Kaip analizuoti HijackThis žurnalus

:

Anonim

"HijackThis" yra nemokamas "Trend Micro" įrankis. Iš pradžių jį sukūrė Merijnas Bellekomas, studentas Nyderlanduose. Šnipinėjimo programų šalinimo programinė įranga, pvz., "Adaware" arba "Spybot S & D", gerai atlieka daugelio šnipinėjimo programų aptikimą ir pašalinimą, tačiau kai kurie šnipinėjimo programų ir naršyklių užgrobėjai yra pernelyg klastingi net ir šioms puikioms anti-spyware programoms.

HijackThis yra parašyta specialiai aptikti ir pašalinti naršyklės hijacks, arba programinę įrangą, kuri perima jūsų žiniatinklio naršyklę, pakeičia numatytąjį pagrindinį puslapį ir paieškos variklį bei kitus kenkėjiškus dalykus. Skirtingai nuo įprastos anti-spyware programinės įrangos, "HijackThis" nenaudoja parašų arba taiko bet kurias konkrečias programas ar URL, kad aptiktų ir blokuotų. Greičiau, "HijackThis" ieško būdų ir metodų, kuriuos naudoja kenkėjiška programa, kad užkrėsti jūsų sistemą ir nukreipti naršyklę.

Ne viskas, kas pasirodo "HijackThis" žurnale, yra blogas dalykas, ir jis neturėtų būti pašalintas. Tiesą sakant, gana priešingai. Tai beveik užtikrinta, kad kai kurie "HijackThis" žurnalų elementai bus teisėta programinė įranga, o jų pašalinimas gali neigiamai paveikti jūsų sistemą arba padaryti ją visiškai neveikiančią. "HijackThis" naudojimas yra daug panašus į "Windows" registro redagavimą patys. Tai nėra raketų mokslas, bet jūs tikrai neturėtumėte tai daryti be specialistų patarimų, nebent jūs tikrai žinote, ką darai.

Įdiegę "HijackThis" ir paleiskite jį, kad sugeneruotumėte žurnalo failą, yra įvairių forumų ir svetainių, kuriose galite paskelbti ar įkelti žurnalo duomenis. Tada ekspertai, kurie žino, ko ieškoti, gali padėti jums analizuoti žurnalo duomenis ir patarti, kuriuos elementus reikia pašalinti ir kurie iš jų palikti atskirai.

Norėdami atsisiųsti dabartinę "HijackThis" versiją, galite apsilankyti oficialioje "Trend Micro" svetainėje.

Štai HijackThis žurnalo įrašų apžvalga, kurią galite naudoti norėdami pereiti prie informacijos, kurios ieškote:

  • R0, R1, R2, R3 - "Internet Explorer" pradžios / paieškos puslapių URL
  • F0, F1 - automatinio paleidimo programos
  • N1, N2, N3, N4 - Netscape / Mozilla pradžios / paieškos puslapių URL
  • O1 - failų persiuntimas kompiuteriuose
  • O2 - naršyklės pagalbiniai objektai
  • O3 - "Internet Explorer" įrankių juostos
  • O4 - automatinio paleidimo programos iš registro
  • O5 - IE parinkčių piktograma nematoma Valdymo skydelyje
  • O6 - IE prieigos parinktys, kurias apribojo administratorius
  • O7 - "Regedit" prieiga, kurią apribojo administratorius
  • O8 - papildomi elementai IE dešiniuoju pelės mygtuku spustelėkite meniu
  • O9 - papildomi mygtukai pagrindinėje IE mygtukų juostoje arba papildomi elementai meniu IE "Tools"
  • O10 - "Winsock" užgrobėjas
  • O11 - Papildoma grupė IE "Išplėstinės parinktys" lange
  • O12 - IE papildiniai
  • O13 - IE DefaultPrefix hijack
  • O14 - užgrobimas "Atkurti žiniatinklio nustatymus"
  • O15 - nepageidaujama svetainė patikimoje zonoje
  • O16 - "ActiveX" objektai (dar žinomi kaip atsisiunčiami programos failai)
  • O17 - "Lop.com" domeno naikintuvai
  • O18 - papildomi protokolai ir proto naikintuvai
  • O19 - naudotojo stiliaus lentelės pagrobimas
  • O20 - AppInit_DLLs registro reikšmės autorun
  • O21 - "ShellServiceObjectDelayLoad" registro raktas autorun
  • O22 - "SharedTaskScheduler" registro rakto autorun
  • O23 - "Windows NT" paslaugos

