Interpretace dat protokolu k odstranění spywaru a únosců prohlížeče
HijackThis je bezplatný nástroj od společnosti Trend Micro. Původně byl vyvinut Merijn Bellekom, žákem v Holandsku. Software pro odstraňování spywaru, jako je například Adaware nebo Spybot S & D, dobře odhaluje a odstraňuje většinu programů spyware, ale někteří únosci spywaru a prohlížečů jsou příliš zákeřní i pro tyto skvělé nástroje proti spywaru.
HijackThis je napsán speciálně pro detekci a odstranění únosů prohlížeče nebo software, který přebírá váš webový prohlížeč, mění výchozí domovskou stránku a vyhledávač a další škodlivé věci. Na rozdíl od typického anti-spyware software, HijackThis nepoužívá podpisy ani necílí žádné specifické programy nebo adresy URL, které by je mohly detekovat a zablokovat. Spíše HijackThis hledá triky a metody používané malwarem k infikování vašeho systému a přesměrování vašeho prohlížeče.
Ne všechno, co se objeví v protokolech HijackThis, je špatná věc a neměla by být odstraněna. Ve skutečnosti je to naopak. Je téměř zaručeno, že některé položky vašich protokolů HijackThis budou legitimní software a odstranění těchto položek může mít nepříznivý dopad na váš systém nebo může být zcela nefunkční. Použití programu HijackThis je spousta podobných úprav samotného registru systému Windows . Není to věda o raketách, ale určitě byste to neměli dělat bez nějakého odborného poradenství, pokud skutečně nevíte, co děláte.
Jakmile nainstalujete program HijackThis a spustíte ho tak, abyste generovali soubor protokolu, existuje široká škála fór a webů, kde můžete odesílat nebo nahrát data protokolu. Odborníci, kteří vědí, co hledat, vám pak mohou pomoci analyzovat data protokolu a poradit vám, které položky je třeba odstranit a které z nich nechat.
Chcete-li stáhnout aktuální verzi aplikace HijackThis, můžete navštívit oficiální stránky společnosti Trend Micro.
Zde je přehled položek protokolu HijackThis, které můžete použít k přesunu na požadované informace:
- R0, R1, R2, R3 - Adresy URL Start / Search stránek Internet Explorer
- F0, F1 - Autoloading programy
- N1, N2, N3, N4 - Adresy URL stránek Netscape / Mozilla Start / Vyhledávání
- O1 - Přesměrování souborů hostitele
- O2 - Objekty pomocníka prohlížeče
- O3 - Panely nástrojů aplikace Internet Explorer
- O4 - Automatické programy z registru
- O5 - ikona Možnosti IE není zobrazena v Ovládacích panelech
- O6 - Možnosti přístupu IE omezena administrátorem
- O7 - Přístup omezený administrátorem
- O8 - Další položky v nabídce pravého tlačítka IE
- O9 - Další tlačítka na hlavním panelu nástrojů tlačítka IE nebo další položky v nabídce IE 'Nástroje'
- O10 - únosce Winsock
- O11 - Další skupina v okně IE "Rozšířené možnosti"
- O12 - IE pluginy
- O13 - IE DefaultPrefix únosu
- O14 - "Obnovit nastavení webových stránek"
- O15 - nežádoucí místo v důvěryhodné zóně
- O16 - Objekty ActiveX (také známé soubory programů)
- O17 - únosci domény Lop.com
- O18 - Extra protokoly a únosci protokolů
- O19 - Hijack uživatelského stylu
- O20 - AppInit_DLLs Hodnota registru autorun
- O21 - ShellServiceObjectDelayLoad Klíč registru autorun
- O22 - SharedTaskScheduler Klíč registru Autorun
- O23 - služby Windows NT
R0, R1, R2, R3 - stránky IE Start a Search
Jak to vypadá:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, stránka Start = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (tento typ zatím HijackThis nepoužívá)
R3 - Výchozí URLSearchHook chybí
Co dělat:
Pokud poznáte adresu URL na konci jako domovskou stránku nebo vyhledávač, je to v pořádku. Pokud tak neučiníte, zkontrolujte je a nechte ho opravit. Pro položky R3 je vždy opravte, pokud nezmiňuje program, který poznáte, jako je Copernic.
