A naplóadatok értelmezése a kémprogramok és a böngésző eltérítők eltávolításához
HijackThis egy ingyenes eszköz a Trend Micro-től. Ezt eredetileg Merijn Bellekom, hollandiai hallgató fejlesztette ki. A kémprogramok eltávolítására szolgáló szoftverek, például az Adaware vagy a Spybot S & D jó munkát végeznek a legtöbb kémprogram-program észlelésében és eltávolításában, de néhány kémprogram- és böngésző-átterelő túlságosan elhanyagolja ezeket a nagy anti-spyware programokat.
A HijackThis kifejezetten a böngésző eltérések észlelésére és eltávolítására, illetve a böngésző átvételére szolgáló szoftverre készült, megváltoztatja az alapértelmezett kezdőlapot, a keresőmotort és más rosszindulatú dolgokat. A tipikus kémprogram-elhárító szoftverektől eltérően a HijackThis nem használ aláírásokat, és nem célozza meg azokat a speciális programokat vagy URL-eket, amelyek észlelhetik és blokkolhatják azokat. Inkább a HijackThis keresi a trükköket és módszereket, amelyeket a rosszindulatú programok használnak a rendszer megfertőzésére és a böngésző átirányítására.
Nem minden, ami megjelenik a HijackThis naplókban rossz dolog, és nem szabad mindegyiket eltávolítani. Valójában épp ellenkezőleg. Majdnem garantálja, hogy a HijackThis logjainak egyes elemei jogszerű szoftverek lesznek, és az ilyen elemek eltávolítása hátrányosan befolyásolhatja a rendszert vagy teljesen működőképessé teheti. A HijackThis használata sokat hasonlít a Windows rendszerleíró adatbázis szerkesztésére. Ez nem rakéta tudomány, de feltétlenül nem kell szakértői útmutatás nélkül csinálni, hacsak nem igazán tudja, mit csinál.
Miután telepítette a HijackThis rendszert, és futtatható egy naplófájl létrehozásához, számos fórum és webhely található, ahol feltöltheti vagy feltöltheti naplóadatait. Azok a szakértők, akik tudják, hogy mit keresnek, segíthetnek a naplóadatok elemzésében és tanácsokkal ellátni, hogy mely elemeket távolítsanak el, és melyeket hagyjanak maguk után.
A HijackThis jelenlegi verziójának letöltéséhez látogasson el a Trend Micro hivatalos webhelyére.
Íme egy áttekintés a HijackThis naplóbejegyzésekről, amelyek segítségével átugorhat a keresett információkra:
- R0, R1, R2, R3 - Az Internet Explorer Start / Search oldal URL-címei
- F0, F1 - Autoloading programok
- N1, N2, N3, N4 - Netscape / Mozilla Start / Keresés oldal URL-ek
- O1 - Host fájlok átirányítása
- O2 - Böngésző Helper objektumok
- O3 - Internet Explorer eszköztárak
- O4 - Autoloading programok a nyilvántartásból
- O5 - IE Opciók ikon nem látható a Vezérlőpulton
- O6 - IE A hozzáférési hozzáférést az adminisztrátor korlátozza
- O7 - Regedit hozzáférés korlátozva a rendszergazda által
- O8 - Extra elemek az IE jobb gombbal menüben
- O9 - Extra gombok a fő IE gomb eszköztárán vagy extra elemek az IE "Eszközök" menüben
- O10 - Winsock eltérítő
- O11 - Extra csoport az IE "Haladó beállítások" ablakban
- O12 - IE bővítmények
- O13 - IE DefaultPrefix hijack
- O14 - "Webes beállítások visszaállítása" eltérítés
- O15 - Nem kívánt webhely a megbízható zónában
- O16 - ActiveX objektumok (más néven letöltött programfájlok)
- O17 - Lop.com domain hijackers
- O18 - Extra protokollok és protokoll eltérítők
- O19 - Felhasználói stíluslap eltérítés
- O20 - AppInit_DLLs Registry érték autorun
- O21 - ShellServiceObjectDelayLoad Regisztrációs kulcs automatikus
- O22 - SharedTaskScheduler Regisztrációs kulcsú autorun
- O23 - Windows NT szolgáltatások
R0, R1, R2, R3 - IE Kezdő és Keresés oldalak
Hogy néz ki:
R0 - HKCU \ Szoftver \ Microsoft \ Internet Explorer \ Fő, Kezdőoldal = http://www.google.com/
R1 - HKLM \ Szoftver \ Microsoft \ InternetExplorer \ Fő, Default_Page_URL = http://www.google.com/
R2 - (ezt a típust még nem használja a HijackThis)
R3 - Az alapértelmezett URLSearchHook hiányzik
Mit kell tenni:
Ha felismeri az URL-t a kezdőoldal vagy a keresőmotor végén, az OK gombra. Ha nem, ellenőrizze és HijackThis javítsa ki. Az R3 tételeket mindig rögzítse, kivéve, ha megemlíti az elismert programot, mint a Copernic.
