Menterjemahkan Data Log Untuk Membantu Menghapus Perampas Spyware dan Browser
HijackThis adalah alat percuma dari Trend Micro. Ia pada asalnya dibangunkan oleh Merijn Bellekom, seorang pelajar di Belanda. Perisian penyingkiran spyware seperti Adaware atau Spybot S & D melakukan tugas yang baik untuk mengesan dan menghapuskan kebanyakan program spyware, tetapi beberapa perampas perisik dan peramban peramban terlalu berbahaya bahkan untuk utiliti anti-spyware yang hebat ini.
HijackThis ditulis secara khusus untuk mengesan dan menghapuskan perampasan pelayar, atau perisian yang mengambil alih penyemak imbas web anda, mengubah halaman utama lalai dan enjin carian dan perkara-perkara berniat jahat yang lain. Tidak seperti perisian anti-spyware tipikal, HijackThis tidak menggunakan tanda tangan atau menargetkan sebarang program atau URL khusus untuk mengesan dan menyekat. Sebaliknya, HijackThis mencari kaedah dan kaedah yang digunakan oleh perisian hasad untuk menjangkiti sistem anda dan mengalihkan penyemak imbas anda.
Tidak semua yang muncul di dalam log HijackThis adalah perkara yang buruk dan ia tidak sepatutnya dikeluarkan. Malah, sebaliknya. Hal ini hampir dijamin bahawa beberapa item dalam log HijackThis anda akan menjadi perisian yang sah dan menghapus barang-barang tersebut dapat mempengaruhi sistem anda atau menjadikannya benar-benar tidak dapat dioperasi. Menggunakan HijackThis adalah seperti menyunting Windows Registry sendiri. Ia bukan sains roket, tetapi anda pasti tidak melakukannya tanpa bimbingan pakar kecuali anda benar-benar tahu apa yang anda lakukan.
Sebaik sahaja anda memasang HijackThis dan menjalankannya untuk menghasilkan fail log, terdapat pelbagai forum dan tapak di mana anda boleh menyiarkan atau memuat naik data log anda. Pakar yang tahu apa yang dicari boleh membantu anda menganalisis data log dan menasihati anda tentang item yang hendak dibuang dan mana yang akan dibiarkan sahaja.
Untuk memuat turun versi HijackThis semasa, anda boleh melawat laman web rasmi di Trend Micro.
Berikut ialah gambaran keseluruhan entri log HijackThis yang boleh anda gunakan untuk melompat ke maklumat yang anda cari:
- R0, R1, R2, R3 - URL Internet Start / Search Internet Explorer
- F0, F1 - Menjalankan program-program
- N1, N2, N3, N4 - Netscape / Mozilla Mula / Cari halaman URL
- O1 - Pengalihan fail host
- O2 - Objek Pembantu Pelayar
- O3 - toolbar Internet Explorer
- O4 - Program pemilihan dari Pejabat Pendaftaran
- O5 - Ikon Opsyen IE tidak dapat dilihat dalam Panel Kawalan
- O6 - Akses Pilihan IE dibatasi oleh Pentadbir
- O7 - Akses regedit yang dibatasi oleh Administrator
- O8 - Item tambahan di menu klik kanan IE
- O9 - Butang tambahan pada bar alat utama IE, atau item tambahan dalam menu 'Alat' IE
- O10 - Perampas Winsock
- O11 - Kumpulan tambahan dalam tetingkap IE 'Advanced Options'
- O12 - Plugin IE
- O13 - IE DefaultPrefix merampas
- O14 - 'Reset Web Settings' merampas
- O15 - Laman yang tidak diingini di Zon Dipercayai
- O16 - ActiveX Objects (aka Program Files Unduh)
- O17 - Lop.com pembajak domain
- O18 - Protokol tambahan dan perampas protokol
- O19 - Kerosakan gaya pengguna merampas
- O20 - AppInit_DLLs nilai pendaftaran Autorun
- O21 - ShellServiceObjectDelayLoad Registry autorun utama
- O22 - Autorun utama pendaftaran SharedTaskScheduler
- O23 - Windows NT Services
R0, R1, R2, R3 - Halaman Mula dan Carian IE
Apa yang kelihatan seperti:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Utama, Mula Halaman = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (jenis ini tidak digunakan oleh HijackThis lagi)
R3 - URLSelamat URLSearchHook hilang
Apa nak buat:
Jika anda mengiktiraf URL pada akhir sebagai laman utama atau enjin carian anda, itu OK. Sekiranya anda tidak melakukannya, semaknya dan perengkapkannya. Untuk item R3, sentiasa membetulkannya melainkan ia menyebutkan program yang anda kenal, seperti Copernic.
