Denne opplæringen er også tilgjengelig på spansk. Denne opplæringen er også tilgjengelig på tysk. Denne opplæringen er også tilgjengelig på nederlandsk. Ce tutoriel est aussi traduit en fran ç ais ici
Figur 1. HijackThis Start-skjermen når det kjøres for første gang
Vi foreslår at du sette en hake i sjekkheftet. merket Ikke vis denne windows når jeg begynner HijackThis, utpekt av den blå pilen over, som de fleste instruksjonene vil du får vil ikke stå for denne skjermen. Etter at du har satt en hake ved at boksen, klikk på Ingen av de ovennevnte, bare starte programmet knappen, utpekt av den røde pilen i figuren ovenfor. Du vil da bli presentert med hoved HijackThis skjermen som vist i figur 2 nedenfor.
Figur 2. Start Screen of Hijack Denne
Du bør først klikk på knappen Config, som er utpekt av den blå pilen i figur 2, og bekrefte at innstillingene samsvare funnet i figur 3 nedenfor. Alternativene som bør sjekkes er utpekt av den røde pilen.
Figur 3. HijackThis Konfigurasjonsvalg
Når du er ferdig med å sette disse alternativene, trykker du på tilbake-tasten og fortsette med resten av opplæringen.
Å ha HijackThis skanne datamaskinen for mulige flykaprerne, klikk på Skann-knappen utpekt av den røde pilen i Figur 2. Du vil da bli presentert med en skjerm oppføring alle funnet av programmet elementer som vist i figur 4.
Figur 4. skanningsresultater
På dette punktet, vil du ha en oversikt over alle elementer funnet av HijackThis.
Hvis det du ser virker forvirrende og skremmende for deg, klikk deretter på Lagre logg knappen, utpekt av den røde pilen, og lagre loggen til datamaskinen et sted du vil huske senere.
For å åpne opp stokken og lime det inn i et forum, som vårt, bør du gjøre følgende:
- Klikk på Fil og Åpne, og naviger til katalogen der du lagret loggfilen.
- Når du ser filen, dobbeltklikk på den. Loggfilen skal nå være åpnet i Notepad.
- Klikk på Rediger og deretter Velg alle. All teksten skal nå velges.
- Klikk på Rediger og deretter Copy, som kopierer all den valgte teksten til utklippstavlen.
- Gå til diskusjonsforum og opprette en ny melding.
Tittel meldingen: HijackThis Log: Please help Diagnose
Høyreklikk i meldingsfeltet der du normalt vil skriv meldingen, og klikk på limefunksjon. Den tidligere valgte teksten skal nå være i meldingen.
- Trykk Send
Hvis du vil se informasjon om noen av gjenstandene som er oppført, kan du klikke en gang på en liste, og trykk deretter på " Info på valgte elementet ... " knapp. Dette vil få opp et skjermbilde som ligner på Figur 5 nedenfor:
Figur 5. objektinformasjon
Når du er ferdig å se på informasjonen for de ulike oppføringer , og du føler at du er kunnskapsrik nok til å fortsette, se gjennom listene, og velg elementene du ønsker å fjerne ved å plassere merket av i boksene til venstre for hver oppføring som vist i Figur 6. På slutten av dokumentet vi har tatt noen grunnleggende måter å tolke informasjonen i disse loggfilene. På ingen måte er denne informasjonen omfattende nok til å dekke alle beslutninger, men skal hjelpe deg å finne ut hva som er lovlig eller ikke.
Figur 6. Velg et element for å fjerne
Når du har valgt elementene du ønsker å fjerne, trykker du på Fix Sjekket knappen, utpekt av den blå pilen, i Figur 6. HijackThis vil da be deg om å bekrefte om du ønsker å fjerne disse elementene. Trykk Ja eller Nei avhengig av ditt valg.
