Кантип HijackThis Журналдар талдоо

by Tony Брэдли, CISSP-ISSAP

Түшүндүрүүдө Кирүү Data Spyware жана Browser Барымтачылар алып салуу үчүн жардам

HijackThis Trend Micro бир акысыз курал. Ал башында Merijn Bellekom, Нидерландиядагы бир студент тарабынан иштелип чыккан. Spyware салуу программалык камсыздоо сыяктуу Adaware же Spybot S & D көпчүлүк шпион программаларды аныктоо жана алып салуу боюнча ишин жакшы аткарат, бирок кээ бир баш жана серепчи барымтачылар да бул улуу Анти-шпион коммуналдык да билинер-билинбес.

HijackThis аныктоо жана браузер hijacks, же сиздин браузерде колуна алат программа, демейки башкы бетти жана издөө кыймылдаткычын жана башка зыяндуу нерселерди өзгөртөт алып атайын жазылган. типтүү Анти-шпион программалык айырмаланып, HijackThis кол пайдаланууга же кандайдыр бир конкреттүү программалар максаттуу же URL менен аныктоо жана аларга бөгөт жок. Тескерисинче, HijackThis колдонгон айла-ыкмалары издейт кесепеттүү системаны жуктуруп жана серепчи багыттоо.

HijackThis журналдар менен турат баары эмес, жаман нерселер болуп саналат жана ал баарын алып салуу мүмкүн эмес. Чындыгында, бир топ карама-каршы. Бул дээрлик сиздин HijackThis журналдарын заттар кээ бир мыйзамдуу программалык камсыздоо жана адамдардын ден салууда терс системаны таасирин тийгизиши мүмкүн же таптакыр жараксыз кылып койот деп кепилдик берилет. HijackThis колдонуу түзөтүү сыяктуу көп Windows Реестрин өзүң. Бул ракета илим эмес, бирок, албетте, чын эле, силер эмне кылып жатканын билбей туруп, кандайдыр бир эксперттик жетекчилик жок эле керек.

Сиз HijackThis орнотуу жана журналы билэни табуу үчүн чуркап кийин, сиз жарыялаган же журналы маалыматтарды жүктөп бере аласыз темага жана сайттарга же элдик түрү да бар. издеп эмне Эксперттер анда журналы маалыматтарды жана даана гана алып жана адамдар чыгып үчүн сени сунуш талдоого жардам берет.

HijackThis азыркы жүктөп алуу үчүн, Trend Micro расмий жайгашкан жерди көрүүгө болот.

Бул жерде сиз издеп жаткан маалыматты секирип колдоно аласыз джазыуу HijackThis боюнча сереп болуп саналат:

R0, R1, R2, R3 - Internet Explorer Start / Search барактар URLs
F0, F1 - Autoloading программалар
N1, N2, N3, N4 - Netscape / Mozilla Start / Search барактар URLs
O1 - Себайот билэ кайра даректөө
O2 - Browser жардамчысы объектилер
O3 - Internet Explorer курал
O4 - Autoloading программалар реестринен
O5 - IE Жолдор значок Control Panel көрүнүп жок
O6 - IE Жолдор тескөөчү тарабынан чектөө
O7 - тескөөчү тарабынан чектелген Regedit мүмкүндүк алуу
O8 - IE оң-чыкылдатуу менюсунда Extra даана
O9 - негизги IE баскычы куралдар боюнча кошумча баскычтарды басып, же Е "куралдарынын менюсунда кошумча буюмдар
O10 - WinSock салуучу
O11 - IE-жылы Extra тобу "Advanced параметрлери 'терезе
O12 - IE плагиндер
O13 - IE DefaultPrefix кол
O14 - барымтага интернет орнотууларды тазалоо "
O15 - Ишенимдүү зонасында Unwanted сайт
O16 - ActiveX объектилери (ака Жүктөлгөн Program Files)
O17 - Lop.com домен барымтачылар
Ø18 - Кошумча протоколдор жана протокол барымтачылар
O19 - Колдонуучу стилдер жадыбалы кол
O20 - AppInit_DLLs реестр балл Autorun
O21 - ShellServiceObjectDelayLoad реестр негизги Autorun
O22 - SharedTaskScheduler реестр негизги Autorun