F0, F1, F2, F3 - Menjalankan program-program dari fail INI
Apa yang kelihatan seperti:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Apa nak buat:
Item F0 selalu buruk, jadi perbaikinya. Item F1 biasanya adalah program yang sangat lama yang selamat, jadi anda harus mencari maklumat lanjut mengenai nama fail untuk melihat apakah itu baik atau buruk. Senarai Permulaan Pacman boleh membantu mengenal pasti item.
N1, N2, N3, N4 - Netscape / Mozilla Mula & amp; Halaman carian
Apa yang kelihatan seperti:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Data Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "enjin: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Data Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Apa nak buat:
Biasanya laman utama dan laman web Netscape dan Mozilla selamat. Mereka jarang dirampas, hanya Lop.com yang diketahui melakukan perkara ini. Sekiranya anda melihat URL yang tidak anda kenali sebagai halaman utama anda atau halaman carian, ada HijackThis memperbaikinya.
O1 - Redaman fail Hosts
Apa yang kelihatan seperti:
O1 - Hos: 216.177.73.139 auto.search.msn.com
O1 - Hos: 216.177.73.139 search.netscape.com
O1 - Semesta Alam: 216.177.73.139 ieautosearch
O1 - Fail hos terletak di C: \ Windows \ Help \ hosts
Apa nak buat:
Rambakan ini akan mengalihkan alamat ke kanan ke alamat IP ke kiri. Sekiranya IP tidak termasuk alamat, anda akan diarahkan semula ke tapak yang salah setiap kali anda memasukkan alamat. Anda sentiasa boleh mempunyai HijackThis membetulkan ini, melainkan anda dengan sengaja meletakkan baris tersebut dalam fail Host anda.
Item terakhir kadang-kadang berlaku pada Windows 2000 / XP dengan jangkitan Coolwebsearch. Sentiasa jadikan item ini, atau CWShredder membaikinya secara automatik.
O2 - Objek Pembantu Pelayar
Apa yang kelihatan seperti:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ FILES PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (tiada nama) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ FILES PROGRAM \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fail hilang)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ FILES PROGRAM \ MEDIALOADS ENHANCED \ ME1.DLL
Apa nak buat:
Sekiranya anda tidak mengiktiraf Nama Obyek Helper Pelayar secara langsung, gunakan Senarai Baris & Baris TonyK untuk mencarinya dengan ID kelas (CLSID, nombor antara tanda kurung keriting) dan lihat sama ada baik atau buruk. Dalam Senarai BHO, 'X' bermaksud spyware dan 'L' bermaksud selamat.
O3 - bar alat IE
Apa yang kelihatan seperti:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ FILES PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ FILES PROGRAM \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fail hilang)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA APLIKASI \ CKSTPRLLNQUL.DLL
Apa nak buat:
Sekiranya anda tidak mengiktiraf nama bar alat secara langsung, gunakan Senarai BHO & Baris TonyK untuk mencarinya dengan ID kelas (CLSID, nombor antara tanda kurung keriting) dan lihat apakah itu baik atau buruk. Dalam Senarai Baris, 'X' bermaksud spyware dan 'L' bermaksud selamat. Sekiranya ia bukan dalam senarai dan nama itu seolah-olah rentetan aksara dan fail dalam folder 'Data Data' (seperti yang terakhir dalam contoh-contoh di atas), mungkin Lop.com, dan anda mestilah mempunyai Perintah HijackThis ia.
O4 - Menjalankan program dari kumpulan Registry atau Startup
Apa yang kelihatan seperti:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Dikongsi \ ccApp.exe"
O4 - Permulaan: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Apa nak buat:
Gunakan Senarai Permulaan PacMan untuk mencari kemasukan dan lihat apakah itu baik atau buruk.
Jika item menunjukkan satu program yang duduk dalam kumpulan Startup (seperti item terakhir di atas), HijackThis tidak dapat membetulkan item jika program ini masih dalam memori. Gunakan Windows Task Manager (TASKMGR.EXE) untuk menutup proses sebelum menetapkan.
O5 - Opsyen IE tidak dapat dilihat dalam Panel Kawalan
Apa yang kelihatan seperti:
O5 - control.ini: inetcpl.cpl = no
Apa nak buat:
Kecuali anda atau pentadbir sistem anda telah disembunyikan secara tersembunyi ikon dari Control Panel, mempunyai HijackThis memperbaikinya.
