Kā analizēt HijackThis logs

:

Anonim

HijackThis ir Trend Micro bezmaksas rīks. To sākotnēji izstrādāja Merijn Bellekom, students Nīderlandē. Spiegprogrammatūru noņemšanas programmatūra, piemēram, Adaware vai Spybot S & D, labs darbs, lai atklātu un likvidētu lielāko daļu spiegprogrammatūras programmu, taču daži spiegprogrammatūras un pārlūkprogrammas nolaupītāji ir pārāk mānīgi pat šīm lieliskajām anti-spiegprogrammatūras lietojumprogrammām.

HijackThis ir rakstīts īpaši, lai atklātu un noņemtu pārlūkprogrammas hijacks vai programmatūru, kas pārņem jūsu tīmekļa pārlūkprogrammu, maina noklusējuma sākumlapu un meklētājprogrammu un citas ļaunprātīgas lietas. Atšķirībā no tipiskās anti-spyware programmatūru, HijackThis neizmanto parakstus vai mērķauditoriju, lai noteiktu un bloķētu konkrētas programmas vai URL. Drīzāk HijackThis meklē ļaundabēm izmantoto triku un metodes, lai inficētu jūsu sistēmu un novirzītu pārlūku.

Ne viss, kas parādās HijackThis žurnālos, ir slikti, un to nevajadzētu noņemt. Patiesībā, gluži pretēji. Ir gandrīz garantēts, ka daži no jūsu HijackThis žurnālu priekšmetiem būs likumīga programmatūra, un šo posteņu noņemšana var nelabvēlīgi ietekmēt jūsu sistēmu vai padarīt to pilnīgi neīstenojamu. Izmantojot HijackThis ir daudz, piemēram, rediģējot Windows reģistru pats. Tas nav raķešu zinātne, taču noteikti to nedariet bez dažām ekspertu vadlīnijām, ja vien jūs patiešām nezināt, ko jūs darāt.

Kad jūs instalējat HijackThis un palaidiet to, lai ģenerētu žurnāla failu, ir dažādi forumi un vietnes, kurās varat publicēt vai augšupielādēt savus žurnāla datus. Eksperti, kuri zina, ko meklēt, var palīdzēt analizēt žurnāla datus un ieteikt, kurus priekšmetus noņemt un kurus atstāt atsevišķi.

Lai lejupielādētu pašreizējo HijackThis versiju, varat apmeklēt oficiālo Trend Micro vietni.

Šeit ir pārskats par HijackThis žurnāla ierakstiem, kurus varat izmantot, lai pārietu uz informāciju, kuru meklējat:

  • R0, R1, R2, R3 - Internet Explorer sākumlapas / meklēšanas lapu URL
  • F0, F1 - Autoloading programmas
  • N1, N2, N3, N4 - Netscape / Mozilla sākumlapas / meklēšanas lapu URL
  • O1 - Hosts faila novirzīšana
  • O2 - pārlūka palīdzības objekti
  • O3 - pārlūkprogrammas Internet Explorer rīkjoslas
  • O4 - Automātiski ielādējot programmas no reģistra
  • O5 - IE opciju ikona nav redzama vadības panelī
  • O6 - IE piekļuves opcijas, kuras ierobežo administrators
  • O7 - Regedit piekļuve, kuru ierobežo administrators
  • O8 - Papildu vienumi IE labo klikšķu izvēlnē
  • O9 - papildu taustiņi galvenajā IE pogas rīkjoslā vai papildu vienumi IE izvēlnē "Rīki"
  • O10 - Winsock lidmašīnas nolaupītājs
  • O11 - Papildu grupa IE opciju Papildu opcijas logā
  • O12 - IE spraudņi
  • O13 - IE DefaultPrefix hijack
  • O14 - nolaupīšana 'Atjaunot Web iestatījumus'
  • O15 - Nevēlama vietne uzticamā zonā
  • O16 - ActiveX objekti (pazīstams arī kā lejupielādētos programmu failos)
  • O17 - Lop.com domēna nolaupītāji
  • O18 - papildu protokoli un protokola nolaupītāji
  • O19 - lietotāja stilu lapas nolaupīšana
  • O20 - AppInit_DLLs Reģistra vērtība autorun
  • O21 - ShellServiceObjectDelayLoad reģistra atslēgas autorun
  • O22 - SharedTaskScheduler reģistra atslēgas autorun
  • O23 - Windows NT pakalpojumi

R0, R1, R2, R3 - IE sākuma un meklēšanas lapas

Kā tas izskatās:R0 - HKCU Software Microsoft Internet Explorer Main, Sākuma lapa = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (šis veids vēl nav izmantots HijackThis)R3 - noklusējuma URLSearchHook nav

Ko darīt:Ja jūs atzīsit URL beigās kā savu sākumlapu vai meklētājprogrammu, tas ir OK. Ja jums tā nav, pārbaudiet to un izmantojiet HijackThis labotu. R3 vienumiem vienmēr tos salabojiet, ja vien tas nenorāda uz atpazīstamo programmu, piemēram, Copernic.

