Pēc jaunākās Trend Micro HijackThis versijas lejupielādes un instalēšanas atveriet failu. Ja jūsu dators nevar atvērt programmu, mēģiniet pārdēvēt failu uz citu (piemēram, sniper.exe) un palaist to vēlreiz. Atverot, jums vajadzētu redzēt ekrānu, kas ir līdzīgs zemāk redzamajam piemēram.
Noklikšķiniet uz pēdējās pogas "Neviens no iepriekš minētajiem, vienkārši startējiet programmu" un izvēlieties pogu "Konfigurēt ..". Pārliecinieties, vai ir atzīmētas izvēles rūtiņas tālāk norādītajām.
- Veiciet dublējumkopijas pirms vienumu fiksēšanas
- Apstipriniet un ignorējiet vienumus
- Ignorēt nestandarta, bet drošos domēnus IE
- Ietveriet darbojošos procesu sarakstu žurnālu failos
Pēc pārbaudes vai verifikācijas noklikšķiniet uz pogas Galvenā izvēlne .
Pēc tam atlasiet pirmo pogu Vai sistēmas skenēšana un logfile tiek saglabāta, lai sāktu sistēmas skenēšanu. Kad esat pabeidzis, jūs redzēsiet ekrānā līdzīgu attēlu, kā arī jaunu Notepad logu, kurā parādīts jaunais HijackThis žurnāls.
Ja izveidojat šo žurnālu, kas tiks analizēts tiešsaistē, kopējiet visu žurnālu starpliktuvē, nospiežot Ctrl + A, lai atlasītu visu tekstu. Kad ir iezīmēts, noklikšķiniet uz Rediģēt un Kopēt. Kad tas ir izdarīts, to var ielīmēt foruma lapā vai HijackThis rīkā, piemēram, Windows Hope Windows procesa rīkā.
HijackThis log fails tiek saglabāts arī jūsu datorā noklusējuma direktorijā "C: failu faili Trend Micro HijackThis", un to var pievienot foruma ziņai vai nosūtīt citam lietotājam analizējamā e-pastā.
Rezultātu izpratne
No pirmā acu uzmetiena rezultāti var izrādīties milzīgi, bet žurnālā ir visa informācija un iespējamās atrašanās vietas, kur ļaunprātīga programmatūra var uzbrukt jūsu datoram. Tālāk ir sniegts īss apraksts par katru no šīm sadaļām, lai iegūtu vispārēju izpratni par to, kas tās ir.
Uzmanību: HijackThis ir uzlabota utilīta un var veikt izmaiņas reģistrā un citos sistēmas failos, kas var radīt papildu problēmas datorā. Pārliecinieties, ka esat ievērojis iepriekš minētos norādījumus, veicat izmaiņu dublējumkopijas un ka esat iepazinies ar to, kas ir noteikts pirms pārbaudīto vienumu noteikšanas.
R0 - R3 sekcijas
Windows reģistra vērtības, kas ir izveidotas un mainītas, kas attiecas uz jūsu Microsoft Internet Explorer pārlūkprogrammu. Bieži vien ļaunprātīgas programmatūras dēļ šīs reģistra vērtības tiek nomainītas, lai mainītu noklusējuma mājas lapu, meklēšanas lapu utt. Zemāk ir R0 vērtības piemērs.
R0 - HKCU programmatūra Microsoft Internet Explorer Galvenā, sākumlapa = //www.computerhope.com/
F0 - F3 sekcijas
Pārskats par parādīto informāciju, kas tiek ielādēta no failiem system.ini vai win.ini.
N1 - N4 sekcijas
Līdzīgi kā R0-R3 sadaļās, šīs sadaļas ir daļa no prefs.js faila, kas attiecas uz Netscape un Mozilla Firefox pārlūkiem. N1-N4 sadaļas tiek uzbruktas, lai mainītu noklusējuma sākumlapu, meklēšanas lapu utt.
O1 sadaļa
Šajā sadaļā būs iekļauti visi saimniekdatora faila pāradresācijas, kas ir izveidotas Windows resursdatora failā. Pārvirzīšana ir cita veida uzbrukums, kas novirza domēna nosaukumu uz citu IP adresi. Piemēram, uzbrukums var to izmantot, lai novirzītu jūsu bankas URL uz citu vietni, lai nozagtu žurnāla informāciju. Zemāk ir O1 līnijas piemērs.
O1 - Saimnieki: :: 1 localhost
O2 sadaļa
Šajā sadaļā ir iekļauts jebkurš interneta BHO (pārlūkprogrammas palīgsobjekts) ar CLSID (iekļauts {}), kas instalēts datorā. Zemāk ir O2 līnijas piemērs.
O2 - BHO: Adobe PDF Reader saite palīgs - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: Programmas faili Kopējie faili Adobe Acrobat ActiveX AcroIEHelper.dll O3 sadaļa
Šajā sadaļā tiks izgaismotas visas Microsoft Internet Explorer rīkjoslas, kas ir instalētas datorā. Lai gan ir daudz likumīgu pārlūka rīkjoslu, ir arī daudzas ļaunprātīgas rīkjoslas un rīkjoslas, ko instalē citas programmas, kuras jūs nevēlaties. Zemāk ir O3 līnijas piemērs.
O3 - Rīkjosla: StumbleUpon rīkjosla - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: Programmas faili StumbleUpon StumbleUponIEBar.dll O4 sadaļa
Viena no visbiežāk aplūkotajām sadaļām, O4 sadaļa satur visas programmas, kas automātiski tiek ielādētas Windows reģistrā katru reizi, kad dators sāk darboties. Zemāk ir šīs līnijas piemērs.
