HijackThis 로그를 분석하는 방법

스파이웨어 및 브라우저 하이재커 제거에 도움이되는 로그 데이터 해석

HijackThis는 Trend Micro의 무료 도구입니다. 그것은 원래 Merijn Bellekom, 네덜란드에있는 학생에 의해 개발되었습니다. Adaware 또는 Spybot S & D와 같은 스파이웨어 제거 소프트웨어 는 대부분의 스파이웨어 프로그램을 탐지하고 제거하는 훌륭한 일을하지만, 일부 스파이웨어 및 브라우저 하이재커는 이러한 위대한 스파이웨어 방지 유틸리티에 대해서 너무 교활합니다.

HijackThis는 브라우저 하이재킹이나 웹 브라우저를 인계하는 소프트웨어를 탐지하고 제거하여 사용자의 기본 홈 페이지와 검색 엔진 및 기타 악의적 인 사항을 변경하도록 특별히 작성되었습니다. 일반적인 안티 스파이웨어 소프트웨어와 달리 HijackThis는 서명을 사용하거나 특정 프로그램이나 URL을 탐지 및 차단하지 않습니다. 대신 HijackThis는 악성 코드 가 시스템을 감염시키고 브라우저를 리디렉션하는 데 사용하는 트릭과 방법을 찾습니다.

HijackThis 로그에 나타나는 모든 항목이 나쁜 것은 아니며 모두 제거해서는 안됩니다. 사실, 그 반대입니다. HijackThis 로그의 항목 중 일부는 합법적 인 소프트웨어 일 것이며 해당 항목을 제거하면 시스템에 악영향을 미치거나 완전히 작동 불능 상태가 될 수 있습니다. HijackThis를 사용하는 것은 Windows 레지스트리를 직접 편집하는 것과 같습니다. 그것은 로켓 과학이 아니지만, 자신이하는 일을 정말로 알지 못한다면 전문가의 조언 없이는하지 말아야합니다.

HijackThis를 설치하고 실행하여 로그 파일을 생성하면 로그 데이터를 게시하거나 업로드 할 수있는 다양한 포럼과 사이트가 있습니다. 검색 대상을 알고있는 전문가는 로그 데이터를 분석하고 제거 할 항목과 혼자 남겨 둘 항목을 조언하는 데 도움을 줄 수 있습니다.

HijackThis의 최신 버전을 다운로드하려면 Trend Micro의 공식 사이트를 방문하십시오.

다음은 찾고있는 정보로 건너 뛰기 위해 사용할 수있는 HijackThis 로그 항목의 개요입니다.

R0, R1, R2, R3 - IE 시작 및 검색 페이지

모양은 다음과 같습니다.
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, 시작 페이지 = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (이 유형은 아직 HijackThis에서 사용하지 않음)
R3 - 기본 URLSearchHook가 없습니다.

해야 할 일 :
끝에있는 URL을 홈페이지 또는 검색 엔진으로 인식하면 정상입니다. 그렇지 않다면, 그것을 확인하고 HijackThis가 그것을 고치도록하십시오. R3 항목의 경우 Copernic과 같이 인식하는 프로그램을 언급하지 않는 한 항상 수정해야합니다.

F0, F1, F2, F3 - INI 파일에서 프로그램 자동로드

모양은 다음과 같습니다.
F0 - system.ini : Shell = Explorer.exe Openme.exe
F1 - win.ini : 실행 = hpfsched

해야 할 일 :
F0 항목은 항상 잘못되었으므로 수정하십시오. F1 항목은 대개 매우 오래된 프로그램이므로 안전한지 확인하기 위해 파일 이름에 대한 정보를 찾아야합니다. Pacman의 Startup List는 항목 식별에 도움이됩니다.

N1, N2, N3, N4 - 넷스케이프 / 모질라 시작 & amp; 검색 페이지

모양은 다음과 같습니다.
N1 - Netscape 4 : user_pref "browser.startup.homepage", "www.google.com"); (C : \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6 : user_pref ( "browser.startup.homepage", "http://www.google.com"); (C : \ Documents and Settings \ 사용자 \ 응용 프로그램 데이터 \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6 : user_pref ( "browser.search.defaultengine", "engine : //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C : \ Documents and Settings \ 사용자 \ 응용 프로그램 데이터 \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

해야 할 일 :
보통 Netscape 및 Mozilla 홈페이지 및 검색 페이지는 안전합니다. 그들은 거의 납치 당하지 않으며, Lop.com만이이를 수행 한 것으로 알려져 있습니다. 홈페이지 또는 검색 페이지로 인식하지 못하는 URL이 있으면 HijackThis가 문제를 해결하도록하십시오.

