Kā analizēt HijackThis logs

Log datu apstrāde, lai palīdzētu novērst spiegprogrammatūru un pārlūkprogrammas nolaupītājus

HijackThis ir Trend Micro bezmaksas rīks. To sākotnēji izstrādāja Merijn Bellekom, students Nīderlandē. Spiegprogrammatūru noņemšanas programmatūra, piemēram, Adaware vai Spybot S & D, labs darbs, lai atklātu un likvidētu lielāko daļu spiegprogrammatūras programmu, taču daži spiegprogrammatūras un pārlūkprogrammas nolaupītāji ir pārāk mānīgi pat šīm lieliskajām anti-spiegprogrammatūras lietojumprogrammām.

HijackThis ir rakstīts īpaši, lai atklātu un noņemtu pārlūkprogrammas hijacks vai programmatūru, kas pārņem jūsu tīmekļa pārlūkprogrammu, maina noklusējuma sākumlapu un meklētājprogrammu un citas ļaunprātīgas lietas. Atšķirībā no tipiskās anti-spyware programmatūru, HijackThis neizmanto parakstus vai mērķauditoriju, lai noteiktu un bloķētu konkrētas programmas vai URL. Drīzāk HijackThis meklē ļaundabēm izmantoto triku un metodes, lai inficētu jūsu sistēmu un novirzītu pārlūku.

Ne viss, kas parādās HijackThis žurnālos, ir slikti, un to nevajadzētu noņemt. Patiesībā, gluži pretēji. Ir gandrīz garantēts, ka daži no jūsu HijackThis žurnālu priekšmetiem būs likumīga programmatūra, un šo posteņu noņemšana var nelabvēlīgi ietekmēt jūsu sistēmu vai padarīt to pilnīgi neīstenojamu. Izmantojot HijackThis ir daudz, piemēram, rediģējot Windows reģistru pats. Tas nav raķešu zinātne, taču noteikti to nedariet bez dažām ekspertu vadlīnijām, ja vien jūs patiešām nezināt, ko jūs darāt.

Kad jūs instalējat HijackThis un palaidiet to, lai ģenerētu žurnāla failu, ir dažādi forumi un vietnes, kurās varat publicēt vai augšupielādēt savus žurnāla datus. Eksperti, kuri zina, ko meklēt, var palīdzēt analizēt žurnāla datus un ieteikt, kurus priekšmetus noņemt un kurus atstāt atsevišķi.

Lai lejupielādētu pašreizējo HijackThis versiju, varat apmeklēt oficiālo Trend Micro vietni.

Šeit ir pārskats par HijackThis žurnāla ierakstiem, kurus varat izmantot, lai pārietu uz informāciju, kuru meklējat:

• R0, R1, R2, R3 - Internet Explorer sākumlapas / meklēšanas lapu URL
• F0, F1 - Autoloading programmas
• N1, N2, N3, N4 - Netscape / Mozilla sākumlapas / meklēšanas lapu URL
• O1 - Hosts faila novirzīšana
• O2 - pārlūka palīdzības objekti
• O3 - pārlūkprogrammas Internet Explorer rīkjoslas
• O4 - Automātiski ielādējot programmas no reģistra
• O5 - IE opciju ikona nav redzama vadības panelī
• O6 - IE piekļuves opcijas, kuras ierobežo administrators
• O7 - Regedit piekļuve, kuru ierobežo administrators
• O8 - Papildu vienumi IE labo klikšķu izvēlnē
• O9 - papildu taustiņi galvenajā IE pogas rīkjoslā vai papildu vienumi IE izvēlnē "Rīki"
• O10 - Winsock lidmašīnas nolaupītājs
• O11 - Papildu grupa IE opciju Papildu opcijas logā
• O12 - IE spraudņi
• O13 - IE DefaultPrefix hijack
• O14 - nolaupīšana 'Atjaunot Web iestatījumus'
• O15 - Nevēlama vietne uzticamā zonā
• O16 - ActiveX objekti (pazīstams arī kā lejupielādētos programmu failos)
• O17 - Lop.com domēna nolaupītāji
• O18 - papildu protokoli un protokola nolaupītāji
• O19 - lietotāja stilu lapas nolaupīšana
• O20 - AppInit_DLLs Reģistra vērtība autorun
• O21 - ShellServiceObjectDelayLoad reģistra atslēgas autorun
• O22 - SharedTaskScheduler reģistra atslēgas autorun

• O23 - Windows NT pakalpojumi

R0, R1, R2, R3 - IE sākuma un meklēšanas lapas

Kā tas izskatās:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Sākuma lapa = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (šis veids vēl nav izmantots HijackThis)
R3 - noklusējuma URLSearchHook nav

Ko darīt:
Ja jūs atzīsit URL beigās kā savu sākumlapu vai meklētājprogrammu, tas ir OK. Ja jums tā nav, pārbaudiet to un izmantojiet HijackThis labotu. R3 vienumiem vienmēr tos salabojiet, ja vien tas nenorāda uz atpazīstamo programmu, piemēram, Copernic.

