Fanadinadinana ny rakitry ny raki-peo mba hanesorana ny fanesorana ny Spyware sy ny navigateur
HijackThis dia fitaovana maimaim-poana avy amin'ny Trend Micro. Tany am-piandohana dia namboarin'i Merijn Bellekom, mpianatra iray any Holandy. Ny rindrambaiko fanesorana rindrambaiko toy ny Adaware na Spybot S & D dia manao asa tsara amin'ny famantatra sy manala ny ankamaroan'ny programa spyware, fa ny sasany amin'ireo spyware sy mpitsikilo mpitsikera dia tsy misalasala loatra na dia ireo fitaovam-piadiana mahery vaika manerantany aza.
HijackThis dia nosoratana manokana mba hanesorana sy hanesorana ireo rindrambaiko hosoka, na rindrankajy izay maka ny tranonkalan'ny tranonkalanao, manova ny pejy home homepage sy ny motera fikarohana ary zavatra hafa ratsy. Tsy toy ny rindrambaiko manohitra anti-spyware, HijackThis dia tsy mampiasa sonia na mikendry programa manokana na URL hanamarinana sy hanakanana. HijackThis dia mikaroka ireo tricks sy fomba ampiasain'ny malware mba hampiditra ny rafitrao ary hamadika ny navigateur.
Tsy ny zavatra rehetra miseho ao amin'ny HijackThis logs dia zavatra ratsy ary tsy tokony esorina avokoa izany rehetra izany. Raha ny marina, ny mifanohitra amin'izany. Azo antoka fa azo antoka fa ny sasany amin'ireo zavatra ao amin'ny HijackThis logs dia ho rindrambaiko ara-dalàna ary ny fanesorana ireo zavatra ireo dia mety hisy fiantraikany ratsy eo amin'ny rafitrao na hamerenana tanteraka izany. Mampiasa HijackThis dia toy ny fanovana ny Windows Registry anao. Tsy ny siansa rocket, fa tokony tsy hanao izany ianao raha tsy misy fitarihana mahomby raha tsy fantatrao izay ataonao.
Raha vao mametraka HijackThis ianao ary manamboatra azy io amin'ny famoronana rakitra misokatra, dia misy karazana forums sy tranokala izay ahafahanao mandefa na mampakatra ny data log. Ireo manam-pahaizana izay mahafantatra izay tokony hikaroka dia afaka manampy anao hamakafaka ny angon-drakitra ary hanoro anao izay zavatra entina hanesorana azy sy ireo izay handao irery.
Azonao atao ny mijery ny tranonkala ofisialin'ny Trend Micro raha te-haka ny versione HijackThis amin'izao fotoana izao.
Ity misy fijery momba ny lisitry ny log HijackThis azonao ampiasaina mba hitsambikina amin'ny fampahalalana tadiavinao:
- R0, R1, R2, R3 - Ny Internet Explorer Start / Search pejy URL
- F0, F1 - Fandaharana Autoloading
- N1, N2, N3, N4 - Netscape / Mozilla Start / Search pejy URL
- O1 - Manavao ny fanavaozana ny rakitra
- O2 - Object Browser Helper
- O3 - Symbols Internet Explorer
- O4 - Fandaharana Autoloading amin'ny Registry
- O5 - IE Options icon tsy hita ao amin'ny Control Panel
- O6 - IE fidirana fidirana voafetra voafaritry ny Administrator
- O7 - fidirana Regedit voafetra ataon'ny Administrator
- O8 - Zavatra fanampiny ao amin'ny IE ankavia menu
- O9 - Fitaovana fanampiny ao amin'ny baolina IE ankolaka fototra, na singa fanampiny ao amin'ny menan'ny IE 'Tools'
- O10 - Winsock hijacker
- O11 - Vondrona fanampiny ao amin'ny varavarankely IE 'Advanced Options'
- O12 - IE plugins
- O13 - IE DefaultPrefix hijack
- O14 - nisintona ny 'Reset Web Settings'
- O15 - Toerana tsy voatery ao amin'ny Trusted Zone
- O16 - ActiveX Objects (aka Download Program Files)
