Kuidas analüüsida HijackThis logisid

Log andmete andmete tõlgendamine, et aidata eemaldada nuhkvara ja brauseri kaaperdajad

HijackThis on Trend Micro tasuta tööriist. Algselt loodi Hollandi üliõpilane Merijn Bellekom. Nuhkvara eemaldamise tarkvara nagu Adaware või Spybot S & D teevad head tööd enamiku nuhkvaraprogrammide tuvastamiseks ja eemaldamiseks, kuid mõned nuhkvara ja brauseri kaaperdajad on liiga suured, isegi nende suurepäraste nuhkvaratõrjeprogrammide jaoks.

Hijack See on spetsiaalselt kirjutatud brauseri hijackide tuvastamiseks ja eemaldamiseks või teie veebibrauserit ületavatele tarkvaradele, muutes teie vaikekataloogi ja otsingumootorit ning muid pahatahtlikke asju. Erinevalt tavapärasest nuhkvaratõrjetarkvarast ei kasuta HijackThis allkirju ega suunata konkreetseid programme või URL-e avastamiseks ja blokeerimiseks. Hijacki asemel otsib see pahavara kasutatavaid trikke ja meetodeid teie süsteemi nakatamiseks ja brauseri ümbersuunamiseks.

Mitte kõik, mis ilmub Hijackis. Selles logis on halb asi ja seda ei tohiks kõik eemaldada. Tegelikult on see vastupidi. Peaaegu on garanteeritud, et mõni teie HijackThis palkidest on legitiimne tarkvara ning nende eemaldamine võib teie süsteemi ebasoodsalt mõjutada või muuta selle täielikult kasutuskõlbmatuks. Hijacki kasutamine See on palju nagu näiteks Windowsi registri muutmine ise. See ei ole raketiteadus, kuid te ei tohiks kindlasti seda teha ilma mõne eksperdihinnangu kui sa ei tea, mida sa teed.

Kui olete installinud HijackThis ja käivitage see logifaili loomiseks, on palju foorumeid ja saite, kus saate logiandmeid postitada või üles laadida. Eksperdid, kes teavad, mida otsida, võivad seejärel aidata teil logiandmeid analüüsida ja anda teile nõu, millised üksused eemaldada ja millised neist üksi jätta jätta.

HijackThis oleva versiooni allalaadimiseks võite külastada Trend Microi ametlikku saiti.

Siin on ülevaade Hijackist. Sellest logi kirjetest, mille abil saate otsitavat teavet otsida:

• R0, R1, R2, R3 - Internet Exploreri algus- / otsingulehtede URL-id
• F0, F1 - autoloadimisprogrammid
• N1, N2, N3, N4 - Netscape / Mozilla algus- / otsingu lehtede URL-id
• O1 - hostide failide ümbersuunamine
• O2 - brauseri abiobjektid
• O3 - Internet Exploreri tööriistaribad
• O4 - Autoloading programmid registrist
• O5 - IE Valikute ikoon ei ole juhtpaneelil nähtav
• O6 - IE Administraatori poolt piiratud juurdepääsuvõimalused
• O7 - Regediti juurdepääs, mille on piiranud administraator
• O8 - täiendavad elemendid paremklõpsake IE-i menüüd
• O9 - peamised IE nupu tööriistariba lisanupud või menüüst "Tööriistad" IE lisavarustus
• O10 - Winsocki kaaperdaja
• O11 - ekstra grupp IE 'Advanced Options' aknas
• O12 - IE pluginad
• O13 - IE DefaultPrefix hijack
• O14 - kaaperdamine "Web-seadete lähtestamine"
• O15 - soovimatu sait usaldusväärses tsoonis
• O16 - ActiveX-i objektid (sh ka alla laaditud programmifailid)
• O17 - Lop.com domeeni kaaperdajad
• O18 - lisaprotokollid ja protokolli kaaperdajad
• O19 - kasutaja stiililehe kaaperdamine
• O20 - AppInit_DLLs Registri väärtus autorun
• O21 - ShellServiceObjectDelayLoad registrivõtme autorun
• O22 - SharedTaskScheduler registrivõtme autorun

• O23 - Windows NT teenused

R0, R1, R2, R3 - IE algus- ja otsinguleheküljed

Milline see välja näeb:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (seda tüüpi ei kasuta HijackThis veel)
R3 - Vaikimisi URLSearchHook on puudu

Mida teha:
Kui tunned lõpus URL-i oma avaleheks või otsingumootoriks, on see OK. Kui te seda ei tee, kontrollige seda ja peate Hijacki lahendama. R3-esemete korral määrige need alati, kui nad ei maini tunnustatud programmi, nagu Copernic.

