چگونه برای تجزیه و تحلیل HijackThis سیاههها

تفسیر داده های ورود برای کمک به حذف جاسوس افزارها و Hijackers مرورگر

HijackThis یک ابزار رایگان از Trend Micro است. این در اصل توسط Merijn Bellekom، دانش آموزی در هلند طراحی شده است. نرم افزار حذف نرم افزارهای جاسوسی مانند Adaware یا Spybot S & D کار خوبی در شناسایی و حذف برنامه های بیشتر نرم افزارهای جاسوسی می باشد، اما برخی از نرم افزارهای جاسوسی و hijackers مرورگر حتی برای این ابزارهای ضد جاسوسی بسیار مفید هستند.

HijackThis به طور خاص نوشته شده است برای شناسایی و حذف hijacks مرورگر، و یا نرم افزار که مرورگر وب خود را طول می کشد، تغییر صفحه اصلی به طور پیش فرض و موتور جستجوی خود و دیگر چیزهای مخرب. بر خلاف نرم افزارهای ضد جاسوسی معمولی، HijackThis از امضاها استفاده نمی کند و یا برنامه های خاص یا URL ها را برای تشخیص و مسدود کردن هدف قرار نمی دهد. در عوض، HijackThis به دنبال ترفندهای و روش های استفاده شده توسط نرم افزارهای مخرب برای آلوده کردن سیستم شما و تغییر مسیر مرورگر شما است.

نه همه چیزهایی که در سیاهههای مربوط به HijackThis نشان می دهد، چیزهای بد است و نباید همه آنها حذف شوند. در واقع، کاملا مخالف است. تقریبا تضمین شده است که برخی از اقلام در سیاهههای مربوط به HijackThis شما نرم افزاری قانونی خواهند بود و حذف این موارد ممکن است به سیستم شما آسیب برساند یا آن را کاملا غیرقابل استفاده کند. استفاده از HijackThis بسیار شبیه به ویرایش رجیستری ویندوز خودتان است. این علم موشک نیست، اما شما باید بدون راهنمایی کارشناسانه قطعا آن را انجام ندهید، مگر اینکه واقعا بدانید که چه کاری انجام می دهید.

پس از نصب HijackThis و اجرای آن برای ایجاد یک فایل ورودی، انواع مختلفی از انجمن ها و سایت هایی وجود دارد که شما می توانید آنها را پست کنید یا داده های خود را آپلود کنید. کارشناسانی که می دانند چه چیزی باید جستجو کنند، می توانند به شما در تجزیه و تحلیل داده های ورود به سیستم کمک کنند و به شما توصیه می کنند که کدام موارد را حذف کنید و تنها آن ها را ترک کنید.

برای دانلود نسخه فعلی HijackThis، شما می توانید از سایت رسمی در Trend Micro بازدید کنید.

در اینجا یک مرور کلی از مقالات ورود HijackThis است که می توانید از آن برای پرش به اطلاعاتی که دنبال می کنید استفاده کنید:

R0، R1، R2، R3 - صفحات شروع و جستجوی IE

چه چیزی به نظر می رسد:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main، Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main، Default_Page_URL = http://www.google.com/
R2 - (این نوع هنوز توسط HijackThis استفاده نشده است)
R3 - پیش فرض URLSearchHook گم شده است

چه کاری باید انجام شود:
اگر URL را در پایان به عنوان صفحه اصلی یا موتور جستجو خود تشخیص دهید، این درست است. اگر این کار را نکنید، آن را بررسی کنید و HijackThis آن را تعمیر کنید. برای موارد R3، همیشه آنها را رفع کنید، مگر اینکه برنامهیی را که تشخیص میدهید، مانند Copernic یادداشت کنید.

