Kuinka analysoida HijackThis-lokit

Kuinka analysoidaan pokerikäsiä - Ghaleonin pokeriopetus turnausstrategioista (Kesäkuu 2026)

Kuinka analysoidaan pokerikäsiä - Ghaleonin pokeriopetus turnausstrategioista (Kesäkuu 2026)

Sisällysluettelo:

Anonim

HijackThis on ilmainen työkalu Trend Micro -ohjelmistosta. Alun perin kehitti Merijn Bellekom, Alankomaiden opiskelija. Vakoiluohjelmien poisto-ohjelmat, kuten Adaware tai Spybot S & D, tekevät hyvää työtä useimpien vakoiluohjelmien havaitsemiseen ja poistamiseen, mutta jotkut vakoiluohjelmat ja selaimen kaappaajat ovat liian salamyhkäisiä myös näille erinomaisille anti-spyware-apuohjelmille.

HijackThis on kirjoitettu erityisesti havaitsemaan ja poistamaan selaimen kaappaukset tai ohjelmisto, joka ottaa internetselaimesi, muuttaa oletussivusi ja hakukoneesi ja muut haittaohjelmat. Toisin kuin tyypillinen vakoiluohjelmien torjuntaohjelmisto, HijackThis ei käytä allekirjoituksia eikä kohdista mitään erityisiä ohjelmia tai URL-osoitteita, jotka voidaan tunnistaa ja estää. Pikemminkin HijackThis etsii haittaohjelmien käyttämät temput ja menetelmät, jotka tartuttavat järjestelmääsi ja ohjaavat selaimesi.

Kaikki mitä HijackThis-lokeissa näkyy ei ole huonoja tavaroita, eikä sitä pitäisi poistaa. Itse päinvastoin. On melkein taattu, että jotkut HijackThis-lokistesi kohteet ovat laillisia ohjelmia ja näiden kohteiden poistaminen voi vaikuttaa haitallisesti järjestelmään tai tehdä siitä täysin toimimattomaksi. HijackThis-käyttö on paljon kuin Windowsin rekisterin muokkaaminen itse. Se ei ole raketti tiede, mutta sinun ei todellakaan pitäisi tehdä sitä ilman asiantuntijoiden opastusta, ellei todella tiedä, mitä teet.

Kun olet asentanut HijackThis -ohjelman ja suorittanut sen luomaan lokitiedoston, on olemassa monenlaisia ​​foorumeita ja sivustoja, joilla voit lähettää tai lähettää lokitiedot. Asiantuntijat, jotka tietävät mitä etsiä, voivat sitten auttaa analysoimaan lokitietoja ja neuvomaan, mitkä kohteet poistetaan ja mitkä niistä jätetään yksin.

Voit ladata HijackThis-version nykyisen version osoitteesta Trend Micro: n virallisella sivustolla.

Tässä on yleiskatsaus HijackThis-lokimerkintöihin, joita voit käyttää hypätäksesi etsimäsi tietoihin:

  • R0, R1, R2, R3 - Internet Explorerin aloitussivun / hakusivun URL-osoitteet
  • F0, F1 - Autolatausohjelmat
  • N1, N2, N3, N4 - Netscape- / Mozilla-aloitussivun / hakusivun URL-osoitteet
  • O1 - Isännöi tiedoston uudelleenohjauksen
  • O2 - Selainapuhelimen esineet
  • O3 - Internet Explorer -työkalurivit
  • O4 - Autolatausohjelmat rekisteristä
  • O5 - IE Options -kuvake ei näy ohjauspaneelissa
  • O6 - IE Valinnat-käyttöoikeus rajoitettu Ylläpitäjä
  • O7 - Regedit-pääsy rajoittaa järjestelmänvalvoja
  • O8 - Lisäkappaleet IE: n hiiren kakkospainikkeella
  • O9 - Lisäpainikkeet IE-painikkeen työkalupalkissa tai ylimääräiset kohteet IE-työkaluissa
  • O10 - Winsockin kaappaaja
  • O11 - Lisäryhmä IE: ssä "Lisäasetukset" -ikkuna
  • O12 - IE-laajennukset
  • O13 - IE DefaultPrefix hijack
  • O14 - "Web-asetusten nollaaminen" kaappaa
  • O15 - Epätoivottu sivusto Trusted Zone -alueella
  • O16 - ActiveX-objektit (aka Downloaded Program Files)
  • O17 - Lop.com-verkkotunnuksen kaappaajia
  • O18 - Lisäprotokollat ​​ja protokollan kaappaajat
  • O19 - Käyttäjäluettelon kaappaaminen
  • O20 - AppInit_DLLs Rekisterin arvo autorun
  • O21 - ShellServiceObjectDelayLoad Rekisteriavain autorun
  • O22 - SharedTaskScheduler Rekisteriavain autorun
  • O23 - Windows NT -palvelut