F0, F1, F2, F3 - Autoloading programy z INI souborů
Jak to vypadá:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Co dělat:
Položky F0 jsou vždy špatné, takže je opravte. Položky F1 jsou obvykle velmi staré programy, které jsou bezpečné, takže byste měli najít další informace o názvu souboru, abyste zjistili, zda je to dobré nebo špatné. Seznam Pacman Startup může pomoci při identifikaci položky.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Vyhledávací stránka
Jak to vypadá:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ Uživatel \ Data aplikace \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ Uživatel \ Data aplikace \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Co dělat:
Obvykle jsou domovská stránka a vyhledávací stránka Netscape a Mozilla bezpečné. Oni zřídka se unesou, jen Lop.com je známo, že to udělat. Pokud byste viděli adresu URL, kterou nerozpoznáte jako svou domovskou stránku nebo vyhledávací stránku, opravte ji pomocí nástroje HijackThis.
O1 - Přesměrování hostsfile
Jak to vypadá:
O1 - Počítače: 216.177.73.139 auto.search.msn.com
O1 - Hostitelé: 216.177.73.139 search.netscape.com
O1 - Hostitelé: 216.177.73.139 ieautosearch
O1 - soubor hostitelů je umístěn v adresáři C: \ Windows \ Help \ hosts
Co dělat:
Tento únos přesměruje adresu napravo na adresu IP vlevo. Pokud adresa IP nepatří k adrese, budete přesměrováni na nesprávný web vždy, když zadáte adresu. Vždy můžete mít HijackThis opravit tyto, pokud jste vědomě dal tyto řádky v souboru Hosts.
Poslední položka se někdy vyskytuje v systému Windows 2000 / XP s infekcí Coolwebsearch. Tuto opravu vždy opravte, nebo ji nechte opravit automaticky.
O2 - Objekty pomocníka prohlížeče
Jak to vypadá:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAMOVÉ SOUBORY \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (bez názvu) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAMOVÉ SOUBORY \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (soubor chybí)
O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAMOVÉ SOUBORY \ ZVÝŠENÉ MÉDIA \ ME1.DLL
Co dělat:
Pokud přímo nerozpoznáte název objektu pomocného prohlížeče, použijte seznam BHO a panelu nástrojů TonyK a najděte jej podle ID třídy (CLSID, číslo mezi kolečkovými závorkami) a uvidíte, zda je to dobré nebo špatné. V seznamu BHO znamená "X" spyware a "L" znamená bezpečný.
O3 - IE panely nástrojů
Jak to vypadá:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAMOVÉ SOUBORY \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Panel nástrojů: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAMOVÉ SOUBORY \ POPUP ELIMINATOR \ PETOOLBAR401.DLL
O3 - panel nástrojů: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Co dělat:
Pokud přímo nerozpoznáváte název panelu nástrojů, použijte seznam BHO a panelu nástrojů TonyK a najděte jej podle ID třídy (CLSID, číslo mezi kolečkovými závorkami) a zjistěte, zda je to dobré nebo špatné. V seznamu panelů nástrojů znamená "X" spyware a "L" znamená bezpečný. Pokud není v seznamu a název se zdá náhodný řetězec znaků a soubor je ve složce "Data aplikace" (jako poslední v příkladech výše), je to pravděpodobně Lop.com a určitě byste měli mít opravu HijackThis to.
O4 - Automatické programy z registru nebo spouštěcí skupiny
Jak to vypadá:
O4 - HKLM \ .. \ Spustit: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Spustit: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Spustit: [ccApp] "C: \ Program Files \ Společné soubory \ Symantec Shared \ ccApp.exe"
O4 - Uvedení do provozu: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Globální spuštění: winlogon.exe
Co dělat:
Použijte seznam spouštění programu PacMan, abyste našli záznam a zjistili, zda je dobrý nebo špatný.
Pokud položka zobrazuje program sedící ve skupině Startup (jako poslední položka výše), HijackThis nemůže tuto položku opravit, pokud je tento program stále v paměti. Pomocí Správce úloh systému Windows (TASKMGR.EXE) ukončete proces před opravou.
O5 - Možnosti IE, které nejsou zobrazeny v Ovládacích panelech
Jak to vypadá:
O5 - control.ini: inetcpl.cpl = ne
Co dělat:
Pokud jste vy nebo váš správce systému vědomě skryli ikonu z Ovládacího panelu, opravte jej HijackThis.
