Интернет сигурност

10 март 2004, 22:00 ч  •  Компютри и технологии  •  коментари: 27

Това е статия за защита и борба срещу вируси, adware, spyware, malware, троянски коне, хакери и други подобни компютърни паразити и "феномени". Отнася се най-вече за хората, които ползват Internet Explorer.

Статията е написана за comexgroup.com и kaldata.com през февруари-март 2004 (преди излизането на Service Pack 2 за Windows XP). Копирането й и публикуването на друг сървър е забранено!

Предполагам ще се съгласите, че с разрастването на интернет първо, все повече стават начините за печелене на пари от него, второ, все повече от тези начини са за сметка на нервите на обикновените потребители, и трето, все повече злонамерени потребители правят мръсно на останалите. Всичко това разбира се не ни топли особено, но въпросът е как да озаптим всички тези феномени от нашето онлайн съществуване.

Съдържание

I. Настройки на интернет браузъра за осигуряване на безопасно сърфиране
  1. Настройки на сигурността
  2. Настройки, свързани с опазване на личната информация
II. Предпазване от нежелани програми – вируси, троянски коне, червеи, adware, spyware, malware
  1. Антивирусни програми
  2. Firewall-и
  3. Програми за борба с рекламен и шпионски софтуер
III. Лице в лице с врага – какво да правим, когато вече не знаем какво да правим
IV. Полезни линкове

  I. Настройки на интернет браузъра за осигуряване на безопасно сърфиране

Ще вземем за пример Internet Explorer 6.

  1. Настройки на сигурността

Отивате в Internet Explorer > Tools > Internet Options > Security.

Internet Options > Security

Имате възможност да зададете различни настройки за 4 групи от сайтове:

  • обща група (Internet) – всички сайтове, които не сме ги сложили в някоя от другите групи. Настройките за сигурност ги слагате по наше усмотрение и в зависимост от това доколко сме параноици. Ако посещавате често сайтове с кракове, безплатен софтуер или порно, трябва настройките да са по-рестриктивни, защото тези сайтове често са нахални и понякога опасни.
  • сайтове от локалната мрежа (Local intranet) – предполага се, че IE трябва сам да разпознава кои сайтове се отварят локално. Но поне при мен това важеше само преди да си update-на Windows-а. След това локалните сайтове вече не се разпознаваха и минаха към общата група. Настройки – по усмотрение и в зависимост от целите ни.
  • сайтове, на които имате доверие (Trusted sites). Разрешавате всичко, освен нещата, които ви дразнят или пречат.
  • сайтове, на които нямате доверие (Restricted sites). Забранявате всичко, освен нещата, без които не можете да ползвате сайтовете в тази група. Най-добре е да забраните всичко.

Това разделение и именуване е условно и можете да не се съобразявате с него. Например можете в групата на сайтовете от локалната мрежа да сложите някакви външни сайтове. Единственото, с което трябва да се съобразите обаче, е че трябва да имате една група с много рестриктивни настройки, където едва ли не да се забрани аболютно всичко. Това е така, защото Microsoft Outlook и Outlook Express си теглят (import-ват) настройките за сигурност от някоя от групите на Internet Explorer (по подразбиране това е Restricted sites) и ако всички групи са с либерални настройки, рискувате да стартирате вирус или злонамерен скрипт, получен по пощата.

За всяка група сайтове имате възможност да си изберете предварително настроено ниво на сигурност от бутона Default Level или фина настройка от Custom Level. Сега ще разгледаме всички настройки за сигурността една по една. Стойностите им, които ще видите, са тези, които съм задал на моя браузър за общата група. Както се досещате, човек винаги е по-добре да забрани нещо и ако види, че не може да работи така, да го разреши, отколкото да разреши нещо и после да съжалява.

Security > Custom Level

ActiveX controls and plug-ins

ActiveX контролите са един от най-големите таралежи, които можете да си пуснете в гащите – на практика с тях един сайт може да получи пълен достъп до компютъра ни. Да разрешите безогледно ActiveX означава все едно да отворите .exe файл без да знаете какво прави той. Може би най-популярният пример за това какво могат ActiveX контролите е онзи скрипт, който ви отваря CD-ROM-овете. По принцип човек би забранил ActiveX контролите с чиста съвест, ако нямаше една малка подробност – flash-овете се водят за ActiveX контроли и ако ги забраните, няма да ги виждате. Това да речем не е болка за умиране, но някои статични сайтове имат анимирани flash менюта и ако ги забраните, няма да можете да браузвате в тях. В някои случаи даже няма да разберете, че менюто не се отваря точно заради нашите настройки и ще се чудите какво става. Затова аз лично съм настроил в общата група да ме пита дали да стартира ActiveX контролите. За някои това може да се стори досадно, защото много сайтове почват да питат дали да си стартират flash-овете. Но ако свикнете по инерция да натискате интервала с палеца (защото по подразбиране отговорът е за забрана на контролите), няма да имате проблеми. Дори ще спетите малко трафик. Ако забраните стартирането на някой flash или скрипт без да искате – дайте refresh на страницата и ще ви попита отново.

