Com analitzar els registres d'HijackThis

Interpretar dades de registre per ajudar a eliminar els spyware i els navegadors del navegador

HijackThis és una eina gratuïta de Trend Micro. Va ser originalment desenvolupat per Merijn Bellekom, estudiant a Holanda. El programari d'eliminació de programari espia, com ara Adaware o Spybot S & D, fa un bon treball de detecció i eliminació de la majoria de programes espia, però alguns pirates informàtics i spyware són massa insidiosos per a aquestes grans utilitats anti-spyware.

HijackThis s'escriu específicament per detectar i eliminar els segrestadors del navegador, o el programari que es fa càrrec del vostre navegador web, altera la vostra pàgina d'inici predeterminada i el motor de cerca i altres coses malicioses. A diferència del programari anti-spyware típic, HijackThis no utilitza signatures ni s'orienta cap programa específic o URL per detectar i bloquejar. Més aviat, HijackThis busca els trucs i mètodes utilitzats per malware per infectar el vostre sistema i redirigir el navegador.

No tot el que es mostra en els registres HijackThis és una cosa dolenta i no s'ha de treure tot. De fet, tot el contrari. Gairebé es garanteix que alguns dels elements dels vostres registres HijackThis seran legítims i l'eliminació d'aquests elements pot afectar negativament el vostre sistema o fer-lo completament inoperant. Usant HijackThis és molt similar a editar el Registre de Windows vostè mateix. No és una ciència de coets, però definitivament no hauríeu de fer-ho sense cap guia d'experts, tret que realment sàpiguen què feu.

Una vegada que instal·leu HijackThis i executeu-lo per generar un fitxer de registre, hi ha una àmplia varietat de fòrums i llocs on podeu publicar o carregar les vostres dades de registre. Els experts que saben què cercar poden ajudar-vos a analitzar les dades de registre i us informaran sobre quins elements eliminar i quins deixen en solitari.

Per descarregar la versió actual d'HijackThis, podeu visitar el lloc oficial a Trend Micro.

Aquí teniu un resum de les entrades de registre HijackThis que podeu utilitzar per saltar a la informació que cerqueu:

• R0, R1, R2, R3 - URL d'inici / cerca d'Internet Explorer
• F0, F1 - Programes d'autoimpressió
• N1, N2, N3, N4 - Netscape / Mozilla Inici / Cerca pàgines URL
• O1 - Redirecció d'arxius hosts
• O2 - Objectes d'ajuda del navegador
• O3 - Barres d'eines d'Internet Explorer
• O4 - Programes d'autoimpressió del Registre
• O5: la icona d'opcions d'IE no visible al Tauler de control
• O6 - Accés a Opcions d'IE restringit per l'administrador
• O7 - Accés regedit restringit per l'administrador
• O8 - Elements extres en el menú contextual de IE
• O9: botons addicionals a la barra d'eines principal del botó IE, o elements addicionals al menú Eines "Eines"
• O10 - El secuestrador de Winsock
• O11 - Grup extra a la finestra d'Opcions avançades d'IE
• O12 - Complements IE
• O13 - Segrest secció predeterminada IE
• O14 - "Restablir configuració web" segrestat
• O15: lloc no desitjat a la zona de confiança
• O16 - Objectes ActiveX (també coneguts com a fitxers de programes descarregats)
• O17 - segrestadors del domini de Lop.com
• O18 - Protocols addicionals i segrestadors de protocol
• O19 - Segrest del full d'estil d'usuari
• O20 - AppInit_DLLs Valor de registre autorun
• O21 - ShellServiceObjectDelayLoad clau de registre autorun
• O22 - SharedTaskScheduler Registre clau autorun

• O23 - Serveis de Windows NT

R0, R1, R2, R3 - Pàgines d'inici i de cerca de IE

El que sembla:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Pàgina d'inici = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (aquest tipus no és utilitzat per HijackThis encara)
R3 - Falta URLSearchHook per defecte

Què fer:
Si reconeixes l'URL al final com a pàgina d'inici o motor de cerca, està bé. Si no ho feu, marqueu-lo i tingui HijackThis arreglar-ho. Per als elements R3, fixeu-los sempre que no mencioni un programa que reconeguis, com Copernic.

