Содержание
- 1 Используя HijackThis
- 2 R0, R1, R2, R3 — стартовая страница IE и страницы поиска
- 3 F0, F1, F2, F3 — автозагрузка программ из файлов INI
- 4 N1, N2, N3, N4 — Netscape / Mozilla Start Страница поиска
- 5 O1 — Перенаправление хост-файлов
- 6 O2 — вспомогательные объекты браузера
- 7 O3 — IE Панели инструментов
- 8 O4 — автозагрузка программ из реестра или группы запуска
- 9 O5 — опции IE не видны на панели управления
- 10 O6 — Доступ к параметрам IE ограничен администратором
- 11 O7 — доступ Regedit ограничен администратором
- 12 O8 — Дополнительные элементы в IE Меню правого клика
- 13 O9 — Дополнительные кнопки на главной панели инструментов IE или Дополнительные элементы в меню «Инструменты» IE
- 14 O10 — Винсок Угонщики
- 15 O11 — Дополнительная группа в окне расширенных настроек IE
- 16 O12 — IE плагины
- 17 O13 — IE DefaultPrefix Hijack
- 18 O14 — «Сброс веб-настроек» угон
- 19 O15 — нежелательные помощники в доверенной зоне
- 20 O16 — объекты ActiveX (также известные как загруженные программные файлы)
- 21 O17 — Lop.com Домен угонщиков
- 22 O18 — Дополнительные протоколы и похитители протоколов
- 23 O19 — Таблица стилей пользователя Hijack
- 24 O20 — автозапуск значения реестра AppInit_DLLs
- 25 O21 — ShellServiceObjectDelayLoad
- 26 O22 — SharedTaskScheduler
- 27 O23 — NT Services
HijackThis — бесплатный инструмент от Trend Micro. Первоначально он был разработан Мерин Беллеком, студенткой из Нидерландов. Программное обеспечение для удаления шпионских программ, такое как Adaware или Spybot SD, хорошо обнаруживает и удаляет большинство программ-шпионов, но некоторые программы-шпионы и угонщики браузера слишком коварны даже для этих замечательных антишпионских утилит.
HijackThis предназначен специально для обнаружения и удаления угонщиков браузера или программного обеспечения, которое захватывает ваш веб-браузер, изменяет домашнюю страницу по умолчанию, поисковую систему и другие вредоносные программы. В отличие от типичного антишпионского программного обеспечения, HijackThis не использует сигнатуры и не предназначается для каких-либо конкретных программ или URL-адресов для обнаружения и блокировки. Скорее, HijackThis ищет приемы и методы, используемые вредоносными программами для заражения вашей системы и перенаправления вашего браузера.
Используя HijackThis
Не все, что отображается в журналах HijackThis, является плохим, и не все должны быть удалены. На самом деле совсем наоборот. Почти гарантировано, что некоторые элементы в ваших журналах HijackThis будут законным программным обеспечением, и удаление этих элементов может отрицательно повлиять на вашу систему или сделать ее полностью неработоспособной. Использование HijackЭто очень похоже на редактирование реестра Windows самостоятельно. Это не ракетостроение, но вам определенно не следует делать это без какого-либо экспертного руководства, если вы действительно не знаете, что делаете.
После того, как вы установили HijackThis и запустили его для создания файла журнала, появилось множество форумов и сайтов, где вы можете опубликовать или загрузить данные журнала. Эксперты, которые знают, что искать, могут затем помочь вам проанализировать данные журнала и посоветовать, какие элементы удалить, а какие оставить в покое.
Чтобы загрузить текущую версию HijackThis, вы можете посетить официальный сайт Trend Micro.
