Kako analizirati HijackThis zapise

Tumačenje zapisnika podataka za pomoć uklanjanju špijunskih i preglednika otetora

HijackThis je besplatan alat tvrtke Trend Micro. Izvorno ga je razvila Merijn Bellekom, studentica u Nizozemskoj. Softver za uklanjanje špijunskih programa poput Adawarea ili Spybot S & D čini dobar posao otkrivanja i uklanjanja većine špijunskih programa, no neki otmičari spywarea i preglednika previše su podmukli čak i za ove velike antispyware programe.

HijackThis je napisan posebno za otkrivanje i uklanjanje hijacka preglednika ili softvera koji preuzima vaš web preglednik, mijenja vašu zadanu početnu stranicu i tražilicu i druge zlonamjerne stvari. Za razliku od tipičnog anti-spyware softvera, HijackThis ne koristi potpise niti cilja na određene programe ili URL-ove za otkrivanje i blokiranje. Umjesto toga, HijackThis traži trikove i metode koje koristi zlonamjerni softver za zarazu vašeg sustava i preusmjeravanje preglednika.

Nije sve što se pojavljuje u HijackThis zapisima je loša stvar i ne treba sve ukloniti. Zapravo, upravo suprotno. Gotovo je zajamčeno da će neke stavke u vašim HijackThis zapisima biti legitimni softver i uklanjanje tih stavki može nepovoljno utjecati na vaš sustav ili ga potpuno ne raditi. Korištenje HijackThis puno je poput samog uređivanja registra sustava Windows . To nije raketna znanost, ali svakako ne biste trebali to učiniti bez nekih stručnih smjernica, osim ako stvarno ne znate što radite.

Nakon što instalirate HijackThis i pokrenete ga za generiranje dnevnika, postoji širok izbor foruma i web mjesta na kojima možete postavljati ili prenositi podatke zapisnika. Stručnjaci koji znaju što tražiti mogu vam pomoći analizirati zapisničke podatke i savjetovati vas o tome koje stavke treba ukloniti i koje one napustiti sami.

Da biste preuzeli trenutnu verziju programa HijackThis, možete posjetiti službenu web stranicu tvrtke Trend Micro.

Evo pregleda unosa HijackThis zapisa koji možete koristiti za skok na informacije koje tražite:

• R0, R1, R2, R3 - URL-ovi početnih / pretraživačkih stranica programa Internet Explorer
• F0, F1 - Autoloading programi
• N1, N2, N3, N4 - Netscape / Mozilla Start / Pretraži URL stranice
• O1 - Hosts preusmjeravanje datoteke
• O2 - objekti Helper preglednika
• O3 - Internet Explorer alatne trake
• O4 - Autoloading programi iz Registra
• O5 - IE Opcija ikona nije vidljiva na upravljačkoj ploči
• O6 - IE Mogućnosti pristupa ograničen od strane administratora
• O7 - Regedit pristup ograničen od strane administratora
• O8 - Dodatne stavke u IE desnim klikom izbornika
• O9 - Dodatni gumbi na glavnoj alatnoj traci gumba IE ili dodatne stavke u izborniku "Alati"
• O10 - Winsock otmičar
• O11 - Dodatna skupina u prozoru IE Advanced Options
• O12 - IE dodatke
• O13 - IE DefaultPrefix otima
• O14 - "Reset web postavki" oteti
• O15 - Neželjena stranica u Trusted Zone
• O16 - ActiveX objekti (aka preuzete programske datoteke)
• O17 - Lop.com domena otmičara
• O18 - Dodatni protokoli i protuprovalni protuprovalni operateri
• O19 - Korisnički stil otmičara
• O20 - AppInit_DLLs Vrijednost registra autorun
• O21 - ShellServiceObjectDelayLoad Autorun registarske tipke
• O22 - SharedTaskScheduler Autorun registarskog ključa

• O23 - Windows NT Usluge

R0, R1, R2, R3 - IE Početak i pretraživanje stranica

Kako izgleda:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Glavni, početna stranica = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Glavni, Default_Page_URL = http://www.google.com/
R2 - (ovaj tip još ne koristi HijackThis)
R3 - Zadani URLSearchHook nedostaje

Što uraditi:
Ako URL na kraju dobijete kao svoju početnu stranicu ili tražilicu, to je u redu. Ako to ne učinite, provjerite to i popravite ga s HijackThis. Za stavke R3, uvijek ih popravite, osim ako ne spomenuti program koji prepoznajete, kao što je Kopernik.

