Hoe om die hijackThis Logs te analiseer

Vertolking van log data om te help verwyder Spyware en Browser Hijackers

HijackThis is 'n gratis hulpmiddel van Trend Micro. Dit is oorspronklik ontwikkel deur Merijn Bellekom, 'n student in Nederland. Spyware verwyder sagteware soos Adaware of Spybot S & D doen 'n goeie werk om die meeste spyware programme op te spoor en te verwyder, maar sommige spyware en blaaier kapers is te verraderlik vir selfs hierdie groot anti-spyware utilities.

HijackThis is spesifiek geskryf om blaaierkapasies op te spoor en te verwyder, of sagteware wat jou webblaaier oorneem, verander jou verstek tuisblad en soekenjin en ander kwaadwillige dinge. In teenstelling met tipiese anti-spyware sagteware, gebruik HijackThis nie handtekeninge of teiken enige spesifieke programme of URL's om op te spoor en te blokkeer nie. In plaas daarvan, HijackThis soek na die truuks en metodes wat deur malware gebruik word om jou stelsel te besmet en jou blaaier te herlei.

Nie alles wat in die HijackThis logs verskyn, is slegte dinge en dit moet nie almal verwyder word nie. Trouens, die teenoorgestelde. Dit is byna gewaarborg dat sommige van die items in jou HijackThis-logboeke wettige sagteware sal wees en die verwydering van die items kan jou stelsel nadelig beïnvloed of dit heeltemal onbruikbaar maak. Die gebruik van HijackThis is baie soos om die Windows-register self te redigeer. Dit is nie vuurpylwetenskap nie, maar jy moet dit beslis nie sonder 'n deskundige leiding doen nie, tensy jy regtig weet wat jy doen.

Sodra jy HijackThis geïnstalleer het en dit hardloop om 'n logbestand te genereer, is daar 'n wye verskeidenheid forums en webwerwe waar jy jou log data kan plaas of oplaai. Kenners wat weet wat om te soek, kan u dan help om die log data te analiseer en u te adviseer oor watter items om te verwyder en watter een moet verlaat.

Om die huidige weergawe van HijackThis te laai, kan u die amptelike webwerf by Trend Micro besoek.

Hier is 'n oorsig van die HijackThis log inskrywings wat u kan gebruik om te spring na die inligting wat u soek:

R0, R1, R2, R3 - IE Begin en soek bladsye

Hoe lyk dit:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (hierdie tipe word nog nie deur HijackThis gebruik nie)
R3 - Default URLSearchHook is ontbreek

Wat om te doen:
As jy die URL aan die einde as jou tuisblad of soekenjin herken, is dit reg. As jy dit nie doen nie, kyk dit en haack dit regmaak. Vir die R3-items moet dit altyd reggemaak word, tensy dit 'n program noem wat jy herken, soos Copernic.

F0, F1, F2, F3 - Outoloading programme van INI lêers

Hoe lyk dit:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Wat om te doen:
Die F0-items is altyd sleg, so maak dit reg. Die F1-items is gewoonlik baie ou programme wat veilig is, dus jy moet meer inligting oor die lêernaam kry om te sien of dit goed of sleg is. Pacman se opstartlys kan help met die identifisering van 'n item.

N1, N2, N3, N4 - Netscape / Mozilla Begin & amp; Soekblad

Hoe lyk dit:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumente en instellings \ Gebruiker \ Toepassingsdata \ Mozilla \ Profiele \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files% 5CNetscape%206%5Csearchplugins% 5CSBWeb_02.src"); (C: \ Dokumente en instellings \ Gebruiker \ Toepassingsdata \ Mozilla \ Profiele \ defaulto9t1tfl.slt \ prefs.js)

Wat om te doen:
Gewoonlik is die Netscape- en Mozilla-tuisblad en soekbladsy veilig. Hulle word selde gekaap, net Lop.com is bekend om dit te doen. As jy 'n URL sien wat jy nie as jou tuisblad of soekbladsy herken nie, het HijackThis dit reggemaak.

O1 - Hostfile redirections

Hoe lyk dit:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts lêer is geleë in C: \ Windows \ Help \ hosts

Wat om te doen:
Hierdie kaping sal die adres regs wysig na die IP-adres aan die linkerkant. As die IP nie aan die adres behoort nie, sal u na 'n verkeerde webwerf herlei word elke keer as u die adres betree. U kan dit altyd altyd hê, tensy u daardie lyne in u gasheerlêer insiggewend stel.