O1 - Hostsfile 리디렉션

모양은 다음과 같습니다.
O1 - 주최자 : 216.177.73.139 auto.search.msn.com
O1 - 주최자 : 216.177.73.139 search.netscape.com
O1 - 주최자 : 216.177.73.139 ieautosearch
O1 - 호스트 파일은 C : \ Windows \ Help \ hosts에 있습니다.

해야 할 일 :
이 도용은 주소를 오른쪽의 IP 주소 왼쪽으로 리디렉션합니다. IP가 주소에 속하지 않으면 주소를 입력 할 때마다 잘못된 사이트로 리디렉션됩니다. Hosts 파일에 고의로 그 행을 넣지 않는 한 HijackThis가이를 고칠 수 있습니다.

마지막 항목은 Coolwebsearch 감염이있는 Windows 2000 / XP에서 가끔 발생합니다. 항상이 항목을 수정하거나 CWShredder가 자동으로 복구하도록하십시오.

O2 - 브라우저 도우미 개체

모양은 다음과 같습니다.
O2 - BHO : 야후! 컴패니언 BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C : \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO : (이름 없음) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C : \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (파일 누락)
O2 - BHO : MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C : \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

해야 할 일 :
브라우저 도우미 개체의 이름을 직접 인식하지 못하면 TonyK의 BHO 및 도구 모음 목록을 사용하여 클래스 ID (CLSID, 중괄호 사이의 숫자)로 찾은 다음 좋음 또는 나쁨인지 확인하십시오. BHO 목록에서 'X'는 스파이웨어를 의미하고 'L'은 안전을 의미합니다.

O3 - IE 툴바

모양은 다음과 같습니다.
O3 - 툴바 : & Yahoo! 컴패니언 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C : \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - 도구 모음 : 팝업 제거기 - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C : \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (파일 누락)
O3 - 툴바 : rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C : \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

해야 할 일 :
도구 모음의 이름을 직접 인식하지 못하면 TonyK의 BHO 및 툴바 목록을 사용하여 클래스 ID (CLSID, 중괄호 사이의 숫자)로 찾은 다음 좋음 또는 나쁨인지 확인하십시오. 툴바 목록에서 'X'는 스파이웨어를 의미하고 'L'은 안전함을 의미합니다. 그것이 목록에 없으며 이름이 임의의 문자열로 보이고 파일이 'Application Data'폴더에 있으면 (위 예제의 마지막 파일처럼) 아마도 Lop.com 일 것이므로 HijackThis 수정 사항이 있어야합니다. 그것.

O4 - 레지스트리 또는 시작 프로그램 그룹에서 프로그램 자동로드

모양은 다음과 같습니다.
O4 - HKLM \ .. \ Run : [ScanRegistry] C : \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run : [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run : [ccApp] "C : \ Program Files \ 공용 파일 \ 시만텍 공유 \ ccApp.exe"
O4 - 시작 : Microsoft Office.lnk = C : \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - 글로벌 스타트 업 : winlogon.exe

해야 할 일 :
PacMan의 시작 목록을 사용하여 항목을 찾아서 그것이 좋은지 나쁜지 확인하십시오.

항목에 시작 프로그램 그룹 (위의 마지막 항목과 같은)에 앉아있는 프로그램이 표시되면이 프로그램이 아직 메모리에 남아 있으면 HijackThis가 항목을 수정할 수 없습니다. 수정하기 전에 Windows 작업 관리자 (TASKMGR.EXE)를 사용하여 프로세스를 닫습니다.

O5 - IE 옵션이 제어판에 표시되지 않음

모양은 다음과 같습니다.
O5 - control.ini : inetcpl.cpl = 아니오

해야 할 일 :
관리자 나 시스템 관리자가 의도적으로 제어판에서 아이콘을 숨긴 경우가 아니라면 HijackThis가이를 수정하도록하십시오.

O6 - IE 옵션 액세스는 관리자에 의해 제한됩니다.

모양은 다음과 같습니다.
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ 제한 사항 현재

해야 할 일 :
Spybot S & D 옵션 '변경으로 인해 홈페이지 잠금'이 활성화되어 있지 않거나 시스템 관리자가 Spybot S & D 옵션을 설정하지 않은 경우 HijackThis가이를 수정하도록하십시오.

O7 - 관리자가 제한하는 Regedit 액세스

모양은 다음과 같습니다.
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

해야 할 일 :
시스템 관리자가이 제한을 적용하지 않는 한 항상 HijackThis가이를 수정하십시오.

