Kuinka analysoida HijackThis-lokit

Tietojen tulkitseminen helpottamaan vakoiluohjelmien ja selaushäiriöiden poistamista

HijackThis on ilmainen työkalu Trend Micro -ohjelmistosta. Alun perin kehitti Merijn Bellekom, Alankomaiden opiskelija. Vakoiluohjelmien poisto-ohjelmat , kuten Adaware tai Spybot S & D, tekevät hyvää työtä useimpien vakoiluohjelmien havaitsemiseen ja poistamiseen, mutta jotkut vakoiluohjelmat ja selaimen kaappaajat ovat liian salamyhkäisiä myös näille erinomaisille anti-spyware-apuohjelmille.

HijackThis on kirjoitettu erityisesti havaitsemaan ja poistamaan selaimen kaappaukset tai ohjelmisto, joka ottaa internetselaimesi, muuttaa oletussivusi ja hakukoneesi ja muut haittaohjelmat. Toisin kuin tyypillinen vakoiluohjelmien torjuntaohjelmisto, HijackThis ei käytä allekirjoituksia eikä kohdista mitään erityisiä ohjelmia tai URL-osoitteita, jotka voidaan tunnistaa ja estää. Pikemminkin HijackThis etsii haittaohjelmien käyttämät temput ja menetelmät, jotka tartuttavat järjestelmääsi ja ohjaavat selaimesi.

Kaikki mitä HijackThis-lokeissa näkyy ei ole huonoja tavaroita, eikä sitä pitäisi poistaa. Itse päinvastoin. On melkein taattu, että jotkut HijackThis-lokistesi kohteet ovat laillisia ohjelmia ja näiden kohteiden poistaminen voi vaikuttaa haitallisesti järjestelmään tai tehdä siitä täysin toimimattomaksi. HijackThis-käyttö on paljon kuin Windowsin rekisterin muokkaaminen itse. Se ei ole raketti tiede, mutta sinun ei todellakaan pitäisi tehdä sitä ilman asiantuntijoiden opastusta, ellei todella tiedä, mitä teet.

Kun olet asentanut HijackThis -ohjelman ja suorittanut sen luomaan lokitiedoston, on olemassa monenlaisia ​​foorumeita ja sivustoja, joilla voit lähettää tai lähettää lokitiedot. Asiantuntijat, jotka tietävät mitä etsiä, voivat sitten auttaa analysoimaan lokitietoja ja neuvomaan, mitkä kohteet poistetaan ja mitkä niistä jätetään yksin.

Voit ladata HijackThis-version nykyisen version osoitteesta Trend Micro: n virallisella sivustolla.

Tässä on yleiskatsaus HijackThis-lokimerkintöihin, joita voit käyttää hypätäksesi etsimäsi tietoihin:

R0, R1, R2, R3 - IE Käynnistä- ja Haku-sivut

Miltä se näyttää:
R0 - HKCU \ Ohjelmisto \ Microsoft \ Internet Explorer \ Pää, Aloita sivu = http://www.google.com/
R1 - HKLM \ Ohjelmisto \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (tätä tyyppiä ei vielä ole HijackThis)
R3 - Default URLSearchHook puuttuu

Mitä tehdä:
Jos tunnistat lopun URL-osoitteen etusivuksi tai hakukoneeksi, se on OK. Jos et, tarkista se ja HijackThis korjaa sen. R3-kohteille, korjaa ne aina, ellei mainita tunnistettavaa ohjelmaa, kuten Copernicia.

F0, F1, F2, F3 - Autolatausohjelmat INI-tiedostoista

Miltä se näyttää:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Mitä tehdä:
F0-kohteet ovat aina huonoja, joten korjaa ne. F1-kohteet ovat yleensä hyvin vanhoja ohjelmia, jotka ovat turvallisia, joten sinun pitäisi löytää lisää tietoa tiedostonimestä, jotta näet, onko se hyvä vai huono. Pacmanin käynnistysluettelo voi auttaa kohteen tunnistamisessa.

N1, N2, N3, N4 - Netscape / Mozilla Käynnistä & amp; Hakusivu

Miltä se näyttää:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Ohjelmatiedostot \ Netscape \ Käyttäjät \ oletus \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ Käyttäjä \ Sovellustiedot \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "moottori: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ Käyttäjä \ Sovellustiedot \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Mitä tehdä:
Netscape- ja Mozilla-kotisivut sekä hakusivu ovat yleensä turvallisia. He harvoin kaapataan, vain Lop.com on tiedossa. Jos näet URL-osoitteen, jota et tunnista kotisivuksi tai hakusivuksi, HijackThis korjaa sen.

