Innhold: 1. Advarsel. 2. Innledning. 3. Hvordan du bruker HijackThis. 4. Hvordan gjenopprette elementer som har blitt slettet ved et uhell. 5. Hvordan lage en oppstartslisten. 6. Hvordan bruke Process Manager. 7. Hvordan bruke Hosts File Manager. 8. Hvordan bruke funksjonen Slett på omstart. 9. Hvordan bruke ADS Spy. 10. Hvordan bruke Uninstall Manager. 11. Hvordan tolke skanningen. 12. Kapittel R0 - R1 - R2 - og R3 - eks. 13. Kapittel F0 - F1 - F2 - og F3 - elementer. 14. Kapittel N1 - N2 - N3 - og N4 - seksjon. 15. Kapittel O1 - eks. 16. Kapittel O2 - eks. 17. Kapittel O3 - eks. Kapittel 18. O4 - eks. 19. Kapittel O5 - eks. Kapittel 20. O6 - eks. Kapittel 21. O7 - eks. Kapittel 22. O8 - eks. Kapittel 23. O9 - eks. 24. Kapittel O10 - eks. 25. Kapittel O11 - eks. 26. Kapittel O12 - eks. 27. Kapittel O13 - eks. 28. Kapittel O14 - eks. 29. Kapittel O15 - eks. 30. Kapittel O16 - eks. 31. Kapittel O17 - eks. 32. Kapittel O18 - eks. 33. Kapittel O19 - eks. 34. Kapittel O20 - eks. 35. Kapittel O21 - eks. 36. Kapittel O22 - eks. 37. Kapittel O23 – Elementer 38. Konklusjon 1. Advarsel:
HijackThis bør bare brukes hvis nettleseren eller datamaskinen fortsatt har problemer etter å ha kjørt Spybot Search & Destroy, Ad-Aware SE eller brukt en annen anti-spyware scanner. HijackThis er et avansert verktøy, og derfor krever avansert kunnskap om Windows og operativsystemer generelt. Hvis det finnes elementer fjernes uten å vite hva det er, kan det føre til andre problemer, slik som ikke fungerer på Internett eller problemer med Windows selv. Først må du bruke alle andre midler for å fjerne spyware /Hijacker eller trojanere før du bruker HijackThis. Hvis du tillater HijackThis å fjerne oppføringer før en annen fjerning verktøyet skanner datamaskinen fra Hijacker /Spyware filene blir liggende på datamaskinen og fremtidige fjerningsverktøy som brukes er ikke lenger i stand til å finne dem. Hvis du ikke har avansert kunnskap om datamaskiner bør du ikke løse gjenstander til en ekspert har gitt deg råd. Hvis du allerede Spybot Search & Destroy og Ad-Aware SE har brukt og fortsatt har problemer, bør du lese denne opplæringen og legge en HijackThis log i vårt forum, inkludert detaljer om problemene og hva du gjorde. Du vil få råd så fort som mulig hva du trenger for å komme seg. 2. Innledning:
HijackThis er et verktøy som viser en liste over visse innstillinger som finnes i datamaskinen. HijackThis vil skanne registeret og diverse andre filer for oppføringer som kan være spyware eller Hijacker program ville forlate bak. Tolke disse resultatene kan være vanskelig fordi det er mange legitime programmer og rsquo; s som ISOLERT installeres på samme måte som flykaprerne. Derfor må du bruke ekstrem forsiktighet når du har HijackThis fikse problemene. Kan ikke understreke hvor viktig det ovenstående advarsel. Det er to tutorials på internett, men ingen av dem forklare hva hver del faktisk betyr at en lekmann kan forstå. Denne håndboken, som viser hvordan du bruker HijackThis, vil også gå i detalj om seksjonene og hva de egentlig mener. Det er ingen grunn til at du ikke ville forstå hva du fikse når folk undersøke loggene og fortelle deg hva du skal gjøre. Når du først ønsker å lese en tutorial hvordan du Spybot Search & Ødelegge bruke, klikker du her: http://www.bleepingcomputer.com/tutorials/using-spybot-to-remove-spyware/(engelsk) Vi fortsetter nå med veiledning om bruk HijackThis. Hvis du ønsker å se normale størrelser av skjermbilder kan du klikke på, husk at det vil åpne et nytt vindu. Hvis du bruker en pop-up blocker kan motvirke denne åpne disse vinduene. 3. Hvordan bruke HijackThis
