Како да ги анализирате HijackThis дневниците

Толкување на податоци за дневникот за да се отстранат отстранувачите на шпионски и прелистувач

HijackThis е бесплатна алатка од Trend Micro. Првично беше развиен од Меријн Беллеком, студент во Холандија. Spyware отстранување софтвер, како што се Adaware или Spybot S & D прават добра работа за откривање и отстранување на повеќето програми за шпионски софтвер, но некои киднапери за шпионски и прелистувач се премногу подмолно за дури и овие големи анти-шпионски комунални услуги.

HijackThis е напишано специјално за откривање и отстранување на прелистувачот hijacks, или софтвер кој го презема вашиот веб прелистувач, ја менува вашата стандардна почетна страница и пребарувач и други малициозни работи. За разлика од типичниот анти-шпионски софтвер, HijackThis не користи потписи или насочува специфични програми или URL-то за откривање и блокирање. Наместо тоа, HijackThis бара трикови и методи кои се користат од малициозен софтвер за да го заразат вашиот систем и да го пренасочат вашиот прелистувач.

Не е сè што се појавува во дневникот HijackThis е лоша работа и не треба сите да се отстранат. Всушност, сосема спротивното. Речиси е гарантирано дека некои од елементите во вашите дневници на HijackThis ќе бидат легитимен софтвер и отстранувањето на тие елементи може негативно да влијаат на вашиот систем или да го направат целосно неисправни. Користејќи HijackThis е многу слично на уредување на регистарот на Windows себе. Тоа не е ракета наука, но дефинитивно не треба да го сторите тоа без некои стручни насоки, освен ако навистина знаете што правите.

Откако ќе го инсталирате HijackThis и ќе го стартувате за да генерирате датотека за евиденција, постојат широк спектар на форуми и сајтови каде што можете да ги објавувате или поставувате податоците од дневникот. Експертите кои знаат што да бараат, потоа може да ви помогнат да ги анализирате податоците за дневникот и да ве известите за тоа кои предмети да ги отстраните и кои да остават сами.

За да ја преземете тековната верзија на HijackThis, можете да ја посетите официјалната страница на Trend Micro.

Еве еден преглед на записите од дневникот на HijackThis кои можете да ги користите за да скокнете до информациите што ги барате:

• R0, R1, R2, R3 - Интернет пребарувач URL страници за старт / пребарување
• F0, F1 - програми за автоматско вчитување
• N1, N2, N3, N4 - Netscape / Mozilla Старт / Барај страници URL-и
• О1 - Пренасочува датотека со датотеки
• O2 - Објекти за помош на прелистувачот
• O3 - алатки за Internet Explorer
• O4 - Програми за автоматско вчитување од Регистарот
• O5 - IE Опции икона не е видлива во Control Panel
• O6 - IE Опции за пристап е ограничен од страна на администраторот
• O7 - Пристапот на Regedit е ограничен од страна на администраторот
• O8 - Дополнителни ставки во десен клик на менито IE
• O9 - Екстра копчиња на главната лента со алатки на IE, или екстра елементи во менито IE "Tools"
• О10 - киднаперот на Винсон
• O11 - Екстра група во IE прозорецот "Напредни опции"
• O12 - IE приклучоци
• О13 - IE DefaultPrefix киднапирање
• О14 - "Ресетирај веб-поставки" киднапирање
• O15 - Несакано место во Trusted Zone
• О16 - Објекти за ActiveX (преземени програмски датотеки)
• О17 - киднапери на доменот Lop.com
• O18 - Екстра протоколи и киднапери на протоколи
• O19 - киднапирање на стилски лист
• O20 - AppInit_DLLs Регистар вредност автоматски
• O21 - ShellServiceObjectDelayLoad регистарски клуч автоматски
• O22 - кратенка за регистар на SharedTaskScheduler

• O23 - Услуги за Windows NT

R0, R1, R2, R3 - IE Старт и Барај страници

Како изгледа:
R0 - HKCU \ Софтвер \ Мајкрософт \ Интернет експлорер \ Главно, Стартувај страница = http://www.google.com/
R1 - HKLM \ Софтвер \ Мајкрософт \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (овој тип не го користи HijackThis уште)
R3 - Стандарден URL за пребарување не е наведен

Што да се прави:
Ако го препознаете URL-то на крајот како вашата почетна страница или пребарувач, во ред е. Ако не, проверете го и ќе го поправите HijackThis. За R3 ставки, секогаш ги поправајте, освен ако не спомнува некоја програма што ја препознавате, како што е Коперник.

