Slik analyserer HijackThis Logs

Лучший Антивирусный сканер. Программа для удаления вирусов и рекламы Hitman PRO! (April 2025)

Лучший Антивирусный сканер. Программа для удаления вирусов и рекламы Hitman PRO! (April 2025)

:

Anonim

HijackThis er et gratis verktøy fra Trend Micro. Det ble opprinnelig utviklet av Merijn Bellekom, en student i Nederland. Spyware fjerning programvare som Adaware eller Spybot S & D gjør en god jobb med å oppdage og fjerne de fleste spywareprogrammer, men noen spionprogrammer og nettleserkapere er for lidenskapelige for selv disse flotte anti-spyware verktøyene.

HijackThis er skrevet spesielt for å oppdage og fjerne nettleserkapsler, eller programvare som tar over nettleseren din, endrer standard hjemmesiden og søkemotoren og andre ondsinnede ting. I motsetning til vanlig anti-spyware-programvare, bruker HijackThis ikke signaturer eller målretter mot bestemte programmer eller nettadresser for å oppdage og blokkere. Snarere, HijackThis ser etter triks og metoder som brukes av skadelig programvare for å infisere systemet og omdirigere nettleseren din.

Ikke alt som dukker opp i HijackThis loggene er dårlige ting, og det bør ikke fjernes. Faktisk, ganske motsatt. Det er nesten garantert at noen av elementene i HijackThis-loggene dine vil være legitim programvare, og fjerne disse elementene kan ha uheldig innvirkning på systemet eller gjøre det helt ubrukelig. Bruke HijackThis er mye som å redigere Windows-registret selv. Det er ikke rakettvitenskap, men du bør definitivt ikke gjøre det uten noen sakkyndig veiledning med mindre du virkelig vet hva du gjør.

Når du installerer HijackThis og kjører den for å generere en loggfil, finnes det et bredt spekter av fora og nettsteder der du kan legge inn eller laste opp loggdataene dine. Eksperter som vet hva de skal se etter, kan da hjelpe deg med å analysere loggdataene og gi deg råd om hvilke gjenstander som skal fjernes og hvilke som skal forlate alene.

For å laste ned den nåværende versjonen av HijackThis, kan du besøke det offisielle nettstedet på Trend Micro.

Her er en oversikt over HijackThis loggoppføringene som du kan bruke til å hoppe til informasjonen du leter etter:

  • R0, R1, R2, R3 - Internet Explorer Start / Søke sider URLs
  • F0, F1 - Autoloading programmer
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Søke sider URLs
  • O1 - Hosts fil omdirigering
  • O2 - Nettleserhjelperobjekter
  • O3 - Internet Explorer verktøylinjer
  • O4 - Autoloading programmer fra Registry
  • O5 - IE Alternativer ikon ikke synlig i Kontrollpanel
  • O6 - IE Valg av tilgang begrenset av Administrator
  • O7 - Regedit-tilgang begrenset av administrator
  • O8 - Ekstra elementer i IE høyreklikkmeny
  • O9 - Ekstra knapper på hovedknappen IE-verktøylinjen, eller ekstra elementer i IE 'Verktøy' -menyen
  • O10 - Winsock hijacker
  • O11 - Ekstra gruppe i IE 'Advanced Options' vinduet
  • O12 - IE plugins
  • O13 - IE StandardPrefix kapring
  • O14 - kapasitet for "Tilbakestilling av webinnstillinger"
  • O15 - Uønsket nettsted i Trusted Zone
  • O16 - ActiveX-objekter (også nedlastede programfiler)
  • O17 - Lop.com domenekappere
  • O18 - Ekstra protokoller og protokollkapere
  • O19 - Bruker stilark kapring
  • O20 - AppInit_DLLs Registreringsverdi autorun
  • O21 - ShellServiceObjectDelayLoad registernøkkel autorun
  • O22 - SharedTaskScheduler Registernøkkel autorun
  • O23 - Windows NT-tjenester

R0, R1, R2, R3 - IE Start og Søke sider

Hva det ser ut som:R0 - HKCU Software Microsoft Internet Explorer Main, Startside = http://www.google.com/R1 - HKLM Programvare Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (denne typen brukes ikke av HijackThis ennå)R3 - Standard URLSearchHook mangler

Hva å gjøre:Hvis du gjenkjenner nettadressen på slutten som startside eller søkemotor, er det OK. Hvis du ikke gjør det, må du sjekke det og ha HijackThis fikse det. For R3-elementene må du alltid fikse dem med mindre det nevner et program du kjenner igjen, som Copernic.

