Kaip analizuoti HijackThis žurnalus

Žurnalo duomenų interpretavimas, siekiant pašalinti šnipinėjimo programas ir naršyklių grobikus

"HijackThis" yra nemokamas "Trend Micro" įrankis. Iš pradžių jį sukūrė Merijnas Bellekomas, studentas Nyderlanduose. Šnipinėjimo programų šalinimo programinė įranga, pvz., "Adaware" arba "Spybot S & D", gerai atlieka daugelio šnipinėjimo programų aptikimą ir pašalinimą, tačiau kai kurie šnipinėjimo programų ir naršyklių užgrobėjai yra pernelyg klastingi net ir šioms puikioms anti-spyware programoms.

HijackThis yra parašyta specialiai aptikti ir pašalinti naršyklės hijacks, arba programinę įrangą, kuri perima jūsų žiniatinklio naršyklę, pakeičia numatytąjį pagrindinį puslapį ir paieškos variklį bei kitus kenkėjiškus dalykus. Skirtingai nuo įprastos anti-spyware programinės įrangos, "HijackThis" nenaudoja parašų arba taiko bet kurias konkrečias programas ar URL, kad aptiktų ir blokuotų. Greičiau, "HijackThis" ieško būdų ir metodų, kuriuos naudoja kenkėjiška programa, kad užkrėsti jūsų sistemą ir nukreipti naršyklę.

Ne viskas, kas pasirodo "HijackThis" žurnale, yra blogas dalykas, ir jis neturėtų būti pašalintas. Tiesą sakant, gana priešingai. Tai beveik užtikrinta, kad kai kurie "HijackThis" žurnalų elementai bus teisėta programinė įranga, o jų pašalinimas gali neigiamai paveikti jūsų sistemą arba padaryti ją visiškai neveikiančią. "HijackThis" naudojimas yra daug panašus į " Windows" registro redagavimą patys. Tai nėra raketų mokslas, bet jūs tikrai neturėtumėte tai daryti be specialistų patarimų, nebent jūs tikrai žinote, ką darai.

Įdiegę "HijackThis" ir paleiskite jį, kad sugeneruotumėte žurnalo failą, yra įvairių forumų ir svetainių, kuriose galite paskelbti ar įkelti žurnalo duomenis. Tada ekspertai, kurie žino, ko ieškoti, gali padėti jums analizuoti žurnalo duomenis ir patarti, kuriuos elementus reikia pašalinti ir kurie iš jų palikti atskirai.

Norėdami atsisiųsti dabartinę "HijackThis" versiją, galite apsilankyti oficialioje "Trend Micro" svetainėje.

Štai HijackThis žurnalo įrašų apžvalga, kurią galite naudoti norėdami pereiti prie informacijos, kurios ieškote:

• R0, R1, R2, R3 - "Internet Explorer" pradžios / paieškos puslapių URL
• F0, F1 - automatinio paleidimo programos
• N1, N2, N3, N4 - Netscape / Mozilla pradžios / paieškos puslapių URL
• O1 - failų persiuntimas kompiuteriuose
• O2 - naršyklės pagalbiniai objektai
• O3 - "Internet Explorer" įrankių juostos
• O4 - automatinio paleidimo programos iš registro
• O5 - IE parinkčių piktograma nematoma Valdymo skydelyje
• O6 - IE prieigos parinktys, kurias apribojo administratorius
• O7 - "Regedit" prieiga, kurią apribojo administratorius
• O8 - papildomi elementai IE dešiniuoju pelės mygtuku spustelėkite meniu
• O9 - papildomi mygtukai pagrindinėje IE mygtukų juostoje arba papildomi elementai meniu IE "Tools"
• O10 - "Winsock" užgrobėjas
• O11 - Papildoma grupė IE "Išplėstinės parinktys" lange
• O12 - IE papildiniai
• O13 - IE DefaultPrefix hijack
• O14 - užgrobimas "Atkurti žiniatinklio nustatymus"
• O15 - nepageidaujama svetainė patikimoje zonoje
• O16 - "ActiveX" objektai (dar žinomi kaip atsisiunčiami programos failai)
• O17 - "Lop.com" domeno naikintuvai
• O18 - papildomi protokolai ir proto naikintuvai
• O19 - naudotojo stiliaus lentelės pagrobimas
• O20 - AppInit_DLLs registro reikšmės autorun
• O21 - "ShellServiceObjectDelayLoad" registro raktas autorun
• O22 - "SharedTaskScheduler" registro rakto autorun

