HijackThis naplók elemzése

How to use HijackThis to remove Browser Hijackers & Malware by Britec (Június 2026)

How to use HijackThis to remove Browser Hijackers & Malware by Britec (Június 2026)

:

Anonim

HijackThis egy ingyenes eszköz a Trend Micro-től. Ezt eredetileg Merijn Bellekom, hollandiai hallgató fejlesztette ki. A kémprogramok eltávolítására szolgáló szoftverek, például az Adaware vagy a Spybot S & D jó munkát végeznek a legtöbb kémprogram-program észlelésében és eltávolításában, de néhány kémprogram- és böngésző-átterelő túlságosan elhanyagolja ezeket a nagy anti-spyware programokat.

A HijackThis kifejezetten a böngésző eltérések észlelésére és eltávolítására, illetve a böngésző átvételére szolgáló szoftverre készült, megváltoztatja az alapértelmezett kezdőlapot, a keresőmotort és más rosszindulatú dolgokat. A tipikus kémprogram-elhárító szoftverektől eltérően a HijackThis nem használ aláírásokat, és nem célozza meg azokat a speciális programokat vagy URL-eket, amelyek észlelhetik és blokkolhatják azokat. Inkább a HijackThis keresi a trükköket és módszereket, amelyeket a rosszindulatú programok használnak a rendszer megfertőzésére és a böngésző átirányítására.

Nem minden, ami megjelenik a HijackThis naplókban rossz dolog, és nem szabad mindegyiket eltávolítani. Valójában épp ellenkezőleg. Majdnem garantálja, hogy a HijackThis logjainak egyes elemei jogszerű szoftverek lesznek, és az ilyen elemek eltávolítása hátrányosan befolyásolhatja a rendszert vagy teljesen működőképessé teheti. A HijackThis használata sokat hasonlít a Windows rendszerleíró adatbázis szerkesztésére. Ez nem rakéta tudomány, de feltétlenül nem kell szakértői útmutatás nélkül csinálni, hacsak nem igazán tudja, mit csinál.

Miután telepítette a HijackThis rendszert, és futtatható egy naplófájl létrehozásához, számos fórum és webhely található, ahol feltöltheti vagy feltöltheti naplóadatait. Azok a szakértők, akik tudják, hogy mit keresnek, segíthetnek a naplóadatok elemzésében és tanácsokkal ellátni, hogy mely elemeket távolítsanak el, és melyeket hagyjanak maguk után.

A HijackThis jelenlegi verziójának letöltéséhez látogasson el a Trend Micro hivatalos webhelyére.

Íme egy áttekintés a HijackThis naplóbejegyzésekről, amelyek segítségével átugorhat a keresett információkra:

  • R0, R1, R2, R3 - Az Internet Explorer Start / Search oldal URL-címei
  • F0, F1 - Autoloading programok
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Keresés oldal URL-ek
  • O1 - Host fájlok átirányítása
  • O2 - Böngésző Helper objektumok
  • O3 - Internet Explorer eszköztárak
  • O4 - Autoloading programok a nyilvántartásból
  • O5 - IE Opciók ikon nem látható a Vezérlőpulton
  • O6 - IE A hozzáférési hozzáférést az adminisztrátor korlátozza
  • O7 - Regedit hozzáférés korlátozva a rendszergazda által
  • O8 - Extra elemek az IE jobb gombbal menüben
  • O9 - Extra gombok a fő IE gomb eszköztárán vagy extra elemek az IE "Eszközök" menüben
  • O10 - Winsock eltérítő
  • O11 - Extra csoport az IE "Haladó beállítások" ablakban
  • O12 - IE bővítmények
  • O13 - IE DefaultPrefix hijack
  • O14 - "Webes beállítások visszaállítása" eltérítés
  • O15 - Nem kívánt webhely a megbízható zónában
  • O16 - ActiveX objektumok (más néven letöltött programfájlok)
  • O17 - Lop.com domain hijackers
  • O18 - Extra protokollok és protokoll eltérítők
  • O19 - Felhasználói stíluslap eltérítés
  • O20 - AppInit_DLLs Registry érték autorun
  • O21 - ShellServiceObjectDelayLoad Regisztrációs kulcs automatikus
  • O22 - SharedTaskScheduler Regisztrációs kulcsú autorun
  • O23 - Windows NT szolgáltatások