O6 - Akses Pilihan IE dibatasi oleh Pentadbir
Apa yang kelihatan seperti:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions present
Apa nak buat:
Kecuali anda mempunyai pilihan ' Spybot S & D' pada laman utama Lockbot dari perubahan 'aktif, atau pentadbir sistem anda meletakkan ini ke tempat, mempunyai HijackThis menetapkan ini.
O7 - Akses regedit yang dibatasi oleh Administrator
Apa yang kelihatan seperti:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Apa nak buat:
Sentiasa mempunyai HijackTetapkan ini, kecuali pentadbir sistem anda telah meletakkan sekatan ini.
O8 - Item tambahan di menu klik kanan IE
Apa yang kelihatan seperti:
O8 - Item menu konteks tambahan: & Carian Google - res: // C: \ WINDOWS \ DOWNLOAD PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Item menu konteks tambahan: Yahoo! Cari - fail: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Item menu konteks tambahan: Zum & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Item menu konteks tambahan: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Apa nak buat:
Sekiranya anda tidak mengenali nama item dalam menu klik kanan di IE, lakukan Pembungkusan ini.
O9 - Butang tambahan pada bar alat utama IE, atau item tambahan dalam IE & # 39; Peralatan & # 39; menu
Apa yang kelihatan seperti:
O9 - Butang tambahan: Messenger (HKLM)
O9 - Menuitem 'Alat' tambahan: Messenger (HKLM)
O9 - Butang tambahan: AIM (HKLM)
Apa nak buat:
Sekiranya anda tidak mengenali nama butang atau item menu, perengkapkannya.
O10 - Winsock perampas
Apa yang kelihatan seperti:
O10 - Akses Internet yang dibajak oleh New.Net
O10 - Akses Internet Patah kerana penyedia LSP c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll 'hilang
O10 - Fail yang tidak diketahui di Winsock LSP: c: \ program files \ newton knows \ vmain.dll
Apa nak buat:
Yang terbaik untuk membaiki ini menggunakan LSPFix dari Cexx.org, atau Spybot S & D dari Kolla.de.
Perhatikan bahawa fail 'tidak diketahui' dalam susunan LSP tidak akan ditetapkan oleh HijackThis, untuk isu keselamatan.
O11 - Kumpulan tambahan dalam IE & # 39; Pilihan Lanjutan & # 39; tingkap
Apa yang kelihatan seperti:
O11 - Kumpulan pilihan: [CommonName] CommonName
Apa nak buat:
Satu-satunya perampas yang sekarang yang menambah kumpulan pilihan sendiri ke tetingkap IE Advanced Options ialah CommonName. Jadi anda sentiasa boleh mempunyai HijackThis fix ini.
O12 - Plugin IE
Apa yang kelihatan seperti:
O12 - Plugin untuk .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin untuk .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Apa nak buat:
Kebanyakan masa ini adalah selamat. Hanya OnFlow menambah plugin di sini yang anda tidak mahu (.ofb).
O13 - IE DefaultPrefix merampas
Apa yang kelihatan seperti:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Awalan WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Awalan: http://ehttp.cc/?
Apa nak buat:
Ini sentiasa buruk. Mempunyai HijackThis membetulkannya.
O14 - & # 39; Tetapkan Tetapan Web & # 39; merampas
Apa yang kelihatan seperti:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Apa nak buat:
Sekiranya URL bukan pembekal komputer anda atau ISP anda, ada HijackThis membetulkannya.
O15 - Laman yang tidak diingini di Zon Dipercayai
Apa yang kelihatan seperti:
O15 - Zon Dipercayai: http://free.aol.com
O15 - Zon Dipercayai: * .coolwebsearch.com
O15 - Zon Dipercayai: * .msn.com
Apa nak buat:
Kebanyakan masa hanya AOL dan Coolwebsearch senyap menambah tapak ke Zon Dipercayai. Sekiranya anda tidak menambah domain tersenarai ke Zon Dipercayai sendiri, ada HijackThis membetulkannya.
O16 - ActiveX Objects (aka Program Files Unduh)
Apa yang kelihatan seperti:
O16 - DPF: Yahoo! Sembang - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Objek Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Apa nak buat:
Sekiranya anda tidak mengenali nama objek, atau URL dimuat turun dari itu, lakukan HijackThis membetulkannya. Jika nama atau URL mengandungi kata-kata seperti 'pendail', 'kasino', 'free_plugin' dan sebagainya, pasti membetulkannya. Javacool's SpywareBlaster mempunyai pangkalan data besar objek ActiveX berniat jahat yang boleh digunakan untuk mencari CLSIDs. (Klik kanan senarai untuk menggunakan fungsi Cari.)
