Innhold Varsel HijackThis bør brukes s ó hva om din nettleser eller datamaskin De fortsetter å ha problemer etter é s har blitt skannet med SpyBot eller annen removerdor spyware /kaprer. HijackThis er et avansert verktøy, og derfor krever avansert kunnskap om Windows og operativsystemer generelt. Hvis du sletter elementene som vises, uten å vite at de er, kan det føre til andre problemer som tilkoblings ó na Internett ikke lenger fungerer eller problemer i gjennomføringen ó n Windows. Du bør prøve å rengjøre spyware /kaprerne /Trojan med alle andre m é alt før du bruker HijackThis. Hvis du tillater HijackThis å fjerne oppføringer før et annet verktøy, filer kaprer /spyware fortsette å á n er i datamaskinen og i fremtiden, andre verktøy DESINFEKSJON ó n ikke være á n stand til å finne dem. Hvis du ikke har avansert kunnskap om datamaskiner bør ikke RIVER deg som fix oppføringer bruke HijackThis uten å konsultere en ekspert på å bruke dette programmet. Hvis du kjørte SpyBot og Ad-aware og fortsatt har problemer, så kan du fortsette med denne opplæringen og innlegg på forumet, inkludert detaljer om ditt problem, og vi vil varsle deg bør fikse. Forum: http://www.bleepingcomputer.com/forums (Norsk é s) Introduksjon ó n forumene: http: //. www.bleepingcomputer.com/forums (engelsk og eacute; s) Hvis du ønsker å se m á S informasjon ó n om elementene i listen, klikker du på noen av dem og trykk på knappen ó n " Info på valgte RIVER tem ". Du synes á en skjerm som dette: Det er viktig å merke seg at enkelte seksjoner bruke en intern hvite listen som í de HijackThis ikke vise á File leg RIVER svindel. For å deaktivere denne hvite listen, kan du kjøre HijackThis dette: hijackthis.exe /ihatewhitelists. Avsnitt R0, R1, R2, R3 < u> Seksjoner F0, F1, F2, Avsnitt N1, N2, N3, N < u> Seksjon ó n O1 Seksjon ó n O2 Seksjon ó n. O3
Innkalling
Introduction ó n
C ó hvordan du bruker HijackThis
C ó mo gjenopprette et uhell slettede objekter
C ó mo generere en liste over Start (Startup List)
C ó hvordan du bruker Process Manager
C ó hvordan du bruker Hosts File Manager
C ó m ved hjelp av verktøyet Slett til Omstart
C ó hvordan du skal tolke skanningsresultater
§§ R0, R1, R2, R3
Avsnitt F0, F1, F2, F3
§§ N1, N2, N3, N4
Seksjon ó n O1
Seksjon ó n O2
Seksjon ó n O3
Seksjon ó n O4
Seksjon ó n O5
Seksjon ó n O6
Seksjon ó n O7
Seksjon ó n O8
Seksjon ó n O9
Seksjon ó n O10
Seksjon ó n O11
Seksjon ó n O12
Seksjon ó n O13
Seksjon ó n O14
Seksjon ó n O15
Seksjon ó n O16
Seksjon ó n O17
Seksjon ó n O18
Seksjon ó n O19
Seksjon ó n O20
Seksjon ó n O21
Seksjon ó n O22
Konklusjon ó n
HijackThis er et verktøy som gir en oversikt over enkelte innstillinger som finnes i datamaskinen. HijackThis scan á registrering og diverse andre innspill filer som ligner på en kaprer spyware program eller forlater sitt preg. Tolke disse resultatene kunne RIVER være utro CHILD bjørn, så det er mange programmer ben í est á svindel som; n installert på operativsystemet på en lignende måte som gjør den kaprerne måte. Som RIVER du må være ekstremt forsiktig løse eventuelle problemer med HijackThis. Jeg kan ikke slutte å skyve på betydningen av advarselen. Det er nå 2 tutorials om HijackThis på internett, men ingen av dem forklarer at betyr at hver av seksjonene for en dødelig kan forstå. Denne opplæringen CHILD ade, hvordan du bruker HijackThis og detaljer om hver del ó ny qu é mener. Som RIVER det er ingen grunn ó n i cu á Jeg kan ikke forstå qu é Det er det som er á s feste når folk undersøke loggene og fortelle deg hva é do. Hvis du liker å først lese en veiledning om bruk SpyBot. Bruke HijackThis