- O17 - Lop.com mpitsoa-ponenana
- O18 - Fihetsiketsana fanampiny sy mpisoloky
- O19 - Mianjera ny tetika ampiasain'ny mpampiasa
- O20 - Ordinatera AppInit_DLLs amin'ny ordinatera
- O21 - ShellServiceObjectDelayLoad manan-kaonty manan-kery
- O22 - SharedTaskScheduler manan-kaonty maimaimpoana
- O23 - Windows NT Services
R0, R1, R2, R3 - IE pejy Start and Search
Toy izao izany:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, pejy Start = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (ity karazana ity dia tsy ampiasaina amin'ny HijackThis)
R3 - Default URLSearchHook tsy hita
Ny hatao:
Raha fantatrao ny URL amin'ny farany amin'ny pejy fandraisam-peo na ny milina fikarohana, dia OK. Raha tsy izany, tsidiho izy ary asio HijackThis. Ho an'ny R3 ireo, mametraha azy ireo foana raha tsy manonona programa iray fantatrao, toy ny Copernic.
F0, F1, F2, F3 - Programa Autoloading avy amin'ny INI rakitra
Toy izao izany:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Ny hatao:
Ireo zavatra F0 dia ratsy foana, koa mametraha azy ireny. Ireo singa F1 dia matetika fandaharam-potoana efa antitra azo antoka, noho izany dia tokony hahita fanazavana bebe kokoa momba ny anaran-tsehatra hahitana raha tsara na ratsy. Lisitry ny fandefasan'i Pacman dia afaka manampy amin'ny famantarana zavatra iray.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Pejy sehatra
Toy izao izany:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Ny hatao:
Matetika ny tranokala Netscape sy Mozilla sy ny pejy fikarohana dia azo antoka. Tsy mahagaga izy ireo fa voasambotra, Lop.com ihany no fantatra fa nanao izany. Raha mahita URL iray izay tsy fantatrao ianao amin'ny pejy fandraisanao na ny pejy karakarainao, dia asio HijackThis izany.
O1 - Fanavaozana ny Hostsfile
Toy izao izany:
O1 - Mpanome: 216.177.73.139 auto.search.msn.com
O1 - Mpanome: 216.177.73.139 search.netscape.com
O1 - Mpanome: 216.177.73.139 ieautosearch
O1 - Ny rakitra tompony dia hita ao amin'ny C: \ Windows \ Help \ hosts
Ny hatao:
Io fisamborana io dia hamadika ny adiresy ankavanana amin'ny adiresy IP mankany ankavia. Raha toa ka tsy manana adiresy IP ny IP dia dia alefa mankany amin'ny toerana tsy mety ianao isaky ny miditra amin'ny adiresy. Afaka manana HijackThis foana ianao, raha tsy ampidirinao ao anaty rakitra tomponao ireo andalana ireo.
Ny singa farany dia miseho indraindray amin'ny Windows 2000 / XP miaraka amin'ny infection Coolwebsearch. Tehirizo foana ity zavatra ity, na manamboatra azy io avy eo ny CWShredder.
O2 - Object Browser Helper
Toy izao izany:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (tsy misy anarana) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ FIARAHAMONINA FIHAVANANA / POPUP ELIMINATOR \ AUTODISPLAY401.DLL (rakitra tsy hita)
O2 - BHO: Enlarged MediaLoad - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ Program Files \ MEDIALOADS ENHANCED \ ME1.DLL
Ny hatao:
Raha tsy manaiky ny anaran'ny Mpamorona Helper Object ianao, ampiasao ny lisitry ny BHO & Toolbar amin'ny tondrozotra TonyK (CLSID, ny laharana eo anelanelan'ny curler) ary jereo raha tsara na ratsy izany. Ao amin'ny lisitry ny BHO, ny 'X' dia midika fitsikilovana ary 'L' midika ho fiarovana.
