Kako analizirati HijackThis dnevnike

Tumačenje podataka o dnevniku da biste uklonili otmičare od spywarea i pretraživača

HijackThis je besplatna alatka kompanije Trend Micro. Prvobitno ga je razvio Merijn Bellekom, student iz Holandije. Softver za uklanjanje spyware-a, kao što su Adaware ili Spybot S & D, dobro se bavi otkrivanjem i uklanjanjem većine špijunskih programa, ali neki otmičari za špijunski softver i pretraživač su previše podmazani za čak i ove velike anti-spyware usluge.

HijackThis je napisan posebno za otkrivanje i uklanjanje hijackih pretraživača, ili softver koji preuzima vaš web pregledač, menja podrazumevanu početnu stranicu i pretraživač i druge zlonamerne stvari. Za razliku od tipičnog softvera protiv špijunskog softvera, HijackThis ne koristi signate niti cilja bilo koji određeni program ili URL adresu za otkrivanje i blokiranje. Umesto toga, HijackThis traži trikove i metode koje zlonamerni programi koriste za zarazivanje vašeg sistema i preusmjeravanje vašeg pretraživača.

Nije sve što se pojavljuje u dnevnicima HijackThis-a loše stvari i ne bi trebalo sve ukloniti. Zapravo, suprotno. Gotovo je garantovano da će neki od stavki u vašim HijackThis dnevnicima biti legitimni softver, a uklanjanje tih stavki može negativno uticati na vaš sistem ili učiniti potpuno neoperabilnim. Korišćenje HijackThis-a je mnogo poput uređivanja Windows Registry-a . To nije raketna nauka, ali definitivno ne bi trebalo da radite bez nekih stručnih navođenja, osim ako stvarno ne znate šta radite.

Kada instalirate HijackThis i pokrenete ga kako biste kreirali datoteku dnevnika, postoji širok spektar foruma i sajtova na kojima možete postavljati ili otpremati podatke dnevnika. Stručnjaci koji znaju šta treba potražiti mogu vam pomoći da analizirate podatke o dnevniku i savjete o tome koje stavke želite ukloniti i koje će one ostaviti sami.

Da biste preuzeli trenutnu verziju HijackThis-a, možete posetiti zvaničnu web lokaciju Trend Micro.

Evo pregleda stavki dnevnika HijackThis-a koje možete koristiti za prelazak na informacije koje tražite:

R0, R1, R2, R3 - IE Start i Pretraga stranica

Kako izgleda:
R0 - HKCU \ Softver \ Microsoft \ Internet Explorer \ Main, početna stranica = http://www.google.com/
R1 - HKLM \ Softver \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (ovaj tip još ne koristi HijackThis)
R3 - Default URLSearchHook nedostaje

Šta uraditi:
Ako prepoznajete URL na kraju kao vašu početnu stranicu ili pretraživač, u redu je. Ako ne, proverite i HijackThis to popravi. Za R3 stavke uvek ih popravite, osim ako ne pominje program koji prepoznajete, kao što je Kopernik.

F0, F1, F2, F3 - Autoloading programi iz INI datoteka

Kako izgleda:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Šta uraditi:
Stavke F0 su uvek loše, pa ih popravite. F1 stavke su obično veoma stari programi koji su sigurni, tako da biste trebali pronaći još informacija o imenu datoteke kako biste videli da li je to dobro ili loše. Pacmanova lista startupa može pomoći u identifikaciji predmeta.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Traži stranicu

Kako izgleda:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumenti i podešavanja \ Korisnik \ Aplikacioni podaci \ Mozilla \ Profili \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumenti i podešavanja \ Korisnik \ Aplikacioni podaci \ Mozilla \ Profili \ defaulto9t1tfl.slt \ prefs.js)

Šta uraditi:
Obično su Netscape i Mozilla web stranice i stranica za pretragu sigurna. Retko se otimaju, samo je Lop.com poznato da to radi. Ako vidite URL adresu koju ne prepoznajete kao svoju početnu stranicu ili stranicu za pretragu, HijackThis to popravi.

O1 - preusmjerenja Hostsfile-a

Kako izgleda:
O1 - Domaćin: 216.177.73.139 auto.search.msn.com
O1 - Domaćini: 216.177.73.139 search.netscape.com
O1 - Domaćin: 216.177.73.139 ieautosearch
O1 - Hosts datoteka se nalazi na C: \ Windows \ Help \ hostovima

Šta uraditi:
Ovaj otmič će preusmeriti adresu desno na IP adresu ulevo. Ako IP adresa ne pripada adresi, bićete preusmereni na pogrešnu lokaciju svaki put kada unesete adresu. Uvek možete da ih HijackThis ispravite, osim ako ste svesno stavili te redove u datoteku Hosts.

