Интерпретиране на данните от регистрационните файлове, за да помогнете за премахването на шпионския софтуер и браузърите
HijackThis е безплатен инструмент от Trend Micro. Първоначално бе разработена от Мерижн Белеком, студент в Холандия. Софтуерът за премахване на шпионски софтуер , като Adaware или Spybot S & D, върши добра работа за откриване и премахване на повечето шпионски програми, но някои шпионски програми и браузъри са твърде коварни дори и за тези големи анти-шпионски програми.
HijackThis е написан специално, за да открива и премахва hijacks на браузъра или софтуер, който поема вашия уеб браузър, променя подразбиращата се начална страница и търсачката и други злонамерени неща. За разлика от типичния анти-шпионски софтуер, HijackThis не използва подписи или насочва към конкретни програми или URL адреси за откриване и блокиране. По-скоро, HijackThis търси трикове и методи, използвани от зловреден софтуер за заразяване на вашата система и пренасочване на вашия браузър.
Не всичко, което се показва в регистрационните файлове на HijackThis, е лошо и не трябва да се премахват всички. Всъщност, точно обратното. Почти е гарантирано, че някои от елементите във вашия дневник HijackThis ще бъдат легитимен софтуер и премахването на тези елементи може да повлияе неблагоприятно на вашата система или да го направи напълно неактивен. Използването на HijackThis е много подобно на редактирането на системния регистър на Windows . Това не е ракетна наука, но определено не трябва да го правите без някакви експертни напътствия, освен ако наистина не знаете какво правите.
След като инсталирате HijackThis и го стартирате, за да генерирате лог файл, има голямо разнообразие от форуми и сайтове, където можете да публикувате или да качвате данните от дневника си. Експертите, които знаят какво да търсят, могат да ви помогнат да анализирате данните от дневника и да ви посъветва кои елементи да премахнете и кои да ги оставите сами.
За да изтеглите текущата версия на HijackThis, можете да посетите официалния сайт на Trend Micro.
Ето преглед на записите в дневника HijackThis, които можете да използвате, за да преминете към търсената от Вас информация:
- R0, R1, R2, R3 - URL адреси за стартиране / търсене на Internet Explorer
- F0, F1 - Автоматични програми
- N1, N2, N3, N4 - Netscape / Mozilla Start / Търси URL страници
- O1 - Пренасочване на файлове към хостове
- О2 - Помощник на браузъра
- O3 - ленти с инструменти за Internet Explorer
- O4 - Автоматични програми от регистъра
- O5 - IE опцията IE не се вижда от контролния панел
- О6 - IE Опции за достъп ограничен от администратор
- O7 - Редактиран достъп, ограничен от администратора
- O8 - Допълнителни елементи в IE менюто с десния бутон на мишката
- O9 - Допълнителни бутони на главната лента с инструменти на бутон IE или допълнителни елементи в менюто на IE 'Инструменти'
- O10 - Убийкър от Уинслок
- O11 - Допълнителна група в прозореца IE "Разширени опции"
- O12 - IE плъгини
- O13 - IE по подразбиране
- O14 - "Изчистване на уеб настройките" отвличане
- O15 - Нежелан сайт в надеждна зона
- О16 - ActiveX обекти (известни още като "Изтеглени програмни файлове")
- O17 - Отвличане на домейни от Lop.com
- O18 - Допълнителни протоколи и отвличащи протоколи протоколи
- O19 - Отвличане на стил на потребителски лист
- O20 - AppInit_DLLs стойност на регистъра
- O21 - ShellServiceObjectDelayLoad регистрационен ключ
- O22 - SharedTaskScheduler регистрационен ключ
- O23 - Услуги на Windows NT
R0, R1, R2, R3 - страници за стартиране и търсене в IE
Как изглежда:
R0 - HKCU \ Софтуер \ Microsoft \ Internet Explorer \ Main, начална страница = http://www.google.com/
R1 - HKLM \ Софтуер \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (този тип все още не е използван от HijackThis)
R3 - По подразбиране URLSearchHook липсва
Какво да правя:
Ако разпознавате URL адреса в края като начална или търсачка, това е ОК. Ако не го направите, проверете го и го отстранете. За елементите на R3 винаги ги коригирайте, освен ако не споменава програма, която познавате, като Коперник.
