Hvernig á að greina HijackThis Logs

Túlka Log gögn til að hjálpa fjarlægja Spyware og vafra flugvélarræningi

HijackThis er ókeypis tól frá Trend Micro. Það var upphaflega þróað af Merijn Bellekom, nemandi í Hollandi. Spyware flutningur hugbúnaður eins og Adaware eða Spybot S & D gera gott starf að finna og fjarlægja flest spyware forrit, en sumir spyware og vafranum flugvélarræningi er of skaðleg fyrir jafnvel þessar miklu andstæðingur-spyware tólum.

HijackThis er skrifað sérstaklega til að greina og fjarlægja vafra hijacks, eða hugbúnað sem tekur yfir vafrann þinn, breytir sjálfgefna heimasíðuna þína og leitarvél og öðrum skaðlegum hlutum. Ólíkt dæmigerðum andstæðingur-spyware hugbúnaði, notar HijackThis ekki undirskriftir eða miðar á tilteknar áætlanir eða vefslóðir til að greina og loka. Fremur, HijackThis leitar að bragðarefur og aðferðir sem malware notar til að smita tölvuna þína og beina vafranum þínum.

Ekki allt sem kemur upp í HijackThis Logs er slæmt efni og það ætti ekki að vera allt fjarlægt. Í staðreynd, alveg hið gagnstæða. Það er næstum tryggt að sumir af hlutunum í HijackThis logs þín verði lögmætur hugbúnaður og að fjarlægja þau atriði geta haft neikvæð áhrif á kerfið eða gert það óvirkt. Notkun HijackThis er mikið eins og að breyta Windows Registry sjálfur. Það er ekki flugeldur vísindi, en þú ættir örugglega ekki að gera það án nokkurra leiðbeininga nema þú veist í raun hvað þú ert að gera.

Þegar þú hefur sett HijackThis upp og keyrir það til að búa til skrá þig inn, þá eru margar ráðstefnur og vefsvæði þar sem þú getur sent inn eða hlaðið inn gögnum þínum. Sérfræðingar sem vita hvað ég á að leita að getur hjálpað þér að greina gögnin um þig inn og ráðleggja þér hvaða hlutir þú vilt fjarlægja og hver á að fara eftir einu.

Til að hlaða niður núverandi útgáfu HijackThis geturðu heimsótt opinbera síðuna á Trend Micro.

Hér er yfirlit yfir HijackThis Log færslur sem þú getur notað til að hoppa til upplýsinganna sem þú ert að leita að:

• R0, R1, R2, R3 - Internet Explorer Byrjun / leitarsíður
• F0, F1 - Autoloading forrit
• N1, N2, N3, N4 - Netscape / Mozilla Byrja / leitarsíður
• O1 - Hosts file redirection
• O2 - Helstu hlutar vafra
• O3 - Internet Explorer tækjastikur
• O4 - Autoloading forrit frá Registry
• O5 - IE Options táknið er ekki sýnilegt í Control Panel
• O6 - IE Valkostir aðgangur takmarkaður af stjórnanda
• O7 - Regedit aðgang takmarkaður af stjórnanda
• O8 - Auka hluti í IE hægri smelli valmyndinni
• O9 - Extra hnappar á aðal IE hnapp stikunni, eða auka atriði í IE 'Tools' valmyndinni
• O10 - Winsock hijacker
• O11 - Auka hópur í IE 'Advanced Options' glugganum
• O12 - IE tappi
• O13 - IE DefaultPrefix hijack
• O14 - 'Endurstilla vefstillingar' hijack
• O15 - Óæskileg síða í Öruggt svæði
• O16 - ActiveX hlutir (aka Downloaded Program Files)
• O17 - Lop.com ríki flugvélarræningi
• O18 - Auka siðareglur og siðareglur hijackers
• O19 - Notandi stíll lak kapall
• O20 - AppInit_DLLs Registry value autorun
• O21 - ShellServiceObjectDelayLoad Registry Key autorun
• O22 - SharedTaskScheduler Registry Key autorun

• O23 - Windows NT Þjónusta

R0, R1, R2, R3 - IE Byrjun og leitarsíður

Hvað lítur það út:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (þetta gerð er ekki notuð af HijackThis ennþá)
R3 - Sjálfgefið URLSearchHook vantar

Hvað skal gera:
Ef þú þekkir slóðina í lokin sem heimasíðuna þína eða leitarvél, þá er það í lagi. Ef þú gerir það ekki skaltu athuga það og hafa HijackThis festa það. Fyrir R3 atriði skaltu alltaf laga þau nema það sé nefnt forrit sem þú þekkir, eins og Copernic.

