Как анализировать логи HijackThis

HijackThis — бесплатный инструмент от Trend Micro. Первоначально он был разработан Мерин Беллеком, студенткой из Нидерландов. Программное обеспечение для удаления шпионских программ, такое как Adaware или Spybot SD, хорошо обнаруживает и удаляет большинство программ-шпионов, но некоторые программы-шпионы и угонщики браузера слишком коварны даже для этих замечательных антишпионских утилит.

HijackThis предназначен специально для обнаружения и удаления угонщиков браузера или программного обеспечения, которое захватывает ваш веб-браузер, изменяет домашнюю страницу по умолчанию, поисковую систему и другие вредоносные программы. В отличие от типичного антишпионского программного обеспечения, HijackThis не использует сигнатуры и не предназначается для каких-либо конкретных программ или URL-адресов для обнаружения и блокировки. Скорее, HijackThis ищет приемы и методы, используемые вредоносными программами для заражения вашей системы и перенаправления вашего браузера.

Используя HijackThis

Не все, что отображается в журналах HijackThis, является плохим, и не все должны быть удалены. На самом деле совсем наоборот. Почти гарантировано, что некоторые элементы в ваших журналах HijackThis будут законным программным обеспечением, и удаление этих элементов может отрицательно повлиять на вашу систему или сделать ее полностью неработоспособной. Использование HijackЭто очень похоже на редактирование реестра Windows самостоятельно. Это не ракетостроение, но вам определенно не следует делать это без какого-либо экспертного руководства, если вы действительно не знаете, что делаете.

После того, как вы установили HijackThis и запустили его для создания файла журнала, появилось множество форумов и сайтов, где вы можете опубликовать или загрузить данные журнала. Эксперты, которые знают, что искать, могут затем помочь вам проанализировать данные журнала и посоветовать, какие элементы удалить, а какие оставить в покое.

Чтобы загрузить текущую версию HijackThis, вы можете посетить официальный сайт Trend Micro.

Вот обзор записей журнала HijackThis, которые вы можете использовать, чтобы перейти к информации, которую вы ищете:

• R0, R1, R2, R3 — URL-адреса стартовых / поисковых страниц Internet Explorer
• F0, F1 — Автозагрузка программ
• N1, N2, N3, N4 — Netscape / Mozilla Start / Поиск страниц URL
• O1 — перенаправление файла хостов
• O2 — вспомогательные объекты браузера
• O3 — панели инструментов Internet Explorer
• O4 — автозагрузка программ из реестра
• O5 — значок IE не отображается на панели управления
• O6 — Доступ к параметрам IE ограничен администратором
• O7 — Regedit доступ ограничен администратором
• O8 — Дополнительные элементы в меню IE правой кнопкой мыши
• O9 — Дополнительные кнопки на главной панели инструментов IE или дополнительные элементы в IE инструменты меню
• O10 — Винсок угонщик
• O11 — дополнительная группа в IE Расширенные настройки окно
• O12 — IE плагины
• O13 — IE DefaultPrefix угон
• O14 — «Сброс веб-настроек» угон
• O15 — нежелательный сайт в доверенной зоне
• O16 — объекты ActiveX (также известные как загруженные программные файлы)
• O17 — Lop.com угонщики доменов
• O18 — Дополнительные протоколы и похитители протоколов
• O19 — угон таблицы стилей пользователя
• O20 — автозапуск значения реестра AppInit_DLLs
• O21 — Автозапуск ключа реестра ShellServiceObjectDelayLoad
• O22 — Автоматический запуск ключа реестра SharedTaskScheduler

• O23 — Службы Windows NT

R0, R1, R2, R3 — стартовая страница IE и страницы поиска

На что это похоже:
R0 — HKCU \ Software \ Microsoft \ Internet Explorer \ Main, стартовая страница = http://www.google.com/
R1 — HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 — (этот тип еще не используется HijackThis)
R3 — по умолчанию отсутствует URLSearchHook

Что делать:
Если вы в конце узнаете URL как свою домашнюю страницу или поисковую систему, все в порядке. Если вы этого не сделаете, проверьте это и HijackThis это исправить. Для предметов R3 всегда исправляйте их, если в нем не упоминается программа, которую вы узнаете, например, Copernic.

F0, F1, F2, F3 — автозагрузка программ из файлов INI

На что это похоже:
F0 — system.ini: Shell = Explorer.exe Openme.exe
F1 — win.ini: run = hpfsched

Что делать:
Элементы F0 всегда плохие, так что исправьте их. Элементы F1 обычно являются очень старыми программами, которые безопасны, поэтому вы должны найти больше информации о имени файла, чтобы увидеть, хорошо это или плохо. Список запуска Pacman может помочь с определением предмета.

