Bagaimana Menganalisis HijackThis Logs

Menginterpretasikan Data Log Untuk Membantu Menghapus Pembajak Spyware dan Browser

HijackThis adalah alat gratis dari Trend Micro. Ini awalnya dikembangkan oleh Merijn Bellekom, seorang mahasiswa di Belanda. Perangkat lunak penghilang spyware seperti AdAware atau Spybot S & D melakukan pekerjaan yang baik untuk mendeteksi dan menghapus sebagian besar program spyware, tetapi beberapa spyware dan peretas peramban terlalu berbahaya untuk utilitas anti-spyware yang hebat ini.

HijackThis ditulis khusus untuk mendeteksi dan menghapus pembajakan peramban, atau peranti lunak yang mengambil alih peramban web Anda, mengubah laman beranda bawaan Anda dan mesin telusur serta hal-hal jahat lainnya. Tidak seperti perangkat lunak anti-spyware yang khas, HijackThis tidak menggunakan tanda tangan atau menargetkan program atau URL tertentu untuk dideteksi dan diblokir. Sebaliknya, HijackThis mencari trik dan metode yang digunakan oleh malware untuk menginfeksi sistem Anda dan mengalihkan browser Anda.

Tidak semua yang muncul di log HijackThis adalah hal-hal buruk dan seharusnya tidak semuanya dihapus. Bahkan, justru sebaliknya. Hampir dijamin bahwa beberapa item dalam log HijackThis Anda adalah perangkat lunak yang sah dan menghapus item tersebut dapat berdampak buruk pada sistem Anda atau membuatnya benar-benar tidak dapat beroperasi. Menggunakan HijackThis sangat mirip dengan mengedit Registry Windows sendiri. Ini bukan ilmu roket, tetapi Anda seharusnya tidak melakukannya tanpa bimbingan ahli kecuali Anda benar-benar tahu apa yang Anda lakukan.

Setelah Anda menginstal HijackThis dan menjalankannya untuk membuat file log, ada berbagai forum dan situs tempat Anda dapat memposting atau mengunggah data log Anda. Para ahli yang tahu apa yang harus dicari kemudian dapat membantu Anda menganalisis data log dan memberi tahu Anda tentang item mana yang harus dihapus dan mana yang harus dibiarkan.

Untuk mengunduh versi HijackThis saat ini, Anda dapat mengunjungi situs resmi di Trend Micro.

Berikut ini adalah ikhtisar entri log HijackThis yang dapat Anda gunakan untuk melompat ke informasi yang Anda cari:

• R0, R1, R2, R3 - Internet Explorer Mulai / halaman pencarian URL
• F0, F1 - Program autoloading
• URL N1, N2, N3, N4 - Netscape / Mozilla Laman Awal / Cari
• O1 - Host file redirection
• O2 - Browser Helper Objects
• O3 - Toolbar Internet Explorer
• O4 - Program autoloading dari Registry
• O5 - ikon Opsi IE tidak terlihat di Panel Kontrol
• O6 - Opsi IE akses dibatasi oleh Administrator
• O7 - Akses Regedit dibatasi oleh Administrator
• O8 - Item ekstra di menu klik kanan IE
• O9 - Tombol tambahan pada toolbar tombol IE utama, atau item tambahan di menu IE 'Tools'
• O10 - Pembajak Winsock
• O11 - Grup ekstra di jendela 'Opsi Lanjut' IE
• O12 - Plugin IE
• O13 - Pembajakan DefaultPrefix IE
• O14 - 'Reset Pengaturan Web' dibajak
• O15 - Situs yang tidak diinginkan di Zona Tepercaya
• O16 - Objek ActiveX (alias File Program yang Diunduh)
• O17 - pembajak domain Lop.com
• O18 - Protokol ekstra dan pembajak protokol
• O19 - Pengguna membajak style sheet
• O20 - AppInit_DLLs Autorun nilai Registry
• O21 - ShellServiceObjectDelayLoad Registry autorun kunci
• O22 - autorun registri Registri SharedTaskScheduler

• O23 - Layanan Windows NT

R0, R1, R2, R3 - Halaman Mulai dan Pencarian IE

Seperti apa rupanya:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Halaman Awal = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Utama, Default_Page_URL = http://www.google.com/
R2 - (tipe ini tidak digunakan oleh HijackThis)
R3 - Default URLSearchHook hilang

Apa yang harus dilakukan:
Jika Anda mengenali URL di bagian akhir sebagai beranda atau mesin telusur Anda, tidak masalah. Jika tidak, periksa dan perbarui HijackThis. Untuk item R3, selalu perbaiki jika tidak menyebutkan program yang Anda kenali, seperti Copernic.

