Idatzi datuen interpretazioa Spyware eta nabigatzailearen segurtasunari uko egiteko
HijackThis Trend Micro-ren doako tresna da. Merijn Bellekom, Herbehereetako ikaslea, garatu zuen hasiera batean. Spyware kentzeko softwareak, hala nola, Adaware edo Spybot S & D softwareak spyware programak detektatzeko eta ezabatzeko lan ona egiten dute, baina zenbait spyware eta nabigatzailean hackerrak ere maltzurragoa dira anti-spyware utilitate handiak ere.
HijackEspainiako arakatzailetik hartzen duen softwarea detektatzeko eta kentzeko bereziki idatzitakoa da, hasiera-orria eta bilaketa motorra eta beste gauza gaizto batzuk aldatzen ditu. Anti-spyware software tipiko ez ez bezala, HijackThis-ek ez ditu sinadurak erabiltzen edo helburu zehatzak edo URLak detektatzen eta blokeatzen ditu. Baizik eta, HijackMisikariak zure sistema kutsatzen duen eta zure nabigatzailea birbideratzeko erabiltzen dituen trikimailuak eta metodoak bilatzen ditu.
Ez da Hijack-en agertzen den guztiaEzin erregistro hau gauza txarrak da eta ez litzateke dena kenduko. Izan ere, alderantzizkoa da. Ia bermatuta dago Hijack-eko elementu batzuekEguneratutako erregistroak legezko softwarea izango lukete eta elementu horiek kenduz gero, zure sisteman eragin negatiboa izan dezakete edo guztiz funtziona dezaten. Hijack erabiliz Hau Windows Erregistroan zeure burua editatzen bezain antzekoa da. Ez da suziria zientzia, baina behin betiko egin beharko zenukete zer egiten ari zaren jakin ezean.
Behin instalatu HijackThis eta exekutatu log fitxategi bat sortzeko, zure foro-erregistroak argitaratu edo kargatu ditzakezun foro eta gune ugari daude. Bilaketak dakiten adituek ondoren egunkariaren datuak aztertu eta zuk aholkatzen dizuten elementuak ezabatu eta zeintzuk direnek bakarrik uzten dute.
HijackThis uneko bertsioa deskargatzeko, webgune ofiziala bisitatu dezakezu Trend Micro-n.
Hona hemen HijackEguneratutako erregistro sarreren ikuspegi orokorra, zuk nahi duzun informazioari salto egiteko erabil dezakezu:
- R0, R1, R2, R3 - Internet Explorer Start / Search orriak URLak
- F0, F1 - Autolaguntzako programak
- N1, N2, N3, N4 - Netscape / Mozilla Hasi / Bilatu orriak URLak
- O1 - Ostalarien fitxategia birbideratzea
- O2 - Arakatzailea Helburuko objektuak
- O3 - Internet Explorer tresna-barra
- O4 - Erregistratzeko autokarabanak
- O5 - IEren aukerak ikonoa ez da Kontrol Panelean ikusgai
- O6 - IE Aukeraketa administratzailea mugatuta
- O7 - Administratzaileek mugatutako sarbide erregimena
- O8 - IEko elementu gehigarriak eskuineko botoiarekin klik egin
- O9 - IEren botoi tresna nagusiko boto gehigarriak edo elementu gehigarriak IEren "Tresnak" menuan
- O10 - Winsock hijacker
- O11 - IEren 'Aukera aurreratuen' leihoko talde gehigarria
- O12 - IE pluginak
- O13 - IE DefaultPrefix hijack
- O14 - 'Berrezarri web ezarpenak' hijack
- O15 - Ez daukazu gune fidagarririk Zona fidagarrian
- O16 - ActiveX objektuak (deskargatutako programa fitxategiak ere)
- O17 - Lop.com domeinuko bahitzaileei
- O18 - Protokolo gehigarriak eta protokoloetako hackerrak
- O19 - Erabiltzailearen estilo-orriaren jarraipena
- O20 - AppInit_DLL erregistroaren balioa autorun
- O21 - ShellServiceObjectDelayLoad Erregistroaren gako autorun
- O22 - SharedTaskScheduler erregistroaren gakoa autorun
- O23 - Windows NT Zerbitzuak
R0, R1, R2, R3 - IE Hasi eta Bilatu orriak
Zer itxura du:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Hasiera orria = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (Hijack hau oraindik ez da mota hau erabiltzen)
R3 - Lehenespenez URLSearchHook falta da
Zer egin:
Amaierako URLa zure homepage edo bilatzaile gisa ezagutzen baduzu, ondo dago. Ez baduzu, egiaztatu ezazu eta HijackEzabatu ezazu. R3 elementuentzat, konpondu beti aitortzen duzun programa aipatzen ez baduzu, Copernic bezalakoak.