Det første trinnet er å laste ned HijackThis til en plassering på datamaskinen din som du vet du kan finne det igjen. Dette programmet har ingen installatør, trenger du så du husker hvor programmet på datamaskinen din, er å starte den i fremtiden. Du kan laste ned HijackThis her: http://www.bleepingcomputer.com/download/hijackthis/Lag en mappe der du vil plassere dine HijackThis. Det er viktig at du HijackThis å pakke sin egen mappe som denne mappen brukes også når HijackThis gjør backup ved reparasjon problemer. Hvis du starter HijackThis fra en zip-fil, i stedet for fra en katalog vil ikke bli støttet opp! Når du har lastet ned HijackThis deretter navigere ved hjelp av Windows Utforsker eller Min datamaskin til stedet der du lastet ned programmet og dobbeltklikker på ikonet for HijackThis.exe, når det starter for første gang, ser du en skjerm som nedenfor fig. HijackThis startskjermen når den startes for første gang Plasser en sjekk i avmerkingsboksen at avgrenset blå heter: Don ’ t vis denne rammen igjen når jeg starter HijackThis, som de fleste instruksjoner du vil gitt vil ikke stå for denne skjermen. Etter at du har kontrollert avkrysnings klikk på knappen (rød boks) Ingen av de ovennevnte, bare starte programmet. Man vil da få skjermen, som vist i figur 1 (under). Figur 1: Begynn skjermen av HijackThis Nå må du først klikke på knappen config, som indikeres av den blå pilen i figur 1, for å kontrollere at innstillingene med innstillingene som vist i figur 2. Alternativene som bør sjekkes er merket med rød pil. Figur 2: HijackThis Konfigurasjonsvalg Når du er ferdig med å sette disse alternativene, trykk på knappen Tilbake og følge resten av denne håndboken. Hvis du vil skanne med HijackThis datamaskinen for mulige Kaprere deg med på en rød ramme omgevenScan klikk knappen, som vist i Figur 1. Du får en skjerm med alle elementene som finnes i programmet som vist i figur 3. Figur 3: Scan salgs på dette punktet har du nå en liste over alle elementene funnet av HijackThis. Hvis det du ser er forvirrende og skremmende, klikk deretter på deSave Logg -knappen, utpekt av den røde pilen, og lagre loggen til en plassering på datamaskinen der du enkelt kan finne senere. Slik åpner Log og kopiere ë til et forum, må du kjøre følgende: 1. Klikk på Start > Kjør, skriv inn notepad i vinduet og klikk på OK. Notepad vil nå være åpen på datamaskinen. 2. Klikk på Fil enOpen, navigere til katalogen der du lagret loggfilen. 3. Hvis du dobbelt click've funnet loggfilen du har på den. Loggfilen bør nå åpne i Notepad, dette gjøres automatisk i de nyeste versjonene av HijackThis. 4. Klikk på Rediger og deretter Velg alle til, bør all tekst nå velges. 5. Klikk på Rediger og deretter opKopi ë, ren, vil alt bli kopiert til utklippstavlen. 6. Gå til forumet og opprette en ny melding. 7. Skriv inn navnet ditt problem (kort beskrivelse). 8. Høyreklikk på det stedet der du vanligvis begynner å skrive din melding og klikk på alternativet Lim inn. Den tidligere valgte teksten vil vises i meldingen. 9. Klikk på Legg til. Hvis du ønsker mer informasjon om de enkelte elementene i listen, velger du et element, og klikk deretter deInfo på valgte elementet knappen, vil du nå se et skjermbilde som ligner på figur 4 nedenfor. Figur 4: Objektinformasjon Når du er ferdig med å betrakte forskjellig informasjon, og du føler at du vet nok til å gå, og deretter bla gjennom elementene og velg elementene du vil slette ved å krysse av slette boksen ved siden av elementet som vist i Figur 5. På slutten av denne håndboken er noen grunnleggende prinsipper for å tolke den informasjonen som de vises i logfile. På ingen måte er denne informasjonen omfattende nok til å dekke alle beslutninger, men skal hjelpe deg å finne ut hva som er lovlig og hva som ikke er det. Figur 5: Velg et element for å slette Hvis du har valgt elementene du vil fjerne, klikker du Fiks Sjekket knappen, som vist i Figur 5. HijackThis vil da be om du virkelig ønsker å slette disse elementene. Klikk danYes ofNO, avhengig av hva som er ditt valg. 4. Hvordan gjenopprette elementer som har blitt slettet ved et uhell:
HijackThis kommer med en backup og gjenopprette funksjon i tilfelle feilaktig fjerne en oppføring som faktisk er lovlige. Hvis du har konfigurert HijackThis som ble vist i denne veiledningen, vil du være i stand til oppføringer som du må gjenopprette slettet ved et uhell. Hvis HijackThis program som kjører fra en midlertidig katalog, deretter gjenopprette prosedyren vil ikke fungere. Hvis du har HijackThis startes direkte fra zip-filen, vil gjenopprettingsprosessen ikke fungerer i det hele tatt. Hvis konfigurasjonsinnstilling Ta sikkerhetskopier før feste elementer er avkrysset, vil HijackThis ta en sikkerhetskopi av alle oppføringer du fikse i en katalog som heter backup som ligger på samme sted som Hijackthis.exe. Hvis du begynner HijackThis, opConfig og klikk deretter på deBackup knappen får du en skjerm som vist i Figur 6. Få en liste over alle elementene som du hadde faste tidligere, og muligheten for å gjenopprette dem. Når du gjenoppretter et element som er oppført i dette skjermbildet, ved scanning igjen med HijackThis igjen. Figur 6: Gjenopprette en tidligere slettet inngang Når du er ferdig med å reparere oppføringene som du ved et uhell har slettet, kan du lukke HijackThis. 5. Hvordan lage en oppstarts Listing Til tider
når du legge inn loggfilen på et forum for å få hjelp til folk som hjelper deg be om å logge en StartupList alle program ’ s som automatisk starter på datamaskinen. HijackThis har en innebygd funksjon som lar deg som ’ å lage en liste. For å logge en StartupList klikk når du starter HijackThis er opConfig (blå vist i figur 1), klikk deretter de beste opMisc Tools. Et skjermbilde som vist her nedenfor i figur 7. Figur 7: Startup lage liste Kryss av i boksen for listen OOK mindre seksjoner (full) til. Klikk opGenerate StartupList logg, som indikert av den røde pilen i Figur 7. Programmet vil automatisk åpne opp en notepad fylt med oppstarts elementer fra datamaskinen. Kopier og lim inn denne listen i et forum. Forhåpentligvis vil du med din kunnskap eller hjelp fra andre for å være i stand til å rense datamaskinen. Hvis du ønsker å lære mer om hva hver del i en skanning logg, fortsette å lese. 6. Hvordan bruke Process Manager:
HijackThis har en innebygd prosess manager som kan brukes til å stoppe prosesser og for å se hvilke DLL ’ s det i denne prosessen er lastet. For å få prosessen manager, og klikk deretter opConfig opMisc verktøy. Du får en ny skjerm med é é n av knappene være åpen Process Manager. Hvis du klikker på denne knappen vil få en ny skjerm som ser ut som vist i Figur 8. Figur 8: Process Manager Dette vinduet vil vise alle åpne prosesser som kjører på datamaskinen. Du kan klikke på en prosess for å velge den, og deretter deKill Process knappen utpekt av den røde delen av figur 8, sikrer dette at prosessen vil slutte å kjøre på datamaskinen. Hvis du ønsker å slutte flere prosesser samtidig holder deg Control tasten på tastaturet for presset og velger de prosessene du ønsker å stoppe. Så lenge du holder nede Control knappen du er i stand til å kjøre flere prosesser i é velge n ganger; é. Hvis du gjør alle de prosessene du ønsker å være og euml, terminerer utvalgte Klikk deKill Process knappen. Hvis du ønsker å se hva DLL ’ s på utvalgte prosesser er lastet, kan du sette en hake i boksen showet DLL ’ s, angitt av den blå pilen i figur 8. Prosessen Skjermen vil bli delt inn i to deler. Den første delen vil liste opp de prosessene som før, men når du klikker på en bestemt prosess vil se en liste i den nederste delen DLL ’ s i denne prosessen er lastet. For å avslutte prosessen leder må du klikke på Tilbake-knappen to ganger for å gå tilbake å gå inn i hovedskjermbildet. 7. Hvordan bruke Hosts File Manager