F0، F1، F2، F3 - برنامه های دانلود خودکار از فایل های INI

چه چیزی به نظر می رسد:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

چه کاری باید انجام شود:
موارد F0 همیشه بد است، پس آنها را تعمیر کنید. موارد F1 معمولا برنامه های بسیار قدیمی هستند که امن هستند، بنابراین شما باید اطلاعات بیشتری در مورد نام فایل پیدا کنید تا ببینید آیا آن خوب یا بد است. فهرست راه اندازی Pacman می تواند به شناسایی یک مورد کمک کند.

N1، N2، N3، N4 - Netscape / Mozilla Start & amp؛ صفحه جستجو

چه چیزی به نظر می رسد:
N1 - Netscape 4: user_pref "browser.startup.homepage"، "www.google.com")؛ (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage"، "http://www.google.com")؛ (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine"، "engine: //C٪ 3A٪ 5CProgram٪ 20Files٪ 5CNetscape٪ 206٪ 5Csearchplugins٪ 5CSBWeb_02.src")؛ (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

چه کاری باید انجام شود:
معمولا صفحه اصلی و صفحه جستجو Netscape و موزیلا امن هستند. آنها به ندرت ربوده می شوند، تنها Lop.com شناخته شده است برای انجام این کار. باید یک URL را که شما به عنوان صفحه اصلی یا صفحه جستجو خود تشخیص ندهید داشته باشید، HijackThis آن را رفع کنید.

O1 - تغییر مسیرهای Hostsfile

چه چیزی به نظر می رسد:
O1 - میزبان: 216.177.73.139 auto.search.msn.com
O1 - میزبان: 216.177.73.139 search.netscape.com
O1 - میزبان: 216.177.73.139 ieautosearch
O1 - فایلهای میزبان در C: \ Windows \ Help \ hosts واقع شده است

چه کاری باید انجام شود:
این ربودن آدرس را به سمت راست آدرس IP به سمت چپ هدایت می کند. اگر IP به آدرس تعلق ندارد، هر زمان که آدرس را وارد کنید، به یک سایت اشتباه هدایت می شوید. شما همیشه می توانید HijackThis آنها را تعمیر، مگر اینکه شما به طور آگاهانه این خطوط را در فایل های میزبان خود قرار دهید.

آخرین مورد بعضی اوقات در ویندوز 2000 / XP با عفونت Coolwebsearch رخ می دهد. همیشه این مورد را رفع کنید یا CWShredder آن را به صورت خودکار تعمیر کنید.

O2 - Objects Helper مرورگر

چه چیزی به نظر می رسد:
O2 - BHO: یاهو Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (بدون نام) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (فایل گم شده)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

چه کاری باید انجام شود:
اگر نام Object Helper Browser را به طور مستقیم تشخیص ندهید، از فهرست TBKO و نوار ابزار TonyK استفاده کنید تا آن را با شناسه کلاس (CLSID، شماره بین براکت های فیش) پیدا کنید و ببینید آیا آن خوب است یا بد. در لیست BHO، "X" به معنای نرم افزار جاسوسی و "L" به معنای امن است.

O3 - نوارهای ابزار اینترنت اکسپلورر

چه چیزی به نظر می رسد:
O3 - نوار ابزار: و یاهو! همراه - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - نوار ابزار: حذف کننده پنجره - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (فایل گم شده)
O3 - نوار ابزار: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA APPLICATION \ CKSTPRLLNQUL.DLL

چه کاری باید انجام شود:
اگر مستقیما اسم نوار ابزار را شناسایی نکنید، از فهرست BHO و نوار ابزار TonyK استفاده کنید تا آن را با شناسه کلاس (CLSID، شماره بین براکت های فیش) پیدا کنید و ببینید آیا آن خوب یا بد است. در لیست نوار ابزار، "X" به معنای نرم افزار جاسوسی و "L" به معنای امن است. اگر آن را در لیست نیست و نام به نظر می رسد یک رشته تصادفی از کاراکتر ها و فایل در پوشه "داده های برنامه" (مانند آخرین در نمونه های بالا)، احتمالا Lop.com، و شما قطعا باید HijackThis ثابت آی تی.

