Kako analizirati HijackThis zapise

Analize do seu Pc com HiJackThis - Vídeo Aula (Travanj 2025)

Analize do seu Pc com HiJackThis - Vídeo Aula (Travanj 2025)

:

Anonim

HijackThis je besplatan alat tvrtke Trend Micro. Izvorno ga je razvila Merijn Bellekom, studentica u Nizozemskoj. Softver za uklanjanje špijunskih programa poput Adawarea ili Spybot S & D čini dobar posao otkrivanja i uklanjanja većine špijunskih programa, no neki otmičari spywarea i preglednika previše su podmukli čak i za ove velike antispyware programe.

HijackThis je napisan posebno za otkrivanje i uklanjanje hijacka preglednika ili softvera koji preuzima vaš web preglednik, mijenja vašu zadanu početnu stranicu i tražilicu i druge zlonamjerne stvari. Za razliku od tipičnog anti-spyware softvera, HijackThis ne koristi potpise niti cilja na određene programe ili URL-ove za otkrivanje i blokiranje. Umjesto toga, HijackThis traži trikove i metode koje koristi zlonamjerni softver za zarazu vašeg sustava i preusmjeravanje preglednika.

Nije sve što se pojavljuje u HijackThis zapisima je loša stvar i ne treba sve ukloniti. Zapravo, upravo suprotno. Gotovo je zajamčeno da će neke stavke u vašim HijackThis zapisima biti legitimni softver i uklanjanje tih stavki može nepovoljno utjecati na vaš sustav ili ga potpuno ne raditi. Korištenje HijackThis puno je poput samog uređivanja registra sustava Windows. To nije raketna znanost, ali svakako ne biste trebali to učiniti bez nekih stručnih smjernica, osim ako stvarno ne znate što radite.

Nakon što instalirate HijackThis i pokrenete ga za generiranje dnevnika, postoji širok izbor foruma i web mjesta na kojima možete postavljati ili prenositi podatke zapisnika. Stručnjaci koji znaju što tražiti mogu vam pomoći analizirati zapisničke podatke i savjetovati vas o tome koje stavke treba ukloniti i koje one napustiti sami.

Da biste preuzeli trenutnu verziju programa HijackThis, možete posjetiti službenu web stranicu tvrtke Trend Micro.

Evo pregleda unosa HijackThis zapisa koji možete koristiti za skok na informacije koje tražite:

  • R0, R1, R2, R3 - URL-ovi početnih / pretraživačkih stranica programa Internet Explorer
  • F0, F1 - Autoloading programi
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Pretraži URL stranice
  • O1 - Hosts preusmjeravanje datoteke
  • O2 - objekti Helper preglednika
  • O3 - Internet Explorer alatne trake
  • O4 - Autoloading programi iz Registra
  • O5 - IE Opcija ikona nije vidljiva na upravljačkoj ploči
  • O6 - IE Mogućnosti pristupa ograničen od strane administratora
  • O7 - Regedit pristup ograničen od strane administratora
  • O8 - Dodatne stavke u IE desnim klikom izbornika
  • O9 - Dodatni gumbi na glavnoj alatnoj traci gumba IE ili dodatne stavke u izborniku "Alati"
  • O10 - Winsock otmičar
  • O11 - Dodatna skupina u prozoru IE Advanced Options
  • O12 - IE dodatke
  • O13 - IE DefaultPrefix otima
  • O14 - "Reset web postavki" oteti
  • O15 - Neželjena stranica u Trusted Zone
  • O16 - ActiveX objekti (aka preuzete programske datoteke)
  • O17 - Lop.com domena otmičara
  • O18 - Dodatni protokoli i protuprovalni protuprovalni operateri
  • O19 - Korisnički stil otmičara
  • O20 - AppInit_DLLs Vrijednost registra autorun
  • O21 - ShellServiceObjectDelayLoad Autorun registarske tipke
  • O22 - SharedTaskScheduler Autorun registarskog ključa
  • O23 - Windows NT Usluge

R0, R1, R2, R3 - IE Početak i pretraživanje stranica

Kako izgleda:R0 - HKCU Software Microsoft Internet Explorer Glavni, početna stranica = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Glavni, Default_Page_URL = http://www.google.com/R2 - (ovaj tip još ne koristi HijackThis)R3 - Zadani URLSearchHook nedostaje

Što učiniti:Ako URL na kraju dobijete kao svoju početnu stranicu ili tražilicu, to je u redu. Ako to ne učinite, provjerite to i popravite ga s HijackThis. Za stavke R3, uvijek ih popravite, osim ako ne spomenuti program koji prepoznajete, kao što je Kopernik.