Die laaste item vind soms plaas op Windows 2000 / XP met 'n Coolwebsearch-infeksie. Maak altyd hierdie item reg, of laat CWShredder dit outomaties herstel.

O2 - Browser Helper Objects

Hoe lyk dit:
O2 - BHO: Yahoo! Metgesel BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAMFILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (geen naam) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAMFILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (lêer ontbreek)
O2 - BHO: MediaLoads Verbeterde - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAMFILES \ MEDIALOADS ENHANCED \ ME1.DLL

Wat om te doen:
As jy nie 'n naam van die Browser Helper Object herken nie, gebruik TonyK se BHO- en Toolbar List om dit te vind deur die klas ID (CLSID, die getal tussen krullerige hakies) en kyk of dit goed of sleg is. In die BHO-lys beteken 'X' spyware en 'L' beteken veilig.

O3 - IE werkbalke

Hoe lyk dit:
O3 - Toolbar: & Yahoo! Metgesel - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAMFILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAMFILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (lêer ontbreek)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Wat om te doen:
As u nie die naam van 'n nutsbalk direk herken nie, gebruik TonyK se BHO & Toolbar List om dit te vind deur die klas ID (CLSID, die getal tussen krullerige hakies) en kyk of dit goed of sleg is. In die nutsbalklys beteken 'X' spyware en 'L' beteken veilig. As dit nie op die lys is nie, en die naam lyk as 'n ewekansige reeks karakters en die lêer is in die gids 'Toepassingsdata' (soos die laaste een in die voorbeelde hierbo), is dit waarskynlik Lop.com. Dit.

O4 - Outoloading programme van Register of Startup groep

Hoe lyk dit:
O4 - HKLM \ .. \ Run: [Scan Registry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Opstart: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Wat om te doen:
Gebruik PacMan se opstartlys om die inskrywing te vind en kyk of dit goed of sleg is.

As die item 'n program vertoon in 'n opstartgroep (soos die laaste item hierbo), kan HijackThis die item nie herstel as hierdie program nog in die geheue is nie. Gebruik die Windows Task Manager (TASKMGR.EXE) om die proses te sluit voordat dit vasgemaak word.

O5 - IE Opsies nie sigbaar in die Configuratiescherm

Hoe lyk dit:
O5 - control.ini: inetcpl.cpl = no

Wat om te doen:
Tensy u of u stelseladministrateur die ikoon bewus van die Configuratiespaneel versteek het, moet HijackThis regmaak.

O6 - IE Opsies toegang beperk deur Administrateur

Hoe lyk dit:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Beperkings teenwoordig

Wat om te doen:
Tensy jy die Spybot S & D-opsie 'Tuisblokkie van veranderinge' aktief het, of as jou stelseladministrateur dit in plek gestel het, sal HijackThis dit regmaak.

O7 - Regedit toegang beperk deur Administrateur

Hoe lyk dit:
O7 - HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies \ System, DisableRegedit = 1

Wat om te doen:
Altyd het HijackThis reggemaak, tensy u stelseladministrateur hierdie beperking in plek gestel het.

O8 - Ekstra items in die IE regsklik-kieslys

Hoe lyk dit:
O8 - Ekstra konteks menu item: & Google Search - res: / / C: \ WINDOWS \ DOWNLOAD PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Ekstra konteks menu item: Yahoo! Soek - lêer: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Ekstra konteks kieslys item: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Ekstra konteks kieslys item: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Wat om te doen:
As jy die naam van die item nie herken in die regs-kieslys in IE nie, moet HijackThis regmaak.

O9 - Ekstra knoppies op die hoof IE-nutsbalk, of ekstra items in IE & Tools; spyskaart

Hoe lyk dit:
O9 - Ekstra knoppie: Messenger (HKLM)
O9 - Extra 'Tools' menu item: Messenger (HKLM)
O9 - Ekstra knoppie: AIM (HKLM)

Wat om te doen:
As jy nie die naam van die knoppie of kieslysitem herken nie, moet hyack dit regmaak.

O10 - Winsock kapers

Hoe lyk dit:
O10 - Kapotte toegang tot internet deur New.Net
O10 - Gebreekte toegang tot internet as gevolg van LSP-verskaffer 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' missing
O10 - Onbekende lêer in Winsock LSP: c: \ program files \ newton knows \ vmain.dll

Wat om te doen:
Dit is die beste om dit reg te stel met behulp van LSPFix van Cexx.org, of Spybot S & D van Kolla.de.

