Інтэрпрэтацыя рэгістрацыйных дадзеных для выдалення Spyware і згоншчыкаў браўзэра
HijackThis гэта бясплатны інструмент ад кампаніі Trend Micro. Першапачаткова ён быў распрацаваны Merijn Bellekom, студэнт у Нідэрландах. Spyware выдаленне праграмнага забеспячэнне , такія як Adaware або Spybot S & D робіць добрую працу выяўлення і выдалення большасці праграм - шпіёнаў, але некаторыя праграмы - шпіёны і згоншчыкі браўзэра занадта падступныя нават для гэтых вялікіх анты-шпіёнскіх утыліт.
HijackThis напісана спецыяльна для выяўлення і выдалення браўзэра перахапляе, або праграмнае забеспячэнне, якое бярэ на вашым вэб-браўзэры, змяняе вашу хатнюю старонку па змаўчанні і пошукавую сістэму і іншыя шкоднасныя рэчы. У адрозненні ад тыповага анты-шпіёнскага праграмнага забеспячэння, HijackThis не выкарыстоўвае сігнатуру або мэтавай якія-небудзь канкрэтныя праграмы або URL, каб выяўляць і блакаваць. Хутчэй за ўсё , HijackThis шукае выкрутаў і метадаў , якія выкарыстоўваюцца шкоднаснымі праграмамі , каб заразіць вашу сістэму і перанакіроўвае ваш браўзэр.
Не ўсё, што з'яўляецца ў часопісах HijackThis з'яўляецца дрэнным матэрыялам і не ўсё павінна быць выдаленае. На самай справе, зусім наадварот. Гэта амаль гарантавана, што некаторыя з элементаў у часопісах HijackThis будуць законным праграмным забеспячэннем і выдаленне гэтых элементаў могуць негатыўна паўплываць на вашу сістэму або зрабіць яго цалкам непрыдатным да працы. Выкарыстанне HijackThis вельмі шмат , як рэдагаванне рэестра Windows самастойна. Гэта не ракетабудавання, але вы дакладна не варта рабіць гэта без якога-небудзь доследная кіраўніцтва, калі вы сапраўды не ведаеце, што вы робіце.
Пасля ўстаноўкі HijackThis і запусціце яго, каб стварыць файл часопіса, існуе вялікая разнастайнасць форумаў і сайтаў, дзе вы можаце размясціць або загрузіць дадзеныя часопіса. Эксперты, якія ведаюць, што шукаць могуць затым дапамагчы вам аналізаваць дадзеныя і параіць вам, якія элементы выдаліць і якія з іх пакінуць у спакоі.
Каб загрузіць актуальную версію HijackThis, вы можаце наведаць афіцыйны сайт на Trend Micro.
Вось агляд HijackThis запісы, якія вы можаце выкарыстоўваць, каб перайсці да інфармацыі, якую вы шукаеце, аўтарызуйцеся:
- R0, R1, R2, R3 - Internet Explorer Пачатак / Пошук старонак URL-адрасоў
- F0, F1 - праграмы Аўтаматычная загрузка
- N1, N2, N3, N4 - Netscape / Mozilla Пачатак / Пошук старонак URL-адрасоў
- Перанакіраванне Госты файл - O1
- O2 - Browser Helper Objects
- O3 - панэль інструментаў для Internet Explorer
- O4 - Аўтаматычная загрузка праграмы з рэестра
- O5 - значок IE параметры не адлюстроўваюцца ў панэлі кіравання
- О6 - Параметры IE доступ абмежаваны адміністратарам
- О7 - доступ Regedit абмежаваны адміністратарам
- О8 - Дадатковыя пункты ў меню правай кнопкі мышы IE
- O9 - Дадатковыя кнопкі на галоўнай панэлі інструментаў IE кнопкі, ці дадатковыя пункты ў меню IE «Сэрвіс»
- O10 - Winsock згоншчык
- O11 - Дадатковыя групы ў IE акна «Дадатковыя параметры»
- О12 - убудовы IE
- O13 - IE DefaultPrefix згон
- О14 - 'Reset Web Settings' згон
- О15 - Непажаданы сайт у даверанай зоне
- O16 - ActiveX аб'екты (ака Downloaded Program Files)
- О17 - Lop.com згоншчыкаў дамена
- O18 - Дадатковыя пратаколы і згоншчыкі пратаколу
