Spyware və Browser Hijacker'ları Sil kömək üçün Giriş məlumatlarını şifrələmə
HijackBu Trend Micro-dan pulsuz bir vasitədir. İlk olaraq Hollandiyada təhsil alan Merijn Bellekom tərəfindən hazırlanmışdır. Adaware və ya Spybot S & D kimi spyware aradan qaldırılması proqramı, ən spyware proqramlarının aşkarlanması və aradan qaldırılması üçün yaxşı bir iş görsə də, bəzi spyware və brauzer qaçırmaçları belə bu böyük anti-casus proqram təminatı üçün hiyləgərdirlər.
HijackThis, brauzer kukilərini və ya veb-brauzerinizin üzərinə düşən proqramı aşkar etmək və silmək üçün xüsusi olaraq yazılıdır, default səhifə və search engine və digər zərərli şeylərinizi dəyişdirir. Tipik anti-spyware proqramlarından fərqli olaraq, HijackThis, imza istifadə etməyəcək və ya müəyyən bir proqram və ya URL'yi algılar və blok edəcək. Əksinə, HijackThis sisteminizə yoluxmaq və brauzerinizi yönləndirmək üçün malware tərəfindən istifadə edilən fəndləri və üsulları axtarır.
HijackThis jurnallarında görünən hər şey pis şeylər deyil və hamısı aradan qaldırılmamalıdır. Əslində, tam əksinə. HijackThis jurnallarındakı bəzi maddələr qanuni proqram olacaq və bu maddələrin çıxarılması sisteminizə mənfi təsir göstərə bilər və ya tamamilə işləməyəcəkdir. HijackThis istifadə edərək, Windows Registry özünüzü düzəltmək kimi bir çox şeydir. Roket elmi deyil, amma nə etdiyinizi həqiqətən bildiyiniz halda müəyyən bir rəhbərlik etmədən mütləq bunu etməməlisiniz.
HijackThis'i qurduqdan və bir günlük faylı yaratmaq üçün çalıştırdığınızda, günlük verileri gönderebileceğiniz və ya yükleyebileceğiniz bir çox forum və siteler var. Nə baxacaqlarını bilən mütəxəssislər daha sonra gündəliyə dair məlumatları analiz etməyə və hansı maddələrin çıxarılacağına və hansıları tək buraxmaq üçün sizə məsləhət verə bilər.
HijackThis-in mövcud versiyasını yükləmək üçün Trend Micro-da rəsmi saytı ziyarət edə bilərsiniz.
İşdə HijackThis giriş məlumatlarına keçmək üçün istifadə edə biləcəyiniz bir girişdir:
- R0, R1, R2, R3 - Internet Explorer Başlanğıc / səhifələr URL'lərini axtarın
- F0, F1 - Autoloading proqramları
- N1, N2, N3, N4 - Netscape / Mozilla Start / Axtarış səhifələrinin URL'leri
- O1 - Faylın redaktə edilməsi
- O2 - Browser Helper obyektləri
- O3 - Internet Explorer araç çubukları
- O4 - Qeydiyyatdan Autoloading proqramları
- O5 - IE Seçim simgesi Denetim Masası'nda görünmüyor
- O6 - IE Seçimlər administrator tərəfindən məhdudlaşdırılmışdır
- O7 - Regedit giriş Administrator tərəfindən məhdudlaşdırıla bilər
- O8 - IE-də sağdakı menyuda əlavə maddələr
- O9 - Əsas IE düyməsinə toolbarında Əlavə düymələr və ya IE "Tools" menyusunda əlavə maddələr
- O10 - Winsock qaçaqçı
- O11 - IE 'Advanced Options' menyusunda əlavə qrup
- O12 - IE plugins
- O13 - IE DefaultPrefix qaçırma
- O14 - 'Veb parametrlərini yenidən qurma' qaçırma
- O15 - Trusted Zone-da istenmeyen sayt
- O16 - ActiveX obyektləri (aka yüklənmiş proqram faylları)
- O17 - Lop.com domain qaçaqçıları
- O18 - Əlavə protokol və protokol qaçaqmalçıları
- O19 - İstifadəçi stilinin qaçırılması
- O20 - AppInit_DLLs Qeydiyyatın dəyəri autorun
- O21 - ShellServiceObjectDelayLoad Qeydiyyatın açar autorun
- O22 - SharedTaskScheduler Qeydiyyatın açarı autorun
- O23 - Windows NT Services
R0, R1, R2, R3 - IE Start və Search pages
Nə görünür:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Əsas, Default_Page_URL = http://www.google.com/
R2 - (bu tip HijackThis tərəfindən hələ istifadə edilmir)
R3 - Default URLSearchHook eksik
Nə edilməlidir:
URL'yi ana səhifəniz və ya axtarış motorunuz olaraq tanımıyorsanız, bu tamamdır. Əgər yoxsa, yoxlayın və HijackThis var düzeltmek. R3 maddələr üçün, Kopernik kimi tanıdığınız proqramı qeyd etmədikdə, həmişə onları düzəlt.