  • Download signed ActiveX controls: prompt – тези по принцип са безопасни, защото създателите им са се “подписали” кои са
  • Download unsigned ActiveX controls: disable – създателите са неизвестни
  • Initialize and script ActiveX controls not marked as safe: disable
  • Run ActiveX controls and plugins: prompt
  • Script ActiveX controls marked safe for scripting: enable

Downloads

Тук задавате дали разрешавате свалянето на файлове и инсталирането на шрифтове. Ако забраните свалянето на файлове, няма да можете да отваряте или сваляте mp3-ки, документи DOC, RTF, PDF и каквото още се сетите, което не е част от самата страница, която гледате. Няма нужда да разрешавате безусловно инсталирането на шрифтове, оставете браузърът да ви пита. И без това рядко се случва.

  • File downloads: enable
  • Font download: prompt

Microsoft VM

Ей това е вторият голям таралеж, който можете да си пуснете в гащите, освен ActiveX. Понеже Java (да не се бърка s JavaScript) се използва много рядко и само за специфични цели, препоръчвам ви да я забраните. Пример за това какво може разрешената Java е една страница, на която като отида и сайтът без изобщо да ме пита, ми прави фолдъри по хард диска и записва файлове там. Обикновено сайтовете, които изискват Java, разпознават, че ви е забранена, и ви казват да я включите. Тогава ги добавете в Trusted sites, ако щете само временно, и готово.

  • Java permissions: Disable Java (в група Trusted sites – High Safety)

Miscellaneous

  • Acess data sources across domains: disable – тази настройка задава дали една страница/скрипт може да получи достъп до база данни, друга страница/скрипт от друг домейн
  • Allow META refresh: enable – тази настройка задава дали браузърът може след определено време сам да refresh-не страницата, която гледате, или да зареди друга страница (т.нар. redirect)
  • Display mixed content: prompt – тази настройка задава дали браузърът ще може да показва страници, на които има едновременно secure и non-secure елементи
  • Don't prompt for client certificate selection...: disable
  • Drag and drop or copy and paste files: enable
  • Installation of desktop items: disable – тази настройка задава дали можете да инкорпорирате например интернет страница (включително и скриптове от нея) като част от десктопа си
  • Launch programs and files in IFRAME: prompt – тази настройка задава дали разрешавате изпълняването на програми в прозореца на Internet Explorer (примерно отваряне на PDF). IFRAME се ползва понякога от недобросъвестни потребители за изпълняване на вредоносен код.
  • Navigate sub-frames across different domains: enable – тази настройка задава един сайт, който ползва примерно 2 фрейма, дали ще може от единия frame да зареди страница от друг домейн (сайт) във втория frame
  • Software channel permissions: high safety – и това не знам точно какво е, но е свързано с възможността някои програми (plug-ins в браузъра?) да се update-ват автоматично
  • Submit non-encrypted form data: enable – тази настройка задава дали ще можете да изпращате некриптирана информация при попълване на онлайн форма. Няма смисъл да забранявате това, защото ще ви причини само неудобства - например няма да можете да си влезете в пощата, няма да можете да търсите в Google и т.н. Така че... от нас да мине :)
  • Userdata persistence: disable – тази настройка задава дали сайтовете ще могат да ви разпознават и помнят някакви ваши настройки, свързани с тези сайтове, чрез записване на cookie. Например, Google по този начин знае дали да ви показва по 10, 20 или 30 резултата на страница и т.н.

Scripting

Скриптовете са нещо, което може да ви навреди до някаква степен, ако създателят им го е пожелал. За съжаление толкова много сайтове използват JavaScript или VBS Script, че забраната им води до много ниска функционалност на половината интернет сайтове. Например ще спре да работи зареждането на страница при избор на текст от падащо меню, а пък понякога няма друг начин за отварянето на тази страница (няма бутонче). Или пък ще спрат да работят движещите се менюта на сайтовете (тези, които не са на flash).

  • Active scripting: enable
  • Allow paste operations via script: prompt – тази настройка задава дали някой скрипт ще има достъп до информацията в clipboard-а
  • Scripting of Java applets: enable

User authentication

  • Logon: automatic logon only in Intranet zone – тази настройка задава в кои случаи ще е възможно автоматично логване по HTTP протокол и в кои ще се иска винаги парола

  2. Настройки, свързани с опазване на личната информация

Отивате в Internet Explorer > Tools > Internet Options > Privacy.

