Cum de a analiza HijackThis Logs

Interpretarea datelor din jurnal pentru a ajuta la eliminarea spyware-ului și a atacatorilor de browsere

HijackThis este un instrument gratuit de la Trend Micro. Acesta a fost inițial dezvoltat de Merijn Bellekom, student în Olanda. Software-ul de ștergere a spyware-ului, cum ar fi Adaware sau Spybot S & D, face o treabă bună de a detecta și elimina cele mai multe programe spyware, dar unii atacatori de spyware și de browser sunt prea insidiosi chiar și pentru aceste mari utilități anti-spyware.

HijackThis este scris special pentru a detecta și elimina hijacks browser-ul, sau software-ul care preia browser-ul dvs. web, modifică pagina dvs. de pornire implicită și motorul de căutare și alte lucruri rău-intenționate. Spre deosebire de software-ul anti-spyware tipic, HijackThis nu utilizează semnături sau nu vizează niciun program specific sau adresă URL pentru detectare și blocare. Mai degrabă, HijackThis caută trucuri și metode utilizate de malware pentru a vă infecta sistemul și pentru a vă redirecționa browserul.

Nu tot ce apare în jurnalele HijackThis este o chestie rea și nu ar trebui să fie eliminate toate. De fapt, exact invers. Este aproape garantat că unele dintre elementele din jurnalele dvs. HijackThis vor fi software-ul legitim și eliminarea acelor elemente ar putea avea un impact negativ asupra sistemului dvs. sau ar putea fi complet inoperabile. Folosind HijackThis este foarte asemănătoare cu editarea dvs. de Windows Registry . Nu este știința rachetelor, dar cu siguranță nu ar trebui să o faceți fără o îndrumare specială decât dacă știți cu adevărat ce faceți.

Odată ce instalați HijackThis și executați-l pentru a genera un fișier jurnal, există o mare varietate de forumuri și site-uri unde puteți posta sau încărca datele din jurnal. Experții care știu ce să caute pot apoi să vă ajute să analizați datele din jurnal și să vă sfătuiți asupra elementelor pe care să le eliminați și pe care să le lăsați singure.

Pentru a descărca versiunea curentă a HijackThis, puteți vizita site-ul oficial al companiei Trend Micro.

Iată o prezentare generală a intrărilor din jurnalul HijackThis pe care le puteți utiliza pentru a accesa informațiile pe care le căutați:

• R0, R1, R2, R3 - Adrese URL de pornire / Căutare pagini Internet Explorer
• F0, F1 - programe autoloading
• N1, N2, N3, N4 - Netscape / Mozilla Start / Căutare pagini URL
• O1 - Redirecționarea fișierelor gazdă
• O2 - Obiecte Helper Browser
• O3 - barele de instrumente Internet Explorer
• O4 - programe autoloading de la Registry
• O5 - Pictograma IE Opțiuni nu este vizibilă în Panoul de control
• O6 - Opțiunile de acces IE restricționate de Administrator
• O7 - Acces restricționat restricționat de Administrator
• O8 - Elemente suplimentare în meniul IE cu clic dreapta
• O9 - Butoane suplimentare pe bara de instrumente a butonului IE sau elemente suplimentare din meniul IE 'Tools'
• O10 - ucigaș Winsock
• O11 - Grup suplimentar din fereastra IE "Opțiuni avansate"
• O12 - plug-in-uri IE
• O13 - IE implicit la defecțiunea DefaultPrefix
• O14 - "Resetare setări Web" deturnare
• O15 - Site nedorit în Zona de încredere
• O16 - Obiectele ActiveX (cunoscute și sub denumirea de Fișiere program descărcate)
• O17 - teroristi de domeniu Lop.com
• O18 - Protocoale suplimentare și atacatori de protocol
• O19 - furtul de stil de utilizator
• O20 - AppInit_DLLs Valoarea registrului autorun
• O21 - ShellServiceObjectDelayLoad cheia de registry Autorun
• O22 - SharedTaskScheduler cheia de registry Autorun

• O23 - Servicii Windows NT

R0, R1, R2, R3 - pagini de pornire și căutare IE

Cum arata:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, pagina de pornire = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (acest tip nu este încă folosit de HijackThis)
R3 - Implicit URLSearchHook lipsește

Ce sa fac:
Dacă recunoașteți adresa URL la final ca pagină de pornire sau motor de căutare, este OK. Dacă nu, verificați-l și lăsați-l pe HijackThis să o repare. Pentru elementele R3, remediați-le întotdeauna dacă nu menționează un program pe care îl recunoașteți, cum ar fi Copernic.

