Како анализирати ХијацкТхис дневнике

Тумачење података о дневнику да бисте уклонили отмичаре од шпијунског софтвера и претраживача

ХијацкТхис је бесплатна алатка компаније Тренд Мицро. Првобитно га је развио Меријн Беллеком, студент из Холандије. Софтвер за уклањање спиваре-а, као што је Адаваре или Спибот С & Д, чини добар посао откривања и уклањања већине шпијунских програма, али неки отмичари шпијунског софтвера и претраживача су превише подмазани за чак и ове велике анти-спиваре услуге.

ХијацкТхис је написан посебно ради откривања и уклањања хијацких претраживача или софтвера који преузима ваш веб прегледач, мења подразумевану почетну страницу и претраживач и друге злонамерне ствари. За разлику од типичног софтвера за заштиту од спиваре-а, ХијацкТхис не користи сигнате нити циља ни неке специфичне програме или УРЛ-ове за откривање и блокирање. Уместо тога, ХијацкТхис тражи трикове и методе које користи злонамерни софтвер да заразе ваш систем и преусмеравају ваш претраживач.

Није све што се појављује у дневницима ХијацкТхис-а лоше ствари и не би требало све уклонити. Заправо, супротно. Готово је гарантовано да ће неке од ставки у вашим ХијацкТхис дневницима бити легитимни софтвер и уклањање тих ставки може негативно утицати на ваш систем или учинити потпуно неоперабилним. Коришћење ХијацкТхис-а је много попут уређивања Виндовс Регистри-а . То није ракетна наука, али дефинитивно не би требало да радите без неких стручних навођења, осим ако стварно не знате шта радите.

Када инсталирате ХијацкТхис и покренете га како бисте креирали датотеку дневника, постоји широк спектар форума и сајтова на којима можете постављати или отпремати податке о дневнику. Стручњаци који знају шта треба потражити могу вам помоћи да анализирате податке о дневнику и савјете о томе које ставке желите уклонити и које ће оне оставити сами.

Да бисте преузели тренутну верзију ХијацкТхис-а, можете посетити званичну страницу компаније Тренд Мицро.

Ево прегледа ставки дневника ХијацкТхис-а које можете користити да бисте прешли на информације које тражите:

• Р0, Р1, Р2, Р3 - Интернет Екплорер Старт / Сеарцх странице УРЛ-ова
• Ф0, Ф1 - програми за аутоматско учитавање
• Н1, Н2, Н3, Н4 - УРЛ адресе Нетсцапе / Мозилла Старт / Сеарцх странице
• О1 - Преусмеравање датотеке домаћина
• О2 - Бровсер Хелпер Објецтс
• О3 - Интернет Екплорер алатне траке
• О4 - програми за аутоматско учитавање из Регистра
• О5 - ИЕ Оптионс икона није видљива на контролној табли
• О6 - ИЕ опције приступа ограничио Администратор
• О7 - Регедит приступ ограничио Администратор
• О8 - Додатни ставки у ИЕ менију са десним тастером миша
• О9 - Додатни тастери на главној палети алатки за дугмад ИЕ, или додатне ставке у ИЕ менију "Алати"
• О10 - отмичар Винсоцк-а
• О11 - Додатна група у прозору ИЕ "Напредне опције"
• О12 - ИЕ плугини
• О13 - ИЕ ДефаултПрефик хијацк
• О14 - Отмени "Ресет Веб Сеттингс"
• О15 - Нежељено место у поузданој зони
• О16 - објекти АцтивеКс (ака преузми програмски фајлови)
• О17 - Лопкови домена Лоп.цом
• О18 - Додатни протоколи и отмичари протокола
• О19 - Откривање корисничког стила
• О20 - АппИнит_ДЛЛс Регистри валуе ауторун
• О21 - СхеллСервицеОбјецтДелаиЛоад Регистри кеи ауторун
• О22 - СхаредТаскСцхедулер регистри кеи ауторун