Poslednja stvar se ponekad pojavljuje na Windows 2000 / XP sa Coolwebsearch infekcijom. Uvek popravite ovu stavku, ili ga CWShredder popraviti automatski.

O2 - Objekti pomoćnika pretraživača

Kako izgleda:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (bez imena) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (datoteka nedostaje)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ FILM PROGRAMA \ POSTAVLJENI MEDIJI \ ME1.DLL

Šta uraditi:
Ako ne prepoznate direktno ime objekta pomoćnika Browser, koristite TonyK listu BHO i Toolbar liste da ga pronađete po ID-u klase (CLSID, broj između ukrasnih zagrada) i pogledajte da li je to dobro ili loše. Na BHO listi, 'X' znači spyware i 'L' znači siguran.

O3 - IE alatne trake

Kako izgleda:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (datoteka nedostaje)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Šta uraditi:
Ako ne prepoznate direktno ime trake na alatnoj traci, koristite TonyK listu BHO i Toolbar liste da ga pronađete po ID-u klase (CLSID, broj između ukrasnih zagrada) i pogledajte da li je to dobro ili loše. Na listi sa alatkama, 'X' znači spyware i 'L' znači siguran. Ako nije na listi i naziv izgleda slučajni niz znakova i datoteka se nalazi u fascikli "Aplikacioni podaci" (kao poslednja u gornjim primjerima), verovatno je Lop.com, a definitivno trebate imati HijackThis fix to.

O4 - programi za automatsko učitavanje iz Registra ili Startup grupe

Kako izgleda:
O4 - HKLM \ .. \ Pokreni: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Pokreni: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Globalno pokretanje: winlogon.exe

Šta uraditi:
Koristite PacManovu listu startupa kako biste pronašli unos i videli da li je to dobro ili loše.

Ako stavka prikazuje program koji sedi u grupi pokretanja (kao poslednja stavka iznad), HijackThis ne može popraviti stavku ako je ovaj program još uvijek u memoriji. Koristite Windows Task Manager (TASKMGR.EXE) da biste zatvorili proces pre fiksiranja.

O5 - IE Opcije nisu vidljive na kontrolnoj tabli

Kako izgleda:
O5 - control.ini: inetcpl.cpl = ne

Šta uraditi:
Osim ako ste vi ili vaš sistemski administrator nedvosmisleno skrivali ikonu sa kontrolne table, HijackThis to ispravite.

O6 - IE Opcije pristupa ograničio Administrator

Kako izgleda:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Ograničenja prisutna

Šta uraditi:
Osim ako imate Spybot S & D opciju 'Lock homepage iz promjena' aktivan, ili je vaš sistemski administrator stavio ovo na mjesto, HijackThis to ispravi.

O7 - Regedit pristup ograničio Administrator

Kako izgleda:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Šta uraditi:
Uvijek imajte HijackThis to ispravite, osim ako vaš sistemski administrator nije stavio ovo ograničenje na mjesto.

O8 - Dodatni stavki u IE meniju sa desnim tasterom miša

Kako izgleda:
O8 - Stavka dodatnog konteksta: & Google pretraga - res: // C: \ WINDOWS \ DOWNLOADED FILES PROGRAMA \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Stavka sa dodatnim kontekstom: Yahoo! Pretraga - datoteka: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Stavka sa dodatnim kontekstom: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Stavka sa dodatnim kontekstom: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Šta uraditi:
Ako ne prepoznate ime stavke u meniju desnog klika u IE-u, HijackThis to popravi.

O9 - dodatni tasteri na glavnoj IE alatnoj traci, ili dodatni stavki u IE & # 39; Tools & # 39; meni

Kako izgleda:
O9 - Ekstra dugme: Messenger (HKLM)
O9 - Dodatni meni 'Tools': Messenger (HKLM)
O9 - Ekstra dugme: AIM (HKLM)

Šta uraditi:
Ako ne prepoznajete ime dugmeta ili stavke menija, HijackThis to popravi.

O10 - otmičari Winsock-a

Kako izgleda:
O10 - Otkriven pristup Internetu od strane New.Net
O10 - Broken pristup Internetu zbog provajdera LSP-a c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll 'nedostaje
O10 - Nepoznata datoteka u Winsock LSP: c: \ program files \ newton zna \ vmain.dll

Šta uraditi:
Najbolje je popraviti ove pomoću LSPFixa od Cexx.org, ili Spybot S & D iz Kolla.de.

