Nakon preuzimanja i instaliranja najnovije verzije Trend Micro HijackThis, otvorite datoteku. Ako računalo ne može otvoriti program, pokušajte ga preimenovati u nešto drugo (na primjer, sniper.exe) i pokrenuti ga ponovo. Kada otvorite, trebali biste vidjeti zaslon sličan primjeru na slici ispod.
Kliknite posljednji gumb "Ništa od gore navedenog, samo pokrenite program" i odaberite gumb "Konfig ..". Provjerite jesu li označeni potvrdni okviri za sljedeće.
- Izradite sigurnosne kopije prije popravljanja stavki
- Potvrdite popravljanje i ignoriranje stavki
- Zanemarite nestandardne, ali sigurne domene u IE
- Uključite popis pokrenutih procesa u dnevnicima
Nakon što označite ili potvrdite, kliknite gumb Glavni izbornik .
Zatim odaberite prvi gumb Izvršite skeniranje sustava i spremite datoteku dnevnika za pokretanje skeniranja sustava. Kada završite, vidjet ćete zaslon sličan primjeru na slici dolje i novi prozor Notepada koji prikazuje novi HijackThis dnevnik.
Ako generirate ovaj dnevnik za analizu na mreži, kopirajte cijeli dnevnik u međuspremnik pritiskom na Ctrl + A za odabir cijelog teksta. Nakon označavanja kliknite Uredi i Kopiraj. Nakon što je učinio, to može biti zalijepljen na forum stranici ili HijackThis alat, kao što je računalo Nada Windows proces alat.
Datoteka dnevnika HijackThis također je pohranjena na vašem računalu u zadanom direktoriju "C: programske datoteke Trend Micro HijackThis" i može se pridružiti postu na forumu ili poslati drugom korisniku u e-poruci koju treba analizirati.
Razumijevanje rezultata
Na prvi pogled, rezultati mogu izgledati neodoljivo, ali dnevnik sadrži sve informacije i potencijalne lokacije na kojima zlonamjerni softver može napasti vaše računalo. U nastavku slijedi kratak opis svakog od ovih dijelova radi općeg razumijevanja onoga što su oni.
Oprez: HijackThis je napredni uslužni program i može vršiti izmjene u registru i drugim sistemskim datotekama koje mogu uzrokovati dodatna računala. Provjerite jeste li slijedili gornje upute, radite sigurnosne kopije izmjena te ste upoznati s onim što se popravlja prije nego što popravite sve označene stavke.
Odjeljci R0 - R3
Vrijednosti registra sustava Windows koje su kreirane i promijenjene i odnose se na preglednik Microsoft Internet Explorer. Često zlonamjerni softver napada te vrijednosti Registra kako bi promijenio zadanu početnu stranicu, stranicu za pretraživanje itd. U nastavku je naveden primjer vrijednosti R0.
R0 - HKCU Softver Microsoft Internet Explorer Glavna, Početna stranica = //www.computerhope.com/
F0 - F3 odjeljci
Pregled svega prikazanog koji se učitava iz datoteka system.ini ili win.ini.
N1 - N4 dijelovi
Slično sekcijama R0-R3, ovi su dijelovi dio prefs.js datoteke koja se odnosi na preglednike Netscape i Mozilla Firefox. Sekcije N1-N4 će biti napadnute kako bi se promijenila zadana početna stranica, stranica za pretraživanje itd.
Odjeljak O1
Ovaj odjeljak sadržavat će preusmjeravanja datoteka domaćina u datoteku Windows hosts. Preusmjeravanja su druga vrsta napada koji preusmjerava ime domene na drugu IP adresu. Naprimjer, napad može to upotrijebiti za preusmjeravanje URL-a za bankarstvo na drugu web-lokaciju kako bi se ukrali podaci za prijavu. U nastavku je primjer linije O1.
O1 - Domaćini: :: 1 localhost
Odjeljak O2
Ovaj odjeljak sadrži bilo koji Internet BHO (Objekat pomagača preglednika) s CLSID (priloženim u {}) instaliranom na računalu. U nastavku je primjer linije O2.
O2 - BHO: Pomoć za povezivanje Adobe PDF čitača - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: Programske datoteke Zajedničke datoteke Adobe Acrobat ActiveX \ t Odjeljak O3
Ovaj odjeljak osvijetlit će sve alatne trake programa Microsoft Internet Explorer instalirane na računalu. Iako postoji mnogo legitimnih alatnih traka preglednika, postoje i brojne zlonamjerne alatne trake i alatne trake koje instaliraju drugi programi koje možda ne želite. U nastavku je primjer linije O3.
O3 - Alatna traka: StumbleUpon alatna traka - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: Programske datoteke \ t Odjeljak O4
Jedan od najčešćih odjeljaka, odjeljak O4 sadrži sve programe koji se automatski učitavaju u registru sustava Windows svaki put kad se računalo pokrene. U nastavku je primjer ove linije.
