Interpretatu di a Data Loga per aiutà à Sguude Spyware è Naviggi in Browser
Hiddignesse hè una strumentu gratuitu da Trend Micro. Hè statu urigginatu da Merijn Bellekom, studente di l'Olanda. U software di sguassà di Spyware , cum'è Adaware o Spybot S & D, facenu un bonu travagliu di scuperta è sguassà a maiò parte di i schedarii spissivi, ma qualchì pirate è pirate di u pirate di u navigatore sò troppu piccanti per ancu esse sti utuli anti-spyware.
Hijat \ Stu hè scrittu spettamente per detteve e sguassà l'utilizatori di navigatore, o software chì adopende u vostru navigatore web, altierte a vostra pàgina di u situ di default è u mutore di ricerca è altre cause malice. A diversità di u software tipicu anti-spyware, Hijat! Ùn avete micca usu di signatures o di destinazione di qualsiasi programmi specifichi o URL per detta è bluccati. Piuttostu, Ghjira Ciò parechje i trucchi è i metudi di malware per infettà u vostru sistema è redireccionà u vostru navigatore.
Ùn avà tuttu ciò chì vede in u Signore L'azzioni hè ghjocu ghjocu è ùn deve esse micca eliminati. In fattu, assai u cuntrariu. Hè guasi garantitu chì parechji articuli in u vostru Sughjettu Sò logs hè un software legittimu è sguassà quessi articuli pò avè averemi impattu à u vostru sistema o rendu micca inoperativu. Utilizà Ghjustu Questu hè assai cum'è edità u Registru Windows . Ùn hè micca a scumbizzione, ma ùn deveria micca fà senza uni di guverna di esperta, s'ellu ùn cunnosci micca ciò chì site.
Una volta chì stallate HijackThis and run it to generate a log file, ci sò una larga varietà di fori è siti induve puderete postu o carteari u vostru logu. I sperti chì sapanu quale a circà, puderà aiutà l'analizà u datu di u registru è avè cunsigliatu nantu à quale l'articuli per sguassate è quelli chì si abbandunassi solu.
Per scaricà issa versione di Studi, pudete visità u situ ufficiali in Trend Micro.
Eccu un ghjocu di a Strada HijackThis iniziali di scuperte alcuna chì pudete aduprà per salto à l'infurmazioni chi site circate:
- R0, R1, R2, R3 - Internet Explorer Start / Search pages URLs
- F0, F1 - Programmi autoluntie
- N1, N2, N3, N4 - Netscape / Mozilla Start / Search URL di e pagine
- O1 - Réservazione di l'architetti Amministratori
- O2 - Ughjetti di l'aiutu di u navigatore
- O3 - Pratere di l'Internet Explorer
- O4 - Programmi autoloading from Registry
- O5 - IE Opzioni icona ùn hè micca visibile in u pannellaghju di cuntrollu
- O6 - IE Opzioni accessu limitati da amministratore
- O7 - Regedit accessu ristrettu per amministratore
- O8 - Elementi extra in IE menu di cliccà
- O9 - I buttuni extra nantu à a bigliettu di a buttiglia IE principal, o articuli extra in u menu IE "Erimon"
- O10 - u segadoru Winsock
- O11 - Gruppu extra in IE "Opzioni avanati" di finestra
- O12 - IE plugins
- O13 - IE DefaultPrefix hijack
- O14 - Restaurazione di Securiezione Web 'hijack
- O15 - Unwanted site in Zone Fiduciale
- O16 - Objects ActiveX (aka Programed Scheduled Files)
- O17 - Lopander di u copyright Lop.com
- O18 - Protocoli extra è protuccoli di securità
- O19 - Staghjone di stile di u segatore
- O20 - AppInit_DLLs Scrizzione valuru autorun
- O21 - ShellServiceObjectDelayLoad Registru chiave autorun
- O22 - ScaredTaskScheduler Scrizzione chjaru autorun
- O23 - Servizi Windows NT
R0, R1, R2, R3 - IE Start and Search pages
Ciò chì pare à stà:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, pagina di pagina = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (stu tipu ùn hè micca usatu da HijatThis)
R3 - Ùn aghjunghjenu l'URLSearchHook predeterminato
Cosa da fà:
Sì avete ricanusciutu l'URL in a fine cum'è a vostra homepage o u mutore di ricerca, hè aggradèvule. Sì ùn avete micca, verificate è avete segnu solu HijackThis rigiutanu. Per l'elementu R3, fate sempre solu minima ùn si ricerete un prugrammu chè ricunnosce, cum'è Copernicu.