F0, F1, F2, F3 - Автоматични програми от INI файлове
Как изглежда:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Какво да правя:
Елементите F0 винаги са лоши, така че ги коригирайте. Елементите на F1 обикновено са много стари програми, които са безопасни, така че трябва да намерите още информация за името на файла, за да видите дали е добра или лоша. Списъкът за стартиране на Pacman може да ви помогне при идентифицирането на елемент.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Търсене в страницата
Как изглежда:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Програмни файлове \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Документи и настройки \ Потребител \ Данни на приложения \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Документи и настройки \ Потребител \ Данни на приложения \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Какво да правя:
Обикновено началната страница на Netscape и Mozilla и страницата за търсене са безопасни. Те рядко се отвличат, само Lop.com е известно, че правят това. Ако видите URL адрес, който не разпознавате като начална страница или страница за търсене, HijackThis го поправя.
O1 - Пренасочвания към хост файловете
Как изглежда:
O1 - Хостове: 216.177.73.139 auto.search.msn.com
O1 - Хостове: 216.177.73.139 search.netscape.com
O1 - Хостове: 216.177.73.139 ieautosearch
O1 - файлът Hosts се намира на C: \ Windows \ Help \ hosts
Какво да правя:
Това отвличане ще пренасочи адреса вдясно към IP адреса вляво. Ако IP адресът не принадлежи на адреса, ще бъдете пренасочени към грешен сайт всеки път, когато въведете адреса. Винаги можете да имате HijackThis да ги поправите, освен ако съзнателно не сте поставили тези линии във файла Хостове.
Последният елемент понякога се появява на Windows 2000 / XP с инфекция с Coolwebsearch. Винаги поправяйте този елемент или го ремонтирайте автоматично.
О2 - Помощник на браузъра
Как изглежда:
O2 - BHO: Yahoo! Придружител BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ ПРОГРАМНИ ФАЙЛИ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (без име) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ ПРОГРАМНИ ФАЙЛИ \ POPUP ЕЛИМИНАТОР \ AUTODISPLAY401.DLL (липсва файл)
O2 - BHO: Подобрени медийни подобрения - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ ПРОГРАМНИ ФАЙЛОВЕ \ ПОВИШАВАЩИ MEDIALOADS \ ME1.DLL
Какво да правя:
Ако не разпознаете пряко името на помощника на браузъра, използвайте списъка на BHO и лентата с инструменти на TonyK, за да го намерите по идентификатора на класа (CLSID, номерът между скосените скоби) и да видите дали е добър или лош. В списъка BHO, "X" означава шпионски софтуер и "L" означава безопасно.
O3 - IE ленти с инструменти
Как изглежда:
O3 - Toolbar: & Yahoo! Придружител - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ ПРОГРАМНИ ФАЙЛИ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Изскачащ елиминатор - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ ПРОГРАМНИ ФАЙЛИ \ POPUP ЕЛИМИНАТОР \ PETOOLBAR401.DLL
О3 - лентата с инструменти: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Какво да правя:
Ако не разпознавате пряко името на лентата с инструменти, използвайте списъка на BHO и лентата с инструменти на TonyK, за да я намерите по ID на класа (CLSID, числото между скосените скоби) и да видите дали е добро или лошо. В списъка с ленти с инструменти "X" означава шпионски софтуер и "L" означава безопасно. Ако не е в списъка и името изглежда случайно низ от знаци и файлът е в папката "Данни за приложението" (като последния в примерите по-горе), това вероятно е Lop.com и определено би трябвало HijackThis да фиксира то.
O4 - Автоматични програми от Registry или Startup group
Как изглежда:
O4 - HKLM \ .. \ Изпълнение: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Изпълнение: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Изпълнение: [ccApp] "C: \ Program Files \ Общи файлове \ Symantec Shared \ ccApp.exe"
O4 - Стартиране: Microsoft Office.lnk = C: \ Програмни файлове \ Microsoft Office \ Office \ OSA9.EXE
O4 - Глобално стартиране: winlogon.exe
Какво да правя:
Използвайте списъка за стартиране на PacMan, за да намерите записа и да видите дали е добър или лош.
Ако елементът показва програма, която се намира в стартова група (като последния елемент по-горе), HijackThis не може да поправи елемента, ако тази програма все още е в паметта. Използвайте мениджъра на задачите на Windows (TASKMGR.EXE), за да затворите процеса, преди да го фиксирате.