Вот обзор записей журнала HijackThis, которые вы можете использовать, чтобы перейти к информации, которую вы ищете:
- R0, R1, R2, R3 — URL-адреса стартовых / поисковых страниц Internet Explorer
- F0, F1 — Автозагрузка программ
- N1, N2, N3, N4 — Netscape / Mozilla Start / Поиск страниц URL
- O1 — перенаправление файла хостов
- O2 — вспомогательные объекты браузера
- O3 — панели инструментов Internet Explorer
- O4 — автозагрузка программ из реестра
- O5 — значок IE не отображается на панели управления
- O6 — Доступ к параметрам IE ограничен администратором
- O7 — Regedit доступ ограничен администратором
- O8 — Дополнительные элементы в меню IE правой кнопкой мыши
- O9 — Дополнительные кнопки на главной панели инструментов IE или дополнительные элементы в IE инструменты меню
- O10 — Винсок угонщик
- O11 — дополнительная группа в IE Расширенные настройки окно
- O12 — IE плагины
- O13 — IE DefaultPrefix угон
- O14 — «Сброс веб-настроек» угон
- O15 — нежелательный сайт в доверенной зоне
- O16 — объекты ActiveX (также известные как загруженные программные файлы)
- O17 — Lop.com угонщики доменов
- O18 — Дополнительные протоколы и похитители протоколов
- O19 — угон таблицы стилей пользователя
- O20 — автозапуск значения реестра AppInit_DLLs
- O21 — Автозапуск ключа реестра ShellServiceObjectDelayLoad
- O22 — Автоматический запуск ключа реестра SharedTaskScheduler
- O23 — Службы Windows NT
R0, R1, R2, R3 — стартовая страница IE и страницы поиска
На что это похоже:
R0 — HKCU \ Software \ Microsoft \ Internet Explorer \ Main, стартовая страница = http://www.google.com/
R1 — HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 — (этот тип еще не используется HijackThis)
R3 — по умолчанию отсутствует URLSearchHook
Что делать:
Если вы в конце узнаете URL как свою домашнюю страницу или поисковую систему, все в порядке. Если вы этого не сделаете, проверьте это и HijackThis это исправить. Для предметов R3 всегда исправляйте их, если в нем не упоминается программа, которую вы узнаете, например, Copernic.
F0, F1, F2, F3 — автозагрузка программ из файлов INI
На что это похоже:
F0 — system.ini: Shell = Explorer.exe Openme.exe
F1 — win.ini: run = hpfsched
Что делать:
Элементы F0 всегда плохие, так что исправьте их. Элементы F1 обычно являются очень старыми программами, которые безопасны, поэтому вы должны найти больше информации о имени файла, чтобы увидеть, хорошо это или плохо. Список запуска Pacman может помочь с определением предмета.
N1, N2, N3, N4 — Netscape / Mozilla Start Страница поиска
На что это похоже:
N1 — Netscape 4: user_pref «browser.startup.homepage», «www.google.com»); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 — Netscape 6: user_pref («browser.startup.homepage», «http://www.google.com»); (C: \ Documents and Settings \ Пользователь \ Данные приложения \ Mozilla \ Профили \ defaulto9t1tfl.slt \ prefs.js)
N2 — Netscape 6: user_pref («browser.search.defaultengine», «engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src»); (C: \ Documents and Settings \ Пользователь \ Данные приложения \ Mozilla \ Профили \ defaulto9t1tfl.slt \ prefs.js)
Что делать:
Обычно домашняя страница Netscape и Mozilla и страница поиска безопасны. Их редко угоняют, известно, что этим занимается только Lop.com. Если вы видите URL-адрес, который вы не распознаете в качестве домашней страницы или страницы поиска, попросите HijackThis это исправить.
O1 — Перенаправление хост-файлов
На что это похоже:
O1 — хосты: 216.177.73.139 auto.search.msn.com
O1 — хосты: 216.177.73.139 search.netscape.com
O1 — хосты: 216.177.73.139 ieautosearch
O1 — файл Hosts находится в C: \ Windows \ Help \ hosts
Что делать:
Этот перехватчик перенаправит адрес справа на IP-адрес слева. Если IP-адрес не принадлежит адресу, вы будете перенаправляться на неправильный сайт каждый раз, когда вводите адрес. Вы всегда можете сделать это с помощью HijackThis, если вы сознательно не добавите эти строки в файл Hosts.
