ThisHijack : Spiegazione analitica di tutte le voci

 

ThisHijack di seguito sono evidenziate i gruppi con  la relativa spegazione di tutte le voci analizzate da ThisHijack per una giusta interpretazione.

ThisHijack : R0, R1, R2, R3 – IE Start, Cerca pagine

Come appare:
R0 – HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Pagina iniziale = http://www.google.com/
R1 – HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 – (questo tipo non è ancora utilizzato da HijackThis)
R3 – URLSearchHook default manca

Cosa fare:
Se si riconosce l’URL alla fine come la tua home page o motore di ricerca, è OK. Se non, controllare e avere HijackThis risolvere il problema. Per le voci R3, sempre correggerli se non si parla di un programma si riconosce, come Copernic.

ThisHijack : F0, F1, F2, F3 – Caricamento automatico dei programmi da file INI

Come appare:
F0 – system.ini: Shell = Explorer.exe Openme.exe
F1 – win.ini: eseguire = hpfsched

Cosa fare:
Le voci F0 sono sempre male, così correggerli. Gli articoli F1 sono di solito molto vecchi programmi che sono sicuri, così si dovrebbe trovare qualche info in più sul nome del file per vedere se è buono o cattivo. Di Pacman lista di avvio può aiutare ad identificare un elemento.

ThisHijack : N1, N2, N3, N4 – Netscape / Mozilla inizia e cerca Pagina

Come appare:
N1 – Netscape 4: user_pref “browser.startup.homepage”, “www.google.com”); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 – Netscape 6: user_pref (“browser.startup.homepage”, “http://www.google.com”); (C: \ Documents and Settings \ Utente \ Dati applicazioni \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 – Netscape 6: user_pref (“browser.search.defaultengine”, “motore: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C: \ Documents and Settings \ Utente \ Dati applicazioni \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Cosa fare:
Di solito la home page di Netscape e Mozilla e pagina di ricerca sono al sicuro. Raramente vengono dirottati, solo Lop.com è stato conosciuto per fare questo. Se vedi un URL non si riconosce come la tua home page o pagina di ricerca, ha HijackThis risolvere il problema.

ThisHijack : Redirezioni Hostsfile – O1

Come appare:
O1 – Hosts: 216.177.73.139 auto.search.msn.com
O1 – Hosts: 216.177.73.139 search.netscape.com
O1 – Hosts: 216.177.73.139 ieautosearch
O1 – file Hosts si trova in C: \ Windows \ Help \ hosts

Cosa fare:
Questo dirottamento reindirizzerà l’indirizzo a destra per l’indirizzo IP a sinistra. Se l’IP non appartiene l’indirizzo, si verrà reindirizzati a un sito ogni torto si inserisce l’indirizzo. Si può sempre avere HijackThis correggere questi, a meno che consapevolmente mette quelle linee nel file Hosts.

L’ultima voce a volte si verifica in Windows 2000 / XP con una infezione CoolWebSearch. Fissare sempre questa voce, o hanno CWShredder ripararlo automaticamente.

ThisHijack : O2 – Browser Helper Objects

Come appare:
O2 – BHO: Yahoo! Companion BHO – {13F537F0-AF09-11d6-9029-0002B31F9E59} – C: \ Programmi \ Yahoo! \ COMPAGNO \ YCOMP5_0_2_4.DLL
O2 – BHO: (no name) – {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} – C: \ Program Files \ Popup Eliminator \ AUTODISPLAY401.DLL (missing file)
O2 – BHO: MediaLoads rafforzata – {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} – C: \ Program Files \ MEDIALOADS ENHANCED \ ME1.DLL

Cosa fare:
Se non si riconosce direttamente il nome di un Helper Object del Browser, utilizzare BHO & Toolbar List di TonyK per trovarlo da l’ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell’elenco BHO, ‘X’ significa spyware e ‘L’ significa sicuro.
Barre degli strumenti di IE – O3

Come appare:
O3 – Toolbar: & Yahoo! Companion – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C: \ Programmi \ Yahoo! \ COMPAGNO \ YCOMP5_0_2_4.DLL
O3 – Toolbar: Popup Eliminator – {86BCA93E-457 ter-4054-AFB0-E428DA1563E1} – C: \ Program Files \ Popup Eliminator \ PETOOLBAR401.DLL (missing file)
O3 – Toolbar: rzillcgthjx – {5996aaf3-5c08-44a9-ac12-1843fd03df0a} – C: \ WINDOWS \ Application Data \ CKSTPRLLNQUL.DLL

Cosa fare:
Se non si riconosce direttamente il nome di una barra degli strumenti, utilizzare BHO & Toolbar List di TonyK per trovarlo da l’ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell’elenco Barra degli strumenti, ‘X’ significa spyware e ‘L’ significa sicuro. Se non è sulla lista e il nome sembra una stringa casuale di caratteri e il file è nella cartella ‘Application Data’ (come l’ultima negli esempi precedenti), è probabilmente Lop.com, ed è sicuramente dovrebbe avere HijackThis fix esso.