F0, F1, F2, F3 - INI fitxategien autolikidazio programak
Zer itxura du:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Zer egin:
F0 elementuak beti txarrak dira, beraz konpondu. F1 elementuak seguruenik diren programa zaharrak izaten dira normalean, beraz, fitxategi-izenari buruzko informazio gehiago behar duzu, ona edo txarra bada. Pacman-en Startup List-ek elementu bat identifikatzen lagun dezake.
N1, N2, N3, N4 - Netscape / Mozilla Hasi & amp; Bilatu orria
Zer itxura du:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Zer egin:
Normalean Netscape eta Mozilla orri nagusiak eta bilaketa orria seguru daude. Gutxitan lortu dute lapurreta, Lop.com bakarrik ezagutzen da horretarako. Zure orri nagusiko edo bilaketa-orri gisa ezagutzen ez duzun URL bat ikusten baduzu, HijackEzabatu ezazu.
O1 - Hostsfile redirections
Zer itxura du:
O1 - Ostalariak: 216.177.73.139 auto.search.msn.com
O1 - Ostalariak: 216.177.73.139 search.netscape.com
O1 - Ostalariak: 216.177.73.139 ieautosearch
O1 - Ostalarien fitxategia C: \ Windows \ Help \ hosts-en dago
Zer egin:
Hijack honek helbidera eskuinera itzultzen du IP helbidea ezkerrera. IP helbidea ez badago, helbide okerra sartuko zaizun gune oker batera birbideratuko zara. Beti izan dezakezu HijackEz horiei konpon diezaiekezu, jakina lerro horiek zure ostalarien fitxategian baztertu ezean.
Azkeneko elementua Windows 2000 / XP batzuetan gertatzen da, Coolwebsearch infekzio batekin. Elementu hau beti konpondu edo CWShredder automatikoki konpondu.
O2 - Arakatzailea Helburuko objektuak
Zer itxura du:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (izena ez) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (fitxategia falta da)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS HIDRATATUTA \ ME1.DLL
Zer egin:
Nabigatzailearen Helbiderako Objektuaren izena zuzenean ez baduzu ezagutzen, erabili TonyK-en BHO eta Tresna-barraren zerrenda Klase IDaren arabera (CLSID, parentesi artean kortxoa) eta ikusi ona edo txarra dela. BHO zerrendan, 'X' esan nahi du spyware eta 'L' esan nahi du segurua.
O3 - IE tresna-barra
Zer itxura du:
O3 - Tresna-barra: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (fitxategia falta da)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Zer egin:
Tresna-barra baten izena zuzenean ez baduzu ezagutzen, erabili TonyK-en BHO eta Tresna-barraren zerrenda Klase IDaren arabera (CLSID, gurutzelarkatutako kortxeteen artean) eta ikusi ona edo txarra dela. Tresna-barrako zerrendan, 'X' esan nahi du spyware eta 'L' esan nahi du segurua. Zerrendan ez badago eta izena karaktere ausazko kate bat badirudi eta fitxategia "Aplikazioen datuen" karpetan dago (goiko adibidean bezala), seguruenik Lop.com da, eta zalantzarik gabe HijackEgiaztatu hau behar duzu zen.
O4 - Autolikidazio-programak erregistroan edo abiaraztean
Zer itxura du:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Exekutatu: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Exekutatu: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Abiaraztea: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Zer egin:
Erabili PacMan-ren Startup zerrenda sarrerarekin eta ikusi ona edo txarra bada.
Elementua Abioko talde batean eserita dagoen programa bat erakusten du (aurreko azken elementua bezala), HijackEzin du elementua konpondu ahal izateko programa hau oraindik memoria badago. Erabili Windows Task Manager (TASKMGR.EXE) prozesua aurrez aurrezteko.
O5 - IE aukerak ez daude ikusgai kontrol panelean
Zer itxura du:
O5 - control.ini: inetcpl.cpl = ez
Zer egin:
Zuk edo zure sistema kudeatzaileari Kontrol Panelean ikono ezkutuan ezkutatuta egon ezean, HijackEzin konpondu ezazu.
O6 - IE Aukeraketa administratzailea mugatuta
Zer itxura du:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions present
Zer egin:
Spybot S & D aukera ez baduzu 'Aktibatu aldaketak' orri nagusiko blokeoa aktibatuta, edo zure sistemaren administratzaileak jarri hau, HijackEzin hau konpondu.
