Kijan Pou Analize mòso HijackThis

Entèprete Done Log pou ede retire espyon ak navigatè taksi

HijackThis se yon zouti gratis nan tandans Micro. Li te orijinal devlope pa Merijn Bellekom, yon elèv nan Netherlands. Lojisyèl retire espyon tankou Adaware oswa Spybot S & D fè yon bon travay nan detekte ak retire pi pwogram espyon, men gen kèk espyon ak detounè avyon navigatè yo twò trètr pou menm sa yo gwo anti-espyon sèvis piblik yo.

HijackThis se ekri espesyalman yo detekte epi retire navigatè hijacks, oswa lojisyèl ki pran sou navigatè entènèt ou, transforms paj default default ou ak motè rechèch ak lòt bagay move. Kontrèman ak tipik anti-espyon lojisyèl, HijackThis pa itilize siyati oswa sib nenpòt pwogram espesifik oswa URL nan detekte ak bloke. Olye de sa, HijackThis sanble pou ke trik nouvèl yo ak metòd yo itilize pa malveyan enfekte sistèm ou ak redireksyon navigatè ou a.

Se pa tout bagay ki montre moute nan mòso bwa yo HijackThis se move bagay epi li pa ta dwe tout dwe retire li. An reyalite, byen opoze an. Li se prèske garanti ke kèk nan atik yo nan mozayik HijackThis ou yo pral lojisyèl lejitim ak retire bagay sa yo ka negativman enpak sou sistèm ou a oswa rann li konplètman inutilizabl. Sèvi ak HijackThis se yon anpil tankou koreksyon Rejis la Windows tèt ou. Li se pa syans fize, men ou ta dwe definitivman pa fè li san yo pa kèk konsèy ekspè sof si ou reyèlman konnen ki sa ou ap fè.

Yon fwa ou enstale HijackThis ak kouri li nan jenere yon dosye boutèy demi lit, gen yon gran varyete fowòm ak sit kote ou ka afiche oswa Upload done boutèy demi lit ou. Ekspè ki konnen ki sa yo gade pou ka Lè sa a, ede w analize done yo boutèy demi lit ak konseye w sou ki atik yo retire ak ki sa yo kite pou kont li.

Pou telechaje vèsyon aktyèl la nan HijackThis, ou ka vizite sit ofisyèl la nan tandans Micro.

Isit la se yon BECA de antre yo log HijackThis ki ou ka itilize pou vole pou enfòmasyon ou ap chache:

• R0, R1, R2, R3 - Internet Explorer Start / Search paj URL
• F0, F1 - Autoloading pwogram
• N1, N2, N3, N4 - Netscape / Mozilla Start / Search paj URL
• O1 - Ki gen tout pouvwa a
• O2 - Objè Navigatè ajan
• O3 - Internet Explorer bar
• O4 - Autoloading pwogram nan Rejis
• O5 - IE Opsyon icon pa vizib nan Kontwòl Panel
• O6 - IE Opsyon aksè restriksyon pa Administratè
• O7 - Regedit aksè restriksyon pa Administratè
• O8 - atik siplemantè nan IE meni dwa klike sou
• O9 - bouton Siplemantè sou prensipal IE bouton ba ikòn, oswa atik siplemantè nan meni 'Zouti IE'
• O10 - Winsock kidnape avyon
• O11 - Siplemantè gwoup nan fenèt Opsyon IE 'fenèt la
• O12 - IE grefon
• O13 - IE DefaultPrefix detounen
• O14 - 'Reset Web Anviwònman' detounen
• O15 - Sit vle nan Zòn Trusted
• O16 - ActiveX objè (aka Download dosye Files)
• O17 - Lop.com domaj domèn
• O18 - pwotokòl siplemantè ak pwotokòl detounè
• O19 - Itilizatè fèy detachman fèy
• O20 - AppInit_DLLs Rejis valè otoron
• O21 - ShellServiceObjectDelayLoad Rejis kle autorun
• O22 - SharedTaskScheduler Rejis kle otorun

• O23 - Windows NT Sèvis

R0, R1, R2, R3 - IE Start ak rechèch paj

Ki sa ki sanble:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (sa a kalite pa itilize pa HijackThis ankò)
R3 - Default URLSearchHook ki manke

Kisa pou fe:
Si ou rekonèt URL la nan fen a kòm paj dakèy ou oswa motè rechèch, li nan OK. Si ou pa, tcheke li epi yo gen HijackThis ranje li. Pou atik yo R3, toujou ranje yo sof si li mansyone yon pwogram ou rekonèt, tankou Copernic.