O23 - Windows NT Services

R0, R1, R2, R3 - IE Start менен барактарды изде

Эмне болот:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Башкы, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ негизги, Default_Page_URL = http://www.google.com/
R2 - (бул түрү азырынча HijackThis тарабынан колдонулган эмес)
R3 - По умолчанию URLSearchHook жок болуп жатат

Эмне кылуу керек:
Башкы бет сизге же издөө каражаты катары аягында URL тааныган болсо, анда жакшы. Эгер жок болсо, аны текшерүү жана HijackThis аны чечүү бар. R3 заттар үчүн, ар дайым силер Коперник сыяктуу таануу программасы жөнүндө сөз болбосо, аларды чечүү.

F0, F1, F2, F3 - INI көчүрүп алып Autoloading программалар

Эмне болот:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: Нускасы = hpfsched

Эмне кылуу керек:
F0 нерселер ар дайым жаман болуп саналат, ошондуктан, аларды чечүү. F1 даана, адатта, коопсуз абдан эски программалар, ошондуктан, ал жакшы иш болобу же жаман-жетпесин билиш үчүн, аты боюнча бир дагы маалымат керек. Pacman анын Startup тизмеси бир нерсени аныктап менен жардам бере алат.

N1, N2, N3, N4 - Netscape / Mozilla Start & Бейби Бетти издөө

Эмне болот:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ демейки \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.startup.homepage", "http://www.google.com"); (C: \ документтер жана тууралоолор \ Application \ Колдонуучу маалыматы \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.search.defaultengine", "кыймылдаткыч: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ документтер жана тууралоолор \ Application \ Колдонуучу маалыматы \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Эмне кылуу керек:
Адатта, Netscape жана Mozilla башкы жана издөө бет коопсуз болот. Алар аз гана Lop.com бул үчүн белгилүү болгон, колуна өттү. Сиз башкы же издөө бет катары эмес, бир URL көрүшү керек, HijackThis аны чечүү бар.

O1 - Hostsfile багыттоолор

Эмне болот:
O1 - Себайот: 216.177.73.139 auto.search.msn.com
O1 - Себайот: 216.177.73.139 search.netscape.com
O1 - Себайот: 216.177.73.139 ieautosearch
O1 - Себайот билэ C боюнча жайгашкан: \ Windows \ Жардам \ кошуундары

Эмне кылуу керек:
Бул кол салуу, солго IP дареги укугун дареги багыттайбыз. IP дареги таандык эмес болсо, сен дарегин киргизүүгө туура эмес сайт Everytime өтөсүз. Сиз дайыма билип туруп сага Себайот кезекте ошол саптарды салып каралбаса HijackThis, бул маселени чечүү мүмкүн.

акыркы нерсе кээде Windows 2000 / XP бир Coolwebsearch оору менен пайда болот. Ар дайым бул нерсени чечүү, же CWShredder жазуусу жамап бар.

O2 - Browser жардамчысы объектилер

Эмне болот:
O2 - BHO: Yahoo! Сахаба BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ Program Files \ Yahoo \ жолдошу \ YCOMP5_0_2_4.DLL
O2 - BHO: (аты жок) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ Program Files \ калкыма Eliminator \ AUTODISPLAY401.DLL (билэ жок)
O2 - BHO: MediaLoads жакшыртылган - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ Program Files \ MEDIALOADS жакшыртылган \ ME1.DLL

Эмне кылуу керек:
Эгер түздөн-түз Browser Жардамчы объект атын тааныган жок болсо, анда анын TonyK BHO & куралдар List класс ID (CLSID, бөйрөктүү кашаанын ортосундагы саны), аны табыш үчүн пайдаланышат жана бул жакшы же жаман болсо керек. BHO тизмесине "X" шпион жана "L" коопсуз деген маанини билдирет.

