Come analizzare HijackThis Log

HiJackThis (Aprile 2025)

HiJackThis (Aprile 2025)

:

Anonim

Hijack: questo è uno strumento gratuito di Trend Micro. È stato originariamente sviluppato da Merijn Bellekom, uno studente in Olanda. I software di rimozione spyware come Adaware o Spybot S & D fanno un buon lavoro nel rilevare e rimuovere la maggior parte dei programmi spyware, ma alcuni spyware e browser hijacker sono troppo insidiosi anche per queste grandi utility anti-spyware.

Hijack: questo è scritto appositamente per rilevare e rimuovere i dirottamenti del browser, o software che prende il controllo del browser web, altera la home page predefinita e il motore di ricerca e altre cose malevole. A differenza del tipico software anti-spyware, HijackThis non usa firme né targetizza programmi specifici o URL da rilevare e bloccare. Piuttosto, HijackThis cerca i trucchi e i metodi usati dal malware per infettare il tuo sistema e reindirizzare il tuo browser.

Non tutto ciò che appare nei registri di HijackThis è roba cattiva e non dovrebbe essere rimossa. In realtà, piuttosto il contrario. È quasi garantito che alcuni degli elementi nei registri di HijackThis siano software legittimi e la rimozione di tali elementi potrebbe influire negativamente sul sistema o renderlo completamente inutilizzabile. Usare Hijack Questo è molto simile alla modifica del registro di Windows. Non è una scienza missilistica, ma non dovresti assolutamente farlo senza una guida esperta a meno che tu non sappia davvero cosa stai facendo.

Una volta installato HijackThis ed eseguito per generare un file di registro, ci sono una grande varietà di forum e siti dove puoi pubblicare o caricare i tuoi dati di registro. Gli esperti che sanno cosa cercare possono quindi aiutarvi ad analizzare i dati del registro e consigliarvi su quali articoli rimuovere e quali lasciare soli.

Per scaricare la versione corrente di HijackThis, è possibile visitare il sito ufficiale di Trend Micro.

Ecco una panoramica delle voci di registro di HijackThis che puoi utilizzare per saltare alle informazioni che stai cercando:

  • R0, R1, R2, R3 - URL di inizio / ricerca di Internet Explorer
  • F0, F1 - Programmi di autoloading
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Cerca pagine URL
  • O1 - Reindirizzamento file host
  • O2 - Browser Helper Objects
  • O3 - Barre degli strumenti di Internet Explorer
  • O4 - Autoloading dei programmi dal registro
  • O5 - Icona Opzioni IE non visibile nel Pannello di controllo
  • O6 - Accesso alle opzioni IE limitato dall'amministratore
  • O7 - Accesso Regedit limitato dall'amministratore
  • O8 - Elementi aggiuntivi nel menu di scelta rapida di IE
  • O9 - Pulsanti extra sulla barra degli strumenti principale di IE, o elementi extra nel menu "Strumenti" di IE
  • O10 - dirottatore di Winsock
  • O11 - Gruppo supplementare in IE 'Opzioni avanzate' finestra
  • O12 - Plugin IE
  • O13 - IE DefaultPrefix hijack
  • O14 - Dirottamento 'Reset Web Settings'
  • O15 - Sito indesiderato nella zona attendibile
  • O16 - Oggetti ActiveX (noti anche come file di programma scaricati)
  • O17 - Dirottatori di domini di Lop.com
  • O18 - Protocolli aggiuntivi e dirottatori di protocollo
  • O19 - Dirottamento fogli stile utente
  • O20 - AppInit_DLLs Autorun valore di registro
  • O21 - ShellServiceObjectDelayLoad Esegui il riavvio della chiave del Registro di sistema
  • O22 - Condivisione automatica della chiave di registro di SharedTaskScheduler
  • O23 - Servizi Windows NT

R0, R1, R2, R3 - IE Start e pagine di ricerca

Cosa sembra:R0 - HKCU Software Microsoft Internet Explorer Main, Pagina iniziale = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (questo tipo non è ancora usato da HijackThis)R3 - Manca URLSearchHook di default

Cosa fare:Se riconosci l'URL alla fine come homepage o motore di ricerca, va bene. In caso contrario, controllalo e chiedi a HijackThis di risolverlo. Per gli oggetti R3, correggili sempre a meno che non menzioni un programma che riconosci, come Copernic.