N1, N2, N3, N4 — Netscape / Mozilla Start Страница поиска

На что это похоже:
N1 — Netscape 4: user_pref «browser.startup.homepage», «www.google.com»); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 — Netscape 6: user_pref («browser.startup.homepage», «http://www.google.com»); (C: \ Documents and Settings \ Пользователь \ Данные приложения \ Mozilla \ Профили \ defaulto9t1tfl.slt \ prefs.js)
N2 — Netscape 6: user_pref («browser.search.defaultengine», «engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src»); (C: \ Documents and Settings \ Пользователь \ Данные приложения \ Mozilla \ Профили \ defaulto9t1tfl.slt \ prefs.js)

Что делать:
Обычно домашняя страница Netscape и Mozilla и страница поиска безопасны. Их редко угоняют, известно, что этим занимается только Lop.com. Если вы видите URL-адрес, который вы не распознаете в качестве домашней страницы или страницы поиска, попросите HijackThis это исправить.

O1 — Перенаправление хост-файлов

На что это похоже:
O1 — хосты: 216.177.73.139 auto.search.msn.com
O1 — хосты: 216.177.73.139 search.netscape.com
O1 — хосты: 216.177.73.139 ieautosearch
O1 — файл Hosts находится в C: \ Windows \ Help \ hosts

Что делать:
Этот перехватчик перенаправит адрес справа на IP-адрес слева. Если IP-адрес не принадлежит адресу, вы будете перенаправляться на неправильный сайт каждый раз, когда вводите адрес. Вы всегда можете сделать это с помощью HijackThis, если вы сознательно не добавите эти строки в файл Hosts.

Последний элемент иногда возникает в Windows 2000 / XP с заражением Coolwebsearch. Всегда исправляйте этот элемент или сделайте так, чтобы CWShredder восстановил его автоматически.

O2 — вспомогательные объекты браузера

На что это похоже:
O2 — BHO: Yahoo! Компаньон BHO — {13F537F0-AF09-11d6-9029-0002B31F9E59} — C: \ ФАЙЛЫ ПРОГРАММ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 — BHO: (без имени) — {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} — C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (файл отсутствует)
O2 — BHO: расширенные MediaLoads — {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} — C: \ ФАЙЛЫ ПРОГРАММ \ МЕДИАЛОГИЧЕСКИЕ ИЗДЕЛИЯ \ ME1.DLL

Что делать:
Если вы не можете напрямую распознать имя объекта Browser Helper, используйте BHO от TonyK Панель инструментов Список, чтобы найти его по идентификатору класса (CLSID, число в фигурных скобках) и посмотреть, хорошо это или плохо. В списке BHO «X» означает шпионское ПО, а «L» означает «безопасный».

O3 — IE Панели инструментов

На что это похоже:
O3 — Панель инструментов: Yahoo! Компаньон — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C: \ ФАЙЛЫ ПРОГРАММ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 — Панель инструментов: элиминатор всплывающих окон — {86BCA93E-457B-4054-AFB0-E428DA1563E1} — C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (файл отсутствует)
O3 — Панель инструментов: rzillcgthjx — {5996aaf3-5c08-44a9-ac12-1843fd03df0a} — C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Что делать:
Если вы не можете распознать имя панели инструментов, используйте BHO от TonyK Панель инструментов Список, чтобы найти его по идентификатору класса (CLSID, число в фигурных скобках) и посмотреть, хорошо это или плохо. В списке панелей инструментов «X» означает «шпионское ПО», а «L» означает «безопасный». Если его нет в списке, а имя кажется случайной строкой символов, а файл находится в папке «Application Data» (как последний в приведенных выше примерах), это, вероятно, Lop.com, и вам определенно нужно исправить HijackThis Это.

O4 — автозагрузка программ из реестра или группы запуска

На что это похоже:
O4 — HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 — HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 — HKLM \ .. \ Run: [ccApp] «C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe»
O4 — Автозагрузка: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 — Глобальный запуск: winlogon.exe

Что делать:
Используйте список запуска PacMan, чтобы найти запись и посмотреть, хорошо это или плохо.

Если элемент показывает программу, находящуюся в группе запуска (как последний элемент выше), HijackThis не может исправить элемент, если эта программа все еще находится в памяти. Используйте диспетчер задач Windows (TASKMGR.EXE), чтобы закрыть процесс перед исправлением.