Det første trinnet er å laste ned HijackThis til datamaskinen din på et sted der du vet at jeg finner á s. Det må være installert, som í Husker du hvor du la til å bruke i fremtiden. Du kan laste ned HijackThis her í: http: //www.bleepingcomputer.com/download/hijackthis/Lag en mappe hvor du setter HijackThis. Det er viktig å ha din egen mappe slik at du kan bruke den til å lage sikkerhetskopier. Hvis du kjører den fra et arkiv, kan det ikke á n lage sikkerhetskopier. Når lastet ned, gir det dobbeltklikke på ikonet for hijackthis.exe. Vises á Et vindu som følgende:
Klikk først på knappen ó n " Innstillinger ", og vises á n alternativene som vist i fangst. 4 bekrefter STILL ltimas alternativer og fjern først. Standard komme som í. Når du har valgt disse alternativene, trykk " Back " og fortsetter STILL til resten av opplæringen. Å begynne å skanne for potensielle kaprere Klikk på knappen ó n " scan ". Du vil sende á en liste over alle elementene funnet av programmet som er vist nedenfor ó n. På dette punktet bør du ha en liste over alle elementene funnet av HijackThis. Hvis du ser veldig forvirrende og DIF RIVER enkelt for deg, klikk deretter på knappen ó n " Lagre Log ", og lagre loggen til datamaskinen, fortrinnsvis i samme mappe. Slik åpner du en logg og lime det inn i et forum, gjør du følgende:
Åpne Notepad (eller Notepad)
Klikk " Fil ". ≫ > &Quot; Open " og søker directoriodonde har lagret loggen
Når du får loggen og velge á .. jeg brelo
Klikk " Edici ó n " ≫ > &Quot; Velg alle "
Klikk " Edici ó n " ≫ > &Quot; Copy "
Gå til ALG STILL forum og lim loggen, som beskriver situasjonen ó n og m é alt du har prøvd
Når du søkt informasjon ó n av elementene i listen, og føle din kunnskap er tilstrekkelig til å fortsette å se på listen og velg objektene du vil fjerne, ved å merke av i boksene, som vist i følgende fange. På slutten av dokumentet har vi inklu RIVER noen måter jeg gjøre b á SICAS å tolke informasjonen ó n i disse loggfiler. Dette betyr ikke at dette varselet; n er tilstrekkelig for alle beslutninger, men bør RIVER å hjelpe deg med å avgjøre hva é Det er beinet RIVER thymus og nei. Når du har valgt de objektene du vil fjerne, trykk på knappen ó n " ". Fix Sjekket HijackThis du spør á hvis du bekrefter fjerne disse stedene. Klikk på " Ja " eller " Nei " avhengig VALG ó n. C ó mo gjenopprette et uhell slettede objekter:
HijackThis kommer med en backup verktøy og en prosess med restaurering ó n hvis err ó gere har slettet en oppføring som er lovlig. Hvis du har konfigurert HijackThis som vist i denne opplæringen, så vær á s stand til å gjenopprette oppføringer som du tidligere har slettet. Hvis du kjører HijackThis fra en midlertidig mappe, deretter restaurering prosedyrer og oacute; n ikke á n. Hvis alternativet ó n ARKITEKTUR n " Ta sikkerhetskopier før feste elementer " sjekket, HijackThis Hår á en backup for hver oppføring du fikse i en katalog som heter " sikkerhetskopier ", i samme lokalisering ó n hijackthis.exe Hvis du kjører HijackThis og clickeas " Innstillinger ", og etter é s i bot ó n " Backup ", som på bildet under. Dette vil gi aacute; s en liste over alle objekter som tidligere har blitt arrangert med mulighet ó n å gjenopprette dem. Når du gjenoppretter et objekt vises i denne listen, hvis du noen gang skanne med HijackThis, bak henrykke á skal vises. Når du er ferdig med restaureringen ó n av de elementene som ble feilaktig fast, kan du lukker programmet. C ó mo generere en liste over Hjem