F0, F1, F2, F3 - Програми за автоматско вчитување од INI датотеки

Како изгледа:
F0 - system.ini: Shell = Explorer.exe Openme.exe
Ф1 - win.ini: run = hpfsched

Што да се прави:
Точките F0 се секогаш лоши, па ги поправите. На F1 ставки се обично многу стари програми кои се безбедни, па треба да најдете некои повеќе информации за името на датотеката за да видат дали е добро или лошо. Листата за подигнување на Pacman може да помогне при идентификување на ставка.

N1, N2, N3, N4 - Netscape / Mozilla Старт & amp; Страница за пребарување

Како изгледа:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ Корисник \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ Корисник \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Што да се прави:
Обично страниците на Netscape и Mozilla и страната за пребарување се безбедни. Тие ретко се киднапираат, само за Лок.com е познато дека го прават тоа. Ако видите URL-адреса што не ја препознавате како вашата почетна страница или страница за пребарување, HijackThis ја исправи.

O1 - Пренасочувања на Hostsfile

Како изгледа:
O1 - Домаќин: 216.177.73.139 auto.search.msn.com
O1 - Домаќин: 216.177.73.139 search.netscape.com
O1 - Домаќин: 216.177.73.139 ieautosearch
O1 - датотеката на домаќините се наоѓа на C: \ Windows \ Help \ hosts

Што да се прави:
Ова киднапирање ќе ја пренасочи адресата на десно кон IP адресата лево. Ако IP адресата не припаѓа на адресата, ќе бидете пренасочени на погрешно место секогаш кога ќе ја внесете адресата. Секогаш можете да го поправите HijackThis овие, освен ако свесно не ги ставите овие линии во датотеката на домаќинот.

Последната точка понекогаш се појавува на Windows 2000 / XP со инфекција Coolwebsearch. Секогаш поправете ја оваа ставка или автоматски ја поправите CWShredder.

O2 - Објекти за помош на прелистувачот

Како изгледа:
О2 - БХО: Јаху! Придружник BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ датотеки на програмата \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (без име) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ датотеки на програми \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (недостасува датотека)
O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ датотеките на програмата \ ПОВТОРНИ МЕДИУЛАЦИИ \ ME1.DLL

Што да се прави:
Ако не го препознаете директно името на предметот Помошник на помошник, користете ја листата на BHO & Toolbar на TonyK за да го пронајдете според класата ID (CLSID, бројот меѓу заоблени загради) и да види дали е добар или лош. Во листата на BHO, "X" значи шпионски софтвер и "L" значи безбедно.

О3 - ИЕ алатници

Како изгледа:
O3 - Toolbar: & Yahoo! Придружник - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ датотеки на програмата \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ датотеки на програми \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (недостасува датотека)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Што да се прави:
Ако не го препознаете директно името на алатникот, користете ја листата на BHO & Toolbar на TonyK за да ја пронајдете според класата ID (CLSID, бројот помеѓу кадрави загради) и да види дали е добар или лош. Во листата со алатки, 'X' значи шпионски софтвер и 'L' значи безбедно. Ако не е на списокот и името се чини дека е случајна низа на знаци и датотеката е во папката "Апликациски податоци" (како последната во примерите погоре), веројатно е Lop.com, а дефинитивно треба да имате HijackThis fix тоа.

O4 - Програми за автоматско вчитување од регистар или група за стартување

Како изгледа:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - подигнување: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Глобална подигнување: winlogon.exe

Што да се прави:
Користете PacMan's Startup List за да го најдете записот и да видат дали е добро или лошо.

Ако елементот прикажува програма што седи во групата за стартување (како последната ставка погоре), HijackThis не може да го поправи предметот ако оваа програма е сеуште во меморија. Користете го Windows Task Manager (TASKMGR.EXE) за да го затворите процесот пред да го поправите.

O5 - IE Опциите не се видливи во контролен панел

Како изгледа:
O5 - control.ini: inetcpl.cpl = не

Што да се прави:
Освен ако вие или вашиот систем администратор свесно не ја скриете иконата од контролен панел, поправете го HijackThis.