Imajte na umu da datoteke "nepoznatih" u LSP stacku neće ispraviti HijackThis, zbog sigurnosnih problema.

O11 - Dodatna grupa u IE-oj naprednim opcijama prozor

Kako izgleda:
O11 - Grupa opcija: [CommonName] CommonName

Šta uraditi:
Jedini otmičar od sada koji dodaje svoju grupu opcija u IE Advanced Options prozor je CommonName. Tako da uvek možete da popravite HijackThis ovo.

O12 - IE dodatci

Kako izgleda:
O12 - Plugin za .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin za .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Šta uraditi:
Većinu vremena su sigurni. Samo OnFlow dodaje dodatak ovde koji ne želite (.ofb).

O13 - IE DefaultPrefix otmica

Kako izgleda:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefiks: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiks: http://ehttp.cc/?

Šta uraditi:
Ovo je uvek loše. Da ih HijackThis popravi.

O14 - Ponovno postavljanje Web podešavanja & # 39; hijack

Kako izgleda:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Šta uraditi:
Ako URL adresa nije dobavljač vašeg računara ili vašeg ISP-a, HijackThis to popravi.

O15 - Neželjeni sajtovi u pouzdanoj zoni

Kako izgleda:
O15 - Trusted Zone: http://free.aol.com
O15 - pouzdana zona: * .coolwebsearch.com
O15 - pouzdana zona: * .msn.com

Šta uraditi:
Većinu vremena samo AOL i Coolwebsearch tiho dodaju sajtove u pouzdanu zonu. Ako niste sami dodali navedeni domen u Trusted Zone, HijackThis to popravi.

O16 - Objekti ActiveX-a (preuzetih datoteka programa)

Kako izgleda:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Šta uraditi:
Ako ne prepoznajete ime objekta ili URL sa kojeg je preuzeto, HijackThis to popravi. Ako ime ili URL sadrži reči kao što su 'dialer', 'casino', 'free_plugin' itd, definitivno ga popravite. Javacool SpywareBlaster ima ogromnu bazu podataka o zlonamernim ActiveX objektima koji se mogu koristiti za pretraživanje CLSID-ova. (Desnim tasterom miša kliknite na listu da biste koristili funkciju Pronađi.)

O17 - Lop.com domena hijacks

Kako izgleda:
O17 - HKLM \ Sistem \ CCS \ Usluge \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Sistem \ CCS \ Usluge \ Tcpip \ Parametri: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonija: DomainName = W21944.find-quick.com
O17 - HKLM \ Sistem \ CCS \ Usluge \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ Sistem \ CS1 \ Usluge \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ Sistem \ CS1 \ Usluge \ VxD \ MSTCP: ImeServer = 69.57.146.14,69.57.147.175

Šta uraditi:
Ako domen nije iz vaše Internet provajdera ili kompanije, HijackThis to popravi. Isto važi i za stavke 'SearchList'. Za postavke 'NameServer' ( DNS serveri ), Google za IP ili IP adrese i biće lako videti da li su dobri ili loši.

O18 - Dodatni protokoli i otmičari protokola

Kako izgleda:
O18 - Protokol: povezani linkovi - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - otmica protokola: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Šta uraditi:
Ovde se pojavljuje samo nekoliko otmičara. Poznati lošiji su 'cn' (CommonName), 'ayb' (Lop.com) i 'relatedlinks' (Huntbar), trebali bi ih HijackThis ispraviti. Druge stvari koje se pojavljuju još nisu potvrđene sigurno ili su otete (tj. CLSID je promenjen) od spyware-a. U poslednjem slučaju, HijackThis to popravi.

O19 - Otkrivanje korisničkog stila

Kako izgleda:
O19 - Korisnički stil: c: \ WINDOWS \ Java \ my.css

Šta uraditi:
U slučaju usporavanja pretraživača i čestih iskačućih poruka, HijackThis popravi ovu stavku ako se pojavi u dnevniku. Međutim, pošto samo Coolwebsearch to radi, bolje je koristiti CWShredder da ga popravite.

O20 - AppInit_DLLs Registry value autorun

Kako izgleda:
O20 - AppInit_DLLs: msconfd.dll

Šta uraditi:
Ova vrijednost registra smještena u HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows učitava DLL u memoriju kada se korisnik prijavljuje, nakon čega ostane u memoriji dok se ne odjavite. Veoma mali broj legitimnih programa to koristi (Norton CleanSweep koristi APITRAP.DLL), najčešće ga koriste trojanci ili agresivni otmičari pretraživača.