Samtidig du legge inn loggen i et forum å spørre om hjelp, folk hjelpe deg quiz á be om programmer som starter når Windows starter. HijackThis er et verktøy som lar deg gjøre dette. For å gjøre dette ser alternativet ó n " Innstillinger " når du kjører HijackThis, og klikk på knappen ó n " ". Diverse verktøy Du skal se noe sånt som dette skjermbildet: Deretter klikker du på knappen ó n kalles " Generer StartupList Log ". Når du gir et klikk på den knappen ó n, programmet Auto á tisk åpning á Notisblokk med oppstartsprogrammer på datamaskinen. Kopier og lim oppføringene og post é alo i meldingen. Med litt hell, din kunnskap eller hjelp fra andre vil det være á s ryddet datamaskinen. Hvis du ønsker å lære informasjon ó n m á s detaljer om hva é Det betyr at hver seksjon ó n i loggen, fortsetter STILL å lese. C ó hvordan du bruker Process manager HijackThis har
en prosess manager som kan brukes til å avslutte prosesser og se hva é bokhandel RIVER som er lagt inn i denne prosessen. For å få tilgang prosessen leder du klikker på knappen ó n " Innstillinger " og klikk deretter på knappen ó n " ". Diverse verktøy Duty RIVER se et skjermbilde som en knapp som sier " Open ". Process Manager Hvis du klikker på denne knappen ó n se og aacute; s en skjerm som den som er vist nedenfor ó n. Dette vinduet liste á til alle prosesser er é n kjører på m á maskin. For å avslutte en prosess som kjører på datamaskinen, velger du prosessen med et klikk é l, og trykk deretter på knappen ó n " Kill Process ". Hvis du ønsker å se qu é bokhandel RIVER as (DLL-tallet) est á n forbundet med denne prosessen, sjekk boksen som heter " Show ". DLLs Dette split á Prosessen skjermen i to seksjoner. Den første delen ó n display á listen over prosesser presentert før, men nå gir du klikker på en bestemt prosess, avsnittet ó n nedenfor viser á Liste bokhandel RIVER som belastes med denne prosessen. For å avslutte Process Manager trykk på knappen ó n " Back " to ganger for å gå tilbake til startskjermen. C ó hvordan du bruker Hosts File Manager HijackThis også
é n er en administrator b á psyko Hosts-fil. Med denne manager kan du vise din hosts-filen og slette l LINES filen eller aktivere eller deaktivere l LINES. Du får tilgang til Hosts-fil manager, må du klikke på knappen ó n " Innstillinger " og deretter " Diverse Verktøy ". Finn bot ó n " Hosts File Manager ". Hvis du klikker på knappen ó n se og aacute; s ligner på denne skjermen: Dette vinduet viser innholdet i Hosts-fil. Slik sletter du en l RIVER linje filen klikk på en L RIVER linje. Dette velger á at l RIVER tekstlinje. Kunne á s klart at l RIVER linje ved å klikke på knappen ó n " Slett linje (r) " eller deaktivere /aktivere l RIVER linje ved å klikke på knappen ó n " Toggle linje (r) ". Du kan velge m STILL flere l LINES mens du bruker Shift-tastene og retningspiler og oacute; n tastaturet eller velge dem med musen n. Hvis du sletter l LINES, vil disse l RIVER linjene være á n slettet fra Hosts-fil. Hvis du aktivere /deaktivere de l LINES, HijackThis legge á # -tegnet på begynnelsen av l RIVER linje. Dette Hår á Windows tar ikke hensyn til at l RIVER linje. Ellers est á s sikker på hva er á s gjør, må du ikke slette noe og s ó det sikrer at # -tegnet vises før l RIVER linje. Det er m á s trygt å slette l RIVER linje og så RIVER Jeg kunne á s redigering gjenopprette filen på nytt. Å gå ut av Hosts filbehandler du trykker på knappen ó n " Back " to ganger og retur á s hovedvinduet. C ó m ved hjelp av verktøyet Slett til Omstart
Noen ganger kan du finne filer som hardnakket nekter å bli slettet, at for å si det enkelt. HijackThis presenterer, i versjon ó n 1.98.2, en M é alt for Windows slette filen som snart starter, før filen fikk mulighet til å laste. For å gjøre dette, gjør du følgende: 1. Start HijackThis 2. Klikk på knappen ó n " Innstillinger " 3. Klikk på knappen ó n " Diverse Verktøy " 4. Klikk på knappen ó n " Slett en fil på omstart ... " 5. á er åpen; et vindu for å be deg om å velge filen du ønsker å slette ved omstart. Naviger til filvalg ó Nalo og klikk på knappen ó n " Open ". 6. Du spør á Hvis du ønsker å starte datamaskinen på nytt for å slette filen. Velg " Ja " Hvis du ønsker å starte på nytt nå, ellers velger " Nei " å starte på nytt etter é s. C ó hvordan du skal tolke skanningsresultater
