Jak analyzovat protokoly HijackThis

SEO analýza svépomocí - ZeptejSeFilipa (43. díl) (Smět 2025)

SEO analýza svépomocí - ZeptejSeFilipa (43. díl) (Smět 2025)

Obsah:

Anonim

HijackThis je bezplatný nástroj od společnosti Trend Micro. Původně byl vyvinut Merijn Bellekom, žákem v Holandsku. Software pro odstraňování spywaru, jako je například Adaware nebo Spybot S & D, dobře odhaluje a odstraňuje většinu programů spyware, ale někteří únosci spywaru a prohlížečů jsou příliš zákeřní i pro tyto skvělé nástroje proti spywaru.

HijackThis je napsán speciálně pro detekci a odstranění únosů prohlížeče nebo software, který přebírá váš webový prohlížeč, mění výchozí domovskou stránku a vyhledávač a další škodlivé věci. Na rozdíl od typického anti-spyware software, HijackThis nepoužívá podpisy ani necílí žádné specifické programy nebo adresy URL, které by je mohly detekovat a zablokovat. Spíše HijackThis hledá triky a metody používané malwarem k infikování vašeho systému a přesměrování vašeho prohlížeče.

Ne všechno, co se objeví v protokolech HijackThis, je špatná věc a neměla by být odstraněna. Ve skutečnosti je to naopak. Je téměř zaručeno, že některé položky vašich protokolů HijackThis budou legitimní software a odstranění těchto položek může mít nepříznivý dopad na váš systém nebo může být zcela nefunkční. Použití programu HijackThis je spousta podobných úprav samotného registru systému Windows. Není to věda o raketách, ale určitě byste to neměli dělat bez nějakého odborného poradenství, pokud skutečně nevíte, co děláte.

Jakmile nainstalujete program HijackThis a spustíte ho tak, abyste generovali soubor protokolu, existuje široká škála fór a webů, kde můžete odesílat nebo nahrát data protokolu. Odborníci, kteří vědí, co hledat, vám pak mohou pomoci analyzovat data protokolu a poradit vám, které položky je třeba odstranit a které z nich nechat.

Chcete-li stáhnout aktuální verzi aplikace HijackThis, můžete navštívit oficiální stránky společnosti Trend Micro.

Zde je přehled položek protokolu HijackThis, které můžete použít k přesunu na požadované informace:

  • R0, R1, R2, R3 - Adresy URL Start / Search stránek Internet Explorer
  • F0, F1 - Autoloading programy
  • N1, N2, N3, N4 - Adresy URL stránek Netscape / Mozilla Start / Vyhledávání
  • O1 - Přesměrování souborů hostitele
  • O2 - Objekty pomocníka prohlížeče
  • O3 - Panely nástrojů aplikace Internet Explorer
  • O4 - Automatické programy z registru
  • O5 - ikona Možnosti IE není zobrazena v Ovládacích panelech
  • O6 - Možnosti přístupu IE omezena administrátorem
  • O7 - Přístup omezený administrátorem
  • O8 - Další položky v nabídce pravého tlačítka IE
  • O9 - Další tlačítka na hlavním panelu nástrojů tlačítka IE nebo další položky v nabídce IE 'Nástroje'
  • O10 - únosce Winsock
  • O11 - Další skupina v okně IE "Rozšířené možnosti"
  • O12 - IE pluginy
  • O13 - IE DefaultPrefix únosu
  • O14 - "Obnovit nastavení webových stránek"
  • O15 - nežádoucí místo v důvěryhodné zóně
  • O16 - Objekty ActiveX (také známé soubory programů)
  • O17 - únosci domény Lop.com
  • O18 - Extra protokoly a únosci protokolů
  • O19 - Hijack uživatelského stylu
  • O20 - AppInit_DLLs Hodnota registru autorun
  • O21 - ShellServiceObjectDelayLoad Klíč registru autorun
  • O22 - SharedTaskScheduler Klíč registru Autorun
  • O23 - služby Windows NT

R0, R1, R2, R3 - stránky IE Start a Search

Jak to vypadá:R0 - HKCU Software Microsoft Internet Explorer Main, stránka Start = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (tento typ zatím HijackThis nepoužívá)R3 - Výchozí URLSearchHook chybí

Co dělat:Pokud poznáte adresu URL na konci jako domovskou stránku nebo vyhledávač, je to v pořádku. Pokud tak neučiníte, zkontrolujte je a nechte ho opravit. Pro položky R3 je vždy opravte, pokud nezmiňuje program, který poznáte, jako je Copernic.