O3 - IE baoritra
Toy izao izany:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ Program Files \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (rakitra tsy ampy)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Ny hatao:
Raha tsy mamantatra mivantana ny anaran'ny baoritra ianao, ampiasao ny lisitry BHO & Toolbar amin'ny totozin'i TonyK mba hahitanao azy io amin'ny alalan'ny ID (CLSID, ny laharana eo anelanelan'ny curler) ary jereo raha tsara na ratsy izany. Ao amin'ny lisitry ny Toolbar, 'X' midika hoe spyware ary 'L' midika hoe azo antoka. Raha tsy ao anaty lisitra io ary ny anaran-dahatsoratra dia toa endritsoratra maromaro ary ny rakitra dia ao amin'ny lahatahiry 'Application Data' (toy ny farany ao amin'ny ohatra etsy ambony), angamba Lop.com, ary tokony tokony hanana HijackThis fix ianao izany.
O4 - Programa Autoloading avy amin'ny rejisitra na ny vondrona Startup
Toy izao izany:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Ny hatao:
Ampiasao ny lisitry ny fandefasan'i PacMan mba hahitana ny fidirana sy hahita raha tsara na ratsy.
Raha toa ka mampiseho programa mipetraka ao amin'ny vondrona Startup (toy ny farany eo ambony) ny HijackThis dia tsy afaka mamaha ilay singa raha mbola mitadidy io programa io. Ampiasao ny Windows Task Manager (TASKMGR.EXE) mba hanakatona ny dingana alohan'ny famaranana.
O5 - IE Options izay tsy hita ao amin'ny Control Panel
Toy izao izany:
O5 - control.ini: inetcpl.cpl = tsia
Ny hatao:
Raha tsy manafina ny icon avy amin'ny Control Panel ianao na ny mpandrindra ny rafitra misy anao, dia manamboara HijackThis izany.
O6 - IE fidirana fidirana voafetra voafaritry ny Administrator
Toy izao izany:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions present
Ny hatao:
Raha tsy hoe manana safidy Spybot S & D ianao, 'Home page Lock avy amin'ny fanovana', na ny mpandrindra ny rafitrao mametraka azy ity, dia manamboara HijackThis ity.
O7 - fidirana Regedit voafetra ataon'ny Administrator
Toy izao izany:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Ny hatao:
Alaharo HijackThis mandrakariva, raha tsy efa nametraka ity fetra ity ny mpandrindra ny rafitra.
O8 - Zavatra fanampiny ao amin'ny IE ankavia menu
Toy izao izany:
O8 - Fitaovana mifantoka fanampiny momba ny menu: & Google Search - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Item menu context: Yahoo! Fikarohana - rakitra: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Item menu context: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Item menu context: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Ny hatao:
Raha tsy fantatrao ny anaran'ilay singa ao amin'ny menu-havanana ankavia ao amin'ny IE, tsidiho ny HijackThis.
O9 - Bitsaka fanampiny ao amin'ny IE baiko, na zavatra fanampiny ao amin'ny IE & Tools 39; sakafo
Toy izao izany:
O9 - Boky fanampiny: Messenger (HKLM)
O9 - Menuitem Extra Tools: Messenger (HKLM)
O9 - Boky fanampiny: AIM (HKLM)
Ny hatao:
Raha tsy manaiky ny anaran'ny bokotra na ny zavatra menuo ianao, dia manamboara HijackThis.
O10 - mpiaro an'i Winsock
Toy izao izany:
O10 - fidirana amin'ny Internet amin'ny New.Net
O10 - Raki-dàlana mifandraika amin'ny Internet noho ny mpamatsy LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' tsy ampy
O10 - Fichier tsy fantatra ao Winsock LSP: c: \ programa vaovao \ newton knows \ vmain.dll
Ny hatao:
Tsara ny manamboatra izany amin'ny alàlan'ny LSPFix avy amin'ny Cexx.org, na Spybot S & D avy amin'ny Kolla.de.