F0, F1, F2, F3 - Autoloading programmas no INI failiem

Kā tas izskatās:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: palaist = hpfsched

Ko darīt:F0 vienumi vienmēr ir slikti, tādēļ tos labojiet. F1 vienumi parasti ir ļoti vecas programmas, kas ir drošas, tāpēc jums vajadzētu atrast vairāk informācijas par faila nosaukumu, lai redzētu, vai tā ir laba vai slikta. Pacman starta saraksts var palīdzēt identificēt vienumu.

N1, N2, N3, N4 - Netscape / Mozilla sākuma un meklēšanas lapa

Kā tas izskatās:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motors: //C% 3A% 5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Ko darīt:Parasti Netscape un Mozilla mājaslapa un meklēšanas lapa ir droši. Viņi reti saņem nolaupīšanu, taču ir zināms tikai Lop.com. Ja redzat vietrādi URL, kuru neatpazīstat kā sākumlapu vai meklēšanas lapu, ir jāuzlabo tā.

O1 - Hostsfile novirzīšana

Kā tas izskatās:O1 - Hosts: 216.177.73.139 auto.search.msn.comO1 - Saimnieki: 216.177.73.139 search.netscape.comO1 - Hosts: 216.177.73.139 ieautosearchO1 - Hosts fails atrodas C: Windows Help hosts

Ko darīt:Šī nolaupīšana novirzīs adresi pa labi uz IP adresi pa kreisi.Ja IP neietilpst šajā adresē, jūs katru reizi ievadīsit adresi, tiks novirzīta uz nepareizu vietni. Jūs vienmēr varat būt HijackThis labotu šos, ja vien jūs apzināti neizmantojat šīs līnijas savā Hosts failā.

Pēdējais objekts dažreiz notiek ar Windows 2000 / XP ar Coolwebsearch infekciju. Vienmēr izlabojiet šo vienumu vai arī CWShredder to automātiski labojiet.

O2 - pārlūka palīdzības objekti

Kā tas izskatās:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (nav nosaukuma) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (failam trūkst)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Ko darīt:Ja jūs tieši neatpazīstat pārlūkprogrammas palīdzības objekta nosaukumu, izmantojiet TonyK BHO un rīkjoslas sarakstu, lai to atrastu pēc klases ID (CLSID, numurs starp cilnēm) un noskaidrojiet, vai tas ir labs vai slikts. BHO sarakstā "X" ir spiegprogrammatūra un "L" nozīmē drošību.

O3 - IE rīkjoslas

Kā tas izskatās: O3 - rīkjosla: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - rīkjosla: ekrānsaudzētājs - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (faila trūkst)O3 - rīkjosla: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Ko darīt:Ja jūs tieši neatpazīstat rīkjoslas nosaukumu, izmantojiet TonyK BHO un rīkjoslu sarakstu, lai to atrastu pēc klases ID (CLSID, numurs starp cilnēm) un noskaidrojiet, vai tas ir labs vai slikts. Rīkjoslas sarakstā "X" ir spiegprogrammatūra un "L" nozīmē drošību. Ja tas nav sarakstā, un nosaukums šķiet izlases simbolu virkne, un fails atrodas mapē "Pieteikuma dati" (tāpat kā pēdējā no iepriekš minētajiem piemēriem), iespējams, tas ir Lop.com, un jums noteikti vajadzētu būt HijackThis labojums tas

O4 - Autoloading programmas no reģistra vai Startup grupa

Kā tas izskatās:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Koplietotie faili Symantec Shared ccApp.exe"O4 - startēšana: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - globālais starta veids: winlogon.exe

Ko darīt:Izmantojiet PacMan sākuma sarakstu, lai atrastu ierakstu un redzētu, vai tas ir labs vai slikts.

Ja vienums parāda programmu, kas atrodas starta grupā (tāpat kā pēdējais postenis iepriekš), HijackThis nevar noteikt vienumu, ja šī programma joprojām ir atmiņā. Izmantojiet Windows uzdevumu pārvaldnieku (TASKMGR.EXE), lai pirms procesa pabeigšanas pabeigtu procesu.

O5 - IE opcijas nav redzamas vadības panelī

Kā tas izskatās: O5 - control.ini: inetcpl.cpl = nav

Ko darīt:Ja vien jūs vai jūsu sistēmas administrators nav apzināti slēgušas ikonu no vadības paneļa, ir jānodrošina, ka tas ir labots.

