Trend Micro HijackThis'in en son sürümünü indirip yükledikten sonra dosyayı açın. Bilgisayarınız programı açamıyorsa, dosyayı başka bir şeyle yeniden adlandırmayı deneyin (örneğin, sniper.exe) ve yeniden çalıştırmayı deneyin. Bir kez açıldığında, aşağıdaki resme benzer bir ekran görmelisiniz.
Son düğmesine "Yukarıdakilerin hiçbiri, sadece programı başlat" tıklayın ve "Yapılandır" düğmesini seçin. Aşağıdaki onay kutularının işaretlendiğinden emin olun.
- Öğeleri düzeltmeden önce yedekleri alın
- Maddelerin sabitlendiğini ve dikkate alınmadığını onaylayın
- IE’de standart olmayan ancak güvenli alanları yoksay
- Çalışan dosyalarının listesini günlük dosyalarına dahil et
Kontrol edildikten veya doğrulandıktan sonra, Ana Menü düğmesine tıklayın.
Sonra, ilk düğmeyi seçin Bir sistem taraması yapın ve sistem taramasını başlatmak için bir günlük dosyasını kaydedin . Tamamlandığında, aşağıda gösterilen örneğe benzer bir ekran ve yeni HijackThis günlüğünü gösteren yeni bir Not Defteri penceresi göreceksiniz.
Çevrimiçi olarak analiz edilmesi için bu günlüğü oluşturuyorsanız, tüm metni seçmek için Ctrl + A tuşlarına basarak tüm günlüğü panoya kopyalayın. Vurgulandıktan sonra, Düzenle ve Kopyala'yı tıklayın. Bir kez yapıldıktan sonra, bu bir forum sayfasına veya Computer Hope Windows işlem aracı gibi bir HijackThis aracına yapıştırılabilir.
HijackThis günlük dosyası, bilgisayarınıza "C: \ program files \ Trend Micro \ HijackThis \" varsayılan dizinine de kaydedilir ve analiz edilmek üzere bir e-postadaki forum forumuna eklenebilir veya başka bir kullanıcıya gönderilebilir.
Sonuçları anlama
İlk bakışta, sonuçlar çok zor görünebilir, ancak kayıt defteri, bilgisayarınıza kötü amaçlı yazılımların saldırabileceği tüm bilgileri ve potansiyel konumları içerir. Aşağıda, ne oldukları hakkında genel bir anlayış için bu bölümlerin her birinin kısa bir açıklaması bulunmaktadır.
Dikkat: HijackThis, gelişmiş bir yardımcı programdır ve Kayıt Defteri'nde ve ek bilgisayar sorunlarına neden olabilecek diğer sistem dosyalarında değişiklik yapabilir. Yukarıdaki talimatları uyguladığınızdan, değişikliklerin yedeğini aldığınızdan ve kontrol edilen herhangi bir öğeyi düzeltmeden önce neyin düzeltildiğini bildiğinizden emin olun.
R0 - R3 bölümleri
Microsoft Internet Explorer tarayıcınızla ilgili olarak oluşturulmuş ve değiştirilmiş Windows Kayıt Defteri değerleri. Genellikle kötü amaçlı yazılım, varsayılan ana sayfanızı, arama sayfanızı vb. Değiştirmek için bu Kayıt Defteri değerlerine saldırır. Aşağıda bir R0 değeri örneği verilmiştir.
R0 - HKCU \ Yazılım \ Microsoft \ Internet Explorer \ Main, Başlangıç Sayfası = //www.computerhope.com/
F0 - F3 bölümleri
System.ini veya win.ini dosyalarından yüklenen görüntülenen öğelere genel bakış.
