Hannelje HijackThis Logs

Ynterpretearje fan logtriemmen foar help fan Spyware en Browser Hijackers

HijackThis is in frije tool fan Trend Micro. It waard oarspronklik ûntwikkele troch Merijn Bellekom, in studint yn Nederlân. Spyware-ferwideringssoftware lykas Adaware of Spybot S & D docht in goeie opdracht om de measte spyware-programma's te bepalen en te ferwiderjen, mar guon spyware en browser-hynsters binne te ynsidearje foar sels dizze grutte anti-spyware-utilities.

HijackThis is spesifyk skreaun om detecties fan browser te meitsjen, of software dy't jo webblêder nimt, feroarje jo standert homepage en sykmasjine en oare besefbere dingen. Oars as typyske anti-spyware-software, HijackThis brûkt gjin sinjaturen of doelstelling fan spesifike programma 's of URL' s om te besjen en te blokkearjen. HijackThis sjocht lykwols nei de triemmen en metoaden dy't brûkt wurde troch malware om jo systeem yn te ympuljen en jo blêder te feroarjen.

Net alles dat yn 'e HijackThis log is, is min dingen en it moat net alle fuorthelle wurde. Yn feite is it tsjinoerstelde. It is hast garandearre dat guon fan 'e items yn jo HijackThis-logs legitimate software wêze kinne en dizze items fuortsmiten kinne ynfloed op jo systeem of meitsje it net folslein ynoperatyf. It brûken fan HijackThis is in protte lykas it bewurkjen fan Windows Registry sels. It is gjin rocketwittenskip, mar jo moatte it net perfoarst net dogge sûnder guon ekspertele begelieding as jo net echt witte wat jo dogge.

As jo ​​HijackThis ynstallearje en útfiere om in logfile te generearjen, binne der in breed ferskaat oan forums en sites wêr jo jo log-gegevens post of upload opnimme kinne. Eksperts dy't witte wat sy sykje kinne kinne jo helpe om de log-gegevens te analysearjen en te advisearjen op hokker items te ferwiderjen en hokker ien allinnich wurde litte.

Om de aktuele ferzje fan HijackThis te laden, kinne jo de offisjele side besykje by Trend Micro.

Hjir is in oersicht fan 'e HijackThis log entries dy't jo brûke kinne om te springen nei de ynformaasje dy jo sykje:

R0, R1, R2, R3 - IE Start en sykse siden

Wat it liket:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Haad, Startpagina = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http: //www.google.com/
R2 - (dit type wurdt noch net brûkt troch HijackThis)
R3 - Standert URLSearchHook is ûntbrekt

Wat te dwaan:
As jo ​​de URL oan it ein oanjûn as jo thús- of sykmasjine, is it OK. As jo ​​dit net dogge, kontrolearje en hawwe HijackThis beheare. Foar de R3-artikels fêstje se altyd as it it programma docht dat jo erkennen, lykas Copernic.

F0, F1, F2, F3 - Autoloadingprogramma's fan INI bestannen

Wat it liket:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Wat te dwaan:
De F0-artikels binne altyd min, dus bepale se. De items F1 binne meastal âlde programma's dy't feilich binne, dus moatte jo mear ynformaasje fine op 'e triemnamme om te sjen oft it goed of min is. Pacman's Startuplist kin helpe by it identifisearjen fan in item.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Sykje side

Wat it liket:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Programma \ netscape \ Users \ standaard \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Wat te dwaan:
Meastal binne de Netscape- en Mozilla-thússide en sykside safolle. Se sjogge selekteare, allinich Lop.com is bekend om dit te dwaan. As jo ​​in URL sjen dy't jo net identifisearje as jo thúsblêd of sykside, hawwe HijackThis it beheine.

O1 - Hostsfile redirections

Wat it liket:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts bestannen is te finen op C: \ Windows \ Help \ hosts

Wat te dwaan:
Dizze ljipaai sil it adres oerwize nei it rjochts nei it IP-adres nei de lofterhannel. As de IP net by it adres heart, dan wurde jo trochferwizend nei in ferkearde side neidat jo it adres yngeane. Jo kinne altyd dit HijackThis beheare, behalve as jo wisse liede dizze linen yn jo hosts triem.

It lêste item wurdt somtiden op Windows 2000 / XP oanjûn mei in Coolwebsearch-ynfeksje. Altyd dit item befestigje, of hawwe CWShredder automatysk repareren.