F0, F1, F2, F3 - Programmi autoloading from files INI
Ciò chì pare à stà:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Cosa da fà:
L'articuli F0 sò sempre bagnu, affissate solu. L'articuli F1 sò solitu ver di i programmi antichi chì sò guariscenti, perchè duverà truvà più infurmazione nantu à u filename per vede s'ellu hè bonu o dolce. A Lista di Startup di Pacman pò aiutà cù identificà un articulu.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Ricercà pagina
Ciò chì pare à stà:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Data d'aplicazione \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: usu_pref ("browser.search.defaultengine", "engine: //C% 3A% 5CProgram% 20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Data d'aplicazione \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Cosa da fà:
In soledà a pàgina di u pagina di Netscape è Mozilla sò sicura. Raricamenti si securani, solu Lop.com hè cunnisciutu di falla. Sè avete vedete un URL chì ùn hai micca ricanusciutu cum'è a vostra pagina di ricerca o a pagina di ricerca, avete Hijat piè.
O1 - Ritirizione di l'arghjetta
Ciò chì pare à stà:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Archive d'ustaculi si trova a C: \ Windows \ Help \ hosts
Cosa da fà:
Stu segnu redirectiri l'indirizzu à a diritta à l'indirizzu IP à u left. Se l'IP ùn hè micca appartenutu à l'indirizzu, serà ridirette à un situ incorrectu ogni tantu chì scriverete l'indirizzu. Pudete sempre avè segnu solu HijackThis fissalla solu, salvo chì sapete infurmatu questi fili in u vostru file Hosts.
U ùltimu articulu sempre in u 2000 / XP cun una infizzioni Coolwebsearch. Sempre curreghjite este articulu, o avete CWShredder riparà automaticamente.
O2 - Ughjetti di l'aiutu di u navigatore
Ciò chì pare à stà:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (senza nome) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
Cosa da fà:
Se ùn avete micca ricunnisciarete direttamente un nome di l'uperatore d'utilizatori di u Navigatoru, utilice a lista BHO e Toolbar di TonyKiu per truvà cù l'identità di classificazione (CLSID, u nùmmulu trà i parcheghjetti) è vede s'ellu hè bonu o dolore. In a lista BHO, "X" detta spyware è "L" significa salvu.
O3 - IE toolbars
Ciò chì pare à stà:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Cosa da fà:
Se ùn avete micca ricunnisciutu direttamente un nome di toolbar, utilice a lista BHO e Toolbar di TonyKiu per truvà da l'identità classificale (CLSID, u nùmmulu tra curtains) è vede s'ellu hè bonu o cattivu. In a Lista di Toolbar, "X" significa Spyware è "L" significa salvu. Se ùn hè micca nantu à a lista è u nome pare avete una chjave aleatoria di caratteri è u schedariu ghjè in u caratteru «Datu dapoi appiecu» (cum'è l'ultimu in l'esempii di supra), hè probabilmente Lop.com, è avete definitu avè bisognu à tè HijackThis fix questu.
O4 - Programmi autoloading from Registry or Startup group
Ciò chì pare à stà:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Startup Global: winlogon.exe
Cosa da fà:
Aduprà a Lista d'Startup PacMan per truvà l'entrata è vede s'ellu hè bonu o duveru.
Se l'item mostra un prugrammu in un gruppu Startup (cum'è l'ultimu item above), HijackThis ùn pò micca riparà l'articulu si stu prugramma hè sempre in memoria. Aduprate a Task Manager di Task (TASKMGR.EXE) per cercate u prucessu prima di riparazione.
O5 - IE Opzioni ùn sò micca visibili in u Pannellu di Control
Ciò chì pare à stà:
O5 - control.ini: inetcpl.cpl = micca
Cosa da fà:
Aduprate à voi o u vostru amministratore di u sistema ùn hà avutu l'ughjettu amicu u icona da u pannellamentu di cuntrollu, avete averebbe stabilitu solu.
O6 - IE Opzioni accessu limitati da amministratore
Ciò chì pare à stà:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions presente
Cosa da fà:
A menu chì ùn anu avutu l' opción Spybot S & D 'Lock homepage da cambiamenti' attivu, o l'amministratore di u sistema amministrà in u locu, avete HiddyThis fix this.