O6 - IE piekļuves opcijas, kuras ierobežo administrators

Kā tas izskatās:O6 - HKCU Software Policies Microsoft Internet Explorer Ierobežojumi

Ko darīt:Ja jums nav Spybot S & D opcijas "Bloķēt mājas lapu no izmaiņām", vai jūsu sistēmas administrators to ir ieviesis, ir jābūt HijackThis labotu šo.

O7 - Regedit piekļuve, kuru ierobežo administrators

Kā tas izskatās:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Ko darīt:Vienmēr ir HijackThis labotu šo, ja jūsu sistēmas administrators nav ievietojis šo ierobežojumu.

O8 - Papildu vienumi IE labo klikšķu izvēlnē

Kā tas izskatās: O8 - papildu konteksta izvēlnes vienums: & Google meklēšana - res: // C: WINDOWS LEJUPIELĀDAS PROGRAMMAS FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - papildu konteksta izvēlnes vienums: Yahoo! Meklēt - fails: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Papildu konteksta izvēlnes vienums: zoom & In - C: WINDOWS WEB zoomin.htmO8 - Papildu konteksta izvēlnes vienums: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Ko darīt:Ja IE objekta labā klikšķa izvēlnē neatpazīstat objekta nosaukumu, ir jābūt HijackThis labotu.

O9 - papildu pogas galvenajā IE rīkjoslā vai papildu vienumi izvēlnē IE "Rīki"

Kā tas izskatās: O9 - papildu poga: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O9 - papildu poga: AIM (HKLM)

Ko darīt:Ja jūs neatpazīstat pogas nosaukumu vai izvēlnes vienumu, ir HijackThis labotu.

O10 - Winsock lidmašīnas nolaupītāji

Kā tas izskatās: O10 - nolaupīta Interneta piekļuve, izmantojot New.NetO10 - sabojātais interneta piekļuves dēļ LSP sniedzēja "c: progra ~ 1 common ~ 2 toolbar cnmib.dll" trūkstO10 - nezināms fails Winsock LSP: c: program files newton zina vmain.dll

Ko darīt:Vislabāk ir tos labot, izmantojot LSPFix no Cexx.org vai Spybot S & D no Kolla.de.

Ievērojiet, ka "nezināmus" failus LSP kaudzē HijackThis nenosaka, lai novērstu drošības problēmas.

O11 - Papildu grupa IE opciju Papildu opcijas logā

Kā tas izskatās: O11 - opciju grupa: CommonName CommonName

Ko darīt:Vienīgais nolaupītājs, kurš pašlaik pievieno savu opciju grupu logā Papildu opcijas IE, ir CommonName. Tātad, jūs vienmēr varat būt HijackThis labotu šo.

O12 - IE spraudņi

Kā tas izskatās: O12 - Plugin par .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugins for .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Ko darīt:Lielākoties tie ir droši. Tikai OnFlow šeit pievieno spraudni, kuru nevēlaties (.ofb).

O13 - IE DefaultPrefix hijack

Kā tas izskatās: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW prefikss: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefikss: http://ehttp.cc/?

Ko darīt:Tie vienmēr ir slikti. Ir HijackThis labotu tos.

O14 - nolaupīšana 'Atjaunot Web iestatījumus'

Kā tas izskatās: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Ko darīt:Ja šis URL nav jūsu datora vai ISP nodrošinātājs, ir jānodrošina, ka tas ir labots.

O15 - Nevēlamas vietnes uzticamās zonās

Kā tas izskatās: O15 - uzticamā zona: http://free.aol.comO15 - uzticama zona: * .coolwebsearch.comO15 - uzticama zona: *. Msn.com

Ko darīt:Lielāko daļu laika tikai AOL un Coolwebsearch klusi pievieno vietnes uzticamai zonai. Ja jūs pašlaik neesat pievienojis uzskaitīto domēnu uzticamai zonai, ir jāpārliecina, ka tas ir labots.

O16 - ActiveX objekti (pazīstams arī kā lejupielādētos programmu failos)

Kā tas izskatās: O16 - DPF: Yahoo! Tērzēšana - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ko darīt:Ja neatpazīstat objekta nosaukumu vai URL, no kura tas tika lejupielādēts, ir HijackThis labotu. Ja vārds vai URL satur vārdus, piemēram, "zvanītājprogramma", "kazino", "free_plugin" utt, noteikti to novērstu. Javacool's SpywareBlaster ir milzīga datubāze par ļaunprātīgiem ActiveX objektiem, kurus var izmantot CLSID meklēšanai. (Lai izmantotu funkciju Atrast, ar peles labo pogu noklikšķiniet uz saraksta).