• O23 - "Windows NT" paslaugos

R0, R1, R2, R3 - IE pradžios ir paieškos puslapiai

Kaip tai atrodo:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Pradinis puslapis = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (šis tipas dar nėra naudojamas "HijackThis")
R3 - Numatytasis URLSearchHook trūksta

Ką daryti:
Jei galų gale pamatysite URL kaip pagrindinį puslapį arba paieškos variklį, tai gerai. Jei to nepadarėte, patikrinkite jį ir turite "HijackThis". R3 daiktams visada juos taisykite, jei nenurodoma programa, kurią atpažįstate, pvz., "Copernic".

F0, F1, F2, F3 - Autoloading programos iš INI failų

Kaip tai atrodo:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Ką daryti:
F0 elementai visada blogi, todėl juos pataisykite. F1 elementai paprastai yra labai senos programos, kurios yra saugios, todėl turėtumėte rasti daugiau informacijos apie failo vardą, kad pamatytumėte, ar tai geras ar blogas. "Pacman" paleisties sąrašas gali padėti identifikuojant daiktą.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Paieškos puslapis

Kaip tai atrodo:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - "Netscape 6": user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "variklis: //C% 3A% 5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Ką daryti:
Paprastai "Netscape" ir "Mozilla" pagrindinis puslapis bei paieškos puslapis yra saugūs. Jie retai gauna pagrobtą, tik žinoma, kad tai padarė Lop.com. Jei pamatysite URL, kurio neatpažįstate kaip pagrindinį puslapį ar paieškos puslapį, turėkite "HijackThis".

O1 - "Hostsfile" peradresavimai

Kaip tai atrodo:
O1 - Kompiuteriai: 216.177.73.139 auto.search.msn.com
O1 - Kompiuteriai: 216.177.73.139 search.netscape.com
O1 - Kompiuteriai: 216.177.73.139 ieautosearch
O1 - Kompiuterių failas yra C: \ Windows \ Help \ hosts

Ką daryti:
Šis pagrobimas nukreipia adresą į dešinę į IP adresą kairėje. Jei IP nepriklauso adresui, bet kada įveskite adresą, būsite nukreipti į neteisingą svetainę. Jūs visada galite turėti "HijackThis" taisyti, išskyrus tuos atvejus, kai sąmoningai įdėjote šias eilutes į savo "Hosts" failą.

Paskutinis elementas kartais būna "Windows 2000 / XP" naudojant "Coolwebsearch" infekciją. Visada sureguliuokite šį elementą arba turite CWShredder ją automatiškai ištaisyti.

O2 - naršyklės pagalbiniai objektai

Kaip tai atrodo:
O2 - BHO: "Yahoo!" Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (be pavadinimo) - (1A214F62-47A7-4CA3-9D00-95A3965A8B4A) - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (failas trūksta)
O2 - BHO: MediaLoads Enhanced - (85A702BA-EA8F-4B83-AA07-07A5186ACD7E) - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Ką daryti:
Jei tiesiogiai nepripažįsite "Browser Helper" objekto pavadinimo, naudokite "TonyK" BHO ir įrankių juostos sąrašą, kad jį surastumėte pagal klasės ID (CLSID, skaičių tarp garbanotų skliaustų) ir sužinokite, ar tai geras ar blogas. BHO sąraše "X" reiškia šnipinėjimo programą, o "L" reiškia saugų.