- О19 - Карыстальнік стыляў згон
- Значэнне аўтазапуск AppInit_DLLs рэестра - O20
- аўтазапуск ключ ShellServiceObjectDelayLoad рэестра - O21
- аўтазапуск ключ SharedTaskScheduler рэестра - O22
- О23 - Windows NT Services
R0, R1, R2, R3 - г.зн. пачатак і пошуку старонак
Як гэта выглядае:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (гэты тып не выкарыстоўваецца HijackThis пакуль)
R3 - Па змаўчанні URLSearchHook адсутнічае
Што рабіць:
Калі вы прызнаеце URL ў канцы ў якасці хатняй старонкі або пошукавай сістэмы, гэта нармальна. Калі вы гэтага не зробіце, праверыць гэта і ёсць HijackThis выправіць. Для элементаў R3, заўсёды выправіць іх, калі ён не згадвае праграму, якую прызнаюць, як Copernic.
F0, F1, F2, F3 - Аўтаматычная загрузка праграмы з INI-файлаў
Як гэта выглядае:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: запусціць = hpfsched
Што рабіць:
Элементы F0 заўсёды дрэнна, таму выправіць іх. Элементы F1, як правіла, вельмі старыя праграмы, якія з'яўляюцца бяспечнымі, так што вы павінны знайсці больш падрабязную інфармацыю аб імя файла, каб убачыць, калі гэта добра ці дрэнна. Спіс Startup Pacman можа дапамагчы з вызначэннем пункта.
N1, N2, N3, N4 - Netscape / Mozilla Пуск & амп; старонка пошуку
Як гэта выглядае:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ Default \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.startup.homepage", "http://www.google.com"); (C: \ Documents і Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.search.defaultengine", "рухавік: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents і Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Што рабіць:
Звычайна хатняя старонка Netscape і Mozilla і старонка пошуку бяспечныя. Яны рэдка атрымліваюць сагналі, толькі Lop.com было вядома, каб зрабіць гэта. Калі вы бачыце URL вы не прызнаеце ў якасці хатняй старонкі або старонкі пошуку, ёсць HijackThis выправіць.
O1 - Hostsfile перасылак
Як гэта выглядае:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts файл знаходзіцца ў тэчцы C: \ Windows \ Help \ хастоў
Што рабіць:
Гэты ўгон будзе перанакіроўваць адрас справа ад IP-адрасы злева. Калі IP не належыць адрас, вы будзеце перанакіраваны на няправільны сайт кожны раз вы ўводзіце адрас. Вы можаце заўсёды мець HijackThis выправіць гэта, калі вы свядома не змясціць гэтыя радкі ў файле Hosts.
Апошні пункт часам адбываецца на Windows 2000 / XP з CoolWebSearch інфекцыяй. Заўсёды выправіць гэты элемент, або CWShredder адрамантаваць яго аўтаматычна.
O2 - Browser Helper Objects
Як гэта выглядае:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ Program Files \ YAHOO \ кампаньёны \ YCOMP5_0_2_4.DLL
O2 - BHO: (без назвы) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ Program Files \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (файл адсутнічае)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ Program Files \ MEDIALOADS ПАШЫРЭННЕ \ ME1.DLL
Што рабіць:
Калі вы не адразу распазнаць імя Browser Helper Object, выкарыстоўвайце спіс BHO і панэлі інструментаў TonyK, каб знайсці яго класа (CLSID, лік паміж фігурнымі дужкамі) і паглядзець, калі гэта добра ці дрэнна. У спісе BHO, «X» азначае шпіёнскае і «L» азначае, што ў бясьпецы.