F0, F1, F2, F3 - Autoloading programy z INI souborů

Jak to vypadá:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Co dělat:Položky F0 jsou vždy špatné, takže je opravte. Položky F1 jsou obvykle velmi staré programy, které jsou bezpečné, takže byste měli najít další informace o názvu souboru, abyste zjistili, zda je to dobré nebo špatné. Seznam Pacman Startup může pomoci při identifikaci položky.

N1, N2, N3, N4 - stránka Netscape / Mozilla Start & Search

Jak to vypadá:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings Uživatel Data aplikace Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Uživatel Data aplikace Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Co dělat:Obvykle jsou domovská stránka a vyhledávací stránka Netscape a Mozilla bezpečné. Oni zřídka se unesou, jen Lop.com je známo, že to udělat. Pokud byste viděli adresu URL, kterou nerozpoznáte jako svou domovskou stránku nebo vyhledávací stránku, opravte ji pomocí nástroje HijackThis.

O1 - Přesměrování hostsfile

Jak to vypadá:O1 - Počítače: 216.177.73.139 auto.search.msn.comO1 - Hostitelé: 216.177.73.139 search.netscape.comO1 - Hostitelé: 216.177.73.139 ieautosearchO1 - soubor hostitelů je umístěn v adresáři C: Windows Help hosts

Co dělat:Tento únos přesměruje adresu napravo na adresu IP vlevo.Pokud adresa IP nepatří k adrese, budete přesměrováni na nesprávný web vždy, když zadáte adresu. Vždy můžete mít HijackThis opravit tyto, pokud jste vědomě dal tyto řádky v souboru Hosts.

Poslední položka se někdy vyskytuje v systému Windows 2000 / XP s infekcí Coolwebsearch. Tuto opravu vždy opravte, nebo ji nechte opravit automaticky.

O2 - Objekty pomocníka prohlížeče

Jak to vypadá:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAMOVÉ SOUBORY YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (bez názvu) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAMOVÉ SOUBORY POPUP ELIMINATOR AUTODISPLAY401.DLL (soubor chybí)O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAMOVÉ SOUBORY ZVÝŠENÉ MÉDIA ME1.DLL

Co dělat:Pokud přímo nerozpoznáte název objektu pomocného prohlížeče, použijte seznam BHO a panelu nástrojů TonyK a najděte jej podle ID třídy (CLSID, číslo mezi kolečkovými závorkami) a uvidíte, zda je to dobré nebo špatné. V seznamu BHO znamená "X" spyware a "L" znamená bezpečný.

O3 - IE panely nástrojů

Jak to vypadá: O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAMOVÉ SOUBORY YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Panel nástrojů: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAMOVÉ SOUBORY POPUP ELIMINATOR PETOOLBAR401.DLLO3 - panel nástrojů: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Co dělat:Pokud přímo nerozpoznáváte název panelu nástrojů, použijte seznam BHO a panelu nástrojů TonyK a najděte jej podle ID třídy (CLSID, číslo mezi kolečkovými závorkami) a zjistěte, zda je to dobré nebo špatné. V seznamu panelů nástrojů znamená "X" spyware a "L" znamená bezpečný. Pokud není v seznamu a název se zdá náhodný řetězec znaků a soubor je ve složce "Data aplikace" (jako poslední v příkladech výše), je to pravděpodobně Lop.com a určitě byste měli mít opravu HijackThis to.

O4 - Automatické programy z registru nebo spouštěcí skupiny

Jak to vypadá:O4 - HKLM .. Spustit: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Spustit: SystemTray SysTray.ExeO4 - HKLM .. Spustit: ccApp "C: Program Files Společné soubory Symantec Shared ccApp.exe"O4 - Uvedení do provozu: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Globální spuštění: winlogon.exe

Co dělat:Použijte seznam spouštění programu PacMan, abyste našli záznam a zjistili, zda je dobrý nebo špatný.

Pokud položka zobrazuje program sedící ve skupině Startup (jako poslední položka výše), HijackThis nemůže tuto položku opravit, pokud je tento program stále v paměti. Pomocí Správce úloh systému Windows (TASKMGR.EXE) ukončete proces před opravou.

O5 - Možnosti IE, které nejsou zobrazeny v Ovládacích panelech

Jak to vypadá: O5 - control.ini: inetcpl.cpl = ne

Co dělat:Pokud jste vy nebo váš správce systému vědomě skryli ikonu z Ovládacího panelu, opravte jej HijackThis.

O6 - Možnosti přístupu IE omezena administrátorem

Jak to vypadá:O6 - Součást HKCU Software Policies Microsoft Internet Explorer Restrictions

Co dělat:Pokud nebudete mít možnost Spybot S & D "aktivní z domova zámku z aktivních změn" nebo správce systému uvedete na své místo, opravte tuto chybu HijackThis.

