Paghubad sa datos sa log aron sa pagtabang sa pagkuha sa Spyware ug Browser Hijackers
HijackThis usa ka libre nga himan gikan sa Trend Micro. Kini orihinal nga gimugna ni Merijn Bellekom, estudyante sa The Netherlands. Ang spyware removal software sama sa Adaware o Spybot S & D makahimo sa usa ka maayong trabaho sa pag-detect ug pagkuha sa kadaghanan sa mga spyware programs, apan ang pipila ka mga spyware ug browser hijackers hilabihan ka malimbungon bisan pa niining mga dako nga anti-spyware utilities.
HijackThis gisulat nga espesipiko aron masayran ug kuhaon ang mga paglimbong sa browser, o software nga magdala sa imong web browser, mag-usab sa imong default nga home page ug search engine ug uban pang malisyosong mga butang. Dili sama sa tipikal nga anti-spyware software, HijackKini wala mogamit sa mga pirma o target ang bisan unsa nga piho nga mga programa o URL aron masayran ug babagan. Hinuon, HijackAla kining pagpangita sa mga lansis ug mga pamaagi nga gigamit sa malware aron mahulipan ang imong sistema ug i-redirect ang imong browser.
Dili tanan nga nagpakita sa HijackAng mga troso mao ang dili maayo nga mga butang ug dili kini tanan kuhaon. Sa pagkatinuod, ang sukwahi. Hapit kini gigarantiyahan nga ang pipila sa mga butang sa imong HijackAng mga troso mahimo nga lehitimo nga software ug pagkuha sa mga butang mahimong makadaut sa imong sistema o maghimo niini nga bug-os nga dili maoperahan. Paggamit sa HijackKini usa ka daghan sama sa pag-usab sa Windows Registry sa imong kaugalingon. Dili kini rocket science, apan dili gyud nimo buhaton kini nga walay giya nga eksperto gawas kung nahibal-an nimo ang imong ginabuhat.
Sa higayon nga imong i-install ang HijackThis ug ipadagan kini aron makamugna og usa ka log file, adunay daghang mga forum ug mga site diin mahimo nimo ipa-post o i-upload ang imong data sa log. Ang mga eksperto nga mahibal-an kung unsa ang pangita makatabang kanimo sa pag-analisar sa datos sa log ug pagtambag kanimo kung unsang mga butang ang kuhaon ug kung kinsa ang mag-inusara.
Sa pag-download sa kasamtangan nga bersyon sa HijackThis, mahimo nimong mabisita ang opisyal nga site sa Trend Micro.
Ania ang kinatibuk-ang panglantaw sa HijackThis mga entry sa log nga mahimo nimong gamiton aron makapangita sa impormasyon nga imong gipangita:
- R0, R1, R2, R3 - Mga panid sa Internet nga Start / Search sa Internet Explorer
- F0, F1 - Mga programa sa pagpatulin
- N1, N2, N3, N4 - Netscape / Mozilla Start / Search pages URLs
- O1 - Pag-redirect sa mga host file
- O2 - Browser Helper Objects
- O3 - Mga toolbar sa Internet Explorer
- O4 - Mga programa gikan sa Registry
- O5 - IE Options icon nga dili makita sa Control Panel
- O6 - IE Options access nga gidili sa Administrator
- O7 - Regedit access nga gidili sa Administrator
- O8 - Dugang nga mga butang sa IE nga katapusang-klik nga menu
- O9 - Dugang mga buton sa main IE button toolbar, o sobrang mga butang sa IE 'Tools' nga menu
- O10 - Winsock hijacker
- O11 - Dugang nga grupo sa IE 'Advanced Options' window
- O12 - IE plugins
- O13 - IE DefaultPrefix hijack
- O14 - hijack ang 'Reset Web Settings'
- O15 - Wala'y gusto nga site sa Trusted Zone
- O16 - ActiveX Objects (aka Downloaded Program Files)
- O17 - Lop.com domain hijackers
- O18 - Dugang mga protocol ug mga hijacker sa protocol
- O19 - User style sheet hijack
- O20 - AppInit_DLLs Registry value autorun
- O21 - ShellServiceObjectDelayLoad Registry key autorun
- O22 - SharedTaskScheduler Registry nga yawe nga autorun
- O23 - Windows NT Services
R0, R1, R2, R3 - Mga pahina sa IE ug Search
Daw unsa kini:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (kini nga matang dili gigamit sa HijackThis pa)
R3 - Wala'y nawala ang Default URLSearchHook
Unsay buhaton:
Kung nakaila ka sa URL sa katapusan ingon nga imong homepage o search engine, OK ra. Kon wala ka, susiha kini ug adunay HijackTaayo kini. Alang sa R3 nga mga butang, himua kanunay kini gawas kung naghisgot kini sa usa ka programa nga imong giila, sama sa Copernic.
