Interpretimi i të dhënave të regjistrit për të ndihmuar në heqjen e Spyware dhe rrëmbyesit e shfletuesit
HijackThis është një mjet i lirë nga Trend Micro. Ajo u zhvillua fillimisht nga Merijn Bellekom, një student në Holandë. Programet për heqjen e spywareëve si Adaware ose Spybot S & D bëjnë një punë të mirë për zbulimin dhe largimin e shumicës së programeve spyware, por disa rrëmbyesit e spyware dhe shfletuesit janë shumë të fshehtë edhe për këto shërbime të shkëlqyera anti-spyware.
HijackKjo është shkruar në mënyrë specifike për të zbuluar dhe hequr rrëmbyesit e shfletuesit, ose softuerin që merr shfletuesin tuaj të internetit, ndryshon faqen kryesore të parazgjedhur dhe motorin e kërkimit dhe gjëra të tjera me qëllim të keq. Ndryshe nga softueri tipik anti-spyware, HijackThis nuk përdor firma ose nuk synon ndonjë program specifik ose URL për të zbuluar dhe bllokuar. Përkundrazi, HijackThis duket për truket dhe metodat e përdorura nga malware për të infektuar sistemin tuaj dhe përcjellëse shfletuesin tuaj.
Jo çdo gjë që shfaqet në shkrimet HijackThis është sende e keqe dhe nuk duhet të hiqet. Në fakt, krejt e kundërta. Është pothuajse e garantuar se disa nga artikujt në shkrimet tuaja HijackThis do të jenë softuer të ligjshëm dhe heqja e atyre sendeve mund të ndikojë negativisht në sistemin tuaj ose ta bëjë atë plotësisht të paoperueshëm. Përdorimi i HijackThis është shumë si redaktimi i Regjistrit të Windows-it vetë. Nuk është shkencë me raketa, por sigurisht që nuk duhet ta bëni pa ndonjë udhëzim të ekspertëve, nëse nuk e dini se çfarë po bëni.
Pasi të keni instaluar HijackThis dhe e keni drejtuar atë për të gjeneruar një skedar log, ka një shumëllojshmëri të forumeve dhe faqeve ku mund të postoni ose ngarkoni të dhënat tuaja të regjistrit. Ekspertët që dinë se çfarë të kërkojnë mund t'ju ndihmojnë më pas të analizoni të dhënat e logaritmit dhe t'ju këshillojë se cilat artikuj duhet të hiqen dhe cilat prej tyre duhet të largohen vetëm.
Për të shkarkuar versionin aktual të HijackThis, ju mund të vizitoni faqen zyrtare në Trend Micro.
Këtu është një pasqyrë e shënimeve HijackThis log që ju mund të përdorni për të hidhen në informacionin që ju kërkoni:
- R0, R1, R2, R3 - Internet Explorer Filloni / Kërko faqe URL
- F0, F1 - Programet Autoloading
- N1, N2, N3, N4 - Netscape / Mozilla Filloni / Kërko faqet URL
- O1 - Hoston ridrejtimin e skedarit
- O2 - Objektet e Helperit të Shfletuesit
- O3 - shiritat e veglave të Internet Explorer
- O4 - Programet Autoloading nga Regjistri
- O5 - IE Options icon nuk shfaqet në Control Panel
- O6 - IE Mundësitë e zgjedhjes të kufizuara nga Administratori
- O7 - Qasja Regedit e kufizuar nga Administratori
- O8 - Sende shtesë në menynë e drejtpërdrejtë të klikimeve në IE
- O9 - Butonat ekstra në butonin kryesor të IE button, ose artikuj shtesë në menunë IE 'Tools'
- O10 - rrëmbyes Winsock
- O11 - Grupi shtesë në dritaren 'Options Advanced' të IE
- O12 - plugins IE
- O13 - IE DefaultPrefix rrëmben
- O14 - Rrëmben "Reset Web Settings"
- O15 - Vendi i padëshiruar në Zonën e Besuar
- O16 - Objektet ActiveX (aka Download Files Program)
- O17 - Lop.com rrëmbyesit e fushës
- O18 - Protokollet shtesë dhe rrëmbyesit e protokollit
