Cara Nguji HijackThis Log

by Tony Bradley, CISSP-ISSAP

Interpreting Data Log Kanggo Bantuan Mbusak Spyware lan Browser Hijackers

HijackThis alat gratis saka Trend Micro. Iki asale dikembangake dening Merijn Bellekom, mahasiswa ing Belanda. Perangkat lunak aman Spyware kayata Adaware utawa Spybot S & D nindakake tugas apik kanggo ndeteksi lan ngilangi paling program spyware, nanging sawetara pembajak spyware lan browser uga mbrasta uga utamane anti-spyware utilities.

HijackThis ditulis kanthi khusus kanggo ndeteksi lan mbusak browser hijack, utawa piranti lunak sing njupuk saka browser web, ngowahi kaca ngarep standar lan mesin telusur lan barang-barang angkoro liyane. Boten kados piranti lunak anti-spyware khas, HijackThis boten migunakaken tanda tangan utawi target program utawa URL khusus kangge mendeteksi lan mblokir. Luwih, HijackThis katon kanggo trik lan cara sing digunakake dening malware kanggo nginfèksi sistem lan ngarahake browser.

Ora kabeh sing katon ing log HijackThis kuwi apik lan ora kabeh kudu dibusak. Ing kasunyatan, cukup ngelawan. Wigati banget yen sawetara item ing log HijackThis bakal dadi perangkat lunak sah lan ngilangi item kasebut bisa nyebabake pangaruh sistem sampeyan utawa nyisipake piranti kasebut kanthi bener. Nggunakake HijackThis iku akeh kaya nyunting Registry Windows dhewe. Iku ora ilmu roket, nanging sampeyan kudu mesthi ora nindakaken tanpa panuntun dhokter yen sampeyan ora ngerti apa sing dilakoni.

Sawise sampeyan instal HijackThis lan mbukak kanggo generate file log, ana macem-macem forum lan situs ngendi sampeyan bisa ngirim utawa ngunggah data log sampeyan. Pakar sing ngerti apa sing katon bisa bantuan sampeyan nganalisa data log lan menehi saran babagan item sing bakal dibusak lan sing bakal ditinggalake piyambak.

Kanggo ngundhuh versi saiki saka HijackThis, sampeyan bisa ngunjungi situs resmi ing Trend Micro.

Punika ringkesan entri log HijackThis sing bisa digunakake kanggo mlumpat menyang informasi sing dituju:

R0, R1, R2, R3 - Internet Explorer Mulai / Nggoleki kaca URL
F0, F1 - Program pemutakhiran
N1, N2, N3, N4 - Netscape / Mozilla Mulai / Nggoleki kaca URL
O1 - Pangalihan file host
O2 - Object Helper Browser
O3 - toolbar Internet Explorer
O4 - Ngganti program saka Registry
O5 - Ikon Pilihan IE ora katon ing Control Panel
O6 - Akses IE Pilihan diwatesi dening Administrator
O7 - Regedit akses sing diwatesi dening Administrator
O8 - Item ekstra ing menu klik-tengen IE
O9 - Tombol ekstra ing toolbar tombol IE utama, utawa item ekstra ing menu 'Alat' IE
O10 - Winsock hijacker
O11 - Grup tambahan ing jendhela IE 'Pilihan Lanjut'
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Situs sing dikarepake ing Trusted Zone
O16 - ActiveX Objects (alias Unduh Program Files)
Pembajak domain O17 - Lop.com
O18 - Protokol ekstra lan pembajak protokol
O19 - Pangguna style user hijack
O20 - AppInit_DLLs Registry autorun
O21 - ShellServiceObjectDelayLoad Registry autorun tombol
O22 - SharedTaskScheduler autorun tombol Registry

O23 - Layanan Windows NT

R0, R1, R2, R3 - IE Mulai lan Panelusuran kaca

Apa iku katon:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Mulai Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (tipe iki ora digunakake dening HijackThis durung)
R3 - Default URLSearchHook wis ilang

Apa sing kudu dilakoni:
Yen sampeyan ngenali URL ing mburi minangka homepage utawa mesin telusur, iku OK. Yen sampeyan ora, mriksa lan njaluk HijackThis ndandani iku. Kanggo item R3, ayo ndandani mau kajaba kasebut program sing sampeyan kenal, kaya Copernic.