O5 - IE Опции, които не се виждат от контролния панел
Как изглежда:
O5 - control.ini: inetcpl.cpl = не
Какво да правя:
Освен ако вие или вашия системен администратор съзнателно скрихте иконата от контролния панел, HijackThis го поправя.
О6 - IE Опции за достъп ограничен от администратор
Как изглежда:
О6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Ограничения присъстващи
Какво да правя:
Освен ако нямате опцията Spybot S & D "активна страница" Заключване от промените "или системният ви администратор е въвел това, HijackThis го поправя.
O7 - Редактиран достъп, ограничен от администратора
Как изглежда:
O7 - HKCU \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система, DisableRegedit = 1
Какво да правя:
Винаги имайте HijackThis поправете това, освен ако системният ви администратор не е приложил това ограничение.
O8 - Допълнителни елементи в IE менюто с десния бутон на мишката
Как изглежда:
O8 - Елемент от допълнителното контекстно меню: & Търсене в Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_BG_1.1.68-DELEON.DLL / cmsearch.html
О8 - Допълнителен елемент от контекстното меню: Yahoo! Търсене - файл: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
О8 - Допълнителен елемент от контекстното меню: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
О8 - Допълнителен елемент от контекстното меню: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Какво да правя:
Ако не разпознавате името на елемента в менюто с десния бутон на мишката в IE, HijackThis го фиксирайте.
O9 - Допълнителни бутони на главната лента с инструменти на IE или допълнителни елементи в IE "Инструменти" меню
Как изглежда:
O9 - Бутон "Допълнителен бутон": Messenger (HKLM)
O9 - Допълнително "Инструменти" menuitem: Messenger (HKLM)
O9 - бутон Extra: AIM (HKLM)
Какво да правя:
Ако не разпознавате името на бутона или елемента от менюто, HijackThis го поправя.
О10 - Уийшок похитители
Как изглежда:
O10 - Увлечен достъп до интернет от New.Net
O10 - Повреден достъп до интернет поради липсващия доставчик на LSP "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll"
O10 - Неизвестен файл в Winsock LSP: c: \ program files \ newton знае \ vmain.dll
Какво да правя:
Най-добре е да ги коригирате с помощта на LSPFix от Cexx.org или Spybot S & D от Kolla.de.
Имайте предвид, че "неизвестните" файлове в LSP стека няма да бъдат фиксирани от HijackThis, за проблеми с безопасността.
O11 - Допълнителна група в разширените опции за IE & # 39; прозорец
Как изглежда:
O11 - Група с опции: [CommonName] CommonName
Какво да правя:
Единственият похитител от момента, в който добавя собствената си група опции към прозореца Разширени опции за IE, е CommonName. Така че винаги можете да имате HijackThis фиксирайте това.
O12 - IE плъгини
Как изглежда:
O12 - Плъгин за .spop: C: \ Програмни файлове \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Плъгин за .PDF: C: \ Програмни файлове \ Internet Explorer \ PLUGINS \ nppdf32.dll
Какво да правя:
Повечето от тях са безопасни. Само OnFlow добавя плъгин тук, който не искате (.ofb).
O13 - IE по подразбиране
Как изглежда:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW префикс: http://prolivation.com/cgi-bin/r.cgi?
О13 - WWW. Префикс: http://ehttp.cc/?
Какво да правя:
Те винаги са лоши. Имате HijackThis ги поправя.
O14 - "Нулиране на уеб настройките" отвличане
Как изглежда:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Какво да правя:
Ако URL адресът не е доставчик на вашия компютър или вашия ISP, HijackThis го поправя.
O15 - Нежелани сайтове в надеждна зона
Как изглежда:
O15 - доверена зона: http://free.aol.com
O15 - доверена зона: * .coolwebsearch.com
O15 - доверена зона: * .msn.com
Какво да правя:
По-голямата част от времето само AOL и Coolwebsearch безшумно добавят сайтове към доверената зона. Ако не сте добавили избрания домейн към доверената зона сами, HijackThis го фиксирайте.
О16 - ActiveX обекти (известни още като "Изтеглени програмни файлове")
Как изглежда:
O16 - DPF: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash обект) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Какво да правя:
Ако не разпознаете името на обекта или URL адреса, от който е изтеглен, HijackThis го поправя. Ако името или URLът съдържа думи като "dialer", "casino", "free_plugin" и т.н., определено го оправяйте. SpywareBlaster на Javacool има огромна база от данни за злонамерени обекти на ActiveX, които могат да се използват за търсене на CLSID. (Щракнете с десния бутон върху списъка, за да използвате функцията Find.)