O4 - برنامه های Autoloading از گروه Registry یا Startup

چه چیزی به نظر می رسد:
O4 - HKLM \ .. \ اجرای: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ اجرای: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ اجرای: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - راه اندازی: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - راه اندازی جهانی: winlogon.exe

چه کاری باید انجام شود:
از فهرست راه اندازی PacMan استفاده کنید تا ورود را پیدا کنید و ببینید آیا آن خوب یا بد است.

اگر آیتم نشان می دهد یک برنامه نشسته در یک گروه راه اندازی (مانند آخرین مورد در بالا)، HijackThis نمی تواند آیتم را حل کند اگر این برنامه هنوز در حافظه است. از ویندوز Task Manager (TASKMGR.EXE) برای بستن روند قبل از تعمیر استفاده کنید.

O5 - گزینه های IE در Control Panel قابل مشاهده نیستند

چه چیزی به نظر می رسد:
O5 - control.ini: inetcpl.cpl = نه

چه کاری باید انجام شود:
مگر اینکه شما یا مدیر سیستم شما آگاهانه آیکون را از کنترل پنل پنهان کرده است، HijackThis آن را تعمیر کنید.

O6 - دسترسی به اینترنت اکسپلورر دسترسی محدود شده توسط مدیر

چه چیزی به نظر می رسد:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions در حال حاضر

چه کاری باید انجام شود:
به استثنای اینکه گزینه Spybot S & D را فعال کنید، «فعال کردن صفحه اصلی از تغییرات» فعال باشد، یا مدیر سیستم شما این را جایگزین کرده است، HijackThis این را حل میکند.

O7 - دسترسی Regedit توسط مدیر محدود شده است

چه چیزی به نظر می رسد:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System، DisableRegedit = 1

چه کاری باید انجام شود:
همیشه HijackThis این را حل کند، مگر اینکه مدیر سیستم شما این محدودیت را در محل قرار داده است.

O8 - موارد اضافی در IE راست کلیک کنید منو

چه چیزی به نظر می رسد:
O8 - آیتم منوی اضافی: & Google Search - res: // C: \ WINDOWS \ PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - آیتم منوی اضافی: یاهو جستجو - فایل: /// C: \ Program Files \ یاهو! \ Common / ycsrch.htm
O8 - آیتم منوی اضافی: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - آیتم منوی اضافی: زوم O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

چه کاری باید انجام شود:
اگر نام آیتم را در منوی راست کلیک در IE شناسایی نکنید، HijackThis آن را تعمیر کنید.

O9 - دکمه های اضافی در نوار ابزار اصلی IE، یا موارد اضافی در IE & # 39؛ ابزارها & # 39؛ فهرست

چه چیزی به نظر می رسد:
O9 - دکمه اضافی: مسنجر (HKLM)
O9 - منویتیت ابزارهای اضافی: مسنجر (HKLM)
O9 - دکمه اضافی: AIM (HKLM)

چه کاری باید انجام شود:
اگر اسم دکمه یا آیتم منو را نمی شناسید، HijackThis آن را تعمیر کنید.

O10 - هواپیماربایان Winsock

چه چیزی به نظر می رسد:
O10 - دسترسی به اینترنت از طریق New.Net ربوده شده است
O10 - دسترسی به اینترنت از بین رفته به دلیل ارائه دهنده LSP 'c: \ progar ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' missing
O10 - فایل ناشناخته در Winsock LSP: c: \ فایل های برنامه \ newton knows \ vmain.dll

چه کاری باید انجام شود:
بهتر است این موارد را با استفاده از LSPFix از Cexx.org یا Spybot S & D از Kolla.de رفع کنید.

توجه داشته باشید که فایل های ناشناخته در پشته LSP توسط HijackThis برای مسائل ایمنی ثابت نخواهد شد.