O6 - IE Опции за пристап е ограничен од страна на администраторот

Како изгледа:
О6 - HKCU \ Софтвер \ Политики \ Microsoft \ Internet Explorer \ Ограничувања присутни

Што да се прави:
Освен ако немате опција "Lock homepage од промените" опцијата Spybot S & D, или вашиот систем администратор го стави ова на место, HijackThis го поправите ова.

O7 - Пристапот на Regedit е ограничен од страна на администраторот

Како изгледа:
O7 - HKCU \ Софтвер \ Microsoft \ Windows \ CurrentVersion \ Политики \ Систем, DisableRegedit = 1

Што да се прави:
Секогаш има HijackThis поправете го ова, освен ако вашиот систем администратор не го стави ова ограничување во место.

O8 - Дополнителни ставки во десен клик на менито IE

Како изгледа:
O8 - ставка за дополнителен контекст менито: & Google Барај - res: / / C: \ WINDOWS \ Преземени датотеки на програмата \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - ставка за дополнителен контекст мени: Yahoo! Пребарување - датотека: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - ставка за дополнителен контекст мени: Зумирај и во - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - ставка за дополнителен контекст мени: Зумирај O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Што да се прави:
Ако не го препознаете името на ставката во менито со десен клик во IE, ќе го поправите HijackThis.

O9 - Екстра копчиња на главната IE лента со алатки, или екстра елементи во IE & # 39; Алатки & # 39; мени

Како изгледа:
O9 - Екстра копче: Месинџер (HKLM)
O9 - Екстра 'Tools' менито: Messenger (HKLM)
O9 - Екстра копче: AIM (HKLM)

Што да се прави:
Ако не го препознаете името на копчето или елемент од менито, поправете го HijackThis.

О10 - киднапери на Винсон

Како изгледа:
О10 - Укинат интернет пристап од New.Net
O10 - Скршен пристап до интернет поради провајдерот на LSP "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll" недостасува
O10 - Непозната датотека во Winsock LSP: c: \ program files \ newton знае \ vmain.dll

Што да се прави:
Најдобро е да ги исправиме овие со помош на LSPFix од Cexx.org или Spybot S & D од Kolla.de.

Имајте на ум дека "непознат" датотеки во LSP стекот нема да бидат утврдени од страна на HijackThis, за безбедносни прашања.

O11 - Екстра група во IE Advanced Settings & # 39; прозорец

Како изгледа:
O11 - Опција група: [CommonName] CommonName

Што да се прави:
Единствениот киднапер од сега, кој додава своја сопствена група на опции во прозорецот за пронаоѓање на IE, е CommonName. Значи, секогаш може да го поправите HijackThis ова.

O12 - IE приклучоци

Како изгледа:
O12 - Приклучок за .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Приклучок за .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Што да се прави:
Поголемиот дел од времето овие се безбедни. Само OnFlow додава приклучок тука што не сакате (.ofb).

О13 - IE DefaultPrefix киднапирање

Како изгледа:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Префикс на WWW: http://prolivation.com/cgi-bin/r.cgi?
О13 - WWW. Префикс: http://ehttp.cc/?

Што да се прави:
Овие се секогаш лоши. Дали HijackThis ги поправам.

O14 - Ресетирај ги веб-поставувањата & # 39; киднапирање

Како изгледа:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Што да се прави:
Ако URL-то не е снабдувач на вашиот компјутер или вашиот интернет провајдер, го поправите HijackThis.

O15 - Несакани локации во доверлива зона

Како изгледа:
О15 - Доверлива зона: http://free.aol.com
О15 - Доверлива зона: * .coolwebsearch.com
О15 - Доверлива зона: * .msn.com

Што да се прави:
Поголемиот дел од времето само AOL и Coolwebsearch молчи додаваат сајтови до доверливата зона. Ако не сте го додале наведениот домен на доверливата зона себе си, поправете го HijackThis тоа.

О16 - Објекти за ActiveX (преземени програмски датотеки)

Како изгледа:
О16 - ДПФ: Јаху! Чет - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Што да се прави:
Доколку не го препознаете името на објектот, или URL-то што е преземено од него, поправете го HijackThis. Ако името или URL-то содржи зборови како 'dialer', 'casino', 'free_plugin' итн, дефинитивно го поправам. Javacool's SpywareBlaster има огромна база на податоци за злонамерен ActiveX-објект кој може да се користи за пребарување на CLSID-и. (Притиснете десен-клик на листата за да ја користите функцијата Најди.)

