HijackThis - бесплатный инструмент от Trend Micro. Первоначально он был разработан Мерином Беллеком, студентом в Нидерландах. Программное обеспечение для удаления программ-шпионов, таких как Adaware или Spybot S & D, хорошо справляется с обнаружением и удалением большинства программ-шпионов, но некоторые шпионские и браузерные угонщики слишком коварны даже для этих замечательных утилит для защиты от шпионских программ.
HijackThis написано специально для обнаружения и удаления браузеров, или программного обеспечения, которое использует ваш веб-браузер, изменяет вашу домашнюю страницу по умолчанию и поисковую систему и другие вредоносные вещи. В отличие от обычного антишпионского программного обеспечения, HijackThis не использует подписи или не нацеливает какие-либо конкретные программы или URL-адреса на обнаружение и блокировку. Скорее, HijackThis ищет трюки и методы, используемые вредоносным ПО для заражения вашей системы и перенаправления вашего браузера.
Не все, что появляется в журналах HijackThis, является плохим материалом, и его не следует удалять. На самом деле, совсем наоборот. Почти гарантировано, что некоторые из элементов в ваших журналах HijackThis будут законным программным обеспечением, и удаление этих элементов может негативно повлиять на вашу систему или сделать ее полностью неработоспособной. Использование HijackThis очень похоже на редактирование реестра Windows самостоятельно. Это не ракетостроение, но вы не должны делать это без какого-либо экспертного руководства, если вы действительно не знаете, что делаете.
Как только вы установите HijackThis и запустите его для создания файла журнала, существует множество форумов и сайтов, на которых вы можете публиковать или загружать свои данные журнала. Эксперты, которые знают, что искать, могут помочь вам проанализировать данные журнала и сообщить вам, какие предметы удалить, а какие - оставить в покое.
Чтобы загрузить текущую версию HijackThis, вы можете посетить официальный сайт Trend Micro.
Ниже приведен обзор записей журнала HijackThis, которые вы можете использовать для перехода к информации, которую вы ищете:
- R0, R1, R2, R3 - URL-адрес запуска / поиска в Internet Explorer
- F0, F1 - программы автозагрузки
- N1, N2, N3, N4 - Netscape / Mozilla URL-адреса запуска / поиска
- O1 - Перенаправление файлов хостов
- O2 - Объекты помощника браузера
- O3 - панели инструментов Internet Explorer
- O4 - Автозагрузка программ из реестра
- Иконка O5 - значок IE не отображается на панели управления
- O6 - доступ к опциям IE ограничен администратором
- O7 - доступ Regedit ограничен Администратором
- O8 - дополнительные элементы в меню щелчка правой кнопкой мыши
- O9 - дополнительные кнопки на основной панели инструментов IE или дополнительные элементы в меню «Инструменты» IE
- O10 - угонщик Winsock
- O11 - дополнительная группа в окне «Дополнительные параметры» IE
- O12 - плагины IE
- O13 - IE DefaultPrefix hijack
- O14 - «Сброс настроек веб-настроек»
- O15 - Нежелательный сайт в доверенной зоне
- O16 - Объекты ActiveX (aka Загруженные файлы программ)
- O17 - угонщики доменов Lop.com
- O18 - дополнительные протоколы и угонщики протоколов
- O19 - Уловка таблицы стилей пользователя
- O20 - AppInit_DLLs Автозапуск значения реестра
- O21 - автозапуск ключа реестра ShellServiceObjectDelayLoad
- O22 - Автозапуск ключа реестра SharedTaskScheduler
- O23 - Службы Windows NT
R0, R1, R2, R3 - IE Страницы начала и поиска
На что это похоже:R0 - HKCU Программное обеспечение Microsoft Internet Explorer Main, Стартовая страница = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (этот тип еще не используется HijackThis)R3 - отсутствует URL-адрес URLSearchHook по умолчанию Что делать:Если вы узнаете URL-адрес в конце своей домашней страницы или поисковой системы, все в порядке. Если вы этого не сделаете, проверьте его и нажмите HijackThis. Для элементов R3 всегда исправляйте их, если в них не упоминается программа, которую вы распознаете, например, Copernic. На что это похоже:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched Что делать:Элементы F0 всегда плохие, поэтому исправьте их. Элементы F1 обычно являются очень старыми программами, которые безопасны, поэтому вам нужно найти дополнительную информацию о имени файла, чтобы узнать, хорошо это или плохо. Список запуска Pacman может помочь в определении элемента. На что это похоже:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js) Что делать:Обычно страница Netscape и Mozilla и страница поиска безопасны. Они редко получают угон, только Lop.com, как известно, это делает. Если вы видите URL-адрес, который не распознается в качестве домашней страницы или страницы поиска, воспользуйтесь HijackThis. На что это похоже:O1 - Хосты: 216.177.73.139 auto.search.msn.comO1 - Хосты: 216.177.73.139 search.netscape.comO1 - Хосты: 216.177.73.139 ieautosearchO1 - файл хостов находится на C: Windows Help hosts Что делать:Этот захват перенаправит адрес справа на IP-адрес слева.