Como analizar os rexistros de HijackThis

Interpretando datos de rexistro para axudar a eliminar o spyware e os secuestradores do navegador

HijackThis é unha ferramenta gratuíta de Trend Micro. Foi orixinalmente desenvolvido por Merijn Bellekom, estudante nos Países Baixos. O software de eliminación de spyware como Adaware ou Spybot S & D fai un bo traballo para detectar e eliminar a maioría dos programas de spyware, pero algúns piratas informáticos e spyware son demasiado insidiosos para incluso estes grandes servizos anti-spyware.

HijackThis está escrito especificamente para detectar e eliminar os secuestradores de navegador ou o software que ocupa o seu navegador web, modifica a súa páxina de inicio predeterminada e buscador e outras cousas maliciosas. A diferenza do software antispyware típico, HijackThis non usa sinaturas ou non está destinado a ningún programa específico ou URL para detectar e bloquear. Pola contra, HijackThis busca os trucos e métodos utilizados polo malware para infectar o teu sistema e redirixir o navegador.

Non todo o que aparece nos rexistros HijackThis é cousas malas e non debe eliminarse todo. De feito, todo o contrario. É case garantido que algúns dos elementos dos teus rexistros de HijackThis serán software lexítimo e eliminar estes elementos poden afectar negativamente o sistema ou facelo completamente inoperante. Usando HijackThis é moi parecido a editar o rexistro de Windows . Non é a ciencia do foguete, pero definitivamente non debería facelo sen unha orientación experta, a menos que realmente saiba o que está a facer.

Unha vez instalado HijackThis e executalo para xerar un ficheiro de rexistro, hai unha gran variedade de foros e sitios onde pode publicar ou cargar os datos de rexistro. Os expertos que saben que buscar poden entón axudarlle a analizar os datos do rexistro e aconsellá-lo sobre que elementos eliminar e cales deixar só.

Para descargar a versión actual de HijackThis, pode visitar o sitio oficial en Trend Micro.

Aquí tes unha vista xeral das entradas de rexistro HijackThis que podes usar para saltar á información que estás buscando:

• R0, R1, R2, R3 - URL de páxinas de inicio / busca de Internet Explorer
• F0, F1 - Programas de autolocalización
• N1, N2, N3, N4 - Netscape / Mozilla Iniciar / Buscar URL das páxinas
• O1 - Redirección de ficheiros hosts
• O2 - Obxectos de axuda do explorador
• O3 - Barras de ferramentas de Internet Explorer
• O4 - Programas de autolocalización do Rexistro
• O5 - IE Icona de opcións non visible no Panel de control
• O6 - Opcións de acceso a IE restrinxidas polo administrador
• O7 - Regedit acceso restrinxido polo administrador
• O8 - Elementos adicionais no menú predefinido de IE
• O9 - Botóns adicionais na barra de ferramentas principal do botón IE ou elementos extras no menú de ferramentas 'IE'
• O10 - secuestrador de Winsock
• O11 - Grupo extra na xanela de Opcións avanzadas de IE
• O12 - IE plugins
• O13 - IE DefaultPrefix secuestrar
• O14 - 'Restablecer axustes web' secuestrar
• O15 - Sitio non desexado en Zona de confianza
• O16 - Obxectos ActiveX (tamén coñecidos como ficheiros de programas descargados)
• O17 - Os secuestradores de dominio Lop.com
• O18 - Protocolos adicionais e secuestradores de protocolo
• O19 - secuestro da folla de estilo de usuario
• O20 - AppInit_DLLs Valor de rexistro autorun
• O21 - ShellServiceObjectDelayLoad Tecla de rexistro autorun
• O22 - SharedTaskScheduler Chave de rexistro autorun

• O23 - Servizos de Windows NT

R0, R1, R2, R3 - IE Inicio e páxinas de busca

O que parece:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Páxina de inicio = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (este tipo non é usado por HijackThis aínda)
R3 - Falta a URLSearchHook predeterminada

Que facer:
Se recoñeces o URL ao final como a túa páxina de inicio ou buscador, está ben. Se non o fai, marcha e ten HijackThis arranxalo. Para os elementos R3, fíxoos sempre se non menciona un programa que recoñeces, como Copernic.