F0, F1, F2, F3 - Ngganti program saka file INI

Apa iku katon:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Apa sing kudu dilakoni:
Item F0 tansah ala, supaya bisa diatasi. Item F1 biasane lawas banget program sing aman, supaya sampeyan kudu golek sawetara info liyane ing jeneng file kanggo ndeleng yen apik utawa ala. Daftar Pambuka Pacman bisa mbantu ngenali item.

N1, N2, N3, N4 - Netscape / Mozilla Mulai & amp; Nggoleki kaca

Apa iku katon:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Data Aplikasi \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Data Aplikasi \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Apa sing kudu dilakoni:
Biasane kaca ngarep lan kaca Netscape lan Mozilla aman. Dheweke jarang njaluk dibajak, mung Lop.com wis dikenal nggawe iki. Apa sampeyan ndeleng URL sing ora diakoni minangka kaca utawa kaca panelusuran, duwe HijackThis ndandani.

O1 - Hostsfile redirections

Apa iku katon:
O1 - Serat: 216.177.73.139 auto.search.msn.com
O1 - Inang: 216.177.73.139 search.netscape.com
O1 - Serat: 216.177.73.139 ieautosearch
O1 - File sarwa dumunung ing C: \ Windows \ Help \ hosts

Apa sing kudu dilakoni:
Pembajak iki bakal ngarahake alamat ing sisih tengen menyang alamat IP ing sisih kiwa. Yen IP ora kalebu alamat, sampeyan bakal dikirim menyang situs sing salah nalika sampeyan ngetik alamat. Sampeyan bisa tansah ngrampungake, mbusak iki, kajaba sampeyan kanthi sengaja ngemot garis kasebut ing file Host Panjenengan.

Item pungkasan kadhangkala ana ing Windows 2000 / XP karo infèksi Coolwebsearch. Tansah ndandani item iki, utawa ndandani CWShredder kanthi otomatis.

O2 - Object Helper Browser

Apa iku katon:
O2 - BHO: Yahoo! BHP Companion - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ FILES PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ora ana jeneng) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (berkas ilang)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ FILES PROGRAM \ MEDIALOADS ENHANCED \ ME1.DLL

Apa sing kudu dilakoni:
Yen sampeyan ora langsung ngenali jeneng Helper Browser Helper, gunakake Direktori TonyK's BHO & Dhaftar kanggo nemokake kanthi ID kelas (CLSID, nomer antarane kurungan curly) lan ndeleng manawa apik utawa ora apik. Ing BHO List, 'X' tegese spyware lan 'L' tegese aman.

O3 - IE toolbar

Apa iku katon:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ FILES PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ DATA APLIKASI \ CKSTPRLLNQUL.DLL

Apa sing kudu dilakoni:
Yen sampeyan ora langsung ngenalake jeneng toolbar, gunakake dhaftar Toolbar TonyK's & Toolbar kanggo nemokake iku kanthi ID kelas (CLSID, nomer antarane kurva kriting) lan ndeleng yen apik utawa ala. Ing Dhaftar Toolbar, 'X' tegese spyware lan 'L' tegese aman. Yen ora ana ing dhaftar lan jeneng katon minangka string karakter sing acak lan file kasebut ana ing folder 'Data Data' (kaya pungkasan ing conto ing ndhuwur), iku mbok menawa Lop.com, lan sampeyan kudu nemtokake Piranti kasebut ndandani iku.

O4 - Ngganti program saka Registry utawa Group Startup

Apa iku katon:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Pambuka Global: winlogon.exe

Apa sing kudu dilakoni:
Gunakake List Startup PacMan kanggo nggoleki entri kasebut lan delengen yen apik utawa ora apik.

Yen item nuduhake program sing ana ing grup Startup (kaya item pungkasan ing ndhuwur), HijackThis ora bisa ndandani item kasebut yen program iki isih ing memori. Gunakake Windows Task Manager (TASKMGR.EXE) kanggo nutup proses sadurunge mbenakake.

O5 - Pilihan IE ora katon ing Control Panel

Apa iku katon:
O5 - control.ini: inetcpl.cpl = no

Apa sing kudu dilakoni:
Kajaba sampeyan utawa administrator sistem sampeyan kanthi sengaja ndhelikake lambang saka Control Panel, duwe HijackThis ndandani.