O7 - Přístup omezený administrátorem

Jak to vypadá:O7 - HKCU Software Microsoft Windows CurrentVersion Policies systém, DisableRegedit = 1

Co dělat:HijackThis to vždy opravte, pokud správce systému toto omezení neuložil.

O8 - Další položky v nabídce pravého tlačítka IE

Jak to vypadá: O8 - Extra kontextová nabídka: & Vyhledávání Google - res: // C: WINDOWS SOUBORY SOUBORU DOWNLOADED GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Extra kontextové menu: Yahoo! Vyhledávání - soubor: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Extra kontextová nabídka: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Extra kontextová nabídka: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Co dělat:Pokud nepoznáte název položky v nabídce pravého tlačítka myši v aplikaci IE, opravte jej.

O9 - Další tlačítka na hlavním panelu nástrojů IE nebo další položky v nabídce IE 'Nástroje'

Jak to vypadá: O9 - tlačítko Extra: Messenger (HKLM)O9 - Extra 'Nástroje' menuitem: Messenger (HKLM)O9 - tlačítko Extra: AIM (HKLM)

Co dělat:Pokud nepoznáte název tlačítka nebo položky nabídky, opravte ho.

O10 - únosci Winsock

Jak to vypadá: O10 - Uniklým přístupem k Internetu prostřednictvím sítě New.NetO10 - Zlomený přístup k Internetu kvůli chybějícímu poskytovateli LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll'O10 - neznámý soubor ve Winsocku LSP: c: program files newton knows vmain.dll

Co dělat:Nejlepší je opravit pomocí LSPFix z Cexx.org nebo Spybot S & D od Kolla.de.

Všimněte si, že "neznámé" soubory v zásobníku LSP nebudou HijackThis opraveny, pokud jde o bezpečnostní problémy.

O11 - Další skupina v okně IE "Rozšířené možnosti"

Jak to vypadá: O11 - Skupina možností: CommonName CommonName

Co dělat:Jediným únoscem, který nyní přidá svou vlastní skupinu voleb do okna IE Advanced Options, je CommonName. Takže můžete vždy mít HijackThis to opravit.

O12 - IE pluginy

Jak to vypadá: O12 - Plugin pro .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin pro .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Co dělat:Většinou jsou to bezpečné. Pouze OnFlow přidává plugin, který nechcete (.ofb).

O13 - IE DefaultPrefix únosu

Jak to vypadá: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - předpona WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Předpona: http://ehttp.cc/?

Co dělat:Ty jsou vždy špatné. HijackThis je opravit.

O14 - "Obnovit nastavení webových stránek"

Jak to vypadá: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Co dělat:Není-li adresa URL poskytovatelem vašeho počítače nebo poskytovatelem internetových služeb, opravte ho pomocí nástroje HijackThis.

O15 - nežádoucí stránky v důvěryhodné zóně

Jak to vypadá: O15 - důvěryhodná zóna: http://free.aol.comO15 - důvěryhodná zóna: * .coolwebsearch.comO15 - důvěryhodná zóna: * .msn.com

Co dělat:Většinou pouze AOL a Coolwebsearch tiše přidávají do Důvěryhodné zóny stránky. Pokud jste do domény Důvěryhodná doména nepřičetli tuto doménu, musíte ji opravit pomocí nástroje HijackThis.

O16 - Objekty ActiveX (také známé soubory programů)

Jak to vypadá: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Objekt Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Co dělat:Pokud nerozpoznáte název objektu nebo adresu URL, ze které byla stažena, opravte ho. Pokud název nebo adresa URL obsahuje slova jako "dialer", "casino", "free_plugin" atd., Rozhodně to opravte. SpywareBlaster společnosti Javacool má obrovskou databázi škodlivých objektů ActiveX, které lze použít pro prohlížení CLSID. (Klepnutím pravým tlačítkem myši na seznam použijte funkci Hledat.)

O17 - únosy domény Lop.com

Jak to vypadá: O17 - HKLM Systém CCS Služby VxD MSTCP: Doména = aoldsl.netO17 - HKLM Systém CCS Služby Tcpip Parametry: Domain = W21944.find-quick.comO17 - HKLM Software .. Telefonie: DomainName = W21944.find-quick.comO17 - HKLM Systém CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Doména = W21944.find-quick.comO17 - HKLM Systém CS1 Služby Tcpip Parametry: SearchList = gla.ac.ukO17 - HKLM System CS1 služby VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Co dělat:Pokud doména není z vaší ISP nebo firemní sítě, opravte ji pomocí HijackThis. Totéž platí pro položky "SearchList". Pro položky "NameServer" (servery DNS), Google pro IP nebo IP a bude snadné zjistit, zda jsou dobré nebo špatné.