F0, F1, F2, F3 - Autoloading pwogram nan dosye INI

Ki sa ki sanble:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: kouri = hpfsched

Kisa pou fe:
Atik yo F0 yo toujou move, se konsa ranje yo. Atik yo F1 yo anjeneral pwogram trè fin vye granmoun ki san danje, kidonk, ou ta dwe jwenn kèk plis enfòmasyon sou fichye a yo wè si li nan bon oswa move. Lis demaraj Pacman a ka ede ak idantifye yon atik.

N1, N2, N3, N4 - Netscape / Mozilla Kòmanse & amp; Rechèch paj

Ki sa ki sanble:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Pwogram Files \ Netscape \ Itilizatè yo \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokiman ak Anviwònman \ Itilizatè \ Aplikasyon Done \ Mozilla \ pwofil \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "motè: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokiman ak Anviwònman \ Itilizatè \ Aplikasyon Done \ Mozilla \ pwofil \ defaulto9t1tfl.slt \ prefs.js)

Kisa pou fe:
Anjeneral Netscape a ak Mozilla paj dakèy ak paj rechèch yo san danje. Yo raman jwenn avyon, se sèlman Lop.com te li te ye pou fè sa. Ou ta dwe wè yon URL ou pa rekonèt kòm paj dakèy ou an oswa paj rechèch, gen HijackThis ranje li.

O1 - rdirèksyon Hostsfile

Ki sa ki sanble:
O1 - gen tout pouvwa a: 216.177.73.139 auto.search.msn.com
O1 - gen tout pouvwa a: 216.177.73.139 search.netscape.com
O1 - Gen tout pouvwa a: 216.177.73.139 ieautosearch
O1 - Akèy dosye a sitiye nan C: \ Windows \ Help \ gen tout pouvwa a

Kisa pou fe:
Gid sa a pral redireksyon adrès la sou bò dwat la nan adrès la IP sou bò gòch la. Si IP la pa fè pati adrès la, ou pral reyorante resous nan yon sit ki mal chak fwa ou antre nan adrès la. Ou ka toujou gen HijackThis ranje sa yo, sof si ou fè espre mete liy sa yo nan dosye Héberge ou.

Atik ki sot pase a pafwa rive sou Windows 2000 / XP ak yon enfeksyon Coolwebsearch. Toujou ranje atik sa a, oswa ou gen CWShredder reparasyon li otomatikman.

O2 - Objè Navigatè ajan

Ki sa ki sanble:
O2 - BHO: Yahoo! Konpayon BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PWOGRAM FILES \ YAHOO! \ KONPAYIYON \ YCOMP5_0_2_4.DLL
O2 - BHO: (non non) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PWOGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (dosye ki manke)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PWOGRAM FILES \ MEDIALOAD ENHANCED \ ME1.DLL

Kisa pou fe:
Si ou pa rekonèt dirèkteman yon non Helper Objè Navigatè, sèvi ak BHO & Toolbar Lis TonyK a pou jwenn li pa id klas la (CLSID, nimewo ant parantèz Curly) ak wè si li bon oswa move. Nan lis la BHO, 'X' vle di espyon ak 'L' vle di san danje.

