كيفية تحليل سجلات هيجكثيس

تفسير بيانات السجل للمساعدة على إزالة برامج التجسس ومختطفي المستعرض

HijackThis هي أداة مجانية من Trend Micro. تم تطويره في الأصل من قبل Merijn Bellekom ، وهو طالب في هولندا. تقوم برامج إزالة برامج التجسس مثل Adaware أو Spybot S & D بعمل جيد في اكتشاف معظم برامج التجسس وإزالتها ، ولكن بعض برامج التجسس ومخترقي المستعرض خبيثون جدًا حتى بالنسبة إلى هذه الأدوات الرائعة لمكافحة برامج التجسس.

تم كتابة HijackThis خصيصًا لاكتشاف وإزالة عمليات الاستيلاء على المستعرضات ، أو البرامج التي تستحوذ على متصفح الويب لديك ، وتغيير الصفحة الرئيسية الافتراضية ومحرك البحث والأشياء الضارة الأخرى. بخلاف برامج مكافحة برامج التجسس التقليدية ، لا تستخدم HijackThis التواقيع أو تستهدف أي برامج أو عناوين URL محددة لاكتشافها وحظرها. بدلاً من ذلك ، يبحث HijackThis عن الحيل والأساليب المستخدمة بواسطة البرامج الضارة لإصابة نظامك وإعادة توجيه المتصفح.

ليس كل ما يظهر في سجلات HijackThis هو أشياء سيئة ويجب عدم إزالته جميعًا. في الواقع ، على العكس تماما. يكاد يكون مضمونًا أن تكون بعض العناصر في سجلات HijackThis الخاصة بك برامج مشروعة وقد تؤدي إزالة هذه العناصر إلى التأثير بشكل سلبي على نظامك أو جعله غير صالح تمامًا. استخدام HijackThis يشبه إلى حد كبير تحرير سجل Windows بنفسك. ليس علم الصواريخ ، ولكن يجب عليك بالتأكيد عدم القيام بذلك دون بعض التوجيه الخبراء ما لم تكن تعرف حقا ما تقوم به.

بمجرد تثبيت HijackThis وتشغيله لإنشاء ملف سجل ، هناك مجموعة واسعة من المنتديات والمواقع حيث يمكنك نشر أو تحميل بيانات السجل الخاصة بك. يمكن أن يساعدك الخبراء الذين يعرفون ما الذي تبحثون عنه في تحليل بيانات السجل وتقديم النصح بشأن العناصر المراد إزالتها وأيها يجب تركها بمفردها.

لتنزيل الإصدار الحالي من HijackThis ، يمكنك زيارة الموقع الرسمي في Trend Micro.

في ما يلي نظرة عامة على إدخالات السجل HijackThis التي يمكنك استخدامها للانتقال إلى المعلومات التي تبحث عنها:

R0 و R1 و R2 و R3 - صفحات البدء وابحث عن IE

ما يبدو عليه:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main ، صفحة البدء = http://www.google.ae/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main، Default_Page_URL = http://www.google.ae/
R2 - (لم يتم استخدام هذا النوع من قبل HijackThis حتى الآن)
R3 - Default URLSearchHook مفقود

ماذا أفعل:
إذا تعرفت على عنوان URL في النهاية كصفحتك الرئيسية أو محرك البحث ، فلا بأس. إذا لم تقم بذلك ، فتحقق منه وقم بإصلاح HijackThis. بالنسبة لعناصر R3 ، قم دائمًا بإصلاحها ما لم تذكر برنامجًا تعرفه ، مثل Copernic.

F0 ، F1 ، F2 ، F3 - برامج Autoloading من ملفات INI

ما يبدو عليه:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

ماذا أفعل:
تكون عناصر F0 سيئة دائمًا ، لذا عليك إصلاحها. تكون عناصر F1 عادةً برامج قديمة جدًا آمنة ، لذا يجب أن تجد بعض المعلومات الإضافية على اسم الملف لمعرفة ما إذا كانت جيدة أو سيئة. يمكن أن تساعد قائمة بدء التشغيل الخاصة بككمان في تحديد عنصر.

N1، N2، N3، N4 - Netscape / Mozilla Start & amp؛ صفحة البحث

ما يبدو عليه:
N1 - Netscape 4: user_pref "browser.startup.homepage"، "www.google.com")؛ (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage"، "http://www.google.com")؛ (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine"، "engine: //C٪3A٪5CProgram٪20Files٪5CNetscape٪206٪5Csearchplugins٪5CSBWeb_02.src")؛ (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

ماذا أفعل:
عادةً ما تكون الصفحة الرئيسية لـ Netscape و Mozilla وصفحة البحث آمنة. نادرًا ما يتم اختراقهم ، يُعرف Lop.com فقط بالقيام بذلك. إذا رأيت عنوان URL لا تعرفه كصفحتك الرئيسية أو صفحة البحث ، فتأكد من إصلاح HijackThis له.

