כיצד לנתח

פירוש נתונים התחבר כדי להסיר תוכנות ריגול וחוטפים דפדפן

HijackThis הוא כלי ללא תשלום מן Trend Micro. זה פותח במקור על ידי Merijn Bellekom, סטודנט בהולנד. תוכנות להסרת תוכנות ריגול כגון Adaware או Spybot S & D לעשות עבודה טובה של גילוי והסרה של תוכנות ריגול ביותר, אבל כמה תוכנות ריגול וחוטפים הדפדפן הם ערמומיים מדי עבור אפילו אלה כלי עזר גדולים נגד תוכנות ריגול.

HijackThis נכתב במיוחד כדי לזהות ולהסיר חטיפות דפדפן, או תוכנה המשתלטת על דפדפן האינטרנט שלך, משנה את ברירת המחדל של דף הבית שלך ואת מנוע החיפוש ועוד דברים זדוניים. שלא כמו תוכנות אנטי ריגול אופייניות, HijackThis אינו משתמש חתימות או לכוון כל תוכניות ספציפיות או כתובת האתר כדי לזהות ולחסום. במקום זאת, HijackThis מחפש את הטריקים והשיטות המשמשות תוכנות זדוניות להדביק את המערכת שלך ולהפנות את הדפדפן שלך.

לא כל מה שמראה את היומנים HijackThe זה דברים רעים זה לא צריך להיות כל הסיר. למעשה, ההפך הוא הנכון. זה כמעט מובטח כי חלק מהפריטים שלך יומני HijackThis תהיה תוכנה לגיטימית והסרה של פריטים אלה עלולה להשפיע לרעה על המערכת שלך או להפוך אותו לחלוטין לא ניתנת לפעולה. שימוש HijackThis זה הרבה כמו עריכת הרישום Windows עצמך. זה לא מדע טילים, אבל אתה בהחלט לא צריך לעשות את זה בלי הדרכה מומחה כלשהו, ​​אלא אם כן אתה באמת יודע מה אתה עושה.

לאחר התקנת HijackThis ולהפעיל אותו כדי ליצור קובץ יומן, יש מגוון רחב של פורומים ואתרים שבהם אתה יכול לפרסם או להעלות את נתוני היומן שלך. מומחים שיודעים מה לחפש אחר כך יכולים לעזור לך לנתח את נתוני היומן ולייעץ לך אילו פריטים להסיר ואילו מהם לעזוב לבד.

כדי להוריד את הגרסה הנוכחית של HijackThis, תוכל לבקר באתר הרשמי ב- Trend Micro.

הנה סקירה כללית של רשומות היומן של HijackThis שבהן ניתן להשתמש כדי לקפוץ למידע שאתה מחפש:

R0, R1, R2, R3 - IE התחלה ודפי חיפוש

כמו מה זה נראה:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (סוג זה אינו בשימוש על ידי HijackThis עדיין)
R3 - ברירת המחדל של URLSearchHook חסרה

מה לעשות:
אם אתה מזהה את כתובת האתר בסוף כמו דף הבית שלך או מנוע החיפוש, זה בסדר. אם לא, לבדוק את זה יש HijackThis לתקן את זה. עבור הפריטים R3, תמיד לתקן אותם אלא אם כן זה מזכיר תוכנית שאתה מזהה, כמו קופרניק.

F0, F1, F2, F3 - תוכניות טעינה אוטומטית מקובצי INI

כמו מה זה נראה:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: לרוץ = hpfched

מה לעשות:
הפריטים F0 הם תמיד רע, אז לתקן אותם. הפריטים F1 הם בדרך כלל תוכניות ישנות מאוד, כי הם בטוחים, אז אתה צריך למצוא קצת מידע נוסף על שם הקובץ כדי לראות אם זה טוב או רע. רשימת ההפעלה של Pacman יכולה לסייע בזיהוי פריט.

N1, N2, N3, N4 - Netscape / Mozilla התחל & amp; דף חיפוש

כמו מה זה נראה:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "מנוע: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

מה לעשות:
בדרך כלל דף הבית של Netscape ו- Mozilla ודף החיפוש בטוחים. הם רק לעתים נדירות לחטוף, רק Lop.com כבר ידוע לעשות את זה. אם אתה רואה כתובת אתר שאינך מזהה כדף הבית או בדף החיפוש שלך, בקש HijackThis תיקון.