F0, F1, F2, F3 - Autoloading programi iz INI datoteka

Kako izgleda:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: pokrenite = hpfsched

Što uraditi:
F0 stavke su uvijek loše, pa ih ispravite. F1 stavke obično su vrlo stari programi koji su sigurni, stoga biste trebali pronaći više informacija o nazivu datoteke kako biste vidjeli je li dobro ili loše. Pacman's Startup List može vam pomoći pri prepoznavanju stavke.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Stranica za pretraživanje

Kako izgleda:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Programske datoteke \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumenti i postavke \ Podaci korisnika \ aplikacija \ Mozilla \ Profili \ defaults9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumenti i postavke \ Podaci korisnika \ aplikacija \ Mozilla \ Profili \ defaults9t1tfl.slt \ prefs.js)

Što uraditi:
Obično su Netscape i Mozilla početna stranica i stranica za pretraživanje sigurni. Rijetko se oteli, samo je poznato da je Lop.com to učinio. Ako vidite URL koji ne prepoznajete kao početnu stranicu ili stranicu za pretraživanje, ispravite je s HijackThis.

O1 - Preusmjeravanja na hostsfile

Kako izgleda:
O1 - Domaćini: 216.177.73.139 auto.search.msn.com
O1 - Domaćini: 216.177.73.139 search.netscape.com
O1 - Domaćini: 216.177.73.139 ieautosearch
O1 - Datoteka Hosts nalazi se u C: \ Windows \ Help \ hosts

Što uraditi:
Ovaj oteti će preusmjeriti adresu desno na IP adresu s lijeve strane. Ako IP ne pripada adresi, bit ćete preusmjereni na pogrešnu web-lokaciju svaki put kad unesete adresu. Možete uvijek imati HijackThis popraviti ove, osim ako ste svjesno stavili te retke u datoteku Hosts.

Zadnja stavka ponekad se pojavljuje na Windows 2000 / XP sa Coolwebsearch infekcijom. Uvijek ispravite ovu stavku ili je CWShredder automatski popravi.

O2 - objekti Helper preglednika

Kako izgleda:
O2 - BHO: Yahoo! Popratni BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (bez imena) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (nedostaje datoteka)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Što uraditi:
Ako izravno ne prepoznajete ime objekta Helpera preglednika, upotrijebite popis BHO i alatne trake tvrtke TonyK da biste ga pronašli prema ID-u klase (CLSID, broj između kovrčastih zagrada) i provjerite je li dobro ili loše. Na popisu BHO, 'X' znači spyware i 'L' znači sigurno.

O3 - IE alatne trake

Kako izgleda:
O3 - Alatna traka: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Alatna traka: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (nedostaje datoteka)
O3 - Alatna traka: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Što uraditi:
Ako izravno ne prepoznajete naziv alatne trake, upotrijebite popis BHO i alatne trake tvrtke TonyK da biste ga pronašli prema ID-u klase (CLSID, broj između kovrčastih zagrada) i pogledajte je li dobro ili loše. Na popisu Toolbara "X" znači spyware i "L" znači siguran. Ako se ne nalazi na popisu, a ime se čini slučajnim nizom znakova i datoteka se nalazi u mapi "Application Data" (kao posljednja u gore navedenim primjerima), to je vjerojatno Lop.com i sigurno biste trebali imati HijackThis popravak to.

O4 - Programi automatskog učitavanja iz registarske ili pokretne skupine

Kako izgleda:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Pokreni: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Programske datoteke \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Pokretanje: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Globalno pokretanje: winlogon.exe

Što uraditi:
Upotrijebite Pacmanov popis za pokretanje da biste pronašli unos i provjerite je li dobro ili loše.

Ako stavka prikazuje program koji sjedi u Startup grupi (kao posljednja stavka iznad), HijackThis ne može popraviti stavku ako je ovaj program još uvijek u memoriji. Koristite Windows Task Manager (TASKMGR.EXE) da biste zatvorili postupak prije popravljanja.

O5 - IE Opcije nisu vidljive na upravljačkoj ploči

Kako izgleda:
O5 - control.ini: inetcpl.cpl = ne

Što uraditi:
Osim ako ste vi ili vaš administrator sustava svjesno skrivali ikonu iz upravljačke ploče, HijackThis to popraviti.