O3 - IE bar

Ki sa ki sanble:
O3 - Toolbar: & Yahoo! Konpayon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PWOGRAM FILES \ YAHOO! \ KONPAYIYON \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Pwogram Files \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (dosye ki manke)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APLIKASYON DATA \ CKSTPRLLNQUL.DLL

Kisa pou fe:
Si ou pa rekonèt dirèkteman yon non zouti, sèvi ak BHO & Toolbar Lis TonyK pou jwenn li pa id klas la (CLSID, nimewo ant parantèz Curly) epi wè si li bon oswa move. Nan lis la Toolbar, 'X' vle di espyon ak 'L' vle di san danje. Si li pa sou lis la ak non an sanble yon fisèl o aza nan karaktè ak dosye a se nan folder nan 'Done Aplikasyon' (tankou youn nan dènye nan egzanp ki anwo yo), li la pwobableman Lop.com, epi ou definitivman ta dwe gen HijackThis ranje li.

O4 - Autoloading pwogram nan Rejis oswa Gwoup startup

Ki sa ki sanble:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Kouri: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Kouri: [ccApp] "C: \ Pwogram Files \ Komen Files \ Symantec Pataje \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Pwogram Files \ Microsoft Office \ Biwo \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Kisa pou fe:
Sèvi ak Lis Startup PacMan a jwenn antre a ak wè si li nan bon oswa move.

Si atik la montre yon pwogram chita nan yon gwoup startup (tankou dènye atik ki anwo a), HijackThis pa ka ranje atik la si pwogram sa a toujou nan memwa. Sèvi ak Windows Objektif Travay la Manadjè a (TASKMGR.EXE) yo fèmen pwosesis la anvan yo fikse.

O5 - Opsyon IE pa vizib nan Kontwòl Panel

Ki sa ki sanble:
O5 - control.ini: inetcpl.cpl = non

Kisa pou fe:
Sòf si oumenm oswa administratè sistèm ou an te konnen kache ikòn ki soti nan Kontwòl Panel, gen HijackThis ranje li.

O6 - IE Opsyon aksè restriksyon pa Administratè

Ki sa ki sanble:
O6 - HKCU \ Software \ Règleman \ Microsoft \ Internet Explorer \ Restriksyon prezan

Kisa pou fe:
Sòf si ou gen paj dakèy la aksè Spybot S & D 'soti nan chanjman' aktif, oswa administratè sistèm ou a mete sa a nan plas, gen HijackThis ranje sa a.

O7 - Regedit aksè restriksyon pa Administratè

Ki sa ki sanble:
O7 - HKCU \ Software \ Microsoft Windows \ KouranVersion \ Règleman \ Sistèm, DisableRegedit = 1

Kisa pou fe:
Toujou gen HijackThis ranje sa a, sof si administratè sistèm ou a mete restriksyon sa a an plas.

O8 - atik siplemantè nan IE meni dwa klike sou

Ki sa ki sanble:
O8 - Siplemantè kontèks meni atik: & Google Search - res: / / C: \ fenèt \ DOWNLOAD PWOGRAM FILE \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Siplemantè atik meni kontèks: Yahoo! Search - dosye: /// C: \ Pwogram Files \ Yahoo! \ Common / ycsrch.htm
O8 - Siplemantè kontèks meni atik: Zoom & Nan - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Siplemantè meni kontèks: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Kisa pou fe:
Si ou pa rekonèt non an nan atik la nan meni an dwa-klike sou nan IE, gen HijackThis ranje li.

O9 - bouton Siplemantè sou IE ba ikòn prensipal la, oswa atik anplis nan IE Zouti & # 39; meni

Ki sa ki sanble:
O9 - bouton siplemantè: mesaje (HKLM)
O9 - Siplemantè 'Zouti' meni: Messenger (HKLM)
O9 - bouton siplemantè: AIM (HKLM)

Kisa pou fe:
Si ou pa rekonèt non an nan bouton an oswa atik meni, gen HijackThis ranje li.

O10 - Winsockers Winsock

Ki sa ki sanble:
O10 - aksidan aksè entènèt pa New.Net
O10 - Broken entènèt aksè paske nan founisè LSP 'c: \ progra ~ 1 \ Common ~ 2 \ toolbar \ cnmib.dll' manke
O10 - Unknown dosye nan Winsock LSP: c: \ pwogram dosye \ newton konnen \ vmain.dll

Kisa pou fe:
Li pi bon yo ranje sa yo lè l sèvi avèk LSPFix soti nan Cexx.org, oswa Spybot S & D soti nan Kolla.de.