Если IP не принадлежит адресу, вы будете перенаправлены на неправильный сайт каждый раз, когда вы вводите адрес. Вы всегда можете установить HijackThis, если вы не заведомо поместили эти строки в файл Hosts. Последний элемент иногда встречается на Windows 2000 / XP с заражением Coolwebsearch. Всегда исправляйте этот элемент, или CWShredder автоматически восстанавливает его. На что это похоже:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (нет имени) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (файл отсутствует)O2 - BHO: расширенный MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL Что делать:Если вы не сразу распознаете имя объекта-помощника браузера, используйте список BHO & Toolbar List TonyK, чтобы найти его по идентификатору класса (CLSID, число между фигурными скобками) и посмотреть, хорошо это или плохо. В списке BHO «X» означает шпионское ПО, а «L» означает безопасное. На что это похоже: O3 - Панель инструментов: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Панель инструментов: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (файл отсутствует)O3 - Панель инструментов: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL Что делать:Если вы не распознаете имя панели инструментов напрямую, используйте список BHO & Toolbar List TonyK, чтобы найти его по идентификатору класса (CLSID, число между фигурными скобками) и посмотреть, хорошо это или плохо. В списке панелей инструментов «X» означает «шпионское ПО», а «L» означает безопасный. Если его нет в списке, и имя кажется случайной строкой символов, и файл находится в папке «Данные приложения» (например, последний в приведенных выше примерах), это, вероятно, Lop.com, и вы определенно должны иметь HijackThis fix Это. На что это похоже:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - Запуск: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Глобальный запуск: winlogon.exe Что делать:Используйте список запуска PacMan, чтобы найти запись и посмотреть, хорошо это или плохо. Если элемент показывает программу, сидящую в группе автозагрузки (например, последний элемент выше), HijackThis не может исправить элемент, если эта программа все еще находится в памяти. Используйте диспетчер задач Windows (TASKMGR.EXE), чтобы закрыть процесс до фиксации. На что это похоже: O5 - control.ini: inetcpl.cpl = нет Что делать:Если вы или ваш системный администратор не заинтриговали значок с панели управления, воспользуйтесь HijackThis. На что это похоже:O6 - HKCU Software Policies Microsoft Internet Explorer Ограничения присутствуют Что делать:Если у вас не установлен параметр «Заблокировать домашнюю страницу» от Spybot S & D, или ваш системный администратор включил его, воспользуйтесь HijackThis. На что это похоже:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1 Что делать:Всегда иметь HijackThis исправить это, если ваш системный администратор не поставил это ограничение на свои места. На что это похоже: O8 - Дополнительный контекстный пункт меню: & Поиск Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Дополнительный контекстный пункт меню: Yahoo! Поиск - файл: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - дополнительный пункт контекстного меню: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Дополнительный контекстный пункт меню: Zoom O & ut - C: WINDOWS WEB zoomout.htm Что делать:Если вы не узнаете имя элемента в меню правой кнопки мыши в IE, попробуйте HijackThis. На что это похоже: O9 - Дополнительная кнопка: Messenger (HKLM)O9 - меню дополнительных инструментов «Сервис»: Messenger (HKLM)O9 - дополнительная кнопка: AIM (HKLM) Что делать:Если вы не узнаете имя кнопки или пункта меню, воспользуйтесь HijackThis. На что это похоже: O10 - Угнал доступ в Интернет по адресу New.NetO10 - Сломанный доступ в Интернет из-за отсутствия поставщика LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll'O10 - Неизвестный файл в Winsock LSP: c: program files newton знает vmain.dll Что делать:Лучше всего исправить это, используя LSPFix от Cexx.org или Spybot S & D от Kolla.de. Обратите внимание, что «неизвестные» файлы в стеке LSP не будут исправлены HijackThis в целях безопасности. На что это похоже: O11 - Группа опций: CommonName CommonName Что делать:Единственным угонщиком, который добавляет свою собственную группу опций в окно дополнительных опций IE, является CommonName. Таким образом, вы всегда можете установить HijackThis. На что это похоже: O12 - плагин для .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - плагин для .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll Что делать:В большинстве случаев это безопасно. Только OnFlow добавляет сюда плагин, который вам не нужен (.ofb). На что это похоже: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - префикс WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Префикс: http://ehttp.cc/? Что делать:Это всегда плохо. Имейте HijackThis исправить их. На что это похоже: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com Что делать:Если URL-адрес не является поставщиком вашего компьютера или вашего интернет-провайдера, воспользуйтесь HijackThis. На что это похоже: O15 - Доверенная зона: http://free.aol.comO15 - Доверенная зона: * .coolwebsearch.comO15 - Надежная зона: * .msn.com Что делать:В большинстве случаев только AOL и Coolwebsearch молча добавляют сайты в доверенную зону. Если вы не добавили указанный домен в доверенную зону самостоятельно, воспользуйтесь HijackThis. На что это похоже: O16 - DPF: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Что делать:Если вы не узнаете имя объекта или URL-адрес, с которого он был загружен, у вас есть HijackThis. Если имя или URL содержат такие слова, как «dialer», «casino», «free_plugin» и т. Д., Обязательно исправьте это. В SpywareBlaster от Javacool имеется огромная база данных вредоносных объектов ActiveX, которые можно использовать для поиска CLSID. (Щелкните правой кнопкой мыши список, чтобы использовать функцию Найти.) На что это похоже: O17 - HKLM System CCS Services VxD MSTCP: Домен = aoldsl.netO17 - HKLM System CCS Services Tcpip Параметры: Домен = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Домен = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Параметры: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175 Что делать:Если домен не принадлежит вашему интернет-провайдеру или корпоративной сети, воспользуйтесь HijackThis. То же самое касается записей «SearchList». Для записей «NameServer» (DNS-серверов) Google для IP-адресов или IP-адресов, и будет легко убедиться, что они хороши или плохи. На что это похоже: O18 - Протокол: связанные ссылки - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Протокол захвата: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} Что делать:Здесь появляется только несколько угонщиков. Известными злодеями являются «cn» (CommonName), «ayb» (Lop.com) и «связанные ссылки» (Huntbar), вы должны иметь HijackThis. Другие вещи, которые появляются, либо еще не подтверждены в безопасности, либо были угнаны (то есть, CLSID был изменен) шпионскими программами. В последнем случае, HijackThis исправить это. На что это похоже: O19 - Таблица стилей пользователя: c: WINDOWS Java my.css Что делать:В случае замедления браузера и частых всплывающих окон, HijackThis исправить этот элемент, если он отображается в журнале. Однако, поскольку только Coolwebsearch делает это, лучше использовать CWShredder для его исправления. На что это похоже: O20 - AppInit_DLLs: msconfd.dll Что делать:Это значение реестра, расположенное в HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows, загружает DLL в память, когда пользователь входит в систему, после чего он остается в памяти до выхода из системы. Очень немногие законные программы используют его (Norton CleanSweep использует APITRAP.DLL), чаще всего он используется троянами или агрессивными браузерами-угонщиками. В случае «скрытой» загрузки DLL из этого значения реестра (видно только при использовании опции «Редактировать двоичные данные» в Regedit) имя dll может иметь префикс с номером '|' чтобы сделать его видимым в журнале. На что это похоже: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll Что делать:Это недокументированный метод автозапуска, обычно используемый несколькими системными компонентами Windows. Элементы, перечисленные в HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad, загружаются Explorer при запуске Windows. HijackThis использует белый список из нескольких очень распространенных элементов SSODL, поэтому всякий раз, когда элемент отображается в журнале, он неизвестен и, возможно, злонамерен. Лечитесь с особой осторожностью. На что это похоже: O22 - SharedTaskScheduler: (нет имени) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll Что делать:Это недокументированный автозапуск для Windows NT / 2000 / XP, который используется очень редко. Пока используется только CWS.Smartfinder. Обращайтесь с осторожностью. На что это похоже: O23 - Сервис: персональный брандмауэр Kerio (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe Что делать:Это список служб, отличных от Microsoft.Список должен быть таким же, как тот, который вы видите в утилите Msconfig для Windows XP. Несколько троянских угонщиков используют домашнее обслуживание в дополнение к другим стартапам, чтобы переустановить себя. Полное имя обычно имеет важное значение, например «Служба сетевой безопасности», «Служба входа в рабочую станцию» или «Удаленный помощник вызова процедур», но внутреннее имя (между скобками) представляет собой строку мусора, например «Орт». Вторая часть строки является владельцем файла в конце, как видно из свойств файла. Обратите внимание: фиксация элемента O23 приведет к остановке службы и ее отключению. Службу необходимо удалить из реестра вручную или с помощью другого инструмента. В HijackThis 1.99.1 или более поздней версии для этой цели можно использовать кнопку «Удалить службу NT» в разделе «Разное». F0, F1, F2, F3 - Автозагрузка программ из файлов INI
N1, N2, N3, N4 - Страница запуска и поиска Netscape / Mozilla
O1 - перенаправления хостов
O2 - Объекты помощника браузера
O3 - панели инструментов IE
O4 - Автозагрузка программ из группы реестра или автозагрузки
O5 - Параметры IE не отображаются на панели управления
O6 - доступ к опциям IE ограничен администратором
O7 - доступ Regedit ограничен Администратором
O8 - дополнительные элементы в меню щелчка правой кнопкой мыши
O9 - дополнительные кнопки на главной панели инструментов IE или дополнительные элементы в меню «Инструменты» IE
O10 - угонщики Winsock
O11 - дополнительная группа в окне «Дополнительные параметры» IE
O12 - плагины IE
O13 - IE DefaultPrefix hijack
O14 - «Сброс настроек веб-настроек»
O15 - Нежелательные сайты в доверенной зоне
O16 - Объекты ActiveX (aka Загруженные файлы программ)
O17 - хостинг доменов Lop.com
O18 - дополнительные протоколы и угонщики протоколов
O19 - Уловка таблицы стилей пользователя
O20 - AppInit_DLLs Автозапуск значения реестра
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - Услуги NT