F0, F1, F2, F3 - Autoloading programmas no INI failiem

Kā tas izskatās:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: palaist = hpfsched

Ko darīt:
F0 vienumi vienmēr ir slikti, tādēļ tos labojiet. F1 vienumi parasti ir ļoti vecas programmas, kas ir drošas, tāpēc jums vajadzētu atrast vairāk informācijas par faila nosaukumu, lai redzētu, vai tā ir laba vai slikta. Pacman starta saraksts var palīdzēt identificēt vienumu.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Meklēšanas lapa

Kā tas izskatās:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motors: //C% 3A% 5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Ko darīt:
Parasti Netscape un Mozilla mājaslapa un meklēšanas lapa ir droši. Viņi reti saņem nolaupīšanu, taču ir zināms tikai Lop.com. Ja redzat vietrādi URL, kuru neatpazīstat kā sākumlapu vai meklēšanas lapu, ir jānomaina tas.

O1 - Hostsfile novirzīšana

Kā tas izskatās:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Saimnieki: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts fails atrodas C: \ Windows \ Help \ hosts

Ko darīt:
Šī nolaupīšana novirzīs adresi pa labi uz IP adresi pa kreisi. Ja IP neietilpst šajā adresē, jūs katru reizi ievadīsit adresi, tiks novirzīta uz nepareizu vietni. Jūs vienmēr varat būt HijackThis labotu šos, ja vien jūs apzināti neizmantojat šīs līnijas savā Hosts failā.

Pēdējais objekts dažreiz notiek ar Windows 2000 / XP ar Coolwebsearch infekciju. Vienmēr izlabojiet šo vienumu vai arī CWShredder to automātiski labojiet.

O2 - pārlūka palīdzības objekti

Kā tas izskatās:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (nav nosaukuma) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (failam trūkst)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Ko darīt:
Ja jūs tieši neatpazīstat pārlūkprogrammas palīdzības objekta nosaukumu, izmantojiet TonyK BHO un rīkjoslas sarakstu, lai to atrastu pēc klases ID (CLSID, numurs starp cilnēm) un noskaidrojiet, vai tas ir labs vai slikts. BHO sarakstā "X" ir spiegprogrammatūra un "L" nozīmē drošību.

O3 - IE rīkjoslas

Kā tas izskatās:
O3 - rīkjosla: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - rīkjosla: ekrānsaudzētājs - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (faila trūkst)
O3 - rīkjosla: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Ko darīt:
Ja jūs tieši neatpazīstat rīkjoslas nosaukumu, izmantojiet TonyK BHO un rīkjoslu sarakstu, lai to atrastu pēc klases ID (CLSID, numurs starp cilnēm) un noskaidrojiet, vai tas ir labs vai slikts. Rīkjoslas sarakstā "X" ir spiegprogrammatūra un "L" nozīmē drošību. Ja tas nav sarakstā, un nosaukums šķiet izlases simbolu virkne, un fails atrodas mapē "Pieteikuma dati" (tāpat kā pēdējā no iepriekš minētajiem piemēriem), iespējams, tas ir Lop.com, un jums noteikti vajadzētu būt HijackThis labojums tas

O4 - Autoloading programmas no reģistra vai Startup grupa

Kā tas izskatās:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Koplietotie faili \ Symantec Shared \ ccApp.exe"
O4 - startēšana: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - globālais starta veids: winlogon.exe

Ko darīt:
Izmantojiet PacMan sākuma sarakstu, lai atrastu ierakstu un redzētu, vai tas ir labs vai slikts.

Ja vienums parāda programmu, kas atrodas starta grupā (tāpat kā pēdējais postenis iepriekš), HijackThis nevar noteikt vienumu, ja šī programma joprojām ir atmiņā. Izmantojiet Windows uzdevumu pārvaldnieku (TASKMGR.EXE), lai pirms procesa pabeigšanas pabeigtu procesu.

O5 - IE opcijas nav redzamas vadības panelī

Kā tas izskatās:
O5 - control.ini: inetcpl.cpl = nav

Ko darīt:
Ja vien jūs vai jūsu sistēmas administrators nav apzināti slēgušas ikonu no vadības paneļa, ir jānodrošina, ka tas ir labots.