O2 - Blêderhelperobjekten

Wat it liket:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (gjin namme) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (bestand net)
O2 - BHO: MediaLoads ferfere - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Wat te dwaan:
As jo ​​de namme fan de browseren helper objekt net werkenne, brûk dan TonyK's BHO & Toolbarlist om it te finen troch de klasse ID (CLSID, it getal tusken heulende klammerkes) en sjoch as it goed of min is. Yn 'e BHO-list is' X 'spyware en' L 'betsjut feilich.

O3 - IE arkbalken

Wat it liket:
O3 - Arkbalke: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Arkbalke: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL
O3 - Arkbalke: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Wat te dwaan:
As jo ​​de namme fan de arkbalke net direkt identifisearje, brûk TonyK's BHO & Toolbar List troch de klasse ID (CLSID, it getal tusken heulende klammerkes) en sjoch as it goed of min is. Yn 'e Arkbalke list,' X 'betsjut spyware en' L 'betsjut feilich. As it net op 'e list is en de namme in willekeurige tekenrige is en de bestân is yn' e map 'Applikaasjedata' (lykas de lêste yn 'e foarbylden hjirboppe), is it wierskynlik Lop.com, en jo moatte definityf HijackThis fix it.

O4 - Autoloadingprogramma 's fan Registry of Startgroup

Wat it liket:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Laat: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Programma \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Programma \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Wat te dwaan:
Brûk de StartMap fan PacMan om de ynfoe te finen en te sjen as it goed of min is.

As it item in programma siet yn in Startup-groep (lykas de lêste item hjirboppe), kin HijackThis it item net beheine as dit programma noch altyd yn oantinken is. Brûk de Windows Task Manager (TASKMGR.EXE) it proses te sluten foardat jo befêstigje.

O5 - IE Opsjes net sichtber yn Control Panel

Wat it liket:
O5 - control.ini: inetcpl.cpl = no

Wat te dwaan:
Sûnder jo systeembehearder hawwe it byldkaike fan it Control Panel bewustwêzen ferburgen, hawwe HijackThis it beheine.

O6 - IE Opsjes tagong beheind troch administraasje

Wat it liket:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions presintearje

Wat te dwaan:
As jo ​​de Spybot S & D-opsje 'Aktive side fan feroaringen' aktyf hawwe, of jo systead behearder dit ynstelle, hawwe HijackThis dit beheind.

O7 - Regedit tagong beheind troch administraasje

Wat it liket:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Wat te dwaan:
Altyd HijackThis dit beheine, as jo jo systeembehearder dizze beheining ynstallearre hat.

O8 - Extra items yn IE rjochts-klikmenu

Wat it liket:
O8 - Extra context menu item: & Google Search - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra context menu item: Yahoo! Sykje - triem: /// C: \ Programma \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ "
O8 - Extra context menu item: Zoom & Yn - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra context menu item: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Wat te dwaan:
As jo ​​de namme fan it item net werkenne yn it rjochtermûsknop yn IE, hawwe HijackThis it beheine.

O9 - Ekstra knoppen op grutte IE-arkbalke, of ekstra items yn IE Tools & # 39; menu

Wat it liket:
O9 - Extra knoppen: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra knop: AIM (HKLM)

Wat te dwaan:
As jo ​​de namme fan 'e knop of menu item net werkenne, hawwe HijackThis it beheine.

O10 - Winsock hoarners

Wat it liket:
O10 - Hijacked Ynternet tagong troch New.Net
O10 - Broken Ynternet-tagong troch LSP-oanbieder 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' ûntbrekt
O10 - Unbekende triem yn Winsock LSP: c: \ programma's \ newton wit \ vmain.dll

Wat te dwaan:
It is it bêste om dizze te brûken mei LSPFix fan Cexx.org, of Spybot S & D út Kolla.de.

Tink derom dat 'ûnbekende' bestannen yn 'e LSP-stap wurdt net fêstlein troch HijackThis, foar feiligensproblemen.

O11 - Ekstra groep yn IE & # 39; Advanced Options & # 39; finster

Wat it liket:
O11 - Opsjesgroep: [CommonName] CommonName

Wat te dwaan:
De iennige hinderkerne fan no, dy't de eigen opsjes groep tafoegje oan it IE Advanced Options-finster is CommonName. Sa kinne jo altyd HijackThis dit beheine.