F0, F1, F2, F3 - Autoloading programmer fra INI-filer

Hva det ser ut som:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Hva å gjøre:F0-elementene er alltid dårlige, så reparer dem. F1-elementene er vanligvis veldig gamle programmer som er trygge, så du bør finne mer informasjon om filnavnet for å se om det er bra eller dårlig. Pacmans oppstartsliste kan hjelpe til med å identifisere et element.

N1, N2, N3, N4 - Netscape / Mozilla Start & Søke siden

Hva det ser ut som:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumenter og Innstillinger Bruker Programdata Mozilla Profiler defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumenter og Innstillinger Bruker Programdata Mozilla Profiler defaulto9t1tfl.slt prefs.js)

Hva å gjøre:Vanligvis er Netscape og Mozilla hjemmeside og søkesiden trygg. De blir sjelden kappet, bare Lop.com har vært kjent for å gjøre dette. Skulle du se en nettadresse du ikke gjenkjenner som startside eller søkeside, fikser HijackThis.

O1 - Hostfile omdirigeringer

Hva det ser ut som:O1 - Verter: 216.177.73.139 auto.search.msn.comO1 - Verter: 216.177.73.139 search.netscape.comO1 - Verter: 216.177.73.139 ieautosearchO1 - Vertsfilen er plassert på C: Windows Help hosts

Hva å gjøre:Denne kapringen vil omdirigere adressen til høyre til IP-adressen til venstre.Hvis IP-adressen ikke tilhører adressen, blir du omdirigert til et feil sted hver gang du oppgir adressen. Du kan alltid ha HijackThis fikse disse, med mindre du bevisst legger disse linjene i Hosts-filen din.

Det siste elementet forekommer noen ganger på Windows 2000 / XP med en Coolwebsearch-infeksjon. Alltid reparere dette elementet, eller få CWShredder til å reparere det automatisk.

O2 - Nettleserhjelperobjekter

Hva det ser ut som:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMFILER YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (ingen navn) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAMFILER POPUP ELIMINATOR AUTODISPLAY401.DLL (fil mangler)O2 - BHO: Forbedret MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAMFILER MEDIALOADS ENHANCED ME1.DLL

Hva å gjøre:Hvis du ikke gjenkjenner navnet på nettleserhjelperobjektet direkte, kan du bruke TonyKs BHO- og verktøylinjeliste for å finne det etter klassen ID (CLSID, tallet mellom krøllete parenteser) og se om det er bra eller dårlig. I BHO-listen betyr 'X' spionprogrammer og 'L' betyr trygt.

O3 - IE verktøylinjer

Hva det ser ut som: O3 - Verktøylinje: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMFILER YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Verktøylinje: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAMFILER POPUP ELIMINATOR PETOOLBAR401.DLL (fil mangler)O3 - Verktøylinje: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Hva å gjøre:Hvis du ikke gjenkjenner navnet på en verktøylinje direkte, kan du bruke TonyKs BHO og verktøylinjeliste for å finne den etter klassen ID (CLSID, tallet mellom krøllete parenteser) og se om det er bra eller dårlig. I verktøylinjelisten betyr 'X' spionprogrammer og 'L' sikkert. Hvis det ikke er på listen, og navnet ser ut som en tilfeldig tegnstreng, og filen er i mappen 'Programdata' (som den siste i eksemplene ovenfor), er det sannsynligvis Lop.com, og du burde definitivt ha HijackThis fix den.

O4 - Autoloading programmer fra Register eller Oppstartsgruppe

Hva det ser ut som:O4 - HKLM .. Kjør: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Kjør: SystemTray SysTray.ExeO4 - HKLM .. Kjør: ccApp "C: Programmer Vanlige filer Symantec Shared ccApp.exe"O4 - Oppstart: Microsoft Office.lnk = C: Programmer Microsoft Office Office OSA9.EXEO4 - Global oppstart: winlogon.exe

Hva å gjøre:Bruk PacMan oppstartsliste for å finne oppføringen og se om det er bra eller dårlig.

Hvis elementet viser et program som sitter i en oppstartsgruppe (som det siste elementet ovenfor), kan HijackThis ikke fikse varen hvis dette programmet fortsatt er i minnet. Bruk Windows Task Manager (TASKMGR.EXE) for å lukke prosessen før du fikserer.

O5 - IE Valg ikke synlig i Kontrollpanel

Hva det ser ut som: O5 - control.ini: inetcpl.cpl = no

Hva å gjøre:Med mindre du eller systemadministratoren gjerne har skjult ikonet fra Kontrollpanel, må HijackThis fikse det.

