
• Dzięki ostatniej, piątej linii, możemy odczytać, w jakim trybie przeprowadzono skan (utworzono log) - przykład: Boot mode: tryb_uruchomienia_systemu_(normalny_lub_awaryjny).
  

Dalej, jeżeli chodzi o log zapisany do pliku tekstowego, są wypisane uruchomione Procesy, wraz ze ścieżkami dostępu do odpowiadającym im plików wykonawczych. Dopiero pod listą procesów utworzona jest lista odpowiednich wpisów charakterystycznych dla HijackThis.

Bezpośrednio w programie HT nie widać już ani nagłówka, ani też wypisanych procesów. Lista tam obejmuje już jedynie same wpisy, z których każdy poprzedzony jest literą i cyfrą, np.: R0, R1, R2, R3, F0, F1, F2,F3, N1, N2, N3, N4, O1, O2, O3, O4, O5, O6, O7... (tak dalej, aż do O24). Właśnie od przyporządkowania danego wpisu do któregoś z w/w przedrostków, zależy jego funkcja, a także działanie, jakie względem niego można podjąć.

Zacznijmy więc omawianie po kolei - sekcja R0, R1, R2, R3 - związana z systemowym Rejestrem. Do niej przyporządkowane są strony startowe przeglądarki Internet Explorer i jej wyszukiwarki. Konkretnie R0, to strony startowe Internet Explorer'a, a także wyszukiwarki dołączane do IE. R1 odpowiada za m.in. funkcje wyszukiwania IE. R2 obecnie nie jest używana w systemie, a R3 przypada na tzw. Url Search Hook. Funkcja ta, w skrócie, jest używana, gdy przeglądarka sama dopasowuje odpowiednio protokół http:// lub ftp:// do adresu wpisanego bez określenia wspomnianego przedrostka. Wpisy te przykładowo wyglądają tak: 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Jeśli chodzi o wpisy z grup R0 i R1, to można stąd bez większych ceregieli zaznaczać i dawać w Fix wszystkie strony, których nie 
znamy i nie ustawialiśmy ich sami. Przykładem stron, do których można mieć w tym miejscu zaufanie, są np.: interia.pl, onet.pl, wp.pl, google.pl, itp. Grupa R3  natomiast podobnie j/w - można śmiało usuwać, o ile nie pojawia się przy tym wpisie program świadomie przez nas 
instalowany (np. oprogramowanie Neostrady).