O1 - Hostsfile-uudelleenohjaukset

Miltä se näyttää:
O1 - isännät: 216.177.73.139 auto.search.msn.com
O1 - isännät: 216.177.73.139 search.netscape.com
O1 - isännät: 216.177.73.139 ieautosearch
O1 - Hosts-tiedosto sijaitsee C: \ Windows \ Help \ -palvelimissa

Mitä tehdä:
Tämä kaappaus ohjaa osoitteen oikealle vasemmalle IP-osoitteelle. Jos IP ei kuulu osoitteeseen, sinut ohjataan väärään sivustoon aina, kun annat osoitteen. Voit aina korjata HijackThisin, ellet ole tietoisesti laatinut kyseisiä rivejä Hosts-tiedostoon.

Viimeinen kohde esiintyy joskus Windows 2000 / XP: ssä Coolwebsearch-infektiolla. Korjaa tämä kohde aina, tai CWShredder korjaa sen automaattisesti.

O2 - Selainapuhelimen esineet

Miltä se näyttää:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ OHJELMAT FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ei nimeä) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ OHJELMAT \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (tiedosto puuttuu)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ OHJELMISTOSUHTEET \ MEDIALOADS ENHANCED \ ME1.DLL

Mitä tehdä:
Jos et tunnista Selain Helper -objektin nimeä, käytä TonyK: n BHO- ja työkalupalkilistaa etsimällä sen luokan ID: n (CLSID, numero välillä kihara kannakkeet) ja katso onko se hyvä tai huono. BHO-luettelossa "X" tarkoittaa vakoiluohjelmia ja "L" tarkoittaa turvallista.

O3 - IE -työkalurivit

Miltä se näyttää:
O3 - Työkalupalkki: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ OHJELMATILAT \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Työkalupalkki: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ OHJELMAT \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (tiedosto puuttuu)
O3 - Työkalupalkki: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Mitä tehdä:
Jos et tunnista suoraan työkalupalkin nimeä, käytä TonyK: n BHO- ja työkalupalkin luetteloa, kun haluat löytää sen luokan ID: n (CLSID, kiintoisa kannakkeiden välillä) ja nähdä onko se hyvä vai huono. Työkalupalkin luettelossa "X" tarkoittaa vakoiluohjelmia ja "L" tarkoittaa turvallista. Jos se ei ole luettelossa ja nimi näyttää satunnainen merkkijono ja tiedosto on 'Application Data' -kansiossa (kuten edellisissä esimerkeissä), se on luultavasti Lop.com, ja sinulla on varmasti HijackThis-korjaus se.

O4 - Autolatausohjelmat rekisteristä tai käynnistysryhmästä

Miltä se näyttää:
O4 - HKLM \ .. \ Suorita: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Suorita: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Suorita: [ccApp] "C: \ Ohjelmatiedostot \ Yleiset tiedostot \ Symantec Shared \ ccApp.exe"
O4 - Käynnistys: Microsoft Office.lnk = C: \ Ohjelmatiedostot \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Mitä tehdä:
PacManin käynnistysluettelon avulla voit etsiä merkinnän ja nähdä, onko se hyvä vai huono.

Jos kohteessa näkyy Käynnistys-ryhmässä istuva ohjelma (kuten viimeinen edellä oleva kohta), HijackThis ei voi korjata kohdetta, jos tämä ohjelma on vielä muistissa. Voit sulkea prosessin ennen vahvistamista Windows Task Manager (TASKMGR.EXE) avulla.

O5 - IE Valinnat eivät näy Ohjauspaneelissa

Miltä se näyttää:
O5 - control.ini: inetcpl.cpl = ei

Mitä tehdä:
Ellet sinä tai järjestelmänvalvoja ole tietoisesti piilottanut kuvaketta Ohjauspaneelista, korjaa se HijackThis.

O6 - IE Valinnat-käyttöoikeus rajoitettu Ylläpitäjä

Miltä se näyttää:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Rajoitetut rajoitukset

Mitä tehdä:
Ellei sinulla ole Spybot S & D -vaihtoehtoa 'Lock homepage from changes' tai jos järjestelmänvalvoja asensi tämän, HijackThis korjaa tämän.

O7 - Regedit-pääsy rajoittaa järjestelmänvalvoja

Miltä se näyttää:
O7 - HKCU \ Ohjelmisto \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Mitä tehdä:
Aina HijackThis korjaa tämän, ellei järjestelmänvalvoja ole asettanut tätä rajoitusta paikalleen.