Denne delen ó n á hjelpe deg; diagnostisering skanne resultatene av HijackThis. Hver l RIVER linje med søkeresultater av HijackThis starter med en del navn ó n. AHEAD ó n og deres beskrivelse ó; n, hentet fra Merijn nettsted (skaperen av HijackThis) na liste med navn og oacute delen er presentert.
Navn Section ó n Beskrivelse ó n R0, R1, R2, R3 webadresser p á sider starte og b fortsatt søker Internet Explorer F0, F1, F2, F3 autorun programmer N1, N2, N3 , N4 webadresser p á sider starte og b fortsatt søker Netscape og Mozilla O1 File lass verter O2 BHO-tallet (Browser Helper Objects eller objekter " Hjelp " i nettleseren) O3 Verktøylinjer Internet Explorer O4 autorun program fra registrere O5 Ikoner ikke synlig fra IE i Kontrollpanel O6 alternativer IE med tilgang begrenset av Administrator O7 Begrens tilgang til Regedit administrator O8 statister Objekter IE O9 Knapper statister i bot ó hoved n av verktøylinjen IE eller fremmedlegemer i menyen STILL &Quot; Verktøy " Kaprer O10 O11 Gruppe Winsock ekstra i Avanserte alternativer vinduet O12 IE Plug-ins for IE kaprer O13 standard prefiks O14 IE kaprer " Reset Web Settings " (Reset Web Settings) O15 Uønsket området i sonen Klarerte områder O16 ActiveX-objekter (Nedlastede programfiler) O17 O18 Hijacker Lop.com statister protokoller og protokoll Kaprere Hijacker O19 O20 Style Sheets autorun Securities Registrering AppInit_DLLs autorun registernøkler O21 O22 ShellServiceObjectDelayLoad autorun registernøkler SharedTaskScheduler
Denne delen ó n dekker p á, og b startside fortsatt søker Internet Explorer. R0 er for p á, hjemmesider og assistent b fortsatt søker IE. R1 er for funksjoner b fortsatt søker IE og andre tegn RIVER sticas. R2 ikke er i bruk. R3 er for et søk URL-er. Show á noe sånt som dette: R0 - HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, startside = http://www.google.com/R1 - HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Default_Page_URL = http: //www.google.com/R2 - (denne typen brukes ikke av HijackThis ennå) R3 - Standard URLSearchHook mangler Hvis du kjenner nettadressen som p á gina starte motoren eller b fortsatt søker deretter alt est á godt. Hvis du ikke kjenner igjen, rev RIVER rommet og bruker HijackThis å fikse det. Med henblikk på R3, alltid arr é glalos med mindre et program du gjenkjenner, som Copernic nevnt. Com et spørsmål er fortsatt at det é når ordet betyr maskeres (Forvirret) er en av disse oppføringene. Når noe est á sært betyr at det er noe forskjel RIVER lett å oppfatte eller forstå. I t é vilkårene i denne sginifica spyware eller kaprer spyware est á skjule et innlegg av é l konvertere verdiene i en annen form é l forstå F á, lett, men folk har problemer med å gjenkjenne, for eksempel legge registeroppføringer i heksadesimal. É hans er bare en annen m é alt for å skjule sin prescence og gjøre dif RIVER enkel fjerning. Hvis du ikke gjenkjenner den p á nettside som PEKER både R0 og R1 punkt og ønsker å endre det, så kan du bruke HijackThis å fjerne dem trygt og ikke være á n skadelig for IE. Det er viktig å presisere at hvis en R0 /R1 peker til en fil, og løser registeroppføringen med HijackThis, HijackThis ikke slette á den aktuelle filen, og du vil ha á Jeg sletter den manuelt. Det er visse typer billetter R3 som ender med et gui ó n bass, for eksempel: R3 - URLSearchHook: (uten navn) - _ - (ingen fil) Legg merke til CLSID, n STILL bare mellom tastene, har et gui ó n