ThisHijack : Spiegazione analitica di tutte le voci

ThisHijack di seguito sono evidenziate i gruppi con la relativa spegazione di tutte le voci analizzate da ThisHijack per una giusta interpretazione.
ThisHijack : R0, R1, R2, R3 – IE Start, Cerca pagine
Come appare:
R0 – HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Pagina iniziale = http://www.google.com/
R1 – HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 – (questo tipo non è ancora utilizzato da HijackThis)
R3 – URLSearchHook default manca
Cosa fare:
Se si riconosce l’URL alla fine come la tua home page o motore di ricerca, è OK. Se non, controllare e avere HijackThis risolvere il problema. Per le voci R3, sempre correggerli se non si parla di un programma si riconosce, come Copernic.
ThisHijack : F0, F1, F2, F3 – Caricamento automatico dei programmi da file INI
Come appare:
F0 – system.ini: Shell = Explorer.exe Openme.exe
F1 – win.ini: eseguire = hpfsched
Cosa fare:
Le voci F0 sono sempre male, così correggerli. Gli articoli F1 sono di solito molto vecchi programmi che sono sicuri, così si dovrebbe trovare qualche info in più sul nome del file per vedere se è buono o cattivo. Di Pacman lista di avvio può aiutare ad identificare un elemento.
ThisHijack : N1, N2, N3, N4 – Netscape / Mozilla inizia e cerca Pagina
Come appare:
N1 – Netscape 4: user_pref “browser.startup.homepage”, “www.google.com”); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 – Netscape 6: user_pref (“browser.startup.homepage”, “http://www.google.com”); (C: \ Documents and Settings \ Utente \ Dati applicazioni \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 – Netscape 6: user_pref (“browser.search.defaultengine”, “motore: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C: \ Documents and Settings \ Utente \ Dati applicazioni \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Cosa fare:
Di solito la home page di Netscape e Mozilla e pagina di ricerca sono al sicuro. Raramente vengono dirottati, solo Lop.com è stato conosciuto per fare questo. Se vedi un URL non si riconosce come la tua home page o pagina di ricerca, ha HijackThis risolvere il problema.
ThisHijack : Redirezioni Hostsfile – O1
Come appare:
O1 – Hosts: 216.177.73.139 auto.search.msn.com
O1 – Hosts: 216.177.73.139 search.netscape.com
O1 – Hosts: 216.177.73.139 ieautosearch
O1 – file Hosts si trova in C: \ Windows \ Help \ hosts
Cosa fare:
Questo dirottamento reindirizzerà l’indirizzo a destra per l’indirizzo IP a sinistra. Se l’IP non appartiene l’indirizzo, si verrà reindirizzati a un sito ogni torto si inserisce l’indirizzo. Si può sempre avere HijackThis correggere questi, a meno che consapevolmente mette quelle linee nel file Hosts.
L’ultima voce a volte si verifica in Windows 2000 / XP con una infezione CoolWebSearch. Fissare sempre questa voce, o hanno CWShredder ripararlo automaticamente.
ThisHijack : O2 – Browser Helper Objects
Come appare:
O2 – BHO: Yahoo! Companion BHO – {13F537F0-AF09-11d6-9029-0002B31F9E59} – C: \ Programmi \ Yahoo! \ COMPAGNO \ YCOMP5_0_2_4.DLL
O2 – BHO: (no name) – {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} – C: \ Program Files \ Popup Eliminator \ AUTODISPLAY401.DLL (missing file)
O2 – BHO: MediaLoads rafforzata – {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} – C: \ Program Files \ MEDIALOADS ENHANCED \ ME1.DLL
Cosa fare:
Se non si riconosce direttamente il nome di un Helper Object del Browser, utilizzare BHO & Toolbar List di TonyK per trovarlo da l’ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell’elenco BHO, ‘X’ significa spyware e ‘L’ significa sicuro.
