Kako analizirati HijackThis dnevnike

Tolmačenje dnevnikovih podatkov za pomoč pri odstranitvi vohunskih programov in brskalnikov brskalnika

HijackThis je brezplačno orodje Trend Micro. Prvotno ga je razvil Merijn Bellekom, študent na Nizozemskem. Programska oprema za odstranjevanje vohunske programske opreme , kot sta Adaware ali Spybot S & D, je dobra naloga odkrivanja in odstranjevanja večine vohunskih programov, vendar so nekateri vohunski vohunski in brskalniki v spletu preveč podkupni za celo te odlične pripomočke za zaščito pred vohunsko programsko opremo.

HijackThis je napisan posebej za odkrivanje in odstranitev hijacks brskalnika, ali programska oprema, ki prevzema vaš spletni brskalnik, spremeni privzeto domačo stran in iskalnik ter druge zlonamerne stvari. V nasprotju s tipično protivirusno programsko opremo HijackThis ne uporablja podpisov ali cilja na posebne programe ali URL-je za odkrivanje in blokiranje. Namesto tega HijackThis išče trike in metode, ki jih uporablja zlonamerna programska oprema, da okužijo vaš sistem in preusmerijo vaš brskalnik.

Vse, kar se prikaže v dnevnikih HijackThis, je slabo, zato ga ne bi smeli odstraniti. Dejansko je povsem nasprotno. Skoraj zagotovljeno je, da bodo nekateri elementi v vaših dnevnikih HijackThis legitimna programska oprema, odstranitev teh predmetov pa lahko negativno vpliva na vaš sistem ali pa bo popolnoma neuporabna. Uporaba programa HijackThis je podobno kot pri urejanju registra sistema Windows . To ni raketna znanost, vendar zagotovo ne bi smeli storiti brez nekaj strokovnih smernic, če dejansko ne veste, kaj počnete.

Ko namestite HijackThis in ga zaženete, da ustvarite datoteko dnevnika, obstaja veliko različnih forumov in spletnih mest, na katerih lahko objavite ali naložite podatke dnevnika. Strokovnjaki, ki vedo, kaj naj iščejo, vam lahko nato pomagajo analizirati podatke o dnevniku in vam svetovati, katere elemente je treba odstraniti, in katere tiste, ki bodo zapustili sami.

Če želite prenesti trenutno različico programa HijackThis, obiščite uradno spletno mesto podjetja Trend Micro.

Tukaj je pregled vnosov dnevnika HijackThis, ki jih lahko uporabite za preskok na podatke, ki jih iščete:

• R0, R1, R2, R3 - URL-ji za začetek / iskanje strani Internet Explorer
• F0, F1 - programi za samodejno nalaganje
• N1, N2, N3, N4 - Netscape / Mozilla Start / URL strani za iskanje
• O1 - Preusmeritev datoteke gostiteljev
• O2 - objekti pomočnika brskalnika
• O3 - orodne vrstice Internet Explorer
• O4 - programi za samodejno nalaganje iz registra
• O5 - IE možnosti ikona ni vidna na nadzorni plošči
• O6 - Dostop do možnosti IE je omejen s strani skrbnika
• O7 - Regedit dostop omejuje skrbnik
• O8 - Dodatni elementi v meniju z desno tipko miške IE
• O9 - Dodatni gumbi na glavni orodni vrstici gumba IE ali dodatni elementi v meniju IE "Orodja"
• O10 - Ugrabitelj Winsock
• O11 - Dodatna skupina v oknu IE "Napredne možnosti"
• O12 - IE vtičniki
• O13 - IE Privzeta prevara
• O14 - ugrabitev "Reset Web Settings"
• O15 - Nezaželeno spletno mesto v Trusted Zone
• O16 - Objekti ActiveX (aka prenesenih programskih datotek)
• O17 - Ugrabitelji domene Lop.com
• O18 - Dodatni protokoli in ugrabitelji protokola
• O19 - ugrabitev slogov v slogu
• O20 - AppInit_DLLs Vrednost registra je avtomatska
• O21 - ShellServiceObjectDelayLoad registrski ključ za zagon
• O22 - registrski ključ SharedTaskScheduler autorun

• O23 - storitve Windows NT

R0, R1, R2, R3 - IE Začetek in iskanje strani

Kako izgleda:
R0 - HKCU \ Programska oprema \ Microsoft \ Internet Explorer \ Main, začetna stran = http://www.google.com/
R1 - HKLM \ Programska oprema \ Microsoft \ InternetExplorer \ Main, Privzeto_Page_URL = http://www.google.com/
R2 - (ta tip še ne uporablja HijackThis)
R3 - Privzeti naslov URL Iskanje ni

Kaj storiti:
Če URL na koncu prepoznate kot domačo stran ali iskalnik, je v redu. Če je ne, preverite in ga HijackThis popravite. Za postavke R3 jih vedno odpravite, če ne omenja programa, ki ga prepoznate, kot je npr. Kopernik.