- O19 - Plani i stilit të përdoruesit rrëmben
- O20 - AppInit_DLLs Vlera e regjistrit autorun
- O21 - ShellServiceObjectDelayLoad Regjistri kyç autorun
- O22 - SharedTaskScheduler Regjistri kyç autorun
- O23 - Shërbimet Windows NT
R0, R1, R2, R3 - IE Filloni dhe Kërko faqet
Si duket:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Kryesore, Fillimi i faqes = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Kryesore, Default_Page_URL = http://www.google.com/
R2 - (ky tip nuk është përdorur nga HijackThis akoma)
R3 - Default URLSearchHook mungon
Çfarë duhet të bëni:
Nëse e njeh URL-në në fund si faqen tënde ose motorin e kërkimit, është OK. Nëse nuk e bëni, kontrolloni dhe hiqni këtë HijackThis fix it. Për artikujt R3, gjithmonë rregulloni ato nëse nuk përmend një program që njihni, si Koperniku.
F0, F1, F2, F3 - Programet Autoloading nga skedarët INI
Si duket:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: kandidojë = hpfsched
Çfarë duhet të bëni:
Sendet F0 janë gjithmonë të këqija, prandaj zgjidhini ato. Artikujt F1 zakonisht janë programe shumë të vjetra që janë të sigurta, prandaj duhet të gjesh më shumë informacion mbi emrin e skedarit për të parë nëse është e mirë apo e keqe. Lista e fillimit të Pacman mund të ndihmojë në identifikimin e një artikulli.
N1, N2, N3, N4 - Nisje Netscape / Mozilla & amp; Kërko faqe
Si duket:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Të Dhënat e Aplikimit \ Mozilla \ Profiles \ defaults9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Të Dhënat e Aplikimit \ Mozilla \ Profiles \ defaults9t1tfl.slt \ prefs.js)
Çfarë duhet të bëni:
Zakonisht webfaqja dhe faqja e kërkimit Netscape dhe Mozilla janë të sigurta. Ata rrallë marrin rrëmbyer, vetëm Lop.com ka qenë i njohur për ta bërë këtë. Duhet të shihni një URL që nuk e njeh si faqen tënde ose faqen e kërkimit, ta rregulloni HijackThis.
O1 - Redirectimi i hostsfile
Si duket:
O1 - Pret: 216.177.73.139 auto.search.msn.com
O1 - Pret: 216.177.73.139 search.netscape.com
O1 - Pret: 216.177.73.139 ieautosearch
O1 - Fusha Hosts ndodhet në C: \ Windows \ Help \ hosts
Çfarë duhet të bëni:
Ky rrëmbyes do të përcjellë adresën në të djathtë në adresën IP në të majtë. Nëse IP nuk i përket adresës, do të ridrejtoheni në një vend të gabuar sa herë që futni adresën. Ju gjithmonë mund të keni HijackThis fix këto, nëse ju me vetëdije të vënë ato rreshta në dosjen tuaj Hosts.
Artikulli i fundit ndonjëherë ndodh në Windows 2000 / XP me një infeksion Coolwebsearch. Gjithmonë rregulloni këtë artikull, ose ta keni CWShredder ta riparoni atë automatikisht.
O2 - Objektet e Helperit të Shfletuesit
Si duket:
O2 - BHO: Yahoo! BH shoku - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (asnjë emër) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (skedari mungon)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
Çfarë duhet të bëni:
Nëse nuk i njeh drejtpërdrejt një emri të objektit të Helperit të Shfletuesit, përdorni BHO dhe Toolbar List të TonyK për ta gjetur atë nga ID-ja e klasës (CLSID, numri midis kllapave të dredhura) dhe të shohim nëse është e mirë ose e keqe. Në BHO List, 'X' do të thotë spyware dhe 'L' do të thotë të sigurt.