O3 - IE įrankių juostos

Kaip tai atrodo:
O3 - įrankių juosta: & Yahoo! Kompanionas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - įrankių juosta: iškylančiųjų eliminatorių - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (failas trūksta)
O3 - įrankių juosta: rzillcgthjx - (5996aaf3-5c08-44a9-ac12-1843fd03df0a) - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Ką daryti:
Jei tiesiogiai nepripažinsite įrankių juostos pavadinimo, naudokite TonyK BHO ir įrankių juostos sąrašą, kad jį surastumėte pagal klasės ID (CLSID, skaičius tarp garbanotų skliaustų) ir įsitikinkite, ar tai geras ar blogas. "Toolbar" sąraše "X" reiškia šnipinėjimo programą, o "L" reiškia saugų. Jei sąraše nėra sąrašo ir pavadinimas atrodo atsitiktine simbolių eilute, o failas yra aplanke "Application Data" (pvz., Paskutinis iš pateiktų pavyzdžių), tai greičiausiai Lop.com, ir jūs tikrai turėtų turėti "HijackThis išspręsti" tai

O4 - automatinio paleidimo programos iš registro arba paleidimo grupės

Kaip tai atrodo:
O4 - HKLM \ .. \ Vykdyti: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Paleisti: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Paleisti: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - paleistis: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - visuotinis paleidimas: winlogon.exe

Ką daryti:
Naudokite "PacMan" paleisties sąrašą, kad surastumėte įrašą ir pamatytumėte, ar jis yra geras ar blogas.

Jei elementas rodo programą, kuri sėdi paleisties grupėje (kaip ir paskutinis elementas aukščiau), HijackThis negali išspręsti elemento, jei ši programa vis dar yra atminties. Naudodami Windows užduočių tvarkyklę (TASKMGR.EXE) uždarykite procesą prieš nustatydami.

O5 - IE parinktys nematomos Valdymo skyde

Kaip tai atrodo:
O5 - control.ini: inetcpl.cpl = ne

Ką daryti:
Išskyrus atvejus, kai jūs ar jūsų sistemos administratorius sąmoningai paslėpėte piktogramą iš "Control Panel", turite "HijackThis" ją išspręsti.

O6 - IE prieigos parinktys, kurias apribojo administratorius

Kaip tai atrodo:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Apribojimai

Ką daryti:
Jei " Spybot" S & D parinktis "Užrakinti pagrindinį puslapį iš pokyčių" yra aktyvus, arba jūsų sistemos administratorius įdiegė šią funkciją, turi "HijackThis".

O7 - "Regedit" prieiga, kurią apribojo administratorius

Kaip tai atrodo:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Ką daryti:
Visada turite "HijackThis" išspręsti šią problemą, nebent jūsų sistemos administratorius įdiegė šį apribojimą.

O8 - papildomi elementai IE dešiniuoju pelės mygtuku spustelėkite meniu

Kaip tai atrodo:
O8 - Papildomas kontekstinio meniu elementas: & Google Search - res: // C: \ WINDOWS \ PARSISIŲSTI PROGRAMOS FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - papildomas kontekstinio meniu elementas: "Yahoo!" Paieška - failas: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Papildomas kontekstinio meniu elementas: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Papildomas kontekstinio meniu elementas: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Ką daryti:
Jei nepažįstate elemento pavadinimo meniu dešiniuoju pelės mygtuku spustelėkite meniu "HijackThis".

O9 - papildomi mygtukai pagrindinėje IE įrankių juostoje arba papildomi elementai IE & # 39; įrankiuose & # 39; Meniu

Kaip tai atrodo:
O9 - papildomas mygtukas: "Messenger" (HKLM)
O9 - Ekstra "Įrankiai" menuitem: Messenger (HKLM)
O9 - papildomas mygtukas: AIM (HKLM)

Ką daryti:
Jei neatpažįstate mygtuko ar meniu elemento pavadinimo, turite "HijackThis" taisyti.

