Alih Log Data Pikeun Mantuan Cabut Spyware na Browser pembajak
HijackThis mangrupakeun hiji pakakas haratis ti Trend Micro. Eta asalna dimekarkeun ku Merijn Bellekom, hiji murid di The Walanda. Spyware panyabutan software kayaning Adaware atanapi Spybot S & D do pakasaban hade detecting jeung nyoplokkeun paling program spyware, tapi sababaraha spyware jeung browser pembajak teuing insidious pikeun malah ieu Utiliti anti spyware hébat.
HijackThis ieu ditulis husus pikeun ngadeteksi jeung cabut browser hijacks, atawa software nu nyokot leuwih ti browser wéb anjeun, alters kaca anjeun standar imah search engine sarta hal jahat lianna. Teu kawas software anti spyware has, HijackThis teu nganggo tanda tangan atawa sasaran sagala program husus atanapi URL urang pikeun ngadeteksi na block. Rada, HijackThis Sigana keur trik jeung métode dipaké ku malware mun nginféksi Sistim anjeun sarta alihan panyungsi anjeun.
Teu sagalana nu nembongkeun up dina HijackThis log mangrupa barang goréng jeung sakuduna henteu kabeh dihapus. Kanyataanna, rada sabalikna. Ieu ampir dijamin nu sababaraha item dina log HijackThis anjeun bakal software sah jeung nyoplokkeun pamadegan item bisa dampak adversely sistem Anjeun atawa ngarobah eta tos rengse inoperable. Ngagunakeun HijackThis nyaeta pisan kawas ngédit éta pendaptaran Windows diri. Teu sains rokét, tapi Anjeun kudu pasti henteu eta tanpa sababaraha hidayah ahli iwal mun bener nyaho naon anu anjeun lakukeun.
Sakali anjeun install HijackThis tur ngajalankeun ka ngahasilkeun file log, aya rupa-rupa panglawungan jeung loka dimana anjeun bisa ngirim tulisan atawa unggah data log Anjeun. Ahli anu nyaho kumaha néangan lajeng bisa ngabantu anjeun nganalisis data log sarta mamatahan anjeun dina nu barang piceun na nu leuwih ninggalkeun nyalira.
Pikeun ngundeur aplikasi versi kiwari HijackThis, anjeun tiasa didatangan situs resmi di Trend Micro.
Di dieu nyaeta tinjauan tina HijackThis log éntri nu bisa Anjeun pake luncat kana informasi nu Anjeun keur pilari:
- R0, R1, R2, R3 - Internet Explorer Mimitian / Search Kaca URL
- F0, F1 - program Autoloading
- N1, N2, N3, N4 - Netscape / Mozilla Mimitian Kaca / Search URL
- O1 - sarwa file redirection
- O2 - Browser nulungan objék
- O3 - tulbar Internet Explorer
- program Autoloading ti pendaptaran - O4
- O5 - ikon IE Pilihan moal katingali dina Control Panel
- O6 - Pilihan IE ngakses diwatesan ku Administrator
- O7 - aksés Regedit diwatesan ku Administrator
- O8 - barang tambahan dina IE menu-klik katuhu
- O9 - tombol tambahan dina utama IE tombol toolbar, atawa tambahan Item dina menu 'Pakakas' IE
- O10 - Winsock hijacker
- O11 - group tambahan dina IE jandela 'Advanced Pilihan'
- O12 - plugins IE
- O13 - ngabajag IE DefaultPrefix
- O14 - 'Reset Web Setélan' ngabajag
- O15 - loka dihoyongkeun dina dipercaya Parabot
- O16 - ActiveX objék (aka diundeur Program Payil)
- O17 - Lop.com pembajak domain
- O18 - protokol tambahan sarta pembajak protokol
- O19 - pamaké lambar gaya ngabajag
- O20 - AppInit_DLLs pendaptaran nilai autorun
- O21 - ShellServiceObjectDelayLoad pendaptaran konci autorun
- O22 - SharedTaskScheduler pendaptaran konci autorun
- O23 - Windows nt Services
R0, R1, R2, R3 - IE Mimitian na kaca Search
Naon eta Sigana mah:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Mimitian Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (jenis ieu henteu dipaké ku HijackThis acan)
R3 - URLSearchHook Default geus leungit
Naon anu kedah dilakukeun:
Lamun ngakuan URL di tungtung jadi homepage atawa search engine, éta OK. Mun anjeun teu, pariksa deui jeung kudu HijackThis ngalereskeun eta. Keur barang R3, salawasna ngalereskeun aranjeunna iwal eta nyebutkeun program nu ngakuan, kawas Copernic.