Mariho fa ireo rakitra 'tsy fantatra' ao amin'ny kitapo LSP dia tsy hametraka an'i HijackThis, ho an'ny olana momba ny fiarovana.
O11 - Vondrona fanampiny ao amin'ny IE & # 39; Advanced Options & # 39; varavarankely
Toy izao izany:
O11 - Vondrona safidy: [CommonName] CommonName
Ny hatao:
Ny hetra tokana amin'izao fotoana izao izay manampy ny vondrona safidy manokana ao amin'ny varavarankely IE Advanced Options dia CommonName. Koa afaka manana HijackThis foana ianao.
O12 - IE plugins
Toy izao izany:
O12 - Plugin ho an'ny .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin ho an'ny .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Ny hatao:
Ny ankamaroan 'izany fotoana izany dia voaro. Ny OnFlow ihany no manampy ny plugin eto izay tsy tianao (.ofb).
O13 - IE DefaultPrefix hijack
Toy izao izany:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Ny hatao:
Ratsy foana izany. HijackThis no mametraka izany.
O14 - & Reset Web Settings & # 39; hijack
Toy izao izany:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Ny hatao:
Raha toa ka tsy ny mpanome ny solosainao na ny ISP anao no jerena dia alefaso ny HijackThis.
O15 - Toerana tsy voatery ao amin'ny Trusted Zone
Toy izao izany:
O15 - Trusted Zone: http://free.aol.com
O15 - Toerana azo itokisana: * .coolwebsearch.com
O15 - Toerana azo itokisana: * .msn.com
Ny hatao:
Ny ankamaroan'ny fotoana dia ny AOL sy ny Coolwebsearch ihany no mampitombo ny tranokalan'ny Trusted Zone. Raha tsy nampidirinao ao amin'ny Trusted Zone ny domains voalaza anarana, dia tsindrio HijackThis izany.
O16 - ActiveX Objects (aka Download Program Files)
Toy izao izany:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Ny hatao:
Raha tsy fantatrao ny anaran'ilay zavatra, na ny URL nafidina avy any, tsindrio HijackThis. Raha ny anarana na ny URL dia misy teny toy ny 'dialer', 'casino', 'free_plugin', sns., Mametraka azy tsara. Ny SpywareBlaster ao Javacool dia manana tahiry goavana amin'ny zavatra ActiveX ratsy izay azo ampiasaina amin'ny fijerena CLSIDs. (Tsindrio eo ankavanana amin'ny lisitra ampiasaina ny Find Find.)
O17 - Lop.com ny tranonkala hijacks
Toy izao izany:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domèn = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domèn = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domèn = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Ny hatao:
Raha toa ka tsy avy amin'ny orinasa ISP na tambajotra misy anao ny sehatra dia ataovy ny HijackThis. Toy izany ihany koa ho an'ny fidirana 'SearchList'. Ho an'ny mpizara " DNS server " ( DNS servers ), Google ho an'ny IP na IP, dia ho mora ny hahita raha tsara na ratsy izy ireo.
O18 - Fihetsiketsana fanampiny sy mpisoloky
Toy izao izany:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokolo misongadina: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Ny hatao:
Mpisera vitsivitsy monja no miseho eto. Ny baddies fantatra dia 'cn' (CommonName), 'ayb' (Lop.com) ary 'relatedlinks' (Huntbar), tokony hanana HijackThis hamaha izany ianao. Ny zavatra hafa izay miseho dia tsy voamarina na oviana na oviana, na nosamborina (izany hoe novaina ny CLSID) avy amin'ny spyware. Amin'izao tranga farany izao, manaova HijackThis.