O1 - ניתוב מחדש של Hostsfile

כמו מה זה נראה:
O1 - מארחים: 216.177.73.139
O1 - מארחים: 216.177.73.139
O1 - מארחים: 216.177.73.139 ieautosearch
O1 - Hosts הקובץ ממוקם ב C: \ Windows \ עזרה \ המארחים

מה לעשות:
חטיפה זו תנתב מחדש את הכתובת מימין לכתובת ה- IP שמשמאל. אם ה- IP אינו שייך לכתובת, תנותב מחדש לאתר שגוי בכל פעם שתזין את הכתובת. אתה יכול תמיד לתקן את זה HijackThis, אלא אם אתה ביודעין לשים שורות אלה בקובץ המארחים שלך.

הפריט האחרון מתרחש לפעמים ב- Windows 2000 / XP עם זיהום Coolwebsearch. תמיד לתקן פריט זה, או יש CWShredder לתקן את זה באופן אוטומטי.

O2 - אובייקטים עוזר דפדפן

כמו מה זה נראה:
O2 - BHO: Yahoo! לוויה BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ Program Program \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ללא שם) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ Program Files \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (קובץ חסר)
O2 - BHO: MediaLoads משופרים - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ תוכניות קבצים \ מדידות משופרת \ ME1.DLL

מה לעשות:
אם אינך מזהה ישירות את שם אובייקט עוזר הדפדפן, השתמש ב- BHO & Toolbar List של טוניק כדי למצוא אותו על ידי מזהה המחלקה (CLSID, המספר בין סוגריים מסולסלים) ולראות אם הוא טוב או רע. ברשימה BHO, 'X' פירושו תוכנות ריגול ו- 'L' פירושו בטוח.

O3 - IE סרגלי כלים

כמו מה זה נראה:
O3 - סרגל הכלים: & Yahoo! לוויה - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ תוכניות תוכנית \ יאהו! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - סרגל כלים: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Program Files \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (קובץ חסר)
O3 - סרגל כלים: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ אפליקציות נתונים \ CKSTPRLLNQUL.DLL

מה לעשות:
אם אינך מזהה ישירות את שם סרגל הכלים, השתמש ב- BHO & Toolbar List של טוניק כדי למצוא אותו על ידי מזהה המחלקה (CLSID, המספר בין סוגריים מסולסלים) ולראות אם הוא טוב או רע. ברשימה 'סרגל הכלים של Google', 'X' פירושו תוכנות ריגול ו- 'L' פירושו בטוח. אם הוא לא מופיע ברשימה והשם נראה מחרוזת אקראית של תווים והקובץ נמצא בתיקייה 'Application Application' (כמו האחרון בדוגמאות לעיל), זה כנראה Lop.com, ואתה בהחלט צריך לתקן את HijackThis זה.

O4 - תוכניות טעינה אוטומטית מקבוצת הרישום או ההפעלה

כמו מה זה נראה:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ קבצים משותפים \ Symantec Shared \ ccApp.exe"
O4 - הפעלה: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - הפעלה גלובלית: winlogon.exe

מה לעשות:
השתמש ברשימת ההפעלה של PacMan כדי למצוא את הערך ולראות אם הוא טוב או רע.

אם הפריט מציג תוכנית היושבת בקבוצת הפעלה (כמו הפריט האחרון לעיל), HijackThis לא יכול לתקן את הפריט אם תוכנית זו עדיין בזיכרון. השתמש במנהל המשימות של Windows (TASKMGR.EXE) כדי לסגור את התהליך לפני תיקון.

O5 - אפשרויות IE אינו נראה בלוח הבקרה

כמו מה זה נראה:
O5 - control.ini: inetcpl.cpl = לא

מה לעשות:
אלא אם כן אתה או מנהל המערכת שלך יש ביודעין מוסתרים את הסמל מלוח הבקרה, יש HijackThis לתקן את זה.

O6 - IE אפשרויות גישה מוגבלת על ידי מנהל

כמו מה זה נראה:
O6 - HKCU \ תוכנה \ מדיניות \ Microsoft \ Internet Explorer \ הגבלות קיימות

מה לעשות:
אלא אם כן יש לך את האפשרות Sybot S & D 'נעל את הבית מתוך שינויים' פעיל, או מנהל המערכת שלך לשים את זה למקום, יש לתקן את זה HijackThis.

O7 - Regedit גישה מוגבלת על ידי מנהל

כמו מה זה נראה:
O7 - HKCU \ תוכנה \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

מה לעשות:
תמיד יש HijackThis לתקן את זה, אלא אם מנהל המערכת שלך יש לשים את ההגבלה למקום.

