Ako analyzovať protokoly HijackThis

:

Anonim

HijackThis je bezplatný nástroj od spoločnosti Trend Micro. Bol pôvodne vyvinutý Merijnom Bellekom, študentom v Holandsku. Softvér na odstraňovanie spywaru, ako je napríklad Adaware alebo Spybot S & D, robí dobrú prácu pri zisťovaní a odstraňovaní väčšiny spywarových programov, ale niektorí únoscovia spywaru a prehliadačov sú príliš zákerní aj pre tieto skvelé nástroje proti spyware.

HijackThis je písaný špeciálne na detekciu a odstránenie únosov prehliadača alebo softvéru, ktorý preberá váš webový prehliadač, zmení vašu predvolenú domovskú stránku a vyhľadávač a iné škodlivé veci. Na rozdiel od typického anti-spyware softvéru, HijackThis nepoužíva podpisy ani nezacieľuje žiadne špecifické programy alebo adresy na detekciu a blokovanie. Skôr HijackThis hľadá triky a metódy používané malware na infikovanie vášho systému a presmerovanie vášho prehliadača.

Nie všetko, čo sa zobrazuje v protokoloch HijackThis, je zlé veci a nemalo by to byť všetko odstránené. V skutočnosti naopak. Je skoro zaručené, že niektoré položky vo vašich protokoloch HijackThis budú legitímnym softvérom a odstránením týchto položiek môže nepriaznivo ovplyvniť váš systém alebo spôsobiť jeho úplné nefunkčnosť. Použitie HijackThis je veľa ako editácia registra Windows sami. Nie je to raketová veda, ale určite by ste to nemali robiť bez odborného vedenia, pokiaľ naozaj neviete, čo robíte.

Po nainštalovaní aplikácie HijackThis a spustení generovania súboru denníka je k dispozícii široká škála fór a lokalít, na ktorých môžete uverejňovať alebo nahrávať údaje denníka. Odborníci, ktorí vedia, čo hľadať, vám potom môžu pomôcť analyzovať údaje denníka a poradiť s tým, ktoré položky sa majú odstrániť a ktoré z nich nechajte osamote.

Ak chcete prevziať aktuálnu verziu programu HijackThis, navštívte oficiálnu stránku spoločnosti Trend Micro.

Tu je prehľad položiek protokolu HijackThis, ktoré môžete použiť na preskočenie na informácie, ktoré hľadáte:

  • R0, R1, R2, R3 - Internetové stránky Štart / Vyhľadávanie v Internet Exploreri
  • F0, F1 - Autoloading programy
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Vyhľadávanie URL stránok
  • O1 - Presmerovanie súborov hostiteľov
  • O2 - Objekty pomocníka prehliadača
  • O3 - Panely s nástrojmi programu Internet Explorer
  • O4 - Automatické programy z registra
  • O5 - ikona možností IE nie je viditeľná v ovládacom paneli
  • O6 - Možnosti prístupu IE obmedzené správcom
  • O7 - Regedit prístup obmedzený správcom
  • O8 - Ďalšie položky v IE menu s pravým kliknutím
  • O9 - Ďalšie tlačidlá na hlavnom paneli nástrojov IE alebo ďalšie položky v menu IE 'Nástroje'
  • O10 - únosca Winsock
  • O11 - Ďalšia skupina v okne IE "Rozšírené možnosti"
  • O12 - IE pluginy
  • O13 - IE DefaultPrefix únos
  • O14 - Obnovenie únosov webových nastavení
  • O15 - Nežiaduce stránky v dôveryhodnej zóne
  • O16 - Objekty ActiveX (známe aj ako súbory programu)
  • O17 - únoscovia domény Lop.com
  • O18 - Extra protokoly a únoscovia protokolov
  • O19 - Únos zo štýlu používateľa
  • O20 - AppInit_DLLs Hodnota registra autorun
  • O21 - ShellServiceObjectDelayLoad Kľúč databázy Registry autorun
  • O22 - SharedTaskScheduler Registre kľúč autorun
  • O23 - služby Windows NT

R0, R1, R2, R3 - stránky IE Štart a vyhľadávanie

Ako to vyzerá:R0 - HKCU Software Microsoft Internet Explorer Main, stránka Start = http://www.google.com/R1 - HKLM Softvér Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (tento typ ešte HijackThis nepoužíva)R3 - Predvolená adresa URLSearchHook chýba

Čo robiť:Ak poznáte adresu URL na konci ako svoju domovskú stránku alebo vyhľadávací nástroj, je to v poriadku. Ak nemáte, skontrolujte ho a nechajte ho opraviť. Pre položky R3 vždy ich opravte, pokiaľ nezmieňuje program, ktorý poznáte, napríklad Copernic.

