Ako analyzovať protokoly HijackThis

Interpretácia údajov denníka na odstránenie spywaru a prehliadačov únoscov

HijackThis je bezplatný nástroj od spoločnosti Trend Micro. Bol pôvodne vyvinutý Merijnom Bellekom, študentom v Holandsku. Softvér na odstraňovanie spywaru, ako je napríklad Adaware alebo Spybot S & D, robí dobrú prácu pri zisťovaní a odstraňovaní väčšiny spywarových programov, ale niektorí únoscovia spywaru a prehliadačov sú príliš zákerní aj pre tieto skvelé nástroje proti spyware.

HijackThis je písaný špeciálne na detekciu a odstránenie únosov prehliadača alebo softvéru, ktorý preberá váš webový prehliadač, zmení vašu predvolenú domovskú stránku a vyhľadávač a iné škodlivé veci. Na rozdiel od typického anti-spyware softvéru, HijackThis nepoužíva podpisy ani nezacieľuje žiadne špecifické programy alebo adresy na detekciu a blokovanie. Skôr HijackThis hľadá triky a metódy používané malware na infikovanie vášho systému a presmerovanie vášho prehliadača.

Nie všetko, čo sa zobrazuje v protokoloch HijackThis, je zlé veci a nemalo by to byť všetko odstránené. V skutočnosti naopak. Je skoro zaručené, že niektoré položky vo vašich protokoloch HijackThis budú legitímnym softvérom a odstránením týchto položiek môže nepriaznivo ovplyvniť váš systém alebo spôsobiť jeho úplné nefunkčnosť. Použitie HijackThis je veľa ako editácia registra Windows sami. Nie je to raketová veda, ale určite by ste to nemali robiť bez odborného vedenia, pokiaľ naozaj neviete, čo robíte.

Po nainštalovaní aplikácie HijackThis a spustení generovania súboru denníka je k dispozícii široká škála fór a lokalít, na ktorých môžete uverejňovať alebo nahrávať údaje denníka. Odborníci, ktorí vedia, čo hľadať, vám potom môžu pomôcť analyzovať údaje denníka a poradiť s tým, ktoré položky sa majú odstrániť a ktoré z nich nechajte osamote.

Ak chcete prevziať aktuálnu verziu programu HijackThis, navštívte oficiálnu stránku spoločnosti Trend Micro.

Tu je prehľad položiek protokolu HijackThis, ktoré môžete použiť na preskočenie na informácie, ktoré hľadáte:

• R0, R1, R2, R3 - Internetové stránky Štart / Vyhľadávanie v Internet Exploreri
• F0, F1 - Autoloading programy
• N1, N2, N3, N4 - Netscape / Mozilla Start / Vyhľadávanie URL stránok
• O1 - Presmerovanie súborov hostiteľov
• O2 - Objekty pomocníka prehliadača
• O3 - Panely s nástrojmi programu Internet Explorer
• O4 - Automatické programy z registra
• O5 - ikona možností IE nie je viditeľná v ovládacom paneli
• O6 - Možnosti prístupu IE obmedzené správcom
• O7 - Regedit prístup obmedzený správcom
• O8 - Ďalšie položky v IE menu s pravým kliknutím
• O9 - Ďalšie tlačidlá na hlavnom paneli nástrojov IE alebo ďalšie položky v menu IE 'Nástroje'
• O10 - únosca Winsock
• O11 - Ďalšia skupina v okne IE "Rozšírené možnosti"
• O12 - IE pluginy
• O13 - IE DefaultPrefix únos
• O14 - Obnovenie únosov webových nastavení
• O15 - Nežiaduce stránky v dôveryhodnej zóne
• O16 - Objekty ActiveX (známe aj ako súbory programu)
• O17 - únoscovia domény Lop.com
• O18 - Extra protokoly a únoscovia protokolov
• O19 - Únos zo štýlu používateľa
• O20 - AppInit_DLLs Hodnota registra autorun
• O21 - ShellServiceObjectDelayLoad Kľúč databázy Registry autorun
• O22 - SharedTaskScheduler Registre kľúč autorun

• O23 - služby Windows NT

R0, R1, R2, R3 - stránky IE Start a vyhľadávanie

Ako to vyzerá:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, stránka Start = http://www.google.com/
R1 - HKLM \ Softvér \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (tento typ ešte HijackThis nepoužíva)
R3 - Predvolená adresa URLSearchHook chýba

Čo robiť:
Ak poznáte adresu URL na konci ako svoju domovskú stránku alebo vyhľadávací nástroj, je to v poriadku. Ak nemáte, skontrolujte ho a nechajte ho opraviť. Pre položky R3 vždy ich opravte, pokiaľ nezmieňuje program, ktorý poznáte, napríklad Copernic.