O7 - Regedit accessu ristrettu per amministratore
Ciò chì pare à stà:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Cosa da fà:
Sempre tenite HijackThis fretendu questu, salvo chì u vostru amministratore di u sistema hà datu sta limitazione in u locu.
O8 - Elementi extra in IE menu di cliccà
Ciò chì pare à stà:
O8 - Elementu di menu di cuntestu cuntributu: & Google Ricerca - res: // C: \ WINDOWS \ PROGRAMA DOWNLOADED FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Elementu di u cuntestu di u cuntestu: Yahoo! Ricercà - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Elementu di menù di contextu supplementu: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Elementu di menù di contextu cuntenutu: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Cosa da fà:
Sì ùn avete micca ricanusciutu u nome di l'articulu in u menù di cliccà di cliccà in IE, avete segnu solu HijackThis rigiutanu.
O9 - I buttuni extra nantu à a bigliestra IE principal, o elementi extra in IE & # 39; Strumenti & # 39; menu
Ciò chì pare à stà:
O9 - buttone Extra: Messenger (HKLM)
O9 - Menuitem extra "Utile": Messenger (HKLM)
O9 - U buttone supplementu: AIM (HKLM)
Cosa da fà:
Se ùn cunnosci micca u nome di u buttone o l'articulu di menù, avete segnu solu HijackThis rigiutanu.
O10 - i vitturi australiani
Ciò chì pare à stà:
O10 - L'accessu à Internet Securitatu da New.Net
O10 - Accessu per Internet in rottu per u cumpagnu di LSP: c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll 'missing
O10 - Scaricamentu in u Winsock LSP: c: \ program files \ newton knows \ vmain.dll
Cosa da fà:
Hè megliu stabilisce quessi chì utilizanu LSPFix da Cexx.org, o Spybot S & D da Kolla.de.
Note chì i schedari 'unknown' in u stacci LSP ùn sarà micca stallatu da HijackThis, per materii sicurezza.
O11 - Gruppu extra in IE & # 39; Opzioni Avanziali & # 39; finestra
Ciò chì pare à stà:
O11 - Gruppu d'opzioni: [CommonName] CommonName
Cosa da fà:
L'unicu pirate di l'oghje chì aghjeria u so propiu gruppu d'opzioni à a finestra IE Opere avanzate hè CommonName. Allora pudete sempre avè segnu HippoThis fretenu questu.
O12 - IE plugins
Ciò chì pare à stà:
O12 - Plugin per .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin per .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Cosa da fà:
A maiò parte di u tempu sò stati salvati. Solo OnFlow aghjusta un plugin quì chì ùn vogliu micca (.ofb).
O13 - IE DefaultPrefix hijack
Ciò chì pare à stà:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Prefiera WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prestu: http://ehttp.cc/?
Cosa da fà:
Quessi sò sempre bagnu. Hè Lisabardu Questu solu.
O14 - & # 39; Rice Configurazione Web & # 39; segatore
Ciò chì pare à stà:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Cosa da fà:
Se l'URL ùn hè micca u fornitu di u vostru urdinatore o u vostru ISP, avete l'Hijat piè.
O15 - Sughjenu siti in Zona fiducia
Ciò chì pare à stà:
O15 - Zona di cunfidenza: http://free.aol.com
O15 - Zona di cunfidenza: * .coolwebsearch.com
O15 - Zona di confidenciale: * .msn.com
Cosa da fà:
A maiò parte di u tempu solu AOL è Coolwebsearch in silenziu aghjunghjite siti à a Zona di Fiduciante. Se ùn hà micca aghjatu u duminiu catalogatu à a Zona di cunfidenza, avete segnu solu HijackThis rigiutanu.
O16 - Objects ActiveX (aka Programed Scheduled Files)
Ciò chì pare à stà:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Cosa da fà:
Sì ùn avete ricanusciutu u nome di l'ughjettu, o l'URL hè stata scaricatu da, avete Hiddonquale fiscale. Se u nome o URL cuntene i paroli cum'è «dialer», 'casino', 'free_plugin' etc., definisce solu. L'SpywareBlaster di Javacool hà una basa di basa di basa di l'ogetti ActiveX maliciosi chì pò esse utilizati per i sguardi nantu à i CLSID. (Right click in the list to use the Find function).
