HijackThis jurnali qanday tahlil qilinadi

Spyware va Browser hijackerlarni olib tashlashda yordam berish uchun jurnali ma'lumotlarini talqin qilish

HijackThis trend Micro'dan bepul havola etadi. Dastlab, Gollandiyada talaba bo'lgan Merijn Bellekom tomonidan ishlab chiqilgan. Adaware yoki Spybot S & D kabi josuslarga qarshi dasturlarni olib tashlash dasturi ayg'oqchi dasturlar dasturlarini aniqlash va o'chirishda yaxshi ish qilsa-da, ammo ba'zi josuslarga qarshi dastur va brauzer o'g'rilar ham bu katta josuslarga qarshi dasturlarga nisbatan mantiqsizdir.

HijackThis veb-brauzeringizni egallagan brauzer qochqinlarni aniqlash yoki olib tashlash, asl sahifani va qidiruv tizimini va boshqa zararli narsalarni o'zgartirishi uchun maxsus yoziladi. Odatda josuslarga qarshi dasturiy ta'minotdan farqli o'laroq, HijackThis imzolarni ishlatmaydi yoki aniqlash va bloklash uchun biron-bir maxsus dastur yoki URL-ni aniqlamaydi. Aksincha, HijackThis sistemangizni infektsiyalash va brauzeringizni yo'naltirish uchun zararli dasturlardan foydalangan fokuslar va usullarni qidiradi.

HijackThis jurnallarida ko'rsatiladigan hamma narsa yomon narsadir va u hamma narsadan chetga chiqmasligi kerak. Aslida, aksincha. HijackThis jurnallaridagi ba'zi narsalarning qonuniy dasturiy ta'minot bo'lishi va ushbu elementlarni olib tashlash tizimingizga salbiy ta'sir ko'rsatishi yoki butunlay ishlamay qo'yishi mumkinligi kafolatlanadi. HijackThis foydalanish Windows Registry-ni o'zingiz tahrirlash kabi juda ko'p narsadir. Bu raketa fani emas, lekin, albatta, nima qilayotganingizni bilmasangiz, ba'zi mutaxassis rahbarliksiz buni amalga oshirmasligingiz kerak.

HijackThis-ni o'rnatganingizdan so'ng uni jurnal faylini yaratish uchun ishga tushirgandan so'ng, jurnal ma'lumotlarini joylashtirishingiz yoki yuklashingiz mumkin bo'lgan ko'plab forumlar va saytlar mavjud. Nimalarni o'rganish kerakligini biladigan mutaxassislar keyinchalik siz jurnal ma'lumotlarini tahlil qilishda va qanday narsalarni olib tashlashingiz va qaysi holatlarda yolg'iz qolishni maslahat beradilar.

HijackThisning hozirgi versiyasini yuklab olish uchun, Trend Micro-dagi rasmiy saytga tashrif buyuring.

Quyida HijackThis jurnali yozuvlarini ko'rib chiqamiz: Siz qidirayotgan ma'lumotlarga o'tish uchun foydalanishingiz mumkin:

R0, R1, R2, R3 - IE Boshlash va qidirish sahifalari

Qanday ko'rinadi:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Bosh sahifa = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Bosh sahifa, Default_Page_URL = http://www.google.com/
R2 - (bu turdagi HijackThis hali foydalanilmaydi)
R3 - standart URLSearchHook yo'q

Nima qilish kerak:
Agar siz URL manzilini sizning bosh sahifangiz yoki qidiruv tizimingiz sifatida taniysiz, OK. Agar qilmasangiz, uni tekshiring va HijackThis uni tuzatishi kerak. R3 elementlari uchun Kopernik singari tanishgan dastur haqida gapirilmaguncha ularni har doim tuzating.

F0, F1, F2, F3 - INI fayllaridan Autoloading dasturlari

Qanday ko'rinadi:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: ishlatish = hpfsched

Nima qilish kerak:
F0 elementlari har doim yomon, shuning uchun ularni tuzatish. F1 elementlari odatda juda qadimgi dasturlardir, shuning uchun yaxshi yoki yomon ekanligini bilish uchun fayl nomi haqida qo'shimcha ma'lumotni topishingiz kerak. Pacmanning boshlang'ich ro'yxati biror narsani aniqlashda yordam berishi mumkin.

N1, N2, N3, N4 - Netscape / Mozilla & amp; Qidiruv sahifasi

Qanday ko'rinadi:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "qidiruvi: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Nima qilish kerak:
Odatda Netscape va Mozilla bosh sahifasi va qidiruv sahifasi xavfsizdir. Ular kamdan-kam hollarda o'g'irlab ketishadi, faqatgina Lop.com buni amalga oshirgan. Bosh sahifa yoki qidiruv sahifasi sifatida tan olmaydigan URLni ko'rsangiz, HijackThis uni tuzatishi kerak.