F0, F1, F2, F3 - Programe de autoloading din fișierele INI

Cum arata:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Ce sa fac:
Elementele F0 sunt întotdeauna rău, deci rezolvați-le. Elementele F1 sunt de obicei programe foarte vechi care sunt sigure, deci ar trebui să găsiți mai multe informații despre numele fișierului pentru a vedea dacă este bun sau rău. Lista de pornire a Pacman poate ajuta la identificarea unui element.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Pagina de căutare

Cum arata:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ implicit \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documente și setări \ Utilizator \ Date de aplicație \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motor: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documente și setări \ Utilizator \ Date de aplicație \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Ce sa fac:
De obicei, pagina de pornire Netscape și Mozilla și pagina de căutare sunt sigure. Rareori sunt deturnate, numai Lop.com a fost cunoscut pentru a face acest lucru. Dacă vedeți o adresă URL pe care nu o recunoașteți ca pagină de pornire sau de căutare, trebuie să o remediați de HijackThis.

O1 - redirecționări Hostsfile

Cum arata:
O1 - Gazde: 216.177.73.139 auto.search.msn.com
O1 - gazde: 216.177.73.139 search.netscape.com
O1 - Gazde: 216.177.73.139 ieautosearch
Fișierul O1 - Hosts este localizat la C: \ Windows \ Help \ hosts

Ce sa fac:
Acest atac va redirecționa adresa din dreapta spre adresa IP spre stânga. Dacă adresa IP nu aparține adresei, veți fi redirecționat către un site greșit de fiecare dată când introduceți adresa. Puteți avea întotdeauna HijackThis repara aceste, cu excepția cazului în care ați pus cu bună știință acele linii în fișierul Hosts.

Ultimul element apare uneori în Windows 2000 / XP cu o infecție Coolwebsearch. Fixați întotdeauna acest element sau reparați-l automat pe CWShredder.

O2 - Obiecte Helper Browser

Cum arata:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ SOFTURI DE PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (fără nume) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAME FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fișier lipsește)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAME FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Ce sa fac:
Dacă nu recunoașteți în mod direct numele unui obiect de ajutor pentru browser, utilizați BHO și Bara de instrumente Google TonyK pentru a-l găsi în funcție de ID-ul clasei (CLSID, numărul dintre parantezele curbate) și pentru a vedea dacă este bun sau rău. În lista BHO, "X" înseamnă spyware și "L" înseamnă în siguranță.

O3 - bare de instrumente IE

Cum arata:
O3 - Bara de instrumente: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ SOFTURI DE PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Bara de instrumente: Eliminator popup - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAME FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL
O3 - Bara de instrumente: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APLICAȚII DATE \ CKSTPRLLNQUL.DLL

Ce sa fac:
Dacă nu recunoașteți direct numele unei bare de instrumente, utilizați BHO și Bara de instrumente Google TonyK pentru a le găsi în funcție de ID-ul clasei (CLSID, numărul dintre parantezele curbate) și pentru a vedea dacă este bun sau rău. În lista cu bare de instrumente, "X" înseamnă spyware și "L" înseamnă în siguranță. Dacă nu apare pe listă și numele pare a fi un șir aleator de caractere și fișierul se află în dosarul "Datele aplicației" (cum ar fi ultimul din exemplele de mai sus), este probabil Lop.com și, cu siguranță, ar fi trebuit să stabiliți HijackThis aceasta.

O4 - Programe autoloading din Registry sau Startup group

Cum arata:
O4 - HKLM \ .. \ Rulați: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Executare: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Fișiere comune \ Symantec Shared \ ccApp.exe"
O4 - Punerea în funcțiune: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Startup global: winlogon.exe

Ce sa fac:
Utilizați lista de pornire a lui PacMan pentru a găsi înregistrarea și a vedea dacă este bună sau rău.

Dacă articolul afișează un program care se află într-un grup de pornire (cum ar fi ultimul element de mai sus), HijackThis nu poate repara elementul dacă acesta este încă în memorie. Utilizați Managerul de activități Windows (TASKMGR.EXE) pentru a închide procesul înainte de a vă repara.

Opțiunile O5 - IE nu sunt vizibile în Panoul de control

Cum arata:
O5 - control.ini: inetcpl.cpl = nr

Ce sa fac:
Cu excepția cazului în care dvs. sau administratorul de sistem ați ascuns cu bună știință pictograma din Panoul de control, trebuie să o remediați de HijackThis.