F0, F1, F2, F3 - program Autoloading tina file INI
Naon eta Sigana mah:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: ngajalankeun = hpfsched
Naon anu kedah dilakukeun:
Item F0 anu salawasna goréng, jadi ngalereskeun aranjeunna. Item F1 mangrupakeun biasana program pisan heubeul anu aman, jadi Anjeun kudu neangan sababaraha info nu langkung lengkep ihwal Ngaran koropak nu ningali lamun éta hadé atawa goréng. Pacman urang ngamimitian Daptar bisa mantuan kalawan identifying hiji item.
N1, N2, N3, N4 - Netscape / Mozilla Mimitian & amp; kaca search
Naon eta Sigana mah:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Payil \ Netscape \ Pamaké \ standar \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.startup.homepage", "http://www.google.com"); (C: \ Dokumén jeung Setélan \ pamaké \ Data Aplikasi \ Mozilla \ Propil \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ( "browser.search.defaultengine", "mesin: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumén jeung Setélan \ pamaké \ Data Aplikasi \ Mozilla \ Propil \ defaulto9t1tfl.slt \ prefs.js)
Naon anu kedah dilakukeun:
Biasana Netscape jeung Mozilla homepage na kaca pilarian téh aman. Aranjeunna jarang meunang ngabajak, ngan Lop.com geus dipikawanoh pikeun ngalakukeun ieu. Kedah nu katingali hiji URL anjeun teu ngakuan sakumaha homepage atawa kaca pilarian, gaduh HijackThis ngalereskeun eta.
redirections Hostsfile - O1
Naon eta Sigana mah:
O1 - sarwa: 216.177.73.139 auto.search.msn.com
O1 - sarwa: 216.177.73.139 search.netscape.com
O1 - sarwa: 216.177.73.139 ieautosearch
O1 - sarwa file perenahna di C: \ Windows \ Pitulung \ sarwa
Naon anu kedah dilakukeun:
ngabajag ieu bakal alihan alamat ka katuhu ka alamat IP ka kénca. Lamun IP teu milik alamatna, Anjeun bakal dialihkeun ka loka everytime lepat anjeun ngasupkeun alamat. Anjeun salawasna tiasa gaduh HijackThis ngalereskeun ieu, iwal mun knowingly nempatkeun jalma garis dina file sarwa Anjeun.
Item panungtungan sakapeung lumangsung dina Windows 2000 / XP jeung inféksi Coolwebsearch. Salawasna ngalereskeun item ieu, atanapi gaduh CWShredder ngalereskeun eta otomatis.
O2 - Browser nulungan objék
Naon eta Sigana mah:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:! \ Program file \ Yahoo \ Companion \ YCOMP5_0_2_4.DLL
O2 - BHO: (euweuh ngaran) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ program file \ kaluar ELIMINATOR \ AUTODISPLAY401.DLL (file leungit)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ program file \ MEDIALOADS ditingkatkeun \ ME1.DLL
Naon anu kedah dilakukeun:
Mun anjeun teu langsung mikawanoh ngaran Browser nulungan Objék urang, migunakeun TonyK urang BHO & Toolbar Daptar pikeun manggihan eta ku ID kelas (CLSID, jumlah antara kurung Curly) jeung tingali lamun éta hadé atawa goréng. Dina Daptar BHO, 'X' hartina spyware jeung 'L' hartina aman.