Hvordan gjenopprette elementer feilaktig slettede
HijackThis kommer med en backup og gjenoppretting prosedyre i tilfelle at du feilaktig fjerne en oppføring som faktisk er lovlige. Hvis du har konfigurert HijackThis som ble vist i denne opplæringen, så bør du være i stand til å gjenopprette oppføringer som du tidligere har slettet. Hvis du har hatt din HijackThis program som kjører fra en midlertidig katalog, deretter gjenopprette prosedyren vil ikke fungere.
Hvis konfigurasjonsinnstilling Ta sikkerhetskopier før feste elementer er avkrysset, HijackThis vil ta en sikkerhetskopi av alle oppføringer du fikse i en katalog som heter backup som ligger på samme sted som Hijackthis.exe.
Hvis du starter HijackThis og klikk på Config, og deretter på knappen du Backup vil bli presentert med en skjerm som Figur 7 nedenfor. Du vil ha en oversikt over alle elementene som du hadde faste tidligere, og har muligheten til å gjenopprette dem. Når du gjenoppretter et element som er oppført i dette skjermbildet, ved scanning igjen med HijackThis, vil bidragene dukke opp igjen.
Figur 7. Gjenopprette et feilaktig fjernet entry
Når du er ferdig med å restaurere de elementene som ble feilaktig fast, kan du lukke programmet.
Hvordan å generere et oppstarts Listing
Til tider når du legge inn loggen til en melding forum å spørre om hjelp, kan folk hjelpe be deg om å generere en liste over alle programmer som automatisk starter på datamaskinen. HijackThis har en innebygd verktøy som vil tillate deg å gjøre dette.
For å gjøre dette gå inn i alternativ Config når du starter HijackThis, som er utpekt av den blå pilen i figur 2, og klikk deretter på Misc Verktøy-knappen på toppen. Du skal se et skjermbilde som ligner på figur 8 nedenfor.
Figur 8. generere en StartupList Log.
Du vil deretter klikke på knappen merket Generer StartupList Logg som er er utpekt av den røde pilen i figur 8. Når du klikker denne knappen, vil programmet automatisk åpne opp en notepad fylt med oppstarts elementer fra datamaskinen. Kopier og lim inn disse oppføringene i en melding og sende den.
Forhåpentligvis med enten kunnskap eller hjelp fra andre vil du ha ryddet opp datamaskinen. Hvis du ønsker å lære mer detaljert informasjon om hva hver del i en skannelogg midler, deretter fortsette å lese.
Hvordan bruke Process Manager
HijackThis har en innebygd prosess manager som kan brukes til å avslutte prosesser samt se hva DLL-filer er lagt inn i denne prosessen. For å få tilgang prosessen manager, bør du klikke på knappen Config og klikk deretter på Diverse Verktøy. Du skal nå se en ny skjerm med en av knappene være åpen Process Manager. Hvis du klikker på denne knappen vil du se et nytt skjermbilde som ligner på figur 9 nedenfor.
Figur 9. HijackThis Process Manager
Dette vinduet vil vise alle åpne prosesser som kjører på maskinen din. Du kan deretter klikke en gang på en prosess for å velge den, og klikk deretter på Kill Process knappen utpekt av den røde pilen i Figur 9 ovenfor. Dette vil forsøke å avslutte prosessen kjøres på datamaskinen.
Hvis du ønsker å si opp flere prosesser samtidig, trykk og hold nede CTRL-tasten på tastaturet. Mens det -tasten, klikk en gang på hver prosess som du ønsker å bli avsluttet. Så lenge du holder nede Ctrl-knappen mens du velger de ekstra prosesser, vil du være i stand til å velge flere prosesser samtidig. Når du har valgt alle prosesser ønsker du å si du vil trykk på Kill Process knappen.