Barre degli strumenti di IE – O3
Come appare:
O3 – Toolbar: & Yahoo! Companion – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C: \ Programmi \ Yahoo! \ COMPAGNO \ YCOMP5_0_2_4.DLL
O3 – Toolbar: Popup Eliminator – {86BCA93E-457 ter-4054-AFB0-E428DA1563E1} – C: \ Program Files \ Popup Eliminator \ PETOOLBAR401.DLL (missing file)
O3 – Toolbar: rzillcgthjx – {5996aaf3-5c08-44a9-ac12-1843fd03df0a} – C: \ WINDOWS \ Application Data \ CKSTPRLLNQUL.DLL
Cosa fare:
Se non si riconosce direttamente il nome di una barra degli strumenti, utilizzare BHO & Toolbar List di TonyK per trovarlo da l’ID di classe (CLSID, il numero tra parentesi graffe) e vedere se è buono o cattivo. Nell’elenco Barra degli strumenti, ‘X’ significa spyware e ‘L’ significa sicuro. Se non è sulla lista e il nome sembra una stringa casuale di caratteri e il file è nella cartella ‘Application Data’ (come l’ultima negli esempi precedenti), è probabilmente Lop.com, ed è sicuramente dovrebbe avere HijackThis fix esso.
ThisHijack : Caricamento automatico dei programmi di Registro di sistema o gruppo di avvio – O4
Come appare:
O4 – HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 – HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 – HKLM \ .. \ Run: [ccApp] “C: \ Programmi \ File comuni \ Symantec Shared \ ccApp.exe”
O4 – Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.exe
O4 – Startup globale: winlogon.exe
Cosa fare:
Utilizzare lista di avvio di PacMan per trovare la voce e vedere se è buono o cattivo.
Se la voce presenta un programma che si siede in un gruppo di avvio (come l’ultimo elemento di cui sopra), HijackThis non possono fissare l’articolo se questo programma è ancora in memoria. Utilizzare il Task Manager di Windows (TASKMGR.EXE) per chiudere il processo prima della posa.
ThisHijack : O5 – Opzioni IE non visibili nel Pannello di controllo
Come appare:
O5 – control.ini: inetcpl.cpl = no
Cosa fare:
A meno che l’utente o l’amministratore di sistema ha consapevolmente nascosto l’icona dal pannello di controllo, hanno HijackThis risolvere il problema.
ThisHijack : O6 – Opzioni IE accesso limitato da Administrator
Come appare:
O6 – HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions presente
Cosa fare:
A meno che non si ha la possibilità di Spybot S & D ‘homepage Blocco da cambiamenti’ attiva, o l’amministratore di sistema mettere questo in atto, hanno HijackThis risolvere questo problema.
ThisHijack : O7 – Regedit accesso limitato da Administrator
Come appare:
O7 – HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
Cosa fare:
Hanno sempre HijackThis risolvere questo, a meno che l’amministratore di sistema ha messo in atto questa restrizione.
ThisHijack : O8 – articoli aggiuntivi in IE menu di scelta rapida
Come appare:
O8 – voce di menu di contesto Extra: & Google Search – res: // C: \ WINDOWS \ Downloaded PROGRAMMI \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 – voce di menu di contesto Extra: Yahoo! Search – file: /// C: \ Programmi \ Yahoo! \ Common / ycsrch.htm!
O8 – voce di menu di contesto Extra: Zoom & A – C: \ WINDOWS \ WEB \ zoomin.htm
O8 – voce di menu di contesto Extra: Zoom O & ut – C: \ WINDOWS \ WEB \ zoomout.htm
Cosa fare:
Se non si riconosce il nome della voce nel menu del tasto destro in IE, hanno HijackThis risolvere il problema.