O11 - گروه اضافی در IE & # 39؛ تنظیمات پیشرفته & # 39؛ پنجره

چه چیزی به نظر می رسد:
O11 - گروه گزینه ها: [CommonName] CommonName

چه کاری باید انجام شود:
تنها hijacker که در حال حاضر است که گروه گزینه های خود را به پنجره گزینه های پیشرفته IE اضافه می کند CommonName است. بنابراین شما همیشه می توانید HijackThis این را حل کنید.

O12 - پلاگین های IE

چه چیزی به نظر می رسد:
O12 - پلاگین برای .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - پلاگین برای .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

چه کاری باید انجام شود:
اغلب اوقات این ایمن هستند. فقط OnFlow یک پلاگین اضافه می کند که شما نمی خواهید (.ofb).

O13 - IE پیش فرض پیشگفتار

چه چیزی به نظر می رسد:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl؟url=
O13 - پیشوند WWW: http://prolivation.com/cgi-bin/r.cgi؟
O13 - WWW. پیشوند: http://ehttp.cc/؟

چه کاری باید انجام شود:
این همیشه بد است HijackThis آنها را تعمیر.

O14 - تنظیم مجدد تنظیمات وب & # 39؛ ربودن

چه چیزی به نظر می رسد:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

چه کاری باید انجام شود:
اگر نشانی اینترنتی ارائه دهنده رایانه شما یا ISP شما نیست، HijackThis آن را تعمیر کنید.

O15 - سایت های ناخواسته در منطقه اعتماد

چه چیزی به نظر می رسد:
O15 - منطقه مورد اعتماد: http://free.aol.com
O15 - منطقه مورد اعتماد: * .coolwebsearch.com
O15 - منطقه مورد اعتماد: *. msn.com

چه کاری باید انجام شود:
بیشتر زمان فقط AOL و Coolwebsearch به طور صریح سایت ها را به منطقه Trusted اضافه می کنند. اگر دامنه لیست شده خود را به خودتان اضافه نکنید، HijackThis آن را تعمیر کنید.

O16 - اشیاء اکتیو ایکس (بعنوان مثال فایل های برنامه دانلود شده)

چه چیزی به نظر می رسد:
O16 - DPF: یاهو چت - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

چه کاری باید انجام شود:
اگر اسم شیء را نمی شناسید یا نشانی اینترنتی که از آن دانلود شده است، HijackThis آن را تعمیر کنید. اگر نام یا URL حاوی کلمات مانند شماره گیر، کازینو، free_plugin و غیره باشد، قطعا آن را حل کنید. SpywareBlaster Javacool دارای یک پایگاه داده بزرگ از اشیاء مخرب اکتیو ایکس است که می تواند برای جستجوی CLSID ها استفاده شود. (برای استفاده از تابع Find کلیک راست کنید.)

O17 - مجوز دامنه Lop.com

چه چیزی به نظر می رسد:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: دامنه = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ تلفن: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: دامنه = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14،69.57.147.175

چه کاری باید انجام شود:
اگر دامنه از ISP یا شبکه شرکت شما نیست، HijackThis آن را تعمیر کنید. همانطور که در نوشته های 'SearchList' می گویند. برای ورودی «NameServer» ( DNS servers )، Google برای IP یا IP ها و آسان بودن این است که آنها خوب یا بد باشند.

O18 - پروتکل های اضافی و hijackers پروتکل

چه چیزی به نظر می رسد:
O18 - پروتکل: لینک های مرتبط - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - پروتکل: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - ربودن پروتکل: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

چه کاری باید انجام شود:
فقط چند hijackers نشان می دهد در اینجا. بددهای شناخته شده عبارتند از 'cn' (CommonName)، 'ayb' (Lop.com) و 'linkedlinks' (Huntbar)، شما باید HijackThis آنها را حل کنید. سایر مواردی که نشان داده می شوند، هنوز امن نیستند یا ربوده شده (یعنی CLSID تغییر کرده است) توسط نرم افزارهای جاسوسی. در آخرین مورد، HijackThis آن را تعمیر کنید.