Internet Options > Privacy

Тук задавате нивото на сигурност при боравене с cookies – известните малки файлчета, които сайтовете записват на компютъра ви, за да ви разпознават. Освен общо ниво на сигурност, което да се отнася до всички сайтове, можете да зададете изрично от кои сайтове винаги да (не) приемате cookies – бутон Edit. Има една особеност – например аз бих искал да забраня всички cookies, с изключение на такива от определени 5-6 сайта (пощи, форуми и т.н.), от които имам нужда. За съжаление това е невъзможно – ако зададете Block all cookies, индивидуалните настройки спират да важат. Затова сме принудени да работим със стойност High, при която се допускат само cookies, които имат т.нар. Privacy Policy, т.е. за тях можете да се информирате каква информация събират за вас и как се използва тя. Това спира доста cookies, но не е върхът на сладоледа, защото има сайтове, които са си публикували Privacy Policy (т.е. cookie-тата им се допускат в компютъра), обаче ако си направите труда да прочетете въпросната Privacy Policy, в най-добрия случай ще смръщите вежди. Как се стига до тази информация – отивате във View > Privacy Report или цъкате два пъти на знака за блокирано cookie, който се намира долу вдясно на status bar-а на Internet Explorer. В появилия се прозорец имате списък на заредилите се страници и допуснатите и блокираните cookies. Избирате си cookie и натискате на Summary.

View > Privacy Report

При стойност на Privacy настройката “High”, сайтове като пощи и форуми обикновено спират да работят, защото нямат Privacy Policy. Затова тях ще трябва да ги добавите към списъка на сайтовете, от които винаги да приемате cookies (Allow). Съответно ако забележите, че получавате cookies от някой сайт с Privacy Policy, от който не искате да получавате, добавете го в списъка с опция Block.

Edit > Per Site Privacy

Да речем, когато посещавате сайта comexgroup.com и неговия форум, вашият браузър зарежда cookie от сайта spylog.com. To е шпионско cookie, но има Privacy Policy и затова браузърът го пуска, дори и при най-строгия режим на работа. Cookie-то на spylog.com е едно от първите, на които му бия дузпата, когато си настройвам браузъра след преинсталация на Windows. Други по-известни рекламни и шпионски cookies, които е добре да забраните, са от сайтовете:

  • doubleclick.net
  • doubleclick.com
  • atwola.com
  • fastclick.net
  • hitbox.com
  • gator.com
  • qksrv.net
  • x10.com

По принцип този списък с нахални сайтове, които успяват да си пласират бисквитите, освен ако не ги забраните изрично, за съжаление е безкраен. Затова за борба с cookies се използват програми като Ad Aware и Spybot Seek & Destroy, за които отново ще стане дума след малко.

Имате възможност да процедирате с cookies по съвсем различен начин – бутон Advanced. Там имате възможност да зададете, че например ще приемате cookies от сайта, който посещавате (например cookie-то от сайта на пощата ни), но няма да приемате cookies от трети сайтове (например cookie-то от сайта spylog.com при посещение на сайта comexgroup.com).

  II. Предпазване от вредни програми

Тези програми носят различни имена, в зависимост от това как ви нападат и какво правят – вируси, троянски коне, червеи, spyware, adware, malware и не знам още какво. Борбата срещу тях почива на няколко единни принципа, които ще разгледаме.

  1. Ползвайте антивирусна програма

Когато нямах интернет вкъщи, имаше един период от време от няколко месеца, в който бях без антивирусна програма. Но за компютър, свързан към интернет, е абсолютно недопустимо да няма антивирусен софтуер. Кой от многото да инсталирате? Споровете и дискусиите са безкрайни, всеки има свои предпочитания. Основните критерии за избор са:

  • степен на натоварване на компютъра
  • удобство на ползване
  • често предоставяне на нови дефиниции от сайта на производителя
  • умения за улавяне на вирусите

Третото и четвъртото не са едно и също нещо, защото се случва да има вирус, който една антивирусна програма да го улавя, а друга с последни дефиниции да не може. Освен това, някои антивирусни програми (например F-Prot) предлагат възможността да анализират действието на непознати програми и на базата на това да преценяват дали са опасни или не. Това обаче забява сканирането и се ползва само по изключение.

Ако някой се интересува, моето лично предпочитание, на базата на изброените критерии, е споменатата F-Prot (не ангажирам никого с него, примерно напоследък виждам, че не хваща всичко, което други антивирусни успяват), а личното ми анти-предпочитание е Norton Antivirus – много е тежък и забавя компютъра, освен това има примери, когато точно той не е хващал вируси, които други антивирусни програми са хващали.

Единственото нещо, което трябва да правите по отношение на антивирусната си програма, е да сваляте редовно последните вирусни дефиниции. Можете да настроите програмата автоматично да прави това. По принцип веднъж седмично е ОК, но в периоди на “вирусна криза”, които взеха да стават много чести напоследък – веднъж на 2-3 дена.

Антивирусната програма се състои от програма за сканиране на запаметяващите устройства по наше желание, както и програма за следене в реално време на стартиращите програми и манипулираните файлове. Ако програмата за мониторинг в реално време работи непрекъснато, няма нужда от често сканиране на хард диска.