R0, R1, R2, R3 - IE Käynnistä- ja Haku-sivut

Miltä se näyttää:R0 - HKCU Ohjelmisto Microsoft Internet Explorer Pää, Aloita sivu = http://www.google.com/R1 - HKLM Ohjelmisto Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (tätä tyyppiä ei vielä ole HijackThis)R3 - Default URLSearchHook puuttuu

Mitä tehdä:Jos tunnistat lopun URL-osoitteen etusivuksi tai hakukoneeksi, se on OK. Jos et, tarkista se ja HijackThis korjaa sen. R3-kohteille, korjaa ne aina, ellei mainita tunnistettavaa ohjelmaa, kuten Copernicia.

F0, F1, F2, F3 - Autolatausohjelmat INI-tiedostoista

Miltä se näyttää:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Mitä tehdä:F0-kohteet ovat aina huonoja, joten korjaa ne. F1-kohteet ovat yleensä hyvin vanhoja ohjelmia, jotka ovat turvallisia, joten sinun pitäisi löytää lisää tietoa tiedostonimestä, jotta näet, onko se hyvä vai huono. Pacmanin käynnistysluettelo voi auttaa kohteen tunnistamisessa.

N1, N2, N3, N4 - Netscape / Mozilla-aloitussivu

Miltä se näyttää:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Ohjelmatiedostot Netscape Käyttäjät oletus prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings Käyttäjä Sovellustiedot Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "moottori: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Käyttäjä Sovellustiedot Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Mitä tehdä:Netscape- ja Mozilla-kotisivut sekä hakusivu ovat yleensä turvallisia. He harvoin kaapataan, vain Lop.com on tiedossa. Jos näet URL-osoitteen, jota et tunnista kotisivuksi tai hakusivuksi, HijackThis korjaa sen.

O1 - Hostsfile-uudelleenohjaukset

Miltä se näyttää:O1 - isännät: 216.177.73.139 auto.search.msn.comO1 - isännät: 216.177.73.139 search.netscape.comO1 - isännät: 216.177.73.139 ieautosearchO1 - Hosts-tiedosto sijaitsee C: Windows Help -palvelimissa

Mitä tehdä:Tämä kaappaus ohjaa osoitteen oikealle vasemmalle IP-osoitteelle.Jos IP ei kuulu osoitteeseen, sinut ohjataan väärään sivustoon aina, kun annat osoitteen. Voit aina korjata HijackThisin, ellet ole tietoisesti laatinut kyseisiä rivejä Hosts-tiedostoon.

Viimeinen kohde esiintyy joskus Windows 2000 / XP: ssä Coolwebsearch-infektiolla. Korjaa tämä kohde aina, tai CWShredder korjaa sen automaattisesti.

O2 - Selainapuhelimen esineet

Miltä se näyttää:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: OHJELMAT FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (ei nimeä) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: OHJELMAT POPUP ELIMINATOR AUTODISPLAY401.DLL (tiedosto puuttuu)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: OHJELMISTOSUHTEET MEDIALOADS ENHANCED ME1.DLL

Mitä tehdä:Jos et tunnista Selain Helper -objektin nimeä, käytä TonyK: n BHO- ja työkalupalkilistaa etsimällä sen luokan ID: n (CLSID, numero välillä kihara kannakkeet) ja katso onko se hyvä tai huono. BHO-luettelossa "X" tarkoittaa vakoiluohjelmia ja "L" tarkoittaa turvallista.