tulbar IE - O3
Naon eta Sigana mah:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:! \ Program file \ Yahoo \ Companion \ YCOMP5_0_2_4.DLL
O3 - Toolbar: kaluar Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ program file \ kaluar ELIMINATOR \ PETOOLBAR401.DLL (file leungit)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ Windows \ aplikasi DATA \ CKSTPRLLNQUL.DLL
Naon anu kedah dilakukeun:
Mun anjeun teu langsung mikawanoh ngaran toolbar urang, migunakeun TonyK urang BHO & Toolbar Daptar pikeun manggihan eta ku ID kelas (CLSID, jumlah antara kurung Curly) jeung tingali lamun éta hadé atawa goréng. Dina Daptar Toolbar, 'X' hartina spyware jeung 'L' hartina aman. Lamun éta henteu dina daptar jeung nami sigana a string acak tina karakter jeung file aya dina folder nu 'Data Aplikasi' (kawas hiji panungtungan dina conto di luhur), éta meureun Lop.com, jeung anjeun definately kudu boga HijackThis ngalereskeun ieu.
program Autoloading ti pendaptaran atawa grup ngamimitian - O4
Naon eta Sigana mah:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ Windows \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Payil \ umum Payil \ Symantec Tanjungjaya \ ccApp.exe"
O4 - ngamimitian: Microsoft Office.lnk = C: \ Program Payil \ Microsoft Office \ Kantor \ OSA9.EXE
O4 - ngamimitian Global: winlogon.exe
Naon anu kedah dilakukeun:
Paké PacMan urang ngamimitian Daptar pikeun manggihan Éntri tur tingali lamun éta hadé atawa goréng.
Mun item nembongkeun program linggih di grup ngamimitian (kawas dina item panungtungan luhur), HijackThis teu tiasa ngalereskeun item nu lamun program ieu masih dina mémori. Nganggo Windows Tugas Manager (TASKMGR.EXE) pikeun nutup prosés saméméh ngaropéa.
O5 - Pilihan IE teu katingali dina Control Panel
Naon eta Sigana mah:
O5 - control.ini: inetcpl.cpl = euweuh
Naon anu kedah dilakukeun:
Iwal mun atanapi administrator sistem Anjeun geus knowingly disumputkeun ikon ti Control Panel, gaduh HijackThis ngalereskeun eta.
O6 - Pilihan IE ngakses diwatesan ku Administrator
Naon eta Sigana mah:
O6 - HKCU \ Software \ Kawijakan \ Microsoft \ Internet Explorer \ Watesan hadir
Naon anu kedah dilakukeun:
Iwal mun boga Spybot S & D pilihan 'homepage konci ti parobahan' aktif, atawa administrator sistem Anjeun nyimpen ieu kana tempat, kudu HijackThis ngalereskeun ieu.
O7 - aksés Regedit diwatesan ku Administrator
Naon eta Sigana mah:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Kawijakan \ System, DisableRegedit = 1
Naon anu kedah dilakukeun:
Salawasna kudu HijackThis ngalereskeun ieu, iwal administrator sistem Anjeun geus nempatkeun pangwatesan ieu kana tempat.
O8 - barang tambahan dina IE menu-klik katuhu
Naon eta Sigana mah:
O8 - item menu konteks tambahan: & Google Search - res: // C: \ Windows \ diundeur program file \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - tambahan konteks item menu: Yahoo! Pilarian - file: /// C: \ Program Payil \ Yahoo \ umum / ycsrch.htm!
O8 - item menu konteks tambahan: Deukeutkeun & Dina - C: \ Windows \ wéb \ zoomin.htm
O8 - tambahan konteks item menu: Deukeutkeun O & UT - C: \ Windows \ wéb \ zoomout.htm
Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan ngaran item dina menu-klik katuhu dina IE, gaduh HijackThis ngalereskeun eta.
O9 - tombol tambahan dina toolbar IE utama, atawa barang tambahan di IE & # 39; Pakakas & # 39; menu
Naon eta Sigana mah:
O9 - tombol tambahan: Rasul (HKLM)
O9 - tambahan 'Pakakas' menuitem: Rasul (HKLM)
O9 - tombol tambahan: Tujuan (HKLM)
Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan nami tombol atanapi menu nu item, gaduh HijackThis ngalereskeun eta.