ThisHijack : Caricamento automatico dei programmi di Registro di sistema o gruppo di avvio – O4

Come appare:
O4 – HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 – HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 – HKLM \ .. \ Run: [ccApp] “C: \ Programmi \ File comuni \ Symantec Shared \ ccApp.exe”
O4 – Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.exe
O4 – Startup globale: winlogon.exe

Cosa fare:
Utilizzare lista di avvio di PacMan per trovare la voce e vedere se è buono o cattivo.

Se la voce presenta un programma che si siede in un gruppo di avvio (come l’ultimo elemento di cui sopra), HijackThis non possono fissare l’articolo se questo programma è ancora in memoria. Utilizzare il Task Manager di Windows (TASKMGR.EXE) per chiudere il processo prima della posa.

ThisHijack : O5 – Opzioni IE non visibili nel Pannello di controllo

Come appare:
O5 – control.ini: inetcpl.cpl = no

Cosa fare:
A meno che l’utente o l’amministratore di sistema ha consapevolmente nascosto l’icona dal pannello di controllo, hanno HijackThis risolvere il problema.

ThisHijack : O6 – Opzioni IE accesso limitato da Administrator

Come appare:
O6 – HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions presente

Cosa fare:
A meno che non si ha la possibilità di Spybot S & D ‘homepage Blocco da cambiamenti’ attiva, o l’amministratore di sistema mettere questo in atto, hanno HijackThis risolvere questo problema.

ThisHijack : O7 – Regedit accesso limitato da Administrator

Come appare:
O7 – HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Cosa fare:
Hanno sempre HijackThis risolvere questo, a meno che l’amministratore di sistema ha messo in atto questa restrizione.

ThisHijack : O8 – articoli aggiuntivi in IE menu di scelta rapida

Come appare:
O8 – voce di menu di contesto Extra: & Google Search – res: // C: \ WINDOWS \ Downloaded PROGRAMMI \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 – voce di menu di contesto Extra: Yahoo! Search – file: /// C: \ Programmi \ Yahoo! \ Common / ycsrch.htm!
O8 – voce di menu di contesto Extra: Zoom & A – C: \ WINDOWS \ WEB \ zoomin.htm
O8 – voce di menu di contesto Extra: Zoom O & ut – C: \ WINDOWS \ WEB \ zoomout.htm

Cosa fare:
Se non si riconosce il nome della voce nel menu del tasto destro in IE, hanno HijackThis risolvere il problema.

ThisHijack : O9 – pulsanti aggiuntivi sulla barra degli strumenti principale di IE, o in più voci di menu IE ‘Strumenti’

Come appare:
O9 – Tasto Extra: Messenger (HKLM)
O9 – MenuItem ‘Strumenti’ Extra: Messenger (HKLM)
O9 – Tasto Extra: AIM (HKLM)

Cosa fare:
Se non si riconosce il nome del pulsante o MenuItem, hanno HijackThis risolvere il problema.

ThisHijack : O10 – dirottatori Winsock

Come appare:
O10 – Hijacked l’accesso a Internet da New.Net
O10 – Accesso Internet rotto a causa del fornitore LSP ‘c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll’ mancante
O10 – file sconosciuto in Winsock LSP: c: \ program files \ newton sa \ vmain.dll

Cosa fare:
E ‘meglio per risolvere questi utilizzando LSPFix da Cexx.org, o Spybot S & D da Kolla.de.

Si noti che i file “non noti” nello stack LSP non saranno fissati con HijackThis, per questioni di sicurezza.

ThisHijack : O11 – gruppo Extra in IE finestra ‘Opzioni avanzate’

Come appare:
O11 – gruppo Opzioni: [CommonName] CommonName

Cosa fare:
L’unico dirottatore fin d’ora che aggiunge proprio gruppo opzioni nella finestra Opzioni avanzate IE è CommonName. Così si può sempre avere HijackThis risolvere questo problema.

ThisHijack : O12 – plugin di IE

Come appare:
O12 – Plugin per .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 – Plugin per .PDF: C: \ Program Files \ Internet Explorer \ Plugins \ nppdf32.dll

Cosa fare:
Il più delle volte questi sono al sicuro. Solo Onflow aggiunge un plugin che qui non si vuole (.ofb).

ThisHijack : O13 – IE DefaultPrefix hijack

Come appare:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefisso: http://prolivation.com/cgi-bin/r.cgi?
O13 – WWW. Prefisso: http://ehttp.cc/?

Cosa fare:
Questi sono sempre cattivi. Che HijackThis correggerli.

ThisHijack : O14 – ‘Ripristina Impostazioni Web’ dirottamento

Come appare:
O14 – IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Cosa fare:
Se l’URL non è il fornitore del computer o il vostro ISP, hanno HijackThis risolvere il problema.

ThisHijack : O15 – siti indesiderati in zona attendibile

Come appare:
O15 – Trusted Zone: http://free.aol.com
O15 – Trusted Zone: * .coolwebsearch.com
O15 – Trusted Zone: * .msn.com

Cosa fare:
La maggior parte del tempo solo AOL e CoolWebSearch aggiungere silenziosamente siti alla zona attendibile. Se non è stato aggiunto il dominio indicato al Trusted Zone da soli, hanno HijackThis risolvere il problema.