O3 - IE панэлі інструментаў
Як гэта выглядае:
O3 - панэль інструментаў і Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ Program Files \ YAHOO \ кампаньёны \ YCOMP5_0_2_4.DLL
O3 - Панэль інструментаў: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Program Files \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (файл адсутнічае)
O3 - Панэль інструментаў: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ Application Data \ CKSTPRLLNQUL.DLL
Што рабіць:
Калі вы не адразу распазнаць імя панэлі інструментаў, выкарыстоўвайце спіс BHO і панэлі інструментаў TonyK, каб знайсці яго класа (CLSID, лік паміж фігурнымі дужкамі) і паглядзець, калі гэта добра ці дрэнна. У спісе Панэлі інструментаў «X» азначае шпіёнскае і «L» азначае, што ў бясьпецы. Калі гэта не ў спісе, і імя здаецца выпадковай радком знакаў, і файл знаходзіцца ў тэчцы «Data Application» (як апошні ў прыведзеных вышэй прыкладах), гэта, верагодна, Lop.com, і вы вызначана павінны мець HijackThis выправіць гэта.
O4 - Аўтаматычная загрузка праграмы з рэестра ці групы аўтазагрузкі
Як гэта выглядае:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / аўтазапуск
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Запуск: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Што рабіць:
Выкарыстанне спісу аўтазагрузкі pacman, каб знайсці запіс і паглядзець, калі гэта добра ці дрэнна.
Калі дэталь паказана праграма сядзіць у Startup груп (напрыклад, апошні пункт вышэй), HijackThis не можа выправіць гэты пункт, калі гэтая праграма яшчэ знаходзіцца ў памяці. З дапамогай дыспетчара задач Windows (Taskmgr.exe), каб закрыць працэс да фіксацыі.
O5 - IE параметры не адлюстроўваюцца ў панэлі кіравання
Як гэта выглядае:
O5 - Control.ini: inetcpl.cpl = няма
Што рабіць:
Калі вы або ваш сістэмны адміністратар свядома схавалі значок з панэлі кіравання, ёсць HijackThis выправіць.
О6 - Параметры IE доступ абмежаваны адміністратарам
Як гэта выглядае:
О6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Абмежаванні прысутнічаюць
Што рабіць:
Калі вы не маеце Spybot S & D опцыя «хатнюю Блакаванне ад змены» актыўнай ці сістэмнаму адміністратару змясціць гэта на месца, ёсць HijackThis гэта выправіць.
О7 - доступ Regedit абмежаваны адміністратарам
Як гэта выглядае:
О7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Што рабіць:
Заўсёды HijackThis гэта выправіць, калі сістэмны адміністратар не паставіў гэтае абмежаванне на месца.
О8 - Дадатковыя пункты ў меню правай кнопкі мышы IE
Як гэта выглядае:
О8 - пункт кантэкстнага меню Дадаткова: & Google Search - Рэз: // C: \ WINDOWS \ загружана PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
О8 - пункт меню Extra кантэкст: Yahoo! Пошук - Файл: /// C: \ Program Files \ Yahoo \ Common / ycsrch.htm!
О8 - Дадатковы пункт кантэкстнага меню: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
О8 - пункт меню Extra кантэкст: Zoom O & ут - C: \ WINDOWS \ WEB \ zoomout.htm
Што рабіць:
Калі вы не прызнаеце імя пункта ў меню правай кнопкі мышы ў IE, ёсць HijackThis выправіць.
O9 - Дадатковыя кнопкі на галоўнай панэлі інструментаў IE або дадатковых элементаў у IE & # 39; & # Інструменты 39; меню
Як гэта выглядае:
O9 - Extra кнопка: Пасланец (HKLM)
O9 - Экстра 'Інструменты' MenuItem: Пасланец (HKLM)
O9 - Дадатковая кнопка: AIM (HKLM)
Што рабіць:
Калі вы не прызнаюць імя кнопкі або пункта меню, ёсць HijackThis выправіць.