O6 - Akses IE Pilihan diwatesi dening Administrator

Apa iku katon:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Watesan saiki

Apa sing kudu dilakoni:
Kajaba sampeyan duwe pilihan Spybot S & D 'Kunci homepage saka owah-owahan' aktif, utawa administrator sistem sampeyan sijine iki menyang panggonan, kudu HijackThis fix iki.

O7 - Regedit akses sing diwatesi dening Administrator

Apa iku katon:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Apa sing kudu dilakoni:
Tansah ngemot HijackThis ndandani iki, kajaba administrator sistem sampeyan wis nemtokake watesan kasebut.

O8 - Item ekstra ing menu klik-tengen IE

Apa iku katon:
O8 - Item menu konteks tambahan: & Telusuri Google - res: // C: \ WINDOWS \ DOWNLOAD FILES PROGRAM \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Item menu konteks tambahan: Yahoo! Search - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Item menu konteks tambahan: Nggedhekake & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Item menu konteks tambahan: Nggedhekake O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Apa sing kudu dilakoni:
Yen sampeyan ora ngenalake jeneng item ing menu klik-tengen ing IE, duwe HijackThis ndandani.

O9 - Kancing ekstra ing toolbar IE utama, utawa item ekstra ing IE & # 39; Piranti & # 39; menu

Apa iku katon:
O9 - Tombol ekstra: Messenger (HKLM)
O9 - 'Alat Piranti' tambahan: Messenger (HKLM)
O9 - Tombol ekstra: AIM (HKLM)

Apa sing kudu dilakoni:
Yen sampeyan ora ngenalake jeneng tombol utawa item menu, kudu nglakoni HijackThis ndandani.

O10 - pembajak Winsock

Apa iku katon:
O10 - Akses internet sing dibajak dening New.Net
O10 - Akses Internet Broken amarga panyedhiya LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' ilang
O10 - Berkas sing ora dikenal ing Winsock LSP: c: \ program files \ newton knows \ vmain.dll

Apa sing kudu dilakoni:
Sing paling apik kanggo ndandani iki nggunakake LSPFix saka Cexx.org, utawa Spybot S & D saka Kolla.de.

Elinga yen file 'dingerteni' ing tumpukan LSP ora bakal diatasi dening HijackThis, kanggo masalah keamanan.

O11 - Grup tambahan ing IE & # 39; Pilihan Lanjut & # 39; jendhela

Apa iku katon:
O11 - Grup pilihan: [CommonName] CommonName

Apa sing kudu dilakoni:
Pembajak mung minangka saiki sing nambah grup opsi dhewe kanggo jendhela IE Advanced Options yaiku CommonName. Supaya sampeyan bisa tansah nduwe HijackThis ndandani iki.

O12 - IE plugins

Apa iku katon:
O12 - Plugin kanggo .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin kanggo .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Apa sing kudu dilakoni:
Paling wektu iki aman. Mung OnFlow nambah plugin sing ora dikarepake (.bb).

O13 - IE DefaultPrefix hijack

Apa iku katon:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Wiwit WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Wara-wara: http://ehttp.cc/?

Apa sing kudu dilakoni:
Iki tansah ala. Duwe HijackThis ndandani.

O14 - & # 39; Reset Web Settings & # 39; hijacking

Apa iku katon:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Apa sing kudu dilakoni:
Yen URL ora panyedhiya komputer sampeyan utawa ISP sampeyan, kudu nglakoni HijackThis ndandani.

O15 - Situs sing ora dikarepake ing Trusted Zone

Apa iku katon:
O15 - Zona dipercaya: http://free.aol.com
O15 - Zona dipercaya: * .coolwebsearch.com
O15 - Zona dipercaya: * .msn.com

Apa sing kudu dilakoni:
Paling wektu mung AOL lan Coolwebsearch meneng-menengan nambah situs ing Zona Dipercaya. Yen sampeyan ora nambahake domain sing kadhaptar menyang Zone Dipercaya dhewe, kudu nglakoni HijackThis ndandani.