F0, F1, F2, F3 - Autoloading programy z INI súborov

Ako to vyzerá:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Čo robiť:
Položky F0 sú vždy zlé, takže ich opravte. Položky F1 sú zvyčajne veľmi staré programy, ktoré sú bezpečné, takže by ste mali nájsť nejaké ďalšie informácie o názve súboru, aby ste zistili, či je to dobré alebo zlé. Pacman's Startup List môže pomôcť pri identifikácii položky.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Vyhľadávacia stránka

Ako to vyzerá:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ programové súbory \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumenty a nastavenia \ Používateľ \ Aplikačné dáta \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumenty a nastavenia \ Používateľ \ Aplikačné dáta \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Čo robiť:
Zvyčajne je stránka Netscape a Mozilla a stránka vyhľadávania bezpečné. Zriedka sa unesú, iba Lop.com je známe, že to robia. Ak uvidíte webovú adresu, ktorú nepoznáte ako svoju domovskú stránku alebo stránku vyhľadávania, nechajte to HijackThis opraviť.

O1 - Presmerovania hostiteľských súborov

Ako to vyzerá:
O1 - Počítače: 216.177.73.139 auto.search.msn.com
O1 - hostitelia: 216.177.73.139 search.netscape.com
O1 - Hostitelia: 216.177.73.139 ieautosearch
O1 - súbor hostiteľov sa nachádza na adrese C: \ Windows \ Help \ hosts

Čo robiť:
Tento únos presmeruje adresu napravo na adresu IP doľava. Ak IP adresa nepatrí, budete presmerovaní na nesprávnu lokalitu vždy, keď zadáte adresu. Vždy môžete mať HijackThis opraviť tieto, pokiaľ ste vedome vložili tieto riadky do vášho počítačového súboru.

Posledná položka sa niekedy vyskytuje v systéme Windows 2000 / XP s infekciou Coolwebsearch. Vždy opravte túto položku, alebo nechajte CWShredder opraviť automaticky.

O2 - Objekty pomocníka prehliadača

Ako to vyzerá:
O2 - BHO: Yahoo! Spoločník BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAMOVÉ SOUBORY \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (bez názvu) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAMOVÉ FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (súbor chýba)
O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAMOVÉ SOUBORY \ ZVÝŠENÉ MEDIÁLNE \ ME1.DLL

Čo robiť:
Ak priamo nerozpoznáte názov objektu pomocníka prehliadača, použite zoznam BHO a panel s nástrojmi TonyK, aby ste ho našli podľa ID triedy (CLSID, číslo medzi zákrutami) a skontrolujte, či je to dobré alebo zlé. V zozname BHO znamená "X" spyware a "L" znamená bezpečný.

O3 - IE panely s nástrojmi

Ako to vyzerá:
O3 - Toolbar: & Yahoo! Spoločník - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAMOVÉ SÚBORY \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Panel s nástrojmi: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAMOVÉ FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL
O3 - Panel s nástrojmi: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Čo robiť:
Ak nerozpoznáte priamo názov panela s nástrojmi, použite zoznam BHO a Panel s nástrojmi v TonyK, aby ste ho našli podľa ID triedy (CLSID, číslo medzi kučeravými zátvorkami) a zistite, či je to dobré alebo zlé. V zozname panela s nástrojmi znamená "X" spyware a "L" znamená bezpečný. Ak nie je v zozname a názov sa javí ako náhodný reťazec znakov a súbor sa nachádza v priečinku "Aplikačné dáta" (ako posledný v príkladoch uvedených vyššie), je to pravdepodobne Lop.com a rozhodne by ste mali HijackThis opraviť ono.

O4 - Autoloading programy z Registry alebo Startup skupiny

Ako to vyzerá:
O4 - HKLM \ .. \ Spustiť: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Spustiť: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Spustiť: [ccApp] "C: \ Program Files \ Bežné súbory \ Symantec Shared \ ccApp.exe"
O4 - Uvedenie do prevádzky: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Čo robiť:
Použite PacMan's Startup List na nájdenie záznamu a zistite, či je to dobré alebo zlé.

Ak položka zobrazuje program sediaci v skupine Startup (ako posledná položka vyššie), HijackThis nemôže opraviť položku, ak je tento program stále v pamäti. Pomocou Správcu úloh systému Windows (TASKMGR.EXE) ukončíte proces pred opravou.

O5 - Možnosti IE, ktoré nie sú viditeľné v ovládacom paneli

Ako to vyzerá:
O5 - control.ini: inetcpl.cpl = nie

Čo robiť:
Pokiaľ vy alebo váš správca systému vedome nezakrývajte ikonu z ovládacieho panela, nechajte ho opraviť.