Hvis du ønsker å se hva DLL-filer er lastet i en valgt prosessen, kan du sette en hake i avkrysnings merket Vis DLLs, utpekt av den blå pilen i figuren ovenfor. Dette vil splitte prosessen skjermen i to seksjoner. Den første delen vil liste opp de prosessene som før, men nå når du klikker på en bestemt prosess, den nederste delen vil liste opp DLL-filer som er lagt i denne prosessen.
For å avslutte prosessen leder må du klikke på ryggen knappen to ganger som vil plassere deg på hovedskjermen.
Hvordan bruke Hosts File Manager
HijackThis har også en rudimentær Hosts filbehandler . Med denne manager kan du vise din hosts-filen og slette linjer i filen eller veksle linjer på eller av. Du får tilgang til Hosts-fil manager, bør du klikke på knappen Config og klikk deretter på Diverse Verktøy. Du skal nå se en ny skjerm med en av knappene blir Hosts File Manager. Hvis du klikker på denne knappen vil du se en ny skjerm tilsvarende figur 10 nedenfor
Figur 10:. Hosts File Manager
Dette vinduet vil liste innholdet i HOSTS-filen. For å slette en linje i hosts-filen du vil klikke på en linje som den som er utpekt av den blå pilen i Figur 10 ovenfor. Dette vil velge den linjen med tekst. Deretter kan du enten slette linjen, ved å klikke på Slett-linjen (e) knappen, eller veksle linjen på eller av, ved å klikke på Toggle linjen (e) knappen. Det er mulig å velge flere linjer på en gang ved hjelp av skift- og kontrolltaster eller dra musen over linjene ønsker du å samhandle med.
Hvis du sletter linjene, disse linjene vil bli slettet fra filen HOSTS . Hvis du veksle linjene, vil HijackThis legge en # -tegnet foran linjen. Dette vil kommentere ut linjen slik at den ikke vil bli brukt av Windows. Hvis du er usikker på hva du skal gjøre, er det alltid trygt å veksle linjen slik at en # vises før det.
For å avslutte Hosts filbehandler må du klikke på tilbake-knappen to ganger som vil plassere du på hovedskjermen.
Hvordan bruke Slett på Reboot verktøy
Til tider kan du finne en fil som hardnakket nekter å bli slettet på vanlig måte. HijackThis introdusert i versjon 1.98.2, en metode for å ha Windows slette filen som den starter opp, før filen fikk mulighet til å laste. For å gjøre dette på følgende måte:
- Du vil nå bli spurt om du ønsker å starte datamaskinen på nytt for å slette filen. Klikk på Ja-knappen hvis du ønsker å starte på nytt nå, ellers klikk på Nei-knappen for å starte senere.
Hvordan bruke ADS Spy
Det er en bestemt infeksjon som kalles Hjem Search Assistant eller CWS_NS3 at noen ganger vil bruke en fil kalt en Alternate Data Stream fil for å infisere datamaskinen. Disse filene kan ikke ses eller slettet med vanlige metoder. ADS Spy er designet for å hjelpe til å fjerne disse typer filer. For de som er interessert, kan du lære mer om alternativ dataflyt og Home Search Assistant ved å lese følgende artikler:
Windows alternativ dataflyt [Tutorial Link]
Home Search Assistant Analysis [ ,,,0],Tutorial Link]
For å bruke ADS Spy verktøyet du vil starte HijackThis og klikk deretter på knappen Config. Klikk deretter på Diverse Verktøy-knappen og til slutt klikker på annonsene Spy knappen. Når ADS Spy verktøyet åpner du vil se et skjermbilde som ligner på figur 11 nedenfor
Figur 11:. ADS Spy
Trykk på Skann-knappen og programmet vil begynne å skanne Windows-mappen for noen filer som er alternativ dataflyt. Hvis den finner noe, vil det vise dem ligner på figur 12 nedenfor
Figur 12:. Notering av funnet alternativ dataflyt
For å fjerne en av de viste ADS filer , bare plassere en hake ved siden av oppføringen og klikker på Fjern valgte -knappen. Dette vil fjerne ADS-filen fra datamaskinen. Når du er ferdig, trykker du på Tilbake-knappen ved siden av Fjern valgt til du er på hoved HijackThis skjermen.