• О23 - Виндовс НТ сервиси

Р0, Р1, Р2, Р3 - ИЕ Старт и Претрага страница

Како то изгледа:
Р0 - ХКЦУ \ Софтвер \ Мицрософт \ Интернет Екплорер \ Маин, почетна страница = хттп://ввв.гоогле.цом/
Р1 - ХКЛМ \ Софтвер \ Мицрософт \ ИнтернетЕкплорер \ Маин, Дефаулт_Паге_УРЛ = хттп://ввв.гоогле.цом/
Р2 - (овај тип још не користи ХијацкТхис)
Р3 - Дефаулт УРЛСеарцхХоок недостаје

Шта да радим:
Ако препознајете УРЛ на крају као вашу почетну страницу или претраживач, у реду је. Ако не, проверите и ХијацкТхис то поправи. За Р3 ставке увек их поправите, осим ако не спомиње програм који препознајете, као што је Коперник.

Ф0, Ф1, Ф2, Ф3 - програми за аутоматско учитавање из ИНИ датотека

Како то изгледа:
Ф0 - систем.ини: Схелл = Екплорер.еке Опенме.еке
Ф1 - вин.ини: рун = хпфсцхед

Шта да радим:
Ставке Ф0 су увек лоше, па их поправите. Ф1 ставке су обично веома стари програми који су сигурни, тако да бисте требали пронаћи још информација о имену датотеке како бисте видели да ли је то добро или лоше. Пацманова листа стартупа може помоћи у идентификацији предмета.

Н1, Н2, Н3, Н4 - Нетсцапе / Мозилла Старт & амп; Тражи страницу

Како то изгледа:
Н1 - Нетсцапе 4: усер_преф "бровсер.стартуп.хомепаге", "ввв.гоогле.цом"); (Ц: \ Програм Филес \ Нетсцапе \ Усерс \ дефаулт \ префс.јс)
Н2 - Нетсцапе 6: усер_преф ("бровсер.стартуп.хомепаге", "хттп://ввв.гоогле.цом"); (Ц: \ Доцументс анд Сеттингс \ Корисник \ Апликациони подаци \ Мозилла \ Профили \ дефаулто9т1тфл.слт \ префс.јс)
Н2 - Нетсцапе 6: усер_преф ("бровсер.сеарцх.дефаултенгине", "енгине: //Ц%3А%5ЦПрограм%20Филес%5ЦНетсцапе%206%5Цсеарцхплугинс%5ЦСБВеб_02.срц"); (Ц: \ Доцументс анд Сеттингс \ Корисник \ Апликациони подаци \ Мозилла \ Профили \ дефаулто9т1тфл.слт \ префс.јс)

Шта да радим:
Обично су Нетсцапе и Мозилла хомепаге и страница за претрагу сигурна. Ретко се отимају, само је Лоп.цом познато да то ради. Ако видите УРЛ адресу коју не препознате као своју почетну страницу или страницу за претрагу, ХијацкТхис то поправи.

О1 - преусмеравање Хостсфиле-а

Како то изгледа:
О1 - Хостс: 216.177.73.139 ауто.сеарцх.мсн.цом
О1 - Хостс: 216.177.73.139 сеарцх.нетсцапе.цом
О1 - Домаћин: 216.177.73.139 иеаутосеарцх
О1 - Хостс датотека се налази на Ц: \ Виндовс \ Хелп \ хостс

Шта да радим:
Овај отмич ће преусмерити адресу десно на ИП адресу лево. Ако ИП адреса не припада адреси, бићете преусмерени на погрешну локацију сваки пут када унесете адресу. Увек можете да их ХијацкТхис исправите, осим ако сте свесно ставили ове линије у датотеку Хостс.

Последња ствар се понекад појављује на Виндовс 2000 / КСП са Цоолвебсеарцх инфекцијом. Увек поправите ову ставку или га ЦВСхреддер поправите аутоматски.