O10 - pembajak Winsock
Naon eta Sigana mah:
aksés Internet ngabajak ku New.Net - O10
O10 - aksés Internet pegat kusabab panyadia LSP 'c: \ progra ~ 1 \ umum ~ 2 \ toolbar \ cnmib.dll' leungit
O10 - file noname di Winsock LSP: c: \ file program \ newton weruh \ vmain.dll
Naon anu kedah dilakukeun:
Hadé Éta mun ngalereskeun ieu ngagunakeun LSPFix ti Cexx.org, atawa Spybot S & D tina Kolla.de.
Catetan yen 'kanyahoan' file dina tumpukan LSP moal dibereskeun ku HijackThis, pikeun isu kaamanan.
O11 - group tambahan dina IE & # 39; Advanced Pilihan & # 39; jandela
Naon eta Sigana mah:
O11 - group Options: [CommonName] CommonName
Naon anu kedah dilakukeun:
Hijina hijacker sakumaha tina kiwari nu nambihan pilihan grup sorangan ka IE Advanced Pilihan jandela anu CommonName. Jadi maneh salawasna tiasa gaduh HijackThis ngalereskeun ieu.
O12 - plugins IE
Naon eta Sigana mah:
O12 - plugin for .spop: C: \ Program Payil \ Internet Explorer \ plugins \ NPDocBox.dll
O12 - plugin for .PDF: C: \ Program Payil \ Internet Explorer \ plugins \ nppdf32.dll
Naon anu kedah dilakukeun:
Kalolobaan waktu ieu aman. Ngan OnFlow nambihan plugin a didieu nu teu hayang (.ofb).
O13 - ngabajag IE DefaultPrefix
Naon eta Sigana mah:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Rarangkén Hareup: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Awalan: http://ehttp.cc/?
Naon anu kedah dilakukeun:
Ieu salawasna goréng. Gaduh HijackThis ngalereskeun aranjeunna.
O14 - & # 39; Reset Web Setélan & # 39; ngabajag
Naon eta Sigana mah:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Naon anu kedah dilakukeun:
Mun URL teu panyadia tina komputer atanapi ISP anjeun, boga HijackThis ngalereskeun eta.
O15 - loka dihoyongkeun dina dipercaya Parabot
Naon eta Sigana mah:
O15 - dipercaya Zone: http://free.aol.com
O15 - dipercaya Zone: * .coolwebsearch.com
O15 - dipercaya Zone: * .msn.com
Naon anu kedah dilakukeun:
Kalolobaan waktu ukur Kaol na Coolwebsearch cicingeun nambahan loka kana Parabot dipercaya. Lamun henteu nambah domain didaptarkeun kana Parabot dipercaya diri, kudu HijackThis ngalereskeun eta.
O16 - ActiveX objék (aka diundeur Program Payil)
Naon eta Sigana mah:
O16 - DPF: Yahoo! Ngobrol - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Objék) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Naon anu kedah dilakukeun:
Mun anjeun teu ngakuan nami objek, atanapi URL eta ieu diundeur ti, gaduh HijackThis ngalereskeun eta. Mun nami atanapi URL ngandung kecap kawas 'pamuter', 'kasino', 'free_plugin' jsb, pasti ngalereskeun eta. Javacool urang SpywareBlaster boga database badag objék ActiveX jahat anu bisa dipaké pikeun néangan up CLSIDs. (Katuhu-klik daftar ka nganggo fungsi Néangan.)
O17 - Lop.com hijacks domain
Naon eta Sigana mah:
O17 - HKLM \ System \ CCS \ Layanan \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Layanan \ Tcpip \ parameter: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Layanan \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Layanan \ Tcpip \ parameter: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Layanan \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Naon anu kedah dilakukeun:
Mun domain nu teu ti anjeun ISP jaringan atawa parusahaan, gaduh HijackThis ngalereskeun eta. Sami mana pikeun éntri éta 'SearchList'. Keur 'NameServer' ( DNS server ) éntri, Google pikeun IP atawa IPS jeung eta bakal gampang ningali lamun aranjeunna hadé atawa goréng.
