Bagaimana Menganalisis HijackThis Logs

Análisis Dinámico de Malware Parte 2 (Juli 2025)

Análisis Dinámico de Malware Parte 2 (Juli 2025)

:

Anonim

HijackThis adalah alat gratis dari Trend Micro. Ini awalnya dikembangkan oleh Merijn Bellekom, seorang mahasiswa di Belanda. Perangkat lunak penghilang spyware seperti AdAware atau Spybot S & D melakukan pekerjaan yang baik untuk mendeteksi dan menghapus sebagian besar program spyware, tetapi beberapa spyware dan peretas peramban terlalu berbahaya untuk utilitas anti-spyware yang hebat ini.

HijackThis ditulis khusus untuk mendeteksi dan menghapus pembajakan peramban, atau peranti lunak yang mengambil alih peramban web Anda, mengubah laman beranda bawaan Anda dan mesin telusur serta hal-hal jahat lainnya. Tidak seperti perangkat lunak anti-spyware yang khas, HijackThis tidak menggunakan tanda tangan atau menargetkan program atau URL tertentu untuk dideteksi dan diblokir. Sebaliknya, HijackThis mencari trik dan metode yang digunakan oleh malware untuk menginfeksi sistem Anda dan mengalihkan browser Anda.

Tidak semua yang muncul di log HijackThis adalah hal-hal buruk dan seharusnya tidak semuanya dihapus. Bahkan, justru sebaliknya. Hampir dijamin bahwa beberapa item dalam log HijackThis Anda adalah perangkat lunak yang sah dan menghapus item tersebut dapat berdampak buruk pada sistem Anda atau membuatnya benar-benar tidak dapat beroperasi. Menggunakan HijackThis sangat mirip dengan mengedit Registry Windows sendiri. Ini bukan ilmu roket, tetapi Anda seharusnya tidak melakukannya tanpa bimbingan ahli kecuali Anda benar-benar tahu apa yang Anda lakukan.

Setelah Anda menginstal HijackThis dan menjalankannya untuk membuat file log, ada berbagai forum dan situs tempat Anda dapat memposting atau mengunggah data log Anda. Para ahli yang tahu apa yang harus dicari kemudian dapat membantu Anda menganalisis data log dan memberi tahu Anda tentang item mana yang harus dihapus dan mana yang harus dibiarkan.

Untuk mengunduh versi HijackThis saat ini, Anda dapat mengunjungi situs resmi di Trend Micro.

Berikut ini adalah ikhtisar entri log HijackThis yang dapat Anda gunakan untuk melompat ke informasi yang Anda cari:

  • R0, R1, R2, R3 - Internet Explorer Mulai / halaman pencarian URL
  • F0, F1 - Program autoloading
  • URL N1, N2, N3, N4 - Netscape / Mozilla Laman Awal / Cari
  • O1 - Host file redirection
  • O2 - Browser Helper Objects
  • O3 - Toolbar Internet Explorer
  • O4 - Program autoloading dari Registry
  • O5 - ikon Opsi IE tidak terlihat di Panel Kontrol
  • O6 - Opsi IE akses dibatasi oleh Administrator
  • O7 - Akses Regedit dibatasi oleh Administrator
  • O8 - Item ekstra di menu klik kanan IE
  • O9 - Tombol tambahan pada toolbar tombol IE utama, atau item tambahan di menu IE 'Tools'
  • O10 - Pembajak Winsock
  • O11 - Grup ekstra di jendela 'Opsi Lanjut' IE
  • O12 - Plugin IE
  • O13 - Pembajakan DefaultPrefix IE
  • O14 - 'Reset Pengaturan Web' dibajak
  • O15 - Situs yang tidak diinginkan di Zona Tepercaya
  • O16 - Objek ActiveX (alias File Program yang Diunduh)
  • O17 - pembajak domain Lop.com
  • O18 - Protokol ekstra dan pembajak protokol
  • O19 - Pengguna membajak style sheet
  • O20 - AppInit_DLLs Autorun nilai Registry
  • O21 - ShellServiceObjectDelayLoad Registry autorun kunci
  • O22 - autorun registri Registri SharedTaskScheduler
  • O23 - Layanan Windows NT

R0, R1, R2, R3 - Halaman Mulai dan Pencarian IE

Seperti apa rupanya:R0 - HKCU Software Microsoft Internet Explorer Main, Halaman Awal = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Utama, Default_Page_URL = http://www.google.com/R2 - (tipe ini tidak digunakan oleh HijackThis)R3 - Default URLSearchHook hilang

Melakukan apa:Jika Anda mengenali URL di bagian akhir sebagai beranda atau mesin telusur Anda, tidak masalah. Jika tidak, periksa dan perbarui HijackThis. Untuk item R3, selalu perbaiki jika tidak menyebutkan program yang Anda kenali, seperti Copernic.