F0, F1, F2, F3 - Autoloading programy z INI súborov

Ako to vyzerá:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Čo robiť:Položky F0 sú vždy zlé, takže ich opravte. Položky F1 sú zvyčajne veľmi staré programy, ktoré sú bezpečné, takže by ste mali nájsť nejaké ďalšie informácie o názve súboru, aby ste zistili, či je to dobré alebo zlé. Pacman's Startup List môže pomôcť pri identifikácii položky.

N1, N2, N3, N4 - Netscape / Mozilla Štart a vyhľadávanie

Ako to vyzerá:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: programové súbory Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumenty a nastavenia Používateľ Aplikačné dáta Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumenty a nastavenia Používateľ Aplikačné dáta Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Čo robiť:Zvyčajne je stránka Netscape a Mozilla a stránka vyhľadávania bezpečné. Zriedka sa unesú, iba Lop.com je známe, že to robia. Ak uvidíte adresu URL, ktorú nepoznáte ako svoju domovskú stránku alebo stránku vyhľadávania, musíte ju opraviť pomocou nástroja HijackThis.

O1 - Presmerovania hostiteľských súborov

Ako to vyzerá:O1 - Počítače: 216.177.73.139 auto.search.msn.comO1 - hostitelia: 216.177.73.139 search.netscape.comO1 - Hostitelia: 216.177.73.139 ieautosearchO1 - súbor hostiteľov sa nachádza na adrese C: Windows Help hosts

Čo robiť:Tento únos presmeruje adresu napravo na adresu IP doľava.Ak IP adresa nepatrí, budete presmerovaní na nesprávnu lokalitu vždy, keď zadáte adresu. Vždy môžete mať HijackThis opraviť tieto, pokiaľ ste vedome vložili tieto riadky do vášho počítačového súboru.

Posledná položka sa niekedy vyskytuje v systéme Windows 2000 / XP s infekciou Coolwebsearch. Vždy opravte túto položku, alebo nechajte CWShredder opraviť automaticky.

O2 - Objekty pomocníka prehliadača

Ako to vyzerá:O2 - BHO: Yahoo! Spoločník BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMOVÉ SOUBORY YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (bez názvu) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAMOVÉ FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (súbor chýba)O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAMOVÉ SOUBORY ZVÝŠENÉ MEDIÁLNE ME1.DLL

Čo robiť:Ak priamo nerozpoznáte názov objektu pomocníka prehliadača, použite zoznam BHO a panel s nástrojmi TonyK, aby ste ho našli podľa ID triedy (CLSID, číslo medzi zákrutami) a skontrolujte, či je to dobré alebo zlé. V zozname BHO znamená "X" spyware a "L" znamená bezpečný.

O3 - IE panely s nástrojmi

Ako to vyzerá: O3 - Toolbar: & Yahoo! Spoločník - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMOVÉ SÚBORY YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Panel s nástrojmi: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAMOVÉ FILES POPUP ELIMINATOR PETOOLBAR401.DLLO3 - Panel s nástrojmi: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Čo robiť:Ak nerozpoznáte priamo názov panela s nástrojmi, použite zoznam BHO a Panel s nástrojmi v TonyK, aby ste ho našli podľa ID triedy (CLSID, číslo medzi kučeravými zátvorkami) a zistite, či je to dobré alebo zlé. V zozname panela s nástrojmi znamená "X" spyware a "L" znamená bezpečný. Ak nie je v zozname a názov sa javí ako náhodný reťazec znakov a súbor sa nachádza v priečinku "Aplikačné dáta" (ako posledný v príkladoch uvedených vyššie), je to pravdepodobne Lop.com a rozhodne by ste mali HijackThis opraviť ono.

O4 - Autoloading programy z Registry alebo Startup skupiny

Ako to vyzerá:O4 - HKLM .. Spustiť: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Spustiť: SystemTray SysTray.ExeO4 - HKLM .. Spustiť: ccApp "C: Program Files Bežné súbory Symantec Shared ccApp.exe"O4 - Uvedenie do prevádzky: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Global Startup: winlogon.exe

Čo robiť:Použite PacMan's Startup List na nájdenie záznamu a zistite, či je to dobré alebo zlé.

Ak položka zobrazuje program sediaci v skupine Startup (ako posledná položka vyššie), HijackThis nemôže opraviť položku, ak je tento program stále v pamäti. Pomocou Správcu úloh systému Windows (TASKMGR.EXE) ukončíte proces pred opravou.

