כיצד לנתח

HijackThis הוא כלי ללא תשלום מן Trend Micro. זה פותח במקור על ידי Merijn Bellekom, סטודנט בהולנד. תוכנות להסרת תוכנות ריגול כגון Adaware או Spybot S & D לעשות עבודה טובה של גילוי והסרה של תוכנות ריגול ביותר, אבל כמה תוכנות ריגול וחוטפים הדפדפן הם ערמומיים מדי עבור אפילו אלה כלי עזר גדולים נגד תוכנות ריגול.

HijackThis נכתב במיוחד כדי לזהות ולהסיר חטיפות דפדפן, או תוכנה המשתלטת על דפדפן האינטרנט שלך, משנה את ברירת המחדל של דף הבית שלך ואת מנוע החיפוש ועוד דברים זדוניים. שלא כמו תוכנות אנטי ריגול אופייניות, HijackThis אינו משתמש חתימות או לכוון כל תוכניות ספציפיות או כתובת האתר כדי לזהות ולחסום. במקום זאת, HijackThis מחפש את הטריקים והשיטות המשמשות תוכנות זדוניות להדביק את המערכת שלך ולהפנות את הדפדפן שלך.

לא כל מה שמראה את היומנים HijackThe זה דברים רעים זה לא צריך להיות כל הסיר. למעשה, ההפך הוא הנכון. זה כמעט מובטח כי חלק מהפריטים שלך יומני HijackThis תהיה תוכנה לגיטימית והסרה של פריטים אלה עלולה להשפיע לרעה על המערכת שלך או להפוך אותו לחלוטין לא ניתנת לפעולה. שימוש HijackThis זה הרבה כמו עריכת הרישום Windows עצמך. זה לא מדע טילים, אבל אתה בהחלט לא צריך לעשות את זה בלי הדרכה מומחה כלשהו, ​​אלא אם כן אתה באמת יודע מה אתה עושה.

לאחר התקנת HijackThis ולהפעיל אותו כדי ליצור קובץ יומן, יש מגוון רחב של פורומים ואתרים שבהם אתה יכול לפרסם או להעלות את נתוני היומן שלך. מומחים שיודעים מה לחפש אחר כך יכולים לעזור לך לנתח את נתוני היומן ולייעץ לך אילו פריטים להסיר ואילו מהם לעזוב לבד.

כדי להוריד את הגרסה הנוכחית של HijackThis, תוכל לבקר באתר הרשמי ב- Trend Micro.

הנה סקירה כללית של רשומות היומן של HijackThis שבהן ניתן להשתמש כדי לקפוץ למידע שאתה מחפש:

• R0, R1, R2, R3 - Internet Explorer התחל / חפש בדפי כתובות
• F0, F1 - תוכניות טעינה אוטומטית
• N1, N2, N3, N4 - Netscape / Mozilla התחל / חפש דפי URL
• O1 - מארח הפניה מחדש של קובץ
• O2 - אובייקטים עוזר דפדפן
• O3 - סרגלי כלים של Internet Explorer
• O4 - תוכניות Autoloading מתוך הרישום
• סמל אפשרויות O5 - IE אינו נראה בלוח הבקרה
• O6 - IE אפשרויות גישה מוגבלת על ידי מנהל
• O7 - Regedit גישה מוגבלת על ידי מנהל
• O8 - פריטים נוספים ב- IE לחץ לחיצה ימנית על התפריט
• O9 - לחצנים נוספים בסרגל הכלים הראשי של IE, או פריטים נוספים בתפריט 'כלים' של IE
• O10 - חוטף Winsock
• O11 - קבוצה נוספת בחלון 'אפשרויות מתקדמות' של IE
• O12 - IE תוספים
• O13 - IE DefaultPrefix לחטוף
• O14 - 'אפס את הגדרות האינטרנט'
• O15 - אתר לא רצוי באזור מהימן
• O16 - ActiveX אובייקטים (aka הורדת קבצי התוכנית)
• O17 - Lop.com תחום החוטפים
• O18 - פרוטוקולים נוספים וחוטפי פרוטוקול
• O19 - גליון סגנון משתמש חטיפה
• O20 - Appinit_DLLs ערך הרישום autorun
• O21 - מפתח רישום הרישום
• מפתח הרישום - -
• O23 - שירותי Windows NT

