كيفية تحليل سجلات هيجكثيس

HijackThis هي أداة مجانية من Trend Micro. تم تطويره في الأصل من قبل Merijn Bellekom ، وهو طالب في هولندا. تقوم برامج إزالة برامج التجسس مثل Adaware أو Spybot S & D بعمل جيد في اكتشاف معظم برامج التجسس وإزالتها ، ولكن بعض برامج التجسس ومخترقي المستعرض خبيثون جدًا حتى بالنسبة إلى هذه الأدوات الرائعة لمكافحة برامج التجسس.

تم كتابة HijackThis خصيصًا لاكتشاف وإزالة عمليات الاستيلاء على المستعرضات ، أو البرامج التي تستحوذ على متصفح الويب لديك ، وتغيير الصفحة الرئيسية الافتراضية ومحرك البحث والأشياء الضارة الأخرى. بخلاف برامج مكافحة برامج التجسس التقليدية ، لا تستخدم HijackThis التواقيع أو تستهدف أي برامج أو عناوين URL محددة لاكتشافها وحظرها. بدلاً من ذلك ، يبحث HijackThis عن الحيل والأساليب المستخدمة بواسطة البرامج الضارة لإصابة نظامك وإعادة توجيه المتصفح.

ليس كل ما يظهر في سجلات HijackThis هو أشياء سيئة ويجب عدم إزالته جميعًا. في الواقع ، على العكس تماما. يكاد يكون مضمونًا أن تكون بعض العناصر في سجلات HijackThis الخاصة بك برامج مشروعة وقد تؤدي إزالة هذه العناصر إلى التأثير بشكل سلبي على نظامك أو جعله غير صالح تمامًا. استخدام HijackThis يشبه إلى حد كبير تحرير سجل Windows بنفسك. ليس علم الصواريخ ، ولكن يجب عليك بالتأكيد عدم القيام بذلك دون بعض التوجيه الخبراء ما لم تكن تعرف حقا ما تقوم به.

بمجرد تثبيت HijackThis وتشغيله لإنشاء ملف سجل ، هناك مجموعة واسعة من المنتديات والمواقع حيث يمكنك نشر أو تحميل بيانات السجل الخاصة بك. يمكن أن يساعدك الخبراء الذين يعرفون ما الذي تبحثون عنه في تحليل بيانات السجل وتقديم النصح بشأن العناصر المراد إزالتها وأيها يجب تركها بمفردها.

لتنزيل الإصدار الحالي من HijackThis ، يمكنك زيارة الموقع الرسمي في Trend Micro.

في ما يلي نظرة عامة على إدخالات السجل HijackThis التي يمكنك استخدامها للانتقال إلى المعلومات التي تبحث عنها:

• R0 و R1 و R2 و R3 - عناوين URL لصفحات بدء البحث / البحث في Internet Explorer
• F0 ، F1 - برامج Autoloading
• N1، N2، N3، N4 - Netscape / Mozilla Start / Search pages URLs
• O1 - يستضيف إعادة توجيه الملف
• O2 - كائنات مساعد المستعرض
• O3 - أشرطة أدوات Internet Explorer
• O4 - برامج Autoloading من التسجيل
• O5 - رمز خيارات IE غير مرئي في لوحة التحكم
• O6 - الوصول إلى خيارات IE مقيدة من قبل المسؤول
• O7 - تقييد الوصول إلى Regedit بواسطة المسؤول
• O8 - عناصر إضافية في قائمة النقر بزر الماوس الأيمن
• O9 - أزرار إضافية على شريط أدوات IE الرئيسي ، أو عناصر إضافية في قائمة IE 'Tools'
• O10 - اختطاف Winsock
• O11 - مجموعة إضافية في نافذة خيارات "خيارات متقدمة"
• O12 - اي البرنامج المساعد
• O13 - IE DefaultPrefix hijack
• O14 - اختطاف "إعادة تعيين إعدادات الويب"
• O15 - موقع غير مرغوب فيه في المنطقة الموثوق بها
• O16 - كائنات ActiveX (ويعرف أيضًا باسم ملفات البرامج التي تم تنزيلها)
• O17 - مختطفي مجال Lop.com
• O18 - البروتوكولات الإضافية وخوادم البروتوكول
• O19 - اختطاف ورقة أنماط المستخدم
• O20 - AppInit_DLLs سجل قيمة التشغيل التلقائي
• O21 - ShellServiceObjectDelayLoad مفتاح التسجيل التسجيل التلقائي
• O22 - SharedTaskScheduler التسجيل مفتاح التسجيل التلقائي
• O23 - خدمات Windows NT

