HijackThis qeydləri necə analiz etmək olar

Spyware və Browser Hijacker'ları Sil kömək üçün Giriş məlumatlarını şifrələmə

HijackBu Trend Micro-dan pulsuz bir vasitədir. İlk olaraq Hollandiyada təhsil alan Merijn Bellekom tərəfindən hazırlanmışdır. Adaware və ya Spybot S & D kimi spyware aradan qaldırılması proqramı, ən spyware proqramlarının aşkarlanması və aradan qaldırılması üçün yaxşı bir iş görsə də, bəzi spyware və brauzer qaçırmaçları belə bu böyük anti-casus proqram təminatı üçün hiyləgərdirlər.

HijackThis, brauzer kukilərini və ya veb-brauzerinizin üzərinə düşən proqramı aşkar etmək və silmək üçün xüsusi olaraq yazılıdır, default səhifə və search engine və digər zərərli şeylərinizi dəyişdirir. Tipik anti-spyware proqramlarından fərqli olaraq, HijackThis, imza istifadə etməyəcək və ya müəyyən bir proqram və ya URL'yi algılar və blok edəcək. Əksinə, HijackThis sisteminizə yoluxmaq və brauzerinizi yönləndirmək üçün malware tərəfindən istifadə edilən fəndləri və üsulları axtarır.

HijackThis jurnallarında görünən hər şey pis şeylər deyil və hamısı aradan qaldırılmamalıdır. Əslində, tam əksinə. HijackThis jurnallarındakı bəzi maddələr qanuni proqram olacaq və bu maddələrin çıxarılması sisteminizə mənfi təsir göstərə bilər və ya tamamilə işləməyəcəkdir. HijackThis istifadə edərək, Windows Registry özünüzü düzəltmək kimi bir çox şeydir. Roket elmi deyil, amma nə etdiyinizi həqiqətən bildiyiniz halda müəyyən bir rəhbərlik etmədən mütləq bunu etməməlisiniz.

HijackThis'i qurduqdan və bir günlük faylı yaratmaq üçün çalıştırdığınızda, günlük verileri gönderebileceğiniz və ya yükleyebileceğiniz bir çox forum və siteler var. Nə baxacaqlarını bilən mütəxəssislər daha sonra gündəliyə dair məlumatları analiz etməyə və hansı maddələrin çıxarılacağına və hansıları tək buraxmaq üçün sizə məsləhət verə bilər.

HijackThis-in mövcud versiyasını yükləmək üçün Trend Micro-da rəsmi saytı ziyarət edə bilərsiniz.

İşdə HijackThis giriş məlumatlarına keçmək üçün istifadə edə biləcəyiniz bir girişdir:

• R0, R1, R2, R3 - Internet Explorer Başlanğıc / səhifələr URL'lərini axtarın
• F0, F1 - Autoloading proqramları
• N1, N2, N3, N4 - Netscape / Mozilla Start / Axtarış səhifələrinin URL'leri
• O1 - Faylın redaktə edilməsi
• O2 - Browser Helper obyektləri
• O3 - Internet Explorer araç çubukları
• O4 - Qeydiyyatdan Autoloading proqramları
• O5 - IE Seçim simgesi Denetim Masası'nda görünmüyor
• O6 - IE Seçimlər administrator tərəfindən məhdudlaşdırılmışdır
• O7 - Regedit giriş Administrator tərəfindən məhdudlaşdırıla bilər
• O8 - IE-də sağdakı menyuda əlavə maddələr
• O9 - Əsas IE düyməsinə toolbarında Əlavə düymələr və ya IE "Tools" menyusunda əlavə maddələr
• O10 - Winsock qaçaqçı
• O11 - IE 'Advanced Options' menyusunda əlavə qrup
• O12 - IE plugins
• O13 - IE DefaultPrefix qaçırma
• O14 - 'Veb parametrlərini yenidən qurma' qaçırma
• O15 - Trusted Zone-da istenmeyen sayt
• O16 - ActiveX obyektləri (aka yüklənmiş proqram faylları)
• O17 - Lop.com domain qaçaqçıları
• O18 - Əlavə protokol və protokol qaçaqmalçıları
• O19 - İstifadəçi stilinin qaçırılması
• O20 - AppInit_DLLs Qeydiyyatın dəyəri autorun
• O21 - ShellServiceObjectDelayLoad Qeydiyyatın açar autorun
• O22 - SharedTaskScheduler Qeydiyyatın açarı autorun

• O23 - Windows NT Services

R0, R1, R2, R3 - IE Start və Search pages

Nə görünür:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Əsas, Default_Page_URL = http://www.google.com/
R2 - (bu tip HijackThis tərəfindən hələ istifadə edilmir)
R3 - Default URLSearchHook eksik

Nə edilməlidir:
URL'yi ana səhifəniz və ya axtarış motorunuz olaraq tanımıyorsanız, bu tamamdır. Əgər yoxsa, yoxlayın və HijackThis var düzeltmek. R3 maddələr üçün, Kopernik kimi tanıdığınız proqramı qeyd etmədikdə, həmişə onları düzəlt.