Антивирусната програма е тази, която освен за борба с вирусите, неутрализира и т.нар. “червеи” – вид вируси, чиято цел е претоварване и задръстване на компютърните мрежи, чрез лавинообразно саморазпращане по електронната поща по множество получатели. Основно червеите са тези програми, които рискувате неволно да стартирате, ако сме задали либерални настройки на сигурността в групата Restricted sites в Internet Explorer.

  2. Ползвайте firewall

Firewall-ът или “огнената стена” е програма, която следи и разрешава/забранява входящите и изходящите от компютъра пакети данни. Програмата следи кой ги инициира, откъде идват и къде отиват. В някои случаи firewall-ът е също толкова важен, колкото и антивирусната програма – например за хора, които са в локална мрежа с непознати, или за хора, които ползват популярните чат клиенти, например ICQ, mIRC и т.н.

Основната функция на firewall-а е да ви пази от хакери. Той затваря всички неизползвани в момента портове (порт се нарича виртуалният канал, по който текат специфичен за него тип данни, идващи от определено място и предназначени за четене от определена програма – например по порт 25 пристигат новите писма, които са предназначени за вашия email клиент, който знае, че писмата идват на този порт и го преслушва периодично (“listen”) ), които са всъщност пътят за проникване отвън. Firewall-ът ще ви предупреди, ако в компютъра ви има т.нар. “троянски кон”, който се опитва да отвори пробойна в сигурността (чрез отваряне на порт и неутрализиране на защити) и да изпрати информация на хакера, който ще се възползва от нея, за да влезе в компютъра ви.

Windows XP разполага с вграден firewall, който се справя съвсем прилично със задачата да пази от външни атаки. Включва се от настройките на мрежовата връзка и интернет връзката (на всяка връзка трябва да се включи поотделно):

Control Pannel > Network Connections > избирате си връзка > Properties > Advanced > Protect my computer from… Съответно когато маркирате чавката, можете да цъкнете долу на Settings за настройки на самия firewall. Общото правило е, че не трябва да има разрешени неща никъде, освен ако не знаете наистина какво и защо правим.

Enable Firewall

Вграденият в Windows XP firewall има три недостатъка:

  • той следи и пази само входящия трафик, т.е. ако например стартирате троянски кон, последният ще може да отвори пробойна в сигурността ви и да изпрати информация на хакера, без да разберете или да можете да попречим
  • той работи твърде незабележимо – дори и ако ви атакуват, не се появяват предупреждения, няма текуща нагледна информация за входящите и изходящите пакети, до която да може човек да получи мигновен достъп. Е, има log файл, но той е доста неглиже, защото е в plain text (.TXT) формат
  • той има малко възможности за настройване – например човек не може да блокира за постоянно определен IP адрес. Също така, всяка промяна в настройките влиза в сила чак след reconnect

Поради тези недостатъци, много хора прибягват до инсталирането на допълнителен firewall. Отново всичко е въпрос на предпочитания. Критериите са:

  • степен на натоварване на компютъра
  • възможности за прецизно и лесно настройване
  • удобство на ползване
  • умения за улавяне и неутрализиране на програми, специално създадени да заобикалят защитата на firewall-а

Моят личен избор на база на тези критерии (отново никого не ангажирам с него) – Sygate Personal Firewall Pro. В интерес на истината, оказва се, че той не е много силен в четвъртата точка, която си е важна.

  3. Ползвайте програма за защита от adware, spyware и malware

(adware = рекламен софтуер, spyware = шпионски софтуер, malware = “злонамерен” софтуер)

Тази програма допълва функциите на антивирусната програма. Разликата в принципa на действие е, че основната задача на антивирусната програма е да предпазва, докато основната задача на програмите, за които сега говорим, е да премахват записани при нас и вече работещи в наша вреда програми и файлове, т.е. нещо като “след дъжд качулка” или може би “качулка по време на дъжд”. Те не се борят срещу вируси, а срещу програми и файлове, които антивирусният софтуер по принцип игнорира.

Какво правят рекламните програмки? Терминът е, че те “hijack”-ват вашия браузър (hijack = отвличам самолет). Името идва от факта, че рекламните програми заставят “отвлечения” браузър да зарежда сайтове, които изобщо не сте му написали. Най-очевидните индикатори, по които разбирате, че имате adware са:

  • сменен ви е homepage-ът на браузъра. Ако върнете вашия си homepage, след рестарт, той отново е сменен.
  • започват да ви изскачат рекламни popup прозорци при посещение на произволни познати сайтове, където досега не са изскачали такива прозорци
  • при кликане върху познат линк на познат сайт, отивате на непознат сайт, например порно сайт. Това се вижда и в Status Bar-a на браузъра

Какво правят шпионските програмки? Тях може да не ги забележите веднага, дори може изобщо да не ги забележите. Ако ви направи впечатление, че по интернет връзката ви тече голям по обем или продължителен като време трафик, без да правите нищо, е време да се замислите. Тук стигаме отново до нуждата от firewall и внимание – точно тук вграденият в Windows XP firewall не помага. В зависимост от амбициите на създателите им, шпионските програми могат да:

  • разберат вашия email адрес и да следят какви сайтове посещавате, в резултат на което започвате да получавате реклами за определени продукти и услуги
  • следят какво въвеждате от клавиатурата (key logging)
  • следят какъв софтуер имате инсталиран и колко/кога го използвате
  • неутрализират действието на firewall-а и антивируса, отварят комуникационни портове – това е вече тежката артилерия

Какво правят “злонамерените” програмки? Най-често едно от нещата, които правят, е да блокират достъпа ви до системните настройки на компютъра. Например в един момент забелязвате, че не можете да влезете в Control Panel, Registry Editor, Device Manager, MSConfig, Computer Management, Services.msc и всички останали конзоли за настройка на операционната система. При по фрапантните случаи Task Manager-ът и антивирусната ви програма започва да се затварят сами веднага след като ги отворите и не можете да ги използвате.

Често се случва една програма да притежава свойствата едновременно на adware, spyware и malware.

Откъде се взимат тези буболечки? Отговорът е прост:

  • инсталират се сами с помощта на ActiveX контрола или Java VM, когато посетите даден сайт: двата таралежа, нали си спомняте.
  • инсталират се заедно с безплатни програми, които вие инсталирате по собствено желание. Де факто тези нежелани програми се явяват “цената”, която плащате, за да ползвате дадена “безплатна” програма. Затова – четете внимателно условията на ползване, които ви се появяват при инсталация! Ако видите, че ще се инсталира и нещо друго, освен това, което очаквате – най-добре да я зарежете тая програма и да потърсите по-“възпитана” алтернатива, включително платена програма или просто trial версия, която ще работи само 1 месец, но ще си свършите това, което искате, без после да се чудите какво ви е дошло на главата.

Двете най-популярни програми за борба с adware, spyware и malware са Ad Aware на компанията Lavasoft и Spybot S&D (идва от Seek & Destroy) на Patrick Kolla. Ad Aware е безплатна, а Spybot инсталира две рекламни програмки, за да може да работи. Сетете се коя съм предпочел... ;)

Ad Aware, Spybot S&D и техните “колеги” правят следните неща:

  • сканират паметта за вече работещи adware, spyware и malware
  • сканират регистъра за следи (запаметени настройки) от нежеланите програмки, например настройки за автоматичното им стартиране при пускане на компютъра или настройки, указващи инкорпорирането им във вашия браузър
  • сканират папката на Windows и папката Program Files
  • сканират папката с cookies за рекламни и шпионски бисквитки
  • вадят списък с откритите от тях неща и предлагат да изтрият това, което си изберете; има възможност за задаване на бъдещо игнориране на някои файлове, които не искате да премахвате; може също така да се пази backup и ако изтриете нещо, което не е трябвало, после да го възстановите.

Сканирането с тези програми се извършва в зависимост от интензивността на ползване на интернет или по ваши предпочитания. Веднъж на няколко дни е ОК. В общия случай след всяко сканиране, програмата ще открие 5-10 бисквитки от типа “нахални”, които спокойно ги трийте. Ако ви направи впечатление, че имате cookies от все едни и същи сайтове, можете да ги забраните изрично. Ако откриете, че имате инсталирана нежелана програма, това е вече по-сериозно - опитайте да се сетите как сте я прихванали.

Програмите за борба с рекламния и шпионския софтуер също имат нужда от редовен update на своите дефиниции, също както антивирусните програми.

  III. Лице в лице с врага

В тази секция ще разгледаме начините за откриване и премахване на всички видове неканени програми, за които говорихме досега. “Малката” подробност е, че до тези методи тук ще прибягвате, когато останалите не са дали резултат – случва се, когато за някоя буболечка още няма дефиниции и тя не се засича нито от антивирусната, нито от анти-рекламната програма. Или когато всички защитни програми здадат багажа, защото и това се случва, както ще видим.

Програмата, с която ще се запознаем се казва HijackThis. Тя е само 150 KB, няма нужда от инсталация, просто я пускате от който фолдър искате. Единственото изискване е да не я пускате от архив или от Temp фолдър, защото създава един backup файл при себе си. Програмата предлага възможности за настройка, които са пределно ясни. При натискане на бутон Scan, програмката прави списък с някои настройки на операционната система. Тъй като изучаването на списъка в самия прозорец на програмата не е много удобно, по-добре да си запишете log файл и да гледате в него.

