Түшүндүрүүдө Кирүү Data Spyware жана Browser Барымтачылар алып салуу үчүн жардам
HijackThis Trend Micro бир акысыз курал. Ал башында Merijn Bellekom, Нидерландиядагы бир студент тарабынан иштелип чыккан. Spyware салуу программалык камсыздоо сыяктуу Adaware же Spybot S & D көпчүлүк шпион программаларды аныктоо жана алып салуу боюнча ишин жакшы аткарат, бирок кээ бир баш жана серепчи барымтачылар да бул улуу Анти-шпион коммуналдык да билинер-билинбес.
HijackThis аныктоо жана браузер hijacks, же сиздин браузерде колуна алат программа, демейки башкы бетти жана издөө кыймылдаткычын жана башка зыяндуу нерселерди өзгөртөт алып атайын жазылган. типтүү Анти-шпион программалык айырмаланып, HijackThis кол пайдаланууга же кандайдыр бир конкреттүү программалар максаттуу же URL менен аныктоо жана аларга бөгөт жок. Тескерисинче, HijackThis колдонгон айла-ыкмалары издейт кесепеттүү системаны жуктуруп жана серепчи багыттоо.
HijackThis журналдар менен турат баары эмес, жаман нерселер болуп саналат жана ал баарын алып салуу мүмкүн эмес. Чындыгында, бир топ карама-каршы. Бул дээрлик сиздин HijackThis журналдарын заттар кээ бир мыйзамдуу программалык камсыздоо жана адамдардын ден салууда терс системаны таасирин тийгизиши мүмкүн же таптакыр жараксыз кылып койот деп кепилдик берилет. HijackThis колдонуу түзөтүү сыяктуу көп Windows Реестрин өзүң. Бул ракета илим эмес, бирок, албетте, чын эле, силер эмне кылып жатканын билбей туруп, кандайдыр бир эксперттик жетекчилик жок эле керек.
Сиз HijackThis орнотуу жана журналы билэни табуу үчүн чуркап кийин, сиз жарыялаган же журналы маалыматтарды жүктөп бере аласыз темага жана сайттарга же элдик түрү да бар. издеп эмне Эксперттер анда журналы маалыматтарды жана даана гана алып жана адамдар чыгып үчүн сени сунуш талдоого жардам берет.
HijackThis азыркы жүктөп алуу үчүн, Trend Micro расмий жайгашкан жерди көрүүгө болот.
Бул жерде сиз издеп жаткан маалыматты секирип колдоно аласыз джазыуу HijackThis боюнча сереп болуп саналат:
- R0, R1, R2, R3 - Internet Explorer Start / Search барактар URLs
- F0, F1 - Autoloading программалар
- N1, N2, N3, N4 - Netscape / Mozilla Start / Search барактар URLs
- O1 - Себайот билэ кайра даректөө
- O2 - Browser жардамчысы объектилер
- O3 - Internet Explorer курал
- O4 - Autoloading программалар реестринен
- O5 - IE Жолдор значок Control Panel көрүнүп жок
- O6 - IE Жолдор тескөөчү тарабынан чектөө
- O7 - тескөөчү тарабынан чектелген Regedit мүмкүндүк алуу
- O8 - IE оң-чыкылдатуу менюсунда Extra даана
- O9 - негизги IE баскычы куралдар боюнча кошумча баскычтарды басып, же Е "куралдарынын менюсунда кошумча буюмдар
- O10 - WinSock салуучу
- O11 - IE-жылы Extra тобу "Advanced параметрлери 'терезе
- O12 - IE плагиндер
- O13 - IE DefaultPrefix кол
- O14 - барымтага интернет орнотууларды тазалоо "
- O15 - Ишенимдүү зонасында Unwanted сайт
- O16 - ActiveX объектилери (ака Жүктөлгөн Program Files)
- O17 - Lop.com домен барымтачылар
- Ø18 - Кошумча протоколдор жана протокол барымтачылар
- O19 - Колдонуучу стилдер жадыбалы кол
- O20 - AppInit_DLLs реестр балл Autorun
- O21 - ShellServiceObjectDelayLoad реестр негизги Autorun
- O22 - SharedTaskScheduler реестр негизги Autorun
- O23 - Windows NT Services
R0, R1, R2, R3 - IE Start менен барактарды изде
Эмне болот:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Башкы, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ негизги, Default_Page_URL = http://www.google.com/
R2 - (бул түрү азырынча HijackThis тарабынан колдонулган эмес)
R3 - По умолчанию URLSearchHook жок болуп жатат
Эмне кылуу керек:
Башкы бет сизге же издөө каражаты катары аягында URL тааныган болсо, анда жакшы. Эгер жок болсо, аны текшерүү жана HijackThis аны чечүү бар. R3 заттар үчүн, ар дайым силер Коперник сыяктуу таануу программасы жөнүндө сөз болбосо, аларды чечүү.