O3 - IE -työkalurivit

Miltä se näyttää: O3 - Työkalupalkki: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: OHJELMATILAT YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Työkalupalkki: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: OHJELMAT POPUP ELIMINATOR PETOOLBAR401.DLL (tiedosto puuttuu)O3 - Työkalupalkki: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Mitä tehdä:Jos et tunnista suoraan työkalupalkin nimeä, käytä TonyK: n BHO- ja työkalupalkin luetteloa, kun haluat löytää sen luokan ID: n (CLSID, kiintoisa kannakkeiden välillä) ja nähdä onko se hyvä vai huono. Työkalupalkin luettelossa "X" tarkoittaa vakoiluohjelmia ja "L" tarkoittaa turvallista. Jos se ei ole luettelossa ja nimi näyttää satunnainen merkkijono ja tiedosto on 'Application Data' -kansiossa (kuten edellisissä esimerkeissä), se on luultavasti Lop.com, ja sinulla on varmasti HijackThis-korjaus se.

O4 - Autolatausohjelmat rekisteristä tai käynnistysryhmästä

Miltä se näyttää:O4 - HKLM .. Suorita: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Suorita: SystemTray SysTray.ExeO4 - HKLM .. Suorita: ccApp "C: Ohjelmatiedostot Yleiset tiedostot Symantec Shared ccApp.exe"O4 - Käynnistys: Microsoft Office.lnk = C: Ohjelmatiedostot Microsoft Office Office OSA9.EXEO4 - Global Startup: winlogon.exe

Mitä tehdä:PacManin käynnistysluettelon avulla voit etsiä merkinnän ja nähdä, onko se hyvä vai huono.

Jos kohteessa näkyy Käynnistys-ryhmässä istuva ohjelma (kuten viimeinen edellä oleva kohta), HijackThis ei voi korjata kohdetta, jos tämä ohjelma on vielä muistissa. Voit sulkea prosessin ennen vahvistamista Windows Task Manager (TASKMGR.EXE) avulla.

O5 - IE Valinnat eivät näy Ohjauspaneelissa

Miltä se näyttää: O5 - control.ini: inetcpl.cpl = ei

Mitä tehdä:Ellet sinä tai järjestelmänvalvoja ole tietoisesti piilottanut kuvaketta Ohjauspaneelista, korjaa se HijackThis.

O6 - IE Valinnat-käyttöoikeus rajoitettu Ylläpitäjä

Miltä se näyttää:O6 - HKCU Software Policies Microsoft Internet Explorer Rajoitetut rajoitukset

Mitä tehdä:Ellei sinulla ole Spybot S & D -vaihtoehtoa 'Lock homepage from changes' tai jos järjestelmänvalvoja asensi tämän, HijackThis korjaa tämän.

O7 - Regedit-pääsy rajoittaa järjestelmänvalvoja

Miltä se näyttää:O7 - HKCU Ohjelmisto Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Mitä tehdä:Aina HijackThis korjaa tämän, ellei järjestelmänvalvoja ole asettanut tätä rajoitusta paikalleen.

O8 - Lisäkappaleet IE: n hiiren kakkospainikkeella

Miltä se näyttää: O8 - Lisäkontekstivalikko: & Google-haku - res: // C: WINDOWS LATAADUT OHJELMATTIOHJELMAT GOOGLETOOLBAR_FI_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Ylimääräinen valikon kohta: Yahoo! Etsi - tiedosto: /// C: Ohjelmatiedostot Yahoo! Common / ycsrch.htmO8 - Lisää kontekstivalikko: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Lisää kontekstivalikko: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Mitä tehdä:Jos et tunnista kohteen nimeä IE: n hiiren kakkospainikkeella, HijackThis korjaa sen.

O9 - Lisäpainikkeet IE: n työkalupalkissa tai ylimääräiset kohteet IE: n "Työkalut" -valikossa

Miltä se näyttää: O9 - Lisäpainike: Messenger (HKLM)O9 - Extra 'Työkalut' menuitem: Messenger (HKLM)O9 - Lisäpainike: AIM (HKLM)

Mitä tehdä:Jos et tunnista painiketta tai valikkokohtaa, HijackThis korjaa sen.

O10 - Winsockin kaappaajia

Miltä se näyttää: O10 - Hijacked Internet access by New.NetO10 - Rikkoutunut Internet-yhteys LSP-palveluntarjoajan takia c: progra ~ 1 common ~ 2 työkalurivi cnmib.dll puuttuuO10 - tuntematon tiedosto Winsockissa LSP: c: ohjelmatiedostot newton tietää vmain.dll

Mitä tehdä:On parasta korjata nämä käyttämällä LSPFixä Cexx.orgista tai SpoBot S & D: sta Kolla.de: stä.