F0, F1, F2, F3 - Pagdumala sa mga programa gikan sa INI nga mga file
Daw unsa kini:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Unsay buhaton:
Ang mga butang nga F0 kanunay nga dili maayo, busa ayuhon kini. Ang F1 nga mga butang kasagaran kaayo nga daan nga mga programa nga luwas, busa kinahanglan nga makakita ka og dugang nga impormasyon sa filename aron masuta kon kini maayo ba o dili maayo. Ang Lista sa Startup sa Pacman makatabang sa pag-ila sa usa ka butang.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Pangita nga panid
Daw unsa kini:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Unsay buhaton:
Kasagaran ang panid sa homepage sa Netscape ug Mozilla luwas. Talagsa ra sila nga ma-hijack, apan ang Lop.com nahibal-an na sa pagbuhat niini. Kung makita nimo ang usa ka URL nga wala nimo mailhi ingon nga imong homepage o pahina sa pagpangita, adunay HijackTaayo kini.
O1 - Hostsfile redirections
Daw unsa kini:
O1 - Mga Host: 216.177.73.139 auto.search.msn.com
O1 - Mga Host: 216.177.73.139 search.netscape.com
O1 - Mga Host: 216.177.73.139 ieautosearch
O1 - Ang host file nahimutang sa C: \ Windows \ Help \ hosts
Unsay buhaton:
Kini nga hijack mag-usab sa address ngadto sa tuo sa IP address sa wala. Kung ang IP dili nahisakop sa adres, ikaw ibalhin ngadto sa usa ka sayop nga site matag higayon nga ikaw mosulod sa address. Mahimo nga ikaw kanunay adunay HijackTa kini nga pag-ayo niini, gawas kung imong gibutang ang mga linya sa imong file sa Host.
Ang katapusan nga butang usahay mahitabo sa Windows 2000 / XP nga may usa ka impeksyon sa Coolwebsearch. Kanunay nga ayuhon kini nga butang, o pag-ayo kini sa CWShredder.
O2 - Browser Helper Objects
Daw unsa kini:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (walay ngalan) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
Unsay buhaton:
Kon dili nimo mailhan ang usa ka ngalan sa Browser Helper Object, gamita ang BHO & Toolbar List sa TonyK aron makita kini sa klase ID (CLSID, ang numero tali sa curly brackets) ug tan-awon kon kini maayo o dili maayo. Sa BHO List, ang 'X' nagpasabot sa spyware ug ang 'L' nagpasabot nga luwas.
O3 - IE toolbars
Daw unsa kini:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Unsay buhaton:
Kon dili nimo mailhan ang usa ka ngalan sa toolbar, gamita ang BHO & Listahan sa Toolbar sa TonyK sa pagpangita niini pinaagi sa klase ID (CLSID, ang numero tali sa curly brackets) ug tan-awon kon kini maayo ba o dili maayo. Sa List sa Toolbar, ang 'X' nagpasabot sa spyware ug ang 'L' nagpasabot nga luwas. Kon wala kini sa listahan ug ang ngalan daw usa ka random nga hugpong sa mga karakter ug ang file anaa sa folder sa 'Application Data' (sama sa katapusang usa sa mga panig-ingnan sa ibabaw), kini tingali Lop.com, ug ikaw kinahanglan nga adunay HijackThis fix kini.
O4 - Mga programa sa pagpadagan gikan sa Registry o Startup group
Daw unsa kini:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Nagbahay \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Unsay buhaton:
Gamita ang Startup List sa PacMan aron makit-an ang pagsulod ug tan-awon kung kini maayo o dili maayo.
Kon ang butang nagpakita sa usa ka programa nga naglingkod sa usa ka grupo sa Startup (sama sa katapusang aytem sa ibabaw), HijackThis dili makaayo sa butang kung kini nga programa anaa pa sa panumduman. Gamita ang Windows Task Manager (TASKMGR.EXE) aron masirado ang proseso sa wala pa ma-fix.
O5 - Mga Opsyon sa IE nga dili makita sa Control Panel
Daw unsa kini:
O5 - control.ini: inetcpl.cpl = no
Unsay buhaton:
Gawas kon ikaw o ang imong tagdumala sa sistema nasayod nga natago ang icon gikan sa Control Panel, adunay HijackKini ang nag-ayo niini.