O17 - отвличане на домейни от Lop.com
Как изглежда:
O17 - HKLM \ Система \ CCS \ Услуги \ VxD \ MSTCP: Домейн = aoldsl.net
O17 - HKLM \ Система \ CCS \ Услуги \ Tcpip \ Параметри: Домейн = W21944.find-quick.com
O17 - HKLM \ Софтуер \ .. \ Телефония: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Домейн = W21944.find-quick.com
O17 - HKLM \ Система \ CS1 \ Услуги \ Tcpip \ Параметри: SearchList = gla.ac.uk
O17 - HKLM \ Система \ CS1 \ Услуги \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Какво да правя:
Ако домейнът не е от вашия ISP или фирмена мрежа, HijackThis го поправя. Същото важи и за записите в "SearchList". За записите "NameServer" ( DNS сървъри ), Google за IP или IP и ще бъде лесно да се види дали са добри или лоши.
O18 - Допълнителни протоколи и отвличащи протоколи протоколи
Как изглежда:
O18 - Протокол: свързани връзки - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Протокол отвличане: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Какво да правя:
Тук се появяват само няколко похитители. Известните лоши са "cn" (CommonName), "ayb" (Lop.com) и "relatedlinks" (Huntbar), трябва да имате HijackThis да ги поправите. Други неща, които се появяват или не са потвърдени или са отвлечени (т.е. CLSID са променени) от шпионски софтуер. В последния случай HijackThis го поправя.
O19 - Отвличане на стил на потребителски лист
Как изглежда:
O19 - Стил на потребителя: c: \ WINDOWS \ Java \ my.css
Какво да правя:
В случай на забавяне на браузъра и често изскачащи прозорци, HijackThis определя този елемент, ако се появи в дневника. Въпреки това, тъй като само Coolwebsearch прави това, по-добре е да използвате CWShredder, за да го коригирате.
O20 - AppInit_DLLs стойност на регистъра
Как изглежда:
O20 - AppInit_DLL: msconfd.dll
Какво да правя:
Тази стойност на системния регистър, намираща се в HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, зарежда DLL в паметта, когато потребителят се регистрира, след което остава в паметта до отпадане. Много малко легитимни програми го използват (Norton CleanSweep използва APITRAP.DLL), най-често се използва от троянци или агресивни браузери.
В случай на "скрито" зареждане на DLL от тази стойност на регистъра (видима само при използване на опцията "Редактиране на бинарни данни" в Regedit), името на DLL може да бъде с префикс "|" за да се види в дневника.
O21 - ShellServiceObjectDelayLoad
Как изглежда:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Какво да правя:
Това е неправомерен автоматичен метод, обикновено използван от няколко компонента на Windows. Елементите, изброени в HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad, се зареждат от Explorer при стартиране на Windows. HijackThis използва бял списък от няколко много често срещани SSODL елемента, така че винаги, когато даден елемент се показва в дневника, той е неизвестен и вероятно злонамерен. Лекувайте с изключителна грижа.
O22 - SharedTaskScheduler
Как изглежда:
O22 - SharedTaskScheduler: (без име) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Какво да правя:
Това е без документи, само за Windows NT / 2000 / XP, което се използва много рядко. Досега само CWS.Smartfinder го използва. Отнасяйте се внимателно.
O23 - Услуги на NT
Как изглежда:
O23 - Услуга: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Програмни файлове \ Kerio \ Personal Firewall \ persfw.exe
Какво да правя:
Това е списък на услуги, които не са на Microsoft. Списъкът трябва да бъде същият като този, който виждате в помощната програма Msconfig на Windows XP. Няколко от троянски похитителите използват домашна услуга в добавка към други стартиращи фирми, за да се инсталират отново. Пълното име обикновено е важно, като "услуга за мрежова сигурност", "услуга за влизане в работната станция" или "помощник за отдалечено обработка на повиквания", но вътрешното име (между скоби) е низ от отпадъци, като "Ort". Втората част на линията е собственикът на файла в края, както се вижда от собствеността на файла.
Обърнете внимание, че фиксирането на елемент O23 спира услугата и я деактивира. Услугата трябва да бъде изтрита от регистъра ръчно или с друг инструмент. В HijackThis 1.99.1 или по-нова версия може да се използва бутонът "Delete NT Service" в секцията Misc Tools.