O6 - IE Valg av tilgang begrenset av Administrator

Hva det ser ut som:O6 - HKCU Software Policies Microsoft Internet Explorer Begrensninger tilstede

Hva å gjøre:Med mindre du har alternativet Spybot S & D 'Lås hjemmeside fra endringer' aktiv, eller systemadministratoren legger dette på plass, må du fikse HijackThis.

O7 - Regedit-tilgang begrenset av administrator

Hva det ser ut som:O7 - HKCU Programvare Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Hva å gjøre:Alltid ha HijackThis fikse dette, med mindre systemadministratoren har satt denne begrensningen på plass.

O8 - Ekstra elementer i IE høyreklikkmeny

Hva det ser ut som: O8 - Ekstra kontekst menyelement: & Google Search - res: // C: WINDOWS NEDLASTET PROGRAMFILER GOOGLETOOLBAR_NO_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Ekstra kontekst menyelement: Yahoo! Søk - fil: /// C: Programmer Yahoo! Common / ycsrch.htmO8 - Ekstra kontekst menyelement: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Ekstra kontekst menyelement: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Hva å gjøre:Hvis du ikke gjenkjenner navnet på elementet i høyreklikkmenyen i IE, fikser HijackThis det.

O9 - Ekstra knapper på hoved IE-verktøylinjen, eller ekstra elementer i IE 'Verktøy' -menyen

Hva det ser ut som: O9 - Ekstra knapp: Messenger (HKLM)O9 - Extra 'Tools' meny: Messenger (HKLM)O9 - Ekstra knapp: AIM (HKLM)

Hva å gjøre:Hvis du ikke gjenkjenner navnet på knappen eller menyelementet, må du reparere HijackThis.

O10 - Winsock kapsler

Hva det ser ut som: O10 - Hijacked Internett-tilgang av New.NetO10 - Broken Internett-tilgang på grunn av LSP-leverandør 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' manglerO10 - Ukjent fil i Winsock LSP: c: programfiler newton knows vmain.dll

Hva å gjøre:Det er best å fikse disse ved hjelp av LSPFix fra Cexx.org, eller Spybot S & D fra Kolla.de.

Merk at "ukjente" filer i LSP-stakken ikke blir løst av HijackThis, for sikkerhetsproblemer.

O11 - Ekstra gruppe i IE 'Advanced Options' vinduet

Hva det ser ut som: O11 - Alternativgruppe: CommonName CommonName

Hva å gjøre:Den eneste kaperen som nå legger til sin egen opsjonsgruppe i vinduet IE Advanced Options, er CommonName. Så du kan alltid ha HijackThis fikse dette.

O12 - IE plugins

Hva det ser ut som: O12 - Plugin for .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin for .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Hva å gjøre:Mesteparten av tiden er disse trygge. Bare OnFlow legger til et plugin her som du ikke vil ha (.ofb).

O13 - IE StandardPrefix kapring

Hva det ser ut som: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW-prefiks: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefiks: http://ehttp.cc/?

Hva å gjøre:Disse er alltid dårlige. Har HijackThis fikse dem.

O14 - kapasitet for "Tilbakestilling av webinnstillinger"

Hva det ser ut som: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Hva å gjøre:Hvis nettadressen ikke er leverandør av datamaskinen eller Internett-leverandøren din, må du fikse HijackThis.

O15 - Uønskede nettsteder i Trusted Zone

Hva det ser ut som: O15 - Trusted Zone: http://free.aol.comO15 - Trusted Zone: * .coolwebsearch.comO15 - Trusted Zone: * .msn.com

Hva å gjøre:Mesteparten av tiden legger bare AOL og Coolwebsearch stille steder til den pålitelige sonen. Hvis du ikke har lagt til det oppførte domenet i den tillitssone selv, har HijackThis rettet det.

O16 - ActiveX-objekter (også nedlastede programfiler)

Hva det ser ut som: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hva å gjøre:Hvis du ikke gjenkjenner navnet på objektet, eller nettadressen det ble lastet ned fra, har HijackThis fikset det. Hvis navnet eller nettadressen inneholder ord som "dialer", "casino", "free_plugin" etc, må du definitivt fikse det. Javacools SpywareBlaster har en stor database med ondsinnede ActiveX-objekter som kan brukes til å slå opp CLSID-er. (Høyreklikk på listen for å bruke Finn-funksjonen.)

O17 - Lop.com domene hijacks

Hva det ser ut som: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parametre: Domene = W21944.find-quick.comO17 - HKLM Software .. Telefoni: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domene = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parametre: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Hva å gjøre:Hvis domenet ikke er fra Internett-leverandøren eller bedriftsnettverket, må du reparere HijackThis. Det samme gjelder for "SearchList" -oppføringene. For oppføringene "NameServer" (DNS-servere), Google for IP eller IP, og det blir enkelt å se om de er gode eller dårlige.