Hvordan bruke Uninstall Manager
Uninstall Manager lar deg administrere oppføringer funnet i kontrollpanelet sin Legg til /fjern programmer. Ved rengjøring malware fra en maskin oppføringer i Legg til /fjern programmer alltid får igjen. Mange brukere forståelig nok gjerne ha en ren Legg til /fjern programmer, og har problemer med å fjerne disse villfaren oppføringer. Bruke Uninstall Manager kan du fjerne disse oppføringene fra din avinstallere listen
For å få tilgang til Uninstall Manager ville du gjøre følgende:.
Start HijackThis
Klikk på knappen Config
Klikk på Diverse Verktøy-knappen
Klikk på Åpne Uninstall Manager knappen.
Du vil nå bli presentert med en skjerm lik den nedenfor:
Figur 13: HijackThis Uninstall Manager
For å slette en oppføring bare klikk på oppføringen du ønsker å fjerne, og klikk deretter på Slett denne meldingen knappen. Hvis du ønsker å endre programmet denne oppføringen er assosiert med kan du klikke på Rediger uninstall kommandoknappen og angi banen til programmet som skal kjøres hvis du dobbeltklikker på at oppføring i Legg til /fjern programmer. Denne siste funksjonen bør bare brukes hvis du vet hva du driver med.
Hvis du blir bedt om å redde denne listen og legge det slik at noen kan undersøke det, og gi deg råd om hva du bør fjerne, kan du klikke på Lagre liste ... knappen og angi hvor du ønsker å lagre denne filen. Når du trykker på Lagre-knappen en notepad vil åpne med innholdet i den filen. Bare kopier og lim inn innholdet som notepad inn et svar i emnet du får hjelp i.
Hvordan tolke skanne oppføringer
Denne neste delen er å hjelpe deg å diagnostisere output fra en HijackThis scan. Hvis du fortsatt er usikker på hva du skal gjøre, eller ønsker å be oss om å tolke loggen din, limer du logge inn i en stolpe i våre retningslinjer Forum.
Hver linje på Scan Liste for HijackThis starter med en seksjon navn. Nedenfor er en liste over disse sidedelnavn og deres forklaringer. Du kan klikke på en del navn for å bringe deg til den aktuelle delen.
§ Navn Beskrivelse R0, R1, R2, R3 Internet Explorer Start /søkesider webadresser F0, F1, F2, F3 Auto lasting av programmer N1, N2, N3 , Verter N4 Netscape /Mozilla Start /søkesider URLer O1 fil omdirigering O2 Browser Helper Objects O3 Internet Explorer verktøylinjer O4 Auto lasting av programmer fra ikonet Register O5 IE alternativer som ikke er synlige i Kontrollpanel O6 IE Options tilgang begrenses av Administrator O7 Regedit tilgang begrenset av Administrator O8 Ekstra elementer i IE høyreklikkmenyen O9 Ekstra knapper på hoved IE-knappen på verktøylinjen, eller ekstra elementer i IE «Verktøy» -menyen O10 Winsock kaprer O11 Extra gruppe i IE Avanserte alternativer vindu O12 IE plugins O13 IE Standard Prefix kapre O14 'Reset Web Settings "kapre O15 Uønsket nettstedet i Trusted Zone O16 ActiveX-objekter (aka Nedlastede programfiler) O17 Lop.com/Domain Kaprere O18 Ekstra protokoller og protokoll kaprerne O19 User style sheet kapre O20 AppInit_DLLs registerverdi Autorun O21 ShellServiceObjectDelayLoad O22 SharedTaskScheduler O23 Windows XP /NT /2000 Tjenester O24 Windows Active Desktop komponenterDet er viktig å merke seg at enkelte seksjoner bruke en intern hvit liste, slik at HijackThis ikke vil vise kjent lovlige filer. For å deaktivere denne hvite listen du kan begynne hijackthis i denne metoden i stedet: hijackthis.exe /ihatewhitelists
I våre forklaringer av hvert avsnitt vil vi prøve å forklare i lekmann vilkår hva de mener.. Vi vil også fortelle deg hva registernøkler de vanligvis bruker og /eller filer som de bruker. Til slutt vil vi gi deg anbefalinger om hva du skal gjøre med oppføringene.