F0, F1, F2, F3 - Autoloading forrit frá INI skrám

Hvað lítur það út:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: hlaupa = hpfsched

Hvað skal gera:
F0 atriði eru alltaf slæmt, svo festa þá. F1 atriði eru yfirleitt mjög gömul forrit sem eru örugg, þannig að þú ættir að finna meiri upplýsingar um skráarnafnið til að sjá hvort það er gott eða slæmt. Uppsetningarlisti Pacman getur hjálpað til við að skilgreina hlut.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Leitarsíða

Hvað lítur það út:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Umsóknargögn \ Mozilla \ Snið \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "vél: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Umsóknargögn \ Mozilla \ Snið \ defaulto9t1tfl.slt \ prefs.js)

Hvað skal gera:
Venjulega eru Netscape og Mozilla heimasíðan og leitarsíðan örugg. Þeir fá sjaldan rænt, aðeins Lop.com hefur verið vitað að gera þetta. Ef þú sérð slóð sem þú þekkir ekki sem heimasíðuna þína eða leitarsíðu, þá hefur HijackThis lagað það.

O1 - Hostfile tilvísanir

Hvað lítur það út:
O1 - vélar: 216.177.73.139 auto.search.msn.com
O1 - gestgjafi: 216.177.73.139 search.netscape.com
O1 - vélar: 216.177.73.139 þ.e.
O1 - Hosts skrá er staðsett á C: \ Windows \ Help \ hosts

Hvað skal gera:
Þessi hijack mun endurvísa heimilisfanginu til hægri til IP-tölu til vinstri. Ef IP er ekki tilheyrandi heimilisfangsins verður þú vísað áfram á röngum vefsíðum á hverjum stað þegar þú slærð inn heimilisfangið. Þú getur alltaf haft HijackThis festa þessar, nema þú setji vísvitandi þær línur í Hosts skránni þinni.

Síðasta hlutinn gerist stundum á Windows 2000 / XP með Coolwebsearch sýkingu. Alltaf að laga þetta atriði, eða hafa CWShredder að gera það sjálfkrafa.

O2 - Helstu hlutar vafra

Hvað lítur það út:
O2 - BHO: Yahoo! Félagi BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ekkert nafn) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (skrá vantar)
O2 - BHO: Aukahlutir MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Hvað skal gera:
Ef þú þekkir ekki nafnið á Browser Helper Object, skaltu nota BHO & Toolbar List TonyK til að finna það með kennitölu (CLSID, númerið milli krullu sviga) og sjá hvort það er gott eða slæmt. Í BHO listanum þýðir 'X' spyware og 'L' þýðir öruggt.

O3 - IE tækjastikur

Hvað lítur það út:
O3 - Tækjastikan: & Yahoo! Félagi - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Tækjastikan: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (skrá vantar)
O3 - Tækjastikan: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Hvað skal gera:
Ef þú þekkir ekki strax nafn tækjastikunnar skaltu nota BHO & Toolbar List TonyK til að finna það með kenninúmerinu (CLSID, númerið milli krullu sviga) og sjá hvort það er gott eða slæmt. Í listanum yfir tækjastiku þýðir 'X' spyware og 'L' þýðir öruggt. Ef það er ekki á listanum og nafnið virðist vera af handahófi strengja og skráin er í möppunni "Umsóknargögn" (eins og sá síðasti í dæmunum hér að ofan), þá er það líklega Lop.com og þú ættir að ákveða að hafa HijackThis festa það.

O4 - Autoloading forrit frá Registry eða Startup hóp

Hvað lítur það út:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Uppsetning: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Hvað skal gera:
Notaðu PacMan Startup List til að finna færsluna og sjáðu hvort það er gott eða slæmt.

Ef hluturinn sýnir forrit sem situr í Startup hópnum (eins og síðasta hlutinn að ofan), getur HijackThis ekki lagað hlutinn ef þetta forrit er enn í minni. Notaðu Windows Task Manager (TASKMGR.EXE) til að loka því ferli fyrir ákvörðun.

O5 - IE Valkostir ekki sýnilegar í stjórnborðinu

Hvað lítur það út:
O5 - control.ini: inetcpl.cpl = nei

Hvað skal gera:
Nema þú eða kerfisstjórinn þinn hafi vísvitandi falið táknið frá stjórnborðinu, þá hefur HijackThis lagað það.