R0, R1, R2, R3 - IE התחלה ודפי חיפוש

כמו מה זה נראה:R0 - HKCU Software Microsoft Internet Explorer Main, Start Page = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (סוג זה אינו בשימוש על ידי HijackThis עדיין)R3 - ברירת המחדל של URLSearchHook חסרה

מה לעשות:אם אתה מזהה את כתובת האתר בסוף כמו דף הבית שלך או מנוע החיפוש, זה בסדר. אם לא, לבדוק את זה יש HijackThis לתקן את זה. עבור הפריטים R3, תמיד לתקן אותם אלא אם כן זה מזכיר תוכנית שאתה מזהה, כמו קופרניק.

F0, F1, F2, F3 - תוכניות טעינה אוטומטית מקובצי INI

כמו מה זה נראה:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: לרוץ = hpfched

מה לעשות:הפריטים F0 הם תמיד רע, אז לתקן אותם. הפריטים F1 הם בדרך כלל תוכניות ישנות מאוד, כי הם בטוחים, אז אתה צריך למצוא קצת מידע נוסף על שם הקובץ כדי לראות אם זה טוב או רע. רשימת ההפעלה של Pacman יכולה לסייע בזיהוי פריט.

N1, N2, N3, N4 - Netscape / Mozilla Start & Search page

כמו מה זה נראה:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "מנוע: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

מה לעשות:בדרך כלל דף הבית של Netscape ו- Mozilla ודף החיפוש בטוחים. הם רק לעתים נדירות לחטוף, רק Lop.com כבר ידוע לעשות את זה. אם אתה רואה כתובת אתר שאינך מזהה כדף הבית או בדף החיפוש שלך, שלח ל- HijackThis תיקון.

O1 - ניתוב מחדש של Hostsfile

כמו מה זה נראה:O1 - מארחים: 216.177.73.139O1 - מארחים: 216.177.73.139O1 - מארחים: 216.177.73.139 ieautosearchO1 - Hosts הקובץ ממוקם ב C: Windows עזרה המארחים

מה לעשות:חטיפה זו תנתב מחדש את הכתובת מימין לכתובת ה- IP שמשמאל.אם ה- IP אינו שייך לכתובת, תנותב מחדש לאתר שגוי בכל פעם שתזין את הכתובת. אתה יכול תמיד לתקן את זה HijackThis, אלא אם אתה ביודעין לשים שורות אלה בקובץ המארחים שלך.

הפריט האחרון מתרחש לפעמים ב- Windows 2000 / XP עם זיהום Coolwebsearch. תמיד לתקן פריט זה, או יש CWShredder לתקן את זה באופן אוטומטי.

O2 - אובייקטים עוזר דפדפן

כמו מה זה נראה:O2 - BHO: Yahoo! לוויה BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: Program Program YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (ללא שם) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: Program Files POPUP ELIMINATOR AUTODISPLAY401.DLL (קובץ חסר)O2 - BHO: MediaLoads משופרים - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: תוכניות קבצים מדידות משופרת ME1.DLL

מה לעשות:אם אינך מזהה ישירות את שם אובייקט עוזר הדפדפן, השתמש ב- BHO & Toolbar List של טוניק כדי למצוא אותו על ידי מזהה המחלקה (CLSID, המספר בין סוגריים מסולסלים) ולראות אם הוא טוב או רע. ברשימה BHO, 'X' פירושו תוכנות ריגול ו- 'L' פירושו בטוח.