F0, F1, F2, F3 - INI fayllarından Autoloading proqramları
Nə görünür:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Nə edilməlidir:
F0 maddələr həmişə pisdir, belə ki, onları düzəlt. F1 maddələr, adətən, çox təhlükəsiz olan çox köhnə proqramlardır, belə ki, yaxşı və ya pis olub olmadığını görmək üçün filename haqqında daha çox məlumat tapmaq lazımdır. Pacman'ın Başlanğıc siyahısı, bir maddənin müəyyənləşdirilməsində kömək edə bilər.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Axtarış səhifəsi
Nə görünür:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Nə edilməlidir:
Adətən Netscape və Mozilla ana səhifəsi və axtarış səhifəsi təhlükəsizdir. Onlar nadir hallarda qaçırılar, yalnız Lop.com bunu etmək üçün bilinir. Ana səhifəniz və ya axtarış səhifəniz kimi tanımadığınız bir URL görsən, HijackThis bunu düzəldin.
O1 - Hostsfile redirections
Nə görünür:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Host: 216.177.73.139 ieautosearch
O1 - Host faylları C: \ Windows \ Help \ hosts-də yerləşir
Nə edilməlidir:
Bu qaçaq ad ünvanı IP ünvanının sağ tərəfinə yönəldiləcək. İP ünvana aid deyilsə, ünvanı daxil etdiyiniz hər bir səhv sayta yönəldiləcəkdir. Siz həmişə bu xətləri Hosts dosyanızda qoymaq halda HijackThis bu düzeltmek bilər.
Son element bəzən Windows 2000 / XP-də Coolwebsearch infeksiyası ilə baş verir. Həmişə bu elementi düzəldin və ya CWShredder avtomatik olaraq təmir etsin.
O2 - Browser Helper obyektləri
Nə görünür:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM DOSYALARI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (heç bir ad) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FİLTƏRİ \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fayl yoxdur)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM DOSYALARI \ MEDIALOADS GELİŞTİRİLDİ \ ME1.DLL
Nə edilməlidir:
Birbaşa Browser Helper obyektinin adını tanmasanız, TonyK'ın BHO & Toolbar List istifadə edin, sinif ID'si (CLSID, kıvrımlı mötərizələr arasındakı) tapmaq və yaxşı və ya pis olub olmadığına baxın. BHO siyahısında 'X' spyware və 'L' təhlükəsiz deməkdir.
O3 - IE araç çubukları
Nə görünür:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM DOSYALARI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fayl eksik)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Nə edilməlidir:
Birbaşa bir vasitə çubuğunun adını tanımıyorsanız, TonyK'ın BHO ve Toolbar Listesini sınıf ID'si (CLSID, kıvrık mötərizələr arasındakı) tapmaq və yaxşı və ya pis olub olmadığını görmek üçün istifadə edin. Toolbar Siyahısında "X" casus proqram və "L" təhlükəsiz deməkdir. Bu siyahıda deyilsə və adı təsadüfi bir simvol simvoluysa və fayl 'Application Data' qovluğunda (yuxarıda göstərilən nümunələrdə olduğu kimi sona kimi), ehtimal ki, Lop.com var və siz mütləq HijackThis fix o.
O4 - Qeydiyyatdan və ya Başlanğıc qrupundan Autoloading proqramları
Nə görünür:
O4 - HKLM \ .. \ Çalıştır: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Proqram Faylları \ Ümumi Dosyalar \ Symantec Paylaşılan \ ccApp.exe"
O4 - Başlanğıc: Microsoft Office.lnk = C: \ Proqram Faylları \ Microsoft Office \ Office \ OSA9.EXE
O4 - Qlobal Başlanğıc: winlogon.exe
Nə edilməlidir:
Girişi tapmaq və yaxşı və ya pis olub olmadığına baxmaq üçün PacMan-ın Başlanğıc Siyahısını istifadə edin.
Maddə bir Başlanğıc qrupunda oturan bir proqramı göstərirsə (yuxarıda göstərilən sonuncu maddə kimi), HijackBu proqram hələ də yadda saxlanmırsa maddəni düzəldə bilməz. Artırmadan əvvəl prosesi bağlamaq üçün Windows Task Manager (TASKMGR.EXE) istifadə edin.
O5 - IE Seçimləri Denetim Masası'nda görünmür
Nə görünür:
O5 - control.ini: inetcpl.cpl = no
Nə edilməlidir:
Siz və ya sistem administratorunuz bilmədən Control Panel'dən simvol gizlədilmədikcə, HijackThis onu düzəldin.