O18 - protokol tambahan sarta pembajak protokol
Naon eta Sigana mah:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ umum ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol ngabajag: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Naon anu kedah dilakukeun:
Ngan sababaraha pembajak némbongkeun nepi ka dieu. baddies nu dipikawanoh nyaéta 'CN' (CommonName), 'ayb' (Lop.com) jeung 'relatedlinks' (Huntbar), anjeun kudu boga HijackThis ngalereskeun maranéhanana. hal séjén nu némbongkeun up anu boh henteu dikonfirmasi aman acan, atanapi nu ngabajak (ie CLSID nu geus robah) ku spyware. Dina kasus panungtungan, kudu HijackThis ngalereskeun eta.
O19 - pamaké lambar gaya ngabajag
Naon eta Sigana mah:
O19 - pamaké gaya lambar: c: \ Windows \ Java \ my.css
Naon anu kedah dilakukeun:
Dina kasus hiji slowdown browser tur sering popups, gaduh HijackThis ngalereskeun item ieu lamun nembongkeun up dina log. Sanajan kitu, ti ukur Coolwebsearch manten ieu, éta hadé migunakeun CWShredder mun ngalereskeun eta.
O20 - AppInit_DLLs pendaptaran nilai autorun
Naon eta Sigana mah:
O20 - AppInit_DLLs: msconfd.dll
Naon anu kedah dilakukeun:
nilai pendaptaran Ieu lokasina di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows nt \ CurrentVersion \ Windows beban DLL a kana memori nalika log pamaké di, nu satutasna mah tetep dina mémori dugi logoff. sababaraha program sah pisan make eta (Norton CleanSweep migunakeun APITRAP.DLL), paling sering dipaké ku Trojans atanapi pembajak browser agressive.
Dina hal anu 'disumputkeun' DLL loading tina nilai pendaptaran ieu (mung katingali nalika ngagunakeun pilihan 'Edit binér Data' di Regedit) nami dll bisa jadi prefixed ku pipa '|' sangkan eta katingali dina log.
O21 - ShellServiceObjectDelayLoad
Naon eta Sigana mah:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ Windows \ System \ auhook.dll
Naon anu kedah dilakukeun:
Ieu hiji metodeu autorun undocumented, ilaharna dipaké ku sababaraha komponén sistem Windows. Item nu didaptarkeun di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad anu dimuat ku Explorer nalika Windows dimimitian. HijackThis ngagunakeun whitelist tina sababaraha item SSODL pisan umum, jadi iraha hiji item dipintonkeun dina log éta kanyahoan jeung kamungkinan jahat. Ngubaran kalayan perawatan ekstrim.
O22 - SharedTaskScheduler
Naon eta Sigana mah:
O22 - SharedTaskScheduler: (euweuh ngaran) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ jandéla \ system32 \ mtwirl32.dll
Naon anu kedah dilakukeun:
Ieu mangrupa autorun undocumented pikeun Windows nt / 2000 / XP hijina, nu geus dipake jarang. Sajauh ukur CWS.Smartfinder migunakeun eta. Ngubaran kalayan perawatan.
O23 - nt Services
Naon eta Sigana mah:
O23 - Service: Kerio Personal firewall (PersFw) - Kerio Panyiaran - C: \ Program Payil \ Kerio \ Personal firewall \ persfw.exe
Naon anu kedah dilakukeun:
Ieu teh Listing tina jasa non-Microsoft. Daptar kudu sarua jeung salah sahiji nu katingali dina Msconfig utiliti tina Windows XP. Sababaraha pembajak Trojan ngagunakeun layanan homemade di adittion mun startups séjén pikeun reinstall sorangan. Ngaran lengkep biasana penting-sounding, kawas 'Network Service Kaamanan', 'Workstation Sandi Liwat Service' atawa 'Jauh Prosedur Telepon nulungan', tapi nami internal (antara kurung) mangrupakeun string of sampah, kawas 'Ort'. Bagian kadua jalur anu boga sahiji file di ahir, sakumaha katingal dina pasipatan nu file urang.
Catet yén ngaropéa hiji item O23 ngan bakal eureun jasa jeung mareuman eta. jasa nu perlu dihapus tina pendaptaran sacara manual atawa ku alat sejen. Dina HijackThis 1.99.1 atawa saluhureuna, tombol 'Hapus nt Service' dina bagian Pakakas Misc bisa dipaké pikeun ieu.