O17 - Partite da Lop.com
Ciò chì pare à stà:
O17 - HKLM \ System \ CCS \ Servicios \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Servicios \ Tcpip \ Parametri: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonia: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parametri: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Servicios \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Cosa da fà:
Se u duminiu ùn hè micca da a vostra rete di ISP o di a cumpagnia, avete segnu solu HijackThis rigiutanu. U listessu pane per l'entrate 'SearchList'. Per l'intrattenutu "NameServer" ( servers DNS ), Google per l'IP o IP, è serà fàciule per vede s'ellu hè bbonu o dolce.
O18 - Protocoli extra è protuccoli di securità
Ciò chì pare à stà:
O18 - Protocu: ligne rilativi - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Secuestre securità: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Cosa da fà:
Solu solu uni pochi pirate sò affissà quì. I mudelli cunnisciuti sò 'cn' (CommonName), 'ayb' (Lop.com) è 'ligne ligati' (Huntbar), avete bisognu à tè HijackThis riparà quelli. Ogni cosa chì prisentanu sò o micca cunfirmatu bè, o sò indegni (per esempiu, u CLSID hè statu cambiatu) da u spyware. In l'ultimu casu, avete segnu solu HijackThis fix.
O19 - Staghjone di stile di u segatore
Ciò chì pare à stà:
O19 - Staghjettu di stile d'utilizatore: c: \ WINDOWS \ Java \ my.css
Cosa da fà:
In u casu di una ralentivi di u navigatore è popups freti, avete Hijat piiu Questu articulu si prisenta in u ghjurnale. In ogni modu, siccomu un solu tecnulugia di ricerca ùn si pò megliurà a CWShredder per rimpiazzà.
O20 - AppInit_DLLs Scrizzione valuru autorun
Ciò chì pare à stà:
O20 - AppInit_DLLs: msconfd.dll
Cosa da fà:
Questu valore di u Registru chì si trova in HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows carrega un DLL in memoria da quandu l'upertu in u ghjurnale, dopu à quale si mantene in memoria finu à a logofia. Qualchi parte di i programmi legittimi aduprà (Norton CleanSweep utilisasca APITRAP.DLL), a maiò parte di l'usu hè utilizatu da trojans o aggeri di segatori di navigatore.
In casu d 'un'altra dll ocultu di stu valore di registru (solu visibule durante l'usu di l'opere di "Editatu datu binari" in Regedit) u nome dll pò esse prefixed cun una pipe' | '| per fà visibile in u ghjurnale.
O21 - ShellServiceObjectDelayLoad
Ciò chì pare à stà:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Cosa da fà:
Hè un urdunimentu senza documentu autorunamentu, usu nurmale utilizatu da qualchi cumpunenti di u sistema di Windows. L'articuli listinu à HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad sò stampati da l'Explorer quandu Windows accumene. Hijatoghju Stu usa una lista blanca di parechje articuli SSODL assai cumuni, perchè sempre chì un articulu hè indicatu in u ghjurnale ùn hè micca sappuutu è possibbilmente malice. Cusì cun cura estremamente.
O22 - ScaredTaskScheduler
Ciò chì pare à stà:
O22 - ScaredTaskScheduler: (senza nome) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Cosa da fà:
Questu hè un autorunatu pocu documentatu per Windows NT / 2000 / XP solu, chì si usa raramente. Cumpari solu CWS.Smartfinder aduprà. Trattatu cun cura.
O23 - Servizi NT
Ciò chì pare à stà:
O23 - Service: Kerio Firewall Personal (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Firewall Persone \ persfw.exe
Cosa da fà:
Questa hè a lista di servizii non-Microsoft. A lista deve esse u listessu chì u vede in a utilità Msconfig di Windows XP. Parechji abbitanti trojan utilizanu un servitore in casa adittion à l'altri startups per reinstallà. U nomu cumuni sò generalmente impurtante, cum'è «Network Security Service», «Service Station Logon Service» o «Remote Procedure Call Helper», ma u nomu internu (entre parentesi) hè una stringa di basura, com 'Ort'. A seconda parte di a linea hè u pruprietariu di u schedariu à a fine, cum'è vistu in l'immubiliariu di u schedariu.
Avete chì a riparazione di un uttellu O23 ùn pararà solu u serviziu è disattivà. U serviziu deve esse sguassatu da u Registru manwalment o cù altre utillita. In HijackThis 1.99.1 or higher, u buttone 'Delete NT Service' in a seccion Misc Tools se pò utilizà per questu.