lave enden og det noen ganger vanskelig å fjerne HijackThis. For å fikse dette må du slette den aktuelle posten manuelt, følger denne veien: HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks Deretter slette CLSID oppføringen du ønsker å fjerne. La CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, som er v á, friluftsbad standard. Hvis programvaren ikke gjenkjenner bruker UrlSearchHook, b STILL jeg squelo i Google og avhengig av resultatet av b fortsatt søker, la HijackThis fikse det. Noen registernøkler: HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Main, startside HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Startside HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Default_Page_URL HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Default_Page_URL HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Page HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Page HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ SearchURL: (Standard) HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Window Title HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Internet Settings: Wizard Proxyoverride HKCU \\ Software \\ Microsoft \\ Internet Connection: ShellNext HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Bar HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Search, CustomizeSearch = HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Search, CustomizeSearch HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Search, SearchAssistant
F3 Disse kapitlene dekker programmer som lastes fra INI, System.ini og Win.ini eller tilsvarende i registeret. F0 tilsvarer Shell = uttalelse i System.ini. Shell = uttalelse i system.ini brukes av Windows 9x og tidligere utpekt qu é Programmet handling á som skallet for operativsystemet. Shell er programmet som laster skrivebordet, styrer administrasjonen ó n vinduer og tillater brukeren å samhandle STILL og med systemet. Ethvert program oppført etter é s uttalelse være skallet og aacute; lastes når Windows starter, og handle á som standard skall. Det er noen programmer som fungerer fortsatt en som en erstatning V á, friluftsbad på skallet, men ikke vanligvis brukt m á s. Windows 95 og 98 (¿? Windows ME), begge brukte Explorer.exe som skall som standard. Windows 3.x brukt progman.exe som skallet sitt. Andre program kan bli henrettet når Windows laster i samme l RIVER Shell = linjer, for eksempel: Shell = explorer.exe programa_maligno.exe. Denne l RIVER linje Hår á begge programmene starter når Windows laster. De F0 elementer er alltid ille, som í som skulle fikse dem. F0 - system.ini: Shell = Explorer.exe Abreme.exe F1 - win.ini: run = hpfsched F1 tilsvarer Run = eller Load = oppføringer i win.ini. Ethvert program oppført etter é s av kjøre = eller last = last á når Windows laster. Kjør = ble mye brukt i tider med Windows 3.1, 95 og 98 og opprettholder kompatibilitet med eldre programmer. Mange moderne programmer ikke bruker dette tegnet RIVER akustisk ini, og hvis det er á s bruker en gammel program da mistanke. Lasten = ble brukt til å laste maskinvaredrivere. Objektene er oppført i F1 er vanligvis svært gamle programmer, men de er trygge, som í du kan finne m á s informasjon ó n navnet på filen for å se om det er dårlig eller bra. F2 og F3 oppføringene tilsvarer tilsvarer F0 og F1, men det est á n ligger på posten for XP, 2000 og Windows NT-versjoner. Disse versjonene av Windows ikke vanligvis bruker system.ini og Win.ini filer. For å kompensere for kompatibilitet bruke en funksjon ó n IniFileMapping samtale. IniFileMapping steder hele innholdet i en .ini fil i registeret, med taster for hver l RIVER linje funnet i INI. Så når du kjører et program som