U slučaju "skrivene" DLL učitavanja iz ove vrednosti Registry-a (vidljivo samo ako koristite opciju "Izmeni binarne podatke" u regeditu) dll ime može biti prefiksovano cevom '|' da ga vidimo u dnevniku.

O21 - ShellServiceObjectDelayLoad

Kako izgleda:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Šta uraditi:
Ovo je nedokumentovana autorun metoda, koja se obično koristi od nekoliko komponenti Windows sistema. Stavke navedene u HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad učitavaju Explorer kada Windows počne. HijackThis koristi beli list nekoliko običnih SSODL stavki, tako da kad god se stavka prikazuje u dnevniku, ona je nepoznata i možda zlonamerna. Tretirajte sa izuzetnom brigom.

O22 - SharedTaskScheduler

Kako izgleda:
O22 - SharedTaskScheduler: (bez imena) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Šta uraditi:
Ovo je nedokumentovani autorun samo za Windows NT / 2000 / XP, koji se vrlo retko koristi. Do sada ga samo koristi CWS.Smartfinder. Briga se.

O23 - NT usluge

Kako izgleda:
O23 - Servis: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Šta uraditi:
Ovo je unos ne-Microsoft usluga. Lista bi trebala biti ista kao ona koju vidite u uslužnom programu Msconfig Windows XP. Nekoliko trojanski otmičari koriste domaću uslugu u dodeli drugim startup-ovima kako bi se ponovo instalirali. Puno ime je obično važno - zvučno, kao što je 'Network Security Service', 'Service Logion Service' ili 'Remote Procedure Call Helper', ali interno ime (između zagrada) je niz smeća, kao što je 'Ort'. Drugi deo linije je vlasnik datoteke na kraju, kako se vidi u njegovim svojstvima.

Imajte na umu da će ispravljanje O23 stavke zaustaviti servis i onemogućiti ga. Uslugu treba brisati iz Registra ručno ili sa drugim alatom. U HijackThis 1.99.1 ili novijem, za to se može koristiti dugme 'Delete NT Service' u odeljku Misc Tools.

Alike posts

Kako blokirati političke robocose

Veb i pretraživanje

Kako sprečiti strance da vide vaš Facebook profil

Veb i pretraživanje

Pazite na Ammyy Security Patch Phone Scam

Veb i pretraživanje

Zašto bi neko napravio e-mail poruku?

Veb i pretraživanje

Onemogući udaljeni pristup U operativnom sistemu Windows XP

Veb i pretraživanje

Kako promijeniti svoju Wi-Fi lozinku

Veb i pretraživanje

Deset stvari koje roditelji mogu učiniti upravo sada kako bi održali djecu sigurno online

Veb i pretraživanje

Kako uzimati svoj pametni telefon za sprečavanje krađe

Veb i pretraživanje

Zašto se čak trudite da ostanete privatno na Internetu?

Veb i pretraživanje

See Newest

Najbolja mesta za prodaju 3D modela na mreži

New & Next

Kako onemogućiti DHCP i koristiti statičke IP adrese

Veb i pretraživanje

Cool Minecraft Uskrsa jaja!

Gaming

Izgradnja Perfect PC (3rd Edition) Pregled

Softver i aplikacije

Šta je Surround zvuk i kako ga dobiti?

Kućno pozorište

Vrste blokova Minecraft

Gaming

Sapid posts

Najbolji najbolji GoPros za kupovinu 2018

Vodiči za kupovinu

Saznajte više o ažuriranju Microsoft Office Worda

Softver

Pioneer SP-SB23W sistem zvučnika - Pregledajte

Product Reviews

Promena podrazumevane šifre poruka Mozilla Thunderbird

E-pošta i poruke

Kako promijeniti redosled redosleda Windows Live Hotmail Inbox-a

E-pošta i poruke

Vratite se u Arkham: Rangiranje igara u najboljem Franchise Batmanu

Gaming

Najbolji pametni telefon za manje od 400 dolara

Vodiči za kupovinu

Kako napraviti besplatan blog na Tumblr

Veb i pretraživanje

Subwooferi - Šta trebate znati

Vodiči za kupovinu

Vodena tura za iPad

IPad

Kako ručno proveriti ažuriranja koristeći iTunes

Softver i aplikacije

Western Digital Caviar Green WD20EARS 2TB SATA čvrsti disk

Windows

Falcon Northwest DRX (2015)

Vodiči za kupovinu

Acer Aspire E5-573G-75B3

Product Reviews

8 najboljih naprednih fotoaparata kupiti 2018. godine za manje od 500 dolara

Vodiči za kupovinu

Resetujte ovaj računar: Potpuna koraka

Windows