О2 - Бровсер Хелпер Објецтс

Како то изгледа:
О2 - БХО: Иахоо! Цомпанион БХО - {13Ф537Ф0-АФ09-11д6-9029-0002Б31Ф9Е59} - Ц: \ ПРОГРАМ ФИЛЕС \ ИАХОО! \ ЦОМПАНИОН \ ИЦОМП5_0_2_4.ДЛЛ
О2 - БХО: (без имена) - {1А214Ф62-47А7-4ЦА3-9Д00-95А3965А8Б4А} - Ц: \ ПРОГРАМ ФИЛЕС \ ПОПУП ЕЛИМИНАТОР \ АУТОДИСПЛАИ401.ДЛЛ (датотека недостаје)
О2 - БХО: МедиаЛоадс Енханцед - {85А702БА-ЕА8Ф-4Б83-АА07-07А5186АЦД7Е} - Ц: \ ПРОГРАМСКИ ДАТОТЕКИ \ МЕДИЈСКИ ПОВЕЗАНИ \ МЕ1.ДЛЛ

Шта да радим:
Ако не препознате директно име објекта Бровсер Хелпер Објецт, користите ТониК листу БХО & Тоолбар Листа да га пронађете по ИД-у класе (ЦЛСИД, број између украсних заграда) и погледајте да ли је то добро или лоше. На БХО листи, 'Кс' значи спиваре и 'Л' значи сигуран.

О3 - ИЕ алатне траке

Како то изгледа:
О3 - Тоолбар: & Иахоо! Цомпанион - {ЕФ99БД32-Ц1ФБ-11Д2-892Ф-0090271Д4Ф88} - Ц: \ ПРОГРАМ ФИЛЕС \ ИАХОО! \ ЦОМПАНИОН \ ИЦОМП5_0_2_4.ДЛЛ
О3 - Тоолбар: Попуп Елиминатор - {86БЦА93Е-457Б-4054-АФБ0-Е428ДА1563Е1} - Ц: \ ПРОГРАМ ФИЛЕС \ ПОПУП ЕЛИМИНАТОР \ ПЕТООЛБАР401.ДЛЛ (датотека недостаје)
О3 - Тоолбар: рзиллцгтхјк - {5996ааф3-5ц08-44а9-ац12-1843фд03дф0а} - Ц: \ ВИНДОВС \ АППЛИЦАТИОН ДАТА \ ЦКСТПРЛЛНКУЛ.ДЛЛ

Шта да радим:
Ако не препознате директно име траке са алаткама, користите ТониК листу БХО и Тоолбар листе да га пронађете по ИД-у класе (ЦЛСИД, број између украсних заграда) и погледајте да ли је то добро или лоше. На листи са алаткама, 'Кс' означава спиваре и 'Л' значи сигуран. Ако није на листи и назив изгледа случајни низ знакова и датотека је у фасцикли "Апликациони подаци" (као последња у горњим примјерима), вероватно је Лоп.цом, а дефинитивно би требало да имате ХијацкТхис фик то.

О4 - програми за аутоматско учитавање из Регистра или Стартуп групе

Како то изгледа:
О4 - ХКЛМ \ .. \ Рун: [СцанРегистри] Ц: \ ВИНДОВС \ сцанрегв.еке / ауторун
О4 - ХКЛМ \ .. \ Покрени: [СистемТраи] СисТраи.Еке
О4 - ХКЛМ \ .. \ Рун: [ццАпп] "Ц: \ Програм Филес \ Цоммон Филес \ Симантец Схаред \ ццАпп.еке"
О4 - Стартуп: Мицрософт Оффице.лнк = Ц: \ Програм Филес \ Мицрософт Оффице \ Оффице \ ОСА9.ЕКСЕ
О4 - Глобално покретање: винлогон.еке

Шта да радим:
Користите ПацМанову листу стартупа да бисте пронашли унос и видели да ли је добро или лоше.

Ако ставка приказује програм који седи у групи покретања (као последња ставка изнад), ХијацкТхис не може поправити ставку ако је овај програм још увек у меморији. Користите Виндовс Таск Манагер (ТАСКМГР.ЕКСЕ) да бисте затворили процес пре фиксирања.

О5 - ИЕ Опције нису видљиве на контролној табли

Како то изгледа:
О5 - цонтрол.ини: инетцпл.цпл = не

Шта да радим:
Осим ако сте ви или ваш системски администратор недавно сакривали икону са контролне табле, ХијацкТхис то исправите.