F0, F1, F2, F3 - INI fayllarından Autoloading proqramları

Nə görünür:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Nə edilməlidir:
F0 maddələr həmişə pisdir, belə ki, onları düzəlt. F1 maddələr, adətən, çox təhlükəsiz olan çox köhnə proqramlardır, belə ki, yaxşı və ya pis olub olmadığını görmək üçün filename haqqında daha çox məlumat tapmaq lazımdır. Pacman'ın Başlanğıc siyahısı, bir maddənin müəyyənləşdirilməsində kömək edə bilər.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Axtarış səhifəsi

Nə görünür:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Nə edilməlidir:
Adətən Netscape və Mozilla ana səhifəsi və axtarış səhifəsi təhlükəsizdir. Onlar nadir hallarda qaçırılar, yalnız Lop.com bunu etmək üçün bilinir. Ana səhifəniz və ya axtarış səhifəniz kimi tanımadığınız bir URL görsən, HijackThis bunu düzəldin.

O1 - Hostsfile redirections

Nə görünür:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Host: 216.177.73.139 ieautosearch
O1 - Host faylları C: \ Windows \ Help \ hosts-də yerləşir

Nə edilməlidir:
Bu qaçaq ad ünvanı IP ünvanının sağ tərəfinə yönəldiləcək. İP ünvana aid deyilsə, ünvanı daxil etdiyiniz hər bir səhv sayta yönəldiləcəkdir. Siz həmişə bu xətləri Hosts dosyanızda qoymaq halda HijackThis bu düzeltmek bilər.

Son element bəzən Windows 2000 / XP-də Coolwebsearch infeksiyası ilə baş verir. Həmişə bu elementi düzəldin və ya CWShredder avtomatik olaraq təmir etsin.

O2 - Browser Helper obyektləri

Nə görünür:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM DOSYALARI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (heç bir ad) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FİLTƏRİ \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fayl yoxdur)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM DOSYALARI \ MEDIALOADS GELİŞTİRİLDİ \ ME1.DLL

Nə edilməlidir:
Birbaşa Browser Helper obyektinin adını tanmasanız, TonyK'ın BHO & Toolbar List istifadə edin, sinif ID'si (CLSID, kıvrımlı mötərizələr arasındakı) tapmaq və yaxşı və ya pis olub olmadığına baxın. BHO siyahısında 'X' spyware və 'L' təhlükəsiz deməkdir.

O3 - IE araç çubukları

Nə görünür:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM DOSYALARI \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fayl eksik)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Nə edilməlidir:
Birbaşa bir vasitə çubuğunun adını tanımıyorsanız, TonyK'ın BHO ve Toolbar Listesini sınıf ID'si (CLSID, kıvrık mötərizələr arasındakı) tapmaq və yaxşı və ya pis olub olmadığını görmek üçün istifadə edin. Toolbar Siyahısında "X" casus proqram və "L" təhlükəsiz deməkdir. Bu siyahıda deyilsə və adı təsadüfi bir simvol simvoluysa və fayl 'Application Data' qovluğunda (yuxarıda göstərilən nümunələrdə olduğu kimi sona kimi), ehtimal ki, Lop.com var və siz mütləq HijackThis fix o.

O4 - Qeydiyyatdan və ya Başlanğıc qrupundan Autoloading proqramları

Nə görünür:
O4 - HKLM \ .. \ Çalıştır: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Proqram Faylları \ Ümumi Dosyalar \ Symantec Paylaşılan \ ccApp.exe"
O4 - Başlanğıc: Microsoft Office.lnk = C: \ Proqram Faylları \ Microsoft Office \ Office \ OSA9.EXE
O4 - Qlobal Başlanğıc: winlogon.exe

Nə edilməlidir:
Girişi tapmaq və yaxşı və ya pis olub olmadığına baxmaq üçün PacMan-ın Başlanğıc Siyahısını istifadə edin.

Maddə bir Başlanğıc qrupunda oturan bir proqramı göstərirsə (yuxarıda göstərilən sonuncu maddə kimi), HijackBu proqram hələ də yadda saxlanmırsa maddəni düzəldə bilməz. Artırmadan əvvəl prosesi bağlamaq üçün Windows Task Manager (TASKMGR.EXE) istifadə edin.

O5 - IE Seçimləri Denetim Masası'nda görünmür

Nə görünür:
O5 - control.ini: inetcpl.cpl = no

Nə edilməlidir:
Siz və ya sistem administratorunuz bilmədən Control Panel'dən simvol gizlədilmədikcə, HijackThis onu düzəldin.