R0, R1, R2, R3 §§
Denne delen dekker Internet Explorer startside, Home side, og Url Søk Hooks.
R0 er for Internet Explorers starter siden og søk assistent.
R1 er for Internet Explorers søkefunksjoner og andre kjennetegn.
R2 er ikke brukes nå.
R3 er for et Url Søk Hook. En Url Søk Hook brukes når du skriver inn en adresse i adressefeltet i nettleseren, men inkluderer ikke en protokoll for eksempel http: //eller ftp: //i adresse. Når du skriver en slik adresse, vil nettleseren forsøke å finne ut av riktig protokoll på egen hånd, og hvis det ikke gjør det, vil bruke den UrlSearchHook oppført i R3 delen for å prøve å finne stedet du har angitt. Anmeldelser Noen registernøkler: HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hoved, startside HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main: Startside HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hoved: Default_Page_URL HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Default_Page_URL HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Page HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Page HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ SearchURL: (Standard) HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Window Title HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Internet Settings: Wizard Proxyoverride HKCU \\ Software \\ Microsoft \\ Internet Connection: ShellNext HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Hovedbilde: Søk Bar HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Search, CustomizeSearch = HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Search, CustomizeSearch HKLM \\ Software \\ Microsoft \\ Internet Explorer \\ Search, SearchAssistant Eksempel Listing R0 - HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, startside = http://www.google.com/
Et vanlig spørsmål er hva betyr det når ordet maskeres er ved siden av en av disse oppføringene. Når noe er uklar som betyr at det blir gjort vanskelig å oppfatte eller forstå. I Spyware termer betyr det at Spyware eller Hijacker gjemmer innreise det gjort ved å konvertere verdiene inn i en annen form som det forstår lett, men mennesker ville ha problemer med å gjenkjenne, for eksempel legge oppføringer i registeret i heksadesimal. Dette er bare en annen metode for å skjule sin tilstedeværelse og gjør det vanskelig å bli fjernet.
Hvis du ikke gjenkjenner nettstedet som enten R0 og R1 peker til, og du ønsker å endre det, så kan du har HijackThis trygt fikse disse, som de ikke vil være skadelig for Internet Explorer installere. Hvis du ønsker å se hvilke områder de er, kan du gå til nettstedet, og hvis det er en masse popups og linker, kan du nesten alltid slette den. Det er viktig å merke seg at hvis en RO /R1 peker til en fil, og du fikse oppføring med HijackThis, vil Hijackthis ikke slette den aktuelle filen, og du blir nødt til å gjøre det manuelt.
Det er visse R3 oppføringer som slutter med en understrek (_). Et eksempel på hva man ville se ut er:
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} _ - (ingen fil)
Legg merke til CLSID, tallene mellom {}, har en _ på slutten av det, og de kan av og til vanskelig å fjerne med HijackThis. For å fikse dette må du slette den aktuelle registeroppføringen manuelt ved å gå til følgende nøkkel:
HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ URLSearchHooks
Deretter slette CLSID oppføring under det som du ønsker å fjerne. Vennligst forlate CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, da det er den gyldig standard en.