F0, F1, F2, F3 - automaatsed programmid INI-failidest

Milline see välja näeb:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Mida teha:
F0 asjad on alati halb, nii et neid parandage. F1 esemed on tavaliselt väga vanad programmid, mis on ohutud, nii et peaksite leidma mõne lisateabe failinime kohta, et näha, kas see on hea või halb. Pacmani käivitusnimekiri aitab objekti tuvastamisel aidata.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Otsi lehte

Milline see välja näeb:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Kasutajad \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumendid ja sätted \ Kasutajad \ Rakenduse andmed \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "mootor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumendid ja sätted \ Kasutajad \ Rakenduse andmed \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Mida teha:
Tavaliselt on Netscape ja Mozilla koduleht ja otsinguleht ohutud. Nad saavad harva kaaperdatud, kuid ainult Lop.com on seda teinud. Kui näete URL-i, mille te ei tunne oma avaleheks või otsingulehel, siis peate Hijacki selle parandama.

O1 - Hostsfile ümbersuunamine

Milline see välja näeb:
O1 - võõrustajad: 216.177.73.139 auto.search.msn.com
O1 - võõrustajad: 216.177.73.139 search.netscape.com
O1 - võõrustajad: 216.177.73.139 ieautosearch
O1 - Hosts fail asub aadressil C: \ Windows \ Help \ hosts

Mida teha:
See kaaperdamine suunab aadressi vasakule paremale IP-aadressile. Kui IP ei kuulu aadressi, suunatakse teid alati valele saidile, kui sisestate selle aadressi. Teil on alati võimalik Hijacki. See lahendab need, välja arvatud juhul, kui teadlikult asute need read teie hosti faili.

Viimane asi ilmneb mõnikord Windows 2000 / XP-ga Coolwebsearchi infektsiooniga. Fikseerige see üksus alati alati või peate CWShredder seda automaatselt parandama.

O2 - brauseri abiobjektid

Milline see välja näeb:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (nimi puudub) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAMME FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fail puudub)
O2 - BHO: MediaLoads täiustatud - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Mida teha:
Kui te ei tunnista otseselt Browser Helperi objekti nime, kasutage TonyKi BHO & tööriistariba loendit, et seda leida klassi ID-ga (CLSID - number lokkide vahel) ja näha, kas see on hea või halb. BHO-loendis tähendab "X" nuhkvara ja "L" tähendab ohutut.

O3 - IE tööriistaribad

Milline see välja näeb:
O3 - tööriistariba: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - tööriistariba: hüpikakende eemaldaja - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fail puudub)
O3 - tööriistariba: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Mida teha:
Kui te ei näe tööriistariba nime otseselt ära, kasutage TonyKi BHO & tööriistariba loendit, et seda leida klassi ID-ga (CLSID, number kirjaklambrites) ja näha, kas see on hea või halb. Tööriistariba loendis tähendab "X" nuhkvara ja "L" tähendab ohutut. Kui see pole loendis ja nimi tundub juhuslikult tähemärkide hulgast ja fail on kaustas "Rakenduste andmed" (nagu eelmistes näidetes), on see tõenäoliselt Lop.com ja sul peaks kindlasti olema Hijacki lahendus see on

O4 - Autoloading programmid registri või startup grupist

Milline see välja näeb:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - käivitamine: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - globaalne käivitamine: winlogon.exe

Mida teha:
Kasutage PacMani käivitusnimekirja kirje leidmiseks ja vaata, kas see on hea või halb.

Kui objekt näitab käivitusrühmas istuvat programmi (nagu viimane element ülalpool), ei saa Hijacki elementi parandada, kui see programm on veel mälus. Kasutage Windowsi tööülesannete haldurit (TASKMGR.EXE), et lõpetada protsess enne kinnitamist.

O5 - IE Valikud, mida juhtpaneelil pole näha

Milline see välja näeb:
O5 - control.ini: inetcpl.cpl = ei

Mida teha:
Kui te pole teie või teie süsteemiadministraator teadlikult juhtpaneeli ikooni ikooni peita, peate Hijacki selle parandama.

O6 - IE Administraatori poolt piiratud juurdepääsuvõimalused

Milline see välja näeb:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Piirangud olemas

Mida teha:
Kui teil pole Spybot S & D valiku "Lukusta avaleht muudatustest" aktiivselt või kui teie süsteemiadministraator paneb selle oma kohale, peate Hijacki selle parandama.