О6 - ИЕ опције приступа ограничио Администратор

Како то изгледа:
О6 - ХКЦУ \ Софтваре \ Полициес \ Мицрософт \ Интернет Екплорер \ Ограничења присутна

Шта да радим:
Осим ако имате Спибот С & Д опцију 'Лоцк хомепаге из промјена' активан, или је ваш системски администратор ставио ово на мјесто, ХијацкТхис то исправи.

О7 - Регедит приступ ограничио Администратор

Како то изгледа:
О7 - ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ Систем, ДисаблеРегедит = 1

Шта да радим:
Увек имате ХијацкТхис то исправите, осим ако ваш системски администратор није ставио ово ограничење на место.

О8 - Додатни ставки у ИЕ менију са десним тастером миша

Како то изгледа:
О8 - Ставка додатног контекста: & Гоогле претрага - рес: // Ц: \ ВИНДОВС \ ДОВНЛОАДЕД ФИЛЕС ПРОГРАМА \ ГООГЛЕТООЛБАР_ЕН_1.1.68-ДЕЛЕОН.ДЛЛ / цмсеарцх.хтмл
О8 - Ставка додатног контекста: Иахоо! Претрага - датотека: /// Ц: \ Програм Филес \ Иахоо! \ Цоммон / ицсрцх.хтм
О8 - Ставка додатног контекста: Зоом & Ин - Ц: \ ВИНДОВС \ ВЕБ \ зоомин.хтм
О8 - Ставка са додатним контекстом: Зоом О & ут - Ц: \ ВИНДОВС \ ВЕБ \ зоомоут.хтм

Шта да радим:
Ако не препознате име ставке у менију десног клика у ИЕ-у, ХијацкТхис то поправи.

О9 - додатни тастери на главној ИЕ алатној траци, или додатни ставки у ИЕ & # 39; Тоолс & # 39; мени

Како то изгледа:
О9 - Екстра дугме: Мессенгер (ХКЛМ)
О9 - Додатни мени 'Тоолс': Мессенгер (ХКЛМ)
О9 - Екстра дугме: АИМ (ХКЛМ)

Шта да радим:
Ако не препознајете име дугмета или ставке менија, ХијацкТхис то поправи.

О10 - отмичари Винсоцк-а

Како то изгледа:
О10 - Уграбљен Интернет приступ од стране Нев.Нет
О10 - Брокен Интернет приступ због провајдера ЛСП-а ц: \ програ ~ 1 \ цоммон ~ 2 \ тоолбар \ цнмиб.длл 'недостаје
О10 - Непозната датотека у Винсоцк ЛСП: ц: \ програм филес \ невтон зна \ вмаин.длл

Шта да радим:
Најбоље је поправити ове помоћу ЛСПФика од Цекк.орг, или Спибот С & Д из Колла.де.

Имајте на уму да датотеке "непознатих" у ЛСП стацку неће бити поправљене од стране ХијацкТхис-а, због сигурносних проблема.

О11 - Додатна група у ИЕ-ој напредним опцијама & # 39; прозор

Како то изгледа:
О11 - група опција: [ЦоммонНаме] ЦоммонНаме

Шта да радим:
Једини отмичар од сада који додаје своју групу опција у ИЕ Адванцед Оптионс прозор је ЦоммонНаме. Тако да увек можеш да поправиш ХијацкТхис ово.

О12 - ИЕ плугини

Како то изгледа:
О12 - Плугин фор .споп: Ц: \ Програм Филес \ Интернет Екплорер \ Плугинс \ НПДоцБок.длл
О12 - Плугин за .ПДФ: Ц: \ Програм Филес \ Интернет Екплорер \ ПЛУГИНС \ нппдф32.длл

Шта да радим:
Већину времена су сигурни. Само ОнФлов додаје додатак овде који не желите (.офб).

О13 - ИЕ ДефаултПрефик хијацк

Како то изгледа:
О13 - ДефаултПрефик: хттп://ввв.пикпок.цом/цги-бин/цлицк.пл?урл=
О13 - ВВВ префикс: хттп://проливатион.цом/цги-бин/р.цги?
О13 - ВВВ. Префикс: хттп://ехттп.цц/?

