Daneyên Têkilandinê Têkilî Ji bo Malpera Spyware û Hijackers Destnîşankirin
Hijack Ev amûrek belaş e ji Trend Micro. Ew yekem ji hêla Merijn Bellekom ve hat xwendin bû, xwendekarên li Holandayê. Sazkirina bernameyên Spyware yên wekî Adaware an Spybot S & D karên herî baş dike ku bernameyên herî spyware digirin, lê hin spyware û hijackerên gerîla ji bo van karanîna antî-spyware jî pir tirsnak in.
HijackThis taybetî bi taybetî tête nivîsîn ku ji bo hijacksê gerokê, an jî nivîsbarek ku geroka geroka xwe li ser malpera xwe digire, rûpelê malpera xwe ya default default û tiştên lêgerîn û tiştên din ên xerab ên din bibîne. Heke nermalava antî-spyware-ê, Hijack ev nayê îmzekirin bikar anîne an jî bernameyên taybetî yên taybetmendî an URL-ê ji bo bizanin û asteng bikin. Bêguman, Hijacke ji bo malware ji bo pergala te veguherîne û geroktorê xwe veguherîne ji bo rêbaz û rêbazên ku têne bikaranîn.
Ne her tiştek ku di nav Hijackê de nîşan dide. Têketin têketin e. Di rastiyê de, pir rexne. Ew garantî dike ku hin tiştên ku di Hijackê de têketin têketin tête nivîsandin dê software paqij e û ew hilweşîn dikarin sîstemên xwe bandorek bandor bikin yan jî bi temamî nerazî ne. Bikaranîna Hijackê ye. Vê yekê wekî gelemperî pirtûka Registry Windows ye . Ew ne zanyariyek zehmet e, lê hûn bê guman bêyî ku rêberê ku pispor dizanin ku tu tiştek bizanin, rêve bikin.
Dema ku hûn HijackThis saz bikin û ji bo ku hûn pelê navnîşana xwe re bişînin yan jî hilbijêre ku gelek pelan û malperên cuda hene hene. Pisporên ku dizanin ka çi çi digerin dikare hûn ê alîkariya we daneyên daneyên şirove bikin û we pêşniyar dikin ku li ser kîjan tiştên ku jêbirin û kîjan kesên tenê tenê derkeve.
Ji bo ku guhertoya niha ya Hijackê dakêşin, hûn dikarin malpera fermî li Trend Micro.
Li vir li ser çavdêriya Hijack e. Vê navnîşan têketin ku hûn dikarin bikaribin ji bo agahdariya ku hûn digerin bikişînin:
- R0, R1, R2, R3 - Rûpelên destpêk / Search Search URLs
- F0, F1 - bernameyên Autoloading
- N1, N2, N3, N4 - Netscape / Mozilla Rûpelên Destpêk / Lêgerîn URL
- O1 - Dabeşandina pelên Hosts
- O2 - Arîkarên Gerokê Browser
- O3 - Toolbars Internet Explorer
- O4 - Bernameyên Autoloading ji Registry
- O5 - IE Nîşana Bijarte ne di kontrola Panel Control
- O6 - Gelek bijartên Hilbijartina IE ji hêla rêveberiyê ve girêdayî ye
- O7 - Ji hêla rêvebiriya qedexekirina veguhestinê re veguhestin
- O8 - Amûrên din ên di IE de menuê rast-click
- O9 - Bişkojkên Extra li ser bingeha IE toolbar, an jî tiştên bêtir di IE 'Menu' menu
- O10 - Winsock hijacker
- O11 - Gelek grûp li IE 'Window Options Advanced Advanced'
- O12 - IE plugins
- O13 - IE DefaultPrefix hijack
- O14 - Hijack 'Web Settings Re-Reset'
- O15 - Malpera Xeletî ya Li Qeddahiyê ne
- O16 - ÇalakX ActiveX (aka Daxistin Programên Daxistin)
- O17 - Lop.com domain hijackers
- O18 - Protokolên û protokola hijackerên din
- O19 - pirtûka koda bikarhêner hijack
- O20 - AppInit_DLLs nirxa xweya xweya xweyî
- O21 - ShellServiceObjectDelayLoad autorun key registry
- O22 - SharedTaskScheduler xweya xweya kaxizê
- O23 - Xizmetên Windows NT
R0, R1, R2, R3 - IE Rûpelên Destpêk û Lêgerîn
Wê ku ew xuya dike:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Destpêk, Destpêk Rûpel = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (ev cure ji hêla Hijackê ve nehatiye bikaranîn)
R3 - Default URLSearchHook e
Çi bikin:
Heke ku hûn di nav dawiyê de malpera we yan navnîşê lêgerînê URL, nas dikin. Heke hûn nekin, kontrol bikin û li Hijackê ye. Ji bo R3 tomar, her tim herdem herdem heya heya bernameyek ku we nas kirine, wekî Kopernic.