ThisHijack : O9 – pulsanti aggiuntivi sulla barra degli strumenti principale di IE, o in più voci di menu IE ‘Strumenti’
Come appare:
O9 – Tasto Extra: Messenger (HKLM)
O9 – MenuItem ‘Strumenti’ Extra: Messenger (HKLM)
O9 – Tasto Extra: AIM (HKLM)
Cosa fare:
Se non si riconosce il nome del pulsante o MenuItem, hanno HijackThis risolvere il problema.
ThisHijack : O10 – dirottatori Winsock
Come appare:
O10 – Hijacked l’accesso a Internet da New.Net
O10 – Accesso Internet rotto a causa del fornitore LSP ‘c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll’ mancante
O10 – file sconosciuto in Winsock LSP: c: \ program files \ newton sa \ vmain.dll
Cosa fare:
E ‘meglio per risolvere questi utilizzando LSPFix da Cexx.org, o Spybot S & D da Kolla.de.
Si noti che i file “non noti” nello stack LSP non saranno fissati con HijackThis, per questioni di sicurezza.
ThisHijack : O11 – gruppo Extra in IE finestra ‘Opzioni avanzate’
Come appare:
O11 – gruppo Opzioni: [CommonName] CommonName
Cosa fare:
L’unico dirottatore fin d’ora che aggiunge proprio gruppo opzioni nella finestra Opzioni avanzate IE è CommonName. Così si può sempre avere HijackThis risolvere questo problema.
ThisHijack : O12 – plugin di IE
Come appare:
O12 – Plugin per .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 – Plugin per .PDF: C: \ Program Files \ Internet Explorer \ Plugins \ nppdf32.dll
Cosa fare:
Il più delle volte questi sono al sicuro. Solo Onflow aggiunge un plugin che qui non si vuole (.ofb).
ThisHijack : O13 – IE DefaultPrefix hijack
Come appare:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefisso: http://prolivation.com/cgi-bin/r.cgi?
O13 – WWW. Prefisso: http://ehttp.cc/?
Cosa fare:
Questi sono sempre cattivi. Che HijackThis correggerli.
ThisHijack : O14 – ‘Ripristina Impostazioni Web’ dirottamento
Come appare:
O14 – IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Cosa fare:
Se l’URL non è il fornitore del computer o il vostro ISP, hanno HijackThis risolvere il problema.
ThisHijack : O15 – siti indesiderati in zona attendibile
Come appare:
O15 – Trusted Zone: http://free.aol.com
O15 – Trusted Zone: * .coolwebsearch.com
O15 – Trusted Zone: * .msn.com
Cosa fare:
La maggior parte del tempo solo AOL e CoolWebSearch aggiungere silenziosamente siti alla zona attendibile. Se non è stato aggiunto il dominio indicato al Trusted Zone da soli, hanno HijackThis risolvere il problema.
ThisHijack : O16 – ActiveX Objects (aka Downloaded Program Files)
Come appare:
O16 – DPF: Yahoo! Chat – http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Cosa fare:
Se non si riconosce il nome dell’oggetto, o l’URL è stato scaricato da, avere HijackThis risolvere il problema. Se il nome o l’URL contiene parole come ‘dialer’, ‘casino’, ‘free_plugin’ etc, sicuramente risolvere il problema. SpywareBlaster di Javacool ha un enorme database di oggetti dannosi ActiveX che possono essere utilizzati per la ricerca CLSID. (Fai clic destro sulla lista per utilizzare la funzione Trova.)
Come appare:
O17 – HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Dominio = aoldsl.net
O17 – HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944.find-quick.com
O17 – HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 – HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Dominio = W21944.find-quick.com
O17 – HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: Elenco = gla.ac.uk
ThisHijack : O17 – HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Cosa fare:
Se il dominio non è dalla vostra rete ISP o aziendale, hanno HijackThis risolvere il problema. Lo stesso vale per le voci del ‘RicercaElenco’. Per il ‘NameServer’ (server DNS) voci, Google per la IP o IP e sarà facile capire se sono buoni o cattivi.
