Interpreting Log Dateschutz fir Hëllef vu Spyware an Browser Hijackers z'ënnerstëtzen
HijackDës ass e gratis Tool vu Trend Micro. Et gouf ursprénglech vu Merijn Bellekom, Student an Holland entwéckelt. Spyware Removal Software wéi Adaware oder Spybot S & D maachen eng gutt Aarbecht fir de meeschte Spyware Programmer ze entdecken an ze entfernen, awer e puer Spyware an Browser-Entreprener sinn ze iwwerraschen fir souguer dës grouss Anti-Spyware Utilities.
HijackDës ass speziell geschriwwe ginn fir Browser-Hijacken ze entdecken an ze benotzen oder Software déi iwwer Äre Webbrowser ass, Äert Äert Default-Säit a Suchmaschin an aner béiswänneg Saachen. Am Géigesaz zu der typescher Anti-Spyware Software, HijackThis benotzt Ënnerschreften oder Target keng spezifesch Programmer oder URLen fir ze entdecken an ze blockéieren. HijackThis kuckt fir d'Tricks a Methoden déi mat Malware benotzt ginn , fir Äre System z'informéieren an Äre Browser ze widderleeën.
Net alles wat an der HijackThis zeechent ass, ass schlecht Saachen an et ass net all d'Sënn. Tatsächlech, zimlech de Géigendeel. Et ass bal garantéiert datt e puer vun den Elementer an den HijackThis Protokoller legitim sinn Software an d'Benotzung vun dësen Elementer kann en Afloss op Är System maachen oder se net volloperativ maachen. Benotzt HijackThis ass vill wéi d'Ännerung vun der Windows Registry selwer. Et ass net Rakéitwëssenschaft, awer Dir sollt et definitiv net maachen ouni e puer Expertise guidéieren, ausser Dir wësst wierklech wat Dir maacht.
Soubal Dir HijackThis installéiert an et fir eng Log-Datei z'änneren, da kënnt et eng grouss Variatioun vu Foren a Site déi Dir Är Protokolldatei posten oder opluet. Experten déi wësse wat Dir sicht ka maachen hëlleft Iech d'Log-Donnéeën ze analyséieren an ze beroden Iech op wéi eng Elementer ze fuere ginn an déi déi eleng eleng loossen.
Fir déi aktuell Versioun vum HijackDës ze lueden, kënnt Dir den offiziellen Site um Trend Micro besicht.
Hei ass en Iwwerbléck iwwer d'HijackThis Lëscht vu Logbicher, déi Dir benotzt kënnt fir un d'Informatioun ze sprangen:
- R0, R1, R2, R3 - Internet Explorer Start / Sich Säiten URLen
- F0, F1 - Autoloading Programmer
- N1, N2, N3, N4 - Netscape / Mozilla Start / Sich Säiten URLen
- O1 - D 'Héicht Datei Umoverung
- O2 - Browser Helper Objekte
- O3 - Internet Explorer Toolbar
- O4 - Autoloading Programme vun der Registry
- O5 - IE Opsiicht Icon net sichtbar am Kontrollpanel
- O6 - IE Optiounen Zougrëff vum Administrator
- O7 - Regedit Zougang vun Administrator
- O8 - Extra Elementer am IE-Recht-Menu
- O9 - Extra Knäppchen op der IE Kniwwelbibel, oder Extra Elementer am IE 'Tools' Menü
- O10 - Winsock Nëssbuer
- O11 - Extra-Grupp an IE 'Advanced Options' -Fënster
- O12 - IE Plugins
- O13 - IE DefaultPrefix Ausnahm
- O14 - 'Web Reset Web Settings' z'ernimmen
- O15 - Onerwënscht Site an der Trusted Zone
- O16 - ActiveX Objects (aka Programme Dateien erofgelueden)
- O17 - Lop.com Domain-Rätsel
- O18 - Extra Protokollen a Protokoll-Hypnakker
- O19 - Benotzerstilbiesempfänger
- O20 - AppInit_DLLs Registry-Wäert autorun
- O21 - ShellServiceObjectDelayLoad Registry-Tasteautorun
- O22 - SharedTaskScheduler Registry key autorun
- O23 - Windows NT Servicer
R0, R1, R2, R3 - IE Start- a Sich Säiten
Wat se aus kuckt:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Säit = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (dës Zort ass net vun HijackDës nach benotzt)
R3 - Standard URLSearchHook fehlt
Wat kann een maachen:
Wann Dir d'URL am Ende als Ärer Homepage oder Sichmotor erkennt, ass et OK. Wann Dir net, préift en HijackThis fixen. Fir d'R3 Elementer, fänke se ëmmer op, wann et e Programm nennt, deen Dir erkennt, wéi Copernic.