F0, F1, F2, F3 - Program autoloading dari file INI

Seperti apa rupanya:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: jalankan = hpfsched

Apa yang harus dilakukan:
Item F0 selalu buruk, jadi perbaiki. Item F1 biasanya program yang sangat lama yang aman, jadi Anda harus mencari informasi lebih lanjut tentang nama file untuk melihat apakah itu baik atau buruk. Daftar Startup Pacman dapat membantu mengidentifikasi item.

N1, N2, N3, N4 - Netscape / Mozilla Mulai & amp; Halaman pencarian

Seperti apa rupanya:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Apa yang harus dilakukan:
Biasanya halaman beranda dan halaman pencarian Netscape dan Mozilla aman. Mereka jarang dibajak, hanya Lop.com yang dikenal melakukan ini. Jika Anda melihat URL yang tidak Anda kenali sebagai beranda atau laman penelusuran Anda, miliki HijackThis perbaiki.

O1 - Pengalihan hostfile

Seperti apa rupanya:
O1 - Host: 216.177.73.139 auto.search.msn.com
O1 - Host: 216.177.73.139 search.netscape.com
O1 - Host: 216.177.73.139 ieautosearch
O1 - File host berada di C: \ Windows \ Help \ host

Apa yang harus dilakukan:
Pembajakan ini akan mengalihkan alamat ke kanan ke alamat IP di sebelah kiri. Jika IP bukan milik alamat, Anda akan dialihkan ke situs yang salah setiap kali Anda memasukkan alamat. Anda selalu dapat memiliki HijackThis untuk memperbaikinya, kecuali jika Anda secara sadar menempatkan baris tersebut di file Host Anda.

Item terakhir kadang-kadang terjadi pada Windows 2000 / XP dengan infeksi Coolwebsearch. Selalu perbaiki item ini, atau minta CWShredder untuk memperbaikinya secara otomatis.

O2 - Browser Helper Objects

Seperti apa rupanya:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (tidak ada nama) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (file hilang)
O2 - BHO: MediaLoads Ditingkatkan - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS DISEMPURNAKAN \ ME1.DLL

Apa yang harus dilakukan:
Jika Anda tidak secara langsung mengenali nama Browser Helper Object, gunakan TonyK's BHO & Toolbar List untuk menemukannya dengan ID kelas (CLSID, nomor antara kurung kurawal) dan lihat apakah itu baik atau buruk. Dalam Daftar BHO, 'X' berarti spyware dan 'L' berarti aman.

O3 - Toolbar IE

Seperti apa rupanya:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (file hilang)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Apa yang harus dilakukan:
Jika Anda tidak secara langsung mengenali nama bilah alat, gunakan Daftar BHO & Toolbar TonyK untuk menemukannya dengan ID kelas (CLSID, nomor di antara tanda kurung kurawal) dan lihat apakah itu baik atau buruk. Dalam Daftar Toolbar, 'X' berarti spyware dan 'L' berarti aman. Jika tidak ada dalam daftar dan nama tampaknya string karakter acak dan file tersebut berada di folder 'Data Aplikasi' (seperti yang terakhir pada contoh di atas), mungkin itu Lop.com, dan Anda pasti harus memiliki HijackThis fix saya t.

O4 - Program autoloading dari grup Registry atau Startup

Seperti apa rupanya:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Menjalankan: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Apa yang harus dilakukan:
Gunakan Startup List PacMan untuk menemukan entri dan melihat apakah itu baik atau buruk.

Jika item menunjukkan program yang duduk di grup Startup (seperti item terakhir di atas), HijackThis tidak dapat memperbaiki item jika program ini masih dalam memori. Gunakan Windows Task Manager (TASKMGR.EXE) untuk menutup proses sebelum diperbaiki.

O5 - Opsi IE tidak terlihat di Panel Kontrol

Seperti apa rupanya:
O5 - control.ini: inetcpl.cpl = no

Apa yang harus dilakukan:
Kecuali Anda atau administrator sistem Anda secara sadar menyembunyikan ikon dari Control Panel, minta HijackThis untuk memperbaikinya.