O18 - Extra protokoly a únosci protokolů

Jak to vypadá: O18 - Protokol: související odkazy - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Hijack protokolu: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Co dělat:Jen pár únosců se zde objeví. Známí baddiové jsou 'cn' (CommonName), 'ayb' (Lop.com) a 'relatedlinks' (Huntbar), měli byste mít HijackThis opravit ty. Další věci, které se objeví, buď nejsou potvrzeny v bezpečí, nebo jsou uneseny (tj. CLSID byly změněny) spywarem. V posledním případě jej opravte HijackThis.

O19 - Hijack uživatelského stylu

Jak to vypadá: O19 - uživatelský styl stylu: c: WINDOWS Java my.css

Co dělat:V případě zpomalení prohlížeče a častých vyskakovacích oken, nechte HijackThis tuto položku opravit, pokud se objeví v protokolu. Nicméně, jelikož to dělá pouze Coolwebsearch, je lepší použít CWShredder k opravě.

O20 - AppInit_DLLs Hodnota registru autorun

Jak to vypadá: O20 - AppInit_DLLs: msconfd.dll

Co dělat:Tato hodnota registru umístěná na serveru HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows načte DLL do paměti, když se uživatel přihlásí a poté zůstane v paměti až do odhlášení. Velmi málo legitimních programů to používá (Norton CleanSweep používá APITRAP.DLL), nejčastěji je používán trojskými koněmi nebo agresivními únosci prohlížečů.

V případě "skrytého" načtení DLL z této hodnoty registru (viditelné pouze při použití možnosti "Upravit binární data" v registru Regedit) může být název DLL předponován potrubím '|' aby byl v protokolu viditelný.

O21 - ShellServiceObjectDelayLoad

Jak to vypadá: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System Auhook.dll

Co dělat:Jedná se o neregistrovanou autorunovou metodu, běžně používanou několika komponentami systému Windows. Položky uvedené na HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad jsou načteny aplikací Explorer při spuštění systému Windows. HijackThis používá whitelist několika velmi běžných položek SSODL, takže kdykoli je položka zobrazena v protokolu, je neznámá a možná škodlivá. Vyvarujte se extrémní péče.

O22 - SharedTaskScheduler

Jak to vypadá: O22 - SharedTaskScheduler: (bez názvu) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Co dělat:Jedná se o neregistrovaný autorun pro systém Windows NT / 2000 / XP, který se používá velmi vzácně. Zatím používá pouze CWS.Smartfinder. Léčte opatrně.

O23 - služby NT

Jak to vypadá: O23 - Služba: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Co dělat:Toto je seznam služeb jiných společností než Microsoft.Seznam by měl být stejný jako ten, který vidíte v nástroji Msconfig systému Windows XP. Někteří únosci trojských koní používají domácí službu, která se přidává k dalším začínajícím uživatelům, aby se znovu nainstalovali. Celé jméno je obvykle důležité, jako je například služba Network Security Service nebo Workstation Logon Service nebo Remote Remote Call Helper, ale interní název (mezi závorkami) je řetězec odpadků, jako je 'Ort'. Druhá část řádku je vlastníkem souboru na konci, jak je vidět ve vlastnostech souboru.

Upozorňujeme, že při opravě položky O23 služba zastavíte a deaktivujete. Služba musí být z registru odstraněna ručně nebo jiným nástrojem. V programu HijackThis 1.99.1 nebo novější je pro toto možné použít tlačítko "Delete NT Service" v sekci Různé nástroje.

Jak analyzovat soubory XML ve formátu Xcode

Jak analyzovat soubory XML ve formátu Xcode

Společný úkol analyzovat soubory RSS nebo XML je snadný v tomto podrobném tutoriálu Cíl-C, který vám ukáže, jak to udělat.

Jak zpřístupnit protokoly chatu služby Google Hangouts v Gmailu

Jak zpřístupnit protokoly chatu služby Google Hangouts v Gmailu

Je snadné se podívat na předchozí diskusi v chatu Google. V Gmailu můžete zapnout službu Google Hangouts a číst a odesílat zprávy z postranního panelu.

Analyzovat pravost webových stránek Recenze

Analyzovat pravost webových stránek Recenze

Jak opravdu zjistíte pravost web hosting recenze webu? Zde je způsob, jak zjistit, komu důvěřovat.

Redakce Choice