Последний элемент иногда возникает в Windows 2000 / XP с заражением Coolwebsearch. Всегда исправляйте этот элемент или сделайте так, чтобы CWShredder восстановил его автоматически.
O2 — вспомогательные объекты браузера
На что это похоже:
O2 — BHO: Yahoo! Компаньон BHO — {13F537F0-AF09-11d6-9029-0002B31F9E59} — C: \ ФАЙЛЫ ПРОГРАММ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 — BHO: (без имени) — {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} — C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (файл отсутствует)
O2 — BHO: расширенные MediaLoads — {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} — C: \ ФАЙЛЫ ПРОГРАММ \ МЕДИАЛОГИЧЕСКИЕ ИЗДЕЛИЯ \ ME1.DLL
Что делать:
Если вы не можете напрямую распознать имя объекта Browser Helper, используйте BHO от TonyK Панель инструментов Список, чтобы найти его по идентификатору класса (CLSID, число в фигурных скобках) и посмотреть, хорошо это или плохо. В списке BHO «X» означает шпионское ПО, а «L» означает «безопасный».
O3 — IE Панели инструментов
На что это похоже:
O3 — Панель инструментов: Yahoo! Компаньон — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C: \ ФАЙЛЫ ПРОГРАММ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 — Панель инструментов: элиминатор всплывающих окон — {86BCA93E-457B-4054-AFB0-E428DA1563E1} — C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (файл отсутствует)
O3 — Панель инструментов: rzillcgthjx — {5996aaf3-5c08-44a9-ac12-1843fd03df0a} — C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Что делать:
Если вы не можете распознать имя панели инструментов, используйте BHO от TonyK Панель инструментов Список, чтобы найти его по идентификатору класса (CLSID, число в фигурных скобках) и посмотреть, хорошо это или плохо. В списке панелей инструментов «X» означает «шпионское ПО», а «L» означает «безопасный». Если его нет в списке, а имя кажется случайной строкой символов, а файл находится в папке «Application Data» (как последний в приведенных выше примерах), это, вероятно, Lop.com, и вам определенно нужно исправить HijackThis Это.
O4 — автозагрузка программ из реестра или группы запуска
На что это похоже:
O4 — HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 — HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 — HKLM \ .. \ Run: [ccApp] «C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe»
O4 — Автозагрузка: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 — Глобальный запуск: winlogon.exe
Что делать:
Используйте список запуска PacMan, чтобы найти запись и посмотреть, хорошо это или плохо.
Если элемент показывает программу, находящуюся в группе запуска (как последний элемент выше), HijackThis не может исправить элемент, если эта программа все еще находится в памяти. Используйте диспетчер задач Windows (TASKMGR.EXE), чтобы закрыть процесс перед исправлением.
O5 — опции IE не видны на панели управления
На что это похоже:
O5 — control.ini: inetcpl.cpl = нет
Что делать:
Если вы или ваш системный администратор сознательно не скрыли значок из панели управления, попросите HijackThis исправить это.
O6 — Доступ к параметрам IE ограничен администратором
На что это похоже:
O6 — HKCU \ Программное обеспечение \ Политики \ Microsoft \ Internet Explorer \ Ограничения присутствуют
Что делать:
Если у вас не активирована опция Spybot SD «Блокировать домашнюю страницу от изменений», или ваш системный администратор включил ее, попросите HijackThis исправить это.
O7 — доступ Regedit ограничен администратором
На что это похоже:
O7 — HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Что делать:
Всегда используйте HijackThis, чтобы это исправить, если только ваш системный администратор не установил это ограничение.
O8 — Дополнительные элементы в IE Меню правого клика
На что это похоже:
O8 — Дополнительный пункт контекстного меню: Поиск Google — res: // C: \ WINDOWS \ СКАЧАТЬ ФАЙЛЫ ПРОГРАММ \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 — Дополнительный пункт контекстного меню: Yahoo! Поиск — файл: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 — Дополнительный пункт контекстного меню: Zoom В — C: \ WINDOWS \ WEB \ zoomin.htm
O8 — Дополнительный элемент контекстного меню: Уменьшить — C: \ WINDOWS \ WEB \ zoomout.htm
Что делать:
Если вы не узнаете название элемента в контекстном меню в IE, попросите HijackThis это исправить.