F0, F1, F2, F3 - Autoloading Programmer vun INI Dateien
Wat se aus kuckt:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: Run = hpfsched
Wat kann een maachen:
D'F0 Saachen sinn ëmmer schlecht, sou datt se se fixéieren. D'F1 Elementer sinn normalerweis ganz al Programmer déi sécher sinn, sou datt Dir sollt méi Informatiounen iwwer den Dateinumm fannen fir ze kucken ob et gutt oder schlecht ass. Pacman's Startup Lëscht hëllefe mat Hëllef vun engem Artikel.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Sich Säit
Wat se aus kuckt:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Programme \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Dokumente an Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Dokumente an Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Wat kann een maachen:
Normalerweis sinn d'Netscape- a Mozilla-Homepage an d'Sich Säit sécher. Si ginn selten zougesaat ginn, just Lop.com ass bekannt dat ze maachen. Sollt Dir eng URL gesinn, déi Dir net als Homepage oder Sich Säit erkennt, hu HijackThis fixen.
O1 - Hostsfile Rechter
Wat se aus kuckt:
O1 - Huet: 216.177.73.139 auto.search.msn.com
O1 - Huet: 216.177.73.139 search.netscape.com
O1 - Huet: 216.177.73.139 ieautosearch
O1 - Hosts-Datei läit bei C: \ Windows \ Help \ Hosts
Wat kann een maachen:
Dee Gefaangene féieren d'Adress op d'Recht op d'IP Adress op der lénker Säit. Wann d'IP net der Adress gehéiert, kënnt Dir op all falsch Site op eng falsch Säit aginn. Dir kënnt ëmmer HijackDës dës Fixen hunn, ausser Dir wësst dës Linnen dës Adressen an Ärem Hosts Datei ze setzen.
De leschte Punkt gëtt heiansdo op Windows 2000 / XP gekuckt mat enger Coolwebsearch Infektioun. Fänke dësen Element ëmmer a fixen, oder CWShredder reparéiert et automatesch.
O2 - Browser Helper Objekte
Wat se aus kuckt:
O2 - BHO: Yahoo! Compagnon BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (keen Numm) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (Datei fehlt)
O2 - BHO: MediaLoads erweidert - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
Wat kann een maachen:
Wann Dir net de Browser-Helper-Objekt net direkt erkennt, benotzt d'TonyK's BHO & Toolbar Lëscht, fir datt et duerch d'Klass ID (CLSID, d'Nummer tëschent den curly Klammern) fonnt gëtt a gesinn ob et gutt oder schlecht ass. An der BHO Lëscht "X" heescht Spyware an "L" heescht sécher.
O3 - IE Toolbar
Wat se aus kuckt:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (Datei fehlt)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATIOUICH DATA \ CKSTPRLLNQUL.DLL
Wat kann een maachen:
Wann Dir net eng Symbolleiste Numm erkennt, benotzt d'TonyK's BHO & Toolbar Lëscht fir d'Klass ze benotzen (CLSID, d'Nummer tëschent den curly Klammeren) a kucke ob et gutt oder schlecht ass. An der Toolbar Lëscht, 'X' heescht Spyware an 'L' heescht sécher. Wann et net op der Lëscht steet an den Numm e scheinbar Zeecheklaratioun an der Datei schéngt an der Datei am Ordner "Application Data" (wéi déi lescht an den Beispiller uewendriwwer) ass et wahrscheinlech Lop.com, an Dir sollt definitiv HijackThis fixéieren et.
O4 - Autoloading Programmer aus der Registratioun oder Startup Grupp
Wat se aus kuckt:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Programme \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Programme \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe
Wat kann een maachen:
Benutzen PacMan's Startup Lëscht fir den Entrée ze fannen a kucken ob et gutt oder schlecht ass.
Wann dëst Element e Programm weist an enger Startupgrupp (wéi déi lescht Element heiandsdeel) gesitt HijackThis kann den Punkt net ze fixen wann dëse Programm nach ëmmer am Gedäisch ass. Benotz den Windows Task Manager (TASKMGR.EXE) fir de Prozess virun der Fichieren ze schloen.
O5 - IE Optiounen net sichtbar am Kontrollpanel
Wat se aus kuckt:
O5 - control.ini: inetcpl.cpl = nee
Wat kann een maachen:
Wann Dir oder Äre Systemadministrator d'Ikon vun der Systemsteuer wosst verbreet hunn, HijackThis fixen.