N1 - N4 bölümleri
R0-R3 bölümlerine benzer şekilde, bu bölümler Netscape ve Mozilla Firefox tarayıcılarıyla ilgili prefs.js dosyasının bir parçasıdır. N1-N4 bölümleri varsayılan ana sayfayı, arama sayfasını vb. Değiştirmek için saldırıya uğradı
O1 bölümü
Bu bölüm, Windows hosts dosyasına yapılan tüm ana bilgisayar dosya yönlendirmelerini içerir. Yönlendirmeler, bir alan adını farklı bir IP adresine yönlendiren başka bir saldırı türüdür. Örneğin, bir saldırı bunu, bankacılık giriş bilgilerinizi giriş bilgilerini çalmak için başka bir siteye yönlendirmek için kullanabilir. Aşağıda bir O1 hattı örneği verilmiştir.
O1 - Ana bilgisayarlar: :: 1 localhost
O2 bölümü
Bu bölüm, bilgisayarda yüklü CLSID'li ({} içine alınmış) herhangi bir İnternet BHO'sunu (Tarayıcı Yardımcısı Nesnesi) içerir. Aşağıda bir O2 hattı örneği verilmiştir.
O2 - BHO: Adobe PDF Reader Bağlantı Yardımcısı - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: \ Program Dosyaları \ Ortak Dosyalar \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O3 bölümü
Bu bölümde, bilgisayarda yüklü olan herhangi bir Microsoft Internet Explorer araç çubuğu yanacaktır. Çok sayıda meşru tarayıcı araç çubuğu olmasına rağmen, istemediğiniz diğer programlar tarafından yüklenen çok sayıda kötü amaçlı araç çubuğu ve araç çubuğu da vardır. Aşağıda bir O3 hattı örneği verilmiştir.
O3 - Araç Çubuğu: StumbleUpon Araç Çubuğu - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: \ Program Dosyaları \ StumbleUpon \ StumbleUponIEBar.dll O4 bölümü
En çok bakılan bölümlerden biri olan O4 bölümü, bilgisayar her başlatıldığında otomatik olarak Windows Kayıt Defteri'ne yüklenen programları içerir. Aşağıda bu çizgiye bir örnek verilmiştir.
O4 - HKLM \ .. \ Çalıştır: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O5 bölümü
Bu bölüm gösterilmeden devre dışı bırakılmış Windows Denetim Masası simgelerini görüntüler. Bazı kötü amaçlı yazılımlar, programın neden olduğu sorunları gidermenizi engellemek için Windows Denetim Masası'nı devre dışı bırakabilir.
O6 bölümü
Herhangi bir Microsoft Internet Explorer seçeneği politikalar tarafından devre dışı bırakılmışsa, düzeltilmeleri gerekir.
O7 bölümü
Bu bölüm, Kayıt Defteri Düzenleyicisine (regedit) erişimin devre dışı bırakılmış olup olmadığını gösterir. Varsa düzeltilmesi gerekir.
O8 bölümü
Microsoft Internet Explorer’a sağ tıklanan menüde ek özellikler bu bölümde gösterilmektedir. Aşağıda bu çizgiye bir örnek verilmiştir.
O8 - Ekstra bağlam menüsü öğesi: & Windows Live Search - res: // C: \ Program Dosyaları \ Windows Live Toolbar \ msntb.dll / search.htm.
O9 bölümü
Microsoft Internet Explorer’a eklenmiş olan tüm düğmeler veya menü öğeleri burada gösterilecektir. Aşağıda bu çizgiye bir örnek verilmiştir.
O9 - Ekstra düğme: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: \ Program Dosyaları \ StumbleUpon \ StumbleUponIEBar.dll. O10 bölümü
Bu bölüm, Windows Winsock hava korsanlarının görüntülenmesini sağlar. Bu çizgiler HijackThis'ten sabitlenebilse de, Winsock'un çalışması nedeniyle LSP-Fix'i bu bölümü düzeltmek için tasarlanmış alternatif bir araç kullanmanızı öneririz. Aşağıda bu çizgiye bir örnek verilmiştir.