F0, F1, F2, F3 - Program autoloading dari file INI

Seperti apa rupanya:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: jalankan = hpfsched

Melakukan apa:Item F0 selalu buruk, jadi perbaiki. Item F1 biasanya program yang sangat lama yang aman, jadi Anda harus mencari informasi lebih lanjut tentang nama file untuk melihat apakah itu baik atau buruk. Daftar Startup Pacman dapat membantu mengidentifikasi item.

Halaman N1, N2, N3, N4 - Netscape / Mozilla Start & Search

Seperti apa rupanya:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Melakukan apa:Biasanya halaman beranda dan halaman pencarian Netscape dan Mozilla aman. Mereka jarang dibajak, hanya Lop.com yang dikenal melakukan ini. Jika Anda melihat URL yang tidak Anda kenali sebagai beranda atau laman penelusuran Anda, miliki HijackThis perbaiki.

O1 - Pengalihan hostfile

Seperti apa rupanya:O1 - Host: 216.177.73.139 auto.search.msn.comO1 - Host: 216.177.73.139 search.netscape.comO1 - Host: 216.177.73.139 ieautosearchO1 - File host berada di C: Windows Help host

Melakukan apa:Pembajakan ini akan mengalihkan alamat ke kanan ke alamat IP di sebelah kiri.Jika IP bukan milik alamat, Anda akan dialihkan ke situs yang salah setiap kali Anda memasukkan alamat. Anda selalu dapat memiliki HijackThis untuk memperbaikinya, kecuali jika Anda secara sadar menempatkan baris tersebut di file Host Anda.

Item terakhir kadang-kadang terjadi pada Windows 2000 / XP dengan infeksi Coolwebsearch. Selalu perbaiki item ini, atau minta CWShredder untuk memperbaikinya secara otomatis.

O2 - Browser Helper Objects

Seperti apa rupanya:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (tidak ada nama) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (file hilang)O2 - BHO: MediaLoads Ditingkatkan - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS DISEMPURNAKAN ME1.DLL

Melakukan apa:Jika Anda tidak secara langsung mengenali nama Browser Helper Object, gunakan TonyK's BHO & Toolbar List untuk menemukannya dengan ID kelas (CLSID, nomor antara kurung kurawal) dan lihat apakah itu baik atau buruk. Dalam Daftar BHO, 'X' berarti spyware dan 'L' berarti aman.

O3 - Toolbar IE

Seperti apa rupanya: O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL (file hilang)O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Melakukan apa:Jika Anda tidak secara langsung mengenali nama bilah alat, gunakan Daftar BHO & Toolbar TonyK untuk menemukannya dengan ID kelas (CLSID, nomor di antara tanda kurung kurawal) dan lihat apakah itu baik atau buruk. Dalam Daftar Toolbar, 'X' berarti spyware dan 'L' berarti aman. Jika tidak ada dalam daftar dan nama tampaknya string karakter acak dan file tersebut berada di folder 'Data Aplikasi' (seperti yang terakhir pada contoh di atas), mungkin itu Lop.com, dan Anda pasti harus memiliki HijackThis fix saya t.

O4 - Program autoloading dari grup Registry atau Startup

Seperti apa rupanya:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Menjalankan: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - Startup: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Global Startup: winlogon.exe

Melakukan apa:Gunakan Startup List PacMan untuk menemukan entri dan melihat apakah itu baik atau buruk.

Jika item menunjukkan program yang duduk di grup Startup (seperti item terakhir di atas), HijackThis tidak dapat memperbaiki item jika program ini masih dalam memori. Gunakan Windows Task Manager (TASKMGR.EXE) untuk menutup proses sebelum diperbaiki.

O5 - Opsi IE tidak terlihat di Panel Kontrol

Seperti apa rupanya: O5 - control.ini: inetcpl.cpl = no

Melakukan apa:Kecuali Anda atau administrator sistem Anda secara sadar menyembunyikan ikon dari Control Panel, minta HijackThis untuk memperbaikinya.

O6 - Opsi IE akses dibatasi oleh Administrator

Seperti apa rupanya:O6 - HKCU Software Policies Microsoft Internet Explorer Pembatasan hadir

Melakukan apa:Kecuali Anda memiliki opsi Spybot S & D 'Kunci homepage dari perubahan' yang aktif, atau administrator sistem Anda letakkan ini di tempat, miliki HijackThis perbaiki ini.