F0, F1, F2, F3 - pelên Autoloading ji pelên INI
Wê ku ew xuya dike:
F0-system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Çi bikin:
F0 fonksiyonên her tim xerab in, da ku ew rast bikin. F1 fêrên gelemperî gelemperî bernameyên kevn ên kevn ên ku ewle ne nebe, da ku hûn di pelê navê xwe de bêtir agahdarî bibînin ku bibînin ka ew baş an xirab e. Lîsteya Pacman ya Pêdivî ye ku bi destnîşan kirina tiştek.
N1, N2, N3, N4 - Netscape / Mozilla Destpêk & amp; Rûpelê lêgerîn
Wê ku ew xuya dike:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ bikarhênerên \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Belgekirin û Settings \ Bikarhêner \ Danezana Înformasyon \ Mozilla \ profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Belgekirin û Settings \ Bikarhêner \ Danezana Înformasyon \ Mozilla \ profiles \ defaulto9t1tfl.slt \ prefs.js)
Çi bikin:
Bi gelemperî navnîşên Netscape û Malîla û rûpelê lêgerînê ewle ne. Ew kêm caran bihejirandin, tenê Lop.com tê zanîn ku ev e. Ma hûn kîjan URL-ê ku hûn ne wek malpera xwe an nasnameya xwe nas nakin, bibînin Hijack.
O1 - Guherandinên Hostsfile
Wê ku ew xuya dike:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hêzên: 216.177.73.139 wekîautosearch
O1 - pelên Hostsê li C: \ Windows \ Alîkarî \ hosts hene
Çi bikin:
Ev hijack dê navnîşa navnîşa IPyê navnîşa IP-ê yê çepê veguherîne. Heke IP-ê ji navnîşana adresê ne, hûn ê di malpera çewt a çewt de veguherin bêne ku hûn navnîşan navnîşan bikin. Hûn dikarin herdem her hejmar in
Gelek caran carî di Windows 2000 / XP de bi infeksiyonek Coolwebsearch pêk tê. Bi vî awayî vê yekê şaş bike, an jî CWShredder bixweber bixweber bike.
O2 - Arîkarên Gerokê Browser
Wê ku ew xuya dike:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (pelê winda)
O2 - BHO: Pêşxistin MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENRANCED \ ME1.DLL
Çi bikin:
Heke hûn bi rasterast navekî navnîşa gerokkerê nas bikin,, Lîsteya TonyK ya BHO û Lîsteya Toolbar bikar bînin ku ji hêla nasnameya dersa (CLSID, hejmara navên di navbera kincên kûçik) de bibînin û bibînin ka ew baş e an xirab e. Li Lîsteya BHO, 'X' wateya wateya spyware û 'L' tê wateya ewle.