F0, F1, F2, F3 - Automatikus letöltés programok INI fájlokból
Hogy néz ki:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Mit kell tenni:
Az F0 tételek mindig rosszak, ezért javítsd meg őket. Az F1 elemek általában nagyon régi programok, amelyek biztonságban vannak, ezért további információt kell találni a fájlnévről, hogy megnézze, jó vagy rossz-e. A Pacman indító lista segíthet egy elem azonosításában.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Keresési oldal
Hogy néz ki:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumentumok és Beállítások \ Felhasználó \ Alkalmazásadatok \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumentumok és Beállítások \ Felhasználó \ Alkalmazásadatok \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Mit kell tenni:
Általában a Netscape és a Mozilla honlapja és a keresési oldal biztonságos. Ritkán kapják el a csapdát, csak a Lop.com ismerte ezt. Ha olyan URL-t lát, amelyet nem ismer fel honlapjának vagy keresési oldalának, akkor a HijackThis javítsa ki.
O1 - Hostsfile átirányítások
Hogy néz ki:
O1 - gazda: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - fogadó: 216.177.73.139 ieautosearch
Az O1 - Hosts fájl a C: \ Windows \ Help \ hosts-ban található
Mit kell tenni:
Ez a hijack átirányítja a címet jobbra a bal oldalon lévő IP-címre. Ha az IP nem tartozik a címhez, minden alkalommal, amikor beírja a címet, átirányít egy rossz webhelyre. Mindig rendelkezel a HijackThis javítással, hacsak nem tudod ezeket a sorokat a Hosts fájlba.
Az utolsó tétel néha a Windows 2000 / XP rendszeren található Coolwebsearch fertőzéssel. Mindig ezt az elemet kijavítsa, vagy a CWShredder automatikusan javítsa.
O2 - Böngésző Helper objektumok
Hogy néz ki:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (nincs név) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fájl hiányzik)
O2 - BHO: továbbfejlesztett MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
Mit kell tenni:
Ha nem ismeri fel közvetlenül a böngésző-segítő objektum nevét, használja a TonyK BHO és eszköztárai listáját, hogy megtalálja az osztályazonosítóval (CLSID, a gömbölyű zárójelek között), és nézze meg, hogy jó vagy rossz. A BHO-listán az "X" a kémprogramokat jelenti, az "L" pedig biztonságos.
O3 - IE eszköztárak
Hogy néz ki:
O3 - Eszköztár: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Eszköztár: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fájl hiányzik)
O3 - Eszköztár: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Mit kell tenni:
Ha nem ismeri fel közvetlenül az eszköztár nevét, használja a TonyK BHO és Eszköztár-listáját az osztályazonosító (CLSID, a gömbölyű zárójelek száma) között, és nézze meg, hogy jó vagy rossz-e. Az Eszköztár lista "X" jelentése spyware és "L" biztonságos. Ha nem szerepel a listán, és a név véletlenszerű karakterláncnak tűnik, és a fájl az "Alkalmazásadatok" mappában van (mint a fenti példák közül az utolsó), akkor valószínűleg Lop.com, és biztosan rendelkeznie kell a HijackThis javítással azt.
O4 - Autoloading programok a regisztrációs vagy indító csoportból
Hogy néz ki:
O4 - HKLM \ .. \ Futtatás: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Közös fájlok \ Symantec Shared \ ccApp.exe"
O4 - Indítás: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - globális indítás: winlogon.exe
Mit kell tenni:
Használja a PacMan indítási listáját, hogy megtalálja a bejegyzést, és nézze meg, hogy jó vagy rossz.
Ha az elem olyan programot mutat, amely egy indító csoportban ül (mint a fenti utolsó elem), a HijackThis nem tudja javítani az elemet, ha ez a program még mindig a memóriában van. Használja a Windows Feladatkezelőt (TASKMGR.EXE), hogy lezárja a folyamatot a javítás előtt.
O5 - IE Az opciók nem láthatók a Vezérlőpulton
Hogy néz ki:
O5 - control.ini: inetcpl.cpl = nem
Mit kell tenni:
Hacsak Ön vagy a rendszergazdája tudatosan nem rejtette el az ikonot a Vezérlőpultról, a HijackThis javítsa ki.