O6 - Opsi IE akses dibatasi oleh Administrator

Seperti apa rupanya:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Pembatasan hadir

Apa yang harus dilakukan:
Kecuali Anda memiliki opsi Spybot S & D 'Kunci homepage dari perubahan' yang aktif, atau administrator sistem Anda letakkan ini di tempat, miliki HijackThis perbaiki ini.

O7 - Akses Regedit dibatasi oleh Administrator

Seperti apa rupanya:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Apa yang harus dilakukan:
Selalu miliki HijackThis perbaiki ini, kecuali administrator sistem Anda telah menempatkan pembatasan ini pada tempatnya.

O8 - Item ekstra di menu klik kanan IE

Seperti apa rupanya:
O8 - Item menu konteks ekstra: & Pencarian Google - res: // C: \ WINDOWS \ DOWNLOAD FILTER PROGRAM \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Item menu konteks ekstra: Yahoo! Cari - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Item menu konteks ekstra: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Item menu konteks Ekstra: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Apa yang harus dilakukan:
Jika Anda tidak mengenali nama item di menu klik kanan di IE, minta HijackThis untuk memperbaikinya.

O9 - Tombol tambahan pada toolbar IE utama, atau item tambahan di IE & # 39; Tools & # 39; menu

Seperti apa rupanya:
O9 - Tombol tambahan: Messenger (HKLM)
O9 - Menu menu tambahan 'Tools': Messenger (HKLM)
O9 - Tombol tambahan: AIM (HKLM)

Apa yang harus dilakukan:
Jika Anda tidak mengenali nama tombol atau item menu, miliki HijackThis untuk memperbaikinya.

O10 - Pembajak Winsock

Seperti apa rupanya:
O10 - Akses Internet yang dibajak oleh New.Net
O10 - Akses Internet yang rusak karena penyedia LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' hilang
O10 - File tidak dikenal di Winsock LSP: c: \ program files \ newton tahu \ vmain.dll

Apa yang harus dilakukan:
Sebaiknya perbaiki ini menggunakan LSPFix dari Cexx.org, atau Spybot S & D dari Kolla.de.

Perhatikan bahwa file 'tidak dikenal' dalam tumpukan LSP tidak akan diperbaiki oleh HijackThis, untuk masalah keamanan.

O11 - Grup ekstra di IE & # 39; Opsi Lanjutan & # 39; jendela

Seperti apa rupanya:
O11 - Grup opsi: [CommonName] CommonName

Apa yang harus dilakukan:
Satu-satunya pembajak seperti yang sekarang menambahkan kelompok opsi sendiri ke jendela Opsi Lanjut IE adalah CommonName. Jadi Anda selalu dapat memiliki HijackThis untuk memperbaiki ini.

O12 - Plugin IE

Seperti apa rupanya:
O12 - Plugin untuk .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin untuk .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Apa yang harus dilakukan:
Sebagian besar waktu ini aman. Hanya OnFlow menambahkan plugin di sini yang tidak Anda inginkan (.ofb).

O13 - Pembajakan DefaultPrefix IE

Seperti apa rupanya:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Awalan WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Awalan: http://ehttp.cc/?

Apa yang harus dilakukan:
Ini selalu buruk. Memiliki HijackThis perbaiki mereka.

O14 - & # 39; Reset Pengaturan Web & # 39; membajak

Seperti apa rupanya:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Apa yang harus dilakukan:
Jika URL bukan penyedia komputer Anda atau ISP Anda, miliki HijackThis untuk memperbaikinya.

O15 - Situs yang tidak diinginkan di Zona Tepercaya

Seperti apa rupanya:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com

Apa yang harus dilakukan:
Sebagian besar waktu hanya AOL dan Coolwebsearch diam-diam menambahkan situs ke Zona Tepercaya. Jika Anda tidak menambahkan domain yang terdaftar ke Zona Tepercaya sendiri, miliki HijackThis untuk memperbaikinya.

O16 - Objek ActiveX (alias File Program yang Diunduh)

Seperti apa rupanya:
O16 - DPF: Yahoo! Obrolan - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Apa yang harus dilakukan:
Jika Anda tidak mengenali nama objek, atau URL yang diunduh dari, miliki HijackThis perbaiki. Jika nama atau URL berisi kata-kata seperti 'dialer', 'kasino', 'free_plugin', dll, pasti perbaiki. Javacool's SpywareBlaster memiliki database besar objek ActiveX berbahaya yang dapat digunakan untuk mencari CLSID. (Klik kanan daftar untuk menggunakan fungsi Temukan.)