Huomaa, että HijackThis ei korjaa "tuntemattomia" tiedostoja LSP-pinoon turvallisuussyistä.

O11 - Lisäryhmä IE: ssä "Lisäasetukset" -ikkuna

Miltä se näyttää: O11 - Asetusryhmä: CommonName CommonName

Mitä tehdä:Ainoa kaappaaja, joka on nyt lisännyt oman vaihtoehtoryhmän IE Advanced Options -ikkunaan on CommonName. Joten voit aina HijackThis korjata tämän.

O12 - IE-laajennukset

Miltä se näyttää: O12 - Plugin for .spop: C: Ohjelmatiedostot Internet Explorer Plugins NPDocBox.dllO12 - Plugin for .PDF: C: Ohjelmatiedostot Internet Explorer PLUGINS nppdf32.dll

Mitä tehdä:Useimmiten nämä ovat turvallisia. Vain OnFlow lisää plugin täällä, jota et halua (.ofb).

O13 - IE DefaultPrefix hijack

Miltä se näyttää: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW-etuliite: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Etuliite: http://ehttp.cc/?

Mitä tehdä:Nämä ovat aina huonoja. HijackThis korjaa ne.

O14 - "Web-asetusten nollaaminen" kaappaa

Miltä se näyttää: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Mitä tehdä:Jos URL-osoite ei ole tietokoneen tai Internet-palveluntarjoajan tarjoaja, korjaa se HijackThis.

O15 - Luotettuun alueen epätoivottu sivusto

Miltä se näyttää: O15 - Luotettu alue: http://free.aol.comO15 - luotettu alue: * .coolwebsearch.comO15 - luotettu alue: * .msn.com

Mitä tehdä:Useimmiten vain AOL ja Coolwebsearch lisäävät hiljaisesti sivustoja luotetulle alueelle. Jos et ole lisännyt lueteltua verkkotunnusta luotettuun alueeseen, HijackThis korjaa sen.

O16 - ActiveX-objektit (aka Downloaded Program Files)

Miltä se näyttää: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mitä tehdä:Jos et tunnista objektin nimeä tai URL-osoitetta, josta se on ladattu, HijackThis korjaa sen. Jos nimessä tai URL-osoitteessa on sanoja kuten "soittaja", "kasino", "free_plugin" jne., Varmista se. Javacoolin SpywareBlasterilla on valtava tietokanta haitallisista ActiveX-objekteista, joita voidaan käyttää CLSID-sovellusten etsimiseen. (Napsauta luettelosta hiiren kakkospainikkeella Etsi-toimintoa.)

O17 - Lop.com-verkkotunnuksen hijacks

Miltä se näyttää: O17 - HKLM System CCS Palvelut VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Palvelut Tcpip Parametrit: Domain = W21944.find-quick.comO17 - HKLM Ohjelmisto .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Palvelut Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM System CS1 Palvelut Tcpip Parametrit: SearchList = gla.ac.ukO17 - HKLM System CS1 Palvelut VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Mitä tehdä:Jos verkkotunnus ei ole Internet-palveluntarjoajaltasi tai yritysverkostosta, HijackThis korjaa sen. Sama koskee "SearchList" -merkintöjä. "NameServer" (DNS-palvelimet) merkinnät, Google IP tai IP, ja on helppo nähdä, ovatko ne hyviä tai huonoja.

O18 - Lisäprotokollat ​​ja protokollan kaappaajat

Miltä se näyttää: O18 - Protokolla: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokolla: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Mitä tehdä:Vain muutama kaappaajien näkyy täällä. Tunnetut baddies ovat 'cn' (CommonName), 'ayb' (Lop.com) ja 'relatedlinks' (Huntbar), sinun pitäisi olla HijackThis korjata ne. Muita esiin tulevia asioita ei ole vielä vahvistettu turvallisiksi tai kaapattu (eli CLSID on muutettu) vakoiluohjelmien avulla. Viimeisessä tapauksessa HijackThis korjaa sen.