O3 - IE toolbars
Wê ku ew xuya dike:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (pelê winda)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA APPLICATION DATA \ CKSTPRLLNQUL.DLL
Çi bikin:
Heke hûn bi rasterast navê navekî toolbar nas nakin, Lîsteya TonyK ya BHO û Lîsteya Toolbar bikar bînin ku ji hêla nasnameya klasiyê (CLSID, hejmara navên di navbera kûçikan de) bibînin û bibînin ka ew baş e an xirab e. Li Lîsteya Toolbarê, 'X' wateya wateya spyware û 'L' tê wateya ewle. Heke ne li ser lîsteyê ne û navê navekî tengahî ya xemgîn e û pelê li peldanka 'Databa Dikarîn' (e ku mînakek li jorên jorîn li jor) li ser e, lê dibe ku Lop.com, û divê hûn bi awayekî hijack ew.
O4 - bernameyên Autoloading ji Ji Komputerê an Destûra Destpêk
Wê ku ew xuya dike:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Nîqaşên Hevpeyman / Hevpeymaniya Heval \ ccApp.exe"
O4 - Destpêk: Microsoft Office.lnk = C: \ Programên pelan \ Ofîsa Microsoft-Office \ OSA9.EXE
O4 - Destpêk Globalê: winlogon.exe
Çi bikin:
Lîsteya navîgasyonê ya PacMan bikar bînin û bibînin ka ew baş e an xirab e.
Heke ku ev tiştek bernameyeke di rûniştina destpêkê de rûniştin nîşan bide (wekî mîna paşê hejmarê), Hijack. Heke ev bernameyê hîn di bîranînê de heya nikare tiştê rast bike. Ji bo pêvajoyek pêşîkirina pêvajoyê vekin ku rêveberê Windows Task Manager (TASKMGR.EXE) bikar bînin.
Vebijêrkên IE-O5-ê di Panela Controlê de nayê dîtin
Wê ku ew xuya dike:
O5-control.ini: inetcpl.cpl = no
Çi bikin:
Heke ku hûn an birêveberê pergala we dizanin ji peldanka Control Control ve veşartî, Hijack ev e.
O6 - Gelek bijartên Hilbijartina IE ji hêla rêveberiyê ve girêdayî ye
Wê ku ew xuya dike:
O6 - HKCU \ Software \ Polîtîkayên \ Microsoft \ Internet Explorer \ Restrîmên heyî hene
Çi bikin:
Heke ku hûn li bijartina S & D ya 'guhertina malperê ji guhertinên' çalak, an jî rêveberê pergala xweya vê de cih derxistin, hijack heye.
O7 - Ji hêla rêvebiriya qedexekirina veguhestinê re veguhestin
Wê ku ew xuya dike:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Çi bikin:
Herdem Hijack heye. Heke vê rêveberê pergala we ya vê sînorê dorpêkiriye vê yekê rast bike.
O8 - Amûrên din ên di IE de menuê rast-click
Wê ku ew xuya dike:
O8 - Mîhengên pirtirkêmtirîn pirtûkê: & Peldanka Google - res: // C: \ WINDOWS \ PROGRAM PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Mîhengên pirtirkêmtiriya pirtûkê: Yahoo! Daxistinê - pelê: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Mîhengên pirtirkêmtir a pirtûkê: Zoom & In-C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Mîhengên pirtirkêmtiriya pirtûkê: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Çi bikin:
Heke ku hûn navnîşa navnîşê li IE-ê menu-ê binivîse, li Hijackê ye.
O9 - Bişkojkên Extra li ser IE toolbars, an tiştên din hene di IE & # 39; Tools & # 39; qerta xûrekê
Wê ku ew xuya dike:
O9 - Bixebitîne: Messenger (HKLM)
O9 - Extra 'Tools' Extra: Messenger (HKLM)
O9 - Bixebitîne: AIM (HKLM)
Çi bikin:
Heke hûn navê navnîşê an an naveroka pirtûkê nas nakin, Hijack ev e.