F0, F1, F2, F3 - Autoloading dei programmi da file INI

Cosa sembra:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Cosa fare:Gli articoli F0 sono sempre cattivi, quindi correggili. Gli oggetti F1 sono di solito programmi molto vecchi che sono sicuri, quindi dovresti trovare qualche informazione in più sul nome del file per vedere se è buono o cattivo. L'Elenco di avvio di Pacman può aiutare a identificare un oggetto.

N1, N2, N3, N4 - Netscape / Mozilla Pagina iniziale e di ricerca

Cosa sembra:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Programmi Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings Utente Dati applicazioni Mozilla Profili defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Utente Dati applicazioni Mozilla Profili defaulto9t1tfl.slt prefs.js)

Cosa fare:Di solito la homepage e la pagina di ricerca di Netscape e Mozilla sono al sicuro. Raramente vengono dirottati, solo Lop.com è noto per farlo. Se vedi un URL che non riconosci come pagina iniziale o pagina di ricerca, chiedi a HijackThis di risolverlo.

O1 - Reindirizzamenti di host

Cosa sembra:O1 - Host: 216.177.73.139 auto.search.msn.comO1 - Host: 216.177.73.139 search.netscape.comO1 - Host: 216.177.73.139 ieautosearchO1 - Il file Hosts si trova in C: Windows Help hosts

Cosa fare:Questo dirottamento reindirizzerà l'indirizzo a destra dell'indirizzo IP a sinistra.Se l'IP non appartiene all'indirizzo, verrai reindirizzato a un sito sbagliato ogni volta che inserisci l'indirizzo. Puoi sempre impostare HijackThis, a meno che tu non abbia intenzionalmente messo quelle righe nel tuo file Hosts.

L'ultimo elemento si verifica a volte su Windows 2000 / XP con un'infezione Coolwebsearch. Correggi sempre questo elemento o CWShredder lo ripara automaticamente.

O2 - Browser Helper Objects

Cosa sembra:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (nessun nome) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (file mancante)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Cosa fare:Se non si riconosce direttamente il nome di un Browser Helper Object, utilizzare la BHO di TonyK e l'Elenco della barra degli strumenti per trovarlo in base all'ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell'elenco BHO, "X" significa spyware e "L" significa sicuro.

O3 - barre degli strumenti di IE

Cosa sembra: O3 - Barra degli strumenti: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Barra degli strumenti: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (file mancante)O3 - Barra degli strumenti: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS DATI DELL'APPLICAZIONE CKSTPRLLNQUL.DLL

Cosa fare:Se non si riconosce direttamente il nome di una barra degli strumenti, utilizzare BHO di TonyK e l'elenco della barra degli strumenti per trovarlo in base all'ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell'elenco della barra degli strumenti, "X" significa spyware e "L" significa sicuro. Se non è nella lista e il nome sembra una stringa casuale di caratteri e il file si trova nella cartella 'Application Data' (come l'ultimo negli esempi sopra), probabilmente è Lop.com, e sicuramente dovresti avere la correzione di HijackThis esso.

O4 - Autoloading dei programmi dal registro o dal gruppo di avvio

Cosa sembra:O4 - HKLM .. Esegui: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Esegui: SystemTray SysTray.ExeO4 - HKLM .. Esegui: ccApp "C: Programmi File comuni Symantec Shared ccApp.exe"O4 - Avvio: Microsoft Office.lnk = C: Programmi Microsoft Office Office OSA9.EXEO4: avvio globale: winlogon.exe

Cosa fare:Usa l'Elenco di avvio di PacMan per trovare la voce e vedere se è buona o cattiva.

Se l'elemento mostra un programma seduto in un gruppo Esecuzione automatica (come l'ultimo elemento sopra), HijackThis non può correggere l'elemento se questo programma è ancora in memoria. Utilizzare il Task Manager di Windows (TASKMGR.EXE) per chiudere il processo prima del fixing.

O5 - Opzioni IE non visibili nel Pannello di controllo

Cosa sembra: O5 - control.ini: inetcpl.cpl = no

Cosa fare:A meno che tu o il tuo amministratore di sistema non abbiate nascosto consapevolmente l'icona dal Pannello di controllo, fate in modo che HijackThis lo risolva.

O6 - Accesso alle opzioni IE limitato dall'amministratore

Cosa sembra:O6 - HKCU Software Policies Microsoft Internet Explorer Limitazioni presenti

Cosa fare:A meno che tu non abbia l'opzione Spybot S & D 'Blocca homepage dalle modifiche' attiva, o l'amministratore di sistema lo metta in posizione, chiedi a HijackThis di risolverlo.