O19 - Käyttäjäluettelon kaappaaminen

Miltä se näyttää: O19 - Käyttäjän tyyliarkki: c: WINDOWS Java my.css

Mitä tehdä:Selaimen hidastumisen ja usein ponnahdusikkunoiden tapauksessa HijackThis korjaa tämän kohteen, jos se näkyy lokissa. Koska vain Coolwebsearch tekee tämän, on parempi käyttää CWShredderia korjaamaan se.

O20 - AppInit_DLLs Rekisterin arvo autorun

Miltä se näyttää: O20 - AppInit_DLL: msconfd.dll

Mitä tehdä:Tämä HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windowsin rekisterin arvo lataa DLL: n muistiin, kun käyttäjä kirjautuu sisään, jonka jälkeen se pysyy muistiin, kunnes kirjaudut ulos. Hyvin harvat lailliset ohjelmat käyttävät sitä (Norton CleanSweep käyttää APITRAP.DLL: tä), useimmiten sitä käytetään troijalaisilla tai aggressiivisilla selaimen kaappaajilla.

Jos "piilotettu" DLL-lataus tästä rekisterin arvosta (näkyy vain, kun käytetään Regeditin 'Edit Binary Data' -vaihtoehtoa) dll-nimi voi olla etuliitettävän putken kanssa '|' jotta se näkyy lokissa.

O21 - ShellServiceObjectDelayLoad

Miltä se näyttää: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Mitä tehdä:Tämä on dokumentoitumaton autorun-menetelmä, jota tavallisesti käyttävät muutamat Windows-järjestelmän komponentit. Explorer käynnistyy Windowsin käynnistyessä HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoadissa luetellut kohteet. HijackThis käyttää useiden hyvin yleisten SSODL-kohteiden sallittua luetteloa, joten aina, kun kohde näkyy lokissa, se on tuntematon ja mahdollisesti haitallinen. Käsittele äärimmäisen varovasti.

O22 - SharedTaskScheduler

Miltä se näyttää: O22 - SharedTaskScheduler: (ei nimeä) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Mitä tehdä:Tämä on vain ohjeeton Windows NT / 2000 / XP -tietokanta, jota käytetään hyvin harvoin. Toistaiseksi vain CWS.Smartfinder käyttää sitä. Käsittele varovasti.

O23 - NT-palvelut

Miltä se näyttää: O23 - Palvelu: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Ohjelmatiedostot Kerio Personal Firewall persfw.exe

Mitä tehdä:Tämä on muiden kuin Microsoftin palveluiden luettelo.Luettelon on oltava sama kuin Windows XP: n Msconfig-apuohjelmassa. Useat troijalaiset kaappaajat käyttävät kotitekoista palvelua muiden käynnistysten yhteydessä uudelleen asennettaviksi. Täydellinen nimi on yleensä tärkeä, kuten "Network Security Service", "Workstation Logon Service" tai "Remote Procedure Call Helper", mutta sisäinen nimi (suluissa) on merkkijono, kuten "Ort". Rivin toinen osa on tiedoston omistaja, joka näkyy tiedoston ominaisuuksissa.

Huomaa, että O23-kohdan kiinnittäminen lopettaa palvelun ja poistaa sen käytöstä. Palvelu on poistettava rekisteristä käsin tai muulla työkalulla. HijackThis 1.99.1: ssa tai uudemmassa, tähän voidaan käyttää painikkeita "Poista NT Service" Misc Tools -osiossa.

Kuinka suuri iPad on ja kuinka paljon se painaa?

Kuinka suuri iPad on ja kuinka paljon se painaa?

IPad Air 2 on pienempi ja painaa noin puolet alkuperäisestä iPadista, ja hämmästyttävän 12,9 tuuman iPad Pro painaa samaa kuin ensimmäinen iPad.

IPad 2 FAQ: Kuinka suuri se on? Kuinka nopeasti? Voiko se monitahoa?

IPad 2 FAQ: Kuinka suuri se on? Kuinka nopeasti? Voiko se monitahoa?

Jos sinulla on vielä kysyttävää iPad 2: sta ennen kuin loppuu ja osta yksi, olet tullut oikeaan paikkaan.

Kuinka lopettaa stressaaminen - kuinka kohtaloida - museo

Kuinka lopettaa stressaaminen - kuinka kohtaloida - museo

Sen ei tarvitse olla näin.

Toimituksen Valinta