O6 - IE A hozzáférési hozzáférést az adminisztrátor korlátozza
Hogy néz ki:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Jelen korlátozások
Mit kell tenni:
Hacsak nem rendelkezik a Spybot S & D opcióval a "Változások zárolása kezdőlapról" aktív, vagy a rendszergazda ezt helyezte el, a HijackThis javítsa ki.
O7 - Regedit hozzáférés korlátozva a rendszergazda által
Hogy néz ki:
O7 - HKCU \ Szoftver \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Mit kell tenni:
Mindig legyen HijackThis javítás, hacsak a rendszergazda ezt a korlátozást nem helyezte el.
O8 - Extra elemek az IE jobb gombbal menüben
Hogy néz ki:
O8 - Extra helyi menüpont: & Google keresés - res: // C: \ WINDOWS \ LETARTOTT PROGRAM FÁJLOK \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra helyi menüpont: Yahoo! Keresés - fájl: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Extra helyi menüelem: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra helyi menüpont: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Mit kell tenni:
Ha nem ismeri fel az elem nevét a jobb egérgombbal az IE menüben, akkor HijackThis javítsa meg.
O9 - Extra gombok a fő IE eszköztáron, vagy extra elemek az IE & # 39; Eszközökben & # 39; menü
Hogy néz ki:
O9 - Extra gomb: Messenger (HKLM)
O9 - Extra "Eszközök" menüpont: Messenger (HKLM)
O9 - Extra gomb: AIM (HKLM)
Mit kell tenni:
Ha nem ismeri fel a gomb vagy a menüelem nevét, akkor a HijackThis javítsa ki.
O10 - Winsock eltérítők
Hogy néz ki:
O10 - A New.Net által átvett internetes hozzáférés
O10 - Megszakadt internet-hozzáférés az LSP-szolgáltató miatt c: \ progra ~ 1 \ common ~ 2 \ eszköztár \ cnmib.dll 'hiányzik
O10 - Ismeretlen fájl a Winsock LSP-ben: c: \ programfájlok \ newton knows \ vmain.dll
Mit kell tenni:
Ez a legjobb megoldás az LSPFix használatával a Cexx.org-ból vagy a Kolla.de Spybot S & D-ből.
Ne feledje, hogy az "ismeretlen" fájlokat az LSP-veremben a HijackThis nem javítja biztonsági problémák esetén.
O11 - Extra csoport az IE & # 39; Speciális beállítások & # 39; ablak
Hogy néz ki:
O11 - Opciók csoport: [CommonName] CommonName
Mit kell tenni:
Az egyetlen adatátvitel, amely a saját opciócsoportját adja hozzá az IE Haladó beállítások ablakhoz, CommonName. Tehát mindig lehet HijackThis javítani.
O12 - IE bővítmények
Hogy néz ki:
O12 - Plugin for .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin for .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Mit kell tenni:
Legtöbbször ezek biztonságosak. Csak az OnFlow adja hozzá egy plugint, amelyet nem akarsz (.ofb).
O13 - IE DefaultPrefix hijack
Hogy néz ki:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW előtag: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Előtag: http://ehttp.cc/?
Mit kell tenni:
Ezek mindig rosszak. HijackThis javíttassa meg őket.
O14 - A webes beállítások visszaállítása & # 39; eltérít
Hogy néz ki:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Mit kell tenni:
Ha az URL nem a számítógép szolgáltatója vagy az internetszolgáltatója, akkor a HijackThis javítsa ki.
O15 - Nem kívánt telephelyek a megbízható zónában
Hogy néz ki:
O15 - Megbízható zóna: http://free.aol.com
O15 - Megbízható zóna: * .coolwebsearch.com
O15 - Megbízható zóna: * .msn.com
Mit kell tenni:
Legtöbbször csak az AOL és a Coolwebsearch csendesen hozzáadnak webhelyeket a Trusted Zone-hoz. Ha nem adja hozzá a megadott tartományt a Megbízható zónához, akkor a HijackThis javítsa ki.
O16 - ActiveX objektumok (más néven letöltött programfájlok)
Hogy néz ki:
O16 - DPF: Yahoo! Csevegés - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash objektum) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Mit kell tenni:
Ha nem ismeri fel az objektum nevét, vagy az URL-t, amelyről letöltött, a HijackThis javítsa meg. Ha a név vagy az URL olyan szavakat tartalmaz, mint a "tárcsázó", "kaszinó", "free_plugin" stb. A Javacool SpywareBlaster rendelkezik egy hatalmas adatbázisban a rosszindulatú ActiveX objektumokkal, amelyekkel fel lehet keresni a CLSID-okat. (Kattintson a jobb gombbal a listára a Find funkció használatához.)