Remake ke dosye enkoni nan pile LSP a pa pral fiks pa HijackThis, pou pwoblèm sekirite.

O11 - Gwoup siplemantè nan IE Opsyon avanse & # 39; fenèt

Ki sa ki sanble:
O11 - Opsyon gwoup: [CommonName] CommonName

Kisa pou fe:
Sèlman kidnapeur a kòm nan kounye a ki ajoute pwòp gwoup opsyon li yo nan fenèt la Opsyon IE Advanced CommonName. Se konsa, ou ka toujou gen HijackThis ranje sa a.

O12 - IE grefon

Ki sa ki sanble:
O12 - Plugin pou .spop: C: \ Pwogram Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin pou .PDF: C: \ Pwogram Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Kisa pou fe:
Pifò nan tan sa a yo san danje. Se sèlman OnFlow ajoute yon Plugin isit la ke ou pa vle (.ofb).

O13 - IE DefaultPrefix detounen

Ki sa ki sanble:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefiks: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiks: http://ehttp.cc/?

Kisa pou fe:
Sa yo toujou move. Fè HijackThis ranje yo.

O14 - Reset Web Anviwònman & # 39; detounen

Ki sa ki sanble:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Kisa pou fe:
Si URL la se pa founisè a nan òdinatè w lan oswa ISP ou a, gen HijackThis ranje li.

O15 - Sit vle nan Zòn Trusted

Ki sa ki sanble:
O15 - Zòn konfyans: http://free.aol.com
O15 - Zòn konfyans: * .coolwebsearch.com
O15 - Zòn konfyans: * .msn.com

Kisa pou fe:
Pifò nan moman an sèlman AOL ak Coolwebsearch an silans ajoute sit nan zòn nan konfyans. Si ou pa t 'ajoute domèn nan ki nan lis nan zòn nan konfyans tèt ou, gen HijackThis ranje li.

O16 - ActiveX objè (aka Download dosye Files)

Ki sa ki sanble:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash objè) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Kisa pou fe:
Si ou pa rekonèt non an nan objè a, oswa URL la li te telechaje soti nan, gen HijackThis ranje li. Si non an oswa URL gen mo tankou 'dialer', 'kazino', 'free_plugin' elatriye, definitivman fikse li. Javacool a SpywareBlaster gen yon baz done gwo nan objè move ActiveX ki ka itilize pou kap moute CLSIDs. (Dwa-klike sou lis la yo sèvi ak fonksyon an jwenn.)

O17 - Lop.com domèn danjere

Ki sa ki sanble:
O17 - HKLM \ Sistèm \ CCS \ Sèvis \ VxD \ MSTCP: Domèn = aoldsl.net
O17 - HKLM \ Sistèm \ CCS \ Sèvis \ Tcpip \ Paramèt: Domèn = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: Domèn Non = W21944.find-quick.com
O17 - HKLM \ Sistèm \ CCS \ Sèvis \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domèn = W21944.find-quick.com
O17 - HKLM \ Sistèm \ CS1 \ Sèvis \ Tcpip \ Paramèt: SearchList = gla.ac.uk
O17 - HKLM \ Sistèm \ CS1 \ Sèvis \ VxD \ MSTCP: NonServer = 69.57.146.14,69.57.147.175

Kisa pou fe:
Si domèn la pa soti nan rezo ISP ou oswa konpayi, ou gen HijackThis ranje li. Menm bagay la tou ale pou 'SearchList' antre yo. Pou 'NonServer' ( dns serveurs ) antre yo, Google pou IP la oswa IP yo epi li pral fasil yo wè si yo bon oswa move.

