Содержание
- 1 Понимание результатов
- 1.1 R0 — R3 разделы
- 1.2 F0 — F3 разделы
- 1.3 N1 — N4 секции
- 1.4 Секция O1
- 1.5 Секция O2
- 1.6 Секция O3
- 1.7 Секция О4
- 1.8 Секция О5
- 1.9 Секция О6
- 1.10 Секция О7
- 1.11 Секция О8
- 1.12 Секция О9
- 1.13 Секция O10
- 1.14 Секция O11
- 1.15 Секция O12
- 1.16 Секция O13
- 1.17 Секция O14
- 1.18 Секция O15
- 1.19 Секция О16
- 1.20 Секция О17
- 1.21 Секция О18
- 1.22 Секция O19
- 1.23 Секция O20
- 1.24 Секция О21
- 1.25 Секция O22
- 1.26 Секция O23
- 1.27 Секция О24
После загрузки и установки последней версии Trend Micro HijackThis откройте файл. Если ваш компьютер не может открыть программу, попробуйте переименовать файл во что-то другое (например, sniper.exe) и запустить его снова. После открытия вы должны увидеть экран, похожий на пример, изображенный ниже.
Нажмите последнюю кнопку «Ничего из вышеперечисленного, просто запустите программу» и выберите кнопку «Конфиг ..». Убедитесь, что установлены флажки для следующего.
- Сделайте резервные копии перед исправлением предметов
- Подтвердите исправление игнорирование предметов
- Игнорировать нестандартные, но безопасные домены в IE
- Включить список запущенных процессов в лог-файлы
После проверки или подтверждения нажмите кнопку главного меню.
Затем нажмите первую кнопку Выполните сканирование системы и сохраните файл журнала, чтобы запустить сканирование системы. По завершении вы увидите экран, похожий на приведенный ниже пример, и новое окно «Блокнот» с новым журналом HijackThis.
Если вы создаете этот журнал для анализа в Интернете, скопируйте весь журнал в буфер обмена, нажав Ctrl + A, чтобы выделить весь текст. После выделения нажмите «Изменить и скопировать». После этого его можно вставить на страницу форума или в инструмент HijackThis, например, в средство обработки Windows Computer Hope.
Этот файл журнала HijackThis также сохраняется на вашем компьютере в каталоге по умолчанию «C: \ program files \ Trend Micro \ HijackThis \» и может быть прикреплен к сообщению на форуме или отправлен другому пользователю в электронном письме для анализа.
Понимание результатов
На первый взгляд результаты могут показаться ошеломляющими, но журнал содержит всю информацию и возможные места, где вредоносные программы могут атаковать ваш компьютер. Ниже приводится краткое описание каждого из этих разделов для общего понимания того, что они из себя представляют.
предосторожность
HijackThis — это продвинутая утилита, которая может вносить изменения в реестр и другие системные файлы, которые могут вызвать дополнительные проблемы с компьютером. Убедитесь, что вы выполнили приведенные выше указания, делаете резервные копии изменений и что вы знакомы с тем, что исправляется, прежде чем исправлять какие-либо проверенные элементы.
R0 — R3 разделы
Значения реестра Windows, которые были созданы и изменены, относятся к вашему браузеру Microsoft Internet Explorer. Часто вредоносные программы атакуют эти значения реестра, чтобы изменить домашнюю страницу по умолчанию, страницу поиска и т. Д. Ниже приведен пример значения R0.
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, стартовая страница = https://www.computerhope.com/
F0 — F3 разделы
Обзор всего, что отображается при загрузке из файлов system.ini или win.ini.
N1 — N4 секции
Подобно разделам R0-R3, эти разделы являются частью файла prefs.js, который относится к браузерам Netscape и Mozilla Firefox. N1-N4 разделы могут быть атакованы, чтобы изменить домашнюю страницу по умолчанию, страницу поиска и т. Д.
Секция O1
Этот раздел будет содержать все перенаправления файлов хостов, которые были сделаны в файл хостов Windows. Перенаправление — это еще один тип атаки, при котором доменное имя перенаправляется на другой IP-адрес. Например, атака может использовать это для перенаправления вашего банковского URL на другой сайт, чтобы украсть информацию для входа. Ниже приведен пример линии O1.
O1 - Хосты: :: 1 localhost
Секция O2
Этот раздел содержит любые интернет-BHO (Browser Helper Object) с CLSID (заключенный в {}), установленный на компьютере. Ниже приведен пример линии O2.
O2 - BHO: помощник по работе с Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dllСекция O3
В этом разделе будут освещены все панели инструментов Microsoft Internet Explorer, установленные на компьютере. Хотя существует множество законных панелей инструментов браузера, есть также множество вредоносных панелей инструментов и панелей инструментов, установленных другими программами, которые вам могут не понадобиться. Ниже приведен пример линии O3.