O19 - ترسیم جدول کاربر سبک

چه چیزی به نظر می رسد:
O19 - صفحه سبک کاربر: c: \ WINDOWS \ Java \ my.css

چه کاری باید انجام شود:
در مورد کاهش سرعت مرورگر و پنجره های مکرر، HijackThis این مورد را تعمیر می کند اگر در ورود به سیستم نشان داده شود. با این حال، از آنجا که تنها Coolwebsearch این کار را می کند، بهتر است از CWShredder برای تعمیر آن استفاده کنید.

O20 - AppInit_DLLs مقدار رجیستری autorun

چه چیزی به نظر می رسد:
O20 - AppInit_DLLs: msconfd.dll

چه کاری باید انجام شود:
این مقدار رجیستری که در HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows واقع شده است، هنگامی که کاربر وارد سیستم می شود، یک DLL را در حافظه بارگذاری می کند. چندین برنامه مشروع از آن استفاده می کنند (Norton CleanSweep از APITRAP.DLL استفاده می کند)، اغلب آن توسط تروجان ها و یا hijackers مرورگرهای مخرب استفاده می شود.

در صورت بارگیری DLL مخفی از این مقدار رجیستری (تنها در هنگام استفاده از گزینه Edit Binary Data در Regedit قابل مشاهده است) نام DLL ممکن است با یک pipe '|' پیشوند شود. برای ایجاد آن در ورود به سیستم قابل مشاهده است.

O21 - ShellServiceObjectDelayLoad

چه چیزی به نظر می رسد:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

چه کاری باید انجام شود:
این روش autorun نامشخص است که به طور معمول توسط چند سیستم عامل ویندوز مورد استفاده قرار می گیرد. مواردی که در HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad ذکر شده در هنگام شروع ویندوز بارگذاری شده است. HijackThis از یک لیست سفارشی از موارد بسیار معمولی SSODL استفاده می کند، بنابراین هر زمان که یک آیتم در ورودی نمایش داده شود، ناشناخته و احتمالا مخرب است. درمان با مراقبت شدید.

O22 - SharedTaskScheduler

چه چیزی به نظر می رسد:
O22 - SharedTaskScheduler: (بدون نام) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

چه کاری باید انجام شود:
این یک autorun نامشخص برای ویندوز NT / 2000 / XP است، که به ندرت استفاده می شود. تا کنون تنها CWS.Smartfinder از آن استفاده می کند. درمان با مراقبت

O23 - خدمات NT

چه چیزی به نظر می رسد:
O23 - سرویس: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Firewall شخصی \ persfw.exe

چه کاری باید انجام شود:
این فهرست خدمات غیرمستقیم است. لیست باید همانند آنچه که در ابزار Msconfig ویندوز XP مشاهده می کنید باشد. تعدادی از تبهکاران تروجان از یک سرویس خانگی برای افزودن دیگران به نصب مجدد خود استفاده می کنند. نام کامل معمولا مهم است، مانند "سرویس امنیت شبکه"، "سرویس ایستگاه ورود به سیستم" و یا "راه حل تماس از راه دور"، اما نام داخلی (بین براکت) یک رشته از زباله، مانند "اورت" است. بخش دوم خط صاحب فایل در انتها است، همانطور که در خواص فایل دیده می شود.

توجه داشته باشید که تعمیر یک مورد O23 سرویس را متوقف می کند و آن را غیرفعال می کند. این سرویس باید از رجیستری به صورت دستی یا با یک ابزار دیگر پاک شود. در HijackThis 1.99.1 یا بالاتر، دکمه "حذف NT سرویس" در بخش ابزار متفرقه می تواند برای این مورد استفاده شود.