R0 و R1 و R2 و R3 - صفحات البدء وابحث عن IE

ما يبدو عليه:R0 - HKCU Software Microsoft Internet Explorer Main ، صفحة البدء = http://www.google.ae/R1 - HKLM Software Microsoft InternetExplorer Main، Default_Page_URL = http://www.google.ae/R2 - (لم يتم استخدام هذا النوع من قبل HijackThis حتى الآن)R3 - Default URLSearchHook مفقود

ماذا أفعل:إذا تعرفت على عنوان URL في النهاية كصفحتك الرئيسية أو محرك البحث ، فلا بأس. إذا لم تقم بذلك ، فتحقق منه وقم بإصلاح HijackThis. بالنسبة لعناصر R3 ، قم دائمًا بإصلاحها ما لم تذكر برنامجًا تعرفه ، مثل Copernic.

F0 ، F1 ، F2 ، F3 - برامج Autoloading من ملفات INI

ما يبدو عليه:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

ماذا أفعل:تكون عناصر F0 سيئة دائمًا ، لذا عليك إصلاحها. تكون عناصر F1 عادةً برامج قديمة جدًا آمنة ، لذا يجب أن تجد بعض المعلومات الإضافية على اسم الملف لمعرفة ما إذا كانت جيدة أو سيئة. يمكن أن تساعد قائمة بدء التشغيل الخاصة بككمان في تحديد عنصر.

N1، N2، N3، N4 - Netscape / Mozilla Start & Search page

ما يبدو عليه:N1 - Netscape 4: user_pref "browser.startup.homepage"، "www.google.com")؛ (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage"، "http://www.google.com")؛ (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine"، "engine: //C٪3A٪5CProgram٪20Files٪5CNetscape٪206٪5Csearchplugins٪5CSBWeb_02.src")؛ (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

ماذا أفعل:عادةً ما تكون الصفحة الرئيسية لـ Netscape و Mozilla وصفحة البحث آمنة. نادرًا ما يتم اختراقهم ، يُعرف Lop.com فقط بالقيام بذلك. إذا رأيت عنوان URL لا تعرفه كصفحتك الرئيسية أو صفحة البحث ، فعليك بإصلاح HijackThis.

O1 - إعادة توجيه Hostsfile

ما يبدو عليه:O1 - المضيفين: 216.177.73.139 auto.search.msn.comO1 - المضيفون: 216.177.73.139 search.netscape.comO1 - المضيفون: 216.177.73.139 ieautosearchO1 - يوجد ملف Hosts في C: Windows Help hosts

ماذا أفعل:سيؤدي هذا الاختطاف إلى إعادة توجيه العنوان إلى اليمين إلى عنوان IP إلى اليسار.إذا كان عنوان IP لا ينتمي إلى العنوان ، فسيتم إعادة توجيهك إلى موقع خاطئ في كل مرة تدخل فيها العنوان. يمكنك دائمًا إصلاح HijackThis هذه ، ما لم تعمد وضع هذه الخطوط في ملف Hosts.

يحدث العنصر الأخير أحيانًا في Windows 2000 / XP مع إصابة Coolwebsearch. قم دائمًا بإصلاح هذا العنصر ، أو قم بإصلاح CWShredder تلقائيًا.

O2 - كائنات مساعد المستعرض

ما يبدو عليه:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (الملف مفقود)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

ماذا أفعل:إذا كنت لا تتعرف مباشرة على اسم كائن مساعد المستعرض ، استخدم BHO & Toolbar List الخاص بشركة TonyK للعثور عليه بواسطة معرف الفئة (CLSID ، الرقم بين الأقواس المتعرجة) ومعرفة ما إذا كان جيدًا أو سيئًا. في قائمة BHO ، تعني كلمة "X" برامج التجسس و "L" تعني الأمان.