O6 - IE Valkostir aðgangur takmarkaður af stjórnanda

Hvað lítur það út:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Takmarkanir til staðar

Hvað skal gera:
Nema þú hefur Spybot S & D valkostinn 'Læsa heimasíðu frá breytingum' virk eða kerfisstjórinn þinn setti þetta á sinn stað, þá hefur HijackThis lagað þetta.

O7 - Regedit aðgang takmarkaður af stjórnanda

Hvað lítur það út:
O7 - HKCU \ Hugbúnaður \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Hvað skal gera:
Alltaf hafa HijackThis festa þetta, nema kerfisstjórinn þinn hafi sett þessa takmörkun á sinn stað.

O8 - Auka hluti í IE hægri smelli valmyndinni

Hvað lítur það út:
O8 - Extra samhengi valmynd atriði: & Google leit - res: // C: \ WINDOWS \ DOWNLOAD PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra samhengi matseðill atriði: Yahoo! Leita - skrá: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Extra samhengi matseðill atriði: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra samhengi matseðill atriði: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Hvað skal gera:
Ef þú þekkir ekki nafnið á hlutnum í hægri-smelli valmyndinni í IE, hefur HijackThis lagað það.

O9 - Auka hnappar á aðal IE tækjastikunni eða auka hluti í IE & Tools; # 39; valmynd

Hvað lítur það út:
O9 - Aukahnappur: Messenger (HKLM)
O9 - Extra 'Tools' valmynd: Messenger (HKLM)
O9 - Aukahnappur: AIM (HKLM)

Hvað skal gera:
Ef þú þekkir ekki nafn hnappsins eða valmyndaratriðisins, þá hefur HijackThis lagað það.

O10 - Winsock flugvélarræningi

Hvað lítur það út:
O10 - Tölvusnápur með New.Net
O10 - Broken Internet aðgangur vegna LSP provider 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' vantar
O10 - Óþekkt skrá í Winsock LSP: c: \ forritaskrár \ newton veit \ vmain.dll

Hvað skal gera:
Það er best að laga þetta með því að nota LSPFix frá Cexx.org eða Spybot S & D frá Kolla.de.

Athugaðu að "óþekkt" skrár í LSP-staflinum verða ekki lagðar af HijackThis fyrir öryggisvandamál.

O11 - Auka hópur í IE & # 39; Advanced Options & # 39; gluggi

Hvað lítur það út:
O11 - Valkostir hópur: [CommonName] CommonName

Hvað skal gera:
Eina hijackerinn frá og með sem bætir eigin valkostahópi við IE Advanced Options gluggann er CommonName. Svo þú getur alltaf haft HijackThis festa þetta.

O12 - IE tappi

Hvað lítur það út:
O12 - Plugin fyrir .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Tappi fyrir .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Hvað skal gera:
Flestir þessir tímar eru öruggir. Aðeins OnFlow bætir viðbót hér sem þú vilt ekki (.ofb).

O13 - IE DefaultPrefix hijack

Hvað lítur það út:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Forskeyti: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Forskeyti: http://ehttp.cc/?

Hvað skal gera:
Þetta eru alltaf slæmt. Hafa HijackThis festa þá.

O14 - & # 39; Endurstilla vefstillingar & # 39; ræna

Hvað lítur það út:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Hvað skal gera:
Ef slóðin er ekki fyrir hendi af tölvunni þinni eða þjónustuveitunni þinni, þá hefur HijackThis lagað það.

O15 - Óæskileg vefsvæði í Trusted Zone

Hvað lítur það út:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com

Hvað skal gera:
Að mestu leyti bætist AOL og Coolwebsearch hljóðlega við síður í traustan svæði. Ef þú hefur ekki bætt við léninu við sjálfstraustið sjálfan þig, hefur HijackThis lagað það.

O16 - ActiveX hlutir (aka Downloaded Program Files)

Hvað lítur það út:
O16 - DPF: Yahoo! Spjall - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hvað skal gera:
Ef þú þekkir ekki nafnið á hlutnum eða vefslóðinni sem það var hlaðið niður hefur HijackThis lagað það. Ef nafnið eða slóðin inniheldur orð eins og 'hringjari', 'spilavíti', 'free_plugin' etc, ákveðið að laga það. SpywareBlaster Javacool er með mikla gagnagrunn af illgjarn ActiveX hlutum sem hægt er að nota til að skoða CLSID. (Hægrismelltu á listann til að nota Find-aðgerðina.)