R0, R1, R2, R3 - IE Kezdő és Keresés oldalak

Hogy néz ki:R0 - HKCU Szoftver Microsoft Internet Explorer Fő, Kezdőoldal = http://www.google.com/R1 - HKLM Szoftver Microsoft InternetExplorer Fő, Default_Page_URL = http://www.google.com/R2 - (ezt a típust még nem használja a HijackThis)R3 - Az alapértelmezett URLSearchHook hiányzik

Mit kell tenni:Ha felismeri az URL-t a kezdőoldal vagy a keresőmotor végén, az OK gombra. Ha nem, ellenőrizze és HijackThis javítsa ki. Az R3 tételeket mindig rögzítse, kivéve, ha megemlíti az elismert programot, mint a Copernic.

F0, F1, F2, F3 - Automatikus letöltés programok INI fájlokból

Hogy néz ki:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Mit kell tenni:Az F0 tételek mindig rosszak, ezért javítsd meg őket. Az F1 elemek általában nagyon régi programok, amelyek biztonságban vannak, ezért további információt kell találni a fájlnévről, hogy megnézze, jó vagy rossz-e. A Pacman indító lista segíthet egy elem azonosításában.

N1, N2, N3, N4 - Netscape / Mozilla Start & Keresés oldal

Hogy néz ki:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Dokumentumok és Beállítások Felhasználó Alkalmazásadatok Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Dokumentumok és Beállítások Felhasználó Alkalmazásadatok Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Mit kell tenni:Általában a Netscape és a Mozilla honlapja és a keresési oldal biztonságos. Ritkán kapják el a csapdát, csak a Lop.com ismerte ezt. Ha olyan URL-t lát, amelyet nem ismer fel honlapjának vagy keresési oldalának, akkor HijackThis javítsa ki.

O1 - Hostsfile átirányítások

Hogy néz ki:O1 - gazda: 216.177.73.139 auto.search.msn.comO1 - Hosts: 216.177.73.139 search.netscape.comO1 - fogadó: 216.177.73.139 ieautosearchAz O1 - Hosts fájl a C: Windows Help hosts-ban található

Mit kell tenni:Ez a hijack átirányítja a címet jobbra a bal oldalon lévő IP-címre.Ha az IP nem tartozik a címhez, minden alkalommal, amikor beírja a címet, átirányít egy rossz webhelyre. Mindig rendelkezel a HijackThis javítással, hacsak nem tudod ezeket a sorokat a Hosts fájlba.

Az utolsó tétel néha a Windows 2000 / XP rendszeren található Coolwebsearch fertőzéssel. Mindig ezt az elemet kijavítsa, vagy a CWShredder automatikusan javítsa.

O2 - Böngésző Helper objektumok

Hogy néz ki:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (nincs név) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (fájl hiányzik)O2 - BHO: továbbfejlesztett MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Mit kell tenni:Ha nem ismeri fel közvetlenül a böngésző-segítő objektum nevét, használja a TonyK BHO és eszköztárai listáját, hogy megtalálja az osztályazonosítóval (CLSID, a gömbölyű zárójelek között), és nézze meg, hogy jó vagy rossz. A BHO-listán az "X" a kémprogramokat jelenti, az "L" pedig biztonságos.