HijackThis har også en rudimentær Hosts-fil manager. Med denne manager kan du vise din hosts-filen og slette linjer eller av og på. Du får tilgang til Hosts filbehandler, må du klikke og deretter opMisc opConfig verktøy. Du vil nå se en ny skjerm med é é n knappene Hosts File Manager. Hvis du klikker på denne knappen vil du se en ny skjerm igjen som vist i figur 9. Figur 9: Hosts-fil manager Dette vinduet viser innholdet i HOSTS-filen. For å slette en linje i hosts-filen du vil klikke på linjen som angitt av den blå pilen i figur 9, vil tekstlinjen velges. Du kan slette linje ved å klikke opDelete linjen (e) som angitt i å kjøpe den røde boksen eller denne regelen eller av ved å klikke opToggle linjen (e) som vist i den grønne boksen. Det er mulig å velge flere linjer ved hjelp av Control enshift nøkler eller dra musen over de linjene du vil redigere. Hvis du fjerner reglene, vil de bli slettet fra HOSTS-filen. For å deaktivere HijackThis vil sette en # foran tråd med reglene, slik at Windows ikke vil bruke det. Hvis du er usikker på hva du gjør, er det alltid trygt å veksle linjen slik at en # vises. Hvis din nettleser når du skifter " &rsquo hosts-filen; ble slått på, må du starte den på nytt før det merknader endringene. For å gå tilbake til hovedmenyen må du klikke på Back-knappen to ganger. 8. Hvordan bruke Slett på Reboot verktøy
Noen ganger du har å forholde seg til en fil som hardnakket nekter å bli slettet på vanlig måte. HijackThis introdusert i versjon 1.98.2, en metode for å ha Windows slette filen under oppstart, før filen fikk mulighet til å bli lastet. For å gjøre dette må du utføre følgende trinn. 1. Start HijackThis 2. Klikk deConfig knappen 3. Klikk Verktøy-knappen deMisc 4. Klikk på knappen som heter slette en fil på omstart … 5. Et nytt vindu vil åpne ber deg om å velge filen du ønsker å fjerne under omstart. Naviger til filen og klikk é é nmaal på, og klikk deretter på Åpne. Hvis filen ikke er synlig, kan du også skrive i filen for hånd. 6. Du vil nå bli bedt om å starte datamaskinen på nytt for å slette filen. Klikk deYes knappen hvis du ønsker å starte på nytt nå, ellers klikker Deno knappen for å starte senere. 9. Hvordan bruke ADS Spy
Det er en bestemt infeksjon som kalles Hjem Search Assistant eller CWS_NS3 noen ganger bruker filer skjult i såkalte “ Alternate Data Stream ” Windows 2000 eller XP for å infisere datamaskinen. Denne typen filer ikke kan oppdages på vanlig måte eller fjernes. ADS Spy er utformet for å hjelpe til i fjerningen av disse typer filer. For de som ISOLERT er interessert, kan du lære mer om alternativ dataflyt og Home Search Assistant ved å lese følgende artikler: Windows alternativ dataflyt. Hjem Search Assistant Analysis. For å bruke ADS Spy verktøyet du vil starte HijackThis og klikk deConfig knappen og deretter deMisc Verktøy-knappen og til slutt klikker på deads Spy knappen. Når ADS Spy verktøyet åpner du får se på skjermen vist i figur 10. Figur 10: ADS Spy Trykk på Skann-knappen (se rød boks) og programmet vil skanne Windows-mappen for alternativ dataflyt. Hvis noen blir funnet, vil de bli vist som i Figur 11. Figur 11: Liste over alternativ dataflyt å slette en fil som vises ADS du må sjekke den aktuelle filen og på mer moveselected klikk knappen (se blå boks). Når du klikker flere ganger på Back-knappen (til høyre på Fjern valgt) til du er ferdig på hovedskjermen. 10. Hvordan bruke Uninstall Manager:
Uninstall Manager lar deg bruke programvaren liste som er til stede i Kontrollpanel i Legg til /fjern. Ved rengjøring malware fra en datamaskin vil det være noen oppføringer i Add /Remove Prog listen forblir uendret. Mange brukere ønsker å ha en ren Legg til /fjern programmer, og har problemer med å fjerne disse villfaren oppføringer. Bruke Uninstall Manager kan du fjerne disse oppføringene fra listen programvare. For å bruke Uninstall Manager må du gjøre følgende: 1. Start HijackThis 2. Klikk deConfig knapp 3. Klikk deMisc Verktøy-knappen 4. Klikk på Åpne Uninstall Manager knappen Du vil nå se et skjermbilde som ligner på figur 12. Figur 12: HijackThis