Шта да радим:
Ово је увек лоше. ХијацкТхис их поправи.

О14 - Ресет Веб Сеттингс & # 39; хијацк

Како то изгледа:
О14 - ИЕРЕСЕТ.ИНФ: СТАРТ_ПАГЕ_УРЛ = хттп: //ввв.сеарцхалот.цом

Шта да радим:
Ако УРЛ адреса није добављач вашег рачунара или вашег ИСП-а, ХијацкТхис то поправи.

О15 - Нежељени сајтови у поузданој зони

Како то изгледа:
О15 - Трустед Зоне: хттп://фрее.аол.цом
О15 - Трустед Зоне: * .цоолвебсеарцх.цом
О15 - Трустед Зоне: * .мсн.цом

Шта да радим:
Већину времена само АОЛ и Цоолвебсеарцх тихо додају сајтове у поуздану зону. Ако нисте сами додали наведени домен у Трустед Зоне, ХијацкТхис то поправи.

О16 - објекти АцтивеКс (ака преузми програмски фајлови)

Како то изгледа:
О16 - ДПФ: Иахоо! Цхат - хттп://ус.цхат1.иимг.цом/ус.иимг.цом/и/цхат/апплет/ц381/цхат.цаб
О16 - ДПФ: {Д27ЦДБ6Е-АЕ6Д-11ЦФ-96Б8-444553540000} (Схоцкваве Фласх Објецт) - хттп://довнлоад.мацромедиа.цом/пуб/схоцкваве/цабс/фласх/свфласх.цаб

Шта да радим:
Ако не препознајете име објекта или УРЛ са којег је преузето, ХијацкТхис то поправи. Ако име или УРЛ садржи речи као што су 'диалер', 'цасино', 'фрее_плугин' итд, дефинитивно га поправите. Јавацоол СпивареБластер има огромну базу података о злонамјерним АцтивеКс објектима који се могу користити за претраживање ЦЛСИД-ова. (Кликните десним тастером миша на листу да бисте користили функцију Пронађи.)

О17 - Лоп.цом домена хијацкс

Како то изгледа:
О17 - ХКЛМ \ Систем \ ЦЦС \ Сервицес \ ВкД \ МСТЦП: Домаин = аолдсл.нет
О17 - ХКЛМ \ Систем \ ЦЦС \ Услуге \ Тцпип \ Параметри: Домаин = В21944.финд-куицк.цом
О17 - ХКЛМ \ Софтваре \ .. \ Телефонија: ДомаинНаме = В21944.финд-куицк.цом
О17 - ХКЛМ \ Систем \ ЦЦС \ Сервицес \ Тцпип \ .. \ {Д196АБ38-4Д1Ф-45Ц1-9108-46Д367Ф19Ф7Е}: Домаин = В21944.финд-куицк.цом
О17 - ХКЛМ \ Систем \ ЦС1 \ Услуге \ Тцпип \ Параметри: СеарцхЛист = гла.ац.ук
О17 - ХКЛМ \ Систем \ ЦС1 \ Сервицес \ ВкД \ МСТЦП: ИмеСервер = 69.57.146.14,69.57.147.175

Шта да радим:
Ако домен није из вашег ИСП-а или мреже компаније, ХијацкТхис то поправи. Исто важи и за ставке 'СеарцхЛист'. За ставке 'НамеСервер' ( ДНС сервери ), Гоогле за ИП или ИП адресе и биће лако видети да ли су добри или лоши.

О18 - Додатни протоколи и отмичари протокола

Како то изгледа:
О18 - Протокол: релатедлинкс - {5АБ65ДД4-01ФБ-44Д5-9537-3767АБ80Ф790} - Ц: \ ПРОГРА ~ 1 \ ЦОММОН ~ 1 \ МСИЕТС \ мсиелинк.длл
О18 - Протокол: мктп - {д7б95390-б1ц5-11д0-б111-0080ц712фе82}
О18 - отмица протокола: хттп - {66993893-61Б8-47ДЦ-Б10Д-21Е0Ц86ДД9Ц8}

Шта да радим:
Овде се појављује само неколико отмичара. Познати лоши су 'цн' (ЦоммонНаме), 'аиб' (Лоп.цом) и 'релатедлинкс' (Хунтбар), требали би да ХијацкТхис то поправи. Друге ствари које се појављују или се још не потврде сигурно или су отете (тј. ЦЛСИД је промењен) од спиваре-а. У последњем случају, ХијацкТхис то поправи.