F0, F1, F2, F3 - INI көчүрүп алып Autoloading программалар
Эмне болот:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: Нускасы = hpfsched
Эмне кылуу керек:
F0 нерселер ар дайым жаман болуп саналат, ошондуктан, аларды чечүү. F1 даана, адатта, коопсуз абдан эски программалар, ошондуктан, ал жакшы иш болобу же жаман-жетпесин билиш үчүн, аты боюнча бир дагы маалымат керек. Pacman анын Startup тизмеси бир нерсени аныктап менен жардам бере алат.
N1, N2, N3, N4 - Netscape / Mozilla Start & Бейби Бетти издөө
Эмне болот:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ демейки \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.startup.homepage", "http://www.google.com"); (C: \ документтер жана тууралоолор \ Application \ Колдонуучу маалыматы \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.search.defaultengine", "кыймылдаткыч: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ документтер жана тууралоолор \ Application \ Колдонуучу маалыматы \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Эмне кылуу керек:
Адатта, Netscape жана Mozilla башкы жана издөө бет коопсуз болот. Алар аз гана Lop.com бул үчүн белгилүү болгон, колуна өттү. Сиз башкы же издөө бет катары эмес, бир URL көрүшү керек, HijackThis аны чечүү бар.
O1 - Hostsfile багыттоолор
Эмне болот:
O1 - Себайот: 216.177.73.139 auto.search.msn.com
O1 - Себайот: 216.177.73.139 search.netscape.com
O1 - Себайот: 216.177.73.139 ieautosearch
O1 - Себайот билэ C боюнча жайгашкан: \ Windows \ Жардам \ кошуундары
Эмне кылуу керек:
Бул кол салуу, солго IP дареги укугун дареги багыттайбыз. IP дареги таандык эмес болсо, сен дарегин киргизүүгө туура эмес сайт Everytime өтөсүз. Сиз дайыма билип туруп сага Себайот кезекте ошол саптарды салып каралбаса HijackThis, бул маселени чечүү мүмкүн.
акыркы нерсе кээде Windows 2000 / XP бир Coolwebsearch оору менен пайда болот. Ар дайым бул нерсени чечүү, же CWShredder жазуусу жамап бар.
O2 - Browser жардамчысы объектилер
Эмне болот:
O2 - BHO: Yahoo! Сахаба BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ Program Files \ Yahoo \ жолдошу \ YCOMP5_0_2_4.DLL
O2 - BHO: (аты жок) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ Program Files \ калкыма Eliminator \ AUTODISPLAY401.DLL (билэ жок)
O2 - BHO: MediaLoads жакшыртылган - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ Program Files \ MEDIALOADS жакшыртылган \ ME1.DLL
Эмне кылуу керек:
Эгер түздөн-түз Browser Жардамчы объект атын тааныган жок болсо, анда анын TonyK BHO & куралдар List класс ID (CLSID, бөйрөктүү кашаанын ортосундагы саны), аны табыш үчүн пайдаланышат жана бул жакшы же жаман болсо керек. BHO тизмесине "X" шпион жана "L" коопсуз деген маанини билдирет.