O3 - Панель инструментов: Панель инструментов StumbleUpon - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: \ Program Files \ StumbleUpon \ StumbleUponIEBar.dllСекция О4
Один из наиболее часто просматриваемых разделов: раздел O4 содержит все программы, которые автоматически загружаются в реестр Windows при каждом запуске компьютера. Ниже приведен пример этой строки.
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
Секция О5
В этом разделе отображаются все значки панели управления Windows, которые были отключены для отображения. Некоторые вредоносные программы могут отключить панель управления Windows, чтобы предотвратить возникновение проблем, вызванных программой.
Секция О6
Если какие-либо параметры Microsoft Internet Explorer были отключены политиками, они должны быть исправлены.
Секция О7
Этот раздел отображается, если доступ к редактору реестра (regedit) отключен. При наличии должно быть исправлено.
Секция О8
Все дополнительные функции, добавленные в контекстное меню Microsoft Internet Explorer, отображаются в этом разделе. Ниже приведен пример этой строки.
O8 - Дополнительный пункт контекстного меню: Поиск Windows Live - res: // C: \ Program Files \ Панель инструментов Windows Live \ msntb.dll / search.htm.
Секция О9
Любые дополнительные кнопки или пункты меню, которые были добавлены в Microsoft Internet Explorer, будут показаны здесь. Ниже приведен пример этой строки.
O9 - дополнительная кнопка: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: \ Program Files \ StumbleUpon \ StumbleUponIEBar.dll.Секция O10
В этом разделе отображаются все угонщики Windows Winsock. Хотя эти строки можно исправить из HijackThis из-за того, как работает Winsock, мы предлагаем использовать LSP-Fix альтернативный инструмент, предназначенный для исправления этого раздела, если он найден. Ниже приведен пример этой строки.
O10 - неизвестный файл в Winsock LSP: c: \ windows \ system32 \ nwprovau.dll
Секция O11
Отображает любую дополнительную группу, которая была добавлена в раздел расширенных параметров Microsoft Internet Explorer.
Секция O12
В этом разделе отображаются все подключаемые модули Microsoft Internet Explorer, которые были установлены на компьютере.
Секция O13
Отображает любые изменения, которые были внесены в префикс http: // Microsoft Internet Explorer по умолчанию. Используется, когда пользователь вводит URL-адрес, но не добавляет «http: //» впереди.
Секция O14
В этом разделе отображаются все внесенные изменения в файл iereset.inf. Этот файл используется при восстановлении настроек Microsoft Internet Explorer обратно к настройкам по умолчанию.
Секция O15
Отображает любые изменения доверенной зоны Microsoft Internet Explorer. Если вы не добавили или не узнали этот раздел, мы предлагаем исправить его с помощью HijackThis. Ниже приведен пример линии O15.
O15 - Доверенная зона: http://www.partypoker.com
Секция О16
Отображает все объекты Microsoft Internet Explorer ActiveX. Ниже приведен пример этой строки.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (загрузчик фотографий Facebook 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab.Секция О17
В этом разделе отображаются любые потенциальные угонщики DNS и доменов. Ниже приведен пример этой строки.
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: сервер имен = 203.23.236.66 203.23.236.69.Секция О18
Любые угонщики протокола будут показаны здесь. Если этот раздел виден, рекомендуется, чтобы он был исправлен HijackThis.
O18 - Протокол: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: \ PROGRA ~ 1 \ mcafee \ SITEAD ~ 1 \ mcieplg.dll.Секция O19
В этом разделе отображаются все изменения таблицы стилей CSS, которые были сделаны. Если вы не используете пользовательскую таблицу стилей, рекомендуется использовать HijackThis, чтобы исправить этот раздел.
Секция O20
В этом разделе все, что загружается через APPInit_DLL или Winlogon, показывается в этом разделе. Ниже приведен пример каждой из этих строк.
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Уведомить:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL.
Секция О21
Все, что загружается в раздел реестра Windows SSODL (ShellServiceObjectDelayLoad), будет показано в этом разделе.
Секция O22
В этом разделе показаны все разделы реестра автозапуска Windows SharedTaskScheduler. Ниже приведен пример этой строки.
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: \ Windows \ System32 \ DreamScene.dll.Секция O23
В этом разделе все службы запуска Windows XP, NT, 2000, 2003 и Vista отображаются в этом разделе. Ниже приведен пример этой строки.
O23 - Сервис: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe.
Секция О24
Наконец, раздел O24 — это любые компоненты Microsoft Windows Active Desktop, которые установлены на компьютере. Если вы не используете Active Desktop или не узнаете имя, мы предлагаем вам также исправить это. Ниже приведен пример этой строки.
O24 - настольный компонент 1: (без имени) - http://mbox.personals.yahoo.com/mbox/mboxlist.
