Jak analizować HijackThis Logi

jak usunąć wirusy ? HijackThis (Czerwiec 2026)

jak usunąć wirusy ? HijackThis (Czerwiec 2026)

:

Anonim

HijackThis jest darmowym narzędziem od Trend Micro. Pierwotnie został opracowany przez Merijn Bellekom, studenta w Holandii. Programy do usuwania programów szpiegujących, takie jak Adaware lub Spybot S & D, dobrze radzą sobie z wykrywaniem i usuwaniem większości programów szpiegowskich, ale niektóre programy szpiegujące i przejmujące kontrolę nad przeglądarkami są zbyt podstępne, nawet w przypadku tych wspaniałych narzędzi antyspyware.

HijackThis jest napisany specjalnie w celu wykrycia i usunięcia przejęć przeglądarki lub oprogramowania, które przejmuje przeglądarkę, zmienia domyślną stronę główną i wyszukiwarkę oraz inne złośliwe rzeczy. W przeciwieństwie do typowego oprogramowania antyszpiegowskiego, HijackThis nie wykorzystuje sygnatur ani nie kieruje żadnych programów lub adresów URL do wykrywania i blokowania. Zamiast tego, HijackThis szuka sztuczek i metod wykorzystywanych przez złośliwe oprogramowanie do infekowania systemu i przekierowania przeglądarki.

Nie wszystko, co pojawia się w dziennikach HijackThis, jest złym materiałem i nie wszystkie powinny zostać usunięte. W rzeczywistości, wręcz przeciwnie. Jest prawie pewne, że niektóre elementy w dziennikach programu HijackThis będą legalnym oprogramowaniem, a usunięcie tych elementów może mieć negatywny wpływ na system lub uniemożliwić jego całkowite wyłączenie. Korzystanie z programu HijackThis przypomina samodzielną edycję rejestru systemu Windows. To nie jest nauka rakietowa, ale zdecydowanie nie należy tego robić bez fachowego doradztwa, chyba że naprawdę wiesz, co robisz.

Po zainstalowaniu programu HijackThis i uruchomieniu go w celu wygenerowania pliku dziennika, istnieje wiele forów i witryn, na których można publikować lub przesyłać dane dziennika. Eksperci, którzy wiedzą, czego szukać, mogą następnie pomóc w analizie danych dziennika i doradzić, które przedmioty usunąć, a które zostawić w spokoju.

Aby pobrać aktualną wersję HijackThis, odwiedź oficjalną stronę firmy Trend Micro.

Oto przegląd wpisów dziennika HijackThis, za pomocą których można przejść do informacji, których szukasz:

  • R0, R1, R2, R3 - Internet Explorer Rozpocznij / Wyszukaj adresy URL
  • F0, F1 - Programy do automatycznego ładowania
  • N1, N2, N3, N4 - Netscape / Mozilla Start / Wyszukaj adresy URL
  • O1 - Przekierowanie pliku hosta
  • O2 - Obiekty pomocnika przeglądarki
  • O3 - paski narzędzi przeglądarki Internet Explorer
  • O4 - Automatyczne ładowanie programów z rejestru
  • O5 - Ikona Opcje IE nie jest widoczna w Panelu sterowania
  • O6 - Dostęp do Opcji IE ograniczony przez administratora
  • O7 - dostęp regedit jest ograniczony przez administratora
  • O8 - Dodatkowe elementy w menu IE z prawym przyciskiem myszy
  • O9 - Dodatkowe przyciski na głównym pasku narzędzi przycisku IE lub dodatkowe elementy w menu "Narzędzia" IE
  • O10 - porywacz Winsock
  • O11 - Dodatkowa grupa w oknie IE "Opcje zaawansowane"
  • O12 - wtyczki IE
  • O13 - porwanie IE DefaultPrefix
  • O14 - Hijack "Resetuj ustawienia sieci Web"
  • O15 - Niepożądana strona w zaufanej strefie
  • O16 - Obiekty ActiveX (aka Downloaded Program Files)
  • O17 - porywacze domeny Lop.com
  • O18 - Dodatkowe protokoły i porywacze protokołów
  • O19 - przejęcie arkusza stylów użytkownika
  • O20 - Autoryzacja wartości rejestru AppInit_DLLs
  • O21 - Autoryzacja klucza rejestru ShellServiceObjectDelayLoad
  • O22 - Autoryzacja klucza rejestru SharedTaskScheduler
  • O23 - Usługi Windows NT

R0, R1, R2, R3 - strony IE Start i Search

Jak to wygląda:R0 - HKCU Software Microsoft Internet Explorer Main, Strona początkowa = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (tego typu nie używa jeszcze HijackThis)R3 - Brak domyślnego adresu URLSearchHook

Co robić:Jeśli rozpoznasz URL na końcu jako swoją stronę główną lub wyszukiwarkę, jest OK. Jeśli tego nie zrobisz, sprawdź to i napraw HijackThis. W przypadku elementów R3 zawsze je naprawiaj, chyba że wspomina się o programie, który rozpoznasz, np. Copernic.