О10 - Winsock згоншчыкаў
Як гэта выглядае:
O10 - Скрадзены доступ у Інтэрнэт па New.Net
O10 - Broken доступ у Інтэрнэт з-за правайдэра LSP 'C: \ PROGRA ~ 1 \ агульны ~ 2 \ панэль \ cnmib.dll' адсутнічае
O10 - Невядомы файл у Winsock LSP: C: \ Program Files \ ньютан ведае \ vmain.dll
Што рабіць:
Лепш за ўсё, каб выправіць іх з дапамогай LSPFix з Cexx.org або Spybot S & D ад Kolla.de.
Звярніце ўвагу, што «невядомыя» файлы ў стэк LSP не будзе выпраўленая шляхам HijackThis, па пытаннях бяспекі.
O11 - Дадатковыя групы ў IE & # 39; Advanced Options & # 39; акно
Як гэта выглядае:
О11 - Параметры групы: [CommonName] CommonName
Што рабіць:
Толькі згоншчык як цяпер, які дадае свае ўласныя параметры групы ў акне Advanced Options IE з'яўляецца CommonName. Такім чынам, вы заўсёды можаце мець HijackThis гэта выправіць.
О12 - убудовы IE
Як гэта выглядае:
O12 - убудова для .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - убудова для .PDF: C: \ Program Files \ Internet Explorer \ Plugins \ nppdf32.dll
Што рабіць:
Вялікую частку часу яны бяспечныя. Толькі прыток вады дадае убудова тут, што вы не хочаце (.ofb).
O13 - IE DefaultPrefix згон
Як гэта выглядае:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Прэфікс: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Прэфікс: http://ehttp.cc/?
Што рабіць:
Гэта заўсёды дрэнна. У вас ёсць HijackThis выправіць іх.
О14 - & # 39; Скід вэб-параметраў & # 39; выкрадаць
Як гэта выглядае:
О14 - IERESET.INF: START_PAGE_URL = HTTP: //www.searchalot.com
Што рабіць:
Калі URL ня пастаўшчык вашага кампутара ці правайдэра, ёсць HijackThis выправіць.
О15 - Непажаданыя сайты ў давераную зону
Як гэта выглядае:
О15 - Trusted Zone: http://free.aol.com
О15 - Trusted Zone: * .coolwebsearch.com
О15 - Trusted Zone: * .msn.com
Што рабіць:
Большую частку часу толькі AOL і CoolWebSearch моўчкі дадаваць сайты ў давераную зону. Калі вы не дадаць ўказаны дамен у давераную зону самастойна, ёсць HijackThis выправіць.
O16 - ActiveX аб'екты (ака Downloaded Program Files)
Як гэта выглядае:
O16 - DPF: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
О16 - DPF: {D27CDB6E-AE6D-11cf-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Што рабіць:
Калі вы не прызнаеце імя аб'екта, або URL ён быў загружаны з, ёсць HijackThis выправіць. Калі імя або URL змяшчае такія словы, як «дазвону», «казіно», «free_plugin» і г.д., безумоўна, гэта выправіць. SpywareBlaster Javacool мае велізарную базу дадзеных шкоднасных аб'ектаў ActiveX, якія могуць быць выкарыстаны для пошуку ідэнтыфікатараў CLSID. (Пстрыкніце правай кнопкай мышы ў спісе, каб выкарыстоўваць функцыю пошуку.)
О17 - Lop.com перахапляе дамен
Як гэта выглядае:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Дамен = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Дамен = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: спискупоиск = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Што рабіць:
Калі дамен не ад вашага правайдэра або сеткі кампаніі, ёсць HijackThis выправіць. Тое ж самае тычыцца запісаў у «спискупоиске». Для «NameServer» ( DNS - сервераў ) запісаў, Google для IP або IP - адрасы , і гэта будзе лёгка ўбачыць , калі яны добрыя або дрэнныя.