O3 - IE курал

Эмне болот:
O3 - куралдар: & Yahoo! Сахаба - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ Program Files \ Yahoo \ жолдошу \ YCOMP5_0_2_4.DLL
O3 - куралдар: калкыма Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Program Files \ калкыма Eliminator \ PETOOLBAR401.DLL (билэ жок)
O3 - куралдар: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Эмне кылуу керек:
Эгер түздөн-түз үст атын тааныган жок болсо, анда анын TonyK BHO & куралдар List класс ID (CLSID, бөйрөктүү кашаанын ортосундагы саны), аны табыш үчүн пайдаланышат жана бул жакшы же жаман болсо керек. Куралдар тизмесине "X" шпион жана "L" коопсуз деген маанини билдирет. Бул тизме жана аты-жөнү тамгалардын туш келди сапты көрүнөт жана билэ "Колдонмо маалыматы" папкасында болот (Жогорудагы мисалдардан өткөн сыяктуу) боюнча жок болсо, анда, балким, Lop.com, эгер хуйдожника HijackThis чечүү керек ал.

O4 - Autoloading программалар реестринде же Startup топтун

Эмне болот:
O4 - HKLM \ .. Run \: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / Autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. Run \: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Эмне кылуу керек:
Pacman анын Startup тизмеси кирүү үчүн колдонуп, жакшы болобу, жаман болсо керек.

нерсе Startup тобу отурган программасы (жогоруда акыркы бөлүгүндө сыяктуу), анда HijackThis бул программа эстутумунда дагы деле болсо нерсени чечүү мүмкүн эмес. алдын ала белгиленип жараянына жабуу үчүн Windows тапшырма башкаргыч (TASKMGR.EXE) колдонуу.

O5 - IE Жолдор Control Panel көрүнүп жок

Эмне болот:
O5 - control.ini: inetcpl.cpl = жок

Эмне кылуу керек:
Сиз же сиздин системалык администратор билип туруп башкаруу панелинен сөлөкөтүн жашырып каралбаса, HijackThis аны чечүү бар.

O6 - IE Жолдор тескөөчү тарабынан чектөө

Эмне болот:
O6 - HKCU \ Software \ саясат Microsoft \ Internet Explorer \ чектөөлөр ушул \

Эмне кылуу керек:
Эгер болбосо Spybot S & D жолду, же системалык администратор 'Билги өзгөртүүлөр башкы ордуна бул салып, HijackThis Бул маселени чечүү керек.

O7 - тескөөчү тарабынан чектелген Regedit мүмкүндүк алуу

Эмне болот:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion саясатты \ системасы, \ DisableRegedit = 1

Эмне кылуу керек:
Ар дайым системалык администратор жерге бул чектөө салган каралбаса HijackThis, бул маселени чечүү керек.

O8 - IE оң-чыкылдатуу менюсунда Extra даана

Эмне болот:
O8 - Extra контекст менюсу: & Google Search - чечилиштеги: // C: \ WINDOWS \ DOWNLOADED Program Files \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra контекст менюсу: Yahoo! Издөө - билэ: /// C: \ Program Files \ Yahoo \ Common / ycsrch.htm!
O8 - Extra контекст менюсу: Zoom &-жылы - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra контекст менюсу: Zoom, оо, и-ут - C: \ WINDOWS \ WEB \ zoomout.htm

Эмне кылуу керек:
Сиз IE туура чыкылдатуу менюсунда нерсенин аты тааныган жок болсо, анда HijackThis аны чечүү бар.

O9 - IE & # негизги IE тилкесиндеги, же кошумча заттар боюнча Extra баскычтарын 39; Tools & # 39; меню

Эмне болот:
O9 - Extra баскычы: Пайгамбарыбыз (HKLM)
O9 - Extra "куралдарынын menuitem: Пайгамбарыбыз (HKLM)
O9 - Extra баскычы: AIM (HKLM)

Эмне кылуу керек:
Сиз баскычты же меню пунктуна атын тааныган жок болсо, анда HijackThis аны чечүү бар.

O10 - WinSock барымтачылар

Эмне болот:
O10 - барымтага New.Net менен Интернет мүмкүндүк алуу
O10 - анткени LSP жеткирүүчүнүн Broken Интернет мүмкүндүк алуу "C: \ progra ~ 1 \ жалпы ~ 2 \ куралдар \ cnmib.dll" жок
O10 - жылы Белгисиз билэ WinSock LSP: C: \ Program Files \ Чалкина \ vmain.dll билет

Эмне кылуу керек:
Бул аркылуу Cexx.org тартып LSPFix, же Spybot S & D Kolla.de чейин чечүү үчүн жакшы.