F0, F1, F2, F3 - programi za samodejno nalaganje datotek INI

Kako izgleda:
F0 - system.ini: Shell = Raziskovalec.exe Openme.exe
F1 - win.ini: zagon = hpfsched

Kaj storiti:
Elementi F0 so vedno slabi, zato jih popravite. Elementi F1 so ponavadi zelo stari programi, ki so varni, zato morate v datoteki poiskati še nekaj informacij, da ugotovite, ali je to dobro ali slabo. Pacmanov seznam zagonskih seznamov lahko pomaga pri prepoznavanju predmeta.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Stran za iskanje

Kako izgleda:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ privzeto \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumenti in nastavitve \ Uporabnik \ Podatki aplikacij \ Mozilla \ Profili \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumenti in nastavitve \ Uporabnik \ Podatki aplikacij \ Mozilla \ Profili \ defaulto9t1tfl.slt \ prefs.js)

Kaj storiti:
Običajno sta spletna stran Netscape in Mozilla ter stran za iskanje varna. Redko se ugrabijo, za to je znano le Lop.com. Če boste videli naslov URL, ki ga ne prepoznate kot svojo domačo stran ali iskalno stran, ga namestite s pomočjo programa HijackThis.

O1 - preusmeritve Hostsfile

Kako izgleda:
O1 - gostitelji: 216.177.73.139 auto.search.msn.com
O1 - gostitelji: 216.177.73.139 search.netscape.com
O1 - gostitelji: 216.177.73.139 ieautosearch
O1 - Domača datoteka se nahaja na naslovu C: \ Windows \ Help \ hosts

Kaj storiti:
Ta ugrab bo naslov preusmeril na desno na naslov IP na levo. Če IP ne sodi v naslov, boste vsakič, ko vnesete naslov, preusmerjeni na napačno spletno mesto. Vedno jih lahko HijackThis popravite, razen če veste, da te vrstice v datoteki gostiteljev.

Zadnji element se včasih pojavi na Windows 2000 / XP z okužbo Coolwebsearch. Vedno popravite ta element ali ga samodejno popravite s CWShredderjem.

O2 - objekti pomočnika brskalnika

Kako izgleda:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAMSKI DATOTEKI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (brez imena) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ FILME PROGRAMA \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (datoteka manjka)
O2 - BHO: Izboljšana različica medijev - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ FILME PROGRAMA \ MEDIJSKE POVEZAVE \ ME1.DLL

Kaj storiti:
Če neposredno ne prepoznate imena predmeta pomočnika brskalnika, uporabite TonyKov seznam BHO in orodne vrstice, da jo najdete po ID-ju razreda (CLSID, številu med zavihki) in preverite, ali je to dobro ali slabo. Na seznamu BHO "X" pomeni vohunsko programsko opremo in "L" pomeni varno.

O3 - IE orodne vrstice

Kako izgleda:
O3 - Orodna vrstica: & Yahoo! Spremljevalec - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAMSKI DATOTEKI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Orodna vrstica: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ FILME PROGRAMA \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (datoteka manjka)
O3 - Orodna vrstica: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Kaj storiti:
Če ne prepoznate neposredno ime orodne vrstice, uporabite TonyKov seznam BHO & Toolbar List, da ga najdete po ID-ju razreda (CLSID, številu med skrinjimi oklepaji) in preverite, ali je to dobro ali slabo. Na seznamu orodne vrstice "X" pomeni vohunsko programsko opremo in "L" pomeni varno. Če ni na seznamu in se zdi, da je ime naključni niz znakov, in da je datoteka v mapi »Podatkovne zbirke« (kot je zadnja v zgornjih primerih), je to verjetno Lop.com, zato morate definirati HijackThis fix to.

O4 - programi za samodejno nalaganje iz registra ali zagonske skupine

Kako izgleda:
O4 - HKLM \ .. \ Zaženi: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Zaženi: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Zaženi: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - zagon: Microsoft Office.lnk = C: \ Programske datoteke \ Microsoft Office \ Office \ OSA9.EXE
O4 - Globalni zagon: winlogon.exe

Kaj storiti:
Uporabite PacManov seznam zagonskih datotek, da poiščete vnos in preverite, ali je to dobro ali slabo.

Če je v elementu prikazan program, ki sedi v skupini zagon (kot je zadnja točka zgoraj), HijackThis ne more popraviti predmeta, če je ta program še vedno v pomnilniku. Uporabite Windows Task Manager (TASKMGR.EXE), da zaprete postopek pred določitvijo.