HijackThis Interface

Настройките, които ще видите описани, имат етикети пред тях:

  • R0, R1, R2, R3 – homepage и страница за търсене в Internet Explorer
  • F0, F1 – автоматично зареждащи се програми, зададени в .ini файловете
  • N1, N2, N3, N4 - homepage и страница за търсене в Netscape/Mozilla
  • O1 – пренасочвания, зададени в hosts файла
  • O2 – допълнителни функции в браузъра (BHO – browser helper objects)
  • O3 – допълнителни toolbar-ове в Internet Explorer
  • O4 – автоматично зареждащи се програми, зададени в регистъра
  • O5 – показва, че Internet Options иконата в Control Panel е забранена
  • O6 – показва, че има ограничения, наложени върху промята на Internet Options
  • O7 – показва, че достъпът до Registry Editor-а е забранен
  • O8 – допълнителни опции в контекстното меню на Internet Explorer
  • O9 – допълнителни бутони в главния toolbar на Internet Explorer; допълнителни опции в Tools менюто
  • O10 – показва наличието на Winsock hijacker
  • O11 – показва наличието на CommonName hijacker
  • O12 – надстройки (plug-ins) на браузъра
  • O13 – показва наличието на IE DefaultPrefix hijack
  • O14 – показва наличието на 'Reset Web Settings' hijack (изключение е случаят, когато тук видите сайта на интернет доставчика си)
  • O15 – сайтове в Trusted Zone
  • O16 – ActiveX обекти, надстройки на браузъра
  • O17 – показва наличието на Lop.com domain hijackers (изключение е случаят, когато тук видите сайта на интернет доставчика си)
  • O18 – показва наличието на extra protocols и protocol hijackers
  • O19 – показва наличието на user style sheet hijack

Ето един примерен log файл:

Logfile of HijackThis v1.97.7
Scan saved at 15:53:54, on 29.2.2004 г.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32Ati2evxx.exe
C:Program FilesSygateSPFSmc.exe
C:WINDOWSExplorer.EXE
C:Program FilesLogitechiTouchiTouch.exe
C:Program FilesFSIF-ProtF-StopW.EXE
C:WINDOWSSystem32ctfmon.exe
C:Program FilesLogitechMouseWaresystemem_exec.exe
c:progra~1winampwinamp.exe
C:Program FilesFlashGetflashget.exe
C:WINDOWSSystem32svchost.exe
c:program filesinternet exploreriexplore.exe
C:WINDOWSSystem32taskmgr.exe
c:program filesinternet exploreriexplore.exe
C:Program FilesMicrosoft OfficeOffice10WINWORD.EXE
C:WINDOWSSystem32wuauclt.exe
c:program filesinternet exploreriexplore.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Documents and SettingsDimoMy DocumentsPCSecurityHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,Shellnext = http://10.100.0.10/forums/index.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [F-StopW] C:Program FilesFSIF-ProtF-StopW.EXE
O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFSmc.exe -startgui
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:Program FilesFlashGetjc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:Program FilesFlashGetjc_link.htm
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O15 - Trusted Zone: *.abv.bg
O15 - Trusted Zone: *.comexgroup.com
O15 - Trusted Zone: *.icq.com
O15 - Trusted Zone: *.mtel.bg
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLMSystemCCSServicesTcpip..{BD918DF4-110E-41B8-A055-5D69D6C42FDF}: NameServer = 212.21.128.4 212.21.128.10

В случай, че ви е интересно – сайтовете в Trusted zone съм ги добавил точно за да не ме пита постоянно дали разрешавам стартирането на ActiveX контроли. ICQ.com пък е в списъка, защото използвам web-базираното ICQ2Go, което върви на Java Virtual Machine.

Между другото log файлът ще ви покаже доста красноречиво колко са ви задръстени Windows-ът и браузърът. Ако се логвате много бавно, вижте какво ненужно да махнете от секция 04. Ако Internet Explorer ви е бавен, хвърлете поглед на 02, 03, 08, 09, 12 и 16.

Връщаме се към темата – имате log файл, но какво да правите с нещата, които не знаете точно какво са, независимо дали са текущи процеси, автоматично стартиращи се програми или притурки към браузъра? Имате два варианта, но преди това вижте малко повече информация за log файла тук: http://www.spywareinfo.com/~merijn/htlogtutorial.html

  • вариант “разчитаме на себе си” – използвате сайта www.sysinfo.org. В него се съдържа огромна база данни с имената на програми и надстройки на браузъра. Можете с просто търсене в двата раздела да научите почти всичко какво е, както и дали трябва да го махнете или оставим. За нещата, които не намирате какво са, можете да пуснете един Google.

Практиката показва, че в болшинството от случаите ключът от палатката е в списъка с програми, които се стартират автоматично при пускане на компютъра. Почти винаги гадината, която търсим, се е замаскирала под привидно познато име на системна програма (например regedit.exe, taskmgr.exe, svchost.exe, explorer.exe, winlogon.exe), но особеното е, че се стартира от друга директория, а не от тази, където се намира легитимната Windows-ка програма.