O6 - IE piekļuves opcijas, kuras ierobežo administrators

Kā tas izskatās:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Ierobežojumi

Ko darīt:
Ja jums nav Spybot S & D opcijas "Bloķēt mājas lapu no izmaiņām", vai jūsu sistēmas administrators to ir ieviesis, ir jābūt HijackThis labotu šo.

O7 - Regedit piekļuve, kuru ierobežo administrators

Kā tas izskatās:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Ko darīt:
Vienmēr ir HijackThis labotu šo, ja jūsu sistēmas administrators nav ievietojis šo ierobežojumu.

O8 - Papildu vienumi IE labo klikšķu izvēlnē

Kā tas izskatās:
O8 - papildu konteksta izvēlnes vienums: & Google meklēšana - res: // C: \ WINDOWS \ LEJUPIELĀDAS PROGRAMMAS FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - papildu konteksta izvēlnes vienums: Yahoo! Meklēt - fails: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Papildu konteksta izvēlnes vienums: zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Papildu konteksta izvēlnes vienums: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Ko darīt:
Ja IE objekta labā klikšķa izvēlnē neatpazīstat objekta nosaukumu, ir jābūt HijackThis labotu.

O9 - papildu pogas galvenajā IE rīkjoslā vai papildu vienumi IE & # 39; rīkos & # 39; izvēlne

Kā tas izskatās:
O9 - papildu poga: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - papildu poga: AIM (HKLM)

Ko darīt:
Ja jūs neatpazīstat pogas nosaukumu vai izvēlnes vienumu, ir HijackThis labotu.

O10 - Winsock lidmašīnas nolaupītāji

Kā tas izskatās:
O10 - nolaupīta Interneta piekļuve, izmantojot New.Net
O10 - sabojātais interneta piekļuves dēļ LSP sniedzēja "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll" trūkst
O10 - nezināms fails Winsock LSP: c: \ program files \ newton zina \ vmain.dll

Ko darīt:
Vislabāk ir tos labot, izmantojot LSPFix no Cexx.org vai Spybot S & D no Kolla.de.

Ievērojiet, ka "nezināmus" failus LSP kaudzē HijackThis nenosaka, lai novērstu drošības problēmas.

O11 - Papildu grupa IE & # 39; Papildu opcijas & # 39; logs

Kā tas izskatās:
O11 - opciju grupa: [CommonName] CommonName

Ko darīt:
Vienīgais nolaupītājs, kurš pašlaik pievieno savu opciju grupu logā Papildu opcijas IE, ir CommonName. Tātad, jūs vienmēr varat būt HijackThis labotu šo.

O12 - IE spraudņi

Kā tas izskatās:
O12 - Plugin par .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugins for .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Ko darīt:
Lielākoties tie ir droši. Tikai OnFlow šeit pievieno spraudni, kuru nevēlaties (.ofb).

O13 - IE DefaultPrefix hijack

Kā tas izskatās:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefikss: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefikss: http://ehttp.cc/?

Ko darīt:
Tie vienmēr ir slikti. Ir HijackThis labotu tos.

O14 - Atjaunot tīmekļa iestatījumus & # 39; nolaupīt

Kā tas izskatās:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Ko darīt:
Ja šis URL nav jūsu datora vai ISP nodrošinātājs, ir jānodrošina, ka tas ir labots.

O15 - Nevēlamas vietnes uzticamās zonās

Kā tas izskatās:
O15 - uzticamā zona: http://free.aol.com
O15 - uzticama zona: * .coolwebsearch.com
O15 - uzticama zona: *. Msn.com

Ko darīt:
Lielāko daļu laika tikai AOL un Coolwebsearch klusi pievieno vietnes uzticamai zonai. Ja jūs pašlaik neesat pievienojis uzskaitīto domēnu uzticamai zonai, ir jāpārliecina, ka tas ir labots.

O16 - ActiveX objekti (pazīstams arī kā lejupielādētos programmu failos)

Kā tas izskatās:
O16 - DPF: Yahoo! Tērzēšana - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ko darīt:
Ja neatpazīstat objekta nosaukumu vai URL, no kura tas tika lejupielādēts, ir HijackThis labotu. Ja vārds vai URL satur vārdus, piemēram, "zvanītājprogramma", "kazino", "free_plugin" utt, noteikti to novērstu. Javacool's SpywareBlaster ir milzīga datubāze par ļaunprātīgiem ActiveX objektiem, kurus var izmantot CLSID meklēšanai. (Lai izmantotu funkciju Atrast, ar peles labo pogu noklikšķiniet uz saraksta).