Uninstall Manager vil slette en oppføring bare klikk på oppføring av hva du ønsker å slette, og klikk deretter på deDelete denne oppføringen knappen. Hvis du ønsker å endre programmet denne oppføringen er assosiert med kan du klikke på deEdit avinstallere kommandoknapp og banen til programmet som skal kjøres når du dobbeltklikke på oppføringen på Legg til /fjern listen. Denne siste funksjonen bør bare brukes hvis du vet hva du gjør. Når spurt om å lagre denne listen og legge det slik at noen kan undersøke det og gi råd til deg hva du skal slette, klikk på deSave listeknappen og fortelle den hvor du vil lagre filen. Hvis du deSave knappen en notepad vil åpne med innholdet i filen. Kopiere innholdet som notepad fil og deretter lime den inn i emnet du får hjelp. 11. Hvordan tolke skanningen: Leiden Dette kapittelet hjelper deg å diagnostisere output fra en HijackThis scan. Hvis du er usikker på hva du skal gjøre, eller ønsker å spørre noen andre til å lese loggen, loggfilen eller på et forum. Hver linje på Scan Liste for HijackThis starter med en del navn. Nedenfor er en liste over navn på denne delen, laget av Merijn, skaperen av HijackThis, http://www.spywareinfo.com/~merijn/htlogtutorial.html og deres forklaringer. Seksjon Navn: Beskrivelse: R0, R1, R2, R3 Internet Explorer Start /Søkeside ’ s URL ’ s F0, F1, F2, F3 automatisk lasting program ’ s N1, N2, N3, N4 Netscape /Mozilla Start /Søkeside ’ s URL ’ s O1 Hosts-fil omdirigering O2 Browser Helper Objects O3 Internet Explorer verktøylinjer O4 Automatisk lasting program ’ s fra registeret O5 IE Options ikke synlig i Kontrollpanel O6 bruker IE alternativene begrenset av Administrator O7 Bruk Register begrenset av Administrator O8 Extra sammenheng menyelementer i IE O9 Ekstra knapper i IE verktøylinjen eller i IE " Verktøy ’ Winsock kaprer menyen O10 O11 Andre grupper i IE vinduet " Avanserte alternativer og rsquo; O12 IE plugins O13 IE Standard Prefix kapre O14 " Tilbakestill Web-innstillinger og rsquo; kapre O15 Uønsket nettstedet i Trusted Websites O16 ActiveX-objekter (aka Nedlastede programfiler) O17 Lop.com/Domain Kaprere O18 tilleggsprotokoller og protokoller kaprerne O19 User style sheet kapre O20 Applnit_DLLs Regi verdi Autostart O21 Shell Tjenesten Object Delay Load O22 Shared Task Scheduler O23 Windows XP /NT /2000 Tjenester Det er viktig å merke seg at noen deler interne &lsquo, hviteliste ’ så bruk HijackThis viser ikke kjent lovlige filer. For dette " hviteliste ’ For å skru av, kan du begynne HijackThis dette: hijackthis.exe /ihatewhitelists. I hvert avsnitt vil vi prøve å forklare i lekmann vilkår hva de betyr. Vi vil også fortelle deg hva registernøkler og /eller filer som normalt brukes. Etter hvert vil du anbefalinger om hva du skal gjøre med innganger. 12. Kapittel R0 - R1 - R2 - R3 og - elementer: Leiden Dette kapittelet jobbet med Internet Explorer startside, hjemmeside og URLSearchHooks. R0 er for Internet Explorer hjemmeside og søk ’ s. R1 er for Internet Explorers Home ’ s og /eller søkesiden ’ s. R2 er ikke brukt i dag. R3 er for et Url Søk Hook. En Url Søk Hook brukes når du skriver inn en adresse i adressefeltet i nettleseren, men bruker ikke en protokoll for eksempel http: //eller ftp: //i adresse. Hvis du liker ’ s adresse ved hjelp av nettleseren vil prøve å finne den rette protokollen, men hvis leseren ikke kan finne dette vil være den UrlSearchHook, som representerte staten i R3 delen brukes til å finne det stedet som ble inngått. Noen registernøkler: HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Main, startside HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Startside HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Default_Page_URL HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Default_Page_URL HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Search Page HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, søkesiden HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ SearchURL: (Standard) HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Window Title HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Internet Settings: Wizard Proxyoverride HKCU \\ Software \\ Microsoft \\ Internet Connection: Shell Neste HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Search Bar HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks HKLM \\ Software \\ Microsoft] Internet Explorer \\ Search, CustomizeSearch = HKCU \\ Software \\ Microsoft] Internet Explorer \\ Search, CustomizeSearch HKLM \\ Software \\ Microsoft] Internet Explorer \\ Search, Søk Assistant Eksempel: R0 – HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main. Startside = http://www.google.com/Et vanlig spørsmål er, hva betyr det når ordet `maskeres ’ tilbake é é n av disse inngangene staten. Når noe er uklar som betyr at det blir gjort vanskelig å oppfatte eller forstå. I Spyware termer betyr det at Spyware eller kaprer en inngang skjuler verdiene inn i en annen form som det forstår lett, men mennesker ville ha problemer med å gjenkjenne, for eksempel legge oppføringer i registeret i heksadesimal. Dette er é é n av metodene som brukes for å skjule tilstedeværelse og gjør det vanskelig å fjerne. HijackThis dekode maskeres disse verdiene automatisk. Hvis du ikke gjenkjenner nettstedet som enten R0 og R1 peker til, og du ønsker å endre det, så du kan trygt ta den med HijackThis, fordi de ikke er skadelig for Internet Explorer installasjonen. Hvis du ønsker å se hvilke områder de er, kan du gå til nettstedet, og hvis mange av popups og linker, kan du nesten alltid slette den. Det er viktig å merke seg at hvis en R0 /R1 peker til en fil, og du fikse oppføring med HijackThis, vil HijackThis ikke slette den aktuelle filen, og du blir nødt til å gjøre dette manuelt. Det er visse R3 oppføringer som ender opp på slutten med en understrek (_). Et eksempel: R3 – Url Søk Hook: (uten navn) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497} _- (ingen fil) Legg merke til CLSID (tallene mellom {}) har _ å fjerne ende og disse er noen ganger vanskelig med HijackThis å fikse dette du må slette den aktuelle registeroppføringen manuelt ved å gå til følgende nøkkel: HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks fjerne CLSID oppføringen under det som du ønsker å fjerne. La CLSID alene, CFBFAE00-17A6-11D0-99CB-00C04FD64497, hvis den har riktig startverdien. Med mindre du kjenner programvaren som bruker Url Søk Hook, vanligvis må du gjøre noen undersøkelser, ved hjelp av Google, kan du bruke HijackThis å fikse det. 13. Kapittel F0 - F1 - F2 - og F3 - eks: Leiden Dette kapitlet omhandler de programmene som lastes av INI-filer; system.ini og Win.ini eller tilsvarende steder i registeret. F0 tilsvarer Shell = uttalelse i System.ini. Shell = setningen brukes i system.ini i Windows 3.x, 95, 98 og ME å utpeke hva programmet ville fungere som skallet for operativsystemet. Shell er programmet som ville laste skrivebordet, håndtere vinduet ledelse, og at en bruker kan samhandle med systemet. Ethvert program oppført etter skallet uttalelsen vil bli lastet når Windows starter, og fungere som standard skall. Det er program ’ s som fungerte som gyldige skall erstatninger, men de er som regel ikke lenger brukes. (For eksempel LiteStep eller DesktopX) Windows 95, 98 og ME bruke Explorer.exe som sin standard skall. Windows 3.x bruker progman.exe som skallet sitt. Det er også mulig å bruke andre program ’ s på settlisten som starter laster i samme Shell = linje som Windows, for eksempel Shell = explorer.exe badprogram.exe. Denne regelen sikrer at begge programmene og rsquo; s starte når Windows laster. F1 tilsvarer Run = eller Load = oppføring i win.ini. Ethvert program som er i tråd etter kjøringen = eller last = vil laste når Windows starter. Dette run = uttalelsen ble mest brukt under Windows 3.x, 95, 98 og ME har fortsatt å være kompatibel med eldre program ’ s. De fleste moderne program ’ s ikke lenger bruke denne ini innstilling, og hvis du ikke har et eldre program ’ s mer brukt kan du rettmessig være mistenksom. Lasten = Setningen ble brukt til å laste inn drivere for maskinvaren. F2 enF3 oppføringer tilsvare tilsvarende plassering ’ s som F0 og F1, men er i stedet lagret i registeret for Windows XP, 2000 og NT. Disse versjonene av Windows ikke vanligvis bruker system.ini og Win.ini filer. I stedet for bakoverkompatibilitet de bruker en funksjon som heter IniFileMapping. IniFileMapping steder hele innholdet i en .ini fil i registeret, med taster for hver linje funnet i INI-nøkkel som er lagret der. Når du kjører et program som vanligvis leser sine innstillinger fra en INI-fil, vil den først sjekke registernøkkelen; HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ IniFileMapping for en .ini kartlegging, og hvis det blir funnet vil lese innstillingene derfra. Du kan se at dette viktige punkter i registret som det vil inneholde REG og deretter INI-filen som IniFileMapping refererer. En annen oppføring som vanligvis finnes i F2 er den Userinit oppføringen som tilsvarer nøkkelen HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit, som finnes i Windows NT, 2000, XP og 2003. Denne tasten tilskudd hvilket program vil bli startet rett etter at en bruker logger seg på Windows. Standard program for denne nøkkelen er C: \\ windows \\ system32 \\ userinit.exe. Userinit.exe er et program som gjenoppretter din profil, skrifttyper, farger osv … for brukernavnet ditt. Det er mulig å programmere andre ’ s legge til at start fra denne nøkkelen av programmet ’ s skal skilles med komma. Eksempel: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit = C: \\ windows \\ system32 \\ userinit.exe C: \\ windows \\ badprogram.exe. Denne regelen sikrer at begge programmene og rsquo; s lansering når du logger deg på, og er et felles sted for trojanere, kaprere og spyware å starte fra. Registernøkler: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ IniFileMapping filer brukt: C: \\ Windows \\ system.ini c: \\ windows \\ Win.ini Eksempler F0 – system.ini: Shell = Exporer.exe Something.exe F2 – REG: system.ini: Userinit = Userinit, nddeagnt.exe F2 – REG: system.ini: Shell = explorer.exe beta.exe Hvis du ser en uttalelse i F0 som Shell = explorer.exe something.exe, må du fjerne den absolutte. Du kan fjerne disse oppføringene generelt, men bør først konsultere Google og områdene angitt nedenfor. For F1 oppføringer bør du google for å finne ut om de legitimt program ’ s. Du kan også søke på nettstedene nedenfor for å se hva disse inngangene. For F2, hvis du Userinit = userinit.exe, med eller uten nddeagnt.exe, som i eksempelet ovenfor, kan du la denne oppføringen. Hvis du Userinit = userinit.exe (uten komma) er også bra, og du bør forlate den. Hvis du ser en annen oppføring med userinit.exe, så det kan være en trojan eller annen malware. Det samme gjelder for F2 Shell =; hvis du ser explorer.exe av seg selv, som i eksempelet ovenfor, er det bra, hvis det ikke er, kan det være en potensiell trojan eller malware. Generelt, kan du fjerne disse oppføringene, men du bør rådføre Google og nettstedene nedenfor. Vær oppmerksom på at når disse oppføringene er faste HijackThis sletter ikke filen den korresponderer med. Du må fjerne det manuelt. Sider for å undersøke disse inngangene.
piper Computer Oppstartsprogrammer Database Workwear
ende svar Arbeidsklær WinTasks Process Library Arbeidsklær
14. Kapittel N1 - N2 - N3 - N4 - eks: Leiden Dette kapittelet er beregnet for Netscape og Mozilla nettlesere Start og standard søkeside ’ s. Disse oppføringene lagres i prefs.js filer som er lagret på forskjellige steder under C: \\ Documents and Settings \\ Brukernavn \\ Programdata-mappen.