O3 - shiritat e veglave IE
Si duket:
O3 - Toolbar: & Yahoo! Kompjuteri - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Eliminues i popup - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (skedari mungon)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APLIKIMI DATA \ CKSTPRLLNQUL.DLL
Çfarë duhet të bëni:
Nëse nuk e pranoni direkt emrin e një shiriti, përdorni BHO dhe Toolbar Listën e TonyK për ta gjetur atë nga ID-ja e klasës (CLSID, numri midis kllapave të hijshme) dhe shihni nëse është e mirë apo e keqe. Në listën e Toolbar, 'X' do të thotë spyware dhe 'L' do të thotë të sigurt. Nëse nuk është në listë dhe emri duket një varg i shkronjave të rastësishme dhe skedari gjendet në dosjen 'Të dhënat e aplikacionit' (si e fundit në shembujt e mësipërm), është ndoshta Lop.com dhe duhet të keni HijackThis fix ajo.
O4 - Programet Autoloading nga regjistri ose grupi Startup
Si duket:
O4 - HKLM \ .. \ Drejtimi: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Drejtimi: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Fillimi: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Fillimi Global: winlogon.exe
Çfarë duhet të bëni:
Përdorni Listën fillestare të PacMan për të gjetur hyrjen dhe për të parë nëse është e mirë apo e keqe.
Nëse artikulli tregon një program të ulur në një grup Startup (si elementi i fundit më lart), HijackThis nuk mund ta rregullojë artikullin nëse ky program është ende në kujtesë. Përdorni Task Manager të Windows (TASKMGR.EXE) për të mbyllur procesin para se të fiksohet.
O5 - IE Options nuk duken në Control Panel
Si duket:
O5 - control.ini: inetcpl.cpl = jo
Çfarë duhet të bëni:
Përveç nëse ju ose administratori i sistemit keni fshehur me dashje ikonën nga Control Panel, ta keni HijackThis fix it.
O6 - IE Mundësitë e zgjedhjes të kufizuara nga Administratori
Si duket:
O6 - HKCU \ Software \ Politikat \ Microsoft \ Internet Explorer \ Kufizimet e pranishme
Çfarë duhet të bëni:
Nëse nuk keni opsionin Spybot S & D 'Mbylle faqen kryesore nga ndryshimet' aktiv, ose administratori i sistemit vendos këtë në vend, hiqni këtë HijackThis.
O7 - Qasja Regedit e kufizuar nga Administratori
Si duket:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Politikat \ Sistem, DisableRegedit = 1
Çfarë duhet të bëni:
Gjithmonë keni HijackThis fix this, përveç nëse administratori i sistemit tuaj e ka vënë këtë kufizim në vend.
O8 - Sende shtesë në menynë e drejtpërdrejtë të klikimeve në IE
Si duket:
O8 - Element shtesë i menusë së kontekstit: & Kërko në Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Pozicioni i menusë shtesë të kontekstit: Yahoo! Kërko - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Pozicioni i menusë shtesë të kontekstit: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Pozicioni i menusë shtesë të kontekstit: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Çfarë duhet të bëni:
Nëse nuk e njihni emrin e artikullit në menunë e klikimit të djathtë në IE, hiqni këtë HijackThis.
O9 - Butonat shtesë në shiritin kryesor të IE, ose artikuj shtesë në IE & # 39; Vegla & # 39; menu
Si duket:
O9 - buton shtesë: Messenger (HKLM)
O9 - Menuja shtesë e Veglave: Messenger (HKLM)
O9 - buton shtesë: AIM (HKLM)
Çfarë duhet të bëni:
Nëse nuk e njeh emrin e butonit ose të elementit të menusë, hiqni këtë HijackThis.