O6 - IE Optiounen Zougrëff vum Administrator
Wat se aus kuckt:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions present
Wat kann een maachen:
Wann Dir d' Spybot S & D-Option 'Sichaktualiséierung vun Ännerungen' aktiv ass oder Äre Systemadministrator dës Plaz hunn, hunn HijackThis dëst fixen.
O7 - Regedit Zougang vun Administrator
Wat se aus kuckt:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Wat kann een maachen:
Always HijackThis fix dësen, ausser wann Äert Systemadministrator dës Aschränkung huet.
O8 - Extra Elementer am IE-Recht-Menu
Wat se aus kuckt:
O8 - Extra context menu item: & Google Search - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Extra context menu item: Yahoo! Sich - Datei: /// C: \ Programme \ Yahoo! \ Common / ycsrch.htm
O8 - Extra context menu item: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Extra context menu item: Zoom O & UT- C: \ WINDOWS \ WEB \ zoomout.htm
Wat kann een maachen:
Wann Dir den Numm vum Element net an engem klickt Klick op IE erënnert, hu HijackThis fixen.
O9 - Extra Knäppchen op IE IE Toolbar, oder Extra Elementer an IE & # 39; Tools & # 39; Menü
Wat se aus kuckt:
O9 - Extra Knäppche: Messenger (HKLM)
O9 - Extrait 'Tools' Menuitem: Messenger (HKLM)
O9 - Extra Knäppche: AIM (HKLM)
Wat kann een maachen:
Wann Dir den Numm vum Knäppchen oder Menü Element net erkennt, hu HijackThis fixen.
O10 - Winsock Entrepreneuren
Wat se aus kuckt:
O10 - Hijacked Internetzougang vun New.Net
O10 - Broken Internetzugriff wéinst LSP Provider 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' vermësst
O10 - Unknown Datei an Winsock LSP: c: \ Programme \ newton weess \ vmain.dll
Wat kann een maachen:
Et ass de beschten dës ze léisen mat LSPFix vu Cexx.org oder Spybot S & D aus Kolla.de ze fixéieren.
Bedenkt datt "onbekannte" Fichieren am LSP-Stack net vu HijackDës behandelt ginn, fir Sécherheetsproblemer.
O11 - Extra Grupp am IE & # 39; Advanced Options & # 39; Fënster
Wat se aus kuckt:
O11 - Optiounsgrupp: [AllgemengName] CommonName
Wat kann een maachen:
Deen eenzegen Nautiker wéi elo, deen seng eegene Optiounsgrupp op déi IE Advanced Options -Funne gëtt ass CommonName. Dir kënnt ëmmer HijackThis fixen.
O12 - IE Plugins
Wat se aus kuckt:
O12 - Plugin fir .spop: C: \ Programme \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin fir .PDF: C: \ Programme \ Internet Explorer \ PLUGINS \ nppdf32.dll
Wat kann een maachen:
Déi meescht Zäit ass sécher. Nëmmen OnFlow fiert eng Plugin hei fir datt Dir net wëllt (.ofb).
O13 - IE DefaultPrefix Ausnahm
Wat se aus kuckt:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Präfix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Präfix: http://ehttp.cc/?
Wat kann een maachen:
Dëst sinn ëmmer schlecht. HijackThis Huel hinnen se fixéieren.
O14 - & # 39; Reset Websäiten & # 39; z'organiséieren
Wat se aus kuckt:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Wat kann een maachen:
Wann d'URL net de Provider vun Ärem Computer oder Äre ISP hutt HijackThis fixen.
O15 - Ongewollte Siten an der Trusted Zone
Wat se aus kuckt:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com
Wat kann een maachen:
Déi meescht vun der Zäit nëmmen AOL an Coolwebsearch stinn Site surfen an d'Trusted Zone. Wann Dir déi Lëscht net an d'Vertrauenszone selwer eropgitt, hu HijackThis fixen.
O16 - ActiveX Objects (aka Programme Dateien erofgelueden)
Wat se aus kuckt:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Wat kann een maachen:
Wann Dir den Numm vum Objet net erkennt oder d'URL vum Internet erofgeluede gouf, hu HijackThis fixen. Wann de Numm oder d'URL Worte wéi "Dialer", "Kasino", "free_ plugin 'etc, definitiv fixéieren. De Javacool's SpywareBlaster ass eng rieseg Datenbank vu béiswëllegen ActiveX Objeten déi benotzt ka kënnt fir CLSIDs opzemaachen. (Klickt op d'Lëscht mat der Find Funktioun.)