O17 - Lop.com domain hijacks
Apa yang kelihatan seperti:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Apa nak buat:
Sekiranya domain itu bukan dari rangkaian ISP atau syarikat anda, lakukanlah HijackThis memperbaikinya. Begitu juga untuk entri 'SearchList'. Untuk entri 'NameServer' ( pelayan DNS ), Google untuk IP atau IP dan mudah untuk melihat apakah mereka baik atau buruk.
O18 - Protokol tambahan dan perampas protokol
Apa yang kelihatan seperti:
O18 - Protokol: pautan berkaitan - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokol merampas: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Apa nak buat:
Hanya beberapa perampas yang muncul di sini. Penjahat yang diketahui adalah 'cn' (CommonName), 'ayb' (Lop.com) dan 'linkedlinks' (Huntbar), anda harus mempunyai HijackThis membetulkannya. Perkara-perkara lain yang dipaparkan sama ada tidak disahkan selamat lagi, atau dirampas (iaitu CLSID telah diubah) oleh spyware. Dalam kes yang terakhir, lakukan HijackThis membetulkannya.
O19 - Kerosakan gaya pengguna merampas
Apa yang kelihatan seperti:
O19 - Helaian gaya pengguna: c: \ WINDOWS \ Java \ my.css
Apa nak buat:
Dalam kes perlambatan penyemak imbas dan pop timbul yang kerap, mempunyai HijackThis akan menetapkan item ini jika ia muncul dalam log. Walau bagaimanapun, kerana hanya Coolwebsearch melakukan ini, lebih baik menggunakan CWShredder untuk memperbaikinya.
O20 - AppInit_DLLs nilai pendaftaran Autorun
Apa yang kelihatan seperti:
O20 - AppInit_DLLs: msconfd.dll
Apa nak buat:
Nilai Registry yang terletak di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows memuatkan DLL ke dalam memori apabila pengguna log masuk, selepas itu ia tetap dalam ingatan sehingga logoff. Program yang sangat sedikit yang sah menggunakannya (Norton CleanSweep menggunakan APITRAP.DLL), yang paling kerap digunakan oleh trojan atau perampas peramban yang agresif.
Sekiranya memuatkan 'tersembunyi' DLL dari nilai Registry ini (hanya boleh dilihat apabila menggunakan pilihan 'Edit Data Perduaan' dalam Regedit) nama dll boleh diawali dengan '|' untuk menjadikannya kelihatan dalam log.
O21 - ShellServiceObjectDelayLoad
Apa yang kelihatan seperti:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Apa nak buat:
Ini adalah kaedah autorun tanpa dokumen, biasanya digunakan oleh beberapa komponen sistem Windows. Item yang disenaraikan di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad dimuatkan oleh Explorer apabila Windows bermula. HijackThis menggunakan senarai putih beberapa item SSODL yang sangat biasa, jadi setiap kali item dipaparkan dalam log ia tidak diketahui dan mungkin berniat jahat. Rawat dengan penjagaan yang melampau.
O22 - SharedTaskScheduler
Apa yang kelihatan seperti:
O22 - SharedTaskScheduler: (tiada nama) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Apa nak buat:
Ini adalah autorun tanpa dokumentasi untuk Windows NT / 2000 / XP sahaja, yang digunakan sangat jarang. Sejauh ini hanya CWS.Smartfinder menggunakannya. Rawat dengan jaga.
O23 - Perkhidmatan NT
Apa yang kelihatan seperti:
O23 - Perkhidmatan: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Apa nak buat:
Ini adalah penyenaraian perkhidmatan bukan Microsoft. Senarai sepatutnya sama dengan yang anda lihat dalam utiliti Msconfig Windows XP. Beberapa perampas trojan menggunakan perkhidmatan buatan sendiri dalam adittion untuk startup lain untuk memasang semula diri mereka. Nama penuh biasanya seperti bunyi 'Service Security Network', 'Service Logon Workstation' atau 'Helper Call Procedure', tetapi nama dalaman (antara tanda kurung) adalah rentetan sampah, seperti 'Ort'. Bahagian kedua baris adalah pemilik fail pada akhir, seperti yang dilihat dalam sifat fail.
Perhatikan bahawa menetapkan item O23 hanya akan menghentikan perkhidmatan dan mematikannya. Perkhidmatan perlu dipadamkan dari Pejabat Pendaftaran secara manual atau dengan alat lain. Dalam HijackThis 1.99.1 atau lebih tinggi, butang 'Hapus Perkhidmatan NT' dalam bahagian Alat Misc boleh digunakan untuk ini.