Az O17 - Lop.com domainek eltérítenek
Hogy néz ki:
O17 - HKLM \ Rendszer \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Rendszer \ CCS \ Services \ Tcpip \ Paraméterek: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ Rendszer \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Paraméterek: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Szolgáltatások \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Mit kell tenni:
Ha a domain nem az internetszolgáltatójától vagy a vállalati hálózattól származik, akkor a HijackThis javítsa ki. Ugyanez vonatkozik a "SearchList" bejegyzésekre is. A "NameServer" ( DNS-kiszolgálók ) bejegyzésekhez a Google az IP-címekhez vagy IP-címekhez, és könnyű lesz látni, hogy jó vagy rossz.
O18 - Extra protokollok és protokoll eltérítők
Hogy néz ki:
O18 - Protokoll: linkedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokoll eltérítés: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Mit kell tenni:
Csak néhány gépeltérítő jelenik meg itt. Az ismert rosszfiúk a 'cn' (CommonName), az 'ayb' (Lop.com) és a 'relatedlinks' (Huntbar), akkor a HijackThis javítania kell ezeket. Más dolgok, amelyek megjelenik, vagy még nem erősítették meg biztonságukat, vagy átszálltak (pl. A CLSID megváltozott) a kémprogramok miatt. Az utolsó esetben a HijackThis javítsa meg.
O19 - Felhasználói stíluslap eltérítés
Hogy néz ki:
O19 - Felhasználói stíluslap: c: \ WINDOWS \ Java \ my.css
Mit kell tenni:
Böngésző lelassulása és gyakran előugró ablakok esetén a HijackThis javítsa ezt az elemet, ha megjelenik a naplóban. Mivel azonban csak a Coolwebsearch teszi ezt, jobb, ha a CWShredder javítani akarja.
O20 - AppInit_DLLs Registry érték autorun
Hogy néz ki:
O20 - AppInit_DLLs: msconfd.dll
Mit kell tenni:
A HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows-ban található regisztrációs érték betöl egy DLL-et a memóriába, amikor a felhasználó bejelentkezik, és ezután a memóriában marad, amíg el nem jelentkezik. Nagyon kevés törvényes program használja (a Norton CleanSweep APITRAP.DLL-t használ), leggyakrabban trójaiak vagy agresszív böngésző-eltérítők használják.
A regisztrációs érték "rejtett" DLL-betöltése esetén (csak akkor látható, ha a Regeditben a "Bináris adatok szerkesztése" opciót használja) a dll név előtagolható egy "|" hogy látható legyen a naplóban.
O21 - ShellServiceObjectDelayLoad
Hogy néz ki:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Mit kell tenni:
Ez egy nem dokumentált autorun módszer, amelyet általában néhány Windows rendszerelem használ. A HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad listán felsorolt elemeket az Explorer indítja el a Windows indításakor. A HijackThis számos nagyon gyakori SSODL tétel engedélyezési listáját használja, így amikor egy tétel megjelenik a naplóban, ismeretlen és esetleg rosszindulatú. Nagyon óvatosan kezelje.
O22 - SharedTaskScheduler
Hogy néz ki:
O22 - SharedTaskScheduler: (nincs név) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Mit kell tenni:
Ez csak a Windows NT / 2000 / XP operációs rendszerhez tartozó, nem dokumentált autorun, amelyet nagyon ritkán használnak. Eddig csak a CWS.Smartfinder használja. Óvatosan kezelje.
O23 - NT szolgáltatások
Hogy néz ki:
O23 - Szolgáltatás: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Személyi tűzfal \ persfw.exe
Mit kell tenni:
Ez a nem Microsoft-szolgáltatások listája. A listának meg kell egyeznie a Windows XP Msconfig segédprogramjában láthatóval. Számos trojanski eltérítő egy házi készítésű szolgáltatást használ a többi indulóhoz, hogy újra telepítse magát. A teljes név általában fontos hangzású, például a "Network Security Service", a "Workstation Logon Service" vagy a "Remote Procedure Call Helper", de a belső név (a zárójelek között) egy sor a szemetet, mint például az "Ort". A sor második része a fájl tulajdonosa a végén, a fájl tulajdonságai szerint.
Ne feledje, hogy az O23 elem rögzítése csak a szolgáltatást leállítja és letiltja. A szolgáltatást kézzel vagy más eszközzel törölni kell a rendszerleíró adatbázisból. A HijackThis 1.99.1-es vagy újabb verziója esetén a "Szünetszolgáltatások törlése" gombra kattintva a "Misc Tools" szakaszban is használható.