F0, F1, F2, F3 - Automatyczne ładowanie programów z plików INI

Jak to wygląda:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Co robić:Pozycje F0 są zawsze złe, więc napraw je. Pozycje F1 są zwykle bardzo starymi programami, które są bezpieczne, więc powinieneś znaleźć więcej informacji na temat nazwy pliku, aby sprawdzić, czy jest dobry czy zły. Lista startowa Pacmana może pomóc w zidentyfikowaniu przedmiotu.

N1, N2, N3, N4 - Strona startowa i wyszukiwarka Netscape / Mozilla

Jak to wygląda:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Co robić:Zwykle strona główna i strona wyszukiwania Netscape i Mozilli są bezpieczne. Rzadko się porywają, tylko Lop.com jest znany z tego. Jeśli widzisz adres URL, którego nie rozpoznajesz jako stronę główną lub stronę wyszukiwania, popraw HijackThis.

O1 - przekierowania hostsfile

Jak to wygląda:O1 - Hosty: 216.177.73.139 auto.search.msn.comO1 - Hosty: 216.177.73.139 search.netscape.comO1 - Gospodarze: 216.177.73.139 ieautosearchO1 - Plik hosts znajduje się w C: Windows Help hosts

Co robić:Ten hijack przekieruje adres z prawej strony na adres IP po lewej stronie.Jeśli adres IP nie należy do adresu, za każdym razem, gdy wprowadzisz adres, zostaniesz przekierowany do niewłaściwej strony. Zawsze możesz naprawić błędy HijackThis, chyba że świadomie umieścisz te linie w pliku Hosts.

Ostatni element czasami pojawia się w Windows 2000 / XP z infekcją Coolwebsearch. Zawsze naprawiaj ten element lub CWShredder napraw go automatycznie.

O2 - Obiekty pomocnika przeglądarki

Jak to wygląda:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (bez nazwy) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (brak pliku)O2 - BHO: ulepszony MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PLIKI PROGRAMOWE MEDIALOADS ENHANCED ME1.DLL

Co robić:Jeśli nie rozpoznajesz bezpośrednio nazwy obiektu pomocnika przeglądarki, użyj listy BHO i paska narzędzi TonyK, aby znaleźć ją według ID klasy (CLSID, liczba między nawiasami klamrowymi) i sprawdź, czy jest dobra czy zła. Na liście BHO "X" oznacza oprogramowanie szpiegujące, a "L" oznacza bezpieczny.

O3 - paski narzędzi IE

Jak to wygląda: O3 - Pasek narzędzi: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Pasek narzędzi: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (brak pliku)O3 - Pasek narzędzi: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS DANE APLIKACYJNE CKSTPRLLNQUL.DLL

Co robić:Jeśli nie rozpoznajesz bezpośrednio nazwy paska narzędzi, użyj listy BHO i paska narzędzi TonyK, aby znaleźć ją według ID klasy (CLSID, liczba między nawiasami klamrowymi) i sprawdź, czy jest dobra czy zła. Na liście pasków narzędzi "X" oznacza oprogramowanie szpiegujące, a "L" oznacza bezpieczny. Jeśli nie ma go na liście, a nazwa wydaje się losowym ciągiem znaków, a plik znajduje się w folderze "Dane aplikacji" (takim jak ostatni z powyższych przykładów), prawdopodobnie jest to Lop.com, a na pewno powinieneś mieć naprawę HijackThis to.

O4 - Automatyczne ładowanie programów z rejestru lub grupy startowej

Jak to wygląda:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - Uruchomienie: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Global Startup: winlogon.exe

Co robić:Użyj listy startowej PacMan, aby znaleźć wpis i sprawdzić, czy jest dobry czy zły.

Jeśli pozycja pokazuje program siedzący w grupie startowej (jak ostatni element powyżej), HijackThis nie może naprawić elementu, jeśli ten program jest nadal w pamięci. Użyj Menedżera zadań systemu Windows (TASKMGR.EXE), aby zamknąć proces przed naprawieniem.

O5 - Opcje IE nie są widoczne w Panelu sterowania

Jak to wygląda: O5 - control.ini: inetcpl.cpl = no

Co robić:Chyba że Ty lub administrator systemu świadomie ukryliście ikonę w Panelu sterowania, niech HijackThis to naprawi.

O6 - Dostęp do Opcji IE ograniczony przez administratora

Jak to wygląda:O6 - HKCU Software Policies Microsoft Internet Explorer Ograniczenia obecne

Co robić:Jeśli nie masz włączonej opcji Spybot S & D "Zablokuj stronę główną z zmian", lub administrator systemu umieścił to na swoim miejscu, napraw to w HijackThis.