O4 - HKLM Pokreni: [NvCplDaemon] RUNDLL32.EXE C: WINDOWS system32 NvCpl.dll, NvStartup
Odjeljak O5
Ovaj odjeljak prikazuje ikone upravljačke ploče sustava Windows koje su onemogućene za prikazivanje. Neki zlonamjerni programi mogu onemogućiti upravljačku ploču sustava Windows da bi spriječili rješavanje problema uzrokovanih programom.
Odjeljak O6
Ako su pravila programa Microsoft Internet Explorer onemogućena pravilima, trebalo bi ih popraviti.
Odjeljak O7
Ovaj odjeljak prikazuje se ako je onemogućen pristup uređivaču registra (regedit). Ako je prisutan treba popraviti.
Odjeljak O8
U ovom odjeljku prikazuju se sve dodatne značajke koje su dodane u izbornik Microsoft Internet Explorer. U nastavku je primjer ove linije.
O8 - Dodatna stavka kontekstnog izbornika: & Windows Live Search - res: // C: Programske datoteke Windows Live Toolbar msntb.dll / search.htm.
Odjeljak O9
Ovdje će biti prikazani svi dodatni gumbi ili stavke izbornika koje su dodane u Microsoft Internet Explorer. U nastavku je primjer ove linije.
O9 - Dodatni gumb: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: Programske datoteke StumbleUpon StumbleUponIEBar.dll. Odjeljak O10
Ovaj odjeljak prikazuje sve Windows Winsock otmičare. Iako se ove linije mogu popraviti iz HijackThis zbog načina na koji Winsock radi, predlažemo da koristite LSP-Fix alternativni alat dizajniran za popravak ovog odjeljka, ako ga pronađete. U nastavku je primjer ove linije.
O10 - Nepoznata datoteka u Winsocku LSP: c: Windows system32 nwprovau.dll
Odjeljak O11
Prikazuje bilo koju dodatnu skupinu koja je dodana u odjeljak Microsoft Internet Explorer Advanced Options.
Odjeljak O12
Ovaj odjeljak prikazuje sve dodatke za Microsoft Internet Explorer koji su instalirani na računalu.
Odjeljak O13
Prikazuje sve promjene u zadanom // prefiksu Microsoft Internet Explorera. Koristi se kada korisnik unese URL adresu, ali ne dodaje "//" ispred.
Odjeljak O14
Ovaj odjeljak prikazuje sve promjene u datoteci iereset.inf koje su napravljene. Ova se datoteka koristi pri vraćanju postavki programa Microsoft Internet Explorer natrag na zadane postavke.
Odjeljak O15
Prikazuje bilo koju izmjenu pouzdane zone Microsoft Internet Explorer. Osim ako niste dodali ili prepoznali ovaj odjeljak, predlažemo da ga popravite putem HijackThis. U nastavku je primjer linije O15.
O15 - Pouzdana zona: //www.partypoker.com
Odjeljak O16
Prikazuje sve Microsoft Internet Explorer ActiveX objekte. U nastavku je primjer ove linije.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. O17 odjeljak
Ovaj odjeljak prikazuje potencijalne otmice DNS-a i domene. U nastavku je primjer ove linije.
O17 - HKLM Sustav CCS Usluge Cpip ... {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Nameserver = 203.23.236.66 203.23.236.69. Odjeljak O18
Ovdje će biti prikazani svi otmičari protokola. Ako se vidi ovaj odjeljak, preporučuje se da ga popravi HijackThis.
O18 - Protokol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: PROGRA ~ 1 mcafee SITEAD ~ 1 mcieplg.dll. O19 odjeljak
U ovom odjeljku prikazane su sve izmjene na CSS-ovom listu stilova. Osim ako ne koristite prilagođeni list stila, preporučuje se da pomoću HijackThis popravite ovaj odjeljak.
Odjeljak O20
U ovom odjeljku sve što se učitava kroz APPInit_DLL ili Winlogon prikazuje u ovom odjeljku. U nastavku je primjer svake od ovih redaka.
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Obavijesti:! SASWinLogon - C: Programske datoteke SUPERAntiSpyware SASWINLO.DLL.
Odjeljak O21
Sve što se učitava u SSODL (ShellServiceObjectDelayLoad) Windows registarski ključ bit će prikazano u ovom odjeljku.
Odjeljak O22
Ovaj odjeljak prikazuje sve ključeve registra sustava Windows za autoriziranje sustava SharedTaskScheduler. U nastavku je primjer ove linije.
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: Windows System32 DreamScene.dll. Odjeljak O23
U ovom se odjeljku prikazuju usluge pokretanja sustava Windows XP, NT, 2000, 2003 i Vista u ovom odjeljku. U nastavku je primjer ove linije.
O23 - Usluga: AVG8 skener e-pošte (avg8emc) - AVG Technologies CZ, sro - C: PROGRA ~ 1 AVG AVG8 avgemc.exe.
Odjeljak O24
Konačno, u odjeljku O24 nalaze se sve komponente sustava Microsoft Windows Active Desktop koje su instalirane na računalu. Osim ako koristite Active Desktop ili prepoznajete ime, predlažemo da ih ispravite. U nastavku je primjer ove linije.
O24 - Komponenta 1 radne površine: (bez imena) - //mbox.personals.yahoo.com/mbox/mboxlist.