O1 - إعادة توجيه Hostsfile

ما يبدو عليه:
O1 - المضيفين: 216.177.73.139 auto.search.msn.com
O1 - المضيفون: 216.177.73.139 search.netscape.com
O1 - المضيفون: 216.177.73.139 ieautosearch
O1 - يوجد ملف Hosts في C: \ Windows \ Help \ hosts

ماذا أفعل:
سيؤدي هذا الاختطاف إلى إعادة توجيه العنوان إلى اليمين إلى عنوان IP إلى اليسار. إذا كان عنوان IP لا ينتمي إلى العنوان ، فسيتم إعادة توجيهك إلى موقع خاطئ في كل مرة تدخل فيها العنوان. يمكنك دائمًا إصلاح HijackThis هذه ، ما لم تعمد وضع هذه الخطوط في ملف Hosts.

يحدث العنصر الأخير أحيانًا في Windows 2000 / XP مع إصابة Coolwebsearch. قم دائمًا بإصلاح هذا العنصر ، أو قم بإصلاح CWShredder تلقائيًا.

O2 - كائنات مساعد المستعرض

ما يبدو عليه:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (الملف مفقود)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

ماذا أفعل:
إذا كنت لا تتعرف مباشرة على اسم كائن مساعد المستعرض ، استخدم BHO & Toolbar List الخاص بشركة TonyK للعثور عليه بواسطة معرف الفئة (CLSID ، الرقم بين الأقواس المتعرجة) ومعرفة ما إذا كان جيدًا أو سيئًا. في قائمة BHO ، تعني كلمة "X" برامج التجسس و "L" تعني الأمان.

O3 - أشرطة أدوات IE

ما يبدو عليه:
O3 - شريط الأدوات: & ياهو! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - شريط الأدوات: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (الملف مفقود)
O3 - شريط الأدوات: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

ماذا أفعل:
إذا لم تتعرف مباشرةً على اسم شريط الأدوات ، فاستخدم قائمة BHO & Toolbar الخاصة بشركة TonyK للعثور عليها بواسطة معرف الفئة (CLSID ، والعدد بين الأقواس المتعرجة) ومعرفة ما إذا كانت جيدة أو سيئة. في "قائمة شريط الأدوات" ، تعني كلمة "X" برامج التجسس و "L" تعني الأمان. إذا لم يكن في القائمة ويشير الاسم إلى سلسلة عشوائية من الأحرف وكان الملف في مجلد "بيانات التطبيق" (مثل آخر مجلد في الأمثلة أعلاه) ، فمن المحتمل أن يكون Lop.com ، ويجب بالتأكيد أن يكون لديك إصلاح HijackThis ذلك.

O4 - برامج Autoloading من التسجيل أو مجموعة بدء التشغيل

ما يبدو عليه:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - بدء التشغيل: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - بدء التشغيل العالمي: winlogon.exe

ماذا أفعل:
استخدم قائمة بدء تشغيل PacMan للعثور على الإدخال ومعرفة ما إذا كان جيدًا أو سيئًا.

إذا كان العنصر يعرض برنامجًا يجلس في مجموعة بدء التشغيل (مثل العنصر الأخير أعلاه) ، فلن يتمكن HijackThis من إصلاح العنصر إذا كان هذا البرنامج لا يزال في الذاكرة. استخدم إدارة مهام Windows (TASKMGR.EXE) لإغلاق العملية قبل إصلاحها.

O5 - خيارات IE غير مرئية في لوحة التحكم

ما يبدو عليه:
O5 - control.ini: inetcpl.cpl = no

ماذا أفعل:
ما لم تقم أنت أو مسؤول النظام لديك بإخفاء الرمز من لوحة التحكم عن علم ، فقم بإصلاح HijackThis له.

O6 - الوصول إلى خيارات IE مقيدة من قبل المسؤول

ما يبدو عليه:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions الحالي

ماذا أفعل:
ما لم يكن لديك الخيار Spybot S & D 'Lock homepage from changes' active ، أو وضع مسؤول النظام هذا في مكانه ، فقم بإصلاح HijackThis هذا.

O7 - تقييد الوصول إلى Regedit بواسطة المسؤول

ما يبدو عليه:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System، DisableRegedit = 1

ماذا أفعل:
احرص دائمًا على إصلاح HijackThis هذا ، ما لم يضع مسؤول النظام هذا التقييد في مكانه.