O3 - IE курал
Эмне болот:
O3 - куралдар: & Yahoo! Сахаба - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ Program Files \ Yahoo \ жолдошу \ YCOMP5_0_2_4.DLL
O3 - куралдар: калкыма Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Program Files \ калкыма Eliminator \ PETOOLBAR401.DLL (билэ жок)
O3 - куралдар: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Эмне кылуу керек:
Эгер түздөн-түз үст атын тааныган жок болсо, анда анын TonyK BHO & куралдар List класс ID (CLSID, бөйрөктүү кашаанын ортосундагы саны), аны табыш үчүн пайдаланышат жана бул жакшы же жаман болсо керек. Куралдар тизмесине "X" шпион жана "L" коопсуз деген маанини билдирет. Бул тизме жана аты-жөнү тамгалардын туш келди сапты көрүнөт жана билэ "Колдонмо маалыматы" папкасында болот (Жогорудагы мисалдардан өткөн сыяктуу) боюнча жок болсо, анда, балким, Lop.com, эгер хуйдожника HijackThis чечүү керек ал.
O4 - Autoloading программалар реестринде же Startup топтун
Эмне болот:
O4 - HKLM \ .. Run \: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / Autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. Run \: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Эмне кылуу керек:
Pacman анын Startup тизмеси кирүү үчүн колдонуп, жакшы болобу, жаман болсо керек.
нерсе Startup тобу отурган программасы (жогоруда акыркы бөлүгүндө сыяктуу), анда HijackThis бул программа эстутумунда дагы деле болсо нерсени чечүү мүмкүн эмес. алдын ала белгиленип жараянына жабуу үчүн Windows тапшырма башкаргыч (TASKMGR.EXE) колдонуу.
O5 - IE Жолдор Control Panel көрүнүп жок
Эмне болот:
O5 - control.ini: inetcpl.cpl = жок
Эмне кылуу керек:
Сиз же сиздин системалык администратор билип туруп башкаруу панелинен сөлөкөтүн жашырып каралбаса, HijackThis аны чечүү бар.
O6 - IE Жолдор тескөөчү тарабынан чектөө
Эмне болот:
O6 - HKCU \ Software \ саясат Microsoft \ Internet Explorer \ чектөөлөр ушул \
Эмне кылуу керек:
Эгер болбосо Spybot S & D жолду, же системалык администратор 'Билги өзгөртүүлөр башкы ордуна бул салып, HijackThis Бул маселени чечүү керек.
O7 - тескөөчү тарабынан чектелген Regedit мүмкүндүк алуу
Эмне болот:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion саясатты \ системасы, \ DisableRegedit = 1
Эмне кылуу керек:
Ар дайым системалык администратор жерге бул чектөө салган каралбаса HijackThis, бул маселени чечүү керек.
O8 - IE оң-чыкылдатуу менюсунда Extra даана
Эмне болот:
O8 - Extra контекст менюсу: & Google Search - чечилиштеги: // C: \ WINDOWS \ DOWNLOADED Program Files \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra контекст менюсу: Yahoo! Издөө - билэ: /// C: \ Program Files \ Yahoo \ Common / ycsrch.htm!
O8 - Extra контекст менюсу: Zoom &-жылы - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra контекст менюсу: Zoom, оо, и-ут - C: \ WINDOWS \ WEB \ zoomout.htm
Эмне кылуу керек:
Сиз IE туура чыкылдатуу менюсунда нерсенин аты тааныган жок болсо, анда HijackThis аны чечүү бар.
O9 - IE & # негизги IE тилкесиндеги, же кошумча заттар боюнча Extra баскычтарын 39; Tools & # 39; меню
Эмне болот:
O9 - Extra баскычы: Пайгамбарыбыз (HKLM)
O9 - Extra "куралдарынын menuitem: Пайгамбарыбыз (HKLM)
O9 - Extra баскычы: AIM (HKLM)
Эмне кылуу керек:
Сиз баскычты же меню пунктуна атын тааныган жок болсо, анда HijackThis аны чечүү бар.
O10 - WinSock барымтачылар
Эмне болот:
O10 - барымтага New.Net менен Интернет мүмкүндүк алуу
O10 - анткени LSP жеткирүүчүнүн Broken Интернет мүмкүндүк алуу "C: \ progra ~ 1 \ жалпы ~ 2 \ куралдар \ cnmib.dll" жок
O10 - жылы Белгисиз билэ WinSock LSP: C: \ Program Files \ Чалкина \ vmain.dll билет
Эмне кылуу керек:
Бул аркылуу Cexx.org тартып LSPFix, же Spybot S & D Kolla.de чейин чечүү үчүн жакшы.