O7 - Akses Regedit dibatasi oleh Administrator

Seperti apa rupanya:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Melakukan apa:Selalu miliki HijackThis perbaiki ini, kecuali administrator sistem Anda telah menempatkan pembatasan ini pada tempatnya.

O8 - Item ekstra di menu klik kanan IE

Seperti apa rupanya: O8 - Item menu konteks ekstra: & Pencarian Google - res: // C: WINDOWS DOWNLOAD FILTER PROGRAM GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Item menu konteks ekstra: Yahoo! Cari - file: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Item menu konteks ekstra: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Item menu konteks Ekstra: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Melakukan apa:Jika Anda tidak mengenali nama item di menu klik kanan di IE, minta HijackThis untuk memperbaikinya.

O9 - Tombol tambahan pada toolbar IE utama, atau item tambahan di menu IE 'Tools'

Seperti apa rupanya: O9 - Tombol tambahan: Messenger (HKLM)O9 - Menu menu tambahan 'Tools': Messenger (HKLM)O9 - Tombol tambahan: AIM (HKLM)

Melakukan apa:Jika Anda tidak mengenali nama tombol atau item menu, miliki HijackThis untuk memperbaikinya.

O10 - Pembajak Winsock

Seperti apa rupanya: O10 - Akses Internet yang dibajak oleh New.NetO10 - Akses Internet yang rusak karena penyedia LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' hilangO10 - File tidak dikenal di Winsock LSP: c: program files newton tahu vmain.dll

Melakukan apa:Sebaiknya perbaiki ini menggunakan LSPFix dari Cexx.org, atau Spybot S & D dari Kolla.de.

Perhatikan bahwa file 'tidak dikenal' dalam tumpukan LSP tidak akan diperbaiki oleh HijackThis, untuk masalah keamanan.

O11 - Grup ekstra di jendela 'Opsi Lanjut' IE

Seperti apa rupanya: O11 - Grup opsi: CommonName CommonName

Melakukan apa:Satu-satunya pembajak seperti yang sekarang menambahkan kelompok opsi sendiri ke jendela Opsi Lanjut IE adalah CommonName. Jadi Anda selalu dapat memiliki HijackThis untuk memperbaiki ini.

O12 - Plugin IE

Seperti apa rupanya: O12 - Plugin untuk .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin untuk .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Melakukan apa:Sebagian besar waktu ini aman. Hanya OnFlow menambahkan plugin di sini yang tidak Anda inginkan (.ofb).

O13 - Pembajakan DefaultPrefix IE

Seperti apa rupanya: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Awalan WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Awalan: http://ehttp.cc/?

Melakukan apa:Ini selalu buruk. Memiliki HijackThis perbaiki mereka.

O14 - 'Reset Pengaturan Web' dibajak

Seperti apa rupanya: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Melakukan apa:Jika URL bukan penyedia komputer Anda atau ISP Anda, miliki HijackThis untuk memperbaikinya.

O15 - Situs yang tidak diinginkan di Zona Tepercaya

Seperti apa rupanya: O15 - Trusted Zone: http://free.aol.comO15 - Trusted Zone: * .coolwebsearch.comO15 - Trusted Zone: * .msn.com

Melakukan apa:Sebagian besar waktu hanya AOL dan Coolwebsearch diam-diam menambahkan situs ke Zona Tepercaya. Jika Anda tidak menambahkan domain yang terdaftar ke Zona Tepercaya sendiri, miliki HijackThis untuk memperbaikinya.

O16 - Objek ActiveX (alias File Program yang Diunduh)

Seperti apa rupanya: O16 - DPF: Yahoo! Obrolan - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Melakukan apa:Jika Anda tidak mengenali nama objek, atau URL yang diunduh dari, miliki HijackThis perbaiki. Jika nama atau URL berisi kata-kata seperti 'dialer', 'kasino', 'free_plugin', dll, pasti perbaiki. Javacool's SpywareBlaster memiliki database besar objek ActiveX berbahaya yang dapat digunakan untuk mencari CLSID. (Klik kanan daftar untuk menggunakan fungsi Temukan.)

O17 - Pembajakan domain Lop.com

Seperti apa rupanya: O17 - HKLM System CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Melakukan apa:Jika domain bukan dari ISP atau jaringan perusahaan Anda, miliki HijackThis perbaiki. Hal yang sama berlaku untuk entri 'Daftar Pencarian'. Untuk entri 'NameServer' (server DNS), Google untuk IP atau IP dan akan mudah untuk melihat apakah itu baik atau buruk.