O6 - Možnosti přístupu IE omezena administrátorem
Jak to vypadá:
O6 - Součást HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions
Co dělat:
Pokud nebudete mít možnost Spybot S & D "aktivní z domova zámku z aktivních změn" nebo správce systému uvedete na své místo, opravte tuto chybu HijackThis.
O7 - Přístup omezený administrátorem
Jak to vypadá:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ systém, DisableRegedit = 1
Co dělat:
HijackThis to vždy opravte, pokud správce systému toto omezení neuložil.
O8 - Další položky v nabídce pravého tlačítka IE
Jak to vypadá:
O8 - Extra kontextová nabídka: & Vyhledávání Google - res: // C: \ WINDOWS \ SOUBORY SOUBORU DOWNLOADED \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra kontextové menu: Yahoo! Vyhledávání - soubor: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Extra kontextová nabídka: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra kontextová nabídka: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Co dělat:
Pokud nepoznáte název položky v nabídce pravého tlačítka myši v aplikaci IE, opravte jej.
O9 - Další tlačítka na hlavním panelu nástrojů IE nebo další položky v nástroji IE & # 39; Jídelní lístek
Jak to vypadá:
O9 - tlačítko Extra: Messenger (HKLM)
O9 - Extra 'Nástroje' menuitem: Messenger (HKLM)
O9 - tlačítko Extra: AIM (HKLM)
Co dělat:
Pokud nepoznáte název tlačítka nebo položky nabídky, opravte ho.
O10 - únosci Winsock
Jak to vypadá:
O10 - Uniklým přístupem k Internetu prostřednictvím sítě New.Net
O10 - Zlomený přístup k Internetu kvůli chybějícímu poskytovateli LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll'
O10 - neznámý soubor ve Winsocku LSP: c: \ program files \ newton knows \ vmain.dll
Co dělat:
Nejlepší je opravit pomocí LSPFix z Cexx.org nebo Spybot S & D od Kolla.de.
Všimněte si, že "neznámé" soubory v zásobníku LSP nebudou HijackThis opraveny, pokud jde o bezpečnostní problémy.
O11 - Další skupina v pokročilých IE & # 39; okno
Jak to vypadá:
O11 - Skupina možností: [CommonName] CommonName
Co dělat:
Jediným únoscem, který nyní přidá svou vlastní skupinu voleb do okna IE Advanced Options, je CommonName. Takže můžete vždy mít HijackThis to opravit.
O12 - IE pluginy
Jak to vypadá:
O12 - Plugin pro .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin pro .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Co dělat:
Většinou jsou to bezpečné. Pouze OnFlow přidává plugin, který nechcete (.ofb).
O13 - IE DefaultPrefix únosu
Jak to vypadá:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - předpona WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Předpona: http://ehttp.cc/?
Co dělat:
Ty jsou vždy špatné. HijackThis je opravit.
O14 - "Resetovat nastavení webu" únos
Jak to vypadá:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Co dělat:
Není-li adresa URL poskytovatelem vašeho počítače nebo poskytovatelem internetových služeb, opravte ho pomocí nástroje HijackThis.
O15 - nežádoucí stránky v důvěryhodné zóně
Jak to vypadá:
O15 - důvěryhodná zóna: http://free.aol.com
O15 - důvěryhodná zóna: * .coolwebsearch.com
O15 - důvěryhodná zóna: * .msn.com
Co dělat:
Většinou pouze AOL a Coolwebsearch tiše přidávají do Důvěryhodné zóny stránky. Pokud jste do domény Důvěryhodná doména nepřičetli tuto doménu, musíte ji opravit pomocí nástroje HijackThis.
O16 - Objekty ActiveX (také známé soubory programů)
Jak to vypadá:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Co dělat:
Pokud nerozpoznáte název objektu nebo adresu URL, ze které byla stažena, opravte ho. Pokud název nebo adresa URL obsahuje slova jako "dialer", "casino", "free_plugin" atd., Rozhodně to opravte. SpywareBlaster společnosti Javacool má obrovskou databázi škodlivých objektů ActiveX, které lze použít pro prohlížení CLSID. (Klepnutím pravým tlačítkem myši na seznam použijte funkci Hledat.)