O18 - pwotokòl siplemantè ak pwotokòl detounè

Ki sa ki sanble:
O18 - Pwotokòl: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Pwotokòl: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Pwotokòl detounen: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Kisa pou fe:
Se sèlman yon detounè kèk montre moute isit la. Baddies yo li te ye yo 'cn' (KomenName), 'ayb' (Lop.com) ak 'relatedlinks' (Huntbar), ou ta dwe gen HijackThis ranje sa yo. Lòt bagay ki montre moute swa pa konfime san danje ankò, oswa yo te avyon (sa vle di CLSID a te chanje) pa espyon. Nan ka ki sot pase a, gen HijackThis ranje li.

O19 - Itilizatè fèy detachman fèy

Ki sa ki sanble:
O19 - Itilizatè style fèy: c: \ WINDOWS \ Java \ my.css

Kisa pou fe:
Nan ka yon ralentissement navigatè ak popup souvan, gen HijackThis ranje sa a atik si li montre moute nan boutèy la. Sepandan, depi sèlman Coolwebsearch fè sa, li pi bon yo sèvi ak CWShredder ranje li.

O20 - AppInit_DLLs Rejis valè otoron

Ki sa ki sanble:
O20 - AppInit_DLLs: msconfd.dll

Kisa pou fe:
Sa a valè Rejis ki sitiye nan HKEY_LOCAL_MACHINE \ Software \ Microsoft Windows NT \ kurantvèrsyon Windows kouri yon DLL nan memwa lè itilizatè a journaux, apre yo fin ki li rete nan memwa jouk logoff. Trè kèk pwogram lejitim sèvi ak li (Norton CleanSweep itilize APITRAP.DLL), pi souvan li se itilize pa trojans oswa detounè avètisman navigatè.

Nan ka a nan yon 'kache' DLL loading soti nan valè sa a Rejis (sèlman vizib lè w ap itilize 'Edit Binè Done' opsyon nan Regedit) ka non an dll dwe prefiks ak yon tiyo '| fè li vizib nan boutèy la.

O21 - ShellServiceObjectDelayLoad

Ki sa ki sanble:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Kisa pou fe:
Sa a se yon metòd autorun san papye, nòmalman itilize pa yon kèk konpozan Windows sistèm. Atik ki nan lis nan HKEY_LOCAL_MACHINE lojisyèl Microsoft Windows kurantvèrsyon ShellServiceObjectDelayLoad yo chaje pa Explorer lè Windows kòmanse. HijackThis sèvi ak yon whitelist nan atik plizyè SSODL trè komen, kidonk chak fwa yon atik parèt nan boutèy la li se enkoni e pètèt move. Trete avèk swen ekstrèm.

O22 - SharedTaskScheduler

Ki sa ki sanble:
O22 - SharedTaskScheduler: (non non) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Kisa pou fe:
Sa a se yon autorun san papye pou Windows NT / 2000 / XP sèlman, ki te itilize trè raman. Se konsa, lwen sèlman CWS.Smartfinder itilize li. Trete avèk swen.

O23 - NT Sèvis

Ki sa ki sanble:
O23 - Sèvis: Kerio Pèsonèl Firewall (PersFw) - Kerio teknoloji - C: \ Pwogram Files \ Kerio \ Personnel Firewall \ persfw.exe

Kisa pou fe:
Sa a se lis sèvis ki pa Microsoft. Lis la ta dwe menm bagay la tou ke yon sèl nan ou wè nan sèvis piblik la Msconfig nan Windows XP. Anpil eskanmèt trojan itilize yon sèvis endijèn nan adition lòt star yo réinstaller tèt yo. Non konplè a anjeneral enpòtan-kònen klewon, tankou 'Network Security Service', 'Workstation Logon Service' oswa 'Rele Helper Pwosedi Rele', men non an entèn (ant parantèz) se yon fisèl nan fatra, tankou 'Ort'. Dezyèm pati a nan liy lan se mèt kay la nan dosye a nan fen a, jan yo wè nan pwopriyete dosye a.

Remake byen ke fikse yon atik O23 pral sèlman sispann sèvis la ak enfim li. Sèvis la bezwen yo dwe efase nan Rejis la manyèlman oswa ak yon lòt zouti. Nan HijackThis 1.99.1 oswa pi wo, bouton an 'Delete NT Sèvis' nan seksyon an Zouti Misc ka itilize pou sa a.