O3 - أشرطة أدوات IE

ما يبدو عليه: O3 - شريط الأدوات: & ياهو! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - شريط الأدوات: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (الملف مفقود)O3 - شريط الأدوات: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

ماذا أفعل:إذا لم تتعرف مباشرةً على اسم شريط الأدوات ، فاستخدم قائمة BHO & Toolbar الخاصة بشركة TonyK للعثور عليها بواسطة معرف الفئة (CLSID ، والعدد بين الأقواس المتعرجة) ومعرفة ما إذا كانت جيدة أو سيئة. في "قائمة شريط الأدوات" ، تعني كلمة "X" برامج التجسس و "L" تعني الأمان. إذا لم يكن في القائمة ويشير الاسم إلى سلسلة عشوائية من الأحرف وكان الملف في مجلد "بيانات التطبيق" (مثل آخر مجلد في الأمثلة أعلاه) ، فمن المحتمل أن يكون Lop.com ، ويجب بالتأكيد أن يكون لديك إصلاح HijackThis ذلك.

O4 - برامج Autoloading من التسجيل أو مجموعة بدء التشغيل

ما يبدو عليه:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - بدء التشغيل: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - بدء التشغيل العالمي: winlogon.exe

ماذا أفعل:استخدم قائمة بدء تشغيل PacMan للعثور على الإدخال ومعرفة ما إذا كان جيدًا أو سيئًا.

إذا كان العنصر يعرض برنامجًا يجلس في مجموعة بدء التشغيل (مثل العنصر الأخير أعلاه) ، فلن يتمكن HijackThis من إصلاح العنصر إذا كان هذا البرنامج لا يزال في الذاكرة. استخدم إدارة مهام Windows (TASKMGR.EXE) لإغلاق العملية قبل إصلاحها.

O5 - خيارات IE غير مرئية في لوحة التحكم

ما يبدو عليه: O5 - control.ini: inetcpl.cpl = no

ماذا أفعل:ما لم تقم أنت أو مسؤول النظام لديك بإخفاء الرمز من لوحة التحكم عن علم ، فقم بإصلاح HijackThis له.

O6 - الوصول إلى خيارات IE مقيدة من قبل المسؤول

ما يبدو عليه:O6 - HKCU Software Policies Microsoft Internet Explorer Restrictions الحالي

ماذا أفعل:ما لم يكن لديك الخيار Spybot S & D 'Lock homepage from changes' active ، أو وضع مسؤول النظام هذا في مكانه ، فقم بإصلاح HijackThis هذا.

O7 - تقييد الوصول إلى Regedit بواسطة المسؤول

ما يبدو عليه:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System، DisableRegedit = 1

ماذا أفعل:احرص دائمًا على إصلاح HijackThis هذا ، ما لم يضع مسؤول النظام هذا التقييد في مكانه.

O8 - عناصر إضافية في قائمة النقر بزر الماوس الأيمن

ما يبدو عليه: O8 - عنصر قائمة سياق إضافي: & بحث Google - الدقة: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - عنصر قائمة سياق إضافي: Yahoo! البحث - ملف: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - عنصر قائمة سياق إضافي: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - عنصر قائمة سياق إضافي: Zoom O & ut - C: WINDOWS WEB zoomout.htm

ماذا أفعل:إذا لم تتعرف على اسم العنصر في قائمة النقر بزر الماوس الأيمن في IE ، فعليك بإصلاح HijackThis.

O9 - أزرار إضافية على شريط أدوات IE الرئيسي ، أو عناصر إضافية في قائمة IE 'Tools'

ما يبدو عليه: O9 - زر إضافي: Messenger (HKLM)O9 - menuitem إضافي "الأدوات": Messenger (HKLM)O9 - زر إضافي: AIM (HKLM)

ماذا أفعل:إذا لم تتعرف على اسم الزر أو عنصر القائمة ، فعليك بإصلاح HijackThis.