O18 - Ekstra protokoller og protokollkapere

Hva det ser ut som: O18 - Protokol: relaterte lenker - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Hva å gjøre:Bare noen få kapere kommer opp her. De kjente skurkene er 'cn' (CommonName), 'ayb' (Lop.com) og 'relatedlinks' (Huntbar), du burde ha HijackThis fikse dem. Andre ting som dukker opp, er heller ikke bekreftet trygge ennå, eller blir kapret (det vil si at CLSID er endret) av spionprogrammer. I sistnevnte tilfelle har HijackThis fikset det.

O19 - Bruker stilark kapring

Hva det ser ut som: O19 - Bruker stilark: c: WINDOWS Java my.css

Hva å gjøre:I tilfelle av en nedtur i nettleseren og hyppige popup-filer, har HijackThis fikse dette elementet hvis det vises i loggen. Men siden bare Coolwebsearch gjør dette, er det bedre å bruke CWShredder til å fikse det.

O20 - AppInit_DLLs Registreringsverdi autorun

Hva det ser ut som: O20 - AppInit_DLLs: msconfd.dll

Hva å gjøre:Denne registreringsverdien som er lokalisert på HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows laster en DLL i minnet når brukeren logger på, hvorpå den forblir i minnet til avlogging. Svært få legitime programmer bruker den (Norton CleanSweep bruker APITRAP.DLL), oftest brukes den av trojanere eller aggressive nettleserkapere.

I tilfelle en "skjult" DLL lastes fra denne registret verdien (kun synlig når du bruker 'Rediger binære data' alternativet i Regedit), kan dll-navnet være prefiks med et rør '|' for å gjøre det synlig i loggen.

O21 - ShellServiceObjectDelayLoad

Hva det ser ut som: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Hva å gjøre:Dette er en ikke-dokumentert autorunmetode, som vanligvis brukes av noen Windows-systemkomponenter. Elementer oppført på HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad lastes av Utforsker når Windows starter. HijackThis bruker en hviteliste av flere svært vanlige SSODL-elementer, så når et element vises i loggen, er det ukjent og muligens skadelig. Behandle med ekstrem forsiktighet.

O22 - SharedTaskScheduler

Hva det ser ut som: O22 - SharedTaskScheduler: (ingen navn) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Hva å gjøre:Dette er en utokumentert autorun for Windows NT / 2000 / XP, som brukes svært sjelden. Så langt bruker bare CWS.Smartfinder det. Behandle med forsiktighet.

O23 - NT Services

Hva det ser ut som: O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Programmer Kerio Personal Firewall persfw.exe

Hva å gjøre:Dette er noteringen av ikke-Microsoft-tjenester.Listen bør være den samme som den du ser i Msconfig-verktøyet i Windows XP. Flere trojanske hijackere bruker en hjemmelaget tjeneste i forhold til andre oppstart for å installere seg på nytt. Det fulle navnet er vanligvis viktig, for eksempel "Nettverkssikkerhetstjeneste", "Innloggingstjeneste for arbeidsstasjoner" eller "Fjernprosedyrehjelper", men det interne navnet (mellom parenteser) er en søppelstreng, som "Ort". Den andre delen av linjen er eieren av filen på slutten, som vist i filens egenskaper.

Merk at å fikse en O23-gjenstand, vil bare stoppe tjenesten og deaktivere den. Tjenesten må slettes fra registeret manuelt eller med et annet verktøy. I hijackThis 1.99.1 eller høyere kan knappen "Delete NT Service" i Misc Tools-delen brukes til dette.

Slik unngår du bildeforvrengning på stående lysbilder

Slik unngår du bildeforvrengning på stående lysbilder

Finn ut hvordan du endrer lysbildesetningen fra landskap til portrett i PowerPoint og ikke har forvrengning i bildene.

Slik analyserer du XML-filer i Xcode

Slik analyserer du XML-filer i Xcode

Den vanlige oppgaven med å analysere RSS- eller XML-filer gjøres enkelt i denne trinnvise mål-C-veiledningen som viser deg hvordan du gjør det.

Slik løser du en YouTube-video slik at den gjentas kontinuerlig

Slik løser du en YouTube-video slik at den gjentas kontinuerlig

Vil du spille en YouTube-video på gjenta gratis? Her er de tre enkleste måtene å løse din favoritt YouTuber eller musikkvideo. Ingen kjøp nødvendig.

Redaksjonens