O17 - Lop.com Domain Hymn
Wat se aus kuckt:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameter: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonie: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameter: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Servicer \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Wat kann een maachen:
Wann d'Domain net vun Ärem ISP oder Firmennetz ass, hu HijackThis fixen. Dat selwecht gëllt fir den "SearchList" Einträg. Fir den 'NameServer' ( DNS Server ) Einträge, Google fir d'IP oder IPs an et ass einfach ze gesinn, ob si gutt oder schlecht sinn.
O18 - Extra Protokollen a Protokoll-Hypnakker
Wat se aus kuckt:
O18 - Protokoll: Relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokoll: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokoll Sérieure: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Wat kann een maachen:
Nëmmen e puer Ausnotzer sinn opreegend. D'bekannte Baddies sinn 'cn' (CommonName), 'ayb' (Lop.com) an 'relatedlinks' (Huntbar), Dir sollt HijackDës dës Fixen hunn. Aner Saachen, déi opgefëllt sinn, sinn entweder net bestätegt, oder sinn agebrach ginn (dh de CLSID gouf geännert) mat Spyware. Am leschte Fall hu HijackThis fixen.
O19 - Benotzerstilbiesempfänger
Wat se aus kuckt:
O19 - Benotzerstilbett: c: \ WINDOWS \ Java \ my.css
Wat kann een maachen:
Am Fall vun enger Verlängerung vun e Browser an heefeg Popups, hu HijackThis dëst Element fixéieren wann et am Logbuch steet. Awer nëmme well Coolwebsearch doesnt, et ass besser fir CWShredder ze fixéieren.
O20 - AppInit_DLLs Registry-Wäert autorun
Wat se aus kuckt:
O20 - AppInit_DLLs: msconfd.dll
Wat kann een maachen:
Dëse Registrierungswert läit bei HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows luedert eng DLL an der Erënnerung, wann de Benotzer siche Logbuch an duerno ass et a Gedäck ze ginn bis de Logoff. Déi ganz puer legitimen Programmer benotzen (Norton CleanSweep benotzt APITRAP.DLL), am meeschten ass et vu Trojans oder agressiven Browser-Entreprener benotzt.
Am Fall vun engem "verstoppt" DLL vu dësem Registrierungswert gëtt (nëmmen sichtbar wann Dir "Binary Data" op Regedit benotzt) den Numm dll mat engem Päif ugeet "|" fir datt et an de Logbuch sichtbar ass.
O21 - ShellServiceObjectDelayLoad
Wat se aus kuckt:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Wat kann een maachen:
Dëst ass eng onokumenter Autorun-Methode, déi normalerweis e puer Windows-Systemkomponenten benotzt. Elementer déi op HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad geliwwert ginn vum Explorer wéi Windows start. HijackDës benotzt en Whitelist vun e puer ganz heefeg SSODL Elementer, also wann ëmmer en Element am Logbuch steet, ass et onbekannt a vläicht béiswëlleg. Gitt mat extremer Suergfalt.
O22 - SharedTaskScheduler
Wat se aus kuckt:
O22 - SharedTaskScheduler: (keen Numm) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Wat kann een maachen:
Dëst ass en onbekannte Autorun fir Windows NT / 2000 / XP, deen nëmme ganz selten benotzt gëtt. Bis elo ass nëmmen CWS.Smartfinder benotzt. Gidd Iech mat Pfleeg.
O23 - NT Servicer
Wat se aus kuckt:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Wat kann een maachen:
Dëst ass d'Notiz vu net-Microsoft Servicer. D'Lëscht soll déi selwecht wéi déi déi Dir am Msconfig Utility vu Windows XP gesinn. Verschidden trojan Sérieure benotze eng selbstverständlech Servicer beim Adidioun fir aner Startups fir selwer z'installéieren. De komplette Numm ass normalerweis wichteg - kléngt, wéi "Network Security Service", "Workstation Logon Service" oder "Remote Procedure Call Helper", mä den internen Numm (tëschent Klammern) ass e String vum Müll, wéi "Ort". Den zweeten Deel vun der Linn ass de Besëtzer vun der Datei um Enn, wéi se an de Properties vun der Datei gesi sinn.
Bedenkt datt d'Fixéierung vun engem O23 Element nëmmen de Service stoppe an deaktivéieren. De Service muss vu der Registry manuell oder mat engem aneren Tool geläscht ginn. An HijackThis 1.99.1 oder méi, kann de Knäppchen 'NT NT Service' an der Rubrik Misc Tools benotzt ginn.