O5 - Možnosti IE, ktoré nie sú viditeľné v ovládacom paneli

Ako to vyzerá: O5 - control.ini: inetcpl.cpl = nie

Čo robiť:Pokiaľ vy alebo váš správca systému vedome nezakrývajte ikonu z ovládacieho panela, nechajte ho opraviť.

O6 - Možnosti prístupu IE obmedzené správcom

Ako to vyzerá:O6 - Súčasťou softvéru HKCU Software Policies Microsoft Internet Explorer Restrictions

Čo robiť:Pokiaľ nemáte aktivovanú možnosť Spybot S & D "aktívna zámka z aktívnych zmien" alebo váš správca systému umiestni toto zariadenie na svoje miesto, vyriešte túto chybu HijackThis.

O7 - Regedit prístup obmedzený správcom

Ako to vyzerá:O7 - HKCU Softvér Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Čo robiť:HijackThis to vždy opravte, ak váš správca systému neumiestnil toto obmedzenie.

O8 - Ďalšie položky v IE menu s pravým kliknutím

Ako to vyzerá: O8 - Extra kontextová ponuka: & Vyhľadávanie Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_SK_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Extra kontextové menu: Yahoo! Vyhľadávanie - súbor: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Extra položka kontextového menu: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Extra kontextová položka: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Čo robiť:Ak nerozpoznáte názov položky v ponuke s pravým kliknutím v IE, nechajte ho opraviť HijackThis.

O9 - Ďalšie tlačidlá na hlavnej lište nástrojov IE alebo ďalšie položky v menu IE 'Nástroje'

Ako to vyzerá: O9 - Tlačidlo Extra: Messenger (HKLM)O9 - Extra 'Nástroje' menuitem: Messenger (HKLM)O9 - Tlačidlo Extra: AIM (HKLM)

Čo robiť:Ak nepoznáte názov tlačidla alebo položky ponuky, nechajte ho opraviť.

O10 - únoscovia Winsock

Ako to vyzerá: O10 - Unikátny prístup na internet prostredníctvom siete New.NetO10 - Chýbajúci prístup k internetu kvôli poskytovateľovi služby LSP chýba c: progra ~ 1 common ~ 2 toolbar cnmib.dllO10 - Neznámy súbor vo Winsock LSP: c: program files newton knows vmain.dll

Čo robiť:Najlepšie je opraviť pomocou nástroja LSPFix od spoločnosti Cexx.org alebo Spybot S & D od spoločnosti Kolla.de.

Všimnite si, že "neznáme" súbory v zásobníku LSP nebudú HijackThis opravené, pokiaľ ide o bezpečnostné problémy.

O11 - Ďalšia skupina v okne IE "Rozšírené možnosti"

Ako to vyzerá: O11 - Skupina možností: CommonName CommonName

Čo robiť:Jediný únosca, ktorý teraz pridáva svoju vlastnú skupinu možností do okna IE Advanced Options, je CommonName. Takže môžete vždy mať HijackThis to opraviť.

O12 - IE pluginy

Ako to vyzerá: O12 - Plugin pre .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin pre .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Čo robiť:Väčšinu času sú to bezpečné. Iba funkcia OnFlow pridá tu plugin, ktorý nechcete (.ofb).

O13 - IE DefaultPrefix únos

Ako to vyzerá: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - predpona WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Predpona: http://ehttp.cc/?

Čo robiť:To sú vždy zlé. Nechajte ich HijackThis opraviť.

O14 - Obnovenie únosov webových nastavení

Ako to vyzerá: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Čo robiť:Ak adresa URL nie je poskytovateľom vášho počítača alebo poskytovateľom internetových služieb, opravte ho.

O15 - Nežiaduce lokality v dôveryhodnej zóne

Ako to vyzerá: O15 - dôveryhodná zóna: http://free.aol.comO15 - dôveryhodná zóna: * .coolwebsearch.comO15 - dôveryhodná zóna: * .msn.com

Čo robiť:Väčšinu času len AOL a Coolwebsearch ticho pridávajú stránky do dôveryhodnej zóny. Ak ste do Dôveryhodnej zóny nepriradili doménu uvedenú sami, nechajte ho opraviť.

O16 - Objekty ActiveX (známe aj ako súbory programu)

Ako to vyzerá: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Čo robiť:Ak nerozpoznáte názov objektu alebo adresu URL, z ktorej bola stiahnutá, nechajte to HijackThis opraviť. Ak názov alebo adresa URL obsahuje slová ako "dialer", "casino", "free_plugin" atď, určite to opravte. Javascript SpywareBlaster má obrovskú databázu škodlivých objektov ActiveX, ktoré je možné použiť na vyhľadávanie CLSID. (Kliknite pravým tlačidlom myši na zoznam a použite funkciu Nájsť.)