O1 - Hostsfile qayta yo'naltirishlar

Qanday ko'rinadi:
O1 - Xostlar: 216.177.73.139 auto.search.msn.com
O1 - Xostlar: 216.177.73.139 search.netscape.com
O1 - Xostlar: 216.177.73.139 ieautosearch
O1 - Xost fayllari C: \ Windows \ Help \ hosts-da joylashgan

Nima qilish kerak:
Ushbu qochqinxona manzilni IP adresining o'ng tomoniga chapga yo'naltiradi. Agar IP manzilga tegishli bo'lmasa, siz manzilni kiritganingizda siz noto'g'ri saytga yo'naltirilasiz. Siz har doim Hijackga ega bo'lishingiz mumkin, bu sizni xostlar dosyaningizga bilmasdan qo'ymasangiz, ularni tuzatadi.

Oxirgi element ba'zan Windows 2000 / XP da Coolwebsearch infektsiyasiga ega. Bu elementni har doim tuzating yoki CWShredder avtomatik ravishda tuzatadi.

O2 - brauzer yordamchi moslamalari

Qanday ko'rinadi:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (nom yo'q) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAMMALAR FILES \ POPUP PROFILI \ AUTODISPLAY401.DLL (fayl kam)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS BILIMI \ ME1.DLL

Nima qilish kerak:
Agar siz brauzer yordamchi ob'ektining nomini bevosita tanimasangiz, ToniK-ning BHO va asboblar paneli ro'yxatini sinf identifikatori (CLSID, buklangan parantezlar orasidagi raqam) orqali toping va u yaxshi yoki yomon ekanligini tekshiring. BHO ro'yxatida "X" josuslarga qarshi dastur va "L" xavfsizligini bildiradi.

O3 - IE asboblar paneli

Qanday ko'rinadi:
O3 - asboblar paneli: & Yahoo! Yordamchi - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - asboblar paneli: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAMMALAR FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fayl kam)
O3 - asboblar paneli: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Nima qilish kerak:
Agar siz to'g'ridan-to'g'ri asboblar paneli nomini tanimasangiz, ToniK ning BHO va asboblar paneli ro'yxatini sinf identifikatori (CLSID, shingilli qavslar orasidagi raqam) bilan topish va u yaxshi yoki yomon ekanligini tekshirish uchun foydalaning. Avtomobil panellari ro'yxatida "X" josuslarga qarshi dastur va "L" xavfsizligini bildiradi. Ro'yxatda bo'lmasa va nom tasodifiy belgilar majmuasi kabi ko'rinadigan bo'lsa va fayl "Ilova ma'lumoti" papkasida bo'lsa (yuqoridagi misollarda oxirgi marta o'xshash), ehtimol Lop.com va siz aniq Hijack bo'lishi kerak u.

O4 - Ro'yxatga olish yoki Startup guruhidan autoloading dasturlari

Qanday ko'rinadi:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Umumiy Fayllar \ Symantec Shared \ ccApp.exe"
O4 - ishga tushirish: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - global boshlang'ich: winlogon.exe

Nima qilish kerak:
Kirishni topish va u yaxshi yoki yomon ekanligini tekshirish uchun PacManning Bosh ro'yxatini ishlating.

Agar item Startup guruhida o'tirgan dasturni namoyish qilsa (yuqoridagi oxirgi element kabi), HijackThis dastur hali ham xotirada bo'lsa, mahsulotni tuzata olmaydi. Ishga tushirishdan oldin jarayonni yopish uchun Windows Task Manager (TASKMGR.EXE) dan foydalaning.

O5 - IE parametrlari Boshqarish panelida ko'rinmaydi

Qanday ko'rinadi:
O5 - control.ini: inetcpl.cpl = yo'q

Nima qilish kerak:
Siz yoki tizim administratoringiz bilmaslik bilan Belgini Boshqarish panelidan yashirmas ekan, HijackThis uni tuzatishi kerak.

O6 - IE Tanlovlar kirish ma'mur tomonidan cheklangan

Qanday ko'rinadi:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ cheklovlar mavjud

Nima qilish kerak:
Spybot S & D opsiyasi "Bosh sahifani o'zgartirishdan faollashtir" funksiyasi mavjud bo'lmaguncha yoki tizim administratori buni amalga oshirmasa, HijackThis uni tuzatishi kerak.

O7 - Regedit kirish ma'mur tomonidan cheklangan

Qanday ko'rinadi:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Nima qilish kerak:
Har doim HijackBu tizimni boshqaruvchi ushbu cheklovni o'rniga qo'ymas ekan, buni tuzatishi kerak.