R0, R1, R2, R3 - IE pradžios ir paieškos puslapiai

Kaip tai atrodo:R0 - HKCU Software Microsoft Internet Explorer Main, Pradinis puslapis = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (šis tipas dar nėra naudojamas "HijackThis")R3 - Numatytasis URLSearchHook trūksta

Ką daryti:Jei galų gale pamatysite URL kaip pagrindinį puslapį arba paieškos variklį, tai gerai. Jei to nepadarėte, patikrinkite jį ir turite "HijackThis". R3 daiktams visada juos taisykite, jei nenurodoma programa, kurią atpažįstate, pvz., "Copernic".

F0, F1, F2, F3 - Autoloading programos iš INI failų

Kaip tai atrodo:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Ką daryti:F0 elementai visada blogi, todėl juos pataisykite. F1 elementai paprastai yra labai senos programos, kurios yra saugios, todėl turėtumėte rasti daugiau informacijos apie failo vardą, kad pamatytumėte, ar tai geras ar blogas. "Pacman" paleisties sąrašas gali padėti identifikuojant daiktą.

N1, N2, N3, N4 - Netscape / Mozilla pradžios ir paieškos puslapis

Kaip tai atrodo:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - "Netscape 6": user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "variklis: //C% 3A% 5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Ką daryti:Paprastai "Netscape" ir "Mozilla" pagrindinis puslapis bei paieškos puslapis yra saugūs. Jie retai gauna pagrobtą, tik žinoma, kad tai padarė Lop.com. Jei pamatysite URL, kurio neatpažįstate kaip pagrindinį puslapį ar paieškos puslapį, turėkite "HijackThis".

O1 - "Hostsfile" peradresavimai

Kaip tai atrodo:O1 - Kompiuteriai: 216.177.73.139 auto.search.msn.comO1 - Kompiuteriai: 216.177.73.139 search.netscape.comO1 - Kompiuteriai: 216.177.73.139 ieautosearchO1 - Kompiuterių failas yra C: Windows Help hosts

Ką daryti:Šis pagrobimas nukreipia adresą į dešinę į IP adresą kairėje.Jei IP nepriklauso adresui, bet kada įveskite adresą, būsite nukreipti į neteisingą svetainę. Jūs visada galite turėti "HijackThis" taisyti, išskyrus tuos atvejus, kai sąmoningai įdėjote šias eilutes į savo "Hosts" failą.

Paskutinis elementas kartais būna "Windows 2000 / XP" naudojant "Coolwebsearch" infekciją. Visada sureguliuokite šį elementą arba turite CWShredder ją automatiškai ištaisyti.

O2 - naršyklės pagalbiniai objektai

Kaip tai atrodo:O2 - BHO: "Yahoo!" Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (be pavadinimo) - (1A214F62-47A7-4CA3-9D00-95A3965A8B4A) - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (failas trūksta)O2 - BHO: MediaLoads Enhanced - (85A702BA-EA8F-4B83-AA07-07A5186ACD7E) - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Ką daryti:Jei tiesiogiai nepripažįsite "Browser Helper" objekto pavadinimo, naudokite "TonyK" BHO ir įrankių juostos sąrašą, kad jį surastumėte pagal klasės ID (CLSID, skaičių tarp garbanotų skliaustų) ir sužinokite, ar tai geras ar blogas. BHO sąraše "X" reiškia šnipinėjimo programą, o "L" reiškia saugų.

