Wracam po przerwie z zamiarem dokończenia analizy log'ów z HijackThis. W tym rozdziale będzie krótko - wpisy oznaczone liczbą 03 odpowiadają za wszelkie dodatkowe paski narzędzi (tzw. toolbar'y) dodawane (umyślnie lub nie) do standardowej przeglądarki systemu Windows - Internet Explorer'a. Sebart pisał o nich nieco tu: Jak wkleić loga z HijackThis na forum? CZYTAJ CAŁOŚĆ !!!!
Paski te mają swoje miejsce w systemowym Rejestrze - wpisy ich dotyczące znajdziemy w kluczu: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Przykładowe dobre wpisy w logu - pochodzące akurat od antywirusa Norton'a (pierwszy) i Winampa (drugi) - wyglądają tak:
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
Co do złych wpisów, to przykładów mogłoby być sporo, ale dwa z nich:
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: H - {9FF1F987-4767-4986-99CB-425E55CC946D} - C:\Windows\system32\gooels.dll
W zasadzie, jak i jest wspomniane na KFD, tutaj przy diagnozowaniu przypadku posługujemy się tą samą metodą, co przy wpisach 02 - tzn. jeżeli program znamy, kojarzymy jako zainstalowany przez nas na komputerze - zostawiamy, a jeśli wpis wydaje nam się podejrzany - sprawdzamy na bardzo obszernej liście CastleCops. Powiązane ze wpisem biblioteki .dll przed usunięciem wyrejestrowujemy z systemu - znów cytat z Sebart'a:
"Start -> Uruchom tu wpisujemy:
W zależności jaką masz lokalizację pliku no i każdy wpisuje taką nazwę dll jaką wykrył ;)
Win 95/98/Me: %windir%\system\regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\system\wredny.dll
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\wredny.dll
Win NT/2000/XP: regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win NT/2000/XP: regsvr32 /u %windir%\system32\wredny.dll
Win NT/2000/XP: regsvr32 /u %windir%\wredny.dll
Powinno ukazać się info, że wredny.dll został pomyślnie wyrejestrowany.
Wersja ENG -> "DllUnregisterServer in C:\Program Files\xxx\wredny.dll succeeded"" - BHO - Browser Helper Objects - HijackThis - strona startowa cd.... Następnie dany wpis powinien zostać potraktowany Fix'em w HT, a na końcu usunięty z systemu. Dla pewności usunięcie wykonujemy w Trybie awaryjnym.