normalt leser sine innstillinger fra en INI-filen, den første gjennomgangen á registernøkkel: HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Current Version \\ IniFileMapping for en .ini kartlegging, og hvis du finner noe å lese á innstillingene fra ah í. Du kan se at denne nøkkelen est á henvise til registeret som om conteniera REG og deretter INI-filen som er est á henvise IniFileMapping. Et annet innspill com STILL funnet i F2 er inngangen Userinit den cu á l tilsvarer nøkkel: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit cu á l er i Windows NT, 2000, XP og 2003 . Denne viktige specs RIVER ca qu é Programmet må lastes tatt é s en Windows-bruker innlogging. Standard program for denne nøkkelen er: C: \\ Windows \\ System32 \\ userinit.exe. Userinit.exe er et program som gjenoppretter din profil, skrifttyper, farger, etc. for brukernavnet ditt. Det er mulig BOY Legg skjulte programmer som starter fra denne tasten ved å skille programmer med komma. For eksempel: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit = C: \\ Windows \\ System32 \\ userinit.exe, C: \\ Windows \\ programa_maligno.exe. Dette Hår á Begge programmene kjøres når du logger og er en com fortsatt å kjøre trojanere, kaprere og spionprogrammer. Registernøkler: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ IniFileMapping, filer som brukes: C: \\ Windows \\ system.ini c: \\ windows \\ win.ini Eksempel som viser F0 - system.ini: Shell = Explorer.exe Something.exe eksempel som viser F2 - REG: system.ini: Userinit = Userinit, nddeagnt.exe eksempel som viser F2 - REG: system.ini: Shell = explorer.exe beta. exe I F0 hvis du ser en l RIVER linje som ligner på Shell = Explorer.exe cualquier_cosa.exe så du definitivt bør RIVER som slett. Du kan vanligvis slette disse oppføringene, men husk å sjekke Google. For F1 oppføringer anbefales det at i Google og se ut som í avgjøre om de tilhører lovlige programmer. For F2, hvis du ser Userinit = userinit.exe, med eller uten nddagnt.exe, som i eksempelet ovenfor, så kan du la denne oppføringen for fred. Hvis du ser Userinit = userinit.exe (uten komma), fortsatt god, også é n kan la det være. Hvis du ser en annen oppføring i userinit.exe, så kunne RIVER potensielt være en trojaner eller annen malware. Det samme gjelder for F2 Shell =, hvis du ser explorer.exe, s ó hva da est á Men hvis ikke, som i eksempelet ovenfor, så kan RIVER være Trojan eller malware. Du kan vanligvis slette disse oppføringene, men ikke glem å sjekke Google først. Steder å se: piper Computer Startup Database
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm http://greatis.com/regrun3appdatabase.htm http://www.sysinfo.org/startuplist.php http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS http://www.kephyr.com/filedb/index.php http://www.liutilities.com/products/wintaskspro /ProcessLibrary /
4 Disse delene er for p á sider starte og motor b fortsatt søker standard Netscape og Mozilla nettlesere. Disse oppføringene est á n lagret i prefs.js filen på forskjellige steder i C: \\ Documents and Settings \\ dittbrukernavn \\ Application Data. Netscape 4 oppføringer est á n lagret i prefs.js filen i programmet katalogen Cu á l er vanligvis C: \\ Program Files \\ Netscape \\ Users \\ standard \\ prefs.js. N1 tilsvarer p á, gina starte og motor b STILL squedas standard Netscape 4 N2 tilsvarer p á, gina starte og motor b STILL squedas standard Netscape 6. N3 tilsvarer p á GINA b motorstart og fortsatt squedas standard Netscape 7. N4 tilsvarer p á gina motorstart og b STILL Mozilla squedas standard. Brukte filer: prefs.js Som de fleste RIVER til spywares og kaprerne est á n gjort i IE, disse nettleserne vanligvis er og aacute Na trygt. Hvis du se web-områder oppført ah í at du ikke har satt, kan du bruke HijackThis å fikse det. Det er et kjent nettsted som gjør endre disse innstillingene, og at området er Lop.com, Cu á l er diskutert her í: http://www.doxdesk.com/parasite/lop.html