O12 - IE-plugins

Wat it liket:
O12 - Plugin foar .spop: C: \ Programma \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - plugin foar .PDF: C: \ Programma \ Internet Explorer \ PLUGINS \ nppdf32.dll

Wat te dwaan:
Meast fan 'e tiid binne dizze feilich. Allinnich OnFlow addt hjir in plugin dat jo net wolle (.ofb).

O13 - IE DefaultPrefix hijack

Wat it liket:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Wat te dwaan:
Dizze binne altyd min. HijackThis ha har befêstigje.

O14 - Reset Web Ynstellings & # 39; hingje

Wat it liket:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Wat te dwaan:
As de URL net de oanbieder fan jo kompjûter of jo ISP hat, hawwe HijackThis it beheine.

O15 - Unwanted sites yn Trusted Zone

Wat it liket:
O15 - fertroude sône: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com

Wat te dwaan:
Meast fan 'e tiid allinich AOL en Coolwebsearch sjogge stilteplakken nei de Trusted Zone. As jo ​​it opjaan domein net sels tafoege oan de Trusted Zone sels, hawwe HijackThis it beheine.

O16 - ActiveX-objekten (ek te laden programma-bestannen)

Wat it liket:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Wat te dwaan:
As jo ​​de namme fan it objekt net identifisearje, of de URL dy't dizze ôflost is, hawwe HijackThis it beheine. As de namme of URL befettet wurden as "dialer", "casino", "free_plugin" ensfh. Javacool's SpywareBlaster hat in heule databank fan malware ActiveX-objekten dy't brûkt wurde kinne foar it opslaan fan CLSID's. (Rjochts-klik mei de list om de funksje fine te brûken.)

O17 - Lop.com domeinnamme

Wat it liket:
O17 - HKLM \ System \ CCS \ Tsjinsten \ VxD \ MSTCP: Domein = aoldsl.net
O17 - HKLM \ System \ CCS \ Tsjinsten \ Tcpip \ Parameters: Domein = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefoan: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Tsjinsten \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domein = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Tsjinsten \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Tsjinsten \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Wat te dwaan:
As it domein net is fan jo ISP of bedriuwnetwurk, moatte HijackThis it beheine. Datselde jildt foar de 'SearchList'. Foar de ynstellings 'NameServer' ( DNS-tsjinners ), Google foar de IP of IP's en it sil ienfâldich wurde te sjen oft se goed of min binne.

O18 - ekstra protokollen en protokol-hijackers

Wat it liket:
O18 - Protokol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokol-hijack: http- {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Wat te dwaan:
Allinich in pear hijuiters binne hjir te sjen. De bekende baddies binne 'cn' (CommonName), 'ayb' (Lop.com) en 'relatedlinks' (Huntbar), jo moatte dizze HijackThis beheare. Oare dingen dy't oanjûn binne binne noch net befêstige feilich, of wurde suksesfol (dus it CLSID is feroare) troch spyware. Yn it lêste gefal hawwe HijackThis it beheine.

O19 - brûkersstylblokje

Wat it liket:
O19 - brûkersstylblêd: c: \ WINDOWS \ Java \ my.css

Wat te dwaan:
Yn it gefal fan in blêderûntwerp en faker popups, hawwe HijackThis dit item befêstigje as it yn 't log sjen lit. Mar om't allinne Coolwebsearch dit dogge, it is better om CWShredder te brûken om it te beheinen.

O20 - AppInit_DLL's Registry wearde autorun

Wat it liket:
O20 - AppInit_DLLs: msconfd.dll

Wat te dwaan:
Dizze wiskwalifikaasje lokaat by HKEY_LOCAL_MACHINE \ software \ Microsoft \ Windows NT \ CurrentVersion \ Windows lans in DLL yn ûnthâld as de brûker ynloggt, wêrnei't it yn it ûnthâld bliuwt oant oanmelding. Sommige legitimale programma's brûke it (Norton CleanSweep brûkt APITRAP.DLL), meastal wurdt it brûkt troch trojans of agressive browsersynstallers.

Yn gefal fan in "ferburgen" DLL-laden fan dizze Wiskertriem (allinnich sichtber as jo brûke "Binary Data" opsje yn Regedit) kin de dll namme foarkomme mei in pylk '|' om it sichtber te meitsjen yn it loch.