O6 - IE Mogućnosti pristupa ograničen od strane administratora

Kako izgleda:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Ograničenja prisutna

Što uraditi:
Ako nemate opciju Spybot S & D "Zaključaj početnu stranicu od izmjena" ili vaš administrator sustava stavlja ovo na svoje mjesto, HijackThis to popravlja.

O7 - Regedit pristup ograničen od strane administratora

Kako izgleda:
O7 - HKCU \ Softver \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Što uraditi:
HijackThis uvijek ima ovo popraviti, osim ako vaš administrator sustava nije stavio ovo ograničenje na svoje mjesto.

O8 - Dodatne stavke u IE desnim klikom izbornika

Kako izgleda:
O8 - Dodatna stavka izbornika u kontekstu: & Google pretraživanje - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_HR_1.1.68-DELEON.DLL / cmsearch.html
O8 - Dodatna stavka izbornika u kontekstu: Yahoo! Pretraži datoteku: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Dodatna stavka izbornika u kontekstu: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Dodatna stavka izbornika: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Što uraditi:
Ako ne prepoznajete naziv stavke u izborniku desnom tipkom miša u IE, HijackThis to popraviti.

O9 - Dodatni gumbi na glavnoj IE alatnoj traci ili dodatne stavke u IE & # 39; Alatima & # 39; izbornik

Kako izgleda:
O9 - Dodatni gumb: Messenger (HKLM)
O9 - Dodatni izbornik 'Tools': Messenger (HKLM)
O9 - Dodatni gumb: AIM (HKLM)

Što uraditi:
Ako ne prepoznajete naziv gumba ili stavke izbornika, ispravite je s HijackThis.

O10 - otmičari Winsock

Kako izgleda:
O10 - Oteti internetski pristup od strane New.Net
O10 - Propusni pristup internetu zbog LSP pružatelja usluga c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll 'nedostaje
O10 - Nepoznata datoteka u programu Winsock LSP: c: \ programske datoteke \ newton zna \ vmain.dll

Što uraditi:
To je najbolje riješiti pomoću LSPFixa iz Cexx.org ili Spybot S & D iz Kolla.de.

Imajte na umu da se "nepoznate" datoteke u LSP stalci neće riješiti pomoću programa HijackThis, zbog sigurnosnih problema.

O11 - Dodatna skupina u IE & # 39; Naprednim opcijama & # 39; prozor

Kako izgleda:
O11 - Opcija grupa: [CommonName] CommonName

Što uraditi:
Jedini hijacker od sada koji dodaje vlastitu skupinu opcija u IE Advanced Options prozor CommonName. Stoga uvijek možete imati HijackThis popraviti ovo.

O12 - IE dodatke

Kako izgleda:
O12 - Plugin za .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - dodatak za .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Što uraditi:
Većinu vremena to su sigurne. Samo OnFlow ovdje dodaje dodatak koji ne želite (.ofb).

O13 - IE DefaultPrefix otima

Kako izgleda:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefiks: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiks: http://ehttp.cc/?

Što uraditi:
To su uvijek loši. HijackThis ih popraviti.

O14 - Ponovno postavljanje web-postavki & # 39; oteti

Kako izgleda:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Što uraditi:
Ako URL nije davatelj vašeg računala ili ISP-a, ispravite je s HijackThis.

O15 - Neželjena mjesta u Trusted Zone

Kako izgleda:
O15 - Pouzdana zona: http://free.aol.com
O15 - Pouzdana zona: * .coolwebsearch.com
O15 - Pouzdana zona: * .msn.com

Što uraditi:
Većinu vremena samo AOL i Coolwebsearch tiho dodaju web stranice u Trusted Zone. Ako niste dodali navedenu domenu na Trusted Zone, HijackThis to popraviti.

O16 - ActiveX objekti (aka preuzete programske datoteke)

Kako izgleda:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Što uraditi:
Ako ne prepoznajete naziv objekta ili URL s kojeg je preuzet, HijackThis to popraviti. Ako ime ili URL sadrže riječi poput "brojčanik", "casino", "free_plugin" itd., Definitivno ga popraviti. Javacool's SpywareBlaster ima ogromnu bazu zlonamjernih ActiveX objekata koji se mogu koristiti za traženje CLSID-ova. (Desnom tipkom miša kliknite popis kako biste koristili funkciju Traženje.)