O4 - HKLM .. Palaidiet: [NvCplDaemon] RUNDLL32.EXE C: WINDOWS system32 NvCpl.dll, NvStartup
O5 sadaļa
Šajā sadaļā tiek parādītas visas Windows vadības paneļa ikonas, kuras ir atspējotas. Dažas ļaunprātīgas programmatūras var atspējot Windows vadības paneli, lai palīdzētu novērst problēmu, kas saistīta ar programmas radītajām problēmām.
O6 sadaļa
Ja politika ir atspējojusi kādu no Microsoft Internet Explorer opcijām, tās ir jānosaka.
O7 sadaļa
Šī sadaļa parāda, vai piekļuve reģistra redaktoram (regedit) ir atspējota. Ja tāds ir, tas ir jānosaka.
O8 sadaļa
Šajā sadaļā tiek parādītas visas papildu funkcijas, kas ir pievienotas Microsoft Internet Explorer labā klikšķa izvēlnē. Zemāk ir šīs līnijas piemērs.
O8 - papildu konteksta izvēlnes vienums: & Windows Live Search - res: // C: Programmas faili Windows Live rīkjosla msbb.dll / search.htm.
O9 sadaļa
Šeit tiks parādītas visas papildu pogas vai izvēlnes elementi, kas pievienoti Microsoft Internet Explorer. Zemāk ir šīs līnijas piemērs.
O9 - papildus poga: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: Failu faili StumbleUpon StumbleUponIEBar.dll. O10 sadaļa
Šajā sadaļā tiek parādīti visi Windows Winsock nolaupītāji. Lai gan šīs līnijas var noteikt no HijackThis, jo Winsock darbojas, mēs iesakām izmantot LSP-Fix alternatīvu rīku, kas paredzēts, lai noteiktu šo sadaļu, ja tas ir atrasts. Zemāk ir šīs līnijas piemērs.
O10 - nezināms fails Winsock LSP: c: logi32 wprovau.dll
O11 iedaļa
Parāda jebkuru papildu grupu, kas ir pievienota sadaļā Microsoft Internet Explorer papildu opcijas.
O12 sadaļa
Šajā sadaļā tiek parādīti visi datorā instalētie Microsoft Internet Explorer spraudņi.
O13 sadaļa
Parāda visas Microsoft Internet Explorer noklusējuma // prefiksa izmaiņas. Izmanto, kad lietotājs ieraksta URL adresi, bet nepievieno "//" priekšā.
O14 sadaļa
Šajā sadaļā ir parādītas visas veiktās iereset.inf faila izmaiņas. Šis fails tiek izmantots, lai atjaunotu Microsoft Internet Explorer iestatījumus atpakaļ uz noklusējuma iestatījumiem.
O15 sadaļa
Parāda visas Microsoft Internet Explorer uzticamo zonu izmaiņas. Ja vien jūs neesat pievienojis vai neatzīstis šo sadaļu, mēs iesakām to noteikt, izmantojot HijackThis. Zemāk ir O15 līnijas piemērs.
O15 - uzticama zona: //www.partypoker.com
O16 sadaļa
Parāda visus Microsoft Internet Explorer ActiveX bjects. Zemāk ir šīs līnijas piemērs.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook foto augšupielādētājs 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. O17 sadaļa
Šajā sadaļā tiek parādīti visi iespējamie DNS un domēnu nolaupījumi. Zemāk ir šīs līnijas piemērs.
O17 - HKLM Sistēma CCS Pakalpojumi Cipip .. {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Vārdu serveris = 203, 23, 236, 66 203, 23, 236, 69. O18 iedaļa
Šeit tiks parādīti visi protokola nolaupītāji. Ja šī sadaļa ir redzama, ieteicams to noteikt ar HijackThis.
O18 - Protokols: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: PROGRA ~ 1 Mcafee SITEAD ~ 1 mcieplg.dll. O19 sadaļa
Šajā sadaļā ir parādītas visas veiktās CSS stila lapu izmaiņas. Ja vien neizmantojat pielāgotu stila lapu, ieteicams HijackThis izmantot šīs sadaļas labošanai.
O20 sekcija
Šajā sadaļā viss, kas tiek ielādēts ar APPInit_DLL vai Winlogon, parādīts šajā sadaļā. Zemāk ir piemērs katrai no šīm līnijām.
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Paziņot:! SASWinLogon - C: Programmas faili SUPERAntiSpyware SASWINLO.DLL.
O21 sadaļa
Viss, kas tiek ielādēts Windows reģistra atslēgā SSODL (ShellServiceObjectDelayLoad), tiks parādīts šajā sadaļā.
O22 sadaļa
Šajā sadaļā redzami visi SharedTaskScheduler autorun Windows reģistra atslēgas. Zemāk ir šīs līnijas piemērs.
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: Windows System32 DreamScene.dll. O23 sadaļa
Šajā sadaļā tiek parādīti visi Windows XP, NT, 2000, 2003 un Vista startēšanas pakalpojumi šajā sadaļā. Zemāk ir šīs līnijas piemērs.
O23 - Serviss: AVG8 e-pasta skeneris (avg8emc) - AVG Technologies CZ, sro - C: PROGRA ~ 1 AVG AVG8 avgemc.exe.
O24 sadaļa
Visbeidzot, O24 sadaļa ir visas Microsoft Windows Active Desktop sastāvdaļas, kas ir instalētas datorā. Ja vien jūs neizmantojat Active Desktop vai neatpazīstat vārdu, iesakām arī tos labot. Zemāk ir šīs līnijas piemērs.
O24 - Desktop 1 komponents: (bez nosaukuma) - //mbox.personals.yahoo.com/mbox/mboxlist.