O17 - Pembajakan domain Lop.com

Seperti apa rupanya:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Apa yang harus dilakukan:
Jika domain bukan dari ISP atau jaringan perusahaan Anda, miliki HijackThis perbaiki. Hal yang sama berlaku untuk entri 'Daftar Pencarian'. Untuk entri 'NameServer' ( server DNS ), Google untuk IP atau IP dan akan mudah untuk melihat apakah itu baik atau buruk.

O18 - Protokol ekstra dan pembajak protokol

Seperti apa rupanya:
O18 - Protokol: tautan terkait - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Pembajakan protokol: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Apa yang harus dilakukan:
Hanya beberapa pembajak yang muncul di sini. Penjahat yang dikenal adalah 'cn' (CommonName), 'ayb' (Lop.com) dan 'relatedlinks' (Huntbar), Anda harus memiliki HijackThis untuk memperbaikinya. Hal-hal lain yang muncul belum dikonfirmasi aman, atau dibajak (yaitu CLSID telah diubah) oleh spyware. Dalam kasus terakhir, miliki HijackThis perbaiki.

O19 - Pengguna membajak style sheet

Seperti apa rupanya:
O19 - Lembar gaya pengguna: c: \ WINDOWS \ Java \ my.css

Apa yang harus dilakukan:
Dalam kasus pelambatan browser dan sering muncul, miliki HijackThis perbaiki item ini jika muncul di log. Namun, karena hanya Coolwebsearch yang melakukan ini, lebih baik menggunakan CWShredder untuk memperbaikinya.

O20 - AppInit_DLLs Autorun nilai Registry

Seperti apa rupanya:
O20 - AppInit_DLLs: msconfd.dll

Apa yang harus dilakukan:
Nilai Registry ini terletak di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows memuat DLL ke dalam memori ketika pengguna login, setelah itu tetap di memori sampai logoff. Sangat sedikit program yang sah menggunakannya (Norton CleanSweep menggunakan APITRAP.DLL), paling sering digunakan oleh trojan atau pembajak browser yang agresif.

Dalam kasus loading DLL 'tersembunyi' dari nilai Registry ini (hanya terlihat ketika menggunakan opsi 'Edit Binary Data' di Regedit) nama dll mungkin diawali dengan sebuah pipa '|' agar terlihat di log.

O21 - ShellServiceObjectDelayLoad

Seperti apa rupanya:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Apa yang harus dilakukan:
Ini adalah metode autorun tidak terdokumentasi, biasanya digunakan oleh beberapa komponen sistem Windows. Item yang terdaftar di HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad dimuat oleh Explorer ketika Windows dimulai. HijackThis menggunakan daftar putih dari beberapa item SSODL yang sangat umum, jadi setiap kali item ditampilkan di log itu tidak diketahui dan mungkin berbahaya. Perlakukan dengan sangat hati-hati.

O22 - SharedTaskScheduler

Seperti apa rupanya:
O22 - SharedTaskScheduler: (tidak ada nama) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Apa yang harus dilakukan:
Ini adalah autorun tidak berdokumen untuk Windows NT / 2000 / XP saja, yang sangat jarang digunakan. Sejauh ini hanya CWS.Smartfinder yang menggunakannya. Perlakukan dengan hati-hati.

O23 - Layanan NT

Seperti apa rupanya:
O23 - Layanan: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Apa yang harus dilakukan:
Ini adalah daftar layanan non-Microsoft. Daftar ini harus sama dengan yang Anda lihat di utilitas Msconfig Windows XP. Beberapa pembajak trojan menggunakan layanan buatan sendiri dalam adittion ke startup lain untuk menginstal ulang sendiri. Nama lengkap biasanya terdengar penting, seperti 'Network Security Service', 'Workstation Logon Service' atau 'Remote Procedure Call Helper', tetapi nama internal (antara tanda kurung) adalah string sampah, seperti 'Ort'. Bagian kedua dari baris adalah pemilik file di bagian akhir, seperti yang terlihat pada properti file.

Perhatikan bahwa memperbaiki item O23 hanya akan menghentikan layanan dan menonaktifkannya. Layanan perlu dihapus dari Registry secara manual atau dengan alat lain. Dalam HijackThis 1.99.1 atau lebih tinggi, tombol 'Hapus Layanan NT' di bagian Misc Tools dapat digunakan untuk ini.