O8 - פריטים נוספים ב- IE לחץ לחיצה ימנית על התפריט

כמו מה זה נראה:
O8 - פריט תפריט הקשר נוסף: & חיפוש של Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - פריט תפריט הקשר נוסף: Yahoo! חיפוש - קובץ: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - פריט תפריט הקשר נוסף: זום & ב - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - פריט תפריט הקשר נוסף: זום O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

מה לעשות:
אם אתה לא מזהה את שם הפריט בתפריט לחץ באמצעות לחצן העכבר הימני ב- IE, יש HijackThis לתקן את זה.

O9 - לחצנים נוספים בסרגל הכלים הראשי של IE, או פריטים נוספים ב- IE & # 39; Tools & # 39; תַפרִיט

כמו מה זה נראה:
O9 - לחצן נוסף: Messenger (HKLM)
O9 - תוספת 'כלים' menuitem: Messenger (HKLM)
O9 - לחצן נוסף: AIM (HKLM)

מה לעשות:
אם אינך מזהה את שמו של לחצן או פריט תפריט, יש לתקן את זה HijackThis.

O10 - חוטפים Winsock

כמו מה זה נראה:
O10 - חטף גישה לאינטרנט על ידי New.Net
O10 - גישה לאינטרנט שבור בגלל ספק LSP 'c: \ progra ~ 1 \ Common ~ 2 \ Toolbar \ cnmib.dll' חסר
O10 - קובץ לא ידוע ב- Winsock LSP: c: \ program files \ newton יודע \ vmain.dll

מה לעשות:
עדיף לתקן את אלה באמצעות LSPFix מ Cexx.org, או Spybot S & D מ Kolla.de.

שים לב כי קבצים 'לא ידועים' בערימת LSP לא ייקבעו על-ידי HijackThis, עבור בעיות בטיחות.

O11 - קבוצה נוספת ב- IE & # 39; אפשרויות מתקדמות & # 39; חַלוֹן

כמו מה זה נראה:
O11 - קבוצת אפשרויות: [CommonName] CommonName

מה לעשות:
החוטף היחיד עד עכשיו מוסיף את קבוצת האפשרויות שלו לחלון אפשרויות מתקדם של IE הוא CommonName. אז אתה תמיד יכול להיות HijackThis לתקן את זה.

O12 - IE תוספים

כמו מה זה נראה:
O12 - תוסף עבור .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - תוסף עבור .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

מה לעשות:
רוב הזמן הם בטוחים. רק OnFlow מוסיף תוסף כאן כי אתה לא רוצה (.

O13 - IE DefaultPrefix לחטוף

כמו מה זה נראה:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
קידומת O13 - WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. קידומת: http://ehttp.cc/?

מה לעשות:
אלה תמיד רע. יש HijackThis לתקן אותם.

O14 - & # 39; אפס את הגדרות האינטרנט & # 39; לַחטוֹף

כמו מה זה נראה:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

מה לעשות:
אם כתובת האתר אינה ספק המחשב או ספק שירותי האינטרנט שלך, בקש HijackThis תיקון.

O15 - אתרים לא רצויים באזור מהימן

כמו מה זה נראה:
O15 - אזור מהימן: http://free.aol.com
O15 - אזור מהימן: *
O15 - אזור מהימן: * .msn.com

מה לעשות:
רוב הזמן רק AOL ו- Coolwebsearch מוסיפים בשקט אתרים לאזור המהימן. אם לא הוספת את התחום הרשום לאזור האמין בעצמך, בקש HijackThis לתקן אותו.

O16 - ActiveX אובייקטים (aka הורדת קבצי התוכנית)

כמו מה זה נראה:
O16 - DPF: Yahoo! צ'אט - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (אובייקט Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

מה לעשות:
אם אינך מזהה את שם האובייקט, או את כתובת האתר שהורדת ממנו, יש לתקן את זה HijackThis. אם השם או כתובת האתר מכילים מילים כמו 'חייגן', 'קזינו', 'free_plugin' וכו ', בהחלט לתקן את זה. Javacool של SpywareBlaster יש מסד נתונים עצום של אובייקטים ActiveX זדוניים שניתן להשתמש בהם עבור מחפש CLSIDs. (לחץ לחיצה ימנית על הרשימה כדי להשתמש בפונקציה Find).