O9 — Дополнительные кнопки на главной панели инструментов IE или Дополнительные элементы в меню «Инструменты» IE
На что это похоже:
O9 — дополнительная кнопка: Messenger (HKLM)
O9 — Дополнительный пункт меню «Инструменты»: Messenger (HKLM)
O9 — дополнительная кнопка: AIM (HKLM)
Что делать:
Если вы не узнаете название кнопки или пункта меню, попросите HijackThis это исправить.
O10 — Винсок Угонщики
На что это похоже:
O10 — Взломанный доступ в Интернет от New.Net
O10 — нарушен доступ к Интернету из-за отсутствия поставщика LSP «c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll»
O10 — неизвестный файл в Winsock LSP: c: \ program files \ newton знает \ vmain.dll
Что делать:
Лучше всего это исправить, используя LSPFix с Cexx.org или Spybot SD с Kolla.de.
Обратите внимание, что «неизвестные» файлы в стеке LSP не будут исправлены HijackThis из-за проблем безопасности.
O11 — Дополнительная группа в окне расширенных настроек IE
На что это похоже:
O11 — Группа параметров: [CommonName] CommonName
Что делать:
На данный момент единственным угонщиком, который добавляет свою собственную группу параметров в окно расширенных параметров IE, является CommonName. Таким образом, вы всегда можете иметь HijackThis это исправить.
O12 — IE плагины
На что это похоже:
O12 — Плагин для .spop: C: \ Program Files \ Internet Explorer \ Плагины \ NPDocBox.dll
O12 — Плагин для .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Что делать:
В большинстве случаев это безопасно. Только OnFlow добавляет сюда плагин, который вам не нужен (.ofb).
O13 — IE DefaultPrefix Hijack
На что это похоже:
O13 — DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 — WWW Префикс: http://prolivation.com/cgi-bin/r.cgi?
O13 — WWW. Префикс: http://ehttp.cc/?
Что делать:
Это всегда плохо. Пусть Hijack это исправит.
O14 — «Сброс веб-настроек» угон
На что это похоже:
O14 — IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Что делать:
Если URL не является поставщиком вашего компьютера или вашего интернет-провайдера, попросите HijackThis это исправить.
O15 — нежелательные помощники в доверенной зоне
На что это похоже:
O15 — Доверенная зона: http://free.aol.com
O15 — Доверенная зона: * .coolwebsearch.com
O15 — Доверенная зона: * .msn.com
Что делать:
Большую часть времени только AOL и Coolwebsearch молча добавляют сайты в доверенную зону. Если вы не добавили указанный домен в доверенную зону самостоятельно, попросите HijackThis это исправить.
O16 — объекты ActiveX (также известные как загруженные программные файлы)
На что это похоже:
O16 — DPF: Yahoo! Чат — http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (объект ударной волны) — http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Что делать:
Если вы не узнаете имя объекта или URL, с которого он был загружен, попросите HijackThis это исправить. Если имя или URL содержат такие слова, как «dialer», «casino», «free_plugin» и т. Д., Определенно исправьте это. SpywareBlaster Javacool имеет огромную базу данных вредоносных объектов ActiveX, которые можно использовать для поиска CLSID. (Щелкните правой кнопкой мыши список, чтобы использовать функцию поиска.)
O17 — Lop.com Домен угонщиков
На что это похоже:
O17 — HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 — HKLM \ System \ CCS \ Services \ Tcpip \ Параметры: Домен = W21944.find-quick.com
O17 — HKLM \ Software \ .. \ Телефония: имя_домена = W21944.find-quick.com
O17 — HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: домен = W21944.find-quick.com
O17 — HKLM \ System \ CS1 \ Services \ Tcpip \ Параметры: SearchList = gla.ac.uk
O17 — HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Что делать:
Если домен не принадлежит вашему провайдеру или сети компании, попросите HijackThis это исправить. То же самое касается записей «SearchList». Для записей «NameServer» (DNS-серверы), Google для IP или IP-адресов, и будет легко увидеть, являются ли они хорошими или плохими.