O19 - Mianjera ny tetika ampiasain'ny mpampiasa
Toy izao izany:
O19 - Taratasy ho an'ny mpampiasa: c: \ WINDOWS \ Java \ my.css
Ny hatao:
Raha toa ka misy ny faharesen'ny navigateur sy ny popups matetika dia asaivo manamboatra an'ity ity Hijack ity raha toa ka miseho ao amin'ny log. Na izany aza, satria ny Coolwebsearch ihany no manao izany, tsara kokoa ny mampiasa ny CWShredder hanamboatra izany.
O20 - Ordinatera AppInit_DLLs amin'ny ordinatera
Toy izao izany:
O20 - AppInit_DLLs: msconfd.dll
Ny hatao:
Ity mari-pamantarana ity dia hita ao amin'ny HKEY_LOCAL_MACHINE \ Software \ Microsoft Windows NT \ CurrentVersion \ Windows dia mampiditra DLL ho fahatsiarovana rehefa mijanona ao ny mpampiasa, avy eo dia mitazona azy ho fahatsiarovana mandrapahavona. Vitsy dia vitsy no mampiasa azy io (Norton CleanSweep dia mampiasa APITRAP.DLL), matetika izy io dia ampiasain'ireo trojans na ireo mpitsoa-ponenana mpitsikilo.
Raha sendra misy 'DID' miaina miaina io DLL io (izay hita amin'ny fampiasana ny 'Manova Binary Data' ao amin'ny Regedit) dia azo alaina ny sanda 'dll' amin'ny sanda '| | mba hampiseho azy ao amin'ny log.
O21 - ShellServiceObjectDelayLoad
Toy izao izany:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Ny hatao:
Ity dia metodom-pahefana tsy manara-dalàna, izay ampiasain'ny rafitra Windows rafitra vitsivitsy. Ireo lahatsoratra voatanisa ao amin'ny HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad dia naterin'ny Explorer rehefa manomboka Windows. HijackThis dia mampiasa whitelist an'ny singa marobe SSODL mahazatra maro, ka raha isaky ny singa hita ao amin'ny log dia tsy fantatra izany ary mety ho ratsy. Manaova fikarakarana faran'izay mafy.
O22 - SharedTaskScheduler
Toy izao izany:
O22 - SharedTaskScheduler: (tsy misy anarana) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Ny hatao:
Ity dia autorun tsy misy antontan-taratasy ho an'ny Windows NT / 2000 / XP ihany, izay ampiasaina be dia be. Hatreto dia CWS.Smartfinder ihany no mampiasa izany. Mitandrema amim-pitandremana.
O23 - NT Services
Toy izao izany:
O23 - Fanompoana: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Ny hatao:
Ity no lisitra tsy misy ny serivisy Microsoft. Ny lisitra dia tokony ho toy ilay hita ao amin'ny utility Msconfig an'ny Windows XP. Maro amin'ireo mpitsoa-ponenana trojan no mampiasa tolotra finday ho an'ny fanombohana hafa hanamboatra ny tenany. Ny anarana feno dia matetika mahaliana-toy ny hoe 'Network Security Service', 'Workstation Logon Service' na 'Help Helper Call Procedure', fa ny anaran'ny aterineto (eo anelanelan'ny fonosana) dia karazana fako, toy ny 'Ort'. Ny ampahany faharoa amin'ny tsipika dia tompon'ny file amin'ny farany, araka ny hita ao amin'ny toetra ao amin'ny rakitra.
Mariho fa ny fametrahana ny singa O23 dia hampitsahatra ny serivisy ihany ary hanakana izany. Ny serivisy dia mila esorina ao amin'ny rejisitra amin'ny tanana na amin'ny fitaovana hafa. Ao amin'ny HijackThis 1.99.1 na mihoatra, ny bokotra 'Delete NT Service' ao amin'ny sehatra Misc Tools dia azo ampiasaina amin'izany.