O8 - Lisäkappaleet IE: n hiiren kakkospainikkeella

Miltä se näyttää:
O8 - Lisäkontekstivalikko: & Google-haku - res: // C: \ WINDOWS \ LATAADUT OHJELMATTIOHJELMAT \ GOOGLETOOLBAR_FI_1.1.68-DELEON.DLL / cmsearch.html
O8 - Ylimääräinen valikon kohta: Yahoo! Etsi - tiedosto: /// C: \ Ohjelmatiedostot \ Yahoo! \ Common / ycsrch.htm
O8 - Lisää kontekstivalikko: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Lisää kontekstivalikko: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Mitä tehdä:
Jos et tunnista kohteen nimeä IE: n hiiren kakkospainikkeella, HijackThis korjaa sen.

O9 - Lisäpainikkeet IE: n työkalupalkissa tai ylimääräiset kohteet IE & # 39; Työkalut & # 39; valikko

Miltä se näyttää:
O9 - Lisäpainike: Messenger (HKLM)
O9 - Extra 'Työkalut' menuitem: Messenger (HKLM)
O9 - Lisäpainike: AIM (HKLM)

Mitä tehdä:
Jos et tunnista painiketta tai valikkokohtaa, HijackThis korjaa sen.

O10 - Winsockin kaappaajia

Miltä se näyttää:
O10 - Hijacked Internet access by New.Net
O10 - Rikkoutunut Internet-yhteys LSP-palveluntarjoajan takia c: \ progra ~ 1 \ common ~ 2 \ työkalurivi \ cnmib.dll puuttuu
O10 - tuntematon tiedosto Winsockissa LSP: c: \ ohjelmatiedostot \ newton tietää \ vmain.dll

Mitä tehdä:
On parasta korjata nämä käyttämällä LSPFixä Cexx.orgista tai SpoBot S & D: sta Kolla.de: stä.

Huomaa, että HijackThis ei korjaa "tuntemattomia" tiedostoja LSP-pinoon turvallisuussyistä.

O11 - Lisäryhmä IE: ssä Lisäasetukset & # 39; ikkuna

Miltä se näyttää:
O11 - Asetusryhmä: [CommonName] CommonName

Mitä tehdä:
Ainoa kaappaaja, joka on nyt lisännyt oman vaihtoehtoryhmän IE Advanced Options -ikkunaan on CommonName. Joten voit aina HijackThis korjata tämän.

O12 - IE-laajennukset

Miltä se näyttää:
O12 - Plugin for .spop: C: \ Ohjelmatiedostot \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin for .PDF: C: \ Ohjelmatiedostot \ Internet Explorer \ PLUGINS \ nppdf32.dll

Mitä tehdä:
Useimmiten nämä ovat turvallisia. Vain OnFlow lisää plugin täällä, jota et halua (.ofb).

O13 - IE DefaultPrefix hijack

Miltä se näyttää:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW-etuliite: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Etuliite: http://ehttp.cc/?

Mitä tehdä:
Nämä ovat aina huonoja. HijackThis korjaa ne.

O14 - Nollaa Web-asetukset & # 39; kaapata

Miltä se näyttää:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Mitä tehdä:
Jos URL-osoite ei ole tietokoneen tai Internet-palveluntarjoajan tarjoaja, korjaa se HijackThis.

O15 - Luotettuun alueen epätoivottu sivusto

Miltä se näyttää:
O15 - Luotettu alue: http://free.aol.com
O15 - luotettu alue: * .coolwebsearch.com
O15 - luotettu alue: * .msn.com

Mitä tehdä:
Useimmiten vain AOL ja Coolwebsearch lisäävät hiljaisesti sivustoja luotetulle alueelle. Jos et ole lisännyt lueteltua verkkotunnusta luotettuun alueeseen, HijackThis korjaa sen.

O16 - ActiveX-objektit (aka Downloaded Program Files)

Miltä se näyttää:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mitä tehdä:
Jos et tunnista objektin nimeä tai URL-osoitetta, josta se on ladattu, HijackThis korjaa sen. Jos nimessä tai URL-osoitteessa on sanoja kuten "soittaja", "kasino", "free_plugin" jne., Varmista se. Javacoolin SpywareBlasterilla on valtava tietokanta haitallisista ActiveX-objekteista, joita voidaan käyttää CLSID-sovellusten etsimiseen. (Napsauta luettelosta hiiren kakkospainikkeella Etsi-toimintoa.)

