שימוש נכון בתוכנה HiJackThis
 המדריך באדיבות דודו (dudubitn) - מנהל קהילת תמיכה טכנית למחשב בנענע

המדריך כולל הסבר כללי, על חלוקת הנושאים והבנתם בדו"ח המתקבל בסריקה של התוכנה hijackthis . ואינו מסביר על תפעול התוכנה. בתחתית המדריך יהיה קישור למדריך שמסביר על תפעול התוכנה.

תוכן המדריך אינו מתאים לתפעול ע"י משתמשים ירוקים במחשבים, וחשוב שרק אנשים בעלי ניסיון בתחום האינטרנט והמחשבים יתעסקו בתוכנה.

 

חלוקה מבנית

המספור והמיקום של הערכים הפועלים בתוכנה(שמייצגים את עבודתם בזמן אמת ברגיסטרי)

לא נעשו כך לחינם. הערכים הנמצאים בתחילת הדו"ח הם בעלי הסיכון הגבוה ביותר לתוכניות ריגול והשתלטות אתרים. וככל שיורדים לאורך הדו"ח כך "רמת הסיכון" יורדת.כלומר: כאשר ישתלט לכם אתר או תוכנה על הדפדפן או שולחן העבודה הם ימוקמו בתחילת הדו"ח ברוב המקרים, בערכים הממוספרים בערך נמוך(01,02,03,04 וכו').

זיהוי והבנת הערכים

 

תחילה, לפני שאתם ניגשים לסמן ערכים לא רצויים, הדבר יתבצע אך ורק לאחר סריקה וניקוי עם תוכנה לניקוי קבצי ריגול.

כי הסרת קבצי ריגול וחוטפי דפדפנים נעשית בצורה המושלמת והטובה ביותר ע"י תוכנות אלה כמו כן לעיתים ניתן להסיר את תוכניות הריגול מ"הוספה והסרה של תוכניות" שבלוח הבקרה. התוכנה hijackthis יעילה במקרים שהתוכנות להסרת קבצי ריגול לא הצליחו להסיר את הטפילים.כעת עליכם להכיר את המחשב שלכם , מערך הקבצים והערכים הפועלים בו.זאת נעשה ע"י מספר בדיקות פשוטות.נפעיל את התוכנה hijackthis ונלחץ על הכפתור scan לקבלת הדו"ח.ונצפה בדו"ח המתקבל.

בדיקה מספר 1- זיהוי התוכנות המותקנות והמוכרות לנו

 

בדיקה זאת תתבצע ע"י בדיקת נתיב הקבצים. לדוגמא נצפה בערך הבא:

O2 - BHO: NAV Helper

- {BDF3E430-B101-42AD-A544-FADC6B084872}

- C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

*02 מספר הערך שמציין קובץ של תוכנה שעובדת עם הדפדפן.

*ומוגדר כnav helper כלומר עזרה של הנורטון אנטי וירוס.

*המספר הארוך שמגיע לאחר מכן מציין את מיקום הערך במערך הרגיסטרי.

*וכאן מגיע הדבר שחשוב לכם: מיקום שממנו מגיע הקובץ הפעיל:C:\Program Files\Norton Internet Security Professional\Norton AntiVirusהמיקום הזה מוכר לנו והוא מדבר על התוכנה נורטון אינטרנט סקיוריטי פרו.

ולכן הקובץ הזה יחשב מבחינתנו כבטוח כי הוא מגיע מתיקיה בטוחה ומוכרת לנו.- נתקלתם בנתיב של תוכנה שלא מוכרת לכם?

 

אל תתעצלו גשו לנתיב פיזית דרך "המחשב שלי" וצפו בקבצים הנמצאים בתיקיה של התוכנה אולי תתקלו באייקון של התוכנה או הפעילו את קובץ ההפעלה (אם ישנו כזה כמובן) וראו באיזו תוכנה מדובר. ואז תזכרו מהיכן היא מגיעה.(למעט הנתיבים הבאים windows ,windows\system ,windows\system32או כל נתיב המתחיל בתיקיית הwindows.)

בדיקה מספר 2 - זיהוי התהליכים הפעילים ברקעבנוסף לערכי הרגיסטרי המוצגים ע"י התוכנה hijackthis ישנם הקבצים הפעילים ברקע שעולים עם הפעלת המחשב, ואלה שפועלים ברקע בהתאם לתוכנות שהפעלנו ידניתוהפועלות בזמן אמת.כדיי לקבל רשימה מלאה גם של הערכים וגם של הקבצים הפעילים יש ללחוץ בתוכנה hijackthis על scan ולאחר מכן על save log . ייווצר קובץ טקסט שיתן דו"ח מלא.בתחילת הדו"ח יופיעו הקבצים הפעילים ברקע. ולאחר מכן הערכים.