O5 — опции IE не видны на панели управления

На что это похоже:
O5 — control.ini: inetcpl.cpl = нет

Что делать:
Если вы или ваш системный администратор сознательно не скрыли значок из панели управления, попросите HijackThis исправить это.

O6 — Доступ к параметрам IE ограничен администратором

На что это похоже:
O6 — HKCU \ Программное обеспечение \ Политики \ Microsoft \ Internet Explorer \ Ограничения присутствуют

Что делать:
Если у вас не активирована опция Spybot SD «Блокировать домашнюю страницу от изменений», или ваш системный администратор включил ее, попросите HijackThis исправить это.

O7 — доступ Regedit ограничен администратором

На что это похоже:
O7 — HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Что делать:
Всегда используйте HijackThis, чтобы это исправить, если только ваш системный администратор не установил это ограничение.

O8 — Дополнительные элементы в IE Меню правого клика

На что это похоже:
O8 — Дополнительный пункт контекстного меню: Поиск Google — res: // C: \ WINDOWS \ СКАЧАТЬ ФАЙЛЫ ПРОГРАММ \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 — Дополнительный пункт контекстного меню: Yahoo! Поиск — файл: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 — Дополнительный пункт контекстного меню: Zoom В — C: \ WINDOWS \ WEB \ zoomin.htm
O8 — Дополнительный элемент контекстного меню: Уменьшить — C: \ WINDOWS \ WEB \ zoomout.htm

Что делать:
Если вы не узнаете название элемента в контекстном меню в IE, попросите HijackThis это исправить.

O9 — Дополнительные кнопки на главной панели инструментов IE или Дополнительные элементы в меню «Инструменты» IE

На что это похоже:
O9 — дополнительная кнопка: Messenger (HKLM)
O9 — Дополнительный пункт меню «Инструменты»: Messenger (HKLM)
O9 — дополнительная кнопка: AIM (HKLM)

Что делать:
Если вы не узнаете название кнопки или пункта меню, попросите HijackThis это исправить.

O10 — Винсок Угонщики

На что это похоже:
O10 — Взломанный доступ в Интернет от New.Net
O10 — нарушен доступ к Интернету из-за отсутствия поставщика LSP «c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll»
O10 — неизвестный файл в Winsock LSP: c: \ program files \ newton знает \ vmain.dll

Что делать:
Лучше всего это исправить, используя LSPFix с Cexx.org или Spybot SD с Kolla.de.

Обратите внимание, что «неизвестные» файлы в стеке LSP не будут исправлены HijackThis из-за проблем безопасности.

O11 — Дополнительная группа в окне расширенных настроек IE

На что это похоже:
O11 — Группа параметров: [CommonName] CommonName

Что делать:
На данный момент единственным угонщиком, который добавляет свою собственную группу параметров в окно расширенных параметров IE, является CommonName. Таким образом, вы всегда можете иметь HijackThis это исправить.

O12 — IE плагины

На что это похоже:
O12 — Плагин для .spop: C: \ Program Files \ Internet Explorer \ Плагины \ NPDocBox.dll
O12 — Плагин для .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Что делать:
В большинстве случаев это безопасно. Только OnFlow добавляет сюда плагин, который вам не нужен (.ofb).

O13 — IE DefaultPrefix Hijack

На что это похоже:
O13 — DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 — WWW Префикс: http://prolivation.com/cgi-bin/r.cgi?
O13 — WWW. Префикс: http://ehttp.cc/?

Что делать:
Это всегда плохо. Пусть Hijack это исправит.

O14 — «Сброс веб-настроек» угон

На что это похоже:
O14 — IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Что делать:
Если URL не является поставщиком вашего компьютера или вашего интернет-провайдера, попросите HijackThis это исправить.

O15 — нежелательные помощники в доверенной зоне

На что это похоже:
O15 — Доверенная зона: http://free.aol.com
O15 — Доверенная зона: * .coolwebsearch.com
O15 — Доверенная зона: * .msn.com

Что делать:
Большую часть времени только AOL и Coolwebsearch молча добавляют сайты в доверенную зону. Если вы не добавили указанный домен в доверенную зону самостоятельно, попросите HijackThis это исправить.

O16 — объекты ActiveX (также известные как загруженные программные файлы)

На что это похоже:
O16 — DPF: Yahoo! Чат — http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (объект ударной волны) — http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Что делать:
Если вы не узнаете имя объекта или URL, с которого он был загружен, попросите HijackThis это исправить. Если имя или URL содержат такие слова, как «dialer», «casino», «free_plugin» и т. Д., Определенно исправьте это. SpywareBlaster Javacool имеет огромную базу данных вредоносных объектов ActiveX, которые можно использовать для поиска CLSID. (Щелкните правой кнопкой мыши список, чтобы использовать функцию поиска.)