O10 - "Winsock" pagrobėjai

Kaip tai atrodo:
O10 - užgrobta "New.Net" interneto prieiga
O10 - trūksta interneto prieigos, nes LSP teikėjas "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll" trūksta
O10 - nežinomas failas Winsock LSP: c: \ program files \ newton žino \ vmain.dll

Ką daryti:
Tai geriausia išspręsti naudojant LSPFix iš Cexx.org arba Spybot S & D iš "Kolla.de".

Atkreipkite dėmesį, kad "nežinomų" failų LSP saugykloje HijackThis nenustato dėl saugos problemų.

O11 - papildoma grupė IE & # 39; Išplėstinės parinktys & # 39; langas

Kaip tai atrodo:
O11 - parinkčių grupė: [CommonName] CommonName

Ką daryti:
Vienintelis pagrobėjas, kuris dabar prideda savo parinkčių grupę langui IE Advanced Options, yra CommonName. Taigi jūs visada galite turėti HijackThis išspręsti šią problemą.

O12 - IE papildiniai

Kaip tai atrodo:
O12 - Plugin .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Ką daryti:
Dauguma jų yra saugūs. Tik "OnFlow" čia priduria papildinį (.ofb).

O13 - IE DefaultPrefix hijack

Kaip tai atrodo:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefiksas: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiksas: http://ehttp.cc/?

Ką daryti:
Tai visada blogai. Ar HijackThis juos pašalinti.

O14 - "Atstatyti žiniatinklio nustatymus" & # 39; pagrobti

Kaip tai atrodo:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Ką daryti:
Jei URL nėra jūsų kompiuterio arba jūsų interneto paslaugų teikėjo teikėjas, turėkite "HijackThis".

O15 - nepageidaujamos svetainės patikimoje zonoje

Kaip tai atrodo:
O15 - Patikima zona: http://free.aol.com
O15 - Patikima zona: * .coolwebsearch.com
O15 - Patikima zona: *. Msn.com

Ką daryti:
Dauguma laiko tik "AOL" ir "Coolwebsearch" tyliai prideda svetaines Patikimoje zonoje. Jei nepridėjote sąraše esančio domeno Patikimoje zonoje patys, turėkite "HijackThis".

O16 - "ActiveX" objektai (dar žinomi kaip atsisiunčiami programos failai)

Kaip tai atrodo:
O16 - DPF: "Yahoo!" Pokalbis - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) ("Shockwave Flash Object") - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ką daryti:
Jei neatpažįstate objekto pavadinimo arba URL, iš kurio jis buvo atsiųstas, turite turėti "HijackThis". Jei varde ar URL yra tokie žodžiai kaip "dialer", "kazino", "free_plugin" ir tt, tikrai jį ištaisykite. "Javacool's SpywareBlaster" turi didelę kenksmingų "ActiveX" objektų duomenų bazę, kurią galima naudoti ieškant CLSID. (Dešiniuoju pelės klavišu spustelėkite sąrašą, kad naudotumėte "Find" funkciją.)

O17 - "Lop.com" domeno hijacks

Kaip tai atrodo:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonija: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D196AB38-4D1F-45C1-9108-46D367F19F7E): Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Paslaugos \ Tcpip \ Parametrai: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Ką daryti:
Jei domenas nėra iš jūsų interneto paslaugų tiekėjo ar įmonės tinklo, turi "HijackThis". Tas pats pasakytina apie "SearchList" įrašus. "NameServer" ( DNS serverių ) įrašuose "Google" - tai IP ar IP, ir bus lengva pamatyti, ar jie yra geri ar blogi.

O18 - papildomi protokolai ir proto naikintuvai

Kaip tai atrodo:
O18 - protokolas: susijusios nuorodos - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - protokolas: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokolo pagrobimas: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Ką daryti:
Čia rodomi tik keletas pagrobėjų. Žinomi blogai yra "cn" (CommonName), "ayb" (Lop.com) ir "linkedlinks" ("Huntbar"), turėtumėte turėti "HijackThis". Kiti įvykiai, kurie pasirodo, dar nėra patvirtinti saugūs arba jie yra pagrobti (ty pakeista CLSID) šnipinėjimo programa. Paskutiniu atveju turite "HijackThis" ją išspręsti.