F0, F1, F2, F3 - Programas de autolocalización de ficheiros INI

O que parece:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Que facer:
Os elementos F0 son sempre malos, así que corrixe. Os elementos F1 adoitan ser programas moi antigos que son seguros, polo que debería atopar máis información sobre o nome do ficheiro para ver se é bo ou malo. A lista de inicio de Pacman pode axudar a identificar un elemento.

N1, N2, N3, N4 - Netscape / Mozilla Inicio & amp; Páxina de busca

O que parece:
N1 - Netscape 4: usuario_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Data de aplicación \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Data de aplicación \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Que facer:
Normalmente a páxina de inicio de Netscape e Mozilla e a páxina de busca están seguras. Raramente se secuestran, só se sabe que Lop.com fixo isto. Se ves unha URL que non recoñeces como páxina de inicio ou páxina de busca, debes resolver isto.

O1 - Redireccións do ficheiro hosts

O que parece:
O1 - Anfitriones: 216.177.73.139 auto.search.msn.com
O1 - Anfitrións: 216.177.73.139 search.netscape.com
O1 - Anfitriones: 216.177.73.139 ieautosearch
O1 - Os ficheiros hosts están localizados en C: \ Windows \ Help \ hosts

Que facer:
Este secuestro redireccionará a dirección á dereita ata a dirección IP á esquerda. Se o IP non pertence ao enderezo, será redirixido a un sitio incorrecto cada vez que ingrese o enderezo. Sempre pode ter un HijackThis arranxar isto, a non ser que poida poñer esas liñas no seu ficheiro Hosts.

O último elemento ás veces ocorre en Windows 2000 / XP cunha infección por Coolwebsearch. Sempre solucione este elemento ou que CWShredder arranxalo automaticamente.

O2 - Obxectos de axuda do explorador

O que parece:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (sen nome) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (falta de arquivo)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Que facer:
Se non recoñece directamente un nome do Obxectivo do navegador, use o BHO de TonyK e a Lista de ferramentas para atopalo coa ID da clase (CLSID, o número entre corchetes) e ver se é bo ou malo. Na lista BHO, 'X' significa spyware e 'L' significa seguro.

O3 - Barras de ferramentas IE

O que parece:
O3 - Barra de ferramentas: & Yahoo! Compañeiro - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Barra de ferramentas: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (falta de arquivo)
O3 - Barra de ferramentas: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA APLICACIÓN \ CKSTPRLLNQUL.DLL

Que facer:
Se non recoñece directamente o nome dunha barra de ferramentas, use a lista de barra de ferramentas de BK de TonyK para atopala mediante a ID de clase (CLSID, o número entre corchetes) e ver se é bo ou malo. Na lista de ferramentas, 'X' significa spyware e 'L' significa seguro. Se non está na lista e o nome parece unha cadea aleatoria de caracteres e o ficheiro está no cartafol "Datos de aplicación" (como o último dos exemplos anteriores), probabelmente sexa Lop.com e definitivamente debería ter a corrección HijackThis isto.

O4 - Programas de autolocalización do rexistro ou grupo de inicio

O que parece:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Executar: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Archivos de programa \ Arquivos comúns \ Symantec Shared \ ccApp.exe"
O4 - Inicio: Microsoft Office.lnk = C: \ Archivos de programa \ Microsoft Office \ Office \ OSA9.EXE
O4 - Inicio global: winlogon.exe

Que facer:
Use a lista de inicio de PacMan para atopar a entrada e ver se é bo ou malo.

Se o elemento mostra un programa sentado nun grupo de inicio (como o último elemento anterior), HijackThis non pode corrixir o elemento se este programa aínda está en memoria. Use o xestor de tarefas de Windows (TASKMGR.EXE) para pechar o proceso antes de arranxar.

O5 - IE Opcións non visibles no Panel de control

O que parece:
O5 - control.ini: inetcpl.cpl = non

Que facer:
A non ser que vostede ou o administrador do sistema oculten conscientemente o ícono do Panel de control, ten HijackThis arranxalo.