O18 — Дополнительные протоколы и похитители протоколов
На что это похоже:
O18 — Протокол: связанные ссылки — {5AB65DD4-01FB-44D5-9537-3767AB80F790} — C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 — протокол: mctp — {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 — Перехват протокола: http — {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Что делать:
Здесь только несколько угонщиков. Известными злодеями являются ‘cn’ (CommonName), ‘ayb’ (Lop.com) и ‘relatedlinks’ (Huntbar), вы должны иметь HijackThis, чтобы исправить это. Другие обнаруженные объекты либо еще не подтверждены безопасными, либо перехвачены (то есть CLSID был изменен) шпионским ПО. В последнем случае, HijackThis это исправить.
O19 — Таблица стилей пользователя Hijack
На что это похоже:
O19 — Таблица стилей пользователя: c: \ WINDOWS \ Java \ my.css
Что делать:
В случае замедления работы браузера и частых всплывающих окон, попросите HijackThis исправить этот пункт, если он отображается в журнале. Однако, поскольку это делает только Coolwebsearch, лучше использовать CWShredder, чтобы это исправить.
O20 — автозапуск значения реестра AppInit_DLLs
На что это похоже:
O20 — AppInit_DLLs: msconfd.dll
Что делать:
Это значение реестра, расположенное по адресу HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, загружает DLL в память при входе пользователя в систему, после чего она остается в памяти до выхода из системы. Очень немногие законные программы используют его (Norton CleanSweep использует APITRAP.DLL), чаще всего он используется троянами или агрессивными угонщиками браузера.
В случае «скрытой» загрузки DLL из этого значения реестра (отображается только при использовании опции «Редактировать двоичные данные» в Regedit), имя dll может начинаться с префикса «|» чтобы сделать это видимым в журнале.
O21 — ShellServiceObjectDelayLoad
На что это похоже:
O21 — SSODL — AUHOOK — {11566B38-955B-4549-930F-7B7482668782} — C: \ WINDOWS \ System \ auhook.dll
Что делать:
Это недокументированный метод автозапуска, обычно используемый некоторыми компонентами системы Windows. Элементы, перечисленные в HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad, загружаются Проводником при запуске Windows. HijackThis использует белый список нескольких очень распространенных элементов SSODL, поэтому всякий раз, когда элемент отображается в журнале, он неизвестен и, возможно, является вредоносным. Относитесь с особой осторожностью.
На что это похоже:
O22 — SharedTaskScheduler: (без имени) — {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} — c: \ windows \ system32 \ mtwirl32.dll
Что делать:
Это недокументированный автозапуск только для Windows NT / 2000 / XP, который используется очень редко. Пока его использует только CWS.Smartfinder. Относитесь с осторожностью.
O23 — NT Services
На что это похоже:
O23 — Сервис: Kerio Personal Firewall (PersFw) — Kerio Technologies — C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Что делать:
Это список услуг сторонних разработчиков. Список должен совпадать с тем, который вы видите в утилите Msconfig в Windows XP. Несколько троянских угонщиков используют домашнюю службу в дополнение к другим стартапам, чтобы переустановить себя. Полное имя обычно звучит очень важно, например «Служба сетевой безопасности», «Служба входа на рабочую станцию» или «Помощник по удаленному вызову процедур», но внутреннее имя (между скобками) представляет собой строку мусора, например «Орт». Вторая часть строки является владельцем файла в конце, как видно в свойствах файла.
Обратите внимание, что исправление элемента O23 только остановит службу и отключит ее. Службу необходимо удалить из реестра вручную или с помощью другого инструмента. В HijackThis 1.99.1 или выше, кнопка «Удалить службу NT» в разделе «Разное» может быть использована для этого.