O7 - Administratzaileek mugatutako sarbide erregimena
Zer itxura du:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Zer egin:
Beti HijackEzabatu hau, zure sistemaren administratzaileak murrizketa hori ezartzen badu.
O8 - IEko elementu gehigarriak eskuineko botoiarekin klik egin
Zer itxura du:
O8 - Menu testuaren testuinguru gehigarria: & Google Search - res: // C: \ WINDOWS \ PROGRAM PROGRAMATS DESKARGATUAK \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Menu testuaren testuinguru gehigarria: Yahoo! Bilaketa - fitxategia: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Testuinguruko menuko elementua: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra contexto context menu: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Zer egin:
IEren eskuineko botoiaren menuan elementuaren izena ezagutzen ez baduzu, HijackEzabatu ezazu.
O9 - IE tresna nagusiko boto gehigarriak edo elementu gehigarriak IE & # 39; Tresnak & # 39; menu
Zer itxura du:
O9 - Botoi gehigarria: Messenger (HKLM)
O9 - "Tresnak" menuko gehigarria: Messenger (HKLM)
O9 - Botoi gehigarria: AIM (HKLM)
Zer egin:
Ez baduzu botoiaren edo menuaren elementuaren izena ezagutzen, HijackEzabatu ezazu.
O10 - Winsocken hijackers
Zer itxura du:
O10 - New.Net Interneterako hacked Internet sarbidea
O10 - LSP hornitzailearen "c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll" falta duen Interneteko sarbidea
O10 - Winsock LSP fitxategian ezezaguna: c: \ program fitxategiak \ newton daki \ vmain.dll
Zer egin:
Hauek onena LSPFix erabiliz Cexx.orgetik edo Spybot S & D-tik Kolla.de-tik erabiltzea da.
Kontuan izan LSP pila 'ezezagun' diren fitxategiak ez ditu konpondu HijackThis segurtasun arazoak.
O11 - Talde gehigarria IE & # 39; Aukera aurreratuak & # 39; leiho
Zer itxura du:
O11 - Aukerak taldea: [CommonName] CommonName
Zer egin:
IEren Aukera Aurreratuak leihoan aukera bereziak gehitzen dituen bakarra hijacker da CommonName. Beraz, beti izan dezakezu HijackEditatu hau.
O12 - IE pluginak
Zer itxura du:
O12 - .spop for Plugin: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - .PDF for. Plugin: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Zer egin:
Gehienetan seguruak dira. Only OnFlow-ek plugin bat gehitzen du hemen ez duzula nahi (.ofb).
O13 - IE DefaultPrefix hijack
Zer itxura du:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW aurrizkia: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Aurrizkia: http://ehttp.cc/?
Zer egin:
Hauek beti txarrak dira. Have Hijack Horiek konpontzeko.
O14 - & # 39; Berrezarri web ezarpenak & # 39; baimenik gabe atzitzen
Zer itxura du:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Zer egin:
URLa ez bada zure ordenagailuaren hornitzailea edo zure ISPa, HijackEzabatu ezazu.
O15 - Ezezagunak diren guneak gune fidagarrian
Zer itxura du:
O15 - Konfiantzazko gunea: http://free.aol.com
O15 - Zonalde fidagarria: * .coolwebsearch.com
O15 - Zonalde fidagarria: * .msn.com
Zer egin:
Gehienetan bakarrik AOL eta Coolwebsearch-ek isilean gehitu guneak Trust Zone. Zerrendatutako domeinua Fidagarrien eremuan zeure burua gehitu ez baduzu, HijackEditatu ezazu.
O16 - ActiveX objektuak (deskargatutako programa fitxategiak ere)
Zer itxura du:
O16 - DPF: Yahoo! Txata - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash objektua) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Zer egin:
Objektuaren izena ezagutzen ez baduzu edo deskargatutako URLa HijackEzabatu ezazu. Izena edo URLak 'markatzailea', 'kasino', 'free_plugin' etab bezalako hitzak baditu, konpon ezazu behin betiko. Javacool-en SpywareBlaster-ek ActiveX objektu kaltegarrien aurkako datu-base erraldoi bat du, CLSIDak bilatzerakoan erabil daitekeena. (Egin klik eskuineko botoiaz zerrendan Find funtzioa erabiltzeko.)