O8 - عناصر إضافية في قائمة النقر بزر الماوس الأيمن

ما يبدو عليه:
O8 - عنصر قائمة سياق إضافي: & بحث Google - الدقة: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - عنصر قائمة سياق إضافي: Yahoo! البحث - ملف: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - عنصر قائمة سياق إضافي: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - عنصر قائمة سياق إضافي: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

ماذا أفعل:
إذا لم تتعرف على اسم العنصر في قائمة النقر بزر الماوس الأيمن في IE ، فعليك بإصلاح HijackThis.

O9 - أزرار إضافية على شريط أدوات IE الرئيسي ، أو عناصر إضافية في IE # 39؛ أدوات & # 39؛ قائمة طعام

ما يبدو عليه:
O9 - زر إضافي: Messenger (HKLM)
O9 - menuitem إضافي "الأدوات": Messenger (HKLM)
O9 - زر إضافي: AIM (HKLM)

ماذا أفعل:
إذا لم تتعرف على اسم الزر أو عنصر القائمة ، فعليك بإصلاح HijackThis.

O10 - مختطفو Winsock

ما يبدو عليه:
O10 - الوصول إلى الإنترنت المخطَط بواسطة New.Net
O10 - الوصول إلى الإنترنت المكسور بسبب وجود موفر LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' مفقود
O10 - ملف غير معروف في Winsock LSP: c: \ program files \ newton knows \ vmain.dll

ماذا أفعل:
من الأفضل إصلاح هذه باستخدام LSPFix من Cexx.org أو Spybot S & D من Kolla.de.

لاحظ أن الملفات "غير المعروفة" في مكدس LSP لن يتم إصلاحها بواسطة HijackThis ، وذلك بالنسبة لقضايا الأمان.

O11 - مجموعة إضافية في IE & # 39؛ خيارات متقدمة & # 39؛ نافذة او شباك

ما يبدو عليه:
O11 - مجموعة الخيارات: [CommonName] CommonName

ماذا أفعل:
الخاطف الوحيد حتى الآن الذي يضيف مجموعة خياراته الخاصة إلى نافذة خيارات IE المتقدمة هو CommonName. لذلك يمكنك دائمًا إصلاح HijackThis هذا.

O12 - اي البرنامج المساعد

ما يبدو عليه:
O12 - البرنامج المساعد ل. spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - البرنامج المساعد لـ .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

ماذا أفعل:
معظم الوقت آمن. فقط OnFlow يضيف البرنامج المساعد هنا أنك لا تريد (.ofb).

O13 - IE DefaultPrefix hijack

ما يبدو عليه:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl؟url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi؟
O13 - WWW. البادئة: http://ehttp.cc/؟

ماذا أفعل:
هذه دائما سيئة. هل لديك HijackThis إصلاحها.

O14 - & # 39؛ إعادة ضبط إعدادات الويب & # 39؛ خطف

ما يبدو عليه:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

ماذا أفعل:
إذا لم يكن عنوان URL هو موفر الكمبيوتر الخاص بك أو موفر خدمة الإنترنت ، فقم بإصلاح HijackThis.

O15 - مواقع غير مرغوب فيها في المنطقة الموثوق بها

ما يبدو عليه:
O15 - المنطقة الموثوق بها: http://free.aol.com
O15 - المنطقة الموثوق بها: * .coolwebsearch.com
O15 - المنطقة الموثوق بها: * .msn.com

ماذا أفعل:
معظم الوقت فقط AOL و Coolwebsearch بصمت إضافة مواقع إلى المنطقة الموثوق بها. إذا لم تضف النطاق المدرج إلى "منطقة موثوق بها" بنفسك ، فعليك بإصلاح HijackThis.

O16 - كائنات ActiveX (ويعرف أيضًا باسم ملفات البرامج التي تم تنزيلها)

ما يبدو عليه:
O16 - DPF: Yahoo! دردشة - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ماذا أفعل:
إذا لم تتعرف على اسم الكائن أو عنوان URL الذي تم تنزيله منه ، فعليك بإصلاح HijackThis. إذا كان الاسم أو عنوان URL يحتوي على كلمات مثل "dialer" و "casino" و "free_plugin" ، إلخ ، فقم بالتأكيد بإصلاحها. يحتوي SpywareBlaster Javacool's على قاعدة بيانات ضخمة من كائنات ActiveX الخبيثة التي يمكن استخدامها للبحث عن CLSIDs. (انقر بزر الماوس الأيمن على القائمة لاستخدام وظيفة البحث.)

O17 - Lop.com domain hijacks

ما يبدو عليه:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14،69.57.147.175

ماذا أفعل:
إذا لم يكن النطاق من ISP أو شبكة الشركة ، فقم بإصلاح HijackThis له. وينطبق نفس الشيء على إدخالات "SearchList". بالنسبة إلى إدخالات " خادم NameServer" ( خوادم DNS ) ، فإن Google خاصة بـ IP أو عناوين IP وسيكون من السهل معرفة ما إذا كانت جيدة أو سيئة.