O10 - مختطفو Winsock

ما يبدو عليه: O10 - الوصول إلى الإنترنت المخطَط بواسطة New.NetO10 - الوصول إلى الإنترنت المكسور بسبب وجود موفر LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' مفقودO10 - ملف غير معروف في Winsock LSP: c: program files newton knows vmain.dll

ماذا أفعل:من الأفضل إصلاح هذه باستخدام LSPFix من Cexx.org أو Spybot S & D من Kolla.de.

لاحظ أن الملفات "غير المعروفة" في مكدس LSP لن يتم إصلاحها بواسطة HijackThis ، وذلك بالنسبة لقضايا الأمان.

O11 - مجموعة إضافية في نافذة خيارات "خيارات متقدمة"

ما يبدو عليه: O11 - مجموعة الخيارات: CommonName CommonName

ماذا أفعل:الخاطف الوحيد حتى الآن الذي يضيف مجموعة خياراته الخاصة إلى نافذة خيارات IE المتقدمة هو CommonName. لذلك يمكنك دائمًا إصلاح HijackThis هذا.

O12 - اي البرنامج المساعد

ما يبدو عليه: O12 - البرنامج المساعد ل. spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - البرنامج المساعد لـ .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

ماذا أفعل:معظم الوقت آمن. فقط OnFlow يضيف البرنامج المساعد هنا أنك لا تريد (.ofb).

O13 - IE DefaultPrefix hijack

ما يبدو عليه: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl؟url=O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi؟O13 - WWW. البادئة: http://ehttp.cc/؟

ماذا أفعل:هذه دائما سيئة. هل لديك HijackThis إصلاحها.

O14 - اختطاف "إعادة تعيين إعدادات الويب"

ما يبدو عليه: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

ماذا أفعل:إذا لم يكن عنوان URL هو موفر الكمبيوتر الخاص بك أو موفر خدمة الإنترنت ، فقم بإصلاح HijackThis.

O15 - مواقع غير مرغوب فيها في المنطقة الموثوق بها

ما يبدو عليه: O15 - المنطقة الموثوق بها: http://free.aol.comO15 - المنطقة الموثوق بها: * .coolwebsearch.comO15 - المنطقة الموثوق بها: * .msn.com

ماذا أفعل:معظم الوقت فقط AOL و Coolwebsearch بصمت إضافة مواقع إلى المنطقة الموثوق بها. إذا لم تضف النطاق المدرج إلى "منطقة موثوق بها" بنفسك ، فعليك بإصلاح HijackThis.

O16 - كائنات ActiveX (ويعرف أيضًا باسم ملفات البرامج التي تم تنزيلها)

ما يبدو عليه: O16 - DPF: Yahoo! دردشة - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ماذا أفعل:إذا لم تتعرف على اسم الكائن أو عنوان URL الذي تم تنزيله منه ، فعليك بإصلاح HijackThis. إذا كان الاسم أو عنوان URL يحتوي على كلمات مثل "dialer" و "casino" و "free_plugin" ، إلخ ، فقم بالتأكيد بإصلاحها. يحتوي SpywareBlaster Javacool's على قاعدة بيانات ضخمة من كائنات ActiveX الخبيثة التي يمكن استخدامها للبحث عن CLSIDs. (انقر بزر الماوس الأيمن على القائمة لاستخدام وظيفة البحث.)

O17 - Lop.com domain hijacks

ما يبدو عليه: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14،69.57.147.175

ماذا أفعل:إذا لم يكن النطاق من ISP أو شبكة الشركة ، فقم بإصلاح HijackThis له. وينطبق نفس الشيء على إدخالات "SearchList". بالنسبة إلى إدخالات "خادم NameServer" (خوادم DNS) ، فإن Google خاصة بـ IP أو عناوين IP وسيكون من السهل معرفة ما إذا كانت جيدة أو سيئة.