O19 - naudotojo stiliaus lentelės pagrobimas

Kaip tai atrodo:
O19 - vartotojo stiliaus lapas: c: \ WINDOWS \ Java \ my.css

Ką daryti:
Jei naršyklė sulėtėja ir dažniausiai atsiranda langeliai, turite "HijackThis" taisyti šį elementą, jei jis rodomas žurnale. Tačiau, kadangi tai atliekama tik "Coolwebsearch", geriau ją naudoti "CWShredder".

O20 - AppInit_DLLs registro reikšmės autorun

Kaip tai atrodo:
O20 - "AppInit_DLLs": msconfd.dll

Ką daryti:
Ši registro vertė, esanti HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, įkelia DLL į atmintį, kai vartotojas prisijungia, po to jis lieka atmintyje, kol neatvyksta. Naudoja labai mažai teisėtų programų ("Norton CleanSweep" naudoja APITRAP.DLL), dažniausiai jis naudojamas trojanams ar agresyviems naršyklių užgrobėjams.

"Slapta" DLL įkėlimo iš šio registro reikšmės atveju (matoma tik naudojant Regedit parinktį "Redaguoti dvejetainius duomenis") dll vardas gali būti pridedamas prie vamzdžio "|" kad jis būtų matomas žurnale.

O21 - "ShellServiceObjectDelayLoad"

Kaip tai atrodo:
O21 - SSODL - AUHOOK - (11566B38-955B-4549-930F-7B7482668782) - C: \ WINDOWS \ System \ auhook.dll

Ką daryti:
Tai neteisėtas autorun metodas, paprastai naudojamas kelių Windows sistemos komponentų. Elementai, išvardyti HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad, yra įkeliami "Explorer", kai "Windows" paleidžiama. "HijackThis" naudoja keletą labai įprastų SSODL elementų baltąjį sąrašą, taigi kiekvieną kartą, kai elementas rodomas žurnale, jis nėra žinomas ir galbūt kenkėjiškas. Gydykite ypatingai atsargiai.

O22 - SharedTaskScheduler

Kaip tai atrodo:
O22 - SharedTaskScheduler: (be pavadinimo) - (3F143C3A-1457-6CCA-03A7-7AA23B61E40F) - c: \ windows \ system32 \ mtwirl32.dll

Ką daryti:
Tai nėra dokumentais pagrįsta autorizacija, skirta tik "Windows NT / 2000 / XP", kuri naudojama labai retai. Iki šiol naudojamas tik CWS.Smartfinder. Elgtis atsargiai.

O23 - NT paslaugos

Kaip tai atrodo:
O23 - tarnyba: Kerio asmeninė užkarda (PersFw) - "Kerio Technologies" - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Ką daryti:
Tai sąrašas ne "Microsoft" paslaugų. Sąrašas turėtų būti toks pat kaip ir tas, kurį matote "Windows XP" "Msconfig". Keletas trojanų pagrobėjų naudojasi namų paslauga, kad kiti pradininkai galėtų patys įdiegti. Paprastai vardas paprastai svarbus, pavyzdžiui, "Network Security Service", "Workstation Logon Service" arba "Remote Procedure Call Helper", bet vidinis pavadinimas (tarp skliaustų) yra šiukšlių eilutė, pvz., "Ort". Antroji eilutės dalis yra failo savininkas pabaigoje, kaip matyti iš failo savybių.

Atkreipkite dėmesį, kad nustatant O23 elementą paslauga bus sustabdyta ir bus išjungta. Paslauga turi būti ištrinta iš registro rankiniu būdu arba naudojant kitą įrankį. "HijackThis" 1.99.1 ar naujesnėje versijoje mygtukas "Ištrinti NT tarnybą" skirsnyje "Įvairūs įrankiai" gali būti naudojamas.