O7 - Regediti juurdepääs, mille on piiranud administraator

Milline see välja näeb:
O7 - HKCU \ Tarkvara \ Microsoft \ Windows \ CurrentVersion \ Poliitikad \ Süsteem, DisableRegedit = 1

Mida teha:
Hüppa see alati, kui teie süsteemiadministraator pole seda piirangut asetanud.

O8 - täiendavad elemendid paremklõpsake IE-i menüüd

Milline see välja näeb:
O8 - lisa kontekstimenüü üksus: & Google'i otsing - res: // C: \ WINDOWS \ LAHTIENDAVAD PROGRAMMI FILISED \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - täiendav kontekstimenüü: Yahoo! Otsing - fail: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - kontekstimenüü lisavalik: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - lisanööri kontekstimenüü: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Mida teha:
Kui te ei tunne IE-i paremklõpsamise menüüst üksuse nime, siis on see Hijack. See parandab seda.

O9 - lisanupud peamist IE tööriistariba või täiendavad üksused IE-is & # 39; Tööriistad & # 39; menüü

Milline see välja näeb:
O9 - lisa nupp: Messenger (HKLM)
O9 - Extra "Tööriistad" menuitem: Messenger (HKLM)
O9 - lisa nupp: AIM (HKLM)

Mida teha:
Kui te ei tunne nupu või menüü elemendi nime, siis peate Hijacki selle parandama.

O10 - Winsocki kaaperdajad

Milline see välja näeb:
O10 - U.Neti poolt kaaperdatud Interneti-ühendus
O10 - lõhestatud Interneti-ühendus LSP-teenusepakkuja tõttu: c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll puudub
O10 - Tundmatu fail Winsock LSP-is: c: \ program files \ newton teab \ vmain.dll

Mida teha:
Parim on neid parandada, kasutades CEXX.org LSPFixi või Kolla.de Spybot S & D-d.

Pidage meeles, et HijackThis ei lahenda ohutusega seotud probleeme LSP stacki "tundmatute" failide puhul.

O11 - täiendav rühm IE & # 39; Täpsemad valikud & # 39; aken

Milline see välja näeb:
O11 - Valikute rühm: [CommonName] CommonName

Mida teha:
Ainuüksi kaaperdaja, kes lisab oma valikute rühma IE lisavalikute aknasse, on CommonName. Nii et saate alati Hijacki. See lahendab.

O12 - IE pluginad

Milline see välja näeb:
O12 - Plugin .spop jaoks: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin .PDF jaoks: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Mida teha:
Enamik neist on ohutud. Ainult OnFlow lisab siin pluginat, mida te ei soovi (.ofb).

O13 - IE DefaultPrefix hijack

Milline see välja näeb:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefiks: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Eesliide: http://ehttp.cc/?

Mida teha:
Need on alati halvad. Have HijackThis neid parandada.

O14 - & nbsp; "Lähtesta veebiseadistused & # 39; kaaperdamine

Milline see välja näeb:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Mida teha:
Kui URL ei ole teie arvuti või Interneti-teenuse pakkuja, siis peate Hijacki selle parandama.

O15 - Soovimatud saidid usaldusväärses tsoonis

Milline see välja näeb:
O15 - usaldusväärne tsoon: http://free.aol.com
O15 - Usaldusväärne tsoon: * .coolwebsearch.com
O15 - Usaldusväärne ala: *. Msn.com

Mida teha:
Enamasti ainult AOL ja Coolwebsearch lisavad vaikimisi usaldusväärsele tsoonile saite. Kui te ei lisanud loendisse domeeni usaldusväärsele tsoonile ennast, siis peate Hijacki selle parandama.

O16 - ActiveX-i objektid (sh ka alla laaditud programmifailid)

Milline see välja näeb:
O16 - DPF: Yahoo! Vestlus - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mida teha:
Kui te ei tunne ära objekti nime või URL-i, kust see on alla laaditud, on Hijacki see parandada. Kui nimi või URL sisaldab sõnumeid nagu dialer, casino, free_plugin jne, kindlasti parandage see. Javacool's SpywareBlasteril on tohutu andmebaas pahatahtlike ActiveX-objektide kohta, mida saab CLSID-ide otsimiseks kasutada. (Funktsiooni Find otsimiseks paremklõpsake seda loendit).