O6 - IE Seçimlər administrator tərəfindən məhdudlaşdırılmışdır

Nə görünür:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ məhdudiyyətləri təqdim

Nə edilməlidir:
Spybot S & D seçimi "Əsas dəyişikliklərdən qorumaq" etiketi olmasa və ya sistem administratorunuz bunu yerinə qoyarsa, HijackThis bunu düzəldin.

O7 - Regedit giriş Administrator tərəfindən məhdudlaşdırıla bilər

Nə görünür:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Nə edilməlidir:
Həmişə HijackSizin sistem administratorunuz bu məhdudiyyəti yerinə qoymadığı müddətcə bunu düzəldin.

O8 - IE-də sağdakı menyuda əlavə maddələr

Nə görünür:
O8 - Əlavə kontekst menyu elementi: & Google Axtarış - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Əlavə kontekst menyusu: Yahoo! Axtarış - fayl: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Əlavə kontekst menyusu elementi: Zoom & In-C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Əlavə kontekst menyusu elementi: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Nə edilməlidir:
IE-də sağ klik menyusunda maddənin adını tanımırsanız, HijackThis düzəldin.

O9 - Əsas IE araç çubuğunda Əlavə düymələr və ya IE & # 39; Tools & # 39; menyu

Nə görünür:
O9 - Əlavə düymələr: Messenger (HKLM)
O9 - Əlavə 'Tools' menuitem: Messenger (HKLM)
O9 - Əlavə düymələr: AIM (HKLM)

Nə edilməlidir:
Düymənin və ya menyu elementinin adını tanımırsanız, HijackThis onu düzəldin.

O10 - Winsock qaçaqmalçıları

Nə görünür:
O10 - New.Net tərəfindən oğurlanmış internetə girmə
O10 - LSP provayderinin 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' itkin olması səbəbiylə qırılmış İnternetə çıxış
O10 - Winsock LSP-də naməlum fayl: c: \ program faylları \ newton bilir \ vmain.dll

Nə edilməlidir:
Bu LSPFix'i Cexx.org saytından, yaxud Kolla.de-dən Spybot S & D-dən istifadə etmək üçün ən yaxşısıdır.

LSP yığınında "naməlum" fayllar təhlükəsizlik məsələləri üçün HijackThis tərəfindən müəyyən edilməyəcəyini unutmayın.

O11 - IE-də Əlavə qrup & # 39; Ətraflı Seçimlər & # 39; pəncərə

Nə görünür:
O11 - Seçim qrupu: [CommonName] CommonName

Nə edilməlidir:
IE Ətraflı Seçimlər penceresine öz variantları qrupunu əlavə edən yeganə qaçaqçı CommonName'dir. Beləliklə, hər zaman HijackThis bunu düzəldə bilərsiniz.

O12 - IE plugins

Nə görünür:
O12 - Plugin for .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin for .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Nə edilməlidir:
Çox vaxt bu təhlükəsizdir. Yalnız OnFlow bu yerdə (.ofb) istəməyəcəyiniz bir plugin əlavə edir.

O13 - IE DefaultPrefix qaçırma

Nə görünür:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Önek: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Önek: http://ehttp.cc/?

Nə edilməlidir:
Bunlar həmişə pisdir. Hıçqırdıqları onları düzeltin.

O14 - & # 39; Veb parametrlərini sıfırla & # 39; qaçırmaq

Nə görünür:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Nə edilməlidir:
URL sizin kompüterinizin və ya İSS'inizin provayderi deyilsə, HijackThis onu düzəldin.

O15 - Trusted Zone-da istenmeyen saytlar

Nə görünür:
O15 - Etibarlı Region: http://free.aol.com
O15 - etibarlı zona: * .coolwebsearch.com
O15 - etibarlı zona: * .msn.com

Nə edilməlidir:
Çox vaxt yalnız AOL və CoolwebSearch səssizcə Trusted Zone saytlarını əlavə edir. Listelenen domain'yi Güvenilen Bölgeye eklemediyseniz, HijackThis'i düzeltin.

O16 - ActiveX obyektləri (aka yüklənmiş proqram faylları)

Nə görünür:
O16 - DPF: Yahoo! Sohbet - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nə edilməlidir:
Əgər obyektin adını və ya yükləndiyi URL'yi tanımırsanız, HijackThis onu düzəldin. Adı və ya URL 'diler', 'casino', 'free_plugin' və s. Kimi sözləri varsa, mütləq düzəldin. Javacool'un SpywareBlaster, CLSID'lerin aranması üçün istifadə edilə bilən zərərli ActiveX obyektlərinin böyük bir məlumat bazasına malikdir. (Tap funksiyasını istifadə etmək üçün siyahısı sağ basın.)