O18 - البروتوكولات الإضافية وخوادم البروتوكول

ما يبدو عليه:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - البروتوكول: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

ماذا أفعل:
يظهر فقط عدد قليل من المخترقين هنا. الأشرار المعروفون هم 'cn' (CommonName) و 'ayb' (Lop.com) و 'relatedlinks' (Huntbar) ، يجب أن يكون لديك HijackThis حل تلك. الأشياء الأخرى التي تظهر إما أنها غير مؤمنة حتى الآن ، أو يتم خطفها (أي تم تغيير CLSID) بواسطة برامج التجسس. في الحالة الأخيرة ، قم بإصلاح HijackThis.

O19 - اختطاف ورقة أنماط المستخدم

ما يبدو عليه:
O19 - ورقة أنماط المستخدم: c: \ WINDOWS \ Java \ my.css

ماذا أفعل:
في حالة وجود تباطؤ في المتصفح ونوافذ منبثقة بشكل متكرر ، قم بإصلاح HijackThis هذا العنصر إذا كان يظهر في السجل. ومع ذلك ، بما أن Coolwebsearch فقط هو الذي يقوم بذلك ، فمن الأفضل استخدام CWShredder لإصلاحه.

O20 - AppInit_DLLs سجل قيمة التشغيل التلقائي

ما يبدو عليه:
O20 - AppInit_DLLs: msconfd.dll

ماذا أفعل:
تحميل قيمة التسجيل الموجودة في HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows DLL في الذاكرة عند تسجيل دخول المستخدم ، وبعدها يبقى في الذاكرة حتى تسجيل الخروج. عدد قليل جدًا من البرامج الشرعية تستخدمه (يستخدم Norton CleanSweep APITRAP.DLL) ، ويتم استخدامه في أغلب الأحيان بواسطة trojans أو مخترقي المستعرض العدائي.

في حالة تحميل DLL "مخفي" من قيمة التسجيل هذه (المرئية فقط عند استخدام خيار "تحرير البيانات الثنائية" في Regedit) قد يكون اسم dll مسبوقًا بأنبوب توجيه '|' لجعلها مرئية في السجل.

O21 - ShellServiceObjectDelayLoad

ما يبدو عليه:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

ماذا أفعل:
هذا هو أسلوب autorun غير موثقة ، تستخدم عادة من قبل عدد قليل من مكونات نظام ويندوز. يتم تحميل العناصر المسردة في HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad بواسطة Explorer عند بدء تشغيل Windows. يستخدم HijackThis قائمة بيضاء بالعديد من عناصر SSODL الشائعة ، لذا فعندما يتم عرض عنصر في السجل ، فإنه غير معروف وربما ضار. تعامل بعناية فائقة.

O22 - SharedTaskScheduler

ما يبدو عليه:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

ماذا أفعل:
هذا هو أوتورون غير موثقة لنظام التشغيل Windows NT / 2000 / XP فقط ، والذي يستخدم في حالات نادرة جدا. حتى الآن فقط CWS.Smartfinder يستخدمه. تعامل بعناية.

O23 - خدمات NT

ما يبدو عليه:
O23 - الخدمة: كيريو Personal Firewall (PersFw) - كيريو تكنولوجيز - C: \ ملفات البرنامج \ كيريو \ Personal Firewall \ persfw.exe

ماذا أفعل:
هذا هو قائمة الخدمات غير التابعة لشركة Microsoft. يجب أن تكون القائمة هي نفسها التي تراها في الأداة المساعدة Msconfig لنظام التشغيل Windows XP. العديد من الخاطفين طروادة تستخدم خدمة محلية الصنع في adittion إلى الشركات الناشئة الأخرى لإعادة تثبيت أنفسهم. عادةً ما يكون الاسم الكامل مهمًا ، مثل "Network Security Service" أو "Workstation Logon Service" أو "Remote Callure Call Helper" ، ولكن الاسم الداخلي (بين قوسين) عبارة عن سلسلة من القمامة ، مثل "Ort". الجزء الثاني من الخط هو مالك الملف في النهاية ، كما هو موضح في خصائص الملف.

لاحظ أن إصلاح عنصر O23 سيؤدي فقط إلى إيقاف الخدمة وتعطيلها. يجب حذف الخدمة من السجل يدويًا أو باستخدام أداة أخرى. في HijackThis 1.99.1 أو أعلى ، يمكن استخدام الزر "حذف خدمة NT" في قسم أدوات متنوعة لهذا الغرض.