Med mindre du kjenner programvaren som blir brukt som UrlSearchHook, du bør generelt Google det og etter å gjøre noen undersøkelser tillate HijackThis å fikse det
F0, F1, F2, F3 §§
Disse kapitlene dekker programmer som lastes fra INI-filer , system.ini og win.ini, i Windows ME og under eller deres tilsvarende steder i registeret for Windows NT baserte versjoner. Windows NT baserte versjoner er XP, 2000, 2003 og Vista.
En F0 oppføring tilsvarer Shell = uttalelse, under [Boot] delen av System.ini filen. Shell = uttalelse i System.ini filen brukes til å utpeke hva programmet ville fungere som skallet for operativsystemet
Eksempel Oppføring: Anmeldelser F0 - system.ini. Shell = Explorer.exe badprogram .exe filer som brukes: c: \\ windows \\ system.iniShell er programmet som ville laste skrivebordet, håndtere vinduet ledelse, og tillater brukeren å samhandle med systemet. Ethvert program oppført etter skallet uttalelsen vil bli lastet når Windows starter, og fungere som standard skall. Det var noen programmer som fungerte som gyldige skall erstatninger, men de er som regel ikke lenger brukes. Windows 95, 98 og ME brukte Explorer.exe som skall som standard. Windows 3.x brukt progman.exe som skallet sitt. Det er også mulig å liste andre programmer som vil lansere som Windows laster i samme Shell = linje, for eksempel Shell = explorer.exe badprogram.exe. Denne linjen vil gjøre begge programmene starter når Windows laster.
En F1 oppføring tilsvarer Run = eller Load = oppføring i win.ini-filen. Som System.ini filen blir win.ini filen vanligvis bare brukes i Windows ME og under
Eksempel Notering
F1 - win.ini:. Load = bad.pif F1 - Win.ini: kjøre = evil.pif filer som brukes: c: \\ windows \\ win.iniAlle programmer som er oppført etter kjøringen = eller last = vil laste når Windows starter. Dette run = uttalelsen ble brukt under Windows 3.1, 95, og 98 år og er holdt for bakoverkompatibilitet med eldre programmer. De fleste moderne programmer bruker ikke denne ini innstillingen, og hvis du ikke bruker eldre program kan du rettmessig være mistenksom. Lasten = Setningen ble brukt til å laste inn drivere for maskinvaren. På Windows NT-baserte systemer (Windows 2000, XP, etc) HijackThis vil vise oppføringene som finnes i win.ini og system.ini, men Windows NT-baserte systemer vil ikke utføre filene oppført der.
F2 og F3 oppføringer svarer til tilsvarende steder som F0 og F1, men de er i stedet lagret i registeret i Windows-versjonene XP, 2000 og NT. Disse versjonene av Windows bruker ikke system.ini og Win.ini filer. I stedet for bakoverkompatibilitet de bruker en funksjon som heter IniFileMapping. IniFileMapping, setter alle innholdet i en .ini fil i registeret, med nøkler for hver linje funnet i INI-nøkkel som er lagret der. Så når du kjører et program som normalt leser sine innstillinger fra en INI-fil, vil den først sjekke registernøkkelen HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ IniFileMapping for en .ini kartlegging, og hvis det blir funnet vil lese innstillingene fra der i stedet. Du kan se at disse oppføringene, i eksemplene nedenfor, refererer til registeret som det vil inneholde REG og deretter INI-filen som IniFileMapping viser til.