O3 - IE įrankių juostos

Kaip tai atrodo: O3 - įrankių juosta: & Yahoo! Kompanionas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - įrankių juosta: iškylančiųjų eliminatorių - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (failas trūksta)O3 - įrankių juosta: rzillcgthjx - (5996aaf3-5c08-44a9-ac12-1843fd03df0a) - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Ką daryti:Jei tiesiogiai nepripažinsite įrankių juostos pavadinimo, naudokite TonyK BHO ir įrankių juostos sąrašą, kad jį surastumėte pagal klasės ID (CLSID, skaičius tarp garbanotų skliaustų) ir įsitikinkite, ar tai geras ar blogas. "Toolbar" sąraše "X" reiškia šnipinėjimo programą, o "L" reiškia saugų. Jei sąraše nėra sąrašo ir pavadinimas atrodo atsitiktine simbolių eilute, o failas yra aplanke "Application Data" (pvz., Paskutinis iš pateiktų pavyzdžių), tai greičiausiai Lop.com, ir jūs tikrai turėtų turėti "HijackThis išspręsti" tai

O4 - automatinio paleidimo programos iš registro arba paleidimo grupės

Kaip tai atrodo:O4 - HKLM .. Vykdyti: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Paleisti: SystemTray SysTray.ExeO4 - HKLM .. Paleisti: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - paleistis: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - visuotinis paleidimas: winlogon.exe

Ką daryti:Naudokite "PacMan" paleisties sąrašą, kad surastumėte įrašą ir pamatytumėte, ar jis yra geras ar blogas.

Jei elementas rodo programą, kuri sėdi paleisties grupėje (kaip ir paskutinis elementas aukščiau), HijackThis negali išspręsti elemento, jei ši programa vis dar yra atminties. Naudodami Windows užduočių tvarkyklę (TASKMGR.EXE) uždarykite procesą prieš nustatydami.

O5 - IE parinktys nematomos Valdymo skyde

Kaip tai atrodo: O5 - control.ini: inetcpl.cpl = ne

Ką daryti:Išskyrus atvejus, kai jūs ar jūsų sistemos administratorius sąmoningai paslėpėte piktogramą iš "Control Panel", turite "HijackThis" ją išspręsti.

O6 - IE prieigos parinktys, kurias apribojo administratorius

Kaip tai atrodo:O6 - HKCU Software Policies Microsoft Internet Explorer Apribojimai

Ką daryti:Jei "Spybot" S & D parinktis "Užrakinti pagrindinį puslapį iš pokyčių" yra aktyvus, arba jūsų sistemos administratorius įdiegė šią funkciją, turi "HijackThis".

O7 - "Regedit" prieiga, kurią apribojo administratorius

Kaip tai atrodo:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Ką daryti:Visada turite "HijackThis" išspręsti šią problemą, nebent jūsų sistemos administratorius įdiegė šį apribojimą.

O8 - papildomi elementai IE dešiniuoju pelės mygtuku spustelėkite meniu

Kaip tai atrodo: O8 - Papildomas kontekstinio meniu elementas: & Google Search - res: // C: WINDOWS PARSISIŲSTI PROGRAMOS FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - papildomas kontekstinio meniu elementas: "Yahoo!" Paieška - failas: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Papildomas kontekstinio meniu elementas: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Papildomas kontekstinio meniu elementas: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Ką daryti:Jei nepažįstate elemento pavadinimo meniu dešiniuoju pelės mygtuku spustelėkite meniu "HijackThis".

O9 - papildomi mygtukai pagrindinėje IE įrankių juostoje arba papildomi elementai meniu IE "Tools"

Kaip tai atrodo: O9 - papildomas mygtukas: "Messenger" (HKLM)O9 - Ekstra "Įrankiai" menuitem: Messenger (HKLM)O9 - papildomas mygtukas: AIM (HKLM)

Ką daryti:Jei neatpažįstate mygtuko ar meniu elemento pavadinimo, turite "HijackThis" taisyti.