F0, F1, F2, F3 - Programes d'autoimpressió d'arxius INI

El que sembla:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Què fer:
Els elements F0 sempre són dolents, així que corregiu-los. Els elements F1 solen ser programes molt antics que són segurs, de manera que hauríeu de trobar més informació sobre el nom del fitxer per veure si és bo o dolent. La llista d'inici de Pacman pot ajudar a identificar un element.

N1, N2, N3, N4 - Netscape / Mozilla Inici & amp; Pàgina de cerca

El que sembla:
N1 - Netscape 4: usuari_pref "browser.startup.homepage", "www.google.com"); (C: \ Archivos de programa \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Què fer:
En general, la pàgina d'inici de Netscape i Mozilla i la pàgina de cerca són segurs. Ells rarament són segrestats, solament Lop.com s'ha sabut fer això. Si veieu una URL que no reconegui com a pàgina d'inici o pàgina de cerca, HijackThis la soluciona.

O1 - Redireccions del fitxer hosts

El que sembla:
O1 - Ordinadors: 216.177.73.139 auto.search.msn.com
O1 - Ordinadors: 216.177.73.139 search.netscape.com
O1 - Ordinadors: 216.177.73.139 ieautosearch
O1: el fitxer Hosts es troba a C: \ Windows \ Help \ hosts

Què fer:
Aquest segrest redirigirà l'adreça a la dreta a l'adreça IP a l'esquerra. Si la IP no pertany a l'adreça, se us redirigirà a un lloc incorrecte cada vegada que introduïu l'adreça. Sempre podeu tenir HijackThis arreglar-los, tret que poseu aquestes línies de manera conscient al vostre fitxer Hosts.

L'últim element de vegades es produeix a Windows 2000 / XP amb una infecció de Coolwebsearch. Fixeu sempre aquest element, o bé CWShredder la repareu automàticament.

O2 - Objectes d'ajuda del navegador

El que sembla:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ FILES PROGRAMA \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (sense nom) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ FILES PROGRAMA \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (falta d'arxiu)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAMES FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Què fer:
Si no reconeixeu directament un nom de l'Objecte d'Ajuda del navegador, utilitzeu la llista de barra d'eines BHO i de TonyK de TonyK per trobar-lo amb l'identificador de classe (CLSID, el nombre entre claudàtors) i veure si és bo o dolent. A la llista BHO, 'X' significa programari espia i 'L' significa segur.

O3 - Barres d'eines IE

El que sembla:
O3 - Barra d'eines: & Yahoo! Companion - (EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ FILES PROGRAMA \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Barra d'eines: eliminador d'elements emergents: (86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ FILES PROGRAMA \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (falta d'arxiu)
O3 - Barra d'eines: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA D'APLICACIÓ \ CKSTPRLLNQUL.DLL

Què fer:
Si no reconeixeu directament el nom d'una barra d'eines, utilitzeu la llista de barres d'eines BHO i de TonyK per trobar-lo amb l'identificador de classe (CLSID, el nombre entre claudàtors) i veure si és bo o dolent. A la llista de la barra d'eines, 'X' significa programari espia i 'L' significa segur. Si no és a la llista i el nom sembla una cadena aleatòria de caràcters i el fitxer es troba a la carpeta "Dades de l'aplicació" (com l'últim dels exemples anteriors), probablement sigui Lop.com, i definitivament hauríeu de tenir una correcció HijackThis ho.

O4 - Programes d'autoimpressió del grup Registre o inici

El que sembla:
O4 - HKLM \ .. \ Executa: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Executa: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Executa: [ccApp] "C: \ Archivos de programa \ Arxius comuns \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Archivos de programa \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Què fer:
Utilitzeu la llista d'inici de PacMan per trobar l'entrada i veure si és bo o dolent.

Si l'element mostra un programa assegut en un grup d'inici (com l'últim element anterior), HijackThis no pot arreglar l'element si aquest programa encara està en memòria. Utilitzeu l'Administrador de tasques de Windows (TASKMGR.EXE) per tancar el procés abans de solucionar-lo.

O5 - Opcions d'IE no visibles al Tauler de control

El que sembla:
O5 - control.ini: inetcpl.cpl = no

Què fer:
A menys que vostè o l'administrador del sistema haguessin ocults conscientment la icona del Tauler de control, HijackThis la solucioni.