O17 - Lop.com domeeni hüüdnimed

Milline see välja näeb:
O17 - HKLM \ System \ CCS \ Teenused \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Teenused \ Tcpip \ Parameetrid: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefoonia: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Teenused \ Tcpip \ .. \ (D196AB38-4D1F-45C1-9108-46D367F19F7E): Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Teenused \ Tcpip \ Parameetrid: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Teenused \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Mida teha:
Kui domeen pole teie Interneti-teenusepakkuja või ettevõtte võrgu kaudu, on Hijacki see parandada. Sama kehtib ka kirjete "SearchList" kohta. Domeeninimede (NameServer) ( DNS-serverite ) sissekannete jaoks on Google'i IP või IP-aadresside jaoks lihtne näha, kas need on head või halvad.

O18 - lisaprotokollid ja protokolli kaaperdajad

Milline see välja näeb:
O18 - protokoll: seotud seosed - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - protokolli kaaperda: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Mida teha:
Siin ilmuvad vaid mõned kaaperdajad. Tuntud võltsingud on "cn" (CommonName), "ayb" (Lop.com) ja "linkedlinks" (Huntbar), siis peaks olema Hijack. See lahendab need. Muud asjad, mis ilmuvad, ei ole ikkagi veel ohutud ega kaaperdatud (st CLSID-i on muudetud) nuhkvara abil. Viimasel juhul on Hijack See lahendab.

O19 - kasutaja stiililehe kaaperdamine

Milline see välja näeb:
O19 - Kasutaja laadileht: c: \ WINDOWS \ Java \ my.css

Mida teha:
Brauseri aeglustumise ja sagedaste hüpikaknude korral on HijackThis parandab seda elementi, kui see ilmub logi sisse. Kuid kuna seda teeb ainult Coolwebsearch, on parem seda CWShredderit kasutada.

O20 - AppInit_DLLs Registri väärtus autorun

Milline see välja näeb:
O20 - AppInit_DLLs: msconfd.dll

Mida teha:
Registri väärtus, mis asub aadressil HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, laadib DLL-i mällu, kui kasutaja logib sisse, pärast mida see jääb mällu, kuni see on välja lülitatud. Seda kasutavad väga vähe legitiimseid programme (Norton CleanSweep kasutab APITRAP.DLL-i), seda kasutatakse enamasti trooja või agressiivse brauseri hijackers.

DLL-i "varjatud" laadimise korral selle registriväärtusest (nähtav ainult siis, kui kasutab Regediti suvandit "Redigeeri binaarandmeid"), võib dlli nimega olla ette nähtud toru '|' et muuta see logi nähtavaks.

O21 - ShellServiceObjectDelayLoad

Milline see välja näeb:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Mida teha:
See on dokumentideta autorongi meetod, mida tavaliselt kasutavad mõned Windowsi komponentide komponendid. Kui Windows käivitab, laaditakse Exploreris olevad punktid HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad. Hijack See kasutab mitme väga levinud SSODL-i elementi valget nimekirja, nii et kui üksus kuvatakse logis, on see tundmatu ja võib-olla pahatahtlik. Räägi äärmise ettevaatusega.

O22 - SharedTaskScheduler

Milline see välja näeb:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Mida teha:
See on Windows NT / 2000 / XP jaoks dokumenteerimata automaatne autorun, mida kasutatakse väga harva. Siiani kasutab seda ainult CWS.Smartfinder. Hoolitsege hoolikalt.

O23 - NT teenused

Milline see välja näeb:
O23 - Teenindus: Kerio personaalne tulemüür (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Mida teha:
See on mitte-Microsofti teenuste loend. Nimekiri peaks olema sama mis see, mida näete Windows XP rakenduses Msconfig. Mitmed Trooja hijakaartid kasutavad kodutute teenust, et teised käivitavad ettevõtted saaksid end uuesti installida. Täisnimi on tavaliselt tähtis, näiteks "Network Security Service", "Workstation Logon Service" või "Remote Procedure Call Helper", kuid sisemine nimi (sulgudes olevate hulgas) on joonised nagu "Ort". Rida teine ​​osa on faili omanik lõpuks, nagu on näha faili atribuutides.

Pidage meeles, et O23 elemendi fikseerimine peatab teenuse ja blokeerib selle. Teenust tuleb registrist kustutada käsitsi või teise tööriista abil. Selles Hijackis See 1.99.1 või uuem versioon saab selle abil kasutada nuppu "Kustuta NT teenus" jaotises Misc Tools.