F0, F1, F2, F3 - Autoloading programi iz INI datoteka

Kako izgleda:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: pokrenite = hpfsched

Što učiniti:F0 stavke su uvijek loše, pa ih ispravite. F1 stavke obično su vrlo stari programi koji su sigurni, stoga biste trebali pronaći više informacija o nazivu datoteke kako biste vidjeli je li dobro ili loše. Pacman's Startup List može vam pomoći pri prepoznavanju stavke.

N1, N2, N3, N4 - Netscape / Mozilla Početak i pretraživanje

Kako izgleda:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Programske datoteke Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumenti i postavke Podaci korisnika aplikacija Mozilla Profili defaults9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumenti i postavke Podaci korisnika aplikacija Mozilla Profili defaults9t1tfl.slt prefs.js)

Što učiniti:Obično su Netscape i Mozilla početna stranica i stranica za pretraživanje sigurni. Rijetko se oteli, samo je poznato da je Lop.com to učinio. Ako vidite URL koji ne prepoznajete kao početnu stranicu ili stranicu za pretraživanje, ispravite je s HijackThis.

O1 - Preusmjeravanja na hostsfile

Kako izgleda:O1 - Domaćini: 216.177.73.139 auto.search.msn.comO1 - Domaćini: 216.177.73.139 search.netscape.comO1 - Domaćini: 216.177.73.139 ieautosearchO1 - Datoteka Hosts nalazi se u C: Windows Help hosts

Što učiniti:Ovaj oteti će preusmjeriti adresu desno na IP adresu s lijeve strane.Ako IP ne pripada adresi, bit ćete preusmjereni na pogrešnu web-lokaciju svaki put kad unesete adresu. Možete uvijek imati HijackThis popraviti ove, osim ako ste svjesno stavili te retke u datoteku Hosts.

Zadnja stavka ponekad se pojavljuje na Windows 2000 / XP sa Coolwebsearch infekcijom. Uvijek ispravite ovu stavku ili je CWShredder automatski popravi.

O2 - objekti Helper preglednika

Kako izgleda:O2 - BHO: Yahoo! Popratni BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (bez imena) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (nedostaje datoteka)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Što učiniti:Ako izravno ne prepoznajete ime objekta Helpera preglednika, upotrijebite popis BHO i alatne trake tvrtke TonyK da biste ga pronašli prema ID-u klase (CLSID, broj između kovrčastih zagrada) i provjerite je li dobro ili loše. Na popisu BHO, 'X' znači spyware i 'L' znači sigurno.

O3 - IE alatne trake

Kako izgleda: O3 - Alatna traka: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Alatna traka: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (nedostaje datoteka)O3 - Alatna traka: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Što učiniti:Ako izravno ne prepoznajete naziv alatne trake, upotrijebite popis BHO i alatne trake tvrtke TonyK da biste ga pronašli prema ID-u klase (CLSID, broj između kovrčastih zagrada) i pogledajte je li dobro ili loše. Na popisu Toolbara "X" znači spyware i "L" znači siguran. Ako se ne nalazi na popisu, a ime se čini slučajnim nizom znakova i datoteka se nalazi u mapi "Application Data" (kao posljednja u gore navedenim primjerima), to je vjerojatno Lop.com i sigurno biste trebali imati HijackThis popravak to.

O4 - Programi automatskog učitavanja iz registarske ili pokretne skupine

Kako izgleda:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Pokreni: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Programske datoteke Common Files Symantec Shared ccApp.exe"O4 - Pokretanje: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Globalno pokretanje: winlogon.exe

Što učiniti:Upotrijebite Pacmanov popis za pokretanje da biste pronašli unos i provjerite je li dobro ili loše.

Ako stavka prikazuje program koji sjedi u Startup grupi (kao posljednja stavka iznad), HijackThis ne može popraviti stavku ako je ovaj program još uvijek u memoriji. Koristite Windows Task Manager (TASKMGR.EXE) da biste zatvorili postupak prije popravljanja.

O5 - IE Opcije nisu vidljive na upravljačkoj ploči

Kako izgleda: O5 - control.ini: inetcpl.cpl = ne

Što učiniti:Osim ako ste vi ili vaš administrator sustava svjesno skrivali ikonu iz upravljačke ploče, HijackThis to popraviti.

O6 - IE Mogućnosti pristupa ograničen od strane administratora

Kako izgleda:O6 - HKCU Software Policies Microsoft Internet Explorer Ograničenja prisutna

Što učiniti:Ako nemate opciju Spybot S & D "Zaključaj početnu stranicu od izmjena" ili vaš administrator sustava stavlja ovo na svoje mjesto, HijackThis to popravlja.