O10 - "Winsock" pagrobėjai

Kaip tai atrodo: O10 - užgrobta "New.Net" interneto prieigaO10 - trūksta interneto prieigos, nes LSP teikėjas "c: progra ~ 1 common ~ 2 toolbar cnmib.dll" trūkstaO10 - nežinomas failas Winsock LSP: c: program files newton žino vmain.dll

Ką daryti:Tai geriausia išspręsti naudojant LSPFix iš Cexx.org arba Spybot S & D iš "Kolla.de".

Atkreipkite dėmesį, kad "nežinomų" failų LSP saugykloje HijackThis nenustato dėl saugos problemų.

O11 - Papildoma grupė IE "Išplėstinės parinktys" lange

Kaip tai atrodo: O11 - parinkčių grupė: CommonName CommonName

Ką daryti:Vienintelis pagrobėjas, kuris dabar prideda savo parinkčių grupę langui IE Advanced Options, yra CommonName. Taigi jūs visada galite turėti HijackThis išspręsti šią problemą.

O12 - IE papildiniai

Kaip tai atrodo: O12 - Plugin .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Ką daryti:Dauguma jų yra saugūs. Tik "OnFlow" čia priduria papildinį (.ofb).

O13 - IE DefaultPrefix hijack

Kaip tai atrodo: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW prefiksas: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefiksas: http://ehttp.cc/?

Ką daryti:Tai visada blogai. Ar HijackThis juos pašalinti.

O14 - užgrobimas "Atkurti žiniatinklio nustatymus"

Kaip tai atrodo: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Ką daryti:Jei URL nėra jūsų kompiuterio arba jūsų interneto paslaugų teikėjo teikėjas, turėkite "HijackThis".

O15 - nepageidaujamos svetainės patikimoje zonoje

Kaip tai atrodo: O15 - Patikima zona: http://free.aol.comO15 - Patikima zona: * .coolwebsearch.comO15 - Patikima zona: *. Msn.com

Ką daryti:Dauguma laiko tik "AOL" ir "Coolwebsearch" tyliai prideda svetaines Patikimoje zonoje. Jei nepridėjote sąraše esančio domeno Patikimoje zonoje patys, turėkite "HijackThis".

O16 - "ActiveX" objektai (dar žinomi kaip atsisiunčiami programos failai)

Kaip tai atrodo: O16 - DPF: "Yahoo!" Pokalbis - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) ("Shockwave Flash Object") - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ką daryti:Jei neatpažįstate objekto pavadinimo arba URL, iš kurio jis buvo atsiųstas, turite turėti "HijackThis". Jei varde ar URL yra tokie žodžiai kaip "dialer", "kazino", "free_plugin" ir tt, tikrai jį ištaisykite. "Javacool's SpywareBlaster" turi didelę kenksmingų "ActiveX" objektų duomenų bazę, kurią galima naudoti ieškant CLSID. (Dešiniuoju pelės klavišu spustelėkite sąrašą, kad naudotumėte "Find" funkciją.)

O17 - "Lop.com" domeno hijacks

Kaip tai atrodo: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telefonija: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. (D196AB38-4D1F-45C1-9108-46D367F19F7E): Domain = W21944.find-quick.comO17 - HKLM System CS1 Paslaugos Tcpip Parametrai: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Ką daryti:Jei domenas nėra iš jūsų interneto paslaugų tiekėjo ar įmonės tinklo, turi "HijackThis". Tas pats pasakytina apie "SearchList" įrašus. "NameServer" (DNS serverių) įrašuose "Google" - tai IP ar IP, ir bus lengva pamatyti, ar jie yra geri ar blogi.

O18 - papildomi protokolai ir proto naikintuvai

Kaip tai atrodo: O18 - protokolas: susijusios nuorodos - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - protokolas: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protokolo pagrobimas: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Ką daryti:Čia rodomi tik keletas pagrobėjų. Žinomi blogai yra "cn" (CommonName), "ayb" (Lop.com) ir "linkedlinks" ("Huntbar"), turėtumėte turėti "HijackThis". Kiti įvykiai, kurie pasirodo, dar nėra patvirtinti saugūs arba yra užgrobti (pvz., CLSID pakeista) šnipinėjimo programa. Paskutiniu atveju turite "HijackThis" ją išspręsti.