O6 - Možnosti prístupu IE obmedzené správcom

Ako to vyzerá:
O6 - Súčasťou softvéru HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions

Čo robiť:
Pokiaľ nemáte aktivovanú možnosť Spybot S & D "aktívna zámka z aktívnych zmien" alebo váš správca systému umiestni toto zariadenie na svoje miesto, vyriešte túto chybu HijackThis.

O7 - Regedit prístup obmedzený správcom

Ako to vyzerá:
O7 - HKCU \ Softvér \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Čo robiť:
HijackThis to vždy opravte, ak váš správca systému neumiestnil toto obmedzenie.

O8 - Ďalšie položky v IE menu s pravým kliknutím

Ako to vyzerá:
O8 - Extra kontextová ponuka: & Vyhľadávanie Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_SK_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra kontextové menu: Yahoo! Vyhľadávanie - súbor: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Extra položka kontextového menu: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra kontextová položka: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Čo robiť:
Ak nerozpoznáte názov položky v ponuke s pravým kliknutím v IE, nechajte ho opraviť HijackThis.

O9 - Extra tlačidlá na hlavnej lište nástrojov IE alebo ďalšie položky v IE "Nástroje" Ponuka

Ako to vyzerá:
O9 - Tlačidlo Extra: Messenger (HKLM)
O9 - Extra 'Nástroje' menuitem: Messenger (HKLM)
O9 - Tlačidlo Extra: AIM (HKLM)

Čo robiť:
Ak nepoznáte názov tlačidla alebo položky ponuky, nechajte ho opraviť.

O10 - únoscovia Winsock

Ako to vyzerá:
O10 - Unikátny prístup na internet prostredníctvom siete New.Net
O10 - Chýbajúci prístup k internetu kvôli poskytovateľovi služby LSP chýba c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll
O10 - Neznámy súbor vo Winsock LSP: c: \ program files \ newton knows \ vmain.dll

Čo robiť:
Najlepšie je opraviť pomocou nástroja LSPFix od spoločnosti Cexx.org alebo Spybot S & D od spoločnosti Kolla.de.

Všimnite si, že "neznáme" súbory v zásobníku LSP nebudú HijackThis opravené, pokiaľ ide o bezpečnostné problémy.

O11 - ďalšia skupina v rozšírených možnostiach IE & # 39; okno

Ako to vyzerá:
O11 - Skupina možností: [CommonName] CommonName

Čo robiť:
Jediný únosca, ktorý teraz pridáva svoju vlastnú skupinu možností do okna IE Advanced Options, je CommonName. Takže môžete vždy mať HijackThis to opraviť.

O12 - IE pluginy

Ako to vyzerá:
O12 - Plugin pre .spop: C: Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin pre .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Čo robiť:
Väčšinu času sú to bezpečné. Iba funkcia OnFlow pridá tu plugin, ktorý nechcete (.ofb).

O13 - IE DefaultPrefix únos

Ako to vyzerá:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - predpona WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Predpona: http://ehttp.cc/?

Čo robiť:
To sú vždy zlé. Nechajte ich HijackThis opraviť.

O14 - & nbsp; Obnoviť nastavenia webu & # 39; únos

Ako to vyzerá:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Čo robiť:
Ak adresa URL nie je poskytovateľom vášho počítača alebo poskytovateľom internetových služieb, opravte ho.

O15 - Nežiaduce lokality v dôveryhodnej zóne

Ako to vyzerá:
O15 - dôveryhodná zóna: http://free.aol.com
O15 - dôveryhodná zóna: * .coolwebsearch.com
O15 - dôveryhodná zóna: * .msn.com

Čo robiť:
Väčšinu času len AOL a Coolwebsearch ticho pridávajú stránky do dôveryhodnej zóny. Ak ste do Dôveryhodnej zóny nepriradili doménu uvedenú sami, nechajte ho opraviť.

O16 - Objekty ActiveX (známe aj ako súbory programu)

Ako to vyzerá:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Čo robiť:
Ak nerozpoznáte názov objektu alebo adresu URL, z ktorej bola stiahnutá, nechajte to HijackThis opraviť. Ak názov alebo adresa URL obsahuje slová ako "dialer", "casino", "free_plugin" atď, určite to opravte. Javascript SpywareBlaster má obrovskú databázu škodlivých objektov ActiveX, ktoré je možné použiť na vyhľadávanie CLSID. (Kliknite pravým tlačidlom myši na zoznam a použite funkciu Nájsť.)