O7 - Regedit pristup ograničen od strane administratora

Kako izgleda:O7 - HKCU Softver Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Što učiniti:HijackThis uvijek ima ovo popraviti, osim ako vaš administrator sustava nije stavio ovo ograničenje na svoje mjesto.

O8 - Dodatne stavke u IE desnim klikom izbornika

Kako izgleda: O8 - Dodatna stavka izbornika u kontekstu: & Google pretraživanje - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_HR_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Dodatna stavka izbornika u kontekstu: Yahoo! Pretraži datoteku: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Dodatna stavka izbornika u kontekstu: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Dodatna stavka izbornika: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Što učiniti:Ako ne prepoznajete naziv stavke u izborniku desnom tipkom miša u IE, HijackThis to popraviti.

O9 - Dodatni gumbi na glavnoj IE alatnoj traci ili dodatne stavke u izborniku IE 'Tools'

Kako izgleda: O9 - Dodatni gumb: Messenger (HKLM)O9 - Dodatni izbornik 'Tools': Messenger (HKLM)O9 - Dodatni gumb: AIM (HKLM)

Što učiniti:Ako ne prepoznajete naziv gumba ili stavke izbornika, ispravite je s HijackThis.

O10 - otmičari Winsock

Kako izgleda: O10 - Oteti internetski pristup od strane New.NetO10 - Propusni pristup internetu zbog LSP pružatelja usluga c: progra ~ 1 common ~ 2 toolbar cnmib.dll 'nedostajeO10 - Nepoznata datoteka u programu Winsock LSP: c: programske datoteke newton zna vmain.dll

Što učiniti:To je najbolje riješiti pomoću LSPFixa iz Cexx.org ili Spybot S & D iz Kolla.de.

Imajte na umu da se "nepoznate" datoteke u LSP stalci neće riješiti pomoću programa HijackThis, zbog sigurnosnih problema.

O11 - Dodatna skupina u prozoru IE Advanced Options

Kako izgleda: O11 - Opcija grupa: CommonName CommonName

Što učiniti:Jedini hijacker od sada koji dodaje vlastitu skupinu opcija u IE Advanced Options prozor CommonName. Stoga uvijek možete imati HijackThis popraviti ovo.

O12 - IE dodatke

Kako izgleda: O12 - Plugin za .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - dodatak za .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Što učiniti:Većinu vremena to su sigurne. Samo OnFlow ovdje dodaje dodatak koji ne želite (.ofb).

O13 - IE DefaultPrefix otima

Kako izgleda: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW prefiks: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefiks: http://ehttp.cc/?

Što učiniti:To su uvijek loši. HijackThis ih popraviti.

O14 - "Reset web postavki" oteti

Kako izgleda: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Što učiniti:Ako URL nije davatelj vašeg računala ili ISP-a, ispravite je s HijackThis.

O15 - Neželjena mjesta u Trusted Zone

Kako izgleda: O15 - Pouzdana zona: http://free.aol.comO15 - Pouzdana zona: * .coolwebsearch.comO15 - Pouzdana zona: * .msn.com

Što učiniti:Većinu vremena samo AOL i Coolwebsearch tiho dodaju web stranice u Trusted Zone. Ako niste dodali navedenu domenu na Trusted Zone, HijackThis to popraviti.

O16 - ActiveX objekti (aka preuzete programske datoteke)

Kako izgleda: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Što učiniti:Ako ne prepoznajete naziv objekta ili URL s kojeg je preuzet, HijackThis to popraviti. Ako ime ili URL sadrže riječi poput "brojčanik", "casino", "free_plugin" itd., Definitivno ga popraviti. Javacool's SpywareBlaster ima ogromnu bazu zlonamjernih ActiveX objekata koji se mogu koristiti za traženje CLSID-ova. (Desnom tipkom miša kliknite popis kako biste koristili funkciju Traženje.)

Domena O17 - Lop.com ometa

Kako izgleda: O17 - HKLM Sustav CCS Services VxD MSTCP: Domena = aoldsl.netO17 - HKLM Sustav CCS Services Tcpip Parametri: Domena = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM Sustav CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domena = W21944.find-quick.comO17 - HKLM Sustav CS1 Services Tcpip Parametri: SearchList = gla.ac.ukO17 - HKLM Sustav CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Što učiniti:Ako domena nije iz vašeg ISP-a ili tvrtke mreže, HijackThis to popraviti. Isto vrijedi i za stavke "SearchList". Za unose "NameServer" (DNS poslužitelji) Google za IP ili IP i lako će se vidjeti jesu li dobri ili loši.