O8 - IE ichidagi qo'shimcha ma'lumotlar o'ng chertish menyusida

Qanday ko'rinadi:
O8 - Qo'shimcha kontekst menyusi elementi: & Google Qidiruv - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Qo'shimcha kontekst menyusi elementi: Yahoo! Qidiruv - fayl: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Qo'shimcha kontekst menyusi elementi: Zoom & In-C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Qo'shimcha kontekst menyusi elementi: Kattalashtirish O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Nima qilish kerak:
IE-dagi o'ng tugmani bosish menyusida mahsulot nomini tanimasangiz, HijackThis-ni tuzating.

O9 - Asosiy IE asboblar panelidagi qo'shimcha tugmalar yoki IE & # 39; menyu

Qanday ko'rinadi:
O9 - Qo'shimcha tugma: Messenger (HKLM)
O9 - Qo'shimcha asboblar menyusi: Messenger (HKLM)
O9 - Qo'shimcha tugma: AIM (HKLM)

Nima qilish kerak:
Agar tugmani yoki menyu elementini tanimasangiz, HijackThis-ni tuzating.

O10 - Winsock qochqinlar

Qanday ko'rinadi:
O10 - New.Net tomonidan Internetdan o'g'irlash
O10 - LSP provayderining "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll" etishmayotganligi sababli uzilgan Internetga kirish
O10 - Winsock LSP da noma'lum fayl: c: \ program fayllari \ ntton \ vmain.dll biladi

Nima qilish kerak:
Buni LSPFixni Cexx.org dan yoki Kolla.de dan Spybot S & D-dan foydalanib tuzatish yaxshidir.

"LSP" to'plamidagi "noma'lum" fayllar xavfsizlik muammolari uchun HijackThis tomonidan o'rnatilmaydi.

O11 - IE guruhidagi qo'shimcha guruh "Kengaytirilgan Tanlovlar" & # 39; oyna

Qanday ko'rinadi:
O11 - Tanlovlar guruhi: [CommonName] CommonName

Nima qilish kerak:
IE Kengaytirilgan Tanlovlar oynasiga o'z variantlari guruhini qo'shadigan yagona qotil - CommonName. Shunday qilib, har doim ham HijackThis mumkin tuzatish.

O12 - IE plaginlari

Qanday ko'rinadi:
O12 - Plugin for .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - PDF uchun plagin. C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Nima qilish kerak:
Ko'pincha ular xavfsizdir. Faqat OnFlow siz xohlamagan plaginni qo'shadi (.ofb).

O13 - IE DefaultPrefix qochish

Qanday ko'rinadi:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW prefiksi: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiks: http://ehttp.cc/?

Nima qilish kerak:
Ular har doim yomon. HijackBu ularni tuzatadi.

O14 - "Veb-sozlamalarni tiklash" & # 39; qochib ketish

Qanday ko'rinadi:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Nima qilish kerak:
Agar URL sizning kompyuteringiz yoki ISP provayderi bo'lmasa, HijackThis uni tuzatishi kerak.

O15 - Ishonchli hududdagi kiruvchi saytlar

Qanday ko'rinadi:
O15 - Ishonchli hudud: http://free.aol.com
O15 - Ishonchli hudud: * .coolwebsearch.com
O15 - Ishonchli hudud: * .msn.com

Nima qilish kerak:
Ko'pincha faqat AOL va Coolwebsearch saytlari ishonchli hududga jimgina qo'shiladi. Agar ro'yxatdagi domenni ishonchli hududga o'zingiz kiritmagan bo'lsangiz, HijackThis uni tuzatishi kerak.

O16 - ActiveX obyektlari (aka yuklab olingan dastur fayllari)

Qanday ko'rinadi:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nima qilish kerak:
Ob'ekt nomini yoki uni yuklab olingan URLni tanimasangiz, HijackThis uni tuzatishi kerak. Agar nom yoki URLda "dialer", "casino", "free_plugin" va boshqalar kabi so'zlar mavjud bo'lsa, uni aniqlang. Javacool-ning SpywareBlaster CLSID-larini izlash uchun ishlatilishi mumkin bo'lgan zararli ActiveX moslamalarni katta ma'lumotlar bazasiga ega. (Find funksiyasidan foydalanish uchun ro'yxatni o'ng birini tanlab bosing.)

O17 - Lop.com domenining qochqinlari

Qanday ko'rinadi:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domen = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefoniya: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domen = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Nima qilish kerak:
Domen sizning ISP yoki kompaniyangiz tarmog'ida bo'lmasa, HijackThis uni tuzatishi kerak. Xuddi shu narsa "SearchList" yozuvlari uchun ham amal qiladi. "NameServer" ( DNS serverlari ) yozuvlari uchun Google IP yoki IP uchun va ular yaxshi yoki yomonligini ko'rish oson bo'ladi.