F2 oppføringer vises når det er en verdi som er ikke hvitelistet, eller ansett som trygt, i registernøkkelen HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon under verdiene Shell og Userinit
Eksempel oppføringer. Anmeldelser F2 - REG: system.ini : Userinit = Userinit, nddeagnt.exe F2 - REG: system.ini: Shell = explorer.exe beta.exe registernøkler: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ ShellShell registerverdi tilsvarer funksjonen til Shell = i System.ini filen som beskrevet ovenfor. Den Userinit verdien angir hva programmet skal bli lansert rett etter at en bruker logger seg på Windows. Standard program for denne nøkkelen er C: \\ windows \\ system32 \\ userinit.exe. Userinit.exe er et program som gjenoppretter din profil, skrifttyper, farger, etc for brukernavnet ditt. Det er mulig å legge til flere programmer som vil starte fra denne tasten ved å skille programmer med komma. For eksempel: HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit = C: \\ windows \\ system32 \\ userinit.exe C: \\ windows \\ badprogram.exe. Dette vil gjøre begge programmene starte når du logger inn, og er et felles sted for trojanere, kaprere og spyware å starte fra. Det bør bemerkes at Userinit og Shell F2 oppføringer ikke vises i HijackThis med mindre det er en ikke-hvitelistet verdien som står oppført.
F3 oppføringer vises når det er en verdi som ikke er hvitelistet i registernøkkelen HKCU \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Windows under verdier lasten og kjøre. Disse oppføringene er Windows NT tilsvarende de som finnes i F1-oppføringer som beskrevet ovenfor
Eksempel oppføringer: Anmeldelser F3 - REG. Win.ini: load = chocolate.exe F3 - REG: win.ini : run = beer.exe registernøkler: HKCU \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Windows \\ belastning HKCU \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Windows \\ kjøreFor F0 hvis du ser en uttalelse som Shell = explorer.exe something.exe, så kan du vanligvis slette den, men du bør først konsultere Google og nettstedene nedenfor.
For F1 oppføringer bør du google oppføringene funnet her for å fastslå om de er legitime programmer. Du kan også søke på nettstedene nedenfor for innreise for å se hva den gjør.
For F2, hvis du ser Userinit = userinit.exe, med eller uten nddeagnt.exe, som i eksempelet ovenfor, så du kan la denne oppføringen alene. Hvis du ser Userinit = userinit.exe (merker ingen komma) som fortsatt er ok, så du bør la det være. Hvis du ser en annen oppføring med userinit.exe, så det kan potensielt være en trojan eller annen malware. Det samme gjelder for F2 Shell =; hvis du ser explorer.exe av seg selv, bør det være greit, hvis du ikke gjør det, som i eksempelet ovenfor oppføringen, så det kan være en potensiell trojan eller malware. Du kan vanligvis slette disse oppføringene, men du bør rådføre Google og nettstedene nedenfor.
Vær oppmerksom på at når disse oppføringene er faste HijackThis ikke slette filen knyttet til den. Du må manuelt slette disse filene
Nettstedet til bruk for forskning på disse oppføringene.
piper Computer Startup Database
svar som fungerer Greatis Startup Application Database Pacman Oppstartsprogrammer List Pacman Oppstart Lister for Offline Reading Kephyr File Database WinTasks Process Library
N1, N2, N3, N4 §§
Disse delene er for Netscape og Mozilla nettlesere Start og standardsøkesider .
Disse oppføringene lagres i prefs.js filer som er lagret på forskjellige steder under C: \\ Documents and Settings \\ dittbrukernavn \\ Application Data-mappen. Netscape 4 s oppføringer er lagret i prefs.js filen i programmet katalog som er generelt stasjonsbokstav:. \\ Program Files \\ Netscape \\ Users \\ standard \\ prefs.js
N1 tilsvarer Netscape 4s Startup Page og standard søkeside.
N2 tilsvarer Netscape 6 Startup Page og standard søkeside.
N3 tilsvarer Netscape 7 'Startup Page og standard søkeside.
N4 tilsvarer . til Mozillas Startup Page og standard søkeside
Filer Brukt: prefs.js
Som de fleste spyware og kaprerne har en tendens til å målrette Internet Explorer disse er vanligvis trygt. Hvis du se web-områder oppført i her at du ikke har satt, kan du bruke HijackThis å fikse det. Det er en kjent nettsted som gjør endre disse innstillingene, og det er Lop.com som er omtalt her.
O1 §
Dette avsnittet tilsvarer Host filen omadressering.