O6 - Opcións de acceso a IE restrinxidas polo administrador

O que parece:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restricións presentes

Que facer:
A non ser que teña a opción Spybot S & D "Bloquear páxina de inicio desde os cambios" activos, ou o administrador do sistema poñer isto no seu lugar, ten HijackThis arranxalo.

O7 - Regedit acceso restrinxido polo administrador

O que parece:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Que facer:
Sempre ten HijackThis soluciona isto, a menos que o administrador do sistema puxo esta restrición no seu lugar.

O8 - Elementos adicionais no menú predefinido de IE

O que parece:
O8 - Elemento de menú de contexto extra: & Busca de Google: res: // C: \ WINDOWS \ FILES DE PROGRAMACIÓN DESCARGADO \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Elemento do menú contextual extra: Yahoo! Busca - ficheiro: /// C: \ Archivos de programa \ Yahoo! \ Common / ycsrch.htm
O8 - Elemento de menú de contexto extra: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Elemento de menú contextual extra: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Que facer:
Se non recoñece o nome do elemento no menú do botón dereito do rato en IE, ten HijackThis arranxalo.

O9 - Botóns adicionais na barra de ferramentas principal de IE ou elementos extra en IE & # 39; Ferramentas & # 39; menú

O que parece:
O9 - Botón extra: Messenger (HKLM)
O9 - menú de ferramentas 'Extra': Messenger (HKLM)
O9 - Botón extra: AIM (HKLM)

Que facer:
Se non recoñece o nome do botón ou elemento do menú, ten HijackThis arranxalo.

O10 - Os secuestradores de Winsock

O que parece:
O10 - Acceso a Internet secuestrado por New.Net
O10 - Acceso roto a Internet por falta do provedor LSP c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll '
O10: ficheiro descoñecido en Winsock LSP: c: \ programas \ newton knows \ vmain.dll

Que facer:
É mellor solucionalos mediante LSPFix desde Cexx.org ou Spybot S & D de Kolla.de.

Lembre que os ficheiros 'descoñecidos' na pila LSP non serán fixados por HijackThis, por cuestións de seguridade.

O11 - Grupo extra en IE & # 39; Opcións avanzadas & # 39; ventá

O que parece:
O11 - Grupo de opcións: [CommonName] CommonName

Que facer:
O único secuestrador a partir de agora que agrega o seu propio grupo de opcións á ventá Opcións avanzadas de IE é CommonName. Entón, sempre podes ter HijackThis solucionar isto.

O12 - IE plugins

O que parece:
O12 - Complemento para .spop: C: \ Archivos de programa \ Internet Explorer \ Complementos \ NPDocBox.dll
O12 - Complemento para .PDF: C: \ Archivos de programa \ Internet Explorer \ PLUGINS \ nppdf32.dll

Que facer:
Na maioría das veces estas son seguras. Só OnFlow engade aquí un complemento que non quere (.ofb).

O13 - IE DefaultPrefix secuestrar

O que parece:
O13 - PredeterminadoPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Prefixo WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefijo: http://ehttp.cc/?

Que facer:
Estas son sempre malas. Teña fillos que solucionalos.

O14 - & # 39; Restablecer Configuración web & # 39; secuestro

O que parece:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Que facer:
Se a URL non é o provedor da túa computadora ou o teu ISP, ten HijackThis arranxalo.

O15 - Sitios non desexados na zona de confianza

O que parece:
O15 - Zona de confianza: http://free.aol.com
O15 - Zona de confianza: * .coolwebsearch.com
O15 - Zona de confianza: * .msn.com

Que facer:
Na maioría das veces só AOL e Coolwebsearch engaden silenciosamente sitios á zona de confianza. Se non engadiu o dominio cotizado a Zona de confianza por si mesmo, ten HijackThis arranxalo.

O16 - Obxectos ActiveX (tamén coñecidos como ficheiros de programas descargados)

O que parece:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Que facer:
Se non recoñece o nome do obxecto, ou o URL que se descargou, ten HijackThis arranxalo. Se o nome ou URL contén palabras como 'marcador', 'casino', 'free_plugin' etc, definitivamente resolve-lo. SpywareBlaster de Javacool ten unha enorme base de datos de obxectos ActiveX maliciosos que se poden usar para buscar CLSID. (Fai clic co botón dereito do rato na lista para usar a función Buscar).