коопсуздук маселелери боюнча LSP кабат-жылы "белгисиз" делолору HijackThis тарабынан белгиленген эмес, деп белгилешет.

O11 - IE & # менен Extra тобу 39; Advanced Жолдор & # 39; терезе

Эмне болот:
O11 - Жолдор топ: [CommonName] CommonName

Эмне кылуу керек:
азыр гана каракчы деп IE Advanced Жолдор терезени өз тандоолор тобу CommonName деп кошумчалайт. Демек, сизде ар дайым HijackThis Бул маселени чечүү болушу мүмкүн.

O12 - IE плагиндер

Эмне болот:
O12 - Plugin .spop үчүн: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - .pdf үчүн Plugin: C: \ Program Files \ Internet Explorer \ плагиндерди \ nppdf32.dll

Эмне кылуу керек:
Көпчүлүк учурда бул коопсуз болот. Бир гана OnFlow сен (.ofb) келбейт, бул жерде плагин кошумчалайт.

O13 - IE DefaultPrefix кол

Эмне болот:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Эмне кылуу керек:
Бул ар дайым жаман болуп саналат. HijackThis аларды чечүү керек.

O14 - & # 39; Кайтаруу Желе орнотул & # 39; кол салуу

Эмне болот:
O14 - IERESET.INF: START_PAGE_URL = HTTP: //www.searchalot.com

Эмне кылуу керек:
URL сиздин же интернет менен камсыздоочу жок болсо, HijackThis аны чечүү бар.

O15 - Ишенимдүү зонасында Unwanted сайттар

Эмне болот:
O15 - Ишенимдүү Zone: http://free.aol.com
O15 - Ишенимдүү Zone: * .coolwebsearch.com
O15 - Ишенимдүү Zone: * .msn.com

Эмне кылуу керек:
гана AOL жана Coolwebsearch Көпчүлүк учурда унчукпай Ишенимдүү зонага сайттарды кошуу. Сиз Ишенимдүү аймагында өзүң саналган Домен кошуу жок болсо, HijackThis аны чечүү бар.

O16 - ActiveX объектилери (ака Жүктөлгөн Program Files)

Эмне болот:
O16 - Депозиттерди: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - Депозиттерди: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Эмне кылуу керек:
аны көчүрүп жаткан объект же URL атын тааныган жок болсо, анда HijackThis аны чечүү бар. аты же URL болсо, "терүүчү" деген сөздөрдү камтыган "казино ',' free_plugin" ж.б., сөзсүз аны чечүү. Javacool анын SpywareBlaster CLSIDs карап үчүн колдонулушу мүмкүн зыяндуу ActiveX объекттерди зор маалыматтар базасы бар. (Find-милдетин пайдалануу тизмесин Right-бас.)

O17 - Lop.com домен hijacks

Эмне болот:
O17 - HKLM \ системасы \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ системасы \ CCS \ Services \ TCPIP \ параметрлери: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Чычкандар: Domainname = W21944.find-quick.com
O17 - HKLM \ системасы \ CCS \ Services \ TCPIP \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ системасы \ CS1 \ Services \ TCPIP \ параметрлери: SearchList = gla.ac.uk
O17 - HKLM \ системасы \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Эмне кылуу керек:
Домен сиздин эмес, болсо ISP же компаниясынын түйүнүндө, HijackThis аны чечүү бар. Ошол эле "SearchList" жазуулардын үчүн барат. "NameServer" (Анткени DNS Servers , алар жакшы же жаман болсо) жазууларын Google интеллектуалдык менчик же ЗПларда жана ал үчүн жеңил болот.