O17 - Lop.com domain hijacks

Nə görünür:
O17 - HKLM \ Sistem \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefoniya: DomainName = W21944.find-quick.com
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ Sistem \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Nə edilməlidir:
Domen sizin ISP və ya şirkət şəbəkəsindən deyilsə, HijackThis onu düzəldin. Eyni "SearchList" girişləri üçün də gedir. 'AdServer' ( DNS server ) girişləri üçün Google IP və ya IP'ler üçün yaxşı və ya pis olub olmadığını görə bilərsiniz.

O18 - Əlavə protokol və protokol qaçaqmalçıları

Nə görünür:
O18 - Protokol: əlaqəli linklər - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokol qaçırma: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Nə edilməlidir:
Burada yalnız bir neçə qaçaqçı var. Məlum baddies 'cn' (CommonName), 'ayb' (Lop.com) və 'linklinks' (Huntbar), siz Hijack'ə sahib olmalısınız. Göstərilən başqa şeylər ya təhlükəsizdir, ya da casus proqram tərəfindən qaçırılmışdır (yəni CLSID dəyişdirilmişdir). Son vəziyyətdə, HijackThis bunu düzəldin.

O19 - İstifadəçi stilinin qaçırılması

Nə görünür:
O19 - İstifadəçi stillər: c: \ WINDOWS \ Java \ my.css

Nə edilməlidir:
Bir brauzerin yavaşlaması və tez-tez popup'lar halında, HijackBu gündə görünsə bu maddəni düzəldin. Lakin, yalnız Coolwebsearch bunu etibarən, CWShredder'ı düzəltmək üçün daha yaxşıdır.

O20 - AppInit_DLLs Qeydiyyatın dəyəri autorun

Nə görünür:
O20 - AppInit_DLLs: msconfd.dll

Nə edilməlidir:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows-də yerləşən bu Qeydiyyatın dəyəri, istifadəçi daxil olduğunda yaddaşa bir DLL yükləyir, bundan sonra ləğv olunana qədər yaddaşda qalır. Çox az sayda qanuni proqram istifadə edir (Norton CleanSweep APITRAP.DLL istifadə edir), tez-tez trojan və ya agressiv brauzer qaçırmaqçıları tərəfindən istifadə olunur.

Bu registry dəyərindən bir 'gizli' DLL yüklənərkən (yalnız 'Regedit'də' İkili Məlumatı Düzenləyin 'variantını istifadə edərkən görünür) dll adı bir boru ilə ön' onu gündəmə gətirmək üçün.

O21 - ShellServiceObjectDelayLoad

Nə görünür:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Nə edilməlidir:
Normalda bir neçə Windows sistem komponenti tərəfindən istifadə olunan sənədsiz autorun metodu. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad da listelenen öğeler, Windows başladığında Explorer tərəfindən yüklənir. HijackThis bir neçə çox ümumi SSODL maddəsinin bir whitelist istifadə edir, belə ki, bir maddə gündəmdə göründüyü zaman bilinməyən və bəlkə də zərərli. Ekstremal qayğı ilə müalicə edin.

O22 - SharedTaskScheduler

Nə görünür:
O22 - SharedTaskScheduler: (ad) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Nə edilməlidir:
Bu, çox nadir hallarda istifadə edilən Windows NT / 2000 / XP sənəd sənədsiz autorun. Hal-hazırda yalnız CWS.Smartfinder istifadə edir. Qayğı ilə müalicə edin.

O23 - NT Xidmətləri

Nə görünür:
O23 - Xidmət: Kerio Personal Firewall (PersFw) - Kerio Texnologiyaları - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Nə edilməlidir:
Bu, Microsoft olmayan xidmətlərin siyahısıdır. Siyahı Windows XP-nin Msconfig proqramında gördüyünüz kimi eyni olmalıdır. Bir neçə trojan qaçaqçıları özlərini bərpa etmək üçün başqa başlanğıclara əlavə olaraq evdə xidmətdən istifadə edirlər. Tam ad adətən 'Şəbəkə Təhlükəsizliyi Xidməti', 'İş İstasyonu Giriş Hizmeti' və ya 'Uzaqdan Prosedur Çağrı Yardımcısı' kimi əhəmiyyətli olan səslərdir, ancaq daxili adı (braşetlər arasında) 'Ort' kimi bir zibil simasıdır. Xəttin ikinci hissəsi faylın xüsusiyyətlərində göründüyü kimi faylın sonunda sahibidir.

Qeyd edək ki, bir O23 elementinin təyin edilməsi yalnız xidmətin dayandırılması və onu aradan qaldırmasıdır. Xidmətin qeydiyyatdan əl ilə və ya başqa bir vasitə ilə silinməsi lazımdır. Hijack'te 1.99.1 və ya daha yüksək olan, bunun üçün Misc Tools bölümündeki 'NT Service'i Sil' düyməsinə istifadə edə bilərsiniz.