O3 - IE סרגלי כלים

כמו מה זה נראה: O3 - סרגל הכלים: & Yahoo! לוויה - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: תוכניות תוכנית יאהו! COMPANION YCOMP5_0_2_4.DLLO3 - סרגל כלים: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: Program Files POPUP ELIMINATOR PETOOLBAR401.DLL (קובץ חסר)O3 - סרגל כלים: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS אפליקציות נתונים CKSTPRLLNQUL.DLL

מה לעשות:אם אינך מזהה ישירות את שם סרגל הכלים, השתמש ב- BHO & Toolbar List של טוניק כדי למצוא אותו על ידי מזהה המחלקה (CLSID, המספר בין סוגריים מסולסלים) ולראות אם הוא טוב או רע. ברשימה 'סרגל הכלים של Google', 'X' פירושו תוכנות ריגול ו- 'L' פירושו בטוח. אם הוא לא מופיע ברשימה והשם נראה מחרוזת אקראית של תווים והקובץ נמצא בתיקייה 'Application Application' (כמו האחרון בדוגמאות לעיל), זה כנראה Lop.com, ואתה בהחלט צריך לתקן את HijackThis זה.

O4 - תוכניות טעינה אוטומטית מקבוצת הרישום או ההפעלה

כמו מה זה נראה:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files קבצים משותפים Symantec Shared ccApp.exe"O4 - הפעלה: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - הפעלה גלובלית: winlogon.exe

מה לעשות:השתמש ברשימת ההפעלה של PacMan כדי למצוא את הערך ולראות אם הוא טוב או רע.

אם הפריט מציג תוכנית היושבת בקבוצת הפעלה (כמו הפריט האחרון לעיל), HijackThis לא יכול לתקן את הפריט אם תוכנית זו עדיין בזיכרון. השתמש במנהל המשימות של Windows (TASKMGR.EXE) כדי לסגור את התהליך לפני תיקון.

O5 - אפשרויות IE אינו נראה בלוח הבקרה

כמו מה זה נראה: O5 - control.ini: inetcpl.cpl = לא

מה לעשות:אלא אם כן אתה או מנהל המערכת שלך יש ביודעין מוסתרים את הסמל מלוח הבקרה, יש HijackThis לתקן את זה.

O6 - IE אפשרויות גישה מוגבלת על ידי מנהל

כמו מה זה נראה:O6 - HKCU תוכנה מדיניות Microsoft Internet Explorer הגבלות קיימות

מה לעשות:אלא אם כן יש לך את האפשרות Sybot S & D 'נעל את הבית מתוך שינויים' פעיל, או מנהל המערכת שלך לשים את זה למקום, יש לתקן את זה HijackThis.

O7 - Regedit גישה מוגבלת על ידי מנהל

כמו מה זה נראה:O7 - HKCU תוכנה Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

מה לעשות:תמיד יש HijackThis לתקן את זה, אלא אם מנהל המערכת שלך יש לשים את ההגבלה למקום.

O8 - פריטים נוספים ב- IE לחץ לחיצה ימנית על התפריט

כמו מה זה נראה: O8 - פריט תפריט הקשר נוסף: & חיפוש של Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - פריט תפריט הקשר נוסף: Yahoo! חיפוש - קובץ: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - פריט תפריט הקשר נוסף: זום & ב - C: WINDOWS WEB zoomin.htmO8 - פריט תפריט הקשר נוסף: זום O & ut - C: WINDOWS WEB zoomout.htm

מה לעשות:אם אינך מזהה את שמו של הפריט בתפריט לחץ באמצעות לחצן העכבר הימני ב- IE, יש לתקן את זה HijackThis.

O9 - לחצנים נוספים בסרגל הכלים הראשי של IE, או פריטים נוספים בתפריט 'כלים' של IE

כמו מה זה נראה: O9 - לחצן נוסף: Messenger (HKLM)O9 - תוספת 'כלים' menuitem: Messenger (HKLM)O9 - לחצן נוסף: AIM (HKLM)

מה לעשות:אם אינך מזהה את שמו של לחצן או פריט תפריט, יש לתקן את זה HijackThis.