O6 - Accés a Opcions d'IE restringit per l'administrador

El que sembla:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restriccions presents

Què fer:
A menys que tingueu l'opció Spybot S & D "Bloqueja la pàgina d'inici dels canvis", o l'administrador del sistema ho posi al lloc, teniu HijackThis soluciona això.

O7 - Accés regedit restringit per l'administrador

El que sembla:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Què fer:
Sempre teniu HijackThis soluciona això, tret que l'administrador del sistema hagi posat aquesta restricció al vostre lloc.

O8 - Elements extres en el menú contextual de IE

El que sembla:
O8 - Element del menú contextual addicional: & Google Search - res: // C: \ WINDOWS \ PROGRAMES DESCÀRREGUATS FIL \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Element del menú contextual addicional: Yahoo! Search - file: /// C: \ Archivos de programa \ Yahoo! \ Common / ycsrch.htm
O8 - Element del menú contextual addicional: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Element del menú contextual addicional: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Què fer:
Si no reconeixes el nom de l'element al menú del botó dret del ratolí a IE, tens HijackThis arreglar-ho.

O9: botons addicionals a la barra d'eines principal de l'IE, o elements addicionals a IE & # 39; Eines & # 39; menú

El que sembla:
O9 - Botó extra: Messenger (HKLM)
O9 - Menú extra de 'Eines': Messenger (HKLM)
O9 - Botó extra: AIM (HKLM)

Què fer:
Si no reconeixes el nom del botó o l'element del menú, tens HijackThis per solucionar-ho.

O10: segrestadors de Winsock

El que sembla:
O10 - Accés a Internet segrestat per New.Net
O10: accés a Internet trencat a causa de l'error del proveïdor LSP: c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll '
O10 - Fitxer desconegut en Winsock LSP: c: \ arxius de programa \ newton sap \ vmain.dll

Què fer:
És millor solucionar-los utilitzant LSPFix des de Cexx.org o Spybot S & D des de Kolla.de.

Tingueu en compte que els fitxers 'desconeguts' de la pila LSP no seran solucionats per HijackThis, per qüestions de seguretat.

O11 - Grup extra a IE & # 39; Opcions avançades & # 39; finestra

El que sembla:
O11 - Grup d'opcions: [CommonName] CommonName

Què fer:
L'únic secuestrador a partir d'ara que afegeix el seu propi grup d'opcions a la finestra Opcions avançades d'IE és CommonName. Així que sempre podeu tenir HijackThis solucionar això.

O12 - Complements IE

El que sembla:
O12 - Complement per. Spop: C: \ Archivos de programa \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Complement per .PDF: C: \ Archivos de programa \ Internet Explorer \ PLUGINS \ nppdf32.dll

Què fer:
La majoria de les vegades aquestes són segures. Només OnFlow afegeix un connector aquí que no voleu (.ofb).

O13 - IE DefaultPrefix segrestat

El que sembla:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Prefix de WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Què fer:
Sempre són dolents. HijackThis corregeix-los.

O14 - & # 39; Restablir configuració web & # 39; segrest

El que sembla:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Què fer:
Si l'URL no és el proveïdor de l'ordinador ni del vostre proveïdor d'Internet, HijackThis la soluciona.

O15 - Llocs no desitjats a la zona de confiança

El que sembla:
O15 - Zona de confiança: http://free.aol.com
O15 - Zona de confiança: * .coolwebsearch.com
O15 - Zona de confiança: * .msn.com

Què fer:
La majoria de les vegades només AOL i Coolwebsearch afegeixen silenciosament llocs a la Zona de confiança. Si no heu afegit el domini de la llista a la zona de confiança, heu solucionat-ho.

O16 - Objectes ActiveX (també coneguts com a fitxers de programes descarregats)

El que sembla:
O16 - DPF: Yahoo! Xat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Què fer:
Si no reconeixeu el nom de l'objecte o l'URL des d'on es va baixar, HijackThis la soluciona. Si el nom o l'URL conté paraules com 'marcador', 'casino', 'free_plugin', etc., definitivament, corregiu-lo. El SpywareBlaster de Javacool té una enorme base de dades d'objectes ActiveX maliciosos que es poden utilitzar per buscar CLSID. (Feu clic amb el botó dret a la llista per utilitzar la funció Buscar).