O6 - IE Seçimlər administrator tərəfindən məhdudlaşdırılmışdır
Nə görünür:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ məhdudiyyətləri təqdim
Nə edilməlidir:
Spybot S & D seçimi "Əsas dəyişikliklərdən qorumaq" etiketi olmasa və ya sistem administratorunuz bunu yerinə qoyarsa, HijackThis bunu düzəldin.
O7 - Regedit giriş Administrator tərəfindən məhdudlaşdırıla bilər
Nə görünür:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Nə edilməlidir:
Həmişə HijackSizin sistem administratorunuz bu məhdudiyyəti yerinə qoymadığı müddətcə bunu düzəldin.
O8 - IE-də sağdakı menyuda əlavə maddələr
Nə görünür:
O8 - Əlavə kontekst menyu elementi: & Google Axtarış - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Əlavə kontekst menyusu: Yahoo! Axtarış - fayl: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Əlavə kontekst menyusu elementi: Zoom & In-C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Əlavə kontekst menyusu elementi: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Nə edilməlidir:
IE-də sağ klik menyusunda maddənin adını tanımırsanız, HijackThis düzəldin.
O9 - Əsas IE araç çubuğunda Əlavə düymələr və ya IE & # 39; Tools & # 39; menyu
Nə görünür:
O9 - Əlavə düymələr: Messenger (HKLM)
O9 - Əlavə 'Tools' menuitem: Messenger (HKLM)
O9 - Əlavə düymələr: AIM (HKLM)
Nə edilməlidir:
Düymənin və ya menyu elementinin adını tanımırsanız, HijackThis onu düzəldin.
O10 - Winsock qaçaqmalçıları
Nə görünür:
O10 - New.Net tərəfindən oğurlanmış internetə girmə
O10 - LSP provayderinin 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' itkin olması səbəbiylə qırılmış İnternetə çıxış
O10 - Winsock LSP-də naməlum fayl: c: \ program faylları \ newton bilir \ vmain.dll
Nə edilməlidir:
Bu LSPFix'i Cexx.org saytından, yaxud Kolla.de-dən Spybot S & D-dən istifadə etmək üçün ən yaxşısıdır.
LSP yığınında "naməlum" fayllar təhlükəsizlik məsələləri üçün HijackThis tərəfindən müəyyən edilməyəcəyini unutmayın.
O11 - IE-də Əlavə qrup & # 39; Ətraflı Seçimlər & # 39; pəncərə
Nə görünür:
O11 - Seçim qrupu: [CommonName] CommonName
Nə edilməlidir:
IE Ətraflı Seçimlər penceresine öz variantları qrupunu əlavə edən yeganə qaçaqçı CommonName'dir. Beləliklə, hər zaman HijackThis bunu düzəldə bilərsiniz.
O12 - IE plugins
Nə görünür:
O12 - Plugin for .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin for .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Nə edilməlidir:
Çox vaxt bu təhlükəsizdir. Yalnız OnFlow bu yerdə (.ofb) istəməyəcəyiniz bir plugin əlavə edir.
O13 - IE DefaultPrefix qaçırma
Nə görünür:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Önek: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Önek: http://ehttp.cc/?
Nə edilməlidir:
Bunlar həmişə pisdir. Hıçqırdıqları onları düzeltin.
O14 - & # 39; Veb parametrlərini sıfırla & # 39; qaçırmaq
Nə görünür:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Nə edilməlidir:
URL sizin kompüterinizin və ya İSS'inizin provayderi deyilsə, HijackThis onu düzəldin.
O15 - Trusted Zone-da istenmeyen saytlar
Nə görünür:
O15 - Etibarlı Region: http://free.aol.com
O15 - etibarlı zona: * .coolwebsearch.com
O15 - etibarlı zona: * .msn.com
Nə edilməlidir:
Çox vaxt yalnız AOL və CoolwebSearch səssizcə Trusted Zone saytlarını əlavə edir. Listelenen domain'yi Güvenilen Bölgeye eklemediyseniz, HijackThis'i düzeltin.
O16 - ActiveX obyektləri (aka yüklənmiş proqram faylları)
Nə görünür:
O16 - DPF: Yahoo! Sohbet - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Nə edilməlidir:
Əgər obyektin adını və ya yükləndiyi URL'yi tanımırsanız, HijackThis onu düzəldin. Adı və ya URL 'diler', 'casino', 'free_plugin' və s. Kimi sözləri varsa, mütləq düzəldin. Javacool'un SpywareBlaster, CLSID'lerin aranması üçün istifadə edilə bilən zərərli ActiveX obyektlərinin böyük bir məlumat bazasına malikdir. (Tap funksiyasını istifadə etmək üçün siyahısı sağ basın.)