О17 - домените на доменот Lop.com

Како изгледа:
O17 - HKLM \ Систем \ CCS \ Услуги \ VxD \ MSTCP: Домен = aoldsl.net
O17 - HKLM \ Систем \ CCS \ Услуги \ Tcpip \ Параметри: Домен = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Телефонија: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Домен = W21944.find-quick.com
O17 - HKLM \ Систем \ CS1 \ Услуги \ Tcpip \ Параметри: SearchList = gla.ac.uk
O17 - HKLM \ Систем \ CS1 \ Сервиси \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Што да се прави:
Доколку доменот не е од вашиот интернет провајдер или од мрежата на компанија, поправете го HijackThis. Истото важи и за записите "Барај листа". За внесувања на "NameServer" ( DNS сервери ), Google за IP или IP адреси и ќе биде лесно да се види дали се добри или лоши.

O18 - Екстра протоколи и киднапери на протоколи

Како изгледа:
O18 - Протокол: сродни врски - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - киднапирање на протоколот: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Што да се прави:
Само неколку киднапери се појавуваат овде. Познатите лоши луѓе се 'cn' (CommonName), 'ayb' (Lop.com) и 'relatedlinks' (Huntbar), треба да ги поправите HijackThis. Други работи што се појавуваат или се уште не се потврдени безбедно или се киднапирани (т.е. CLSID е променето) од шпионски софтвер. Во последниот случај, HijackThis го поправите.

O19 - киднапирање на стилски лист

Како изгледа:
O19 - Лист за стилот на корисникот: c: \ WINDOWS \ Java \ my.css

Што да се прави:
Во случај на забавување на прелистувачот и чести скокачки прозорци, HijackThis ја поправите оваа ставка ако се појавува во дневникот. Сепак, бидејќи само Coolwebsearch го прави ова, подобро е да го користите CWShredder за да го поправите.

O20 - AppInit_DLLs Регистар вредност автоматски

Како изгледа:
O20 - AppInit_DLLs: msconfd.dll

Што да се прави:
Оваа вредност на регистрите се наоѓа во HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows вчитува DLL во меморија кога корисникот се најавува, по што останува во меморијата сè додека не се добие лозинката. Многу малку легитимни програми го користат (Norton CleanSweep користи APITRAP.DLL), најчесто се користи од тројанци или агресивни прекршители на пребарувачи.

Во случај на "скриено" DLL вчитување од оваа вредност на регистерот (видливо само кога се користи опцијата "Измени бинарни податоци" во Regedit), името на DLL може да биде префикс со цевка '|' за да биде видлива во дневникот.

O21 - ShellServiceObjectDelayLoad

Како изгледа:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Што да се прави:
Ова е недокументирана метода за автоматско работење, која вообичаено се користи од неколку компоненти на Windows. Ставките наведени во HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad се вчитани од Explorer кога Windows започнува. HijackThis користи бела листа од неколку многу вообичаени SSODL ставки, па секогаш кога елементот е прикажан во дневникот, тој е непознат и можеби злонамерни. Третирај со голема грижа.

O22 - SharedTaskScheduler

Како изгледа:
O22 - SharedTaskScheduler: (без име) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Што да се прави:
Ова е недокументиран автоматски за Windows NT / 2000 / XP, кој се користи многу ретко. Досега само CWS.Smartfinder го користи. Однесувајте се кон грижа.

O23-NT Услуги

Како изгледа:
O23 - Сервис: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Лични Firewall \ persfw.exe

Што да се прави:
Ова е листа на услуги кои не се Microsoft. Списокот треба да биде ист како и оној што го гледате во Msconfig-програмата на Windows XP. Неколку тројански киднапери користат домашна услуга во доделувањето на други стартапи за повторно инсталирање. Целосното име обично е важно - звучи како "Служба за мрежна безбедност", "Служба за логирање на работна станица" или "Далечински процедури за повик помошник", но внатрешното име (помеѓу загради) е низа ѓубре, како што е "Ort". Вториот дел од линијата е сопственик на датотеката на крајот, како што се гледа во својствата на датотеката.

Имајте на ум дека одредувањето на ставка О23 само ќе ја прекине услугата и ќе ја оневозможи. Услугата треба да биде избришана од регистарот рачно или со друга алатка. Во HijackThis 1.99.1 или повисоко, за ова може да се користи копчето 'Избриши NT Service' во делот Misc Tools.