O21 - ShellServiceObjectDelayLoad

Wat it liket:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Wat te dwaan:
Dit is in ûntspulde autorunmetoade, normaal brûkt troch in pear Windows-komponinten. Items ljeppe op HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad wurde troch Explorer opladen as Windows begjint. HijackThis brûkt in whitelist fan ferskate heule gewoane SSODL items, dus as jo in item werjûn yn it loch is, is it ûnbekend en miskien ferkeard. Behannelje mei ekstreme soarch.

O22 - SharedTaskScheduler

Wat it liket:
O22 - SharedTaskScheduler: (gjin namme) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Wat te dwaan:
Dit is allinnich in ûntspulde autorun foar Windows NT / 2000 / XP, dy't hiel gewoan brûkt wurdt. Sawol allinich CWS.Smartfinder brûkt dit. Behannelje mei soarch.

O23 - NT tsjinsten

Wat it liket:
O23 - Tsjinst: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Programma's \ Kerio \ Personal Firewall \ persfw.exe

Wat te dwaan:
Dit is de lisinsje fan net-Microsoft-tsjinsten. De list moat itselde as it sjen dat jo yn it Msconfig utility fan Windows XP sjogge. Ferskillende trojanewagerers brûke in selsstannige tsjinst yn oanpasse oan oare startups om sels te ynstallearjen. De folsleine namme is meast wichtich - klankend, lykas 'Network Security Service', 'Workstation Logon Service' of 'Remote Procedure Call Helper', mar de ynterne namme (tusken klokken) is in snaar fan mûle, lykas 'Ort'. It twadde diel fan 'e rigel is de eigner fan' e triem oan 'e ein, as sjoen yn de eigenskippen fan de triem.

Tink derom dat it befêstigjen fan in item O23 allinne de tsjinst stopje sil en útskeakelje. De tsjinst moat ferhannele wurde fan 'e registraasje of mei in oar tool. Yn HijackThis 1.99.1 of heger kin dizze knop de knop 'NT NT-service wiskje' yn 'e misje-ark.

Alike posts

10 dingen dy't jo net hawwe moatte op social networks

Sykje op it Web

WPA2? WEP? Wat is de bêste fersifering om myn Wi-fi te befeiligjen?

Sykje op it Web

Top 5 Pop-Up Ad Blockers

Sykje op it Web

Insecure.org's Top 125 Netwurk Feiligens ark

Sykje op it Web

Google Chrome-befeiliging

Sykje op it Web

In húslik learling foar bern op sykjen op sykjen yn Online

Sykje op it Web

13 tips foar it hâlden fan jo bern út 'e problemen online

Sykje op it Web

Hoe't jo in hege technyske buert watch begjinne

Sykje op it Web

Backup en weromsette data yn Windows Vista

Sykje op it Web

See Newest

Recuva v1.53.1087

Software & Apps

HDMI, DVI, en HDCP

Thústheater

Hoe kinne jo in skermôfbylding dwaan oan de LG G Flex

Android

Oanpasse de opliedingstablo - diel 4 - Windows

Linux

Wolle jo in kleurpalette ymportearje yn Inkscape

Software

Wannear is Windows 7 ein ein fan it libben?

Windows

Sapid posts

How to prevent stranger from following you on Twitter

Sosjale media

Berjocht en taheakselgrutte yn Gmail

Email & Messaging

Wêrom moatte jo nêst tabellen brûke

Webdesign & Dev

De 7 bêste Smart Dishwashers te keap yn 2018

Kaartsjes fan guod

Sharing Opsjes foar Google Blêden

Software

Hoe kinne jo it Adobe Photoshop Perspektyfûntwerpprogramma brûke

Software

Oanpaste spesjale sprekkers fan fokalen

Kaartsjes fan guod

How to set up an iPod

IPhone & iPod

Canon PowerShot ELPH 360 Review

Product Reviews

Blu-ray Disc-audio-ynstellings - Bitstream vs PCM

Thústheater

Oersjoch: iBlazr Flash

Sykje op it Web

Wat is in EXD bestân?

Windows

Oersjoch fan it PSB XA Dolby Atmos Add-On Speaker Module

Thústheater

Hoe kinne jo privee blêdwizers yn Safari brûke foar OS X

Macs

Skeakelje Gmail foar in nij e-mailprogramma of tsjinst

Email & Messaging

Meitsje in stylisearre grafyk yn yllustrator

Software