коопсуздук маселелери боюнча LSP кабат-жылы "белгисиз" делолору HijackThis тарабынан белгиленген эмес, деп белгилешет.
O11 - IE & # менен Extra тобу 39; Advanced Жолдор & # 39; терезе
Эмне болот:
O11 - Жолдор топ: [CommonName] CommonName
Эмне кылуу керек:
азыр гана каракчы деп IE Advanced Жолдор терезени өз тандоолор тобу CommonName деп кошумчалайт. Демек, сизде ар дайым HijackThis Бул маселени чечүү болушу мүмкүн.
O12 - IE плагиндер
Эмне болот:
O12 - Plugin .spop үчүн: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - .pdf үчүн Plugin: C: \ Program Files \ Internet Explorer \ плагиндерди \ nppdf32.dll
Эмне кылуу керек:
Көпчүлүк учурда бул коопсуз болот. Бир гана OnFlow сен (.ofb) келбейт, бул жерде плагин кошумчалайт.
O13 - IE DefaultPrefix кол
Эмне болот:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Эмне кылуу керек:
Бул ар дайым жаман болуп саналат. HijackThis аларды чечүү керек.
O14 - & # 39; Кайтаруу Желе орнотул & # 39; кол салуу
Эмне болот:
O14 - IERESET.INF: START_PAGE_URL = HTTP: //www.searchalot.com
Эмне кылуу керек:
URL сиздин же интернет менен камсыздоочу жок болсо, HijackThis аны чечүү бар.
O15 - Ишенимдүү зонасында Unwanted сайттар
Эмне болот:
O15 - Ишенимдүү Zone: http://free.aol.com
O15 - Ишенимдүү Zone: * .coolwebsearch.com
O15 - Ишенимдүү Zone: * .msn.com
Эмне кылуу керек:
гана AOL жана Coolwebsearch Көпчүлүк учурда унчукпай Ишенимдүү зонага сайттарды кошуу. Сиз Ишенимдүү аймагында өзүң саналган Домен кошуу жок болсо, HijackThis аны чечүү бар.
O16 - ActiveX объектилери (ака Жүктөлгөн Program Files)
Эмне болот:
O16 - Депозиттерди: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - Депозиттерди: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Эмне кылуу керек:
аны көчүрүп жаткан объект же URL атын тааныган жок болсо, анда HijackThis аны чечүү бар. аты же URL болсо, "терүүчү" деген сөздөрдү камтыган "казино ',' free_plugin" ж.б., сөзсүз аны чечүү. Javacool анын SpywareBlaster CLSIDs карап үчүн колдонулушу мүмкүн зыяндуу ActiveX объекттерди зор маалыматтар базасы бар. (Find-милдетин пайдалануу тизмесин Right-бас.)
O17 - Lop.com домен hijacks
Эмне болот:
O17 - HKLM \ системасы \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ системасы \ CCS \ Services \ TCPIP \ параметрлери: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Чычкандар: Domainname = W21944.find-quick.com
O17 - HKLM \ системасы \ CCS \ Services \ TCPIP \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ системасы \ CS1 \ Services \ TCPIP \ параметрлери: SearchList = gla.ac.uk
O17 - HKLM \ системасы \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Эмне кылуу керек:
Домен сиздин эмес, болсо ISP же компаниясынын түйүнүндө, HijackThis аны чечүү бар. Ошол эле "SearchList" жазуулардын үчүн барат. "NameServer" (Анткени DNS Servers , алар жакшы же жаман болсо) жазууларын Google интеллектуалдык менчик же ЗПларда жана ал үчүн жеңил болот.
