Kako uporabljam Trend Micro HijackThis?

Po prenosu in namestitvi najnovejše različice programa Trend Micro HijackThis odprite datoteko. Če računalnik ne more odpreti programa, poskusite datoteko preimenovati v nekaj drugega (na primer sniper.exe) in ga znova zagnati. Ko ste odprti, morate videti zaslon, podoben spodnjemu primeru.

Kliknite zadnji gumb "Nobeden od zgoraj navedenih, samo začnite program" in izberite gumb "Config ..". Preverite, ali so označena potrditvena polja za naslednje.

  • Naredite varnostne kopije pred popravljanjem elementov
  • Potrdite popravljanje in ignoriranje elementov
  • Prezrite nestandardne, vendar varne domene v IE
  • Vključite seznam potekajočih procesov v dnevnike

Ko preverite ali preverite, kliknite gumb Glavni meni .

Nato izberite prvi gumb Naredite skeniranje sistema in shranite dnevnik, da zaženete pregled sistema. Ko končate, boste videli zaslon, podoben spodnjemu primeru in novo okno Beležnice, ki prikazuje nov dnevnik HijackThis.

Če ustvarjate ta dnevnik za analizo na spletu, kopirajte celoten dnevnik v odložišče s pritiskom na Ctrl + A, da izberete celotno besedilo. Ko je označena, kliknite Uredi in Kopiraj. Ko končate, lahko to prilepite na stran foruma ali orodje HijackThis, kot je procesno orodje Computer Hope Windows.

Datoteka dnevnika HijackThis je shranjena tudi v računalniku v privzetem imeniku "C: programske datoteke Trend Micro HijackThis" in se lahko priloži objavi na forumu ali pošlje drugemu uporabniku v e-pošti, ki jo je treba analizirati.

Razumevanje rezultatov

Na prvi pogled se lahko zdi, da so rezultati presenetljivi, vendar dnevnik vsebuje vse informacije in možne lokacije, kjer lahko zlonamerna programska oprema napade vaš računalnik. Spodaj je kratek opis vsakega od teh razdelkov za splošno razumevanje, kaj so.

Pozor: HijackThis je napredni pripomoček in lahko spreminja register in druge sistemske datoteke, ki lahko povzročijo dodatne težave z računalnikom. Prepričajte se, da ste sledili zgornjim navodilom, izdelujete varnostne kopije sprememb in da ste seznanjeni s tem, kaj je popravljeno, preden popravite vse pregledane elemente.

Odseki R0 - R3

Vrednosti registra sistema Windows, ki so bile ustvarjene in spremenjene in se nanašajo na brskalnik Microsoft Internet Explorer. Pogosto zlonamerna programska oprema napada te registre, da spremeni privzeto domačo stran, stran za iskanje itd. Spodaj je primer vrednosti R0.

 R0 - HKCU Programska oprema Microsoft Internet Explorer Glavni, Začetna stran = //www.computerhope.com/ 

F0 - F3

Pregled vsega prikazanega, ki se nalaga iz datotek system.ini ali win.ini.

N1 - odseki N4

Podobno kot v odsekih R0-R3 so ti razdelki del datoteke prefs.js, ki se nanaša na brskalnike Netscape in Mozilla Firefox. Razdelki N1-N4 bodo napadeni zaradi spremembe privzete domače strani, iskalne strani itd.

Odsek O1

Ta razdelek bo vseboval preusmeritve gostiteljskih datotek, ki so bile izvedene v datoteki gostiteljev Windows. Preusmeritve so druga vrsta napada, ki preusmerja ime domene na drug naslov IP. Napad lahko na primer to uporabi za preusmeritev vašega bančnega URL-ja na drugo spletno mesto, da bi ukradli podatke o prijavi. Spodaj je primer linije O1.

 O1 - gostitelji: :: 1 localhost 

Odsek O2

Ta razdelek vsebuje vse internetne BHO-je (objekt brskalnika), ki ima v računalniku nameščen CLSID. Spodaj je primer linije O2.

 O2 - BHO: Pomočnik za povezave Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: Programske datoteke Skupne datoteke Adobe Acrobat ActiveX AcroIEHelper.dll 

Odsek O3

Ta razdelek bo osvetlil vse orodne vrstice Microsoft Internet Explorerja, ki so nameščene v računalniku. Čeprav obstaja veliko legitimnih orodnih vrstic brskalnika, obstajajo tudi številne zlonamerne orodne vrstice in orodne vrstice, ki jih namestijo drugi programi, ki jih morda ne želite. Spodaj je primer linije O3.

 O3 - Orodna vrstica: StumbleUpon orodna vrstica - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: Programske datoteke \ t 

Odsek O4

Eden od najpogosteje gledanih odsekov, razdelek O4 vsebuje vse programe, ki se samodejno nalagajo v registru sistema Windows ob vsakem zagonu računalnika. Spodaj je primer te vrstice.