O7 - dostęp regedit jest ograniczony przez administratora

Jak to wygląda:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Co robić:Zawsze naprawiaj to HijackThis, chyba że administrator systemu umieścił to ograniczenie na swoim miejscu.

O8 - Dodatkowe elementy w menu IE z prawym przyciskiem myszy

Jak to wygląda: O8 - dodatkowy element menu kontekstowego: & Google Search - res: // C: WINDOWS DOWNLOADED PLIKI PROGRAMÓW GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Dodatkowy element menu kontekstowego: Yahoo! Szukaj - file: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Dodatkowy element menu kontekstowego: Zoom i In - C: WINDOWS WEB zoomin.htmO8 - Dodatkowy element menu kontekstowego: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Co robić:Jeśli nie rozpoznajesz nazwy elementu w menu podręcznym po prawej stronie IE, poproś o to HijackThis.

O9 - Dodatkowe przyciski na głównym pasku narzędzi IE lub dodatkowe elementy w menu "Narzędzia" IE

Jak to wygląda: O9 - Dodatkowy przycisk: Messenger (HKLM)O9 - menu dodatkowe "Narzędzia": Messenger (HKLM)O9 - Dodatkowy przycisk: AIM (HKLM)

Co robić:Jeśli nie rozpoznajesz nazwy przycisku lub pozycji menu, poproś o to HijackThis.

O10 - porywacze Winsock

Jak to wygląda: O10 - Przejęcie dostępu do Internetu przez New.NetO10 - Uszkodzony dostęp do Internetu z powodu braku dostawcy usługi LSP "c: progra ~ 1 common ~ 2 toolbar cnmib.dll"O10 - Nieznany plik w Winsock LSP: c: program files newton knows vmain.dll

Co robić:Najlepiej to naprawić za pomocą LSPFix z Cexx.org lub Spybot S & D z Kolla.de.

Zauważ, że "nieznane" pliki w stosie LSP nie zostaną naprawione przez HijackThis ze względów bezpieczeństwa.

O11 - Dodatkowa grupa w oknie IE "Opcje zaawansowane"

Jak to wygląda: O11 - Grupa opcji: CommonName CommonName

Co robić:Jedynym porywaczem od teraz, który dodaje własną grupę opcji do okna Opcje zaawansowane IE jest CommonName. Więc zawsze możesz naprawić to HijackThis.

O12 - wtyczki IE

Jak to wygląda: O12 - Wtyczka dla .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Wtyczka do .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Co robić:Przez większość czasu są one bezpieczne. Tylko OnFlow dodaje tutaj wtyczkę, której nie chcesz (.ofb).

O13 - porwanie IE DefaultPrefix

Jak to wygląda: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Prefiks WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Prefiks: http://ehttp.cc/?

Co robić:Te są zawsze złe. Niech HijackThis je naprawi.

O14 - Hijack "Resetuj ustawienia sieci Web"

Jak to wygląda: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Co robić:Jeśli adres URL nie jest dostawcą Twojego komputera lub usługodawcy internetowego, poproś go o naprawę HijackThis.

O15 - Niepożądane witryny w zaufanej strefie

Jak to wygląda: O15 - Strefa zaufana: http://free.aol.comO15 - Strefa zaufana: * .coolwebsearch.comO15 - Strefa zaufana: * .msn.com

Co robić:Przez większość czasu tylko AOL i Coolwebsearch po cichu dodają witryny do Strefy zaufanej. Jeśli nie dodałeś wymienionej domeny do Strefy zaufanej samodzielnie, poproś HijackThis o poprawienie tej opcji.

O16 - Obiekty ActiveX (aka Downloaded Program Files)

Jak to wygląda: O16 - DPF: Yahoo! Czat - http://pl.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Co robić:Jeśli nie rozpoznajesz nazwy obiektu lub adresu URL, z którego został pobrany, pobierz go HijackThis. Jeśli nazwa lub adres URL zawiera słowa takie jak "dialer", "casino", "free_plugin" itp., Zdecydowanie go napraw. SpywareBlaster Javacool ma ogromną bazę szkodliwych obiektów ActiveX, które można wykorzystać do wyszukiwania identyfikatorów CLSID. (Kliknij prawym przyciskiem listę, aby użyć funkcji Znajdź).

O17 - przejmowanie domeny Lop.com

Jak to wygląda: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telefonia: nazwa_domeny = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domena = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Co robić:Jeśli domena nie pochodzi od twojego dostawcy ISP lub sieci firmowej, poproś o to HijackThis. To samo dotyczy wpisów "SearchList". Dla wpisów "NameServer" (serwerów DNS), Google dla IP lub adresów IP i będzie łatwo zobaczyć, czy są dobre czy złe.