Ø18 - Кошумча протоколдор жана протокол барымтачылар
Эмне болот:
Ø18 - Протокол: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ ЖАЛПЫ ~ 1 \ MSIETS \ msielink.dll
Ø18 - Протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
Ø18 - протоколу барымтага: HTTP - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Эмне кылуу керек:
Бир нече жанкечти бул жерден көрүнөт. белгилүү тентек балдар бар "CN" (CommonName), "ayb" (Lop.com) жана "relatedlinks" (Huntbar), сиз HijackThis да чечүү керек. көрсөтүлөт башка нерселер да шпион тарабынан (CLSID өзгөртүлүп берилди, башкача айтканда) коопсуз тастыкталган, бирок, же барымтага алынган эмес. Акыркы учурда, HijackThis аны чечүү бар.
O19 - Колдонуучу стилдер жадыбалы кол
Эмне болот:
O19 - маалымат стилдер жадыбалы: C: \ WINDOWS \ Java \ my.css
Эмне кылуу керек:
серепчинин крисиз менен тез-тез чыкмаларды учурда, ал журналга чыгып, анда HijackThis бул затты чечүү бар. Бирок, бир гана Coolwebsearch муну тартып, аны чечүү үчүн CWShredder колдонуу жакшы.
O20 - AppInit_DLLs реестр балл Autorun
Эмне болот:
O20 - AppInit_DLLs: msconfd.dll
Эмне кылуу керек:
Бул реестр HKEY_LOCAL_MACHINE \ Программа \ Microsoft \ Windows NT \ жайгашкан балл CurrentVersion \ Windows ал Михаил чейин эсинде калат, андан кийин колдонуучу журналдар кийин эсинде бир DLL жүктөйт. Абдан аз мыйзамдуу программалар, аны (Norton CleanSweep APITRAP.DLL колдонот) колдонуп, көбүнчө бул Trojans же Хоккей серепчи барымтачылардын тарабынан колдонулат.
Бул реестр наркынан бир "жашыруун" DLL жүктөлгөн учурда, (бир гана көзгө көрүнгөн "Edit Binary маалыматтарын Regedit орнотмону колдонгондо) лари аты чоор менен жакка мүмкүн" | ' бул журналда көрүнүп үчүн.
O21 - ShellServiceObjectDelayLoad
Эмне болот:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ системасы \ auhook.dll
Эмне кылуу керек:
Бул бир нече Windows системасынын компоненттери боюнча документтелбеген Autorun ыкма, эреже колдонулат. Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad \ HKEY_LOCAL_MACHINE \ Программанын көрсөтүлгөн буюмдар Windows баштаганда Explorer менен жүктөлөт. HijackThis бир нече өтө жалпы SSODL заттар бир ак колдонот, ошондуктан, кандайдыр бир нерсе, ал белгисиз, сыягы, зыянкеч журналы көрүнөт сайын. өтө кылдаттык менен мамиле кылышат.
O22 - SharedTaskScheduler
Эмне болот:
O22 - SharedTaskScheduler: (аты жок) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C: \ Windows \ System32 \ mtwirl32.dll
Эмне кылуу керек:
Бул өтө сейрек колдонулат Windows NT / 2000 / XP гана үчүн документтелбеген Autorun болуп саналат. Азырынча бир гана CWS.Smartfinder колдонот. этияттык менен мамиле кылышат.
O23 - NT Services
Эмне болот:
O23 - кызмат: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Эмне кылуу керек:
Бул эмес Microsoft кызматтардын тизмеси болуп саналат. тизме сиз Windows XP жана Msconfig Коммуналдык көрүп бир эле болушу керек. Бир нече троян барымтачылар өздөрүн кайра башка баштаган adittion бир колго кызматынан пайдалануу. "Network коопсуздук кызматы", "бекети Капусточка кызматы" же "Remote тартиби Call жардамчыбыз", ал эми (кашаанын ортосундагы) ички аты-чикир бир сап, "ОРТ" сыяктуу сыяктуу толук аты-жөнү, адатта, анча-ойноп жатат. сааты касиеттерин көрүп эле линиясынын экинчи бөлүгү, жылдын акырына карата берилген менчик ээси болуп саналат.
бир O23 нерсени турукташтырып гана кызматын токтотуп, аны өчүрүп болот деп белгилешет. кызмат реестринен кол менен же башка курал менен жок кылуу керек. HijackThis 1.99.1 же андан жогору болсо, Разное Tools бөлүмүндө баскычы "NT кызмат кылуу" үчүн колдонулушу мүмкүн.