O17 - Seqüències del domini de Lop.com

El que sembla:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonia: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domini = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Què fer:
Si el domini no és del vostre ISP o de la vostra xarxa empresarial, poseu-ho HijackThis solucioneu-lo. El mateix passa amb les entrades 'SearchList'. Per a les entrades 'NameServer' ( servidors DNS ), Google per a la IP o IP i serà fàcil veure si són bons o dolents.

O18 - Protocols addicionals i segrestadors de protocol

El que sembla:
O18 - Protocol: enllaços relacionats - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol segrest: http - (66993893-61B8-47DC-B10D-21E0C86DD9C8}

Què fer:
Només uns pocs segrestadors apareixen aquí. Els dolents coneguts són 'cn' (CommonName), 'ayb' (Lop.com) i 'linked links' (Huntbar), hauríeu de tenir HijackThis arreglar-los. Altres aspectes que es mostren no estan confirmats ni segurs, o són segrestats (és a dir, el CLSID ha estat canviat) per spyware. En l'últim cas, tingui HijackThis arreglar-ho.

O19 - Segrest del full d'estil d'usuari

El que sembla:
O19 - Full d'estil d'usuari: c: \ WINDOWS \ Java \ my.css

Què fer:
En el cas d'una desacceleració del navegador i d'elements emergents freqüents, HijackThis soluciona aquest element si apareix al registre. Tanmateix, atès que només Coolwebsearch fa això, és millor utilitzar CWShredder per solucionar-ho.

O20 - AppInit_DLLs Valor de registre autorun

El que sembla:
O20 - AppInit_DLLs: msconfd.dll

Què fer:
Aquest valor del Registre ubicat a HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows carrega un fitxer DLL a la memòria quan l'usuari inicia sessió, després del qual es queda a la memòria fins que es tanca la sessió. Molt pocs programes legítims ho utilitzen (Norton CleanSweep utilitza APITRAP.DLL), la majoria dels troians o segrestadors agressius de navegació utilitzen la majoria dels usuaris.

En cas d'una càrrega DLL 'oculta' des d'aquest valor del Registre (només visible quan s'utilitza l'opció "Editar dades binàries" a Regedit), el nom dll pot estar prefixat amb una canonada '|' per fer-lo visible al registre.

O21 - ShellServiceObjectDelayLoad

El que sembla:
O21 - SSODL - AUHOOK - (11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Què fer:
Aquest és un mètode d'autorun indocumentat, normalment utilitzat per alguns components del sistema de Windows. Els elements enumerats a HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad són carregats per l'Explorador quan s'inicia Windows. HijackThis usa una llista blanca de diversos articles SSODL molt comuns, de manera que cada vegada que un element es mostra en el registre, es desconeix i potser és maliciós. Tracte amb molta cura.

O22 - SharedTaskScheduler

El que sembla:
O22 - SharedTaskScheduler: (sense nom) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Què fer:
Aquest és un autorun indocumentat només per a Windows NT / 2000 / XP, que s'utilitza molt poques vegades. Fins ara solament CWS.Smartfinder la utilitza. Tracta amb cura.

O23 - Serveis NT

El que sembla:
O23 - Servei: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Archivos de programa \ Kerio \ Personal Firewall \ persfw.exe

Què fer:
Aquesta és la llista de serveis que no són de Microsoft. La llista hauria de ser la mateixa que la que veieu a la utilitat Msconfig de Windows XP. Diversos pirates informàtics troians utilitzen un servei casolà en adició a altres iniciatives per reinstal·lar-se. El nom complet sol ser important, com ara "Servei de seguretat de xarxa", "Servei d'inici de sessió d'estació de treball" o "Assistent de trucades de procediment remot", però el nom intern (entre claudàtors) és una cadena d'escombraries, com "Ort". La segona part de la línia és el propietari del fitxer al final, tal com es veu a les propietats del fitxer.

Tingueu en compte que la fixació d'un element O23 només atura el servei i el desactiva. El servei ha de ser eliminat del Registre manualment o amb una altra eina. En HijackThis 1.99.1 o posterior, es pot utilitzar el botó 'Suprimeix el servei NT' a la secció Misc Tools.