O10 - rrëmbyesit Winsock
Si duket:
O10 - Hijacked qasje në internet nga New.Net
O10 - Gabim në Internet për shkak të ofertuesit të LSP 'c: \ program ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' mungon
O10 - skedari i panjohur në Winsock LSP: c: skedarët e programeve \ newton knows \ vmain.dll
Çfarë duhet të bëni:
Është më mirë për të rregulluar këto duke përdorur LSPFix nga Cexx.org, ose Spybot S & D nga Kolla.de.
Vini re që skedarët "e panjohur" në rafte LSP nuk do të fiksohen nga HijackThis, për çështjet e sigurisë.
O11 - Grupi shtesë në IE & # 39; Advanced Options & # 39; dritare
Si duket:
O11 - Grupi i opsioneve: [CommonName] CommonName
Çfarë duhet të bëni:
Rrëmbyesi i vetëm që tani që shton grupin e vet të opsioneve në dritaren e Options Advanced Options është CommonName. Pra, gjithmonë mund të keni HijackThis fix this.
O12 - plugins IE
Si duket:
O12 - Plugin për .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin për .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Çfarë duhet të bëni:
Pjesa më e madhe e kohës këto janë të sigurta. Vetëm OnFlow shton një plugin këtu që nuk dëshironi (.ofb).
O13 - IE DefaultPrefix rrëmben
Si duket:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefiksi: http://ehttp.cc/?
Çfarë duhet të bëni:
Këto janë gjithmonë të këqija. Bëni HijackThis të rregulluar ato.
O14 - & # 39; Rivendos cilësimet e uebit & # 39; rrëmbej
Si duket:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Çfarë duhet të bëni:
Nëse URL nuk është ofruesi i kompjuterit ose i ISP-së tuaj, hiqni këtë HijackThis.
O15 - Vende të padëshiruara në Zonën e Besuar
Si duket:
O15 - Zona e besuar: http://free.aol.com
O15 - Zona e besuar: * .coolwebsearch.com
O15 - Zona e besuar: * .msn.com
Çfarë duhet të bëni:
Shumica e kohës vetëm AOL dhe Coolwebsearch heshtje shtojnë faqet në Zonën e Besuar. Nëse nuk e keni shtuar vetë zonën e listuar në Zonën e Besuar, hiqni këtë HijackThis.
O16 - Objektet ActiveX (aka Download Files Program)
Si duket:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Çfarë duhet të bëni:
Nëse nuk e njeh emrin e objektit, ose URL-në prej të cilit është shkarkuar, HijackThis fix it. Nëse emri ose URL përmban fjalë si 'dialer', 'casino', 'free_plugin' etj, definitivisht do ta rregulloni atë. SpacheBlaster i Javacool ka një bazë të dhënash të madhe të objekteve me qëllim të keq ActiveX që mund të përdoren për të kërkuar CLSID. (Klikoni me të djathtën në listën për të përdorur funksionin Gjej.)
Domaini O17 - Lop.com rrëmben
Si duket:
O17 - HKLM \ Sistem \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ Parametrat: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonia: DomainName = W21944.find-quick.com
O17 - HKLM \ Sistem \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ Sistem \ CS1 \ Services \ Tcpip \ Parametrat: SearchList = gla.ac.uk
O17 - HKLM \ Sistem \ CS1 \ Services \ VxD \ MSTCP: EmriServeri = 69.57.146.14,69.57.147.175
Çfarë duhet të bëni:
Nëse sfera nuk është nga ISP-ja ose rrjeti i kompanisë, hiqni këtë HijackThis. E njëjta gjë vlen edhe për shënimet e "SearchList". Për emrat 'NamesServer' ( DNS servers ), Google për IP ose IP dhe do të jetë e lehtë për të parë nëse ato janë të mira apo të këqija.