The hosts-filen inneholder tilordninger for vertsnavn til IP addresses.For eksempel, går jeg inn i min host filen:
127.0.0.1 www.bleepingcomputer.com
og du prøv å gå til www.bleepingcomputer.com, det vil sjekke hosts-filen, se oppføringen og konvertere til IP-adressen 127.0.0.1 i stedet for sin riktig adresse.
er Host filen omdirigering når en kaprer endrer hosts-filen til å omdirigere dine forsøk på å nå et bestemt nettsted til et annet område. Så hvis noen har lagt til en oppføring som:
127.0.0.1 www.google.com
og du prøvde å gå til www.google.com, ville du i stedet blir omdirigert til 127.0.0.1 som er din egen datamaskin
Eksempel Listing O1 - Hosts:. 192.168.1.1 www.google.comFiler Brukt: The hosts-filen er en tekstfil som kan redigeres av en tekst editor og lagres som standard i følgende steder for hvert operativsystem, med mindre du velger å installere til forskjellige baner -
Operativsystem Sted Windows 3.1 C: \\ WINDOWS \\ HOSTS Windows 95 C: \\ WINDOWS \\ HOSTS Windows 98 C: \\ WINDOWS \\ HOSTS Windows ME C: \\ WINDOWS \\ HOSTS Windows XP C: \\ WINDOWS \\ system32 \\ drivers \\ etc \\ hosts Windows NT C: \\ WINNT \\ system32 \\ drivers \\ etc \\ hosts Windows 2000 C: \\ WINNT \\ system32 \\ drivers \\ etc \\ hosts Windows 2003 C: \\ WINDOWS \\ system32 \\ drivers \\ etc \\ HOSTSPlasseringen av Hosts-filen kan endres ved å endre registernøkkelen nedenfor for Windows NT /2000 /XP
registernøkkel. HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\:. DatabasePath
Hvis du ser oppføringene som eksempelet ovenfor, og de er ikke deres for en bestemt grunn til at du vet om, kan du trygt fjerne dem
Hvis du ser en oppføring Hosts-fil ligger i C: \\ Windows \\ Help \\ vertene, som betyr at du er smittet med CoolWebSearch. Hvis Hosts-filen er plassert på et sted som ikke er standard for operativsystemet ditt, se tabellen ovenfor, så bør du ha HijackThis fikse dette som det er mest sannsynlig forårsaket av en infeksjon.
Du kan også laste ned programmet HostsXpert som gir deg muligheten til å gjenopprette standard host filen tilbake på maskinen din. For å gjøre dette, laste ned HostsXpert programmet og kjør det. Når det åpnes, klikker du på Gjenopprett Originale Hosts-knappen og deretter avslutte HostsXpert.
O2 §
Dette avsnittet tilsvarer Browser Helper Objects.
Browser Helper Objects er plugins til nettleseren din som utvider funksjonaliteten til det. De kan brukes av spyware, samt legitime programmer som Google Toolbar og Adobe Acrobat Reader. Du må gjøre din forskning når du bestemmer om ikke å fjerne noen av disse som noen kan være legitime
registernøkler:. HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ Currentversion \\ Explorer \\ Browser Helper Objects
Eksempel Listing
Start Hijackthis
Klikk på knappen Config
Klikk på Diverse Verktøy-knappen
Klikk på knappen merket Slette en fil på omstart ...
Et nytt vindu som spør deg om å velge filen du ønsker å slette ved omstart. Naviger til filen og klikk på det en gang, og klikk deretter på Åpne.
- Du vil nå bli spurt om du ønsker å starte datamaskinen på nytt for å slette filen. Klikk på Ja-knappen hvis du ønsker å starte på nytt nå, ellers klikk på Nei-knappen for å starte senere.
Klikk på Start og deretter Kjør og skriv Notepad og trykk OK. Notepad vil nå være åpen på datamaskinen.