O17 - Únos domény Lop.com

Ako to vyzerá: O17 - HKLM Systém CCS Služby VxD MSTCP: Doména = aoldsl.netO17 - HKLM Systém CCS Služby Tcpip Parametre: Domain = W21944.find-quick.comO17 - HKLM Software .. Telefonovanie: DomainName = W21944.find-quick.comO17 - HKLM Systém CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Doména = W21944.find-quick.comO17 - HKLM Systém CS1 Služby Tcpip Parametre: SearchList = gla.ac.ukO17 - HKLM Systém CS1 Služby VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Čo robiť:Ak doména nie je z vášho poskytovateľa internetových služieb alebo firemnej siete, vyriešte to pomocou služby HijackThis. To isté platí aj pre položky "SearchList". Pre položky "NameServer" (servery DNS), Google pre IP alebo IP a bude ľahké zistiť, či sú dobré alebo zlé.

O18 - Extra protokoly a únoscovia protokolov

Ako to vyzerá: O18 - Protokol: súvisiace odkazy - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Hijack protokolu: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Čo robiť:Len niekoľko únoscov sa tu objaví. Známe baddies sú 'cn' (CommonName), 'ayb' (Lop.com) a 'relatedlinks' (Huntbar), mali by ste mať HijackThis opraviť tie. Ďalšie veci, ktoré sa zobrazia, buď nie sú potvrdené v bezpečí, alebo sú unesené (t. J. CLSID boli zmenené) spywarom. V poslednom prípade ho opravte HijackThis.

O19 - Únos zo štýlu používateľa

Ako to vyzerá: O19 - užívateľský štýl: c: WINDOWS Java my.css

Čo robiť:V prípade spomalenia prehliadača a častých vyskakovacích okien, HijackThis opraviť túto položku, ak sa zobrazí v denníku. Avšak, keďže to spravuje iba Coolwebsearch, je lepšie použiť CWShredder na jeho opravu.

O20 - AppInit_DLLs Hodnota registra autorun

Ako to vyzerá: O20 - AppInit_DLLs: msconfd.dll

Čo robiť:Táto hodnota databázy Registry umiestnená na stránke HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows načíta DLL do pamäte, keď sa používateľ prihlási, potom zostane v pamäti až do odhlásenia. Veľmi málo legitímnych programov to používa (Norton CleanSweep používa APITRAP.DLL), najčastejšie ho používajú trójske kone alebo agresívni únosci prehliadačov.

V prípade "skrytej" načítania DLL z tejto hodnoty databázy Registry (viditeľná len pri použití možnosti "Úprava binárnych údajov" v Regedit), názov dll môže mať predponu "|" aby bola viditeľná v denníku.

O21 - ShellServiceObjectDelayLoad

Ako to vyzerá: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System Auhook.dll

Čo robiť:Ide o neregistrovanú autorunovú metódu, ktorú bežne používa niekoľko systémových komponentov systému Windows. Položky uvedené na stránke HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad sa načítajú programom Explorer pri spustení systému Windows. HijackThis používa bielu listinu niekoľkých veľmi bežných položiek SSODL, takže keď je položka zobrazená v denníku, je neznáma a možno škodlivá. Liečte s mimoriadnou starostlivosťou.

O22 - SharedTaskScheduler

Ako to vyzerá: O22 - SharedTaskScheduler: (žiadne meno) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Čo robiť:Toto je neregistrovaný autorun pre systém Windows NT / 2000 / XP, ktorý sa používa veľmi zriedkavo. Doteraz používa iba CWS.Smartfinder. Starostlivo ošetrujte.

Služby O23 - NT

Ako to vyzerá: O23 - Služba: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Čo robiť:Toto je zoznam služieb, ktoré nepatria spoločnosti Microsoft.Zoznam by mal byť rovnaký ako ten, ktorý vidíte v pomôcke Msconfig systému Windows XP. Niektorí trójske únoscovia využívajú domácu službu, ktorá sa pridáva k iným začínajúcim podnikom, aby sa znovu nainštalovali. Úplný názov je zvyčajne dôležitý, napríklad služba Network Security Service, služba Logon Workstation alebo pomocník pre volanie na diaľku, ale interný názov (medzi zátvorkami) je reťazec odpadu, ako napríklad "Ort". Druhá časť riadka je vlastníkom súboru na konci, ako je vidieť v jeho vlastnostiach.

Upozorňujeme, že pri stanovení položky O23 služba zastavíte a zakážete ju. Služba sa musí z registra odstrániť ručne alebo iným nástrojom. V aplikácii HijackThis 1.99.1 alebo vyššej je možné použiť tlačidlo "Delete NT Service" v sekcii Rôzne nástroje.

Redakcia Choice