O10 - Winsock hijackers
Wê ku ew xuya dike:
O10 - Hatina Înternetê ya Hijacked by New.Net
O10 - Ji bo LSP pêşkêşkar 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' winda kirina wendakirinê înternet
O10 - pelê nenas li Winsock LSP: c: \ pelên bernameya \ bernameya nû \ vmain.dll dizane
Çi bikin:
Ev çêtirîn e ku ji van LSPFix re ji Cexx.org, an jî Spybot S & D ji Kolla.de re çêbikin.
Têbînî ku pelên 'nenas' di stama LSP de dê ji hêla ewlehiyê re HijackThis ne diyar nake.
O11 - Gelek grûp di IE & # 39; Hilbijêrên Pêşveçûn û # 39; pace
Wê ku ew xuya dike:
O11 - Koma Birêveberê: [CommonName] CommonName
Çi bikin:
Tenê hijacker ji hêla ku komên xwe vebijêrkên xwe hilbijêre to IE-Vebijêrkên Pêvajoya Pêşkeftî CommonName. Ji ber vê yekê hûn herdem herdem Hijack.
O12 - IE plugins
Wê ku ew xuya dike:
O12 - Plugin ji bo spsp: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin ji bo PDF: C: \ Dosyayên Bernameyê \ Explorer Explorer \ PLUGINS \ nppdf32.dll
Çi bikin:
Piraniya wan ew saxlem in. Tenê OnFlow li vir vala plugin nabe ku tu dixwazî (.ofb) ne.
O13 - IE DefaultPrefix hijack
Wê ku ew xuya dike:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Çi bikin:
Ev herdem xerab in. Hijack Here.
O14 - & # 39; Sîstema Webê Reet & # 39; revandin
Wê ku ew xuya dike:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Çi bikin:
Heke ku URL ne pêşkêşkara we ya komputer an ISP ya we ne, Hijackê ye.
O15 - Malperên Xeletî yên li Trusted Zone
Wê ku ew xuya dike:
O15 - Zevî Trusted: http://free.aol.com
O15 - Zevî Betel: * .coolwebsearch.com
O15 - Zebûr: * .msn.com
Çi bikin:
Piraniya we tenê tenê AOL û Coolwebsearch ji hêla zeviyên herêmê yên Trust Trust ve zêde bike. Heke ku hûn lîsteya navnîşê lîsteya navnîşa trusted zone xwe zêde nakin, Hijack heye.
O16 - ÇalakX ActiveX (aka Daxistin Programên Daxistin)
Wê ku ew xuya dike:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ((Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Çi bikin:
Heke hûn navê nav neyînî nas bikin an jî URL-ê ji hêla daxistin, ji Hijackê re çêbikin. Heke navê navnîşan an jî URL bi peyvên 'dialer', 'casino', 'free_plugin' hûrdûr hene, hingî wê rast bike. Javacool's SpywareBlaster heye ku databasek ji hêla ActiveX vekirî ye ku ji bo ku ji bo dîtina CLSID ve tê bikaranîn. (Lîsteya navîgasyonê da ku bikar bînin karê Fêrbûnê.)
O17 - Lop.com domain hijacks
Wê ku ew xuya dike:
O17 - HKLM \ System \ CCS \ Xizmetên \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Xizmetên \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Xizmetên \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Xizmet \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Xizmet \ VxD \ MSTCP: Navê Serser = 69.57.146.14,69.57.147.175
Çi bikin:
Heke ji navnîşa we ne ji ISP an nexşeya şirket e ne, Hijack ev e. Di heman demê de ji bo 'FindList' ve tê. Ji bo navnîşên "Navnîşan DNS" , Google ji IP an IP an jî ew ê hêsantir dibe ku bibînin ku ew baş e an xirab in.
O18 - Protokolên û protokola hijackerên din
Wê ku ew xuya dike:
O18 - Protokola têkildarî - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protokola hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Çi bikin:
Tenê hijacker li vir têne nîşanî. Peyvên naskirî 'cn' (CommonName), 'ayb' (Lop.com) û 'relatedlinks' (Huntbar), divê hûn Hijack. Tiştên din ên ku nîşan didin an jî ne piştrastkirî ne, yan jî ji hêla spyware ve hatin şaş kirin (an jî wekî CLSID hate guherandin). Di rewşeke dawî de, Hijack heye.