ThisHijack : O18 – Protocolli aggiuntivi e dirottatori di protocollo
Come appare:
O18 – Protocollo: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 – Protocollo: MCTP – {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 – Protocollo dirottare: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Cosa fare:
Solo alcuni dirottatori visualizzati qui. I cattivi sono noti ‘cn’ (CommonName), «AYB ‘(Lop.com) e’ relatedlinks” (Huntbar), si dovrebbe avere HijackThis risolvere quelli. Altre cose che appaiono sono o non ancora confermati sicuro, o sono dirottati (cioè il CLSID è stato cambiato) da spyware. In quest’ultimo caso, hanno HijackThis risolvere il problema.
ThisHijack : O19 – foglio di stile utente hijack
Come appare:
O19 – foglio di stile utente: c: \ WINDOWS \ Java \ my.css
Cosa fare:
Nel caso di un rallentamento del browser e popup frequenti, hanno HijackThis risolvere questa voce se si presenta nel registro. Tuttavia, dal momento che solo CoolWebSearch fa questo, è meglio utilizzare CWShredder per risolvere il problema.
ThisHijack : O20 – il valore del Registro di sistema AppInit_DLLs autorun
Come appare:
Ø20 – AppInit_DLLs: msconfd.dll
Cosa fare:
Questo valore del Registro di sistema si trova in HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows carica una DLL in memoria quando l’utente accede, dopo di che rimane in memoria finché disconnessione. Molto pochi programmi legittimi utilizzano (Norton CleanSweep utilizza Apitrap.dll), il più delle volte viene utilizzato da trojan o aggressivi browser hijacker.
In caso di un ‘nascosto’ DLL di carico da questo valore del Registro di sistema (visibile solo quando si utilizza l’opzione ‘Modifica Dati Binario’ in Regedit) il nome dll può essere preceduto da una pipe ‘|’ per renderlo visibile nel log.
ThisHijack : O21 – ShellServiceObjectDelayLoad
Come appare:
O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C: \ WINDOWS \ System \ auhook.dll
Cosa fare:
Questo è un metodo autorun non documentato, normalmente utilizzato da alcuni componenti del sistema di Windows. I prodotti di cui a HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad vengono caricati all’avvio di Windows Explorer. HijackThis utilizza una whitelist di diversi elementi molto comuni SSODL, così ogni volta che un elemento viene visualizzato nel registro non si sa e forse dannoso. Trattare con cura estrema.
ThisHijack : O22 – SharedTaskScheduler
Come appare:
O22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c: \ windows \ system32 \ mtwirl32.dll
Cosa fare:
Questo è un autorun non documentato per Windows NT / 2000 / XP solo, che viene utilizzato molto raramente. Finora solo CWS.Smartfinder lo utilizza. Trattare con cura.
ThisHijack : O23 – NT Servizi
Come appare:
O23 – Servizio: Kerio Personal Firewall (PersFw) – Kerio Technologies – C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Cosa fare:
Questo è l’elenco dei servizi non Microsoft. L’elenco deve essere la stessa di quella che vedete in l’utilità Msconfig di Windows XP. Diversi dirottatori trojan utilizzano un servizio fatto in casa in adittion ad altre start-up per reinstallare se stessi. Il nome completo è di solito importante dal suono, come ‘Network Security Service’, ‘Workstation Logon Service’ o ‘Remote Procedure Call Helper’, ma il nome interno (tra parentesi) è una stringa di spazzatura, come ‘Ort’. La seconda parte della linea è il proprietario del file alla fine, come si vede nella proprietà del file.
Si noti che la fissazione di una voce O23 si fermerà solo il servizio e disattivarlo. Il servizio deve essere cancellato dal registro manualmente o con un altro strumento. In HijackThis 1.99.1 o superiore, il pulsante ‘Delete NT Service’ nella sezione Varie strumenti possono essere utilizzati per questo.