O17 - Lop.com-verkkotunnuksen hijacks

Miltä se näyttää:
O17 - HKLM \ System \ CCS \ Palvelut \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Palvelut \ Tcpip \ Parametrit: Domain = W21944.find-quick.com
O17 - HKLM \ Ohjelmisto \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Palvelut \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Palvelut \ Tcpip \ Parametrit: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Palvelut \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Mitä tehdä:
Jos verkkotunnus ei ole Internet-palveluntarjoajaltasi tai yritysverkostosta, HijackThis korjaa sen. Sama koskee "SearchList" -merkintöjä. "NameServer" ( DNS-palvelimet ) merkinnät, Google IP tai IP, ja on helppo nähdä, ovatko ne hyviä tai huonoja.

O18 - Lisäprotokollat ​​ja protokollan kaappaajat

Miltä se näyttää:
O18 - Protokolla: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokolla: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Mitä tehdä:
Vain muutama kaappaajien näkyy täällä. Tunnetut baddies ovat 'cn' (CommonName), 'ayb' (Lop.com) ja 'relatedlinks' (Huntbar), sinun pitäisi olla HijackThis korjata ne. Muita esiin tulleita asioita ei ole vielä vahvistettu turvallisiksi tai kaapattu (eli CLSID on muutettu) vakoiluohjelmilla. Viimeisessä tapauksessa HijackThis korjaa sen.

O19 - Käyttäjäluettelon kaappaaminen

Miltä se näyttää:
O19 - Käyttäjän tyyliarkki: c: \ WINDOWS \ Java \ my.css

Mitä tehdä:
Selaimen hidastumisen ja usein ponnahdusikkunoiden tapauksessa HijackThis korjaa tämän kohteen, jos se näkyy lokissa. Koska vain Coolwebsearch tekee tämän, on parempi käyttää CWShredderia korjaamaan se.

O20 - AppInit_DLLs Rekisterin arvo autorun

Miltä se näyttää:
O20 - AppInit_DLL: msconfd.dll

Mitä tehdä:
Tämä HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windowsin rekisterin arvo lataa DLL: n muistiin, kun käyttäjä kirjautuu sisään, jonka jälkeen se pysyy muistiin, kunnes kirjaudut ulos. Hyvin harvat lailliset ohjelmat käyttävät sitä (Norton CleanSweep käyttää APITRAP.DLL: tä), useimmiten sitä käytetään troijalaisilla tai aggressiivisilla selaimen kaappaajilla.

Jos "piilotettu" DLL-lataus tästä rekisterin arvosta (näkyy vain, kun käytetään Regeditin 'Edit Binary Data' -vaihtoehtoa) dll-nimi voi olla etuliitettävän putken kanssa '|' jotta se näkyy lokissa.

O21 - ShellServiceObjectDelayLoad

Miltä se näyttää:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Mitä tehdä:
Tämä on dokumentoitumaton autorun-menetelmä, jota tavallisesti käyttävät muutamat Windows-järjestelmän komponentit. Explorer käynnistyy Windowsin käynnistyessä HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoadissa luetellut kohteet. HijackThis käyttää useiden hyvin yleisten SSODL-kohteiden sallittua luetteloa, joten aina, kun kohde näkyy lokissa, se on tuntematon ja mahdollisesti haitallinen. Käsittele äärimmäisen varovasti.

O22 - SharedTaskScheduler

Miltä se näyttää:
O22 - SharedTaskScheduler: (ei nimeä) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Mitä tehdä:
Tämä on vain ohjeeton Windows NT / 2000 / XP -tietokanta, jota käytetään hyvin harvoin. Toistaiseksi vain CWS.Smartfinder käyttää sitä. Käsittele varovasti.

O23 - NT-palvelut

Miltä se näyttää:
O23 - Palvelu: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Ohjelmatiedostot \ Kerio \ Personal Firewall \ persfw.exe

Mitä tehdä:
Tämä on muiden kuin Microsoftin palveluiden luettelo. Luettelon on oltava sama kuin Windows XP: n Msconfig-apuohjelmassa. Useat troijalaiset kaappaajat käyttävät kotitekoista palvelua muiden käynnistysten yhteydessä uudelleen asennettaviksi. Täydellinen nimi on yleensä tärkeä, kuten "Network Security Service", "Workstation Logon Service" tai "Remote Procedure Call Helper", mutta sisäinen nimi (suluissa) on merkkijono, kuten "Ort". Rivin toinen osa on tiedoston omistaja, joka näkyy tiedoston ominaisuuksissa.

Huomaa, että O23-kohdan kiinnittäminen lopettaa palvelun ja poistaa sen käytöstä. Palvelu on poistettava rekisteristä käsin tai muulla työkalulla. HijackThis 1.99.1: ssa tai uudemmassa, tähän voidaan käyttää painikkeita "Poista NT Service" Misc Tools -osiossa.