O18 - البروتوكولات الإضافية وخوادم البروتوكول

ما يبدو عليه: O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - البروتوكول: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

ماذا أفعل:يظهر فقط عدد قليل من المخترقين هنا. الأشرار المعروفون هم 'cn' (CommonName) و 'ayb' (Lop.com) و 'relatedlinks' (Huntbar) ، يجب أن يكون لديك HijackThis حل تلك. الأشياء الأخرى التي تظهر إما أنها غير مؤمنة حتى الآن ، أو يتم اختراقها (بمعنى أنه قد تم تغيير CLSID) بواسطة برامج التجسس. في الحالة الأخيرة ، قم بإصلاح HijackThis.

O19 - اختطاف ورقة أنماط المستخدم

ما يبدو عليه: O19 - ورقة أنماط المستخدم: c: WINDOWS Java my.css

ماذا أفعل:في حالة وجود تباطؤ في المتصفح ونوافذ منبثقة بشكل متكرر ، قم بإصلاح HijackThis هذا العنصر إذا كان يظهر في السجل. ومع ذلك ، بما أن Coolwebsearch فقط هو الذي يقوم بذلك ، فمن الأفضل استخدام CWShredder لإصلاحه.

O20 - AppInit_DLLs سجل قيمة التشغيل التلقائي

ما يبدو عليه: O20 - AppInit_DLLs: msconfd.dll

ماذا أفعل:تحميل قيمة التسجيل الموجودة في HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows DLL في الذاكرة عند تسجيل دخول المستخدم ، وبعدها يبقى في الذاكرة حتى تسجيل الخروج. عدد قليل جدًا من البرامج الشرعية تستخدمه (يستخدم Norton CleanSweep APITRAP.DLL) ، ويتم استخدامه في أغلب الأحيان بواسطة trojans أو مخترقي المستعرض العدائي.

في حالة تحميل DLL "مخفي" من قيمة التسجيل هذه (المرئية فقط عند استخدام خيار "تحرير البيانات الثنائية" في Regedit) قد يكون اسم dll مسبوقًا بأنبوب توجيه '|' لجعلها مرئية في السجل.

O21 - ShellServiceObjectDelayLoad

ما يبدو عليه: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

ماذا أفعل:هذا هو أسلوب autorun غير موثقة ، تستخدم عادة من قبل عدد قليل من مكونات نظام ويندوز. يتم تحميل العناصر المسردة في HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad بواسطة Explorer عند بدء تشغيل Windows. يستخدم HijackThis قائمة بيضاء بالعديد من عناصر SSODL الشائعة ، لذا فعندما يتم عرض عنصر في السجل ، فإنه غير معروف وربما ضار. تعامل بعناية فائقة.

O22 - SharedTaskScheduler

ما يبدو عليه: O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

ماذا أفعل:هذا هو أوتورون غير موثقة لنظام التشغيل Windows NT / 2000 / XP فقط ، والذي يستخدم في حالات نادرة جدا. حتى الآن فقط CWS.Smartfinder يستخدمه. تعامل بعناية.

O23 - خدمات NT

ما يبدو عليه: O23 - الخدمة: كيريو Personal Firewall (PersFw) - كيريو تكنولوجيز - C: ملفات البرنامج كيريو Personal Firewall persfw.exe

ماذا أفعل:هذا هو قائمة الخدمات غير التابعة لشركة Microsoft.يجب أن تكون القائمة هي نفسها التي تراها في الأداة المساعدة Msconfig لنظام التشغيل Windows XP. العديد من الخاطفين طروادة تستخدم خدمة محلية الصنع في adittion إلى الشركات الناشئة الأخرى لإعادة تثبيت أنفسهم. عادةً ما يكون الاسم الكامل مهمًا ، مثل "Network Security Service" أو "Workstation Logon Service" أو "Remote Callure Call Helper" ، ولكن الاسم الداخلي (بين قوسين) عبارة عن سلسلة من القمامة ، مثل "Ort". الجزء الثاني من الخط هو مالك الملف في النهاية ، كما هو موضح في خصائص الملف.

لاحظ أن إصلاح عنصر O23 سيؤدي فقط إلى إيقاف الخدمة وتعطيلها. يجب حذف الخدمة من السجل يدويًا أو باستخدام أداة أخرى. في HijackThis 1.99.1 أو أعلى ، يمكن استخدام الزر "حذف خدمة NT" في قسم أدوات متنوعة لهذا الغرض.