O18 - Protokol ekstra dan pembajak protokol

Seperti apa rupanya: O18 - Protokol: tautan terkait - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protokol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Pembajakan protokol: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Melakukan apa:Hanya beberapa pembajak yang muncul di sini. Penjahat yang dikenal adalah 'cn' (CommonName), 'ayb' (Lop.com) dan 'relatedlinks' (Huntbar), Anda harus memiliki HijackThis untuk memperbaikinya. Hal-hal lain yang muncul belum dikonfirmasi aman, atau dibajak (yaitu CLSID telah diubah) oleh spyware. Dalam kasus terakhir, miliki HijackThis perbaiki.

O19 - Pengguna membajak style sheet

Seperti apa rupanya: O19 - Lembar gaya pengguna: c: WINDOWS Java my.css

Melakukan apa:Dalam kasus pelambatan browser dan sering muncul, miliki HijackThis perbaiki item ini jika muncul di log. Namun, karena hanya Coolwebsearch yang melakukan ini, lebih baik menggunakan CWShredder untuk memperbaikinya.

O20 - AppInit_DLLs Autorun nilai Registry

Seperti apa rupanya: O20 - AppInit_DLLs: msconfd.dll

Melakukan apa:Nilai Registry ini terletak di HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows memuat DLL ke dalam memori ketika pengguna login, setelah itu tetap di memori sampai logoff. Sangat sedikit program yang sah menggunakannya (Norton CleanSweep menggunakan APITRAP.DLL), paling sering digunakan oleh trojan atau pembajak browser yang agresif.

Dalam kasus loading DLL 'tersembunyi' dari nilai Registry ini (hanya terlihat ketika menggunakan opsi 'Edit Binary Data' di Regedit) nama dll mungkin diawali dengan sebuah pipa '|' agar terlihat di log.

O21 - ShellServiceObjectDelayLoad

Seperti apa rupanya: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Melakukan apa:Ini adalah metode autorun tidak terdokumentasi, biasanya digunakan oleh beberapa komponen sistem Windows. Item yang terdaftar di HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad dimuat oleh Explorer ketika Windows dimulai. HijackThis menggunakan daftar putih dari beberapa item SSODL yang sangat umum, jadi setiap kali item ditampilkan di log itu tidak diketahui dan mungkin berbahaya. Perlakukan dengan sangat hati-hati.

O22 - SharedTaskScheduler

Seperti apa rupanya: O22 - SharedTaskScheduler: (tidak ada nama) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Melakukan apa:Ini adalah autorun tidak berdokumen untuk Windows NT / 2000 / XP saja, yang sangat jarang digunakan. Sejauh ini hanya CWS.Smartfinder yang menggunakannya. Perlakukan dengan hati-hati.

O23 - Layanan NT

Seperti apa rupanya: O23 - Layanan: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Melakukan apa:Ini adalah daftar layanan non-Microsoft.Daftar ini harus sama dengan yang Anda lihat di utilitas Msconfig Windows XP. Beberapa pembajak trojan menggunakan layanan buatan sendiri dalam adittion ke startup lain untuk menginstal ulang sendiri. Nama lengkap biasanya terdengar penting, seperti 'Network Security Service', 'Workstation Logon Service' atau 'Remote Procedure Call Helper', tetapi nama internal (antara tanda kurung) adalah string sampah, seperti 'Ort'. Bagian kedua dari baris adalah pemilik file di bagian akhir, seperti yang terlihat pada properti file.

Perhatikan bahwa memperbaiki item O23 hanya akan menghentikan layanan dan menonaktifkannya. Layanan perlu dihapus dari Registry secara manual atau dengan alat lain. Dalam HijackThis 1.99.1 atau lebih tinggi, tombol 'Hapus Layanan NT' di bagian Misc Tools dapat digunakan untuk ini.

Aplikasi Wi-Fi Gratis untuk Menganalisis dan Memindai Jaringan

Aplikasi Wi-Fi Gratis untuk Menganalisis dan Memindai Jaringan

Gunakan aplikasi Wi-Fi gratis ini untuk memindai area untuk jaringan Wi-Fi terbuka atau menganalisis jaringan Wi-Fi Anda sendiri untuk melihat perangkat dan pengaturan keamanan Anda.

3 Situasi Anda mungkin terlalu menganalisis (dan bagaimana cara berhenti)

3 Situasi Anda mungkin terlalu menganalisis (dan bagaimana cara berhenti)

Ingin menghentikan diri Anda dari hal-hal yang terlalu dipikirkan? Dibutuhkan sedikit kemauan dan banyak latihan.

Bagaimana cara berhenti menganalisis wawancara pekerjaan Anda - muse

Bagaimana cara berhenti menganalisis wawancara pekerjaan Anda - muse

Semakin banyak Anda memikirkannya, semakin buruk hasilnya.

Pilihan Editor