O17 - Lop.com domeinuaren hijacks
Zer itxura du:
O17 - HKLM \ Sistema \ CCS \ Zerbitzuak \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Sistema \ CCS \ Zerbitzuak \ Tcpip \ Parametroak: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonía: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ Sistema \ CS1 \ Zerbitzuak \ Tcpip \ Parametroak: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Zer egin:
Domeinua ISP edo konpainiako sarean ez badago, HijackEzabatu ezazu. Gauza bera gertatzen da "SearchList" sarrerentzat. "Izen- zerbitzaria " ( DNS zerbitzarietarako ) sarrerak, Google-k IP edo IP-rako eta erraza edo txarra izango dela ikustea erraza izango da.
O18 - Protokolo gehigarriak eta protokoloetako hackerrak
Zer itxura du:
O18 - Protokoloa: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokoloa: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokoloaren hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Zer egin:
Bakarrik hijackers batzuk hemen agertzen dira. Badiezazen ezagunak 'cn' (CommonName), 'ayb' (Lop.com) eta 'related linked links' (Huntbar) dira. Hijack hau konpondu behar duzu. Nabarmendutako beste gauza batzuk ez dira oraindik segururik baieztatu, edo lapurtu egin dira (hau da, CLSID aldatu egin da) spywarearen bidez. Azken kasu horretan, Hijack-ek konpondu egin du.
O19 - Erabiltzailearen estilo-orriaren jarraipena
Zer itxura du:
O19 - Erabiltzailearen estilo orria: c: \ WINDOWS \ Java \ my.css
Zer egin:
Nabigatzaileen moteltzearen eta popupen maiztasunaren kasuan, HijackEzabatu elementu hau erregistroan agertzen bada. Hala ere, Coolwebsearch-ek bakarrik egiten duenez, hobe da CWShredder-ek konpon dezan.
O20 - AppInit_DLL erregistroaren balioa autorun
Zer itxura du:
O20 - AppInit_DLL: msconfd.dll
Zer egin:
Erregistroaren balioa HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows-en dago kokatuta, DLL bat memorian bihurtzen denean erabiltzaileak saioa hasten duenean, memorian geldituko da logotipora arte. Oso legezko programa gutxi erabiltzen du (Norton CleanSweep-ek APITRAP.DLL erabiltzen du), gehienetan trojans edo agresiboa nabigatzailean bahitzaileak erabiltzen ditu.
Erregistroaren balio hau 'ezkutuko' DLL kargatzean 'Regedit-en' Editatu datu bitarrak 'aukera bakarrik ikusgai egongo balitz, dll izena aurrekoa izango da tutu batekin' | ' erregistroan ikusgai izateko.
O21 - ShellServiceObjectDelayLoad
Zer itxura du:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Zer egin:
Hau da paperik gabeko autorun metodoa, normalean Windows sistemako osagai batzuk erabiltzen dituena. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad-en zerrendatutako elementuak Explorer-k kargatzen ditu Windows-en hasten denean. HijackEsteka hau SSODL elementu oso arrunten zerrenda bat erabiltzen du, beraz, elementua logan bistaratzen denean ezezaguna da eta, agian, gaiztoa. Zaindu arreta handiz.
O22 - SharedTaskScheduler
Zer itxura du:
O22 - SharedTaskScheduler: (izena ez) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Zer egin:
Hau Windows NT / 2000 / XP erreproduzitu gabeko dokumentua da, oso gutxitan erabiltzen dena. Orain arte CWS.Smartfinder bakarrik erabiltzen du. Zaindu arretaz.
O23 - NT Zerbitzuak
Zer itxura du:
O23 - Zerbitzua: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Zer egin:
Hau ez da Microsoft zerbitzuen zerrenda. Zerrenda hau Windows XPren Msconfig utilitatean ikusten duzunaren berdina izan beharko zenuke. Hainbat trojanako hijackers etxeko zerbitzu bat erabiltzen dute beste startup-ekin beren kabuz instalatzeko. Izen osoa oso garrantzitsua da, esate baterako, 'Sareko segurtasuneko zerbitzua', 'Laneko irteera saioa' edo 'Prozedura urruneko deien laguntzailea', baina barneko izena (parentesien artean) zabor-katea da, 'Ort' bezala. Lerroaren bigarren zatia amaierako fitxategiaren jabea da, fitxategiaren propietateetan ikus daitekeen bezala.
Kontutan O23 elementu bat konpontzen baduzu, zerbitzua bakarrik geldituko da eta desgaitu egingo da. Zerbitzua erregistroan eskuz edo beste tresna batekin ezabatu behar da. HijackEdit 1.99.1 edo berriago honetan, "Ezabatu NT Zerbitzua" botoia Misc Tools atalean erabil daiteke.