O7 - Accesso Regedit limitato dall'amministratore

Cosa sembra:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Cosa fare:Hai sempre impostato su HijackThis, a meno che l'amministratore di sistema non abbia applicato questa restrizione.

O8 - Elementi aggiuntivi nel menu di scelta rapida di IE

Cosa sembra: O8 - Voce di menu contestuale extra: & Ricerca Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Voce di menu contestuale extra: Yahoo! Cerca - file: /// C: Programmi Yahoo! Common / ycsrch.htmO8 - Voce di menu contestuale extra: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Voce di menu contestuale extra: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Cosa fare:Se non si riconosce il nome dell'elemento nel menu di scelta rapida in IE, è necessario che HijackThis lo risolva.

O9 - Pulsanti extra sulla barra degli strumenti principale di IE o elementi aggiuntivi nel menu "Strumenti" di IE

Cosa sembra: O9 - Pulsante Extra: Messenger (HKLM)O9 - Extra menu 'Strumenti': Messenger (HKLM)O9 - Pulsante extra: AIM (HKLM)

Cosa fare:Se non si riconosce il nome del pulsante o della voce di menu, è necessario che HijackThis lo risolva.

O10 - dirottatori di Winsock

Cosa sembra: O10 - Accesso a Internet rubato da New.NetO10 - Accesso Internet interrotto a causa del provider LSP "c: progra ~ 1 common ~ 2 toolbar cnmib.dll" mancanteO10 - File sconosciuto in LSP Winsock: c: programmi newton sa vmain.dll

Cosa fare:È meglio sistemarli utilizzando LSPFix da Cexx.org o Spybot S & D da Kolla.de.

Nota che i file 'sconosciuti' nello stack LSP non verranno riparati da HijackThis, per problemi di sicurezza.

O11 - Gruppo supplementare in IE 'Opzioni avanzate' finestra

Cosa sembra: O11 - Gruppo di opzioni: CommonName CommonName

Cosa fare:L'unico dirottatore che ora aggiunge il proprio gruppo di opzioni alla finestra delle opzioni avanzate di IE è CommonName. Quindi puoi sempre fare in modo che HijackThis risolva questo problema.

O12 - Plugin IE

Cosa sembra: O12 - Plugin per .spop: C: Programmi Internet Explorer Plugins NPDocBox.dllO12 - Plugin per .PDF: C: Programmi Internet Explorer PLUGINS nppdf32.dll

Cosa fare:Il più delle volte questi sono sicuri. Solo OnFlow aggiunge un plugin qui che non si desidera (.ofb).

O13 - IE DefaultPrefix hijack

Cosa sembra: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Prefisso WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefisso: http://ehttp.cc/?

Cosa fare:Questi sono sempre cattivi. Avere HijackThis li aggiusta.

O14 - Dirottamento 'Reset Web Settings'

Cosa sembra: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Cosa fare:Se l'URL non è il provider del computer o del provider di servizi Internet, è necessario che HijackThis lo risolva.

O15 - Siti indesiderati in Trusted Zone

Cosa sembra: O15 - Trusted Zone: http://free.aol.comO15 - Trusted Zone: * .coolwebsearch.comO15 - Trusted Zone: * .msn.com

Cosa fare:La maggior parte delle volte solo AOL e Coolwebsearch aggiungono silenziosamente i siti alla zona attendibile. Se non hai aggiunto tu stesso il dominio elencato alla Zona sicura, chiedi a HijackThis di risolverlo.

O16 - Oggetti ActiveX (noti anche come file di programma scaricati)

Cosa sembra: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Cosa fare:Se non si riconosce il nome dell'oggetto o l'URL dal quale è stato scaricato, è necessario che HijackThis lo risolva. Se il nome o l'URL contiene parole come "dialer", "casino", "free_plugin" ecc., Risolvilo definitivamente. Javacool's SpywareBlaster ha un enorme database di oggetti ActiveX dannosi che possono essere utilizzati per cercare i CLSID. (Fare clic con il tasto destro del mouse sull'elenco per utilizzare la funzione Trova.)

O17 - dirottamenti del dominio Lop.com

Cosa sembra: O17 - HKLM System CCS Services VxD MSTCP: Dominio = aoldsl.netO17 - HKLM System CCS Services Tcpip Parametri: Dominio = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Dominio = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Cosa fare:Se il dominio non proviene dal tuo ISP o dalla rete aziendale, chiedi a HijackThis di risolverlo. Lo stesso vale per le voci "SearchList". Per le voci 'NameServer' (server DNS), Google per IP o IP, sarà facile vedere se sono buoni o cattivi.