O10 - חוטפים Winsock

כמו מה זה נראה: O10 - חטף גישה לאינטרנט על ידי New.NetO10 - גישה לאינטרנט שבור בגלל ספק LSP 'c: progra ~ 1 Common ~ 2 Toolbar cnmib.dll' חסרO10 - קובץ לא ידוע ב- Winsock LSP: c: program files newton יודע vmain.dll

מה לעשות:עדיף לתקן את אלה באמצעות LSPFix מ Cexx.org, או Spybot S & D מ Kolla.de.

שים לב כי קבצים 'לא ידועים' בערימת LSP לא ייקבעו על-ידי HijackThis, עבור בעיות בטיחות.

O11 - קבוצה נוספת בחלון 'אפשרויות מתקדמות' של IE

כמו מה זה נראה: O11 - קבוצת אפשרויות: CommonName CommonName

מה לעשות:החוטף היחיד עד עכשיו מוסיף את קבוצת האפשרויות שלו לחלון אפשרויות מתקדם של IE הוא CommonName. אז אתה תמיד יכול להיות HijackThis לתקן את זה.

O12 - IE תוספים

כמו מה זה נראה: O12 - תוסף עבור .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - תוסף עבור .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

מה לעשות:רוב הזמן הם בטוחים. רק OnFlow מוסיף תוסף כאן כי אתה לא רוצה (.

O13 - IE DefaultPrefix לחטוף

כמו מה זה נראה: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=קידומת O13 - WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. קידומת: http://ehttp.cc/?

מה לעשות:אלה תמיד רע. יש HijackThis לתקן אותם.

O14 - 'אפס את הגדרות האינטרנט'

כמו מה זה נראה: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

מה לעשות:אם כתובת האתר אינה ספק המחשב או ספק שירותי האינטרנט שלך, בקש HijackThis תיקון.

O15 - אתרים לא רצויים באזור מהימן

כמו מה זה נראה: O15 - אזור מהימן: http://free.aol.comO15 - אזור מהימן: *O15 - אזור מהימן: * .msn.com

מה לעשות:רוב הזמן רק AOL ו- Coolwebsearch מוסיפים בשקט אתרים לאזור המהימן. אם לא הוספת את התחום הרשום לאזור האמין בעצמך, בקש HijackThis לתקן אותו.

O16 - ActiveX אובייקטים (aka הורדת קבצי התוכנית)

כמו מה זה נראה: O16 - DPF: Yahoo! צ'אט - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (אובייקט Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

מה לעשות:אם אינך מזהה את שם האובייקט, או את כתובת האתר שהורדת ממנו, יש לתקן את זה HijackThis. אם השם או כתובת האתר מכילים מילים כמו 'חייגן', 'קזינו', 'free_plugin' וכו ', בהחלט לתקן את זה. Javacool של SpywareBlaster יש מסד נתונים עצום של אובייקטים ActiveX זדוניים שניתן להשתמש בהם עבור מחפש CLSIDs. (לחץ לחיצה ימנית על הרשימה כדי להשתמש בפונקציה Find).

O17 - Lop.com תחום חטיפות

כמו מה זה נראה: O17 - HKLM System CCS Services VxD MSTCP: דומיין = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: דומיין = W21944.find-quick.comO17 - HKLM תוכנה .. טלפוניה: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip פרמטרים: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

מה לעשות:אם התחום אינו מספק שירותי האינטרנט או רשת החברה, יש לתקן אותו. כנ"ל לגבי ערכי 'SearchList'. עבור 'NameServer' (שרתי DNS) ערכים, Google עבור IP או IPs וזה יהיה קל לראות אם הם טובים או רעים.