Let daarop dat 'onbekende' lêers in die LSP-stapel nie deur HijackThis vasgestel sal word vir veiligheidskwessies nie.

O11 - Ekstra groep in IE & # 39; Gevorderde Opsies & # 39; venster

Hoe lyk dit:
O11 - Opsies groep: [CommonName] CommonName

Wat om te doen:
Die enigste kaper wat vanaf nou sy eie opsiegroep by die IE Advanced Options-venster voeg, is CommonName. So jy kan altyd het HijackThis regmaak dit.

O12 - IE plugins

Hoe lyk dit:
O12 - Inprop vir. Spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Inprop vir .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Wat om te doen:
Die meeste van die tyd is dit veilig. Slegs Onflow voeg hier 'n invoegtoepassing toe wat jy nie wil hê nie (.ofb).

O13 - IE DefaultPrefix kaping

Hoe lyk dit:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Voorvoegsel: http://ehttp.cc/?

Wat om te doen:
Dit is altyd sleg. Laat hijackThis regmaak.

O14 - & # 39; Webinstellings herstel & # 39; kaping

Hoe lyk dit:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Wat om te doen:
As die URL nie die verskaffer van u rekenaar of u ISP is nie, moet HijackThis regmaak.

O15 - Ongewenste webwerwe in Trusted Zone

Hoe lyk dit:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com

Wat om te doen:
Die meeste van die tyd voeg slegs AOL en Coolwebsearch sites by die Trusted Zone. As jy nie die genoteerde domein self by die vertroude sone gevoeg het nie, het HijackThis reggemaak.

O16 - ActiveX-voorwerpe (ook afgelaaide programlêers)

Hoe lyk dit:
O16 - DPF: Yahoo! Klets - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Wat om te doen:
As jy nie die naam van die voorwerp herken nie, of die URL waarna dit afgelaai is, het HijackThis dit reggemaak. As die naam of URL woorde bevat soos 'dialer', 'casino', 'free_plugin' ens., Moet dit beslis reggemaak word. Javacool se SpywareBlaster het 'n groot databasis van kwaadwillige ActiveX-voorwerpe wat gebruik kan word om CLSIDs op te soek. (Klik met die rechtermuisknop op die lys om die funksie Soek te gebruik.)

O17 - Lop.com domein kapings

Hoe lyk dit:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domein = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domein = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonie: Domeinnaam = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: Name Server = 69.57.146.14,69.57.147.175

Wat om te doen:
As die domein nie van jou ISP of maatskappy netwerk afkomstig is nie, moet HijackThis regmaak. Dieselfde geld vir die 'Soeklys'-inskrywings. Vir die 'Name Server' ( DNS-bedieners ) inskrywings, Google vir die IP of IPs en dit sal maklik wees om te sien of dit goed of sleg is.

O18 - Ekstra protokolle en protokol kapers

Hoe lyk dit:
O18 - Protocol: verwante skakels - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol kaping: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Wat om te doen:
Net 'n paar kapers verskyn hier. Die bekende slegte dinge is 'cn' (CommonName), 'ayb' (Lop.com) en 'relatedlinks' (Huntbar). Jy moet hê dat HijackThis regmaak. Ander dinge wat vertoon word, is óf nie veilig gekontroleer nie, óf gekaap (dws die CLSID is verander) deur spyware. In die laaste geval het HijackThis dit reggemaak.

O19 - User style sheet hijack

Hoe lyk dit:
O19 - Gebruikerstylvel: c: \ WINDOWS \ Java \ my.css

Wat om te doen:
In die geval van 'n blaaier verlangsaming en gereelde pop-ups, het HijackThis hierdie item reggemaak as dit in die log verskyn. Aangesien net Coolwebsearch dit doen, is dit beter om CWShredder te gebruik om dit reg te stel.

O20 - AppInit_DLLs Register waarde autorun

Hoe lyk dit:
O20 - AppInit_DLLs: msconfd.dll

Wat om te doen:
Hierdie register waarde in HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows laai 'n DLL in die geheue wanneer die gebruiker inteken, waarna dit in die geheue bly totdat dit afgeskakel word. Baie min wettige programme gebruik dit (Norton CleanSweep gebruik APITRAP.DLL), meestal word dit deur trojans of aggressiewe blaaierkapers gebruik.