O6 - IE Options access nga gidili sa Administrator
Daw unsa kini:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Ang mga paghatag sa kasuguan karon
Unsay buhaton:
Gawas kon ikaw adunay opsyon sa Spybot S & D 'Lock homepage gikan sa mga pagbag-o' nga aktibo, o ang imong administrador nga gibutang kini sa lugar, adunay HijackThis ayuhon kini.
O7 - Regedit access nga gidili sa Administrator
Daw unsa kini:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Unsay buhaton:
Kanunay nga adunay HijackAmo kini nga pag-ayo, gawas kon ang imong tagdumala sa imong sistema nagbutang niini nga pagdili.
O8 - Dugang nga mga butang sa IE nga katapusang-klik nga menu
Daw unsa kini:
O8 - Dugang nga butang sa menu sa konteksto: & Google Search - res: // C: \ WINDOWS \ DOWNLOAD PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Dugang nga butang sa menu sa konteksto: Yahoo! Search - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Dugang nga butang sa menu sa konteksto: Pag-zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Dugang nga butang sa menu sa konteksto: Pag-zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Unsay buhaton:
Kon dili nimo maila ang ngalan sa butang sa right-click nga menu sa IE, adunay HijackIto kini ayuhon.
O9 - Dugang nga mga buton sa main IE toolbar, o sobrang mga butang sa IE & # 39; Tools & # 39; menu
Daw unsa kini:
O9 - Extra button: Messenger (HKLM)
O9 - Dugang nga mga 'Tools' nga menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Unsay buhaton:
Kung wala ka makaila sa ngalan sa butones o menu item, adunay HijackIto kini ayuhon.
O10 - Winsock hijackers
Daw unsa kini:
O10 - Nadaot ang Internet pinaagi sa New.Net
O10 - Dali nga access sa Internet tungod sa LSP provider 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' missing
O10 - Wala mailhi nga file sa Winsock LSP: c: \ program files \ newton nahibal-an \ vmain.dll
Unsay buhaton:
Mas maayo nga ayuhon kini gamit ang LSPFix gikan sa Cexx.org, o Spybot S & D gikan sa Kolla.de.
Hinumdomi nga ang mga 'wala mahibal-an' nga mga file sa LSP stack dili ma-fix sa HijackThis, alang sa mga isyu sa kaluwasan.
O11 - Dugang nga grupo sa IE & # 39; Mga Advanced nga Opsyon & # 39; bintana
Daw unsa kini:
O11 - Opsyon nga grupo: [CommonName] CommonName
Unsay buhaton:
Ang bugtong hijacker sa karon nga nagdugang sa iyang kaugalingon nga kapilian nga grupo sa IE Advanced Options bintana mao CommonName. Busa mahimo nimo kanunay ang HijackTaayo kini.
O12 - IE plugins
Daw unsa kini:
O12 - Plugin para sa .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin para sa .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Unsay buhaton:
Kadaghanan sa panahon nga kini luwas. Lamang OnFlow nagdugang sa usa ka plugin dinhi nga dili nimo gusto (.fb).
O13 - IE DefaultPrefix hijack
Daw unsa kini:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Unsay buhaton:
Kini kanunay nga dili maayo. Nakuha ang HijackAgay kini giayo.
O14 - & # 39; Reset Web Settings & # 39; hijack
Daw unsa kini:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Unsay buhaton:
Kung ang URL dili mao ang provider sa imong kompyuter o imong ISP, adunay HijackKini ang nag-ayo niini.
O15 - Dili gusto nga mga site sa Trusted Zone
Daw unsa kini:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com
Unsay buhaton:
Kadaghanan sa panahon lamang ang AOL ug Coolwebsearch sa hilom nga pagdugang sa mga site ngadto sa Trusted Zone. Kon wala nimo idugang ang lista nga domain sa Trusted Zone ang imong kaugalingon, adunay HijackAko ang nag-ayo niini.
O16 - ActiveX Objects (aka Downloaded Program Files)
Daw unsa kini:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Unsay buhaton:
Kon wala nimo maila ang ngalan sa butang, o ang URL kini gi-download gikan sa, nag-Hijack kini kini nag-ayo niini. Kung ang ngalan o URL adunay mga pulong sama sa 'dialer', 'casino', 'free_plugin' etc, siguradong ayuhon kini. Ang Javacool's SpywareBlaster adunay dako nga database sa malisyoso nga mga butang sa ActiveX nga mahimong gamiton sa pagtan-aw sa CLSIDs. (I-right-click ang lista aron magamit ang Find function.)