כעת עלינו לזהות את "מפעיל הקבצים". האם אלה קבצי מערכת ההפעלה או קבצים של תוכנות בשליטת המשתמש במחשב.

לכן נצטרך להפעיל את מנהל המשימות:

Xp\2000 - מקש ימני על סרגל הכלים התחתון-מנהל המשימות-לשונית תהליכים.

98\me- לחיצה על המקשים alt+ctrl+del - בחירה במנהל המשימות.

 

יש לשים לב לקישור התהליכים.

1)כלומר הקבצים שיהיו שייכים למערכת ההפעלה יקושרו בשמות הבאים: system ,local service ,network. ב99% מהמקרים הקבצים האלה בטוחים ומאובטחים.

 

2)כל שאר הקבצים יקושרו לשם המשתמש שלנו או administrator. ואלה קבצים של תוכנות שאנחנו התקנו, אבל קבצי טפילים ווירוסים יפעלו בד"כ בקישור לשם המשמש שלנו.

 

לסיכום: קבצים שאיתרנו כשייכים למערכת ההפעלה יחשבו מבחינתנו כבטוחים.

שאר הקבצים שמקושרים לשם משתמש "יעברו" את בדיקה מספר 1 המוזכרת לעיל.

קבצים שאיתרנו כשייכים לשם המשתמש שלנו אבל לא זיהנו אותם כמוכרים לנו או לתוכנה המוכרת לנו יש לעבור לבדיקה מספר 3.

 

בדיקה מספר 3 - זיהוי קבצים וערכים שלא מוכרים לנו

 

הבדיקה הבאה מצריכה מעט "הגדלת ראש" ,היא לא מוחלטת או בטוחה לחלוטין ומצריכה ידע מוקדם באנגלית והתמצאות באינטרנט.

איתרנו ערך או קובץ ולא הצלחנו לקבוע לאיזו אפליקציה הוא שייך. ואנו חושדים בו כקובץ ריגול או מזיק. נבצע את התהליך הבא:

ניגש למנוע החיפוש google . ונבצע חיפוש של שם הקובץ או הערך.

לדוגמא:csrss.exe שמופיע במנהל המשימות-תהליכים.

התקבלה התוצאה שהקובץ הנ"ל הוא קובץ של מערכת ההפעלה.

 

טיפ: בד"כ קבצי מערכת מוכרים וקבצי תוכנות נפוצות -בחיפוש בגוגל- יופיעו בתוצאות החיפוש ע"י האתר http://www.liutilities.com/products/wintaskspro/processlibrary

עם הכותרת csrss - csrss.exe - Process Information זהו אתר המתמחה בזיהוי קבצים וערכים. ולכן נעדיף אותו כמקור ראשון לפירוט תפקוד הקובץ.

 

עוד אתרים המתמחים בתחום:

http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

קבצי מזיקים מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/security/

קבצי מערכת בטוחים מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/system/

קבצי תוכנות בטוחות מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/application/

 

 

*במידה וחיפשנו מידע על קובץ וקיבלנו תוצאה לא ברורה יש לעבור אתר ,אתר ולקרוא ולמצוא פירוט מקסימלי על שם הקובץ, קבצי תוכנות בטוחות יעלו את שם האתר המשווק אותם.

בד"כ קבצי ריגול ווירוסים יופיעו באתרים המטפלים בהם.

ונדירים המקרים בהם לא תמצאו פירוט על קובץ בטוח.

במידה ולא קיבלתם שום תוצאה בחיפוש מידע על קובץ או ערך מסוים ב99% מהמקרים זהו קובץ ריגול או טפיל.

 

 

 

טיפול ומחיקת ערכים וקבצים

 

טיפול בקבצים

כאשר איתרנו קובץ של תוכנית ריגול,טפיל ,או וירוס(אך ורק אם מדובר בקובץ של הוירוס עצמו ולא קובץ תמים שנדבק בוירוס), יש תחילה לסיים את הפעילות שלו(במידה והיא קיימת) במנהל המשימות. סימונו בלשונית תהליכים ו"סיים משימה".

לאחר מכן יש לאתר אותו ע"י "חיפוש" -התחל-חיפוש-קבצים ותיקיות-כל הקבצים והתיקיות. ולמחוק אותו. במידה ופעולת המחיקה נידחת ע"י מערכת ההפעלה , יש לבצע את הפעולה במצב בטוח.

כמו כן יש לבטל את עלייתו עם הפעלה המחשב.

התחל-הפעלה-msconfig ואישור.

לשונית אתחול. הורדת סימונו. ואישור.

 

טיפול בערכי ריגול וטפילים

 

הטיפול בערכים האלה יעשה ע"י התוכנה hijackthis . נפעיל אותה ונבחר בscan .

נאתר את הערך או הערכים הבעייתיים ונסמן אך ורק את השורה השייכת לו.