O17 — Lop.com Домен угонщиков

На что это похоже:
O17 — HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 — HKLM \ System \ CCS \ Services \ Tcpip \ Параметры: Домен = W21944.find-quick.com
O17 — HKLM \ Software \ .. \ Телефония: имя_домена = W21944.find-quick.com
O17 — HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: домен = W21944.find-quick.com
O17 — HKLM \ System \ CS1 \ Services \ Tcpip \ Параметры: SearchList = gla.ac.uk
O17 — HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Что делать:
Если домен не принадлежит вашему провайдеру или сети компании, попросите HijackThis это исправить. То же самое касается записей «SearchList». Для записей «NameServer» (DNS-серверы), Google для IP или IP-адресов, и будет легко увидеть, являются ли они хорошими или плохими.

O18 — Дополнительные протоколы и похитители протоколов

На что это похоже:
O18 — Протокол: связанные ссылки — {5AB65DD4-01FB-44D5-9537-3767AB80F790} — C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 — протокол: mctp — {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 — Перехват протокола: http — {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Что делать:
Здесь только несколько угонщиков. Известными злодеями являются ‘cn’ (CommonName), ‘ayb’ (Lop.com) и ‘relatedlinks’ (Huntbar), вы должны иметь HijackThis, чтобы исправить это. Другие обнаруженные объекты либо еще не подтверждены безопасными, либо перехвачены (то есть CLSID был изменен) шпионским ПО. В последнем случае, HijackThis это исправить.

O19 — Таблица стилей пользователя Hijack

На что это похоже:
O19 — Таблица стилей пользователя: c: \ WINDOWS \ Java \ my.css

Что делать:
В случае замедления работы браузера и частых всплывающих окон, попросите HijackThis исправить этот пункт, если он отображается в журнале. Однако, поскольку это делает только Coolwebsearch, лучше использовать CWShredder, чтобы это исправить.

O20 — автозапуск значения реестра AppInit_DLLs

На что это похоже:
O20 — AppInit_DLLs: msconfd.dll

Что делать:
Это значение реестра, расположенное по адресу HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows, загружает DLL в память при входе пользователя в систему, после чего она остается в памяти до выхода из системы. Очень немногие законные программы используют его (Norton CleanSweep использует APITRAP.DLL), чаще всего он используется троянами или агрессивными угонщиками браузера.

В случае «скрытой» загрузки DLL из этого значения реестра (отображается только при использовании опции «Редактировать двоичные данные» в Regedit), имя dll может начинаться с префикса «|» чтобы сделать это видимым в журнале.

O21 — ShellServiceObjectDelayLoad

На что это похоже:
O21 — SSODL — AUHOOK — {11566B38-955B-4549-930F-7B7482668782} — C: \ WINDOWS \ System \ auhook.dll

Что делать:
Это недокументированный метод автозапуска, обычно используемый некоторыми компонентами системы Windows. Элементы, перечисленные в HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad, загружаются Проводником при запуске Windows. HijackThis использует белый список нескольких очень распространенных элементов SSODL, поэтому всякий раз, когда элемент отображается в журнале, он неизвестен и, возможно, является вредоносным. Относитесь с особой осторожностью.

O22 — SharedTaskScheduler

На что это похоже:
O22 — SharedTaskScheduler: (без имени) — {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} — c: \ windows \ system32 \ mtwirl32.dll

Что делать:
Это недокументированный автозапуск только для Windows NT / 2000 / XP, который используется очень редко. Пока его использует только CWS.Smartfinder. Относитесь с осторожностью.

O23 — NT Services

На что это похоже:
O23 — Сервис: Kerio Personal Firewall (PersFw) — Kerio Technologies — C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Что делать:
Это список услуг сторонних разработчиков. Список должен совпадать с тем, который вы видите в утилите Msconfig в Windows XP. Несколько троянских угонщиков используют домашнюю службу в дополнение к другим стартапам, чтобы переустановить себя. Полное имя обычно звучит очень важно, например «Служба сетевой безопасности», «Служба входа на рабочую станцию» или «Помощник по удаленному вызову процедур», но внутреннее имя (между скобками) представляет собой строку мусора, например «Орт». Вторая часть строки является владельцем файла в конце, как видно в свойствах файла.

Обратите внимание, что исправление элемента O23 только остановит службу и отключит ее. Службу необходимо удалить из реестра вручную или с помощью другого инструмента. В HijackThis 1.99.1 или выше, кнопка «Удалить службу NT» в разделе «Разное» может быть использована для этого.