Domena O17 - Lop.com ometa

Kako izgleda:
O17 - HKLM \ Sustav \ CCS \ Services \ VxD \ MSTCP: Domena = aoldsl.net
O17 - HKLM \ Sustav \ CCS \ Services \ Tcpip \ Parametri: Domena = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ Sustav \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domena = W21944.find-quick.com
O17 - HKLM \ Sustav \ CS1 \ Services \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ Sustav \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Što uraditi:
Ako domena nije iz vašeg ISP-a ili tvrtke mreže, HijackThis to popraviti. Isto vrijedi i za stavke "SearchList". Za unose "NameServer" ( DNS poslužitelji ) Google za IP ili IP i lako će se vidjeti jesu li dobri ili loši.

O18 - Dodatni protokoli i protuprovalni protuprovalni operateri

Kako izgleda:
O18 - Protokol: povezani poveznice - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - protokol oteti: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Što uraditi:
Ovdje se pojavljuju samo nekoliko otmičara. Poznati su baddies 'cn' (CommonName), 'ayb' (Lop.com) i 'linkedlinks' (Huntbar), trebali biste imati HijackThis popraviti one. Ostale stvari koje se pojavljuju ili nisu potvrđene još sigurne, ili su oteli (tj. CLSID je promijenjen) od strane spyware. U posljednjem slučaju, HijackThis to popraviti.

O19 - Korisnički stil otmičara

Kako izgleda:
O19 - Korisnički list stroja: c: \ WINDOWS \ Java \ my.css

Što uraditi:
U slučaju usporavanja preglednika i čestih skočnih prozora, HijackThis popravlja ovu stavku ako se pojavi u zapisniku. Međutim, budući da samo Coolwebsearch to čini, bolje je koristiti CWShredder kako bi je popravio.

O20 - AppInit_DLLs Vrijednost registra autorun

Kako izgleda:
O20 - AppInit_DLLs: msconfd.dll

Što uraditi:
Ova vrijednost registra koja se nalazi na HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows učitava DLL u memoriju kada se korisnik prijavi, nakon čega ostaje u memoriji do odjava. Vrlo malo legitimnih programa koristi ga (Norton CleanSweep koristi APITRAP.DLL), najčešće ga koriste trojanci ili agresivni otmičari preglednika.

U slučaju "skrivenog" učitavanja DLL-a iz ove vrijednosti registra (vidljivo samo kada koristite opciju 'Uredi binarne podatke' u regeditu) dll ime može biti unaprijed s cijevom '|' kako bi je vidljiv u dnevniku.

O21 - ShellServiceObjectDelayLoad

Kako izgleda:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Što uraditi:
Ovo je nedokumentirana autorunska metoda koju obično koristi nekoliko komponenti sustava Windows. Stavke koje su navedene na HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad učitavaju Explorer kada se pokrene sustav Windows. HijackThis koristi dopušteni popis nekoliko vrlo uobičajenih SSODL stavki, tako da svaki put kada se neka stavka prikazuje u zapisniku, ona je nepoznata i vjerojatno zlonamjerna. Tretirajte s iznimnom pažnjom.

O22 - SharedTaskScheduler

Kako izgleda:
O22 - SharedTaskScheduler: (bez naziva) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Što uraditi:
Ovo je nedokumentiran autorun za Windows NT / 2000 / XP koji se koristi vrlo rijetko. Do sada samo CWS.Smartfinder ga koristi. Lijepo postupajte.

O23 - NT usluge

Kako izgleda:
O23 - Usluga: Kerio osobni vatrozid (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Što uraditi:
Ovo je popis usluga koje nisu Microsoftove. Popis bi trebao biti isti kao onaj koji vidite u uslužnom programu Msconfig sustava Windows XP. Neki trojanskih otmičara koriste domaću uslugu u adittion drugim startupima kako bi se ponovno instalirali. Puno ime obično je važna, poput "Network Security Service", "Workstation Logon Service" ili "Remote Procedure Call Helper", no unutarnje ime (između zagrada) je niz smeća, poput "Ort". Drugi dio retka je vlasnik datoteke na kraju, što se vidi u svojstvima datoteke.

Imajte na umu da popravljanje O23 stavke zaustavlja uslugu i onemogućuje ga. Uslugu se iz Registra treba izbrisati ručno ili pomoću drugog alata. U HijackThis 1.99.1 ili novijoj verziji, za to se može koristiti gumb 'Izbriši NT Service' u sekciji Misc Tools.