О19 - Откривање корисничког стила

Како то изгледа:
О19 - Кориснички стил: ц: \ ВИНДОВС \ Јава \ ми.цсс

Шта да радим:
У случају успоравања претраживача и честих искачућих садржаја, ХијацкТхис поправи ову ставку ако се појави у дневнику. Међутим, пошто само Цоолвебсеарцх то ради, боље је користити ЦВСхреддер да га поправите.

О20 - АппИнит_ДЛЛс Регистри валуе ауторун

Како то изгледа:
О20 - АппИнит_ДЛЛс: мсцонфд.длл

Шта да радим:
Ова вриједност регистра смјештена у ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Виндовс учитава ДЛЛ у меморију када се корисник пријављује, након чега остане у меморији све док се не одјавите. Веома мало легитимних програма то користи (Нортон ЦлеанСвееп користи АПИТРАП.ДЛЛ), најчешће га користе тројанци или агресивни претраживачи отмичара.

У случају 'скривене' ДЛЛ учитавања из ове вредности Регистри (видљиво само ако користите опцију 'Едит Бинари Дата' у Регедит-у), длл име може бити префиксовано цевом '|' да би га видио у дневнику.

О21 - СхеллСервицеОбјецтДелаиЛоад

Како то изгледа:
О21 - ССОДЛ - АУХООК - {11566Б38-955Б-4549-930Ф-7Б7482668782} - Ц: \ ВИНДОВС \ Систем \ аухоок.длл

Шта да радим:
Ово је недокументована ауторун метода, која се обично користи од неколико компоненти Виндовс система. Ставке наведене у ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ СхеллСервицеОбјецтДелаиЛоад учитавају Екплорер када се покрене Виндовс. ХијацкТхис користи бијели лист неколико обичних ССОДЛ ставки, тако да кад год се ставка приказује у дневнику, она је непозната и можда злонамерна. Третирајте се с великом пажњом.

О22 - СхаредТаскСцхедулер

Како то изгледа:
О22 - СхаредТаскСцхедулер: (без имена) - {3Ф143Ц3А-1457-6ЦЦА-03А7-7АА23Б61Е40Ф} - ц: \ виндовс \ систем32 \ мтвирл32.длл

Шта да радим:
Ово је недокументовани ауторун само за Виндовс НТ / 2000 / КСП, који се врло ретко користи. До сада га само користи ЦВС.Смартфиндер. Пажљиво лијечите.

О23 - НТ услуге

Како то изгледа:
О23 - Сервис: Керио Персонал Фиревалл (ПерсФв) - Керио Тецхнологиес - Ц: \ Програм Филес \ Керио \ Персонал Фиревалл \ персфв.еке

Шта да радим:
Ово је попис не-Мицрософт услуга. Списак би требао бити исти као онај који видите у услужном програму Мсцонфиг Виндовс КСП. Неколико тројански отмичари користе домаћу услугу у додели другим стартуп-овима како би се поново инсталирају. Пун назив је обично важан - звучни сигнал, као што је 'Нетворк Сецурити Сервице', 'Сервице Логон Сервице' или 'Ремоте Процедуре Цалл Хелпер', али интерно име (између заграда) је низ смећа, као што је 'Орт'. Други део линије је власник датотеке на крају, како се види у својствима датотеке.

Имајте на уму да ће поправљање О23 ставке зауставити сервис и онемогућити га. Услугу треба брисати из Регистра ручно или са другим алатом. У ХијацкТхис 1.99.1 или новијем, за то се може користити дугме 'Делете НТ Сервице' у одељку Мисц Тоолс.