O18 - Qo'shimcha protokollar va protokol qochoqlari

Qanday ko'rinadi:
O18 - Protokol: bog'langan bog'liqlik - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokolni olib tashlash: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Nima qilish kerak:
Bu yerda faqat bir nechta o'g'irlab ketuvchilar bor. Ma'lum baddies "cn" (CommonName), "ayb" (Lop.com) va "bog'langan" (Huntbar), sizda Hijack bo'lishi kerak. Ko'rsatilgan boshqa narsalar, yoki hali tasdiqlanmagan yoki spyware tomonidan o'g'irlab ketilgan (ya'ni CLSID o'zgargan). Oxirgi holatda, HijackThis tuzatishi kerak.

O19 - foydalanuvchi uslubi sahifasini olib tashlash

Qanday ko'rinadi:
O19 - foydalanuvchi uslublar jadvali: c: \ WINDOWS \ Java \ my.css

Nima qilish kerak:
Agar brauzerning sustlashuvi va tez-tez ochilgan popuplar bo'lsa, HijackThis yozuvni ko'rsatsa, ushbu elementni tuzatadi. Biroq, faqat Coolwebsearch bu ishni bajargani uchun CWShredderni uni tuzatish uchun foydalangandir.

O20 - AppInit_DLLs Ro'yxatga olish kitobi qiymatini autorun

Qanday ko'rinadi:
O20 - AppInit_DLLs: msconfd.dll

Nima qilish kerak:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows-da joylashgan bu ro'yxatga olish kitobi qiymati foydalanuvchining xotirasida DLLni xotiraga yuklaydi va undan keyin xotirada saqlanmaguncha xotirada qoladi. Juda kam qonuniy dastur (Norton CleanSweep APITRAP.DLL foydalanadi), ko'pincha troyanlar yoki tajovuzkor brauzer o'g'irlatuvchilar tomonidan ishlatiladi.

DLL nomini "Registry" dagi "yashirin" DLLni yuklashda (faqat "Reginalitda Ikkilik Ma'lumotlarni Tartibga solish" ni ishlatganda paydo bo'ladigan) DLL nomini "|" logda ko'rinadigan qilish uchun.

O21 - ShellServiceObjectDelayLoad

Qanday ko'rinadi:
O21 - SSODL - AUXOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Nima qilish kerak:
Bu odatda bir necha Windows tizimi komponentlari tomonidan foydalaniladigan hujjatsiz autorun usuli. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad da ko'rsatilgan ma'lumotlar Windows boshlaganida Explorer tomonidan yuklanadi. HijackThis bir necha oddiy SSODL elementlarining oq ro'yxatidan foydalanadi, shuning uchun jurnalda biror narsa ko'rsatilsa noma'lum va ehtimol zararli. Ehtiyotkorlik bilan davolash.

O22 - SharedTaskScheduler

Qanday ko'rinadi:
O22 - SharedTaskScheduler: (nom yo'q) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Nima qilish kerak:
Bu juda kam ishlatiladigan Windows NT / 2000 / XP uchun hujjatsiz autorun. Hozircha faqat CWS.Smartfinder uni ishlatadi. Ehtiyot bilan davolang.

O23 - NT xizmatlari

Qanday ko'rinadi:
O23 - Xizmat: Kerio Shaxsiy Faervol (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Shaxsiy Firewall \ persfw.exe

Nima qilish kerak:
Bu Microsoft-ga tegishli bo'lmagan xizmatlarning ro'yxati. Ro'yxat, Windows XP ning Msconfig yordam dasturida ko'rganingiz bilan bir xil bo'lishi kerak. Bir necha troyan o'g'irlatgichlari o'zlarini qayta tiklash uchun boshlang'ichlarga uyda xizmat ko'rsatish xizmatidan foydalanishadi. To'liq ism, odatda, «Tarmoq xavfsizligi xizmati», «Ish stantsiyani tizimga kirish xizmati» yoki «Masofaviy protsedura qidirish yordamchisi» kabi muhimdir, lekin ichki nom (parantezlar orasidagi) "Ort" kabi chiqindilar qatoridir. Chiziqning ikkinchi qismi faylning xususiyatlaridan ko'rinib turganidek oxirida fayl egasi.

O23 elementini aniqlash faqat xizmatni to'xtatadi va uni o'chirib qo'yadi. Xizmatni Registrdan qo'lda yoki boshqa vositadan o'chirish kerak. Buning uchun Hijackda 1.99.1 yoki undan yuqori versiyada "Turli xil vositalar" bo'limidagi "NT xizmatini o'chirish" tugmasi mavjud.