  • вариант “търсим помощ” – след като сме сканирали с антивирусна програма и програма за борба срещу различните ___ware (с последни дефиниции), и все още имате проблем, отивате в този форум: http://forums.spywareinfo.com/index.php. Няма нужда от регистрация, за да пуснете пост. Първо прочетете правилата за ползване! Отидете в секцията “Spyware and Hijackware Removal Support”, копирайте текста на log файла и обяснете какъв точно ви е проблемът. Препоръчително е името на темата, която ще пуснете, да насочва за какво ще става въпрос, а да не е твърде обща. Във форума постоянно се навъртат няколко броя забележителни факири, които ще дадат съвет.

  IV. Полезни линкове

Ако искаш да отвориш някой линк в нов прозорец, задръж натиснат клавиш SHIFT, докато кликаш с мишката върху него.

Тествайте сигурността на интернет браузъра с помощта на този сайт:
http://webtest.scanit.be/bcheck/
Тествайте сигурността на firewall-а с помощта на тези сайтове:
http://www.sygate.com/scan/scan_req.htm
http://stealthtests.lockdowncorp.com/
http://www.hackerwatch.org/probe/
Подробно четиво за това всеки порт за какво служи:
http://grc.com/port_80.htm
Още за портовете:
http://grc.com/x/ne.dll?rh1dkyd2
Онлайн сканиране за adware и malware (не разчитайте много на него, но все пак)
http://www.doxdesk.com/parasite/
Сайтът за download на Ad Aware:
http://www.lavasoft.de
Сайтът за download на Spybot S&D:
http://www.safer-networking.org/
Сайтът SpywareInfo – изключително полезен:
http://www.spywareinfo.com
Сайтът за download на HijackThis, указания:
http://www.spywareinfo.com/~merijn/downloads.html
http://www.spywareinfo.com/~merijn/htlogtutorial.html
Добре поддържан списък с adware и spyware:
http://www.spywareguide.com/product_list_full.php
Сайт за справки за имена на програми и надстройки на браузъра:
http://www.sysinfo.org

Коментари

Можеш да следиш коментарите към този сайт и чрез RSS.

стела gravatar

стела  •  26 юни 2007, 14:39 ч

имам проблем...не мога да отварям някои файлове,игри,музика и т. н.Постоянно ми излиза някакав надпис за ActiveX contols.Пробвах да го инсталирам но и това не варши работа моля за помощ

Иван gravatar

Иван  •  12 юли 2007, 22:56 ч

работя на операционна систем линукс.използвах до скоро isq2go on line isq.от една седмица не мога да го използвам когато се опитвам да се логна от моя комп.когато пробвам от компа на колегата до мен става.къде трябва да пипна за да си го ползвам от моя комп.

Ани gravatar

Ани  •  03 август 2007, 13:48 ч

Имам проблем с колежката.. Постоянно си търси работа в разни job.bg - та от моя комп. Как да забраня влизането в точно определени сайтове. Предварително благодаря...

Димо gravatar

Димо  •  03 август 2007, 13:53 ч

@Ани,

Може да блокираш дадени сайтове примерно така :

1. Отиваш в C:\WINDOWS\system32\drivers\etc

2. Отваряш файла hosts с Notepad.

3. Най-долу добавяш :

0.0.0.0 jobs.bg
0.0.0.0 www.jobs.bg

И така за всички сайтове, които не искаш да могат да се отварят. Всеки сайт е на отделен ред и между нулите и името на сайта има един или няколко интервала.

След като направиш настройките в hosts файла, трябва да рестартираш браузъра си, за да влязат в сила промените :)

Успех :)

Гергана gravatar

Гергана  •  02 октомври 2007, 23:37 ч

Прегледах статията, но видях, че тя е писана 2004 г. Би ли могъл сега да препоръчаш някои антивирусни програми (аз специално си търся хем да са безплатни, хем да са лесни - като за индианци като мен). Дето се вика - всичко сама да прави (програмата). Благодаря предварително!

Марияна gravatar

Марияна  •  27 май 2008, 11:02 ч

Как мога да забраня пренасочване в браузъра си?

Димо gravatar

Димо  •  27 май 2008, 11:45 ч

За Internet Explorer:

Tools > Internet Options > Security > Internet > Custom Level > Allow META refresh - забраняваш го


За Firefox:

Инсталираш Web Developer Toolbar от http://chrispederick.com/ и от него Disable > Disable Meta Redirects

Малин gravatar

Малин  •  26 юли 2008, 14:52 ч

Виждам, че никой не се е сетил да ти поблагодари за хубавата статия.
Аз ще го направя. Благодаря!
Хубавото е, че в нета има и такива като теб, които помагат професионално и не комерсиално.
Поздрави!