O3 - IE eszköztárak

Hogy néz ki: O3 - Eszköztár: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Eszköztár: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (fájl hiányzik)O3 - Eszköztár: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Mit kell tenni:Ha nem ismeri fel közvetlenül az eszköztár nevét, használja a TonyK BHO és Eszköztár-listáját az osztályazonosító (CLSID, a gömbölyű zárójelek száma) között, és nézze meg, hogy jó vagy rossz-e. Az Eszköztár lista "X" jelentése spyware és "L" biztonságos. Ha nem szerepel a listán, és a név véletlenszerű karakterláncnak tűnik, és a fájl az "Alkalmazásadatok" mappában van (mint a fenti példák közül az utolsó), akkor valószínűleg Lop.com, és biztosan rendelkeznie kell a HijackThis javítással azt.

O4 - Autoloading programok a regisztrációs vagy indító csoportból

Hogy néz ki:O4 - HKLM .. Futtatás: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Közös fájlok Symantec Shared ccApp.exe"O4 - Indítás: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - globális indítás: winlogon.exe

Mit kell tenni:Használja a PacMan indítási listáját, hogy megtalálja a bejegyzést, és nézze meg, hogy jó vagy rossz.

Ha az elem olyan programot mutat, amely egy indító csoportban ül (mint a fenti utolsó elem), a HijackThis nem tudja javítani az elemet, ha ez a program még mindig a memóriában van. Használja a Windows Feladatkezelőt (TASKMGR.EXE), hogy lezárja a folyamatot a javítás előtt.

O5 - IE Az opciók nem láthatók a Vezérlőpulton

Hogy néz ki: O5 - control.ini: inetcpl.cpl = nem

Mit kell tenni:Hacsak Ön vagy a rendszergazdája tudatosan nem rejtette el az ikonot a Vezérlőpultról, a HijackThis javítsa ki.

O6 - IE A hozzáférési hozzáférést az adminisztrátor korlátozza

Hogy néz ki:O6 - HKCU Software Policies Microsoft Internet Explorer Jelen korlátozások

Mit kell tenni:Hacsak nem rendelkezik a Spybot S & D opcióval a "Változások zárolása kezdőlapról" aktív, vagy a rendszergazda ezt helyezte el, a HijackThis javítsa ki.

O7 - Regedit hozzáférés korlátozva a rendszergazda által

Hogy néz ki:O7 - HKCU Szoftver Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Mit kell tenni:Mindig legyen HijackThis javítás, hacsak a rendszergazda ezt a korlátozást nem helyezte el.

O8 - Extra elemek az IE jobb gombbal menüben

Hogy néz ki: O8 - Extra helyi menüpont: & Google keresés - res: // C: WINDOWS LETARTOTT PROGRAM FÁJLOK GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Extra helyi menüpont: Yahoo! Keresés - fájl: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Extra helyi menüelem: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Extra helyi menüpont: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Mit kell tenni:Ha nem ismeri fel az elem nevét a jobb egérgombbal az IE menüben, akkor HijackThis javítsa meg.

O9 - Extra gombok a fő IE eszköztáron, vagy extra elemek az IE "Eszközök" menüben

Hogy néz ki: O9 - Extra gomb: Messenger (HKLM)O9 - Extra "Eszközök" menüpont: Messenger (HKLM)O9 - Extra gomb: AIM (HKLM)

Mit kell tenni:Ha nem ismeri fel a gomb vagy a menüelem nevét, akkor a HijackThis javítsa ki.

O10 - Winsock eltérítők

Hogy néz ki: O10 - A New.Net által átvett internetes hozzáférésO10 - Megszakadt internet-hozzáférés az LSP-szolgáltató miatt c: progra ~ 1 common ~ 2 eszköztár cnmib.dll 'hiányzikO10 - Ismeretlen fájl a Winsock LSP-ben: c: programfájlok newton knows vmain.dll

Mit kell tenni:Ez a legjobb megoldás az LSPFix használatával a Cexx.org-ból vagy a Kolla.de Spybot S & D-ből.

Ne feledje, hogy az "ismeretlen" fájlokat az LSP-veremben a HijackThis nem javítja biztonsági problémák esetén.