O17 - Secuestro de dominio Lop.com

O que parece:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Dominio = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telefonía: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Dominio = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Que facer:
Se o dominio non é do seu ISP ou rede da empresa, ten que solucionar isto. O mesmo pasa coas entradas 'SearchList'. Para as entradas 'NameServer' ( servidores DNS ), Google para a IP ou IPs e será fácil ver se son bos ou malos.

O18 - Protocolos adicionais e secuestradores de protocolo

O que parece:
O18 - Protocolo: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protocolo: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Secuestro de protocolo: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Que facer:
Só algúns hijackers aparecen aquí. Os malos coñecidos son 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar), debes ter HijackThis arranxar aqueles. Outras cousas que aparecen non están confirmadas aínda sen seguridade ou son secuestradas (por exemplo, o CLSID foi modificado) por spyware. No último caso, ten HijackThis arranxalo.

O19 - secuestro da folla de estilo de usuario

O que parece:
O19 - Folla de estilo de usuario: c: \ WINDOWS \ Java \ my.css

Que facer:
No caso dunha desaceleración do navegador e frecuentes popups, ten HijackThis soluciona este elemento se aparece no rexistro. Non obstante, posto que só Coolwebsearch fai isto, é mellor usar CWShredder para solucionalo.

O20 - AppInit_DLLs Valor de rexistro autorun

O que parece:
O20 - AppInit_DLLs: msconfd.dll

Que facer:
Este valor do Rexistro situado en HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows cargará unha DLL na memoria cando o usuario inicie sesión, despois do cal mantense na memoria ata o logotipo. Moi poucos programas lexítimos o utilizan (Norton CleanSweep usa APITRAP.DLL), a maioría das veces é usado por troianos ou secuestradores de navegador agresivos.

No caso dunha carga DLL 'oculto' a partir deste valor do Rexistro (só visible cando se usa a opción "Editar datos binarios" en Regedit) o ​​nome dll pode estar prefixado cun tubo | para facelo visible no rexistro.

O21 - ShellServiceObjectDelayLoad

O que parece:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Que facer:
Este é un método autorun indocumentado, normalmente usado por algúns compoñentes do sistema Windows. Os elementos listados en HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad son cargados por Explorer cando Windows inicia. HijackThis usa unha lista de brancos de varios elementos SSODL moi comúns, polo que cada vez que se amosa un elemento no rexistro é descoñecido e pode ser malicioso. Trata con extremo coidado.

O22 - SharedTaskScheduler

O que parece:
O22 - SharedTaskScheduler: (sen nome) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Que facer:
Este é un autorun indocumentado para Windows NT / 2000 / XP só, que se usa moi raramente. Ata agora, só CWS.Smartfinder a usa. Trata con coidado.

O23 - Servizos NT

O que parece:
O23 - Servizo: Kerio Firewall persoal (PersFw) - Kerio Technologies - C: \ Archivos de programa \ Kerio \ Firewall persoal \ persfw.exe

Que facer:
Esta é a lista de servizos non de Microsoft. A lista debe ser a mesma que vexa na utilidade Msconfig de Windows XP. Varios secuestradores troianos usan un servizo caseiro en adición a outras startups para reinstalar-se. O nome completo adoita ser importante, como "Servizo de seguridade de rede", "Servizo de inicio de sesión de traballo" ou "Axuda de chamada de procedemento remoto", pero o nome interno (entre parénteses) é unha secuencia de lixo, como 'Ort'. A segunda parte da liña é o propietario do ficheiro ao final, como se ve nas propiedades do ficheiro.

Teña en conta que a fixación dun elemento O23 só deterá o servizo e desactívelo. O servizo debe ser eliminado do Rexistro manualmente ou con outra ferramenta. En HijackThis 1.99.1 ou superior, o botón "Borrar servizo NT" na sección Misc Tools pode ser usado para iso.