לסיום ולמחיקתו נבחר בfix . נאשר את תיבת הדו שיח שתפתח ונפעיל את המחשב מחדש .

*לאחר מכן היכן שממוקם הקובץ של התוכנה hijackthis ייווצרו מספר קבצי גיבוי. למקרה שנרצה לגבות מידע שגוי שנמחק.

 

טיפול בערכי activex

 

בתחתית הדו"ח של hijackthis בערכים שיסומנו במספר 016 יופיעו ערכי הactivex שאלו הן תוכנות עזר לדפדפן לעבודה מול אתרים מסוימים.

הסרתם תתבצע בדרך הבאה: בדפדפן-כלים-אפשרויות אינטרנט-הגדרות-הצגת אובייקטים-מקש ימני על האובייקט הבעייתי ובחירה ב"הסרה".

 

טיפול בערכים כלליים

 

לעיתים גם לאחר הסרת תוכנה בטוחה ומוכרת לנו, נשארים במחשב שאריות ממנה למרות שהסרנו אותה בצורה מסודרת ומחקנו את התיקייה שלה. יהיה ניתן ע"י סימון הערכים בתוכנה hijackthis להתפטר ממנה. ע"י סימון הערכים שקשורים אליה. ובחירה בfix .

 

 

מידע כללי

 

התהליך המוסבר פה יהיה לכמה מבינכם מסובך וארוך אבל עם הזמן לאחר מספר צפיות בדו"ח של hijackthis תלמדו כבר לזהות את התהליכים הקבועים והמוכרים במחשב שלכם(כי הם חוזרים על עצמם) ותוכלו במשך הזמן לזהות ביתר קלות תהליכים לא רצויים.

חשוב לבצע כל שבוע סריקה עם תוכנה לניקוי קבצי ריגול ועם אנטי וירוס.

בזמן פעילות במחשב כל מספר שעות לבדוק שכל התהליכים במנהל המשימות מוכרים לכם.

השתמשו בfirewall ואל תחשבו שאתם מוגנים ע"י מישהו. הגנו על עצמכם ותחזקו את המחשב. ע"י ניקוי קבצים זמניים אך ורק ע"י תוכנות שמתמחות בכך. בצעו ניקוי רגיסטרי לרישומים וערכים לא פעילים גם על ידי תוכנות שמתמחות בכך.

סריקה לסוסים טרויאנים מומלצת כל שבועיים.

איחוי הכונן הקשיח מומלץ לאנשים שמורידים הרבה קבצים ויש תנועת קבצים גדולה במחשב שלהם. האיחוי מומלץ כל 3 חודשים.

למשתמשי xp : לעולם אל תדלגו על פעולת סורק הדיסק(מתקן השגיאות) שמופיעה לפני הפעלת המחשב !

הפעולה הזאת מתבצעת בעקבות שגיאת מערכת או כיבוי לא נכון של המחשב. הפעולה הזאת מאוד יעילה ומתקנת קבצים שנפגמו.

מעבר לכך תיזמו ידנית פעם בחודש סריקה כזאת.

 

כעת לחובבי הפורנו, התוכנות החינמיות(פרוצות כמובן), והקראקים: האתרים האלה מנצנצים ומושכים את העין אבל הם בוודאות לא מתאימים לכל אחד ! 90% מהם מכילים את רוב הקבצי ריגול וחוטפי הדפדפנים בהם אתם נתקלים. לכן לפני כל כניסה לאתרים מעין אלו חישבו פעמיים ובדקו אם אתה מוגנים. ההגנה הטובה ביותר היא לא לאשר שום דבר באתרים כאלה שאתם לא מכירים, ולהשתמש בתוכנת firewall בעלת תכונות לחסימת activex ואפליקציות java .

 

 

קישורים

 

התוכנה hijackthis

http://www.mjc1.com/files/merijn/HijackThis.exe

 

התוכנה לניקוי קבצי ותוכניות ריגול spysweeper

http://www.webroot.com/php/tryme.php?bjpc=64000&vcode=DT02

 

המדריך של rotem לתפעול האפשרויות בתוכנה hijackthis

http://images.nana.co.il/Upload/42004/ForumMessageAttachments/ForumMessageFile_399219.doc

 

 

 

אזהרה: כותב המדריך ומפרסמיו , אינם אחראיים לכל נזק שיגרם בעקבות השימוש במדריך. ולכן מסירים מעצמם כל לקיחת אחריות. האחריות היא על המשתמש בתוכנה hijackthis וקורא המדריך בלבד. המדריך אינו מתיימר לקבוע עובדות או להיות ברמה גבוהה. המדריך נכתב על פי דעתו והבנתו של הכותב. זהירות מרבית דרושה לשימוש במדריך ובתוכנה הנ"ל.