Ø18 - Кошумча протоколдор жана протокол барымтачылар

Эмне болот:
Ø18 - Протокол: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ ЖАЛПЫ ~ 1 \ MSIETS \ msielink.dll
Ø18 - Протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
Ø18 - протоколу барымтага: HTTP - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Эмне кылуу керек:
Бир нече жанкечти бул жерден көрүнөт. белгилүү тентек балдар бар "CN" (CommonName), "ayb" (Lop.com) жана "relatedlinks" (Huntbar), сиз HijackThis да чечүү керек. көрсөтүлөт башка нерселер да шпион тарабынан (CLSID өзгөртүлүп берилди, башкача айтканда) коопсуз тастыкталган, бирок, же барымтага алынган эмес. Акыркы учурда, HijackThis аны чечүү бар.

O19 - Колдонуучу стилдер жадыбалы кол

Эмне болот:
O19 - маалымат стилдер жадыбалы: C: \ WINDOWS \ Java \ my.css

Эмне кылуу керек:
серепчинин крисиз менен тез-тез чыкмаларды учурда, ал журналга чыгып, анда HijackThis бул затты чечүү бар. Бирок, бир гана Coolwebsearch муну тартып, аны чечүү үчүн CWShredder колдонуу жакшы.

O20 - AppInit_DLLs реестр балл Autorun

Эмне болот:
O20 - AppInit_DLLs: msconfd.dll

Эмне кылуу керек:
Бул реестр HKEY_LOCAL_MACHINE \ Программа \ Microsoft \ Windows NT \ жайгашкан балл CurrentVersion \ Windows ал Михаил чейин эсинде калат, андан кийин колдонуучу журналдар кийин эсинде бир DLL жүктөйт. Абдан аз мыйзамдуу программалар, аны (Norton CleanSweep APITRAP.DLL колдонот) колдонуп, көбүнчө бул Trojans же Хоккей серепчи барымтачылардын тарабынан колдонулат.

Бул реестр наркынан бир "жашыруун" DLL жүктөлгөн учурда, (бир гана көзгө көрүнгөн "Edit Binary маалыматтарын Regedit орнотмону колдонгондо) лари аты чоор менен жакка мүмкүн" | ' бул журналда көрүнүп үчүн.

O21 - ShellServiceObjectDelayLoad

Эмне болот:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ системасы \ auhook.dll

Эмне кылуу керек:
Бул бир нече Windows системасынын компоненттери боюнча документтелбеген Autorun ыкма, эреже колдонулат. Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad \ HKEY_LOCAL_MACHINE \ Программанын көрсөтүлгөн буюмдар Windows баштаганда Explorer менен жүктөлөт. HijackThis бир нече өтө жалпы SSODL заттар бир ак колдонот, ошондуктан, кандайдыр бир нерсе, ал белгисиз, сыягы, зыянкеч журналы көрүнөт сайын. өтө кылдаттык менен мамиле кылышат.

O22 - SharedTaskScheduler

Эмне болот:
O22 - SharedTaskScheduler: (аты жок) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C: \ Windows \ System32 \ mtwirl32.dll

Эмне кылуу керек:
Бул өтө сейрек колдонулат Windows NT / 2000 / XP гана үчүн документтелбеген Autorun болуп саналат. Азырынча бир гана CWS.Smartfinder колдонот. этияттык менен мамиле кылышат.

O23 - NT Services

Эмне болот:
O23 - кызмат: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Эмне кылуу керек:
Бул эмес Microsoft кызматтардын тизмеси болуп саналат. тизме сиз Windows XP жана Msconfig Коммуналдык көрүп бир эле болушу керек. Бир нече троян барымтачылар өздөрүн кайра башка баштаган adittion бир колго кызматынан пайдалануу. "Network коопсуздук кызматы", "бекети Капусточка кызматы" же "Remote тартиби Call жардамчыбыз", ал эми (кашаанын ортосундагы) ички аты-чикир бир сап, "ОРТ" сыяктуу сыяктуу толук аты-жөнү, адатта, анча-ойноп жатат. сааты касиеттерин көрүп эле линиясынын экинчи бөлүгү, жылдын акырына карата берилген менчик ээси болуп саналат.

бир O23 нерсени турукташтырып гана кызматын токтотуп, аны өчүрүп болот деп белгилешет. кызмат реестринен кол менен же башка курал менен жок кылуу керек. HijackThis 1.99.1 же андан жогору болсо, Разное Tools бөлүмүндө баскычы "NT кызмат кылуу" үчүн колдонулушу мүмкүн.