 O4 - HKLM Zaženi: [NvCplDaemon] RUNDLL32.EXE C: WINDOWS system32 NvCpl.dll, NvStartup 

Odsek O5

V tem razdelku so prikazane vse ikone nadzorne plošče Windows, ki so bile onemogočene. Nekatera zlonamerna programska oprema lahko onemogoči nadzorno ploščo sistema Windows in tako prepreči odpravljanje težav, ki jih povzroči program.

Odsek O6

Če so pravilniki onemogočili Microsoftove možnosti Internet Explorerja, jih je treba popraviti.

Odsek O7

Ta razdelek se prikaže, če je dostop do urejevalnika registra (regedit) onemogočen. Če je prisoten, je treba določiti.

Odsek O8

V tem razdelku so prikazane vse dodatne funkcije, ki so bile dodane v Microsoft Internet Explorer. Spodaj je primer te vrstice.

 O8 - Dodatni kontekstni meni: & Windows Live Search - res: // C: Programske datoteke Orodna vrstica Windows Live msntb.dll / search.htm. 

Odsek O9

Tukaj bodo prikazani vsi dodatni gumbi ali elementi menija, ki so bili dodani v Microsoft Internet Explorer. Spodaj je primer te vrstice.

 O9 - Dodatni gumb: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: Programske datoteke StumbleUpon StumbleUponIEBar.dll. 

O10

V tem razdelku so prikazani vsi ugrabitelji Windows Winsock. Čeprav je mogoče te vrstice popraviti iz HijackThis zaradi tega, kako deluje Winsock, predlagamo, da uporabite LSP-Fix alternativno orodje, namenjeno popravljanju tega razdelka, če ga najdete. Spodaj je primer te vrstice.

 O10 - Neznana datoteka v Winsock LSP: c: okna system32 nwprovau.dll 

O11 odsek

Prikaže katero koli dodatno skupino, ki je bila dodana v odsek Microsoft Internet Explorer Advanced Options.

Odsek O12

V tem razdelku so prikazani vsi vtičniki Microsoft Internet Explorerja, ki so bili nameščeni v računalniku.

Odsek O13

Prikaže vse spremembe, ki so bile narejene v privzeti predponki // Microsoft Internet Explorer. Uporabi se, ko uporabnik vnese URL naslov, vendar ne doda "//" spredaj.

O14 odsek

V tem razdelku so prikazane vse spremembe v datoteki iereset.inf. Ta datoteka se uporablja pri obnovitvi nastavitev Microsoft Internet Explorerja na privzete nastavitve.

Odsek O15

Prikaže vse spremembe zaupanja vrednega območja Microsoft Internet Explorer. Razen če ste dodali ali prepoznali ta razdelek, predlagamo, da ga popravite prek HijackThis. Spodaj je primer linije O15.

 O15 - Zanesljiva cona: //www.partypoker.com 

Odsek O16

Prikaže vse Microsoft ActiveX elemente Internet Explorerja. Spodaj je primer te vrstice.

 O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. 

O17

V tem razdelku so prikazani morebitni morebitni DNS in domene. Spodaj je primer te vrstice.

 O17 - HKLM Sistem CCS Storitve Cpip {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Nameserver = 203.23.236.66 203.23.236.69. 

O18

Tukaj bodo prikazani vsi ugrabitelji protokolov. Če je ta del viden, je priporočljivo, da ga popravi HijackThis.

 O18 - Protokol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: PROGRA ~ 1 mcfee SITEAD ~ 1 mcieplg.dll. 

O19

V tem razdelku so prikazane vse spremenjene spremembe slogov CSS. Priporočljivo je, da uporabite HijackThis, da popravite ta razdelek, razen če uporabljate slogovne datoteke po meri.

O20

V tem razdelku se v tem razdelku prikaže vse, kar se nalaga prek APPInit_DLL ali Winlogon. Spodaj je primer vsake od teh vrstic.

 O20 - AppInit_DLLs: avgrsstx.dll 
 O20 - Winlogon Obvesti: SASWinLogon - C: Programske datoteke SUPERAntiSpyware SASWINLO.DLL. 

Odsek O21

Vse, kar se nalaga v registrski ključ Windows SSODL (ShellServiceObjectDelayLoad), bo prikazano v tem razdelku.

O22 odsek

Ta razdelek prikazuje vse registrske ključe programa Windows za avtorizacijo programa SharedTaskScheduler. Spodaj je primer te vrstice.

 O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: Windows System32 DreamScene.dll. 

Odsek O23

V tem razdelku so v tem razdelku prikazane vse storitve zagona Windows XP, NT, 2000, 2003 in Vista. Spodaj je primer te vrstice.

 O23 - Storitev: AVG8 E-mail skener (avg8emc) - AVG Technologies CZ, sro - C: PROGRA ~ 1 AVG AVG8 avgemc.exe. 

Odsek O24

Nazadnje, v oddelku O24 so nameščene vse komponente programa Microsoft Windows Active Desktop, ki so nameščene v računalniku. Razen če uporabljate Active Desktop ali prepoznate ime, predlagamo, da jih popravite. Spodaj je primer te vrstice.

 O24 - Namizna komponenta 1: (brez imena) - //mbox.personals.yahoo.com/mbox/mboxlist.