O17 - Lop.com domain hijacks
Nə görünür:
O17 - HKLM \ Sistem \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefoniya: DomainName = W21944.find-quick.com
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ Sistem \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Nə edilməlidir:
Domen sizin ISP və ya şirkət şəbəkəsindən deyilsə, HijackThis onu düzəldin. Eyni "SearchList" girişləri üçün də gedir. 'AdServer' ( DNS server ) girişləri üçün Google IP və ya IP'ler üçün yaxşı və ya pis olub olmadığını görə bilərsiniz.
O18 - Əlavə protokol və protokol qaçaqmalçıları
Nə görünür:
O18 - Protokol: əlaqəli linklər - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokol qaçırma: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Nə edilməlidir:
Burada yalnız bir neçə qaçaqçı var. Məlum baddies 'cn' (CommonName), 'ayb' (Lop.com) və 'linklinks' (Huntbar), siz Hijack'ə sahib olmalısınız. Göstərilən başqa şeylər ya təhlükəsizdir, ya da casus proqram tərəfindən qaçırılmışdır (yəni CLSID dəyişdirilmişdir). Son vəziyyətdə, HijackThis bunu düzəldin.
O19 - İstifadəçi stilinin qaçırılması
Nə görünür:
O19 - İstifadəçi stillər: c: \ WINDOWS \ Java \ my.css
Nə edilməlidir:
Bir brauzerin yavaşlaması və tez-tez popup'lar halında, HijackBu gündə görünsə bu maddəni düzəldin. Lakin, yalnız Coolwebsearch bunu etibarən, CWShredder'ı düzəltmək üçün daha yaxşıdır.
O20 - AppInit_DLLs Qeydiyyatın dəyəri autorun
Nə görünür:
O20 - AppInit_DLLs: msconfd.dll
Nə edilməlidir:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows-də yerləşən bu Qeydiyyatın dəyəri, istifadəçi daxil olduğunda yaddaşa bir DLL yükləyir, bundan sonra ləğv olunana qədər yaddaşda qalır. Çox az sayda qanuni proqram istifadə edir (Norton CleanSweep APITRAP.DLL istifadə edir), tez-tez trojan və ya agressiv brauzer qaçırmaqçıları tərəfindən istifadə olunur.
Bu registry dəyərindən bir 'gizli' DLL yüklənərkən (yalnız 'Regedit'də' İkili Məlumatı Düzenləyin 'variantını istifadə edərkən görünür) dll adı bir boru ilə ön' onu gündəmə gətirmək üçün.
O21 - ShellServiceObjectDelayLoad
Nə görünür:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Nə edilməlidir:
Normalda bir neçə Windows sistem komponenti tərəfindən istifadə olunan sənədsiz autorun metodu. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad da listelenen öğeler, Windows başladığında Explorer tərəfindən yüklənir. HijackThis bir neçə çox ümumi SSODL maddəsinin bir whitelist istifadə edir, belə ki, bir maddə gündəmdə göründüyü zaman bilinməyən və bəlkə də zərərli. Ekstremal qayğı ilə müalicə edin.
O22 - SharedTaskScheduler
Nə görünür:
O22 - SharedTaskScheduler: (ad) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Nə edilməlidir:
Bu, çox nadir hallarda istifadə edilən Windows NT / 2000 / XP sənəd sənədsiz autorun. Hal-hazırda yalnız CWS.Smartfinder istifadə edir. Qayğı ilə müalicə edin.
O23 - NT Xidmətləri
Nə görünür:
O23 - Xidmət: Kerio Personal Firewall (PersFw) - Kerio Texnologiyaları - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Nə edilməlidir:
Bu, Microsoft olmayan xidmətlərin siyahısıdır. Siyahı Windows XP-nin Msconfig proqramında gördüyünüz kimi eyni olmalıdır. Bir neçə trojan qaçaqçıları özlərini bərpa etmək üçün başqa başlanğıclara əlavə olaraq evdə xidmətdən istifadə edirlər. Tam ad adətən 'Şəbəkə Təhlükəsizliyi Xidməti', 'İş İstasyonu Giriş Hizmeti' və ya 'Uzaqdan Prosedur Çağrı Yardımcısı' kimi əhəmiyyətli olan səslərdir, ancaq daxili adı (braşetlər arasında) 'Ort' kimi bir zibil simasıdır. Xəttin ikinci hissəsi faylın xüsusiyyətlərində göründüyü kimi faylın sonunda sahibidir.
Qeyd edək ki, bir O23 elementinin təyin edilməsi yalnız xidmətin dayandırılması və onu aradan qaldırmasıdır. Xidmətin qeydiyyatdan əl ilə və ya başqa bir vasitə ilə silinməsi lazımdır. Hijack'te 1.99.1 və ya daha yüksək olan, bunun üçün Misc Tools bölümündeki 'NT Service'i Sil' düyməsinə istifadə edə bilərsiniz.