O5 - Možnosti IE niso vidne na nadzorni plošči

Kako izgleda:
O5 - control.ini: inetcpl.cpl = ne

Kaj storiti:
Razen če vi ali vaš sistemski skrbnik zavestno ikono skrijete z nadzorne plošče, ga odpravite na HijackThis.

O6 - Dostop do možnosti IE je omejen s strani skrbnika

Kako izgleda:
O6 - HKCU \ Programska oprema \ Pravilniki \ Microsoft \ Internet Explorer \ Omejitve so prisotne

Kaj storiti:
Če ne boste imeli možnosti »Zaženi domačo stran od sprememb« možnosti » Spybot S & D« ali pa vas sistemski skrbnik prepričal, da to popravite, ga namestite s pomočjo programa HijackThis.

O7 - Regedit dostop omejuje skrbnik

Kako izgleda:
O7 - HKCU \ Programska oprema \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Kaj storiti:
Vedno jih HijackThis odpravite, razen če je vaš skrbnik sistema dal to omejitev na svoje mesto.

O8 - Dodatni elementi v meniju z desno tipko miške IE

Kako izgleda:
O8 - Točka z dodatnim kontekstnim menijem: & Google Search - res: // C: \ WINDOWS \ DOWNLOADED FILES PROGRAMA \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Element dodatnega konteksta: Yahoo! Iskanje - datoteka: /// C: \ Programske datoteke \ Yahoo! \ Common / ycsrch.htm
O8 - Element dodatnega konteksta: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Element dodatnega konteksta: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Kaj storiti:
Če ne prepoznate imena elementa v meniju z desno tipko miške v IE, ga HijackThis popravi.

O9 - dodatni gumbi na glavni orodni vrstici IE ali dodatni elementi v orodju IE & # 39; meni

Kako izgleda:
O9 - Gumb Extra: Messenger (HKLM)
O9 - Dodatni meni »Orodja«: Messenger (HKLM)
O9 - Gumb Extra: AIM (HKLM)

Kaj storiti:
Če ne prepoznate imena gumba ali elementa menija, ga HijackThis popravite.

O10 - Ugrabitelji Winsock

Kako izgleda:
O10 - Ugrabljen internetni dostop podjetja New.Net
O10 - zlomljen dostop do interneta zaradi ponudnika LSP 'c: \ progra ~ 1 \ common ~ 2 \ orodna vrstica \ cnmib.dll' manjka
O10 - neznana datoteka v Winsock LSP: c: \ program files \ newton ve \ vmain.dll

Kaj storiti:
Najbolje je, da jih popravite z uporabo LSPFixa od Cexx.org ali Spybot S & D iz Kolla.de.

Upoštevajte, da HijackThis zaradi varnostnih težav ne bo določil "neznanih" datotek v skladišču LSP.

O11 - Dodatna skupina v IE & # 39; Advanced Options & # 39; okno

Kako izgleda:
O11 - Skupina opcij: [CommonName] CommonName

Kaj storiti:
Edini ugrabitelj od zdaj, ki dodaja svojo lastno skupino opcij v okno IE napredne možnosti, je CommonName. Torej lahko vedno HijackThis to popravi.

O12 - IE vtičniki

Kako izgleda:
O12 - Plugin za .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - vtičnik za .PDF: C: \ Programske datoteke \ Internet Explorer \ PLUGINS \ nppdf32.dll

Kaj storiti:
Večina časa je to varno. Samo OnFlow dodaja vtičnik, ki ga ne želite (.ofb).

O13 - IE Privzeta prevara

Kako izgleda:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiks: http://ehttp.cc/?

Kaj storiti:
To so vedno slabe. HijackThis jih določi.

O14 - Ponastavitev spletnih nastavitev & # 39; ugrabitev

Kako izgleda:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Kaj storiti:
Če URL ni ponudnik vašega računalnika ali vašega ponudnika internetnih storitev, ga HijackThis odpravite.

O15 - Nezaželene strani v Trusted Zone

Kako izgleda:
O15 - Trusted Zone: http://free.aol.com
O15 - Zaupno območje: * .coolwebsearch.com
O15 - Zaupno območje: * .msn.com

Kaj storiti:
Večino časa samo AOL in Coolwebsearch tiho dodajajo spletna mesta v Trusted Zone. Če niste navedli navedene domene sami v zaupni coni, ga namestite s HijackThis.

O16 - Objekti ActiveX (aka prenesenih programskih datotek)

Kako izgleda:
O16 - DPF: Yahoo! Klepet - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objekt Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Kaj storiti:
Če ne prepoznate imena predmeta ali URL-ja, s katerega ste ga prenesli, ga popravite. Če ime ali URL vsebuje besede, kot so dialer, casino, free_plugin itd, ga zagotovo odpravite. Javacoolov SpywareBlaster ima ogromno bazo podatkov o zlonamernih predmetih ActiveX, ki jih lahko uporabite za iskanje CLSID-jev. (Z desno tipko miške kliknite seznam, da uporabite funkcijo Find.)

O17 - Lop.com domene hijacks

Kako izgleda:
O17 - HKLM \ Sistem \ CCS \ Storitve \ VxD \ MSTCP: Domena = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parametri: Domena = W21944.find-quick.com
O17 - HKLM \ Programska oprema \ .. \ Telefonija: DomainName = W21944.find-quick.com
O17 - HKLM \ Sistem \ CCS \ Storitve \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domena = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ Sistem \ CS1 \ Storitve \ VxD \ MSTCP: ImeServer = 69.57.146.14,69.57.147.175

Kaj storiti:
Če domena ni od vašega ponudnika internetnih storitev ali omrežja podjetja, jo namestite s HijackThis. Enako velja za vnose »SearchList«. Za vnos v imeniku »NameServer« ( DNS strežniki ) Google za IP ali IP-je in bo zlahka videti, ali so dobre ali slabe.

O18 - Dodatni protokoli in ugrabitelji protokola

Kako izgleda:
O18 - protokol: povezani povezavi - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - ugrabitev protokola: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Kaj storiti:
Tukaj se pojavita le nekaj ugrabiteljev. Znane baddies so "cn" (CommonName), "ayb" (Lop.com) in "relatedlinks" (Huntbar), morate imeti HijackThis to popraviti. Druge stvari, ki se prikazujejo, še niso bile potrjene varno ali so jih ugrabili (tj. Program CLSID je spremenil) vohunska programska oprema. V zadnjem primeru ga HijackThis popravi.

O19 - ugrabitev slogov v slogu

Kako izgleda:
O19 - Uporabniški slog stanja: c: \ WINDOWS \ Java \ my.css

Kaj storiti:
V primeru upočasnitve brskalnika in pogostih pojavnih oken HijackThis določi ta element, če se prikaže v dnevniku. Ker pa samo Coolwebsearch to počne, je bolje, če ga želite popraviti.

O20 - AppInit_DLLs Vrednost registra je avtomatska

Kako izgleda:
O20 - AppInit_DLLs: msconfd.dll

Kaj storiti:
Ta vrednost registra, ki se nahaja v HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, naloži DLL v pomnilnik, ko se uporabnik prijavi, nato pa ostane v pomnilniku, dokler se ne odpre. Zelo malo legitimnih programov jih uporablja (Norton CleanSweep uporablja APITRAP.DLL), najpogosteje jo uporabljajo trojanci ali agresivni ugrabitelji brskalnika.

V primeru "skrite" DLL nalaganja iz te vrednosti registra (vidna samo, če v Regeditu uporabljate možnost »Uredi binarne podatke«) se lahko dll ime predpiše s cevjo '|' da bi bil viden v dnevniku.

O21 - ShellServiceObjectDelayLoad

Kako izgleda:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Kaj storiti:
To je nedokumentirana metoda avtorun, ki jo navadno uporabljajo nekatere komponente sistema Windows. Elementi, ki so navedeni v HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad, naloži Explorer, ko se zažene Windows. HijackThis uporablja belo listo več zelo pogostih elementov SSODL, tako da vsakič, ko je element v dnevniku prikazan, je neznan in morda zlonameren. Skrbno ravnajte z njo.

O22 - SharedTaskScheduler

Kako izgleda:
O22 - SharedTaskScheduler: (brez imena) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Kaj storiti:
To je nedokumentiran zagon za samo Windows NT / 2000 / XP, ki se uporablja zelo redko. Do zdaj ga uporablja le CWS.Smartfinder. Pazljivo pazite.

Storitve O23 - NT

Kako izgleda:
O23 - Servis: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Osebni požarni zid \ persfw.exe

Kaj storiti:
To je seznam storitev, ki niso Microsoftovi. Seznam mora biti enak tistemu, ki ga vidite v pripomočku Msconfig v operacijskem sistemu Windows XP. Številni trojanski ugrabitelji uporabljajo domačo storitev, ki se prilagaja drugim zagonskam, da se znova namestijo. Polno ime je ponavadi pomembno-zvok, kot so "Network Security Service", "Service Logon Service" ali "Remote Procedure Call Helper", vendar je notranje ime (med oklepajima) niz vrvejev, kot je "Ort". Drugi del vrstice je lastnik datoteke na koncu, kot je razvidno iz lastnosti datoteke.

Upoštevajte, da bo določitev elementa O23 ustavila storitev in jo onemogočila. Storitev je treba izbrisati iz registra ročno ali z drugim orodjem. V razdelku HijackThis 1.99.1 ali novejši lahko za to uporabite gumb »Delete NT Service« v razdelku Misc Tools.