O10 - Winsock LSP'deki bilinmeyen dosya: c: \ windows \ system32 \ nwprovau.dll
O11 bölümü
Microsoft Internet Explorer Gelişmiş Seçenekler bölümüne eklenen tüm ek grupları görüntüler.
O12 bölümü
Bu bölümde, bilgisayara yüklenmiş olan herhangi bir Microsoft Internet Explorer eklentisi gösterilmektedir.
O13 bölümü
Microsoft Internet Explorer’ın varsayılan // ön ekinde yapılan değişiklikleri görüntüler. Bir kullanıcı bir URL adresi girdiğinde, ancak önüne "//" eklemediğinde kullanılır.
O14 bölümü
Bu bölüm, yapılan iereset.inf dosyasındaki değişiklikleri gösterir. Bu dosya Microsoft Internet Explorer ayarlarını varsayılan ayarlara geri yüklerken kullanılır.
O15 bölümü
Microsoft Internet Explorer Trusted Zone değişikliklerini görüntüler. Bu bölümü eklemediğiniz veya tanımadığınız sürece, HijackThis aracılığıyla düzeltmenizi öneririz. Aşağıda bir O15 çizgisi örneği verilmiştir.
O15 - Güvenilir Bölge: //www.partypoker.com
O16 bölümü
Tüm Microsoft Internet Explorer ActiveX nesnelerini görüntüler. Aşağıda bu çizgiye bir örnek verilmiştir.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Fotoğraf Yükleyici 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. O17 bölümü
Bu bölüm, potansiyel DNS ve Etki alanı ele geçirmelerini görüntüler. Aşağıda bu çizgiye bir örnek verilmiştir.
O17 - HKLM \ Sistem \ CCS \ Hizmetler \ Tcpip \ .. \ {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Ad sunucusu = 203.23.236.66 203.23.236.69. O18 bölümü
Herhangi bir protokol korsanları burada gösterilecektir. Bu bölüm görülürse, HijackThis tarafından düzeltilmesi önerilir.
O18 - Protokol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: \ PROGRA ~ 1 \ mcafee \ SITEAD ~ 1 \ mcieplg.dll. O19 bölümü
Bu bölüm, yapılan tüm CSS stil sayfası değişikliklerini gösterir. Özel bir stil sayfası kullanmıyorsanız, bu bölümü düzeltmek için HijackThis kullanmanız önerilir.
O20 bölümü
Bu bölümde, APPInit_DLL veya Winlogon üzerinden yüklenen her şey bu bölümde gösterilmektedir. Aşağıda bu satırların her birine bir örnek verilmiştir.
O20 - AppInit_DLLs: avgrsstx.dll dosyası için
O20 - Winlogon Bildiriniz:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL.
O21 bölümü
Bu bölümde SSODL (ShellServiceObjectDelayLoad) Windows kayıt defteri anahtarına yüklenen her şey gösterilecektir.
O22 bölümü
Bu bölüm, herhangi bir SharedTaskScheduler autorun Windows kayıt defteri anahtarını gösterir. Aşağıda bu çizgiye bir örnek verilmiştir.
O22 - PaylaşılanTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: \ Windows \ System32 \ DreamScene.dll. O23 bölümü
Bu bölümde, herhangi bir Windows XP, NT, 2000, 2003 ve Vista başlangıç hizmetleri bu bölümde gösterilmektedir. Aşağıda bu çizgiye bir örnek verilmiştir.
O23 - Servis: AVG8 E-posta Tarayıcısı (avg8emc) - AVG Technologies CZ, sro - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe.
O24 bölümü
Son olarak, O24 bölümü, bilgisayarda yüklü olan herhangi bir Microsoft Windows Active Desktop bileşenidir. Active Desktop kullanmıyorsanız veya adı tanımıyorsanız, bunları da düzeltmenizi öneririz. Aşağıda bu çizgiye bir örnek verilmiştir.
O24 - Masaüstü Bileşeni 1: (isimsiz) - //mbox.personals.yahoo.com/mbox/mboxlist.