O17 - Lop.com domain hijacks
Daw unsa kini:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Unsay buhaton:
Kung ang dominyo dili gikan sa imong ISP o kompaniya nga network, adunay HijackKini ang nag-ayo niini. Ang sama nga alang sa mga 'SearchList' nga mga entries. Alang sa mga 'NameServer' (mga DNS server ) nga mga entry, ang Google alang sa mga IP o IPs ug kini sayon nga makita kung sila maayo o dili maayo.
O18 - Dugang mga protocol ug mga hijacker sa protocol
Daw unsa kini:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Unsay buhaton:
Pipila lamang ka mga hijackers ang nagpakita dinhi. Ang nahibal-an nga mga baddies mao ang 'cn' (CommonName), 'ayb' (Lop.com) ug 'relatedlinks' (Huntbar), kinahanglan nga adunay HijackTinukma kini. Ang ubang mga butang nga nagpakita nga dili pa napamatud-an nga luwas, o gi-hijack (ie ang CLSID giusab) pinaagi sa spyware. Sa katapusang kaso, adunay HijackKini maoy nag-ayo niini.
O19 - User style sheet hijack
Daw unsa kini:
O19 - User style sheet: c: \ WINDOWS \ Java \ my.css
Unsay buhaton:
Sa kaso sa paghinay sa browser ug kanunay nga mga pag-popup, adunay HijackKini nga ayuhon kini nga butang kon kini makita sa log. Apan, tungod kay ang Coolwebsearch lamang kini, mas maayo nga gamiton ang CWShredder aron ayuhon kini.
O20 - AppInit_DLLs Registry value autorun
Daw unsa kini:
O20 - AppInit_DLLs: msconfd.dll
Unsay buhaton:
Kini nga Registry value nga nahimutang sa HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows nag-load sa usa ka DLL ngadto sa memorya kung ang user mag-log in, ug human niana kini magpabilin sa memorya hangtud sa logoff. Diyutay ra nga mga lehitimong programa ang gigamit niini (Norton CleanSweep naggamit APITRAP.DLL), kasagaran gigamit kini sa mga trojans o aggressive browser hijackers.
Sa kaso sa usa ka 'gitago' nga DLL loading gikan niining Registry value (makita lamang kung gamit ang 'Edit Binary Data' option sa Regedit) ang pangalan sa dll mahimong prefixed sa usa ka pipe '|' aron mahimo kini nga makita sa log.
O21 - ShellServiceObjectDelayLoad
Daw unsa kini:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Unsay buhaton:
Kini usa ka undocumented autorun nga pamaagi, kasagaran gigamit sa pipila ka mga component sa Windows system. Ang mga butang nga gilista sa HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad ang gikarga sa Explorer kung magsugod ang Windows. HijackThis naggamit sa usa ka whitelist sa pipila ka komon kaayo nga mga butang sa SSODL, busa sa matag higayon nga ang usa ka butang gipakita diha sa troso wala kini mahibal-an ug mahimo nga malisyoso. Pagtratar uban sa grabeng pag-atiman.
O22 - SharedTaskScheduler
Daw unsa kini:
O22 - SharedTaskScheduler: (walay ngalan) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Unsay buhaton:
Kini usa ka undocumented autorun alang sa Windows NT / 2000 / XP lamang, nga gigamit nga talagsa ra. Hangtud karon ang CWS.Smartfinder naggamit niini. Pagtratar uban sa pag-atiman.
O23 - Mga Serbisyo sa NT
Daw unsa kini:
O23 - Pag-alagad: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Unsay buhaton:
Kini ang listahan sa mga dili serbisyo sa Microsoft. Ang listahan kinahanglan nga sama sa usa nga imong makita sa Msconfig utility sa Windows XP. Daghang mga hijackers sa trojan ang naggamit sa usa ka serbisyo sa panimalay nga adittion sa ubang mga startup aron sa pag-instalar sa ilang mga kaugalingon. Ang tibuok ngalan kasagaran importante-tunog, sama sa 'Network Security Service', 'Workstation Logon Service' o 'Remote Helper Call Caller', apan ang internal nga ngalan (tali sa mga braket) usa ka kutay sa basura, sama sa 'Ort'. Ang ikaduha nga bahin sa linya mao ang tag-iya sa file sa katapusan, nga makita sa mga kabtangan sa file.
Hinumdumi nga ang pag-ayo sa usa ka butang nga O23 mohunong lamang sa pag-alagad ug pag-disable niini. Ang pag-alagad kinahanglan nga papason gikan sa Registry pinaagi sa us aka paagi o uban pang gamit. Sa HijackThis 1.99.1 o mas taas, ang button nga 'Delete NT Service' sa Misc Tools section mahimong gamiton alang niini.