O17 - únosy domény Lop.com
Jak to vypadá:
O17 - HKLM \ Systém \ CCS \ Služby \ VxD \ MSTCP: Doména = aoldsl.net
O17 - HKLM \ Systém \ CCS \ Služby \ Tcpip \ Parametry: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonie: DomainName = W21944.find-quick.com
O17 - HKLM \ Systém \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Doména = W21944.find-quick.com
O17 - HKLM \ Systém \ CS1 \ Služby \ Tcpip \ Parametry: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ služby \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Co dělat:
Pokud doména není z vaší ISP nebo firemní sítě, opravte ji pomocí HijackThis. Totéž platí pro položky "SearchList". Pro položky "NameServer" ( servery DNS ), Google pro IP nebo IP a bude snadné zjistit, zda jsou dobré nebo špatné.
O18 - Extra protokoly a únosci protokolů
Jak to vypadá:
O18 - Protokol: související odkazy - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Hijack protokolu: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Co dělat:
Jen pár únosců se zde objeví. Známí baddiové jsou 'cn' (CommonName), 'ayb' (Lop.com) a 'relatedlinks' (Huntbar), měli byste mít HijackThis opravit ty. Další věci, které se objeví, buď nejsou potvrzeny v bezpečí, nebo jsou uneseny (tj. CLSID byly změněny) spywarem. V posledním případě jej opravte HijackThis.
O19 - Hijack uživatelského stylu
Jak to vypadá:
O19 - uživatelský styl stylu: c: \ WINDOWS \ Java \ my.css
Co dělat:
V případě zpomalení prohlížeče a častých vyskakovacích oken, nechte HijackThis tuto položku opravit, pokud se objeví v protokolu. Nicméně, jelikož to dělá pouze Coolwebsearch, je lepší použít CWShredder k opravě.
O20 - AppInit_DLLs Hodnota registru autorun
Jak to vypadá:
O20 - AppInit_DLLs: msconfd.dll
Co dělat:
Tato hodnota registru umístěná na serveru HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows načte DLL do paměti, když se uživatel přihlásí a poté zůstane v paměti až do odhlášení. Velmi málo legitimních programů to používá (Norton CleanSweep používá APITRAP.DLL), nejčastěji je používán trojskými koněmi nebo agresivními únosci prohlížečů.
V případě "skrytého" načtení DLL z této hodnoty registru (viditelné pouze při použití možnosti "Upravit binární data" v registru Regedit) může být název DLL předponován potrubím '|' aby byl v protokolu viditelný.
O21 - ShellServiceObjectDelayLoad
Jak to vypadá:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ Auhook.dll
Co dělat:
Jedná se o neregistrovanou autorunovou metodu, běžně používanou několika komponentami systému Windows. Položky uvedené na HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad jsou načteny aplikací Explorer při spuštění systému Windows. HijackThis používá whitelist několika velmi běžných položek SSODL, takže kdykoli je položka zobrazena v protokolu, je neznámá a možná škodlivá. Vyvarujte se extrémní péče.
O22 - SharedTaskScheduler
Jak to vypadá:
O22 - SharedTaskScheduler: (bez názvu) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Co dělat:
Jedná se o neregistrovaný autorun pro systém Windows NT / 2000 / XP, který se používá velmi vzácně. Zatím používá pouze CWS.Smartfinder. Léčte opatrně.
O23 - služby NT
Jak to vypadá:
O23 - Služba: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Co dělat:
Toto je seznam služeb jiných společností než Microsoft. Seznam by měl být stejný jako ten, který vidíte v nástroji Msconfig systému Windows XP. Někteří únosci trojských koní používají domácí službu, která se přidává k dalším začínajícím uživatelům, aby se znovu nainstalovali. Celé jméno je obvykle důležité, jako je například služba Network Security Service nebo Workstation Logon Service nebo Remote Remote Call Helper, ale interní název (mezi závorkami) je řetězec odpadků, jako je 'Ort'. Druhá část řádku je vlastníkem souboru na konci, jak je vidět ve vlastnostech souboru.
Upozorňujeme, že při opravě položky O23 služba zastavíte a deaktivujete. Služba musí být z registru odstraněna ručně nebo jiným nástrojem. V programu HijackThis 1.99.1 nebo novější je pro toto možné použít tlačítko "Delete NT Service" v sekci Různé nástroje.