O18 - Дадатковыя пратаколы і згоншчыкі пратаколу
Як гэта выглядае:
О18 - Пратакол: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
О18 - Пратакол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
О18 - Пратакол згону: HTTP - {66993893-61B8-47DC-B10d-21E0C86DD9C8}
Што рабіць:
Толькі некалькі згоншчыкаў паказаць тут. Вядомыя злыдні з'яўляюцца 'сп' (CommonName), 'Айб' (Lop.com) і '' (relatedlinks Huntbar), вы павінны мець HijackThis выправіць іх. Іншыя рэчы, якія выяўляюцца альбо не пацверджаны бяспечным яшчэ, ці сагналі (г.зн. CLSID быў зменены) ад праграм-шпіёнаў. У апошнім выпадку, ёсць HijackThis выправіць.
О19 - Карыстальнік стыляў згон
Як гэта выглядае:
О19 - Карыстальнік стыляў: C: \ WINDOWS \ Java \ my.css
Што рабіць:
У выпадку браўзэра запаволення і частых усплываючых вокнаў, ёсць HijackThis выправіць гэты пункт, калі ён з'яўляецца ў часопісе. Аднак, так як толькі CoolWebSearch робіць гэта, то лепш выкарыстаць CWShredder, каб выправіць гэта.
Значэнне аўтазапуск AppInit_DLLs рэестра - O20
Як гэта выглядае:
O20 - AppInit_DLLs: msconfd.dll
Што рабіць:
Гэта значэнне рэестра знаходзіцца ў HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows загружае DLL ў памяць пры ўваходзе карыстальніка ў сістэму, пасля чаго ён застаецца ў памяці да выхаду з яе. Вельмі нешматлікія легальныя праграмы выкарыстоўваюць яго (Нортан CleanSweep выкарыстоўвае APITRAP.DLL), часцей за ўсё выкарыстоўваецца траянцамі або агрэсіўных згоншчыкаў браўзэра.
У выпадку «прыхаваная» DLL загрузкі з гэтага значэння рэестра (відаць толькі пры выкарыстанні опцыі «Edit» двайковых дадзеных у Regedit) DLL, імя можа быць прэфіксам з трубой «|» каб зрабіць яго бачным ў часопісе.
O21 - ShellServiceObjectDelayLoad
Як гэта выглядае:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Што рабіць:
Гэта недакументаваны метад аўтаматычнага запуску, як правіла, выкарыстоўваецца некалькі кампанентаў сістэмы Windows. Элементы, пералічаныя ў раздзеле HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad загружаюцца пры запуску Правадыра Windows. HijackThis выкарыстоўвае белы спіс некалькі вельмі простых элементаў SSODL, таму кожны раз, калі элемент адлюстроўваюцца ў часопісе, невядома, і, магчыма, шкоднасны. Treat з крайняй асцярогай.
O22 - SharedTaskScheduler
Як гэта выглядае:
O22 - SharedTaskScheduler: (без назвы) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C: \ Windows \ system32 \ mtwirl32.dll
Што рабіць:
Гэта недакументаваная аўтазапуск для Windows NT / 2000 / XP толькі, які выкарыстоўваецца вельмі рэдка. Да гэтага часу толькі CWS.Smartfinder выкарыстоўвае яго. Ставіцеся з асцярогай.
О23 - NT паслугі
Як гэта выглядае:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Што рабіць:
Гэта спіс не-Microsoft паслуг. Спіс павінен быць такім жа, як той, які вы бачыце ў утыліце Msconfig ў Windows XP. Некаторыя траянскія згоншчыкі выкарыстоўваюць самаробную службу ў adittion іншых стартапов пераўсталяваць сябе. Поўная назва, як правіла, важна якія гучаць, як «Сетка службы бяспекі», «Працоўная станцыя Logon Service» або «Remote Procedure Call Helper», але ўнутранае імя (у дужках) з'яўляецца радком са смецця, як «ОРТ». Другая частка лініі з'яўляецца ўладальнікам файла ў канцы, як гэта відаць ва ўласцівасцях файла.
Звярніце ўвагу, што фіксуе элемент О23 будзе толькі спыніць службу і адключыць яго. Сэрвіс павінен быць выдалены з рэестра ўручную або з дапамогай іншай прылады. У HijackThis 1.99.1 або вышэй, кнопка «Выдаліць NT Service» у раздзеле Інструментаў Рознага можа быць выкарыстана для гэтага.