Denne delen ó n tilsvarer fil omdirigering ó n verter. Hosts-filen inneholder forholdet ó n IP-er med vertsnavn. For eksempel: 127.0.0.1 www.arwinianos.net Hvis du prøver å gå til www.arwinianos.net, gjennomgang og aacute; hosts-filen, se og aacute; innspill og konvertere á til adressen ó n IP 127.0.0.1 tross retning ó n korrekt. Noen kaprerne bruke fil omdirigering ó n vertene å omdirigere deg til visse nettsteder over andre. Som í, hvis noen setter inn en oppføring som denne: 127.0.0.1 www.google.com og du prøver å gå til www.google.com, være á s 127.0.0.1 omdirigert til cu á l er din egen datamaskin. Skanning eksempel: O1 - Hosts: 192.168.1.1 www.google.com brukte filer: hosts-filen er en tekstfil som kan redigeres av en tekst editor og er á lagres som standard på følgende steder avhengig av operativsystem, med mindre du velger å installere det på en annen rute. Windows 3.1 Operativsystem Sted C: \\ WINDOWS \\ HOSTS Windows 95 C: \\ WINDOWS \\ HOSTS Windows 98 C: \\ WINDOWS \\ HOSTS Windows ME C: \\ WINDOWS \\ HOSTS Windows XP C: \\ WINDOWS \\ system32 \\ drivers \\ etc \\ arrangerer Windows NT C: \\ WINNT \\ system32 \\ drivers \\ etc \\ arrangerer Windows 2000 C: \\ WINNT \\ system32 \\ drivers \\ etc \\ arrangerer Windows 2003 C: \\ WINDOWS \\ system32 \\ drivers \\ etc \\ vert Lokaliseringen ó n hosts-filen kan være endret ved å endre registernøkkelen (for Windows NT /2000 /XP): HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\: DatabasePath Hvis du ser oppføringene som de vist ovenfor, og det er ingen grunn til ó n spec RIVER FICA UC á Jeg vet at må være ah í kan trygt slette. Hvis du finner filen vertene est á ligger i C: \\ Windows \\ Help \\ vertene, som betyr est á s infisert med CoolWebSearch. Hvis du merker at hosts-filen er ikke á i sin standard banen for operativsystemet, og deretter bruke HijackThis å fikse dette at M á s trolig ble forårsaket av en infeksjon ó n. Også é n kan laste ned Hoster, programmet cu á l lar deg gjenopprette standard hosts-filen på din m á maskin. For å gjøre det, laste ned og Exec STILL Hoster program; talo. Når åpen, klikker du på knappen ó n " Gjenopprette opprinnelige verter " og deretter lukker Hoster program
Denne delen ó n tilsvarer Browser Helper Objects (eller BHO, espa CHILD ol noe som RIVER som ". Objects hjelpe Navigator "). BHOs er plug-ins som utvider funksjonaliteten i nettleseren din. De kan brukes av spyware som í som programmer leg RIVER svindel som Google Toolbar og Adobe Acrobat Reader. Undersøke når det er é bestemmer qu é fjerne og qu é ikke fjernes, slik noen av dem kunne RIVER etappe blir An River svindel. Eksempel liste over O2 - BHO: NAV Helper - - C: \\ Program Files \\ Norton Antivirus \\ NavShExt.dll Det er en utmerket liste over kjente BHO her í: http://sysinfo.org/bholist.php. Når rådgivning listen, ved hjelp av CLSID som er det n fortsatt nummer mellom tastene på listen. CLSID i oppføringen gjøre referanse til registeroppføringer som inneholder informasjon ó n om BHO. Når du fikse disse typer oppføringer med HijackThis, vil HijackThis ønsker á fullføre prosessen med notering fil. Det er tider når filen er fortsatt i bruk FORTSATT ETTER eacute; s har lukket IE. Hvis filen der fremdeles etter é s å fikse det med HijackThis, anbefales det at du starte systemet i sikkermodus og slette filen
Denne delen ó n er verktøylinjer til Internet Explorer. Dette er verktøylinjer (verktøylinjer) under navigasjons bar ó ny menn STILL IE.