O17 - Lop.com domēna hijacks

Kā tas izskatās: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Pakalpojumi Tcpip Parametri: Domain = W21944.find-quick.comO17 - HKLM Programmatūra .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. (D196AB38-4D1F-45C1-9108-46D367F19F7E): Domain = W21944.find-quick.comO17 - HKLM System CS1 Pakalpojumi Tcpip Parametri: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Ko darīt:Ja domēns nav no jūsu ISP vai uzņēmuma tīkla, ir HijackThis labotu. Tas pats attiecas uz ierakstiem "SearchList". Attiecībā uz "NameServer" (DNS serveriem) ierakstiem, Google IP vai IP, un būs viegli redzēt, vai tie ir labi vai slikti.

O18 - papildu protokoli un protokola nolaupītāji

Kā tas izskatās: O18 - protokols: saistītās saites - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - protokols: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - protokola nolaupīšana: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Ko darīt:Šeit parādās tikai daži nolaupītāji. Zināmās baddies ir "cn" (CommonName), "ayb" (Lop.com) un "relatedlinks" (Huntbar), jums vajadzētu būt HijackThis labotu tos. Citas lietas, kas tiek rādītas, vēl nav apstiprinātas drošībā vai ir uzlauztas (t.i., CLSID ir mainītas) ar spiegprogrammatūru. Pēdējā gadījumā ir HijackThis salabot.

O19 - lietotāja stilu lapas nolaupīšana

Kā tas izskatās: O19 - lietotāja stilu lapa: c: WINDOWS Java my.css

Ko darīt:Pārlūka palēnināšanās un biežu uznirstošo logu gadījumā ir HijackThis labotu šo vienumu, ja tas tiek parādīts logā. Tomēr, tā kā tikai Coolwebsearch to dara, labāk ir izmantot CWShredder, lai to novērstu.

O20 - AppInit_DLLs Reģistra vērtība autorun

Kā tas izskatās: O20 - AppInit_DLLs: msconfd.dll

Ko darīt:Šī reģistra vērtība, kas atrodas vietnē HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows, iekrauj DLL atmiņā, kad lietotājs piesakās, pēc kura tas paliek atmiņā, līdz tiek izslēgts. To izmanto ļoti maz likumīgu programmu (Norton CleanSweep izmanto APITRAP.DLL), visbiežāk to izmanto trojans vai agresīvi pārlūkprogrammas nolaupītāji.

Slēptas DLL ielādes gadījumā no šī reģistra vērtības (redzams tikai, izmantojot Regedit opciju Rediģēt binārus datus), dll nosaukums var būt prefikss ar cauruli '|' lai padarītu to redzamu žurnālā.

O21 - ShellServiceObjectDelayLoad

Kā tas izskatās: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Ko darīt:Šī ir nedokumentēta autorunu metode, ko parasti lieto daži Windows sistēmas komponenti. Kad Windows startē, pārlūkprogramma Explorer ielādē vienumus, kas uzskaitīti HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad. HijackThis izmanto balto sarakstu ar vairākām ļoti bieži SSODL vienībām, tādēļ ikreiz, kad vienums žurnālā tiek parādīts, tas nav zināms un, iespējams, ir ļaunprātīgs. Ārstējiet ar ārkārtēju aprūpi.

O22 - SharedTaskScheduler

Kā tas izskatās: O22 - SharedTaskScheduler: (bez nosaukuma) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Ko darīt:Šī ir nedokumentēta automātiska sistēma Windows NT / 2000 / XP, kuru izmanto ļoti reti. Līdz šim tikai CWS.Smartfinder to izmanto. Rūpēties uzmanīgi.

O23 - NT pakalpojumi

Kā tas izskatās: O23 - Pakalpojums: Kerio personālais ugunsmūris (PersFw) - Kerio Technologies - C: Program Files Kerio Personālais ugunsmūris persfw.exe

Ko darīt:Šis ir ne-Microsoft pakalpojumu uzskaitījums.Sarakstam ir jābūt tādam pašam kā tā, kuru redzat Windows XP lietojumprogrammas Msconfig. Vairāki Trojan hijackerers izmanto mājās sniegto pakalpojumu, lai papildinātu citiem starta uzņēmumiem, lai pārinstalēt sevi. Pilns nosaukums parasti ir svarīgs, piemēram, "tīkla drošības dienests", "darbstacijas pieslēgšanās pakalpojums" vai "attālinātās procedūras izsaukšanas palīgs", bet iekšējais vārds (starp iekavām) ir virkne atkritumu, piemēram, "Ort". Līnijas otrā daļa ir faila īpašnieks beigās, kā tas redzams faila rekvizītos.

Ņemiet vērā, ka O23 objekta fiksēšana apstādina pakalpojumu un atspējo to. Pakalpojums ir jādzēš no reģistra manuāli vai ar citu rīku. Šajā HijackThis 1.99.1 vai augstāka, pogu "Dzēst NT Service" sadaļā Misc Tools var izmantot šim.

Redaktora Izvēle