ThisHijack : O16 – ActiveX Objects (aka Downloaded Program Files)

Come appare:
O16 – DPF: Yahoo! Chat – http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Cosa fare:
Se non si riconosce il nome dell’oggetto, o l’URL è stato scaricato da, avere HijackThis risolvere il problema. Se il nome o l’URL contiene parole come ‘dialer’, ‘casino’, ‘free_plugin’ etc, sicuramente risolvere il problema. SpywareBlaster di Javacool ha un enorme database di oggetti dannosi ActiveX che possono essere utilizzati per la ricerca CLSID. (Fai clic destro sulla lista per utilizzare la funzione Trova.)

Come appare:
O17 – HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Dominio = aoldsl.net
O17 – HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 – HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 – HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Dominio = W21944.find-quick.com
O17 – HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: Elenco = gla.ac.uk

ThisHijack : O17 – HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Cosa fare:
Se il dominio non è dalla vostra rete ISP o aziendale, hanno HijackThis risolvere il problema. Lo stesso vale per le voci del ‘RicercaElenco’. Per il ‘NameServer’ (server DNS) voci, Google per la IP o IP e sarà facile capire se sono buoni o cattivi.

ThisHijack : O18 – Protocolli aggiuntivi e dirottatori di protocollo

Come appare:
O18 – Protocollo: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 – Protocollo: MCTP – {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 – Protocollo dirottare: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Cosa fare:
Solo alcuni dirottatori visualizzati qui. I cattivi sono noti ‘cn’ (CommonName), «AYB ‘(Lop.com) e’ relatedlinks” (Huntbar), si dovrebbe avere HijackThis risolvere quelli. Altre cose che appaiono sono o non ancora confermati sicuro, o sono dirottati (cioè il CLSID è stato cambiato) da spyware. In quest’ultimo caso, hanno HijackThis risolvere il problema.

ThisHijack : O19 – foglio di stile utente hijack

Come appare:
O19 – foglio di stile utente: c: \ WINDOWS \ Java \ my.css

Cosa fare:
Nel caso di un rallentamento del browser e popup frequenti, hanno HijackThis risolvere questa voce se si presenta nel registro. Tuttavia, dal momento che solo CoolWebSearch fa questo, è meglio utilizzare CWShredder per risolvere il problema.

ThisHijack : O20 – il valore del Registro di sistema AppInit_DLLs autorun

Come appare:
Ø20 – AppInit_DLLs: msconfd.dll

Cosa fare:
Questo valore del Registro di sistema si trova in HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows carica una DLL in memoria quando l’utente accede, dopo di che rimane in memoria finché disconnessione. Molto pochi programmi legittimi utilizzano (Norton CleanSweep utilizza Apitrap.dll), il più delle volte viene utilizzato da trojan o aggressivi browser hijacker.

In caso di un ‘nascosto’ DLL di carico da questo valore del Registro di sistema (visibile solo quando si utilizza l’opzione ‘Modifica Dati Binario’ in Regedit) il nome dll può essere preceduto da una pipe ‘|’ per renderlo visibile nel log.

ThisHijack : O21 – ShellServiceObjectDelayLoad

Come appare:
O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C: \ WINDOWS \ System \ auhook.dll

Cosa fare:
Questo è un metodo autorun non documentato, normalmente utilizzato da alcuni componenti del sistema di Windows. I prodotti di cui a HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad vengono caricati all’avvio di Windows Explorer. HijackThis utilizza una whitelist di diversi elementi molto comuni SSODL, così ogni volta che un elemento viene visualizzato nel registro non si sa e forse dannoso. Trattare con cura estrema.

ThisHijack : O22 – SharedTaskScheduler

Come appare:
O22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c: \ windows \ system32 \ mtwirl32.dll

Cosa fare:
Questo è un autorun non documentato per Windows NT / 2000 / XP solo, che viene utilizzato molto raramente. Finora solo CWS.Smartfinder lo utilizza. Trattare con cura.

ThisHijack : O23 – NT Servizi

Come appare:
O23 – Servizio: Kerio Personal Firewall (PersFw) – Kerio Technologies – C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Cosa fare:
Questo è l’elenco dei servizi non Microsoft. L’elenco deve essere la stessa di quella che vedete in l’utilità Msconfig di Windows XP. Diversi dirottatori trojan utilizzano un servizio fatto in casa in adittion ad altre start-up per reinstallare se stessi. Il nome completo è di solito importante dal suono, come ‘Network Security Service’, ‘Workstation Logon Service’ o ‘Remote Procedure Call Helper’, ma il nome interno (tra parentesi) è una stringa di spazzatura, come ‘Ort’. La seconda parte della linea è il proprietario del file alla fine, come si vede nella proprietà del file.

Si noti che la fissazione di una voce O23 si fermerà solo il servizio e disattivarlo. Il servizio deve essere cancellato dal registro manualmente o con un altro strumento. In HijackThis 1.99.1 o superiore, il pulsante ‘Delete NT Service’ nella sezione Varie strumenti possono essere utilizzati per questo.