O18 - Protocolli aggiuntivi e dirottatori di protocollo

Cosa sembra: O18 - Protocollo: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protocollo: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocollo hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Cosa fare:Solo alcuni dirottatori si presentano qui. I cattivi conosciuti sono 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar), dovresti avere HijackThis che li aggiusta. Altre cose che appaiono non sono ancora confermate al sicuro, o sono dirottate (cioè il CLSID è stato modificato) da spyware. Nell'ultimo caso, è stato risolto da HijackThis.

O19 - Dirottamento fogli stile utente

Cosa sembra: O19 - Foglio di stile utente: c: WINDOWS Java my.css

Cosa fare:In caso di rallentamento del browser e popup frequenti, è necessario che HijackThis risolva questo elemento se viene visualizzato nel registro. Tuttavia, poiché solo Coolwebsearch esegue questa operazione, è meglio utilizzare CWShredder per risolverlo.

O20 - AppInit_DLLs Autorun valore di registro

Cosa sembra: O20 - AppInit_DLL: msconfd.dll

Cosa fare:Questo valore del Registro di sistema situato in HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows carica una DLL nella memoria quando l'utente esegue l'accesso, dopo di che rimane in memoria fino alla disconnessione. Pochissimi programmi legittimi lo utilizzano (Norton CleanSweep utilizza APITRAP.DLL), il più delle volte viene utilizzato da trojan o aggressivi browser hijacker.

In caso di caricamento di una DLL "nascosta" da questo valore di registro (visibile solo quando si utilizza l'opzione "Modifica dati binari" in Regedit), il nome della DLL potrebbe essere preceduto da una pipe "|" per renderlo visibile nel registro.

O21 - ShellServiceObjectDelayLoad

Cosa sembra: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Cosa fare:Questo è un metodo di esecuzione automatica non documentato, normalmente utilizzato da alcuni componenti di sistema di Windows. Gli elementi elencati in HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad vengono caricati da Explorer all'avvio di Windows. Hijack: utilizza una whitelist di molti elementi SSODL molto comuni, quindi ogni volta che un elemento viene visualizzato nel log è sconosciuto e probabilmente dannoso. Trattare con estrema cura.

O22 - SharedTaskScheduler

Cosa sembra: O22 - SharedTaskScheduler: (nessun nome) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Cosa fare:Questo è un autorun non documentato solo per Windows NT / 2000 / XP, che viene usato molto raramente. Finora solo CWS.Smartfinder lo usa. Trattare con cura.

O23 - Servizi NT

Cosa sembra: O23 - Servizio: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Programmi Kerio Personal Firewall persfw.exe

Cosa fare:Questo è l'elenco dei servizi non Microsoft.L'elenco dovrebbe essere uguale a quello visualizzato nell'utilità Msconfig di Windows XP. Diversi dirottatori di trojan utilizzano un servizio fatto in casa in aggiunta ad altre startup per reinstallarsi. Il nome completo di solito è importante, ad esempio "Servizio sicurezza di rete", "Servizio di accesso workstation" o "Assistente chiamate procedura remota", ma il nome interno (tra parentesi) è una stringa di dati inutili, ad esempio "Ort". La seconda parte della riga è il proprietario del file alla fine, come mostrato nelle proprietà del file.

Si noti che la riparazione di un oggetto O23 interromperà il servizio e lo disabiliterà. Il servizio deve essere cancellato dal Registro manualmente o con un altro strumento. In HijackThis 1.99.1 o successivo, per questo è possibile utilizzare il pulsante 'Elimina servizio NT' nella sezione Strumenti diversi.

Come analizzare i file XML in Xcode

Come analizzare i file XML in Xcode

Il compito comune di analizzare i file RSS o XML è facilitato in questo tutorial Objective-C passo-passo che mostra come farlo.

Come smettere di analizzare troppo il tuo colloquio di lavoro: la musa

Come smettere di analizzare troppo il tuo colloquio di lavoro: la musa

Più ci pensi, peggio diventa.

Angry Birds: analizzare la dipendenza

Angry Birds: analizzare la dipendenza

La tua ossessione per Angry Birds ha raggiunto lo stato di bisogno di un intervento? Va bene, c'è un significato dietro la follia. L'infografica di oggi rivela la psicologia alla base della tua dipendenza (er, gioco preferito) e il fatto che tu non sia certamente solo.

Scelta Del Redattore