O11 - Extra csoport az IE "Haladó beállítások" ablakban

Hogy néz ki: O11 - Opciók csoport: CommonName CommonName

Mit kell tenni:Az egyetlen adatátvitel, amely a saját opciócsoportját adja hozzá az IE Haladó beállítások ablakhoz, CommonName. Tehát mindig lehet HijackThis javítani.

O12 - IE bővítmények

Hogy néz ki: O12 - Plugin for .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin for .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Mit kell tenni:Legtöbbször ezek biztonságosak. Csak az OnFlow adja hozzá egy plugint, amelyet nem akarsz (.ofb).

O13 - IE DefaultPrefix hijack

Hogy néz ki: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW előtag: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Előtag: http://ehttp.cc/?

Mit kell tenni:Ezek mindig rosszak. HijackThis javíttassa meg őket.

O14 - "Webes beállítások visszaállítása" eltérítés

Hogy néz ki: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Mit kell tenni:Ha az URL nem a számítógép szolgáltatója vagy az internetszolgáltatója, akkor a HijackThis javítsa ki.

O15 - Nem kívánt telephelyek a megbízható zónában

Hogy néz ki: O15 - Megbízható zóna: http://free.aol.comO15 - Megbízható zóna: * .coolwebsearch.comO15 - Megbízható zóna: * .msn.com

Mit kell tenni:Legtöbbször csak az AOL és a Coolwebsearch csendesen hozzáadnak webhelyeket a Trusted Zone-hoz. Ha nem adja hozzá a megadott tartományt a Megbízható zónához, akkor a HijackThis javítsa ki.

O16 - ActiveX objektumok (más néven letöltött programfájlok)

Hogy néz ki: O16 - DPF: Yahoo! Csevegés - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash objektum) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mit kell tenni:Ha nem ismeri fel az objektum nevét, vagy az URL-t, amelyről letöltött, a HijackThis javítsa meg. Ha a név vagy az URL olyan szavakat tartalmaz, mint a "tárcsázó", "kaszinó", "free_plugin" stb. A Javacool SpywareBlaster rendelkezik egy hatalmas adatbázisban a rosszindulatú ActiveX objektumokkal, amelyekkel fel lehet keresni a CLSID-okat. (Kattintson a jobb gombbal a listára a Find funkció használatához.)

Az O17 - Lop.com domainek eltérítenek

Hogy néz ki: O17 - HKLM Rendszer CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM Rendszer CCS Services Tcpip Paraméterek: Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM Rendszer CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Paraméterek: SearchList = gla.ac.ukO17 - HKLM System CS1 Szolgáltatások VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Mit kell tenni:Ha a domain nem az internetszolgáltatójától vagy a vállalati hálózattól származik, akkor a HijackThis javítsa ki. Ugyanez vonatkozik a "SearchList" bejegyzésekre is. A "NameServer" (DNS-kiszolgálók) bejegyzésekhez a Google az IP-címekhez vagy IP-címekhez, és könnyű lesz látni, hogy jó vagy rossz.

O18 - Extra protokollok és protokoll eltérítők

Hogy néz ki: O18 - Protokoll: linkedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protokoll eltérítés: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Mit kell tenni:Csak néhány gépeltérítő jelenik meg itt. Az ismert rosszfiúk a 'cn' (CommonName), az 'ayb' (Lop.com) és a 'relatedlinks' (Huntbar), akkor a HijackThis javítania kell ezeket. Más olyan dolgok, amelyek megjelenik, vagy még nem erősítették meg biztonságukat, vagy az eltérítettek (vagyis a CLSID megváltoztak) a kémprogramok miatt. Az utolsó esetben a HijackThis javítsa meg.

O19 - Felhasználói stíluslap eltérítés

Hogy néz ki: O19 - Felhasználói stíluslap: c: WINDOWS Java my.css

Mit kell tenni:Böngésző lelassulása és gyakran előugró ablakok esetén a HijackThis javítsa ezt az elemet, ha megjelenik a naplóban. Mivel azonban csak a Coolwebsearch teszi ezt, jobb, ha a CWShredder javítani akarja.