Светла gravatar

Светла  •  07 декември 2008, 14:33 ч

Здравейте
Имам проблем, имам инсталиран но Adobe Flash player,немога да си кача видео в настроението на Skype, постоянно ми излиза прозорец да си инсталирам Adobe Flash player - аз го инсталирах но не се получава. Освен това влизайки в някои сайтове ми излиза прозорец "Do you allow Active X.....to run?"

vera gravatar

vera  •  06 март 2009, 21:21 ч

моля помогнете !!!!!!! когато искам да задам skype настроение ми излиза че нямам activeX пита ме дали искам да го изтегля , като го изтегля и инсалирам пак

ani gravatar

ani  •  25 април 2009, 17:00 ч

някой няма ли най-накрая да каже защо вече не можем да си добавяме видео в настроението и как да се оправи този проблем?инсталирах адоб флаш плейер,какво ли не инсталирах и не обнових и пак никакъв ефект и най-странното е че никой незнае какво трябва да се направи и никъде няма информация?дано някой проговори скоро

ani gravatar

ani  •  25 април 2009, 22:02 ч

явно това е тайната на века

ani gravatar

ani  •  26 април 2009, 14:01 ч

и сега след като си направих всички онези настройки за сигурност не мога да отворя клипове дори и във вибокс.

елена gravatar

елена  •  05 май 2009, 13:49 ч

Здравейте мога да влизам в сайтове но немога да отварям никакви файлове, не мога да свалям програми Защо?

ani gravatar

ani  •  08 май 2009, 13:02 ч

тук никой не отговаря

Петя gravatar

Петя  •  19 май 2009, 20:23 ч

Лаптопа ми блокира...аз го изключих от старт копчето без да мога да затворя програмите който бях отворила...от тогава немога да отварям клипове..Смисъл да се излъчват..пробвах в няколко сайта...какво според вас е станало?Имам и друг комп.на него всичко е наред..Благодаря предварително..

Joko gravatar

Joko  •  09 юли 2009, 21:04 ч

Imam ogromen problem.Ne moga da otvarqm klipove nito vuv VBOX7 nito v YOUTUBE.pls ako nqkoi znae re6enieto na problema da pi6e.Blagodarq predvaritelno... :D

Милена Георгиева Маркова gravatar

Милена Георгиева Маркова  •  05 октомври 2009, 08:26 ч

имам проблем с инсталирането на adobe flash плеъра на моя компютър.Какво трябва да направя

Иванова gravatar

Иванова  •  30 ноември 2009, 18:18 ч

Как да забраня порно сайтовете за учениците в мозила?

манчо gravatar

манчо  •  03 януари 2010, 09:27 ч

здравейте.
имам голям проблем. не мога да отворя нито един сайт за антивирусна програма. прозореца моментално се затваря.всичко започна с ъбдеит на аваст.
моля за савет

Димо gravatar

Димо  •  03 януари 2010, 11:01 ч

@манчо - явно имаш вирус или нещо подобно. Ако написаното по-горе в статията (и особено раздел III) не ти помага, трябва да викнеш някой познат, който да погледне на място.

Друг вариант - ако откриеш кои са процесите на вируса, но не можеш да ги убиеш, за да изтриеш файловете, можеш да си вземеш хард-диска, да го вържеш към друг компютър като втори диск и да ги изтриеш през него.

dian gravatar

dian  •  02 юни 2010, 22:38 ч

zashto nemoga da isklu4a laptopa ot menu start .izpisvami
sys fadar ne otgovarya

Faradin gravatar

Faradin  •  10 август 2010, 12:22 ч

По-повод многото хора които имат проблем с ActivX, ако след като сте инсталирали контролера и рефрешнете или рестартирате браузъра все още в сайтовете ви иска този контролер проблема или е в браузъра или имате вирусчета и след преинстал се оправя проблема.
Димо хубава тема но по повод проблема на манчо мисля че идеята ти да го върже като ври хард не е решение защото повечето вируси веднага почват да пълнят и другия хард и така вместо 1 заразените хардове стават 2.
Бих препоръчал да ползваш някоя LifeCD например MiniPE или каквато и да е имаща някакви антивирусни и през него CD да си изтриеш вирусите.
dian незнам колко ти е нова операционната система но или тя се е скапала, или си барнал някой вирусче, но по скоро е първото.

vladislav gravatar

vladislav  •  06 октомври 2010, 17:19 ч

не мога да отворя спортал.бг За да посетите Sportal.bg, Ви е необходим браузър поддържащ JavaScript, който да бъде настроен да приема cookies.

Таня gravatar

Таня  •  28 януари 2012, 18:43 ч

Здравейте имам проблем с интернет постоянно ми излиза certificate error в internet explorer и лентата се оцветява в червено

Димо gravatar

Димо  •  31 януари 2012, 01:21 ч

@Таня - вероятно проблемът се появява с някой определен сайт, който посещаваш често и проблемът е в сайта. Ако си сигурна, че е легитимен, продължавай. Виж и тук:

http://windows.microsoft.com/en-US/windows-vista/About-certificate-errors

flash igri gravatar

flash igri  •  01 февруари 2012, 15:07 ч

@dian Пробвай да задържиш 10 секунди бутона за включване на лаптопа, да го угасиш принудително, ако не стане изкарай батерията и го постави пак.

сайтът е обновен на

(cc) dimodi web.

dimodi web : уебсайт на Димо Димов