O8 - IE 오른쪽 클릭 메뉴의 추가 항목

모양은 다음과 같습니다.
O8 - 추가 컨텍스트 메뉴 항목 : & Google 검색 - res : // C : \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - 추가 컨텍스트 메뉴 항목 : Yahoo! 검색 - 파일 : /// C : \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - 추가 컨텍스트 메뉴 항목 : 확대 / 축소 - C : \ WINDOWS \ WEB \ zoomin.htm
O8 - 추가 컨텍스트 메뉴 항목 : Zoom O & ut - C : \ WINDOWS \ WEB \ zoomout.htm

해야 할 일 :
Internet Explorer의 오른쪽 클릭 메뉴에서 항목의 이름을 인식하지 못하면 HijackThis가 문제를 해결하도록하십시오.

O9 - 기본 IE 도구 모음의 추가 버튼 또는 IE & # 39; 도구 & # 39; 메뉴

모양은 다음과 같습니다.
O9 - 추가 버튼 : 메신저 (HKLM)
O9 - 추가 '도구'메뉴 항목 : 메신저 (HKLM)
O9 - 추가 버튼 : AIM (HKLM)

해야 할 일 :
버튼이나 메뉴 항목의 이름을 모르는 경우 HijackThis가 수정하도록하십시오.

O10 - Winsock 하이재커

모양은 다음과 같습니다.
O10 - New.Net에 의한 공중 납치 인터넷 접속
O10 - LSP 공급자 'c : \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll'때문에 인터넷 연결이 끊어졌습니다.
O10 - Winsock LSP의 알 수없는 파일 : c : \ program files \ newton은 \ vmain.dll을 알고 있습니다.

해야 할 일 :
Cexx.org의 LSPFix 또는 Kolla.de의 Spybot S & D를 사용하여 이러한 문제를 해결하는 것이 가장 좋습니다.

HijackThis는 LSP 스택의 'unknown'파일을 안전 문제로 수정하지 않는다는 점에 유의하십시오.

O11 - IE 고급 옵션 & # 39; 창문

모양은 다음과 같습니다.
O11 - 옵션 그룹 : [CommonName] CommonName

해야 할 일 :
Internet Explorer 고급 옵션 창에 자체 옵션 그룹을 추가하는 유일한 하이재커는 CommonName입니다. 그래서 당신은 언제나 HijackThis가 이것을 고칠 수 있습니다.

O12 - IE 플러그인

모양은 다음과 같습니다.
O12 - .spop 용 플러그인 : C : \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - .PDF 용 플러그인 : C : \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

해야 할 일 :
대부분이 안전합니다. OnFlow만이 여기 (.ofb)를 원하지 않는 플러그인을 추가합니다.

O13 - IE DefaultPrefix 공중 납치

모양은 다음과 같습니다.
O13 - DefaultPrefix : http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW 접두사 : http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. 접두사 : http://ehttp.cc/?

해야 할 일 :
이들은 항상 나쁜 것입니다. HijackThis가 그들을 고쳐주게.

O14 - & # 39; 웹 설정 재설정 & # 39; 공중 납치

모양은 다음과 같습니다.
O14 - IERESET.INF : START_PAGE_URL = http : //www.searchalot.com

해야 할 일 :
URL이 컴퓨터 또는 ISP 제공 업체가 아닌 경우 HijackThis가 해결하도록하십시오.

O15 - 신뢰할 수있는 영역에 원치 않는 사이트

모양은 다음과 같습니다.
O15 - 신뢰할 수있는 영역 : http://free.aol.com
O15 - 신뢰할 수있는 영역 : * .coolwebsearch.com
O15 - 신뢰할 수있는 영역 : * .msn.com

해야 할 일 :
대부분의 경우 AOL과 Coolwebsearch만이 신뢰할 수있는 영역에 사이트를 자동으로 추가합니다. 나열된 도메인을 직접 신뢰할 수있는 영역에 추가하지 않은 경우 HijackThis가 도메인을 수정하도록하십시오.

O16 - ActiveX 개체 (일명 다운로드 된 프로그램 파일)

모양은 다음과 같습니다.
O16 - DPF : 야후! 채팅 - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF : {D27CDB6E-AE6D-11CF-96B8-444553540000} (충격파 플래시 객체) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

해야 할 일 :
개체의 이름이나 다운로드 한 URL을 인식하지 못하면 HijackThis가 문제를 해결하도록하십시오. 이름이나 URL에 'dialer', 'casino', 'free_plugin'등의 단어가 포함되어 있으면 확실히 수정하십시오. Javacool의 SpywareBlaster에는 CLSID를 찾는 데 사용할 수있는 악의적 인 ActiveX 개체 데이터베이스가 있습니다. 목록을 마우스 오른쪽 단추로 클릭하여 찾