O20 - AppInit_DLLs Registry érték autorun

Hogy néz ki: O20 - AppInit_DLLs: msconfd.dll

Mit kell tenni:A HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows-ban található regisztrációs érték betöl egy DLL-et a memóriába, amikor a felhasználó bejelentkezik, és ezután a memóriában marad, amíg el nem jelentkezik. Nagyon kevés törvényes program használja (a Norton CleanSweep APITRAP.DLL-t használ), leggyakrabban trójaiak vagy agresszív böngésző-eltérítők használják.

A regisztrációs érték "rejtett" DLL-betöltése esetén (csak akkor látható, ha a Regeditben a "Bináris adatok szerkesztése" opciót használja) a dll név előtagolható egy "|" hogy látható legyen a naplóban.

O21 - ShellServiceObjectDelayLoad

Hogy néz ki: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Mit kell tenni:Ez egy nem dokumentált autorun módszer, amelyet általában néhány Windows rendszerelem használ. A HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad listán felsorolt ​​elemeket az Explorer indítja el a Windows indításakor. A HijackThis számos nagyon gyakori SSODL tétel engedélyezési listáját használja, így amikor egy tétel megjelenik a naplóban, ismeretlen és esetleg rosszindulatú. Nagyon óvatosan kezelje.

O22 - SharedTaskScheduler

Hogy néz ki: O22 - SharedTaskScheduler: (nincs név) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Mit kell tenni:Ez csak a Windows NT / 2000 / XP operációs rendszerhez tartozó, nem dokumentált autorun, amelyet nagyon ritkán használnak. Eddig csak a CWS.Smartfinder használja. Óvatosan kezelje.

O23 - NT szolgáltatások

Hogy néz ki: O23 - Szolgáltatás: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Személyi tűzfal persfw.exe

Mit kell tenni:Ez a nem Microsoft-szolgáltatások listája.A listának meg kell egyeznie a Windows XP Msconfig segédprogramjában láthatóval. Számos trojanski eltérítő egy házi készítésű szolgáltatást használ a többi indulóhoz, hogy újra telepítse magát. A teljes név általában fontos hangzású, például a "Network Security Service", a "Workstation Logon Service" vagy a "Remote Procedure Call Helper", de a belső név (a zárójelek között) egy sor a szemetet, mint például az "Ort". A sor második része a fájl tulajdonosa a végén, a fájl tulajdonságai szerint.

Ne feledje, hogy az O23 elem rögzítése csak a szolgáltatást leállítja és letiltja. A szolgáltatást kézzel vagy más eszközzel törölni kell a rendszerleíró adatbázisból. A HijackThis 1.99.1-es vagy újabb verziója esetén a "Szünetszolgáltatások törlése" gombra kattintva a "Misc Tools" szakaszban is használható.

Adattáblák elemzése a webről a Microsoft Excel segítségével

Adattáblák elemzése a webről a Microsoft Excel segítségével

Használja az Excel Get & Transform Data eszközeit, hogy táblázatokat és egyéb adatokat gyűjtsön a webhelyekről az elemzés céljából egy táblázatban. Frissítve az Excel 2019-et.

Ingyenes Wi-Fi-alkalmazások a hálózatok elemzéséhez és szkenneléséhez

Ingyenes Wi-Fi-alkalmazások a hálózatok elemzéséhez és szkenneléséhez

Használja ezeket az ingyenes Wi-Fi alkalmazásokat a nyílt WiFi hálózatok területének beolvasásához vagy a saját Wi-Fi hálózat elemzéséhez az eszközök és biztonsági beállítások megtekintéséhez.

Az oldal forrásának megtekintése és elemzése az Opera webböngészőben

Az oldal forrásának megtekintése és elemzése az Opera webböngészőben

Egy lépésről-lépésre bemutató útmutató a Windows és a Mac OS X operációs webes böngészőjének oldalforrásának megtekintéséhez, szerkesztéséhez és elemzéséhez.

Szerkesztő Választása