O17 - Lop.com lén ræktun

Hvað lítur það út:
O17 - HKLM \ Kerfi \ CCS \ Þjónusta \ VxD \ MSTCP: Lén = aoldsl.net
O17 - HKLM \ Kerfi \ CCS \ Þjónusta \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Símafjarskipti: DomainName = W21944.find-quick.com
O17 - HKLM \ Kerfi \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Þjónusta \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Þjónusta \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Hvað skal gera:
Ef lénið er ekki frá þjónustuveitunni þinni eða fyrirtækinuetinu hefur HijackThis lagað það. Sama gildir fyrir færslurnar 'SearchList'. Fyrir 'NameServer' ( DNS þjóna ) færslur, Google fyrir IP eða IPs og það verður auðvelt að sjá hvort þau eru góð eða slæm.

O18 - Auka siðareglur og siðareglur hijackers

Hvað lítur það út:
O18 - bókun: tengdar tenglar - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - bókun: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Hvað skal gera:
Aðeins fáir flugvélar koma upp hér. The þekktur baddies eru 'cn' (CommonName), 'ayb' (Lop.com) og 'linkedlinks' (Huntbar), þú ættir að hafa HijackThis festa þá. Aðrir hlutir sem koma upp eru annaðhvort ekki staðfestar öruggar ennþá, eða eru rænt (þ.e. CLSID hefur verið breytt) með spyware. Í síðasta tilviki hefur HijackThis lagað það.

O19 - Notandi stíll lak kapall

Hvað lítur það út:
O19 - Notandi stíll lak: c: \ WINDOWS \ Java \ my.css

Hvað skal gera:
Ef um er að ræða hægagang á vafra og tíð almenningur hefur HijackThis lagað þetta atriði ef það birtist í skránni. En þar sem aðeins Coolwebsearch gerir þetta er betra að nota CWShredder til að laga það.

O20 - AppInit_DLLs Registry value autorun

Hvað lítur það út:
O20 - AppInit_DLLs: msconfd.dll

Hvað skal gera:
Þessi skrásetningargildi sem staðsett er á HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows hleðir DLL inn í minni þegar notandinn skráir sig inn og síðan er hann í minni til að skrá þig inn. Mjög fáir lögmætar forrit nota það (Norton CleanSweep notar APITRAP.DLL), oftast er það notað af tróverjum eða árásargjarnum vafrara.

Ef "DLL" er hlaðinn frá þessu skrásetningargildi (aðeins sýnilegt þegar valkostur 'Breyta binary data' er notað í Regedit) er hægt að tilgreina dll nafnið með pípu '|' til að gera það sýnilegt í þig.

O21 - ShellServiceObjectDelayLoad

Hvað lítur það út:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Hvað skal gera:
Þetta er undocumented autorun aðferð, venjulega notuð af nokkrum Windows hluti kerfisins. Atriði sem taldar eru upp á HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad eru hlaðinn af Explorer þegar Windows hefst. HijackThis notar whitelist af nokkrum mjög algengum SSODL hlutum, þannig að þegar hlutur er sýndur í þig inn er hann óþekktur og hugsanlega illgjarn. Meðhöndla með mikilli aðgát.

O22 - SharedTaskScheduler

Hvað lítur það út:
O22 - SharedTaskScheduler: (ekkert nafn) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Hvað skal gera:
Þetta er undocumented autorun fyrir Windows NT / 2000 / XP eingöngu, sem er notað mjög sjaldan. Hingað til notar aðeins CWS.Smartfinder það. Meðhöndla með varúð.

O23 - NT Þjónusta

Hvað lítur það út:
O23 - Þjónusta: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Hvað skal gera:
Þetta er skráning á þjónustu utan Microsoft. Listinn ætti að vera sá sami sem sá sem þú sérð í Msconfig gagnsemi Windows XP. Nokkrir tróverji hijackers nota heimabakað þjónustu í adittion til annarra gangsetninga til að setja sig aftur. Fullt nafn er venjulega mikilvægt, eins og 'Netöryggisþjónustan', 'Vinnustöðvarmerkisþjónusta' eða 'Fjarlægðarsímtal hjálparhjálp', en innri nafnið (milli sviga) er sorpsorp, eins og 'Ort'. Seinni hluti línunnar er eigandi skráarinnar í lokin, eins og sést á eignum skráarinnar.

Athugaðu að ákveða O23 atriði mun aðeins stöðva þjónustuna og slökkva á henni. Þjónustan þarf að vera eytt úr Registry handvirkt eða með öðru tóli. Í HijackThisThis 1.99.1 eða hærra er hægt að nota hnappinn 'Delete NT Service' í hlutanum Misc Tools.