O17 - Lop.com תחום חטיפות

כמו מה זה נראה:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: דומיין = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: דומיין = W21944.find-quick.com
O17 - HKLM \ תוכנה \ .. \ טלפוניה: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ פרמטרים: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

מה לעשות:
אם התחום אינו מספק שירותי האינטרנט או רשת החברה, יש לתקן אותו. כנ"ל לגבי ערכי 'SearchList'. עבור 'NameServer' ( שרתי DNS ) ערכים, Google עבור IP או IPs וזה יהיה קל לראות אם הם טובים או רעים.

O18 - פרוטוקולים נוספים וחוטפי פרוטוקול

כמו מה זה נראה:
O18 - פרוטוקול: linkedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - פרוטוקול: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - פרוטוקול חטיפה: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

מה לעשות:
רק כמה חוטפים מגיעים לכאן. הרעים ידועים 'cn' (CommonName), 'ayb' (Lop.com) ו 'relatedlinks' (Huntbar), אתה צריך HijackThis לתקן אותם. דברים אחרים שמופיעים אינם מאושרים עדיין, או שנחטפו (כלומר, ה- CLSID השתנה) על ידי תוכנות ריגול. במקרה האחרון, יש לתקן את זה HijackThis.

O19 - גליון סגנון משתמש חטיפה

כמו מה זה נראה:
O19 - גליון סגנונות משתמש: c: \ WINDOWS \ Java \ my.css

מה לעשות:
במקרה של האטת דפדפן וחלונות קופצים תכופים, יש HijackThis לתקן את הפריט הזה אם זה מופיע ביומן. עם זאת, מאז רק Coolwebsearch עושה את זה, עדיף להשתמש CWShredder כדי לתקן את זה.

O20 - Appinit_DLLs ערך הרישום autorun

כמו מה זה נראה:
O20 - AppInit_DLLs: msconfd.dll

מה לעשות:
ערך רישום זה הממוקם ב- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows טוען DLL לזיכרון כאשר המשתמש נכנס, ולאחר מכן הוא נשאר בזיכרון עד לסימון. מעט מאוד תוכניות לגיטימיות להשתמש בו (Norton CleanSweep משתמש APITRAP.DLL), לרוב זה נעשה שימוש על ידי סוסים טרויאנים או חוטפים הדפדפן agressive.

במקרה של טעינת DLL 'מוסתר' מערך הרישום הזה (גלוי רק בעת שימוש באפשרות 'עריכת נתונים בינאריים' ב- Regedit), שם ה- dll יכול להיות מוקודד בצינור '|' כדי להפוך אותו לגלוי ביומן.

O21 - ShellServiceObjectDelayLoad

כמו מה זה נראה:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

מה לעשות:
זוהי שיטה autorun מתועד, המשמש בדרך כלל על ידי כמה רכיבי מערכת של Windows. פריטים הרשומים ב- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad נטענים על-ידי Explorer כאשר Windows מופעל. HijackThis משתמש ברשימה הלבנה של כמה פריטים מאוד נפוצים SSODL, ולכן בכל פעם פריט מוצג ביומן זה לא ידוע ואולי זדוני. לטפל בזהירות רבה.

O22 - משותפים

כמו מה זה נראה:
O22 - SharedTaskScheduler: (ללא שם) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

מה לעשות:
זהו autorun מתועד עבור Windows NT / 2000 / XP בלבד, אשר משמש לעתים רחוקות מאוד. עד כה רק CWS.Smartfinder משתמש בו. לטפל בזהירות.

שירותי O23 - NT

כמו מה זה נראה:
O32 - שירות: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

מה לעשות:
זהו הרישום של שירותים שאינם של Microsoft. הרשימה צריכה להיות זהה לזו שתראה בכלי השירות Msconfig של Windows XP. כמה חוטפים טרויאנים להשתמש שירות תוצרת בית ב אדישות לחברות סטארט-אפ אחרות להתקין מחדש את עצמם. השם המלא הוא בדרך כלל חשוב - נשמע כמו 'שירות אבטחת רשת', 'שירות לכניסה לתחנות עבודה' או 'עוזר קריאה לפרוצדורה מרוחקת', אך השם הפנימי (בין סוגריים) הוא מחרוזת אשפה, כגון 'אורט'. החלק השני של הקו הוא הבעלים של הקובץ בסוף, כפי שניתן לראות במאפייני הקובץ.

שים לב כי תיקון פריט O23 רק להפסיק את השירות לבטל את זה. יש למחוק את השירות מהמרשם באופן ידני או באמצעות כלי אחר. ב- HijackThis 1.99.1 ואילך, ניתן להשתמש בלחצן 'Delete NT Service' בסעיף 'כלים שונים' עבור פעולה זו.