O16 - ActiveX Objects (alias Unduh Program Files)

Apa iku katon:
O16 - DPF: Yahoo! Ngobrol - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Apa sing kudu dilakoni:
Yen sampeyan ora ngerteni jeneng obyek kasebut, utawa URL sing diundhuh saka, kudu nglakoni HijackThis ndandani. Yen jeneng utawa URL ngandhut tembung kaya 'dialer', 'casino', 'free_plugin' etc, mesthi ndandani. Javacool's SpywareBlaster nduweni database ageng obyek ActiveX sing bisa digunakake kanggo nggoleki CLSID. (Klik tengen dhaptar kanggo nggunakake fungsi Golek.)

O17 - Lop.com domain hijacks

Apa iku katon:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Apa sing kudu dilakoni:
Yen domain ora saka ISP utawa jaringan perusahaan, kudu dibusak. Padha dadi kanggo entri 'SearchList'. Kanggo 'NameServer' ( DNS server ) entri, Google kanggo IP utawa IPs lan bakal gampang kanggo ndeleng yen padha apik utawa ala.

O18 - Protokol ekstra lan pembajak protokol

Apa iku katon:
O18 - Protokol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Apa sing kudu dilakoni:
Mung sawetara pembajak teka ing kene. Klien sing dikawruhi yaiku 'cn' (CommonName), 'ayb' (Lop.com) lan 'relatedlinks' (Huntbar), sampeyan kudu nglebokna. Bab liya sing muncul kasebut durung dikonfirmasi aman, utawa dibajak (yaiku CLSID wis diganti) dening spyware. Ing kasus pungkasan, kudu dibusak.

O19 - Pangguna style user hijack

Apa iku katon:
O19 - Lembar gaya pangguna: c: \ WINDOWS \ Java \ my.css

Apa sing kudu dilakoni:
Ing kasus lambang browser lan kerep njupuk, Ndandani Piranti bakal ndandani item kasebut yen katon ing log. Nanging, amarga mung Coolwebsearch iki, luwih becik nggunakake CWShredder kanggo ndandani.

O20 - AppInit_DLLs Registry autorun

Apa iku katon:
O20 - AppInit_DLLs: msconfd.dll

Apa sing kudu dilakoni:
Nilai registri sing ana ing HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ngundhuh DLL menyang memori nalika pangguna log, sawise iku tetep ing memori nganti logoff. Sawetara program sah digunakake (Norton CleanSweep migunakake APITRAP.DLL), paling asring digunakake dening trojan utawa browser hijackers agressive.

Ing kasus sing di umpetake 'loading' DLL saka registri iki (mung katon nalika nggunakake 'Edit binar data' pilihan ing Regedit) jeneng DLL bisa dianyari karo pipa '|' supaya bisa dideleng ing log.

O21 - ShellServiceObjectDelayLoad

Apa iku katon:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Apa sing kudu dilakoni:
Iki minangka cara autorun undocumented, biasane digunakake dening sawetara komponen sistem Windows. Item sing didaftar ing HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad dimuat dening Explorer nalika Windows wiwit. HijackThis migunakake whitelist sawetara item SSODL sing umum, supaya saben item ditampilake ing log kasebut ora dingerteni lan bisa dadi angkoro. Nambani kanthi nemen nemen.

O22 - SharedTaskScheduler

Apa iku katon:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Apa sing kudu dilakoni:
Iki minangka autorun undocumented kanggo Windows NT / 2000 / XP wae, sing digunakake arang banget. Supaya adoh mung CWS.Smartfinder migunakake. Nambani kanthi ati-ati.

O23 - Layanan NT

Apa iku katon:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Apa sing kudu dilakoni:
Iki daftar layanan non-Microsoft. Dhaftar kudu padha karo sing sampeyan deleng ing sarana Msconfig saka Windows XP. Pembajak trojan sawetara nggunakake layanan gawean ing aditya kanggo startup liyane kanggo instal ulang dhewe. Jeneng lengkap biasane penting, kayata 'Service Security Network', 'Service Logon Workstation' utawa 'Helper Panggilan Prostitut', nanging jeneng internal (antarane tanda kurung) minangka tali sampah, kayata 'Ort'. Bagian kapindho baris yaiku pemilik file kasebut ing pungkasan, kaya sing katon ing properti berkas.

Elinga yen mbenakake item O23 mung bakal mungkasi layanan lan mateni. Layanan kasebut kudu dibusak saka Registry kanthi manual utawa karo alat liya. Ing HijackThis 1.99.1 utawa luwih dhuwur, tombol 'Delete NT Service' ing bagean Misc Tools bisa digunakake kanggo iki.