In die geval van 'n 'verborge' DLL-laai van hierdie registerwaarde (slegs sigbaar wanneer die opsie 'Verander binêre data' in Regedit gebruik word), kan die dll-naam vooraf met 'n pyp '|' om dit sigbaar te maak in die logboek.

O21 - ShellServiceObjectDelayLoad

Hoe lyk dit:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Wat om te doen:
Dit is 'n ongedokumenteerde autorun-metode wat gewoonlik deur 'n paar Windows-stelselkomponente gebruik word. Items gelys by HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad word gelaai deur Explorer wanneer Windows begin. HijackThis gebruik 'n witlys van verskeie baie algemene SSODL-items, dus wanneer 'n item in die log vertoon word, is dit onbekend en moontlik kwaadwillig. Behandel met uiterste sorg.

O22 - SharedTaskScheduler

Hoe lyk dit:
O22 - SharedTaskScheduler: (geen naam) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Wat om te doen:
Dit is 'n ongedokumenteerde outeur vir Windows NT / 2000 / XP, wat baie selde gebruik word. Tot dusver gebruik slegs CWS.Smartfinder dit. Wees versigtig.

O23 - NT Services

Hoe lyk dit:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Wat om te doen:
Dit is die lys van nie-Microsoft-dienste. Die lys moet dieselfde wees as die een wat u sien in die Msconfig-program van Windows XP. Verskeie trojaanse kapers gebruik 'n tuisgemaakte diens in teenstelling met ander opstart om hulself weer te installeer. Die volle naam is gewoonlik belangrik, soos 'Network Security Service', 'Workstation Logon Service' of 'Remote Procedure Call Helper', maar die interne naam (tussen hakies) is 'n tou wat soos 'Ort'. Die tweede deel van die reël is die eienaar van die lêer aan die einde, soos gesien in die eienskappe van die lêer.

Let daarop dat die bevestiging van 'n O23-item net die diens sal stop en dit deaktiveer. Die diens moet uit die Register verwyder word met die hand of met 'n ander instrument. In HijackThis 1.99.1 of hoër, kan die knoppie 'Delete NT Service' in die afdeling Misc Tools hier gebruik word.

Alike posts

Hoe om jou IP-sekuriteitskameras na die wolk te rugsteun

Web & Soek

Konfigurasie instellings vir Windows Vista gebruikersaccount instel

Web & Soek

Waar pas EFS jou veiligheidsplan in?

Web & Soek

Stamboom Nou: 'n Gratis en Kontroversiële Persone

Web & Soek

Wat is 'n Road Apple Social Engineering Attack?

Web & Soek

10 wenke om veilig aanlyn te koop

Web & Soek

Minecraft Veiligheidstips vir Ouers van Minecrafters

Web & Soek

Instagram Veiligheidstips vir ouers

Web & Soek

Hoe om jou draadlose netwerk van jou bure te verberg

Web & Soek

See Newest

ARK: Oorlewing Ontwikkel Xbox One Preview

Gaming

Wat is 'n VSD-lêer?

Windows

Amazon se Echo Show - Wat jy moet weet

Apple AirPlay & AirPlay Mirroring verduidelik

IPhone en iPod

6 iPad en iPhone Browser Apps

Sagteware en programme

Wat is 'n MD-lêer?

Windows

Sapid posts

Inleiding tot die gekoppelde huis

Nuwe en Volgende

Hoe om HTML te wysig met TextEdit

Webontwerp en Dev

Gebruik HTML TABLE Element Attributes

Webontwerp en Dev

Internet Explorer

Internet & Netwerk

Koop 'n motor van 'n handelaar aanlyn: hoe dit werk

Die 6 beste Wii ritme speletjies

Gaming

Hoe om 'n gebeurtenis aftelling-timer in Google Kalender by te voeg

E-pos en boodskappe

Digitale en Tradisionele Prepress Proses

Sagteware

Hoe om 'n Gewilde Blog te begin

Web & Soek

Hoe om die onsigbare Web te my: Die Ultieme Gids

Web & Soek

Waar koop 'n afslag Apple Watch op Cyber ​​Maandag

Drabare toestelle

Beste Co-Op-speletjies op OG Xbox

Gaming

Hosts.deny - Linux Command - Unix Command

Linux

Skep 'n Jabber-gebaseerde bediener vir iChat

Macs

Oorsig: Die Sony DVP-FX930 draagbare DVD-speler

Produk Resensies

SoftPerfect File Recovery v1.2

Sagteware en programme