O19 - naudotojo stiliaus lentelės pagrobimas

Kaip tai atrodo: O19 - vartotojo stiliaus lapas: c: WINDOWS Java my.css

Ką daryti:Jei naršyklė sulėtėja ir dažniausiai atsiranda langeliai, turite "HijackThis" taisyti šį elementą, jei jis rodomas žurnale. Tačiau, kadangi tai atliekama tik "Coolwebsearch", geriau ją naudoti "CWShredder".

O20 - AppInit_DLLs registro reikšmės autorun

Kaip tai atrodo: O20 - "AppInit_DLLs": msconfd.dll

Ką daryti:Ši registro vertė, esanti HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows, įkelia DLL į atmintį, kai vartotojas prisijungia, po to jis lieka atmintyje, kol neatvyksta. Naudoja labai mažai teisėtų programų ("Norton CleanSweep" naudoja APITRAP.DLL), dažniausiai jis naudojamas trojanams ar agresyviems naršyklių užgrobėjams.

"Slapta" DLL įkėlimo iš šio registro reikšmės atveju (matoma tik naudojant Regedit parinktį "Redaguoti dvejetainius duomenis") dll vardas gali būti pridedamas prie vamzdžio "|" kad jis būtų matomas žurnale.

O21 - "ShellServiceObjectDelayLoad"

Kaip tai atrodo: O21 - SSODL - AUHOOK - (11566B38-955B-4549-930F-7B7482668782) - C: WINDOWS System auhook.dll

Ką daryti:Tai neteisėtas autorun metodas, paprastai naudojamas kelių Windows sistemos komponentų. Elementai, išvardyti HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad, yra įkeliami "Explorer", kai "Windows" paleidžiama. "HijackThis" naudoja keletą labai įprastų SSODL elementų baltąjį sąrašą, taigi kiekvieną kartą, kai elementas rodomas žurnale, jis nėra žinomas ir galbūt kenkėjiškas. Gydykite ypatingai atsargiai.

O22 - SharedTaskScheduler

Kaip tai atrodo: O22 - SharedTaskScheduler: (be pavadinimo) - (3F143C3A-1457-6CCA-03A7-7AA23B61E40F) - c: windows system32 mtwirl32.dll

Ką daryti:Tai nėra dokumentais pagrįsta autorizacija, skirta tik "Windows NT / 2000 / XP", kuri naudojama labai retai. Iki šiol naudojamas tik CWS.Smartfinder. Elgtis atsargiai.

O23 - NT paslaugos

Kaip tai atrodo: O23 - tarnyba: Kerio asmeninė užkarda (PersFw) - "Kerio Technologies" - C: Program Files Kerio Personal Firewall persfw.exe

Ką daryti:Tai sąrašas ne "Microsoft" paslaugų.Sąrašas turėtų būti toks pat kaip ir tas, kurį matote "Windows XP" "Msconfig". Keletas trojanų pagrobėjų naudojasi namų paslauga, kad kiti pradininkai galėtų patys įdiegti. Paprastai vardas paprastai svarbus, pavyzdžiui, "Network Security Service", "Workstation Logon Service" arba "Remote Procedure Call Helper", bet vidinis pavadinimas (tarp skliaustų) yra šiukšlių eilutė, pvz., "Ort". Antroji eilutės dalis yra failo savininkas pabaigoje, kaip matyti iš failo savybių.

Atkreipkite dėmesį, kad nustatant O23 elementą paslauga bus sustabdyta ir bus išjungta. Paslauga turi būti ištrinta iš registro rankiniu būdu arba naudojant kitą įrankį. "HijackThis" 1.99.1 ar naujesnėje versijoje mygtukas "Ištrinti NT tarnybą" skirsnyje "Įvairūs įrankiai" gali būti naudojamas.

Redaktoriaus Pasirinkimas