O18 - Dodatkowe protokoły i porywacze protokołów

Jak to wygląda: O18 - Protokół: powiązane linki - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokół: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Hijack protokołu: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Co robić:Pojawia się tu tylko kilku porywaczy. Znane zło to "cn" (CommonName), "ayb" (Lop.com) i "powiązane linki" (Huntbar), powinieneś mieć HijackThis naprawić te. Inne rzeczy, które się pojawiają, albo nie są jeszcze bezpieczne, albo zostały przejęte (np. CLSID został zmieniony) przez oprogramowanie szpiegujące. W tym ostatnim przypadku, napraw go HijackThis.

O19 - przejęcie arkusza stylów użytkownika

Jak to wygląda: O19 - arkusz stylów użytkownika: c: WINDOWS Java my.css

Co robić:W przypadku spowolnienia działania przeglądarki i częstych wyskakujących okienek, napraw HijackThis ten element, jeśli pojawi się w dzienniku. Jednak ponieważ tylko Coolwebsearch to robi, lepiej jest użyć CWShredder, aby to naprawić.

O20 - Autoryzacja wartości rejestru AppInit_DLLs

Jak to wygląda: O20 - AppInit_DLLs: msconfd.dll

Co robić:Ta wartość rejestru znajdująca się na HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows ładuje bibliotekę DLL do pamięci, gdy użytkownik się loguje, po czym pozostaje w pamięci do czasu wylogowania. Używa go bardzo mało prawowitych programów (Norton CleanSweep używa APITRAP.DLL), najczęściej jest używany przez trojany lub agresywnych porywaczy przeglądarki.

W przypadku "ukrytego" ładowania DLL z tej wartości rejestru (widoczne tylko przy użyciu opcji "Edycja danych binarnych" w Regedit) nazwa dll może być poprzedzona prefiksem "|" aby był widoczny w dzienniku.

O21 - ShellServiceObjectDelayLoad

Jak to wygląda: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Co robić:Jest to nieudokumentowana metoda autorun, zwykle używana przez kilka składników systemu Windows. Elementy wymienione na HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad są ładowane przez Eksploratora podczas uruchamiania systemu Windows. HijackThis używa białej listy kilku bardzo popularnych elementów SSODL, więc gdy element jest wyświetlany w logu, jest nieznany i prawdopodobnie złośliwy. Traktuj z największą ostrożnością.

O22 - SharedTaskScheduler

Jak to wygląda: O22 - SharedTaskScheduler: (bez nazwy) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Co robić:Jest to nieudokumentowane autorun dla systemu Windows NT / 2000 / XP, który jest używany bardzo rzadko. Do tej pory używa go tylko CWS.Smartfinder. Traktuj ostrożnie.

O23 - NT Services

Jak to wygląda: O23 - Usługa: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Co robić:Oto lista usług innych niż Microsoft.Lista powinna być taka sama jak w narzędziu Msconfig systemu Windows XP. Kilku trojanów hakerów używa domowej roboty w celu dostosowania do innych startupów, aby ponownie zainstalować. Pełna nazwa jest zwykle ważna, np. "Usługa bezpieczeństwa sieciowego", "Usługa logowania do stacji roboczej" lub "Pomocnik zdalnego wezwania do wykonania procedury", ale nazwa wewnętrzna (w nawiasie) to ciąg śmieci, np. "Ort". Druga część linii jest właścicielem pliku na końcu, jak widać we właściwościach pliku.

Pamiętaj, że usunięcie elementu O23 spowoduje zatrzymanie usługi i wyłączenie jej. Usługa musi zostać usunięta z Rejestru ręcznie lub za pomocą innego narzędzia. W HijackThis 1.99.1 lub nowszym można użyć do tego przycisku "Usuń usługę NT" w sekcji Różne narzędzia.

Jak zainstalowane oprogramowanie na nowych komputerach może być zarówno dobre, jak i złe

Jak zainstalowane oprogramowanie na nowych komputerach może być zarówno dobre, jak i złe

Tutaj badamy trendy, zarówno dobre, jak i złe, z oprogramowaniem zainstalowanym na nowym laptopie i komputerach stacjonarnych od eksperta PC Review w About.com.

Foldery poczty e-mail programu Outlook: jak sortować tak, jak chcesz

Foldery poczty e-mail programu Outlook: jak sortować tak, jak chcesz

Czy kiedykolwiek chciałeś, aby najważniejszy folder był na górze listy w Outlooku, a nie ten, który został nazwany?

Jak przestać analizować swoją rozmowę o pracę - muza

Jak przestać analizować swoją rozmowę o pracę - muza

Im więcej o tym myślisz, tym gorzej.

Wybór Redakcji