O6 - Opțiunile de acces IE restricționate de Administrator

Cum arata:
O6 - HKCU \ Software \ Politici \ Microsoft \ Internet Explorer \ Restricții prezente

Ce sa fac:
Cu excepția cazului în care aveți opțiunea Spybot S & D " Activată în bloc " din activitățile schimbărilor sau dacă administratorul de sistem a pus acest lucru în loc, trebuie să remediați acest lucru HijackThis.

O7 - Acces restricționat restricționat de Administrator

Cum arata:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Politici \ Sistem, DisableRegedit = 1

Ce sa fac:
Aveți întotdeauna HijackThis remediați acest lucru, cu excepția cazului în care administratorul de sistem a pus această restricție pe loc.

O8 - Elemente suplimentare în meniul IE cu clic dreapta

Cum arata:
O8 - Element de meniu suplimentar de context: & Căutare Google - res: // C: \ WINDOWS \ FILES DE PROGRAM DOWNLOADED \ GOOGLETOOLBAR_RO_1.1.68-DELEON.DLL / cmsearch.html
O8 - Element de meniu context suplimentar: Yahoo! Căutare - fișier: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Element din meniul context suplimentar: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Element din meniul context suplimentar: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Ce sa fac:
Dacă nu recunoașteți numele elementului din meniul de clic dreapta din IE, trebuie să-l remediați de HijackThis.

O9 - butoane suplimentare de pe bara de instrumente IE principală sau elemente extra din IE & meniul

Cum arata:
O9 - buton suplimentar: Messenger (HKLM)
O9 - Extras 'Tools' menitem: Messenger (HKLM)
O9 - Buton suplimentar: AIM (HKLM)

Ce sa fac:
Dacă nu recunoașteți numele butonului sau al elementului de meniu, lăsați HijackThis să îl repare.

O10 - ucigașii Winsock

Cum arata:
O10 - Accesul la internet deturnat de New.Net
O10 - Accesul la Internet incorect din cauza furnizorului LSP lipsit de "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll"
O10 - Fișier necunoscut în Winsock LSP: c: \ files \ newton știe \ vmain.dll

Ce sa fac:
Cel mai bine este să le rezolvați utilizând LSPFix de la Cexx.org sau Spybot S & D de la Kolla.de.

Rețineți că fișierele "necunoscute" din stiva LSP nu vor fi reparate de HijackThis, pentru probleme de siguranță.

O11 - Grup suplimentar în opțiunile avansate IE & # 39; fereastră

Cum arata:
O11 - Grup de opțiuni: [CommonName] CommonName

Ce sa fac:
Singurul deturnator din momentul în care adaugă propriul grup de opțiuni în fereastra Opțiuni avansate IE este CommonName. Deci poți să ai întotdeauna HijackThis rezolva asta.

O12 - plug-in-uri IE

Cum arata:
O12 - Plugin pentru .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin pentru .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Ce sa fac:
De cele mai multe ori acestea sunt sigure. Doar OnFlow adaugă un plugin pe care nu doriți (.ofb).

O13 - IE implicit la defecțiunea DefaultPrefix

Cum arata:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Prefixul WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Ce sa fac:
Acestea sunt întotdeauna rele. Au HijackThis să le repare.

O14 - Resetare setări Web & # 39; deturnare

Cum arata:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Ce sa fac:
Dacă adresa URL nu este furnizorul furnizorului calculatorului dvs. sau al ISP-ului dvs., trebuie să-l remediați de HijackThis.

O15 - Site-uri nedorite în zona de încredere

Cum arata:
O15 - Zona de încredere: http://free.aol.com
O15 - Zona de încredere: * .coolwebsearch.com
O15 - Zona de încredere: * .msn.com

Ce sa fac:
De cele mai multe ori, numai AOL și Coolwebsearch adaugă în mod silențios site-uri în Zona de încredere. Dacă nu ați adăugat propriul domeniu în zona de încredere, trebuie să îl reparați HijackThis.

O16 - Obiectele ActiveX (cunoscute și sub denumirea de Fișiere program descărcate)

Cum arata:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Obiect Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ce sa fac:
Dacă nu recunoașteți numele obiectului sau adresa URL de la care a fost descărcat, HijackThis îl repară. Dacă numele sau adresa URL conține cuvinte precum "dialer", "casino", "free_plugin" etc, definiți-o cu siguranță. Javascript SpywareBlaster are o bază de date imensă de obiecte ActiveX rău intenționate, care pot fi utilizate pentru a căuta CLSID-uri. (Faceți clic dreapta pe listă pentru a utiliza funcția Căutare.)