O18 - Dodatni protokoli i protuprovalni protuprovalni operateri

Kako izgleda: O18 - Protokol: povezani poveznice - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - protokol oteti: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Što učiniti:Ovdje se pojavljuju samo nekoliko otmičara. Poznati su baddies 'cn' (CommonName), 'ayb' (Lop.com) i 'linkedlinks' (Huntbar), trebali biste imati HijackThis popraviti one. Ostale stvari koje se pojavljuju ili nisu potvrđene još sigurne, ili su oteli (tj. CLSID je promijenjen) od strane špijunskog softvera. U posljednjem slučaju, HijackThis to popraviti.

O19 - Korisnički stil otmičara

Kako izgleda: O19 - Korisnički list stroja: c: WINDOWS Java my.css

Što učiniti:U slučaju usporavanja preglednika i čestih skočnih prozora, HijackThis popravlja ovu stavku ako se pojavi u zapisniku. Međutim, budući da samo Coolwebsearch to čini, bolje je koristiti CWShredder kako bi je popravio.

O20 - AppInit_DLLs Vrijednost registra autorun

Kako izgleda: O20 - AppInit_DLLs: msconfd.dll

Što učiniti:Ova vrijednost registra koja se nalazi na HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows učitava DLL u memoriju kada se korisnik prijavi, nakon čega ostaje u memoriji do odjava. Vrlo malo legitimnih programa koristi ga (Norton CleanSweep koristi APITRAP.DLL), najčešće ga koriste trojanci ili agresivni otmičari preglednika.

U slučaju "skrivenog" učitavanja DLL-a iz ove vrijednosti registra (vidljivo samo kada koristite opciju 'Uredi binarne podatke' u regeditu) dll ime može biti unaprijed s cijevom '|' kako bi je vidljiv u dnevniku.

O21 - ShellServiceObjectDelayLoad

Kako izgleda: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Što učiniti:Ovo je nedokumentirana autorunska metoda koju obično koristi nekoliko komponenti sustava Windows. Stavke koje su navedene na HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad učitavaju Explorer kada se pokrene sustav Windows. HijackThis koristi dopušteni popis nekoliko vrlo uobičajenih SSODL stavki, tako da svaki put kada se neka stavka prikazuje u zapisniku, ona je nepoznata i vjerojatno zlonamjerna. Tretirajte s iznimnom pažnjom.

O22 - SharedTaskScheduler

Kako izgleda: O22 - SharedTaskScheduler: (bez naziva) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Što učiniti:Ovo je nedokumentiran autorun za Windows NT / 2000 / XP koji se koristi vrlo rijetko. Do sada samo CWS.Smartfinder ga koristi. Lijepo postupajte.

O23 - NT usluge

Kako izgleda: O23 - Usluga: Kerio osobni vatrozid (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Što učiniti:Ovo je popis usluga koje nisu Microsoftove.Popis bi trebao biti isti kao onaj koji vidite u uslužnom programu Msconfig sustava Windows XP. Neki trojanskih otmičara koriste domaću uslugu u adittion drugim startupima kako bi se ponovno instalirali. Puno ime obično je važna, poput "Network Security Service", "Workstation Logon Service" ili "Remote Procedure Call Helper", no unutarnje ime (između zagrada) je niz smeća, poput "Ort". Drugi dio retka je vlasnik datoteke na kraju, što se vidi u svojstvima datoteke.

Imajte na umu da popravljanje O23 stavke zaustavlja uslugu i onemogućuje ga. Uslugu se iz Registra treba izbrisati ručno ili pomoću drugog alata. U HijackThis 1.99.1 ili novijoj verziji, za to se može koristiti gumb 'Izbriši NT Service' u sekciji Misc Tools.

Kako analizirati XML datoteke u Xcode

Kako analizirati XML datoteke u Xcode

Uobičajena zadaća raščlanjivanja RSS ili XML datoteka je jednostavna u ovom korak-po-koraku Cilj-C tutorial koji vam pokazuje kako to učiniti.

Kako očistiti vinil LP zapise s rekordom čistiju

Kako očistiti vinil LP zapise s rekordom čistiju

Vinilni zapisi neće igrati ispravno? Snimanje strojeva za čišćenje su izvrsni za čišćenje, ali postoje i druge učinkovite metode čišćenja vinilnih ploča.

Kako digitalizirati svoje vinilne zapise za mobilne uređaje

Kako digitalizirati svoje vinilne zapise za mobilne uređaje

S pravim softverom i hardverom, vinilni zapisi (LPS) mogu se pretvoriti u digitalne audio glazbene datoteke za reprodukciju na računalima i mobilnim uređajima.

Izbor Urednika