O18 - Protokollet shtesë dhe rrëmbyesit e protokollit
Si duket:
O18 - Protokolli: lidhje të lidhura - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokolli: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Çfarë duhet të bëni:
Vetëm disa rrëmbyesit shfaqen këtu. Baddies njohur janë 'cn' (CommonName), 'ayb' (Lop.com) dhe 'linkedlinks' (Huntbar), ju duhet të keni HijackThis fix ato. Gjëra të tjera që shfaqen ose nuk janë konfirmuar ende të sigurta, ose janë rrëmbyer (p.sh. CLSID është ndryshuar) nga spyware. Në rastin e fundit, keni HijackThis fix it.
O19 - Plani i stilit të përdoruesit rrëmben
Si duket:
O19 - Formati i stilit të përdoruesit: c: \ WINDOWS \ Java \ my.css
Çfarë duhet të bëni:
Në rastin e ngadalësimit të një shfletuesi dhe të popupeve të shpeshta, HijackThis duhet ta rregullojë këtë artikull nëse shfaqet në regjistër. Megjithatë, pasi vetëm Coolwebsearch e bën këtë, është më mirë të përdorni CWShredder për ta rregulluar atë.
O20 - AppInit_DLLs Vlera e regjistrit autorun
Si duket:
O20 - AppInit_DLLs: msconfd.dll
Çfarë duhet të bëni:
Kjo vlerë e Regjistrit e vendosur në HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ngarkon një DLL në memorie kur përdoruesi futet, pas së cilës ai qëndron në kujtesë deri në prerje. Shumë pak programe të ligjshme e përdorin atë (Norton CleanSweep përdor APITRAP.DLL), më shpesh ajo është përdorur nga trojans ose rrëmbyesit agresive shfletuesit.
Në rast të ngarkimit të DLL 'fshehur' nga kjo vlerë e Regjistrit (e dukshme vetëm kur përdoret opsioni 'Edit Binary Data' në Regedit) emri dll mund të jetë prefixed me një tub '|' për ta bërë atë të dukshëm në log.
O21 - ShellServiceObjectDelayLoad
Si duket:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ Sistem \ auhook.dll
Çfarë duhet të bëni:
Kjo është një metodë pa autorizim, zakonisht e përdorur nga disa komponentë të sistemit të Windows. Gjërat e listuara në HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad ngarkohen nga Explorer kur fillon Windows. HijackThis përdor një listë të bardhë të disa sendeve shumë të zakonshme të SSODL, kështu që sa herë që një artikull shfaqet në regjistër, është i panjohur dhe ndoshta me qëllim të keq. Trajtoj me kujdes të veçantë.
O22 - SharedTaskScheduler
Si duket:
O22 - SharedTaskScheduler: (pa emër) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Çfarë duhet të bëni:
Ky është një autorun i padokumentuar vetëm për Windows NT / 2000 / XP, i cili përdoret shumë rrallë. Deri tani vetëm CWS.Smartfinder e përdor atë. Trajto me kujdes.
O23 - Shërbimet e NT
Si duket:
O23 - Shërbimi: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Çfarë duhet të bëni:
Ky është listë e shërbimeve jo-Microsoft. Lista duhet të jetë e njëjtë me atë që shihni në softuerin Msconfig të Windows XP. Disa rrëmbyes avash trojkësh përdorin një shërbim shtëpiak në adition për startups të tjerë për të instaluar veten. Emri i plotë zakonisht është i rëndësishëm, si "Shërbimi i Sigurisë së Rrjetit", "Shërbimi i Identifikimit të Stacionit të Punës" ose "Ndihmësi i Thirrjeve në Procedurë të Mëtejshme", por emri i brendshëm (midis kllapa) është një varg mbeturash, si 'Ort'. Pjesa e dytë e linjës është pronari i skedarit në fund, siç shihet në pronat e skedarit.
Vini re që fiksimi i një artikulli O23 do të ndalojë shërbimin dhe do ta çaktivizojë atë. Shërbimi duhet të fshihet nga regjistri manualisht ose me një mjet tjetër. Në HijackThis 1.99.1 ose më të lartë, butoni 'Delete NT Service' në seksionin Misc Tools mund të përdoret për këtë.