O17 - Únos domény Lop.com

Ako to vyzerá:
O17 - HKLM \ Systém \ CCS \ Služby \ VxD \ MSTCP: Doména = aoldsl.net
O17 - HKLM \ Systém \ CCS \ Služby \ Tcpip \ Parametre: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonovanie: DomainName = W21944.find-quick.com
O17 - HKLM \ Systém \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Doména = W21944.find-quick.com
O17 - HKLM \ Systém \ CS1 \ Služby \ Tcpip \ Parametre: SearchList = gla.ac.uk
O17 - HKLM \ Systém \ CS1 \ Služby \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Čo robiť:
Ak doména nie je z vášho poskytovateľa internetových služieb alebo firemnej siete, vyriešte to pomocou služby HijackThis. To isté platí aj pre položky "SearchList". Pre položky "NameServer" ( servery DNS ), Google pre IP alebo IP a bude ľahké zistiť, či sú dobré alebo zlé.

O18 - Extra protokoly a únoscovia protokolov

Ako to vyzerá:
O18 - Protokol: súvisiace odkazy - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Hijack protokolu: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Čo robiť:
Len niekoľko únoscov sa tu objaví. Známe baddies sú 'cn' (CommonName), 'ayb' (Lop.com) a 'relatedlinks' (Huntbar), mali by ste mať HijackThis opraviť tie. Ostatné veci, ktoré sa zobrazia, buď nie sú potvrdené v bezpečí, alebo sú unesené (tj CLSID boli zmenené) spywarom. V poslednom prípade ho opravte HijackThis.

O19 - Únos zo štýlu používateľa

Ako to vyzerá:
O19 - užívateľský štýl: c: \ WINDOWS \ Java \ my.css

Čo robiť:
V prípade spomalenia prehliadača a častých vyskakovacích okien, HijackThis opraviť túto položku, ak sa zobrazí v denníku. Avšak, keďže to spravuje iba Coolwebsearch, je lepšie použiť CWShredder na jeho opravu.

O20 - AppInit_DLLs Hodnota registra autorun

Ako to vyzerá:
O20 - AppInit_DLLs: msconfd.dll

Čo robiť:
Táto hodnota databázy Registry umiestnená na stránke HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows načíta DLL do pamäte, keď sa používateľ prihlási, potom zostane v pamäti až do odhlásenia. Veľmi málo legitímnych programov to používa (Norton CleanSweep používa APITRAP.DLL), najčastejšie ho používajú trójske kone alebo agresívni únosci prehliadačov.

V prípade "skrytej" načítania DLL z tejto hodnoty databázy Registry (viditeľná len pri použití možnosti "Úprava binárnych údajov" v Regedit), názov dll môže mať predponu "|" aby bola viditeľná v denníku.

O21 - ShellServiceObjectDelayLoad

Ako to vyzerá:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ Auhook.dll

Čo robiť:
Ide o neregistrovanú autorunovú metódu, ktorú bežne používa niekoľko systémových komponentov systému Windows. Položky uvedené na stránke HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad sa načítajú programom Explorer pri spustení systému Windows. HijackThis používa bielu listinu niekoľkých veľmi bežných položiek SSODL, takže keď je položka zobrazená v denníku, je neznáma a možno škodlivá. Liečte s mimoriadnou starostlivosťou.

O22 - SharedTaskScheduler

Ako to vyzerá:
O22 - SharedTaskScheduler: (žiadne meno) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Čo robiť:
Toto je neregistrovaný autorun pre systém Windows NT / 2000 / XP, ktorý sa používa veľmi zriedkavo. Doteraz používa iba CWS.Smartfinder. Starostlivo ošetrujte.

Služby O23 - NT

Ako to vyzerá:
O23 - Služba: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Čo robiť:
Toto je zoznam služieb, ktoré nepatria spoločnosti Microsoft. Zoznam by mal byť rovnaký ako ten, ktorý vidíte v pomôcke Msconfig systému Windows XP. Niektorí trójske únoscovia využívajú domácu službu, ktorá sa pridáva k iným začínajúcim podnikom, aby sa znovu nainštalovali. Úplný názov je zvyčajne dôležitý, napríklad služba Network Security Service, služba Logon Workstation alebo pomocník pre volanie na diaľku, ale interný názov (medzi zátvorkami) je reťazec odpadu, ako napríklad "Ort". Druhá časť riadka je vlastníkom súboru na konci, ako je vidieť v jeho vlastnostiach.

Upozorňujeme, že pri stanovení položky O23 služba zastavíte a zakážete ju. Služba sa musí z registra odstrániť ručne alebo iným nástrojom. V aplikácii HijackThis 1.99.1 alebo vyššej je možné použiť tlačidlo "Delete NT Service" v sekcii Rôzne nástroje.