O18 - פרוטוקולים נוספים וחוטפי פרוטוקול

כמו מה זה נראה: O18 - פרוטוקול: linkedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - פרוטוקול: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - פרוטוקול חטיפה: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

מה לעשות:רק כמה חוטפים מגיעים לכאן. הרעים ידועים 'cn' (CommonName), 'ayb' (Lop.com) ו 'relatedlinks' (Huntbar), אתה צריך HijackThis לתקן אותם. דברים אחרים שמופיעים אינם מאושרים עדיין, או שנחטפו (כלומר, ה- CLSID השתנה) על ידי תוכנות ריגול. במקרה האחרון, יש לתקן את זה HijackThis.

O19 - גליון סגנון משתמש חטיפה

כמו מה זה נראה: O19 - גליון סגנונות משתמש: c: WINDOWS Java my.css

מה לעשות:במקרה של האטת דפדפן וחלונות קופצים תכופים, יש HijackThis לתקן את הפריט הזה אם זה מופיע ביומן. עם זאת, מאז רק Coolwebsearch עושה את זה, עדיף להשתמש CWShredder כדי לתקן את זה.

O20 - Appinit_DLLs ערך הרישום autorun

כמו מה זה נראה: O20 - AppInit_DLLs: msconfd.dll

מה לעשות:ערך רישום זה הממוקם ב- HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows טוען DLL לזיכרון כאשר המשתמש נכנס, ולאחר מכן הוא נשאר בזיכרון עד לסימון. מעט מאוד תוכניות לגיטימיות להשתמש בו (Norton CleanSweep משתמש APITRAP.DLL), לרוב זה נעשה שימוש על ידי סוסים טרויאנים או חוטפים הדפדפן agressive.

במקרה של טעינת DLL 'מוסתר' מערך הרישום הזה (גלוי רק בעת שימוש באפשרות 'עריכת נתונים בינאריים' ב- Regedit), שם ה- dll יכול להיות מוקודד בצינור '|' כדי להפוך אותו לגלוי ביומן.

O21 - ShellServiceObjectDelayLoad

כמו מה זה נראה: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

מה לעשות:זוהי שיטה autorun מתועד, המשמש בדרך כלל על ידי כמה רכיבי מערכת של Windows. פריטים הרשומים ב- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad נטענים על-ידי Explorer כאשר Windows מופעל. HijackThis משתמש ברשימה הלבנה של כמה פריטים מאוד נפוצים SSODL, ולכן בכל פעם פריט מוצג ביומן זה לא ידוע ואולי זדוני. לטפל בזהירות רבה.

O22 - משותפים

כמו מה זה נראה: O22 - SharedTaskScheduler: (ללא שם) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

מה לעשות:זהו autorun מתועד עבור Windows NT / 2000 / XP בלבד, אשר משמש לעתים רחוקות מאוד. עד כה רק CWS.Smartfinder משתמש בו. לטפל בזהירות.

שירותי O23 - NT

כמו מה זה נראה: O32 - שירות: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

מה לעשות:זהו הרישום של שירותים שאינם של Microsoft.הרשימה צריכה להיות זהה לזו שתראה בכלי השירות Msconfig של Windows XP. כמה חוטפים טרויאנים להשתמש שירות תוצרת בית ב אדישות לחברות סטארט-אפ אחרות להתקין מחדש את עצמם. השם המלא הוא בדרך כלל חשוב - נשמע כמו 'שירות אבטחת רשת', 'שירות לכניסה לתחנות עבודה' או 'עוזר קריאה לפרוצדורה מרוחקת', אך השם הפנימי (בין סוגריים) הוא מחרוזת אשפה, כגון 'אורט'. החלק השני של הקו הוא הבעלים של הקובץ בסוף, כפי שניתן לראות במאפייני הקובץ.

שים לב כי תיקון פריט O23 רק להפסיק את השירות לבטל את זה. יש למחוק את השירות מהמרשם באופן ידני או באמצעות כלי אחר. ב- HijackThis 1.99.1 ואילך, ניתן להשתמש בלחצן 'Delete NT Service' בסעיף 'כלים שונים' עבור פעולה זו.