O19 - pirtûka koda bikarhêner hijack
Wê ku ew xuya dike:
O19 - Pirtûka bikarhênerê: c: \ WINDOWS \ Java \ my.css
Çi bikin:
Di rewşeke gerdûnk û demên popupê de, hijack heye heger ew di nav logê de nîşan bide. Lê belê, ji ber ku Tenê Coolwebsearch ev dike, ew çêtir e ku ji bo CWShredder bikar bînin ku rast bike.
O20 - AppInit_DLLs nirxa xweya xweya xweyî
Wê ku ew xuya dike:
O20 - AppInit_DLLs: msconfd.dll
Çi bikin:
Nirxa vê Registry ya li HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows loads a DLL tête dema ku bikarhêner têketin, piştî ku ew di dema logoff. Bernameyên hindik ên rastdar ên wê bikar bînin (Norton CleanSweep Bikaranîna APITRAP.DLL), pir caran pir caran ji hêla trojansê yan jî hijackersgerên agressive bikar tê bikaranîn.
Di rewşê ya DLL 'veşartî' ya ji vê qeydê ya Registry (tenê dema ku 'Bikaranîna Daneyên Binary Veşêre' di Regeditê de tê bikaranîn) bikar bîne) navnîşa dll dikare bi pipe re pêşî vekirî ye '|' ji bo têketinê têketinê binêrin.
O21 - ShellServiceObjectDelayLoad
Wê ku ew xuya dike:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Çi bikin:
Ev rêbazek xweser a autorun e, bi gelemperî ji hêla çend hûrgehên pergalê ve tê bikaranîn. Heya ku li Windows HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Windows \ CurrentVersion \ HellServiceObjectDelayLoad veguhestin ku Explorer dest pê dike. HijackThis pirtirkêmtirîn ji hêla SSODL gelek gelemperî tê bikaranîn, da ku heke heke heke di navnîşan de tête xuya kirin ew ne diyar e û dibe ku dibe ku xerab e. Tenduristî bi tedawî derman bikin
O22 - SharedTaskScheduler
Wê ku ew xuya dike:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Çi bikin:
Ev yek ji xweya Windows NT / 2000 / XP ya autorun e, ku bi gelemperî kêm tê bikaranîn. Heya niha tenê CWS. Dermankirina lênêrînê
O23 - Xizmetên Niştimanî
Wê ku ew xuya dike:
O23 - Xizmet: Cario Personal Personalwall (PersFw) - Kario Teknolojîk - C: \ Program Files \ Kerio / Personalwallwall \ persfw.exe
Çi bikin:
Ev lîsteya ne xizmetên ne-Microsoft e. Lîsteya wisa wekî wek ku tu di karanîna Msconfig de Windows XP de bibîne. Gelek trojan hijackers di xizmetê de bi destûra din ve destnîşan bikin ku bi xwe vekin bikin. Navê navîn gelemperî girîng e, wekî 'Ewlekariya Ewlekariya Ewlekariya Niştimanî', 'Xizmetkirina Logon-Karkirina Karkeriya Karkerê' an 'Daxistina Rûwaya Rûsyayê' ye, lê navê navxweyî navîn (cûrên navxweyî) cûreyek garbage, mîna 'Ort'. Beşa duyemîn ya rêza xwediyê pelê di dawiyê de, wekî ku di taybetmendiyên pelan de dîtiye.
Têbînî ku lihevkirina O23 tiştek tenê tenê xizmetê rawestîne û jêbirin. Pêdivî ye ku xizmeta ku ji destûra Registry ve an jî bi amûrek din ve jêbirin. Di Hijackê 1.99.1 an zêdetir, pirtûka 'Xizmetkirina NTP ya' di beşa Amûrên Wêjeya Cûda de dikare ji bo vê bikar tînin bê bikaranîn.