O17 - hackeri de domeniu Lop.com

Cum arata:
O17 - HKLM \ Sistem \ CCS \ Servicii \ VxD \ MSTCP: Domeniu = aoldsl.net
O17 - HKLM \ System \ CCS \ Servicii \ Tcpip \ Parametri: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonie: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domeniu = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Servicii \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Servicii \ VxD \ MSTCP: NumeServer = 69.57.146.14,69.57.147.175

Ce sa fac:
Dacă domeniul nu este furnizat de furnizorul dvs. de rețea sau de rețeaua de companii, HijackThis îl repară. Același lucru este valabil și pentru intrările "CăutareList". Pentru serverele "NameServer" ( servere DNS ), Google pentru IP sau IP-uri și va fi ușor să vedeți dacă acestea sunt bune sau rele.

O18 - Protocoale suplimentare și atacatori de protocol

Cum arata:
O18 - Protocol: link-uri corelate - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893 - 61B8 - 47DC - B10D - 21E0C86DD9C8}

Ce sa fac:
Doar câțiva ucigași arăta aici. Băieții cunoscuți sunt "cn" (CommonName), "ayb" (Lop.com) și "relatedlinks" (Huntbar), ar trebui să aveți HijackThis reparați aceștia. Alte lucruri care apar sau nu sunt încă confirmate în siguranță sau sunt deturnate (adică CLSID-ul a fost modificat) de spyware. În ultimul caz, trebuie să o rezolvi HijackThis.

O19 - furtul de stil de utilizator

Cum arata:
O19 - Foaie de stil utilizator: c: \ WINDOWS \ Java \ my.css

Ce sa fac:
În cazul unei încetiniri a browserului și a unor ferestre de tip pop-up frecvente, HijackThis fixează acest element dacă apare în jurnal. Cu toate acestea, din moment ce numai Coolwebsearch face acest lucru, este mai bine să utilizați CWShredder pentru ao remedia.

O20 - AppInit_DLLs Valoarea registrului autorun

Cum arata:
O20 - AppInit_DLL: msconfd.dll

Ce sa fac:
Această valoare a registrului, localizată la HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, încarcă un DLL în memorie atunci când utilizatorul se conectează, după care rămâne în memorie până la deconectare. Foarte puține programe legitime le utilizează (Norton CleanSweep utilizează APITRAP.DLL), cel mai adesea este folosit de troieni sau atacatori de browser agresiv.

În cazul în care încărcarea DLL "ascunsă" din această valoare a Registrului (vizibilă numai atunci când se utilizează opțiunea "Editare date binare" în Regedit), numele dll poate fi prefixat cu o conductă "|" pentru a fi vizibil în jurnal.

O21 - ShellServiceObjectDelayLoad

Cum arata:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Ce sa fac:
Aceasta este o metodă autorun nedocumentată, utilizată în mod normal de câteva componente ale sistemului Windows. Elementele listate la HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad sunt încărcate de către Explorer când Windows pornește. HijackThis utilizează o listă albă a mai multor articole SSODL foarte frecvente, deci ori de câte ori un element este afișat în jurnal, acesta este necunoscut și, eventual, rău intenționat. Trateaza cu mare grija.

O22 - SharedTaskScheduler

Cum arata:
O22 - SharedTaskScheduler: (fără nume) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Ce sa fac:
Acesta este un autorun nedocumentat numai pentru Windows NT / 2000 / XP, care este folosit foarte rar. Până acum, numai CWS.Smartfinder îl folosește. Tratați cu grijă.

O23 - Servicii NT

Cum arata:
O23 - Serviciu: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Ce sa fac:
Aceasta este lista de servicii non-Microsoft. Lista trebuie să fie aceeași cu cea pe care o vedeți în utilitarul Msconfig al Windows XP. Mai mulți atacatori de troieni folosesc un serviciu de gătit în alte companii care se reinstalează. Numele complet este de obicei important, cum ar fi "Serviciul de securizare a rețelei", "Serviciu de conectare la stația de lucru" sau "Remote Call Call Helper", dar numele intern (între paranteze) este un șir de gunoi, cum ar fi "Ort". A doua parte a liniei este proprietarul fișierului la final, așa cum se vede în proprietățile fișierului.

Rețineți că fixarea unui element O23 va opri serviciul și îl va dezactiva. Serviciul trebuie șters din Registru manual sau cu ajutorul altui instrument. În HijackThis 1.99.1 sau o versiune ulterioară, poate fi folosit butonul "Delete NT Service" din secțiunea Misc Tools.