O17 - Lop.com domēna hijacks

Kā tas izskatās:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Pakalpojumi \ Tcpip \ Parametri: Domain = W21944.find-quick.com
O17 - HKLM \ Programmatūra \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D196AB38-4D1F-45C1-9108-46D367F19F7E): Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Pakalpojumi \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Ko darīt:
Ja domēns nav no jūsu ISP vai uzņēmuma tīkla, ir HijackThis labotu. Tas pats attiecas uz ierakstiem "SearchList". Attiecībā uz "NameServer" ( DNS serveriem ) ierakstiem, Google IP vai IP, un būs viegli redzēt, vai tie ir labi vai slikti.

O18 - papildu protokoli un protokola nolaupītāji

Kā tas izskatās:
O18 - protokols: saistītās saites - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - protokols: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - protokola nolaupīšana: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Ko darīt:
Šeit parādās tikai daži nolaupītāji. Zināmās baddies ir "cn" (CommonName), "ayb" (Lop.com) un "relatedlinks" (Huntbar), jums vajadzētu būt HijackThis labotu tos. Citas lietas, kas tiek parādītas, vēl nav apstiprinātas drošībā, vai arī tās ir nolaupītas (ti, CLSID ir mainījusies), izmantojot spiegprogrammatūru. Pēdējā gadījumā ir HijackThis salabot.

O19 - lietotāja stilu lapas nolaupīšana

Kā tas izskatās:
O19 - lietotāja stilu lapa: c: \ WINDOWS \ Java \ my.css

Ko darīt:
Pārlūka palēnināšanās un biežu uznirstošo logu gadījumā ir HijackThis labotu šo vienumu, ja tas tiek parādīts logā. Tomēr, tā kā tikai Coolwebsearch to dara, labāk ir izmantot CWShredder, lai to novērstu.

O20 - AppInit_DLLs Reģistra vērtība autorun

Kā tas izskatās:
O20 - AppInit_DLLs: msconfd.dll

Ko darīt:
Šī reģistra vērtība, kas atrodas vietnē HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, iekrauj DLL atmiņā, kad lietotājs piesakās, pēc kura tas paliek atmiņā, līdz tiek izslēgts. To izmanto ļoti maz likumīgu programmu (Norton CleanSweep izmanto APITRAP.DLL), visbiežāk to izmanto trojans vai agresīvi pārlūkprogrammas nolaupītāji.

Slēptas DLL ielādes gadījumā no šī reģistra vērtības (redzams tikai, izmantojot Regedit opciju Rediģēt binārus datus), dll nosaukums var būt prefikss ar cauruli '|' lai padarītu to redzamu žurnālā.

O21 - ShellServiceObjectDelayLoad

Kā tas izskatās:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Ko darīt:
Šī ir nedokumentēta autorunu metode, ko parasti lieto daži Windows sistēmas komponenti. Kad Windows startē, pārlūkprogramma Explorer ielādē vienumus, kas uzskaitīti HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad. HijackThis izmanto balto sarakstu ar vairākām ļoti bieži SSODL vienībām, tādēļ ikreiz, kad vienums žurnālā tiek parādīts, tas nav zināms un, iespējams, ir ļaunprātīgs. Ārstējiet ar ārkārtēju aprūpi.

O22 - SharedTaskScheduler

Kā tas izskatās:
O22 - SharedTaskScheduler: (bez nosaukuma) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Ko darīt:
Šī ir nedokumentēta automātiska sistēma Windows NT / 2000 / XP, kuru izmanto ļoti reti. Līdz šim tikai CWS.Smartfinder to izmanto. Rūpēties uzmanīgi.

O23 - NT pakalpojumi

Kā tas izskatās:
O23 - Pakalpojums: Kerio personālais ugunsmūris (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personālais ugunsmūris \ persfw.exe

Ko darīt:
Šis ir ne-Microsoft pakalpojumu uzskaitījums. Sarakstam ir jābūt tādam pašam kā tā, kuru redzat Windows XP lietojumprogrammas Msconfig. Vairāki Trojan hijackerers izmanto mājās sniegto pakalpojumu, lai papildinātu citiem starta uzņēmumiem, lai pārinstalēt sevi. Pilns nosaukums parasti ir svarīgs, piemēram, "tīkla drošības dienests", "darbstacijas pieslēgšanās pakalpojums" vai "attālinātās procedūras izsaukšanas palīgs", bet iekšējais vārds (starp iekavām) ir virkne atkritumu, piemēram, "Ort". Līnijas otrā daļa ir faila īpašnieks beigās, kā tas redzams faila rekvizītos.

Ņemiet vērā, ka O23 objekta fiksēšana apstādina pakalpojumu un atspējo to. Pakalpojums ir jādzēš no reģistra manuāli vai ar citu rīku. Šajā HijackThis 1.99.1 vai augstāka, pogu "Dzēst NT Service" sadaļā Misc Tools var izmantot šim.