Kako analizirati HijackThis dnevnike

:

Anonim

HijackThis je brezplačno orodje Trend Micro. Prvotno ga je razvil Merijn Bellekom, študent na Nizozemskem. Programska oprema za odstranjevanje vohunske programske opreme, kot sta Adaware ali Spybot S & D, je dobra naloga odkrivanja in odstranjevanja večine vohunskih programov, vendar so nekateri vohunski vohunski in brskalniki v spletu preveč podkupni za celo te odlične pripomočke za zaščito pred vohunsko programsko opremo.

HijackThis je napisan posebej za odkrivanje in odstranitev hijacks brskalnika, ali programska oprema, ki prevzema vaš spletni brskalnik, spremeni privzeto domačo stran in iskalnik ter druge zlonamerne stvari. V nasprotju s tipično protivirusno programsko opremo HijackThis ne uporablja podpisov ali cilja na posebne programe ali URL-je za odkrivanje in blokiranje. Namesto tega HijackThis išče trike in metode, ki jih uporablja zlonamerna programska oprema, da okužijo vaš sistem in preusmerijo vaš brskalnik.

Vse, kar se prikaže v dnevnikih HijackThis, je slabo, zato ga ne bi smeli odstraniti. Dejansko je povsem nasprotno. Skoraj zagotovljeno je, da bodo nekateri elementi v vaših dnevnikih HijackThis legitimna programska oprema, odstranitev teh predmetov pa lahko negativno vpliva na vaš sistem ali pa bo popolnoma neuporabna. Uporaba programa HijackThis je podobno kot pri urejanju registra sistema Windows. To ni raketna znanost, vendar zagotovo ne bi smeli storiti brez nekaj strokovnih smernic, če dejansko ne veste, kaj počnete.

Ko namestite HijackThis in ga zaženete, da ustvarite datoteko dnevnika, obstaja veliko različnih forumov in spletnih mest, na katerih lahko objavite ali naložite podatke dnevnika. Strokovnjaki, ki vedo, kaj naj iščejo, vam lahko nato pomagajo analizirati podatke o dnevniku in vam svetovati, katere elemente je treba odstraniti, in katere tiste, ki bodo zapustili sami.

Če želite prenesti trenutno različico programa HijackThis, obiščite uradno spletno mesto podjetja Trend Micro.

Tukaj je pregled vnosov dnevnika HijackThis, ki jih lahko uporabite za preskok na podatke, ki jih iščete:

  • R0, R1, R2, R3 - URL-ji za začetek / iskanje strani Internet Explorer
  • F0, F1 - programi za samodejno nalaganje
  • N1, N2, N3, N4 - Netscape / Mozilla Start / URL strani za iskanje
  • O1 - Preusmeritev datoteke gostiteljev
  • O2 - objekti pomočnika brskalnika
  • O3 - orodne vrstice Internet Explorer
  • O4 - programi za samodejno nalaganje iz registra
  • O5 - IE možnosti ikona ni vidna na nadzorni plošči
  • O6 - Dostop do možnosti IE je omejen s strani skrbnika
  • O7 - Regedit dostop omejuje skrbnik
  • O8 - Dodatni elementi v meniju z desno tipko miške IE
  • O9 - Dodatni gumbi na glavni orodni vrstici gumba IE ali dodatni elementi v meniju IE "Orodja"
  • O10 - Ugrabitelj Winsock
  • O11 - Dodatna skupina v oknu IE "Napredne možnosti"
  • O12 - IE vtičniki
  • O13 - IE Privzeta prevara
  • O14 - ugrabitev "Reset Web Settings"
  • O15 - Nezaželeno spletno mesto v Trusted Zone
  • O16 - Objekti ActiveX (aka prenesenih programskih datotek)
  • O17 - Ugrabitelji domene Lop.com
  • O18 - Dodatni protokoli in ugrabitelji protokola
  • O19 - ugrabitev slogov v slogu
  • O20 - AppInit_DLLs Vrednost registra je avtomatska
  • O21 - ShellServiceObjectDelayLoad registrski ključ za zagon
  • O22 - registrski ključ SharedTaskScheduler autorun
  • O23 - storitve Windows NT

R0, R1, R2, R3 - IE Začetek in iskanje strani

Kako izgleda:R0 - HKCU Programska oprema Microsoft Internet Explorer Main, začetna stran = http://www.google.com/R1 - HKLM Programska oprema Microsoft InternetExplorer Main, Privzeto_Page_URL = http://www.google.com/R2 - (ta tip še ne uporablja HijackThis)R3 - Privzeti naslov URL Iskanje ni

Kaj storiti:Če URL na koncu prepoznate kot domačo stran ali iskalnik, je v redu. Če je ne, preverite in ga HijackThis popravite. Za postavke R3 jih vedno odpravite, če ne omenja programa, ki ga prepoznate, kot je npr. Kopernik.

F0, F1, F2, F3 - programi za samodejno nalaganje datotek INI

Kako izgleda:F0 - system.ini: Shell = Raziskovalec.exe Openme.exeF1 - win.ini: zagon = hpfsched

Kaj storiti:Elementi F0 so vedno slabi, zato jih popravite. Elementi F1 so ponavadi zelo stari programi, ki so varni, zato morate v datoteki poiskati še nekaj informacij, da ugotovite, ali je to dobro ali slabo. Pacmanov seznam zagonskih seznamov lahko pomaga pri prepoznavanju predmeta.

N1, N2, N3, N4 - stran Netscape / Mozilla Start & Search

Kako izgleda:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users privzeto prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumenti in nastavitve Uporabnik Podatki aplikacij Mozilla Profili defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumenti in nastavitve Uporabnik Podatki aplikacij Mozilla Profili defaulto9t1tfl.slt prefs.js)

Kaj storiti:Običajno sta spletna stran Netscape in Mozilla ter stran za iskanje varna. Redko se ugrabijo, za to je znano le Lop.com. Če boste videli naslov URL, ki ga ne prepoznate kot svojo domačo stran ali iskalno stran, ga namestite s popravkom HijackThis.

O1 - preusmeritve Hostsfile

Kako izgleda:O1 - gostitelji: 216.177.73.139 auto.search.msn.comO1 - gostitelji: 216.177.73.139 search.netscape.comO1 - gostitelji: 216.177.73.139 ieautosearchO1 - Domača datoteka se nahaja na naslovu C: Windows Help hosts

Kaj storiti:Ta ugrab bo naslov preusmeril na desno na naslov IP na levo.Če IP ne sodi v naslov, boste vsakič, ko vnesete naslov, preusmerjeni na napačno spletno mesto. Vedno jih lahko HijackThis popravite, razen če veste, da te vrstice v datoteki gostiteljev.

Zadnji element se včasih pojavi na Windows 2000 / XP z okužbo Coolwebsearch. Vedno popravite ta element ali ga samodejno popravite s CWShredderjem.

O2 - objekti pomočnika brskalnika

Kako izgleda:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMSKI DATOTEKI YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (brez imena) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: FILME PROGRAMA POPUP ELIMINATOR AUTODISPLAY401.DLL (datoteka manjka)O2 - BHO: Izboljšana različica medijev - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: FILME PROGRAMA MEDIJSKE POVEZAVE ME1.DLL

Kaj storiti:Če neposredno ne prepoznate imena predmeta pomočnika brskalnika, uporabite TonyKov seznam BHO in orodne vrstice, da jo najdete po ID-ju razreda (CLSID, številu med zavihki) in preverite, ali je to dobro ali slabo. Na seznamu BHO "X" pomeni vohunsko programsko opremo in "L" pomeni varno.

O3 - IE orodne vrstice

Kako izgleda: O3 - Orodna vrstica: & Yahoo! Spremljevalec - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMSKI DATOTEKI YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Orodna vrstica: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: FILME PROGRAMA POPUP ELIMINATOR PETOOLBAR401.DLL (datoteka manjka)O3 - Orodna vrstica: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Kaj storiti:Če ne prepoznate neposredno ime orodne vrstice, uporabite TonyKov seznam BHO & Toolbar List, da ga najdete po ID-ju razreda (CLSID, številu med skrinjimi oklepaji) in preverite, ali je to dobro ali slabo. Na seznamu orodne vrstice "X" pomeni vohunsko programsko opremo in "L" pomeni varno. Če ni na seznamu in se zdi, da je ime naključni niz znakov, in da je datoteka v mapi »Podatkovne zbirke« (kot je zadnja v zgornjih primerih), je to verjetno Lop.com, zato morate definirati HijackThis fix to.

O4 - programi za samodejno nalaganje iz registra ali zagonske skupine

Kako izgleda:O4 - HKLM .. Zaženi: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Zaženi: SystemTray SysTray.ExeO4 - HKLM .. Zaženi: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - zagon: Microsoft Office.lnk = C: Programske datoteke Microsoft Office Office OSA9.EXEO4 - Globalni zagon: winlogon.exe

Kaj storiti:Uporabite PacManov seznam zagonskih datotek, da poiščete vnos in preverite, ali je to dobro ali slabo.

Če je v elementu prikazan program, ki sedi v skupini zagon (kot je zadnja točka zgoraj), HijackThis ne more popraviti predmeta, če je ta program še vedno v pomnilniku. Uporabite Windows Task Manager (TASKMGR.EXE), da zaprete postopek pred določitvijo.

O5 - Možnosti IE niso vidne na nadzorni plošči

Kako izgleda: O5 - control.ini: inetcpl.cpl = ne

Kaj storiti:Razen če vi ali vaš sistemski skrbnik zavestno ikono skrijete z nadzorne plošče, ga odpravite na HijackThis.

O6 - Dostop do možnosti IE je omejen s strani skrbnika

Kako izgleda:O6 - HKCU Programska oprema Pravilniki Microsoft Internet Explorer Omejitve so prisotne

Kaj storiti:Če ne boste imeli možnosti »Zaženi domačo stran od sprememb« možnosti »Spybot S & D« ali pa vas sistemski skrbnik prepričal, da to popravite, ga namestite s pomočjo programa HijackThis.

O7 - Regedit dostop omejuje skrbnik

Kako izgleda:O7 - HKCU Programska oprema Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Kaj storiti:Vedno jih HijackThis odpravite, razen če je vaš skrbnik sistema dal to omejitev na svoje mesto.

O8 - Dodatni elementi v meniju z desno tipko miške IE

Kako izgleda: O8 - Točka z dodatnim kontekstnim menijem: & Google Search - res: // C: WINDOWS DOWNLOADED FILES PROGRAMA GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Element dodatnega konteksta: Yahoo! Iskanje - datoteka: /// C: Programske datoteke Yahoo! Common / ycsrch.htmO8 - Element dodatnega konteksta: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Element dodatnega konteksta: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Kaj storiti:Če ne prepoznate imena elementa v meniju z desno tipko miške v IE, ga HijackThis popravi.

O9 - Dodatni gumbi na glavni orodni vrstici IE ali dodatni elementi v meniju IE "Orodja"

Kako izgleda: O9 - Gumb Extra: Messenger (HKLM)O9 - Dodatni meni »Orodja«: Messenger (HKLM)O9 - Gumb Extra: AIM (HKLM)

Kaj storiti:Če ne prepoznate imena gumba ali elementa menija, ga HijackThis popravite.

O10 - Ugrabitelji Winsock

Kako izgleda: O10 - Ugrabljen internetni dostop podjetja New.NetO10 - zlomljen dostop do interneta zaradi ponudnika LSP 'c: progra ~ 1 common ~ 2 orodna vrstica cnmib.dll' manjkaO10 - neznana datoteka v Winsock LSP: c: program files newton ve vmain.dll

Kaj storiti:Najbolje je, da jih popravite z uporabo LSPFixa od Cexx.org ali Spybot S & D iz Kolla.de.

Upoštevajte, da HijackThis zaradi varnostnih težav ne bo določil "neznanih" datotek v skladišču LSP.

O11 - Dodatna skupina v oknu IE "Napredne možnosti"

Kako izgleda: O11 - Skupina opcij: CommonName CommonName

Kaj storiti:Edini ugrabitelj od zdaj, ki dodaja svojo lastno skupino opcij v okno IE napredne možnosti, je CommonName. Torej lahko vedno HijackThis to popravi.

O12 - IE vtičniki

Kako izgleda: O12 - Plugin za .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - vtičnik za .PDF: C: Programske datoteke Internet Explorer PLUGINS nppdf32.dll

Kaj storiti:Večina časa je to varno. Samo OnFlow dodaja vtičnik, ki ga ne želite (.ofb).

O13 - IE Privzeta prevara

Kako izgleda: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefiks: http://ehttp.cc/?

Kaj storiti:To so vedno slabe. HijackThis jih določi.

O14 - ugrabitev "Reset Web Settings"

Kako izgleda: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Kaj storiti:Če URL ni ponudnik vašega računalnika ali vašega ponudnika internetnih storitev, ga HijackThis odpravite.

O15 - Nezaželene strani v Trusted Zone

Kako izgleda: O15 - Trusted Zone: http://free.aol.comO15 - Zaupno območje: * .coolwebsearch.comO15 - Zaupno območje: * .msn.com

Kaj storiti:Večino časa samo AOL in Coolwebsearch tiho dodajajo spletna mesta v Trusted Zone. Če niste navedli navedene domene sami v zaupni coni, ga namestite s HijackThis.

O16 - Objekti ActiveX (aka prenesenih programskih datotek)

Kako izgleda: O16 - DPF: Yahoo! Klepet - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objekt Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Kaj storiti:Če ne prepoznate imena predmeta ali URL-ja, s katerega ste ga prenesli, ga popravite. Če ime ali URL vsebuje besede, kot so dialer, casino, free_plugin itd, ga zagotovo odpravite. Javacoolov SpywareBlaster ima ogromno bazo podatkov o zlonamernih predmetih ActiveX, ki jih lahko uporabite za iskanje CLSID-jev. (Z desno tipko miške kliknite seznam, da uporabite funkcijo Find.)

O17 - Lop.com domene hijacks

Kako izgleda: O17 - HKLM Sistem CCS Storitve VxD MSTCP: Domena = aoldsl.netO17 - HKLM System CCS Services Tcpip Parametri: Domena = W21944.find-quick.comO17 - HKLM Programska oprema .. Telefonija: DomainName = W21944.find-quick.comO17 - HKLM Sistem CCS Storitve Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domena = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parametri: SearchList = gla.ac.ukO17 - HKLM Sistem CS1 Storitve VxD MSTCP: ImeServer = 69.57.146.14,69.57.147.175

Kaj storiti:Če domena ni od vašega ponudnika internetnih storitev ali omrežja podjetja, jo namestite s HijackThis. Enako velja za vnose »SearchList«. Za vnos v imeniku »NameServer« (DNS strežniki) Google za IP ali IP-je in bo zlahka videti, ali so dobre ali slabe.

O18 - Dodatni protokoli in ugrabitelji protokola

Kako izgleda: O18 - protokol: povezani povezavi - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - ugrabitev protokola: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Kaj storiti:Tukaj se pojavita le nekaj ugrabiteljev. Znane baddies so "cn" (CommonName), "ayb" (Lop.com) in "relatedlinks" (Huntbar), morate imeti HijackThis to popraviti. Druge stvari, ki se prikazujejo, še niso bile potrjene varno ali so jih ugrabili (to pomeni, da je program CLSID spremenil) vohunska programska oprema. V zadnjem primeru ga HijackThis popravi.

O19 - ugrabitev slogov v slogu

Kako izgleda: O19 - Uporabniški slog stanja: c: WINDOWS Java my.css

Kaj storiti:V primeru upočasnitve brskalnika in pogostih pojavnih oken HijackThis določi ta element, če se prikaže v dnevniku. Ker pa samo Coolwebsearch to počne, je bolje, če ga želite popraviti.

O20 - AppInit_DLLs Vrednost registra je avtomatska

Kako izgleda: O20 - AppInit_DLLs: msconfd.dll

Kaj storiti:Ta vrednost registra, ki se nahaja v HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows, naloži DLL v pomnilnik, ko se uporabnik prijavi, nato pa ostane v pomnilniku, dokler se ne odpre. Zelo malo legitimnih programov jih uporablja (Norton CleanSweep uporablja APITRAP.DLL), najpogosteje jo uporabljajo trojanci ali agresivni ugrabitelji brskalnika.

V primeru "skrite" DLL nalaganja iz te vrednosti registra (vidna samo, če v Regeditu uporabljate možnost »Uredi binarne podatke«) se lahko dll ime predpiše s cevjo '|' da bi bil viden v dnevniku.

O21 - ShellServiceObjectDelayLoad

Kako izgleda: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Kaj storiti:To je nedokumentirana metoda avtorun, ki jo navadno uporabljajo nekatere komponente sistema Windows. Elementi, ki so navedeni v HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad, naloži Explorer, ko se zažene Windows. HijackThis uporablja belo listo več zelo pogostih elementov SSODL, tako da vsakič, ko je element v dnevniku prikazan, je neznan in morda zlonameren. Skrbno ravnajte z njo.

O22 - SharedTaskScheduler

Kako izgleda: O22 - SharedTaskScheduler: (brez imena) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Kaj storiti:To je nedokumentiran zagon za samo Windows NT / 2000 / XP, ki se uporablja zelo redko. Do zdaj ga uporablja le CWS.Smartfinder. Pazljivo pazite.

Storitve O23 - NT

Kako izgleda: O23 - Servis: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Osebni požarni zid persfw.exe

Kaj storiti:To je seznam storitev, ki niso Microsoftovi.Seznam mora biti enak tistemu, ki ga vidite v pripomočku Msconfig v operacijskem sistemu Windows XP. Številni trojanski ugrabitelji uporabljajo domačo storitev, ki se prilagaja drugim zagonskam, da se znova namestijo. Polno ime je ponavadi pomembno-zvok, kot so "Network Security Service", "Service Logon Service" ali "Remote Procedure Call Helper", vendar je notranje ime (med oklepajima) niz vrvejev, kot je "Ort". Drugi del vrstice je lastnik datoteke na koncu, kot je razvidno iz lastnosti datoteke.

Upoštevajte, da bo določitev elementa O23 ustavila storitev in jo onemogočila. Storitev je treba izbrisati iz registra ročno ali z drugim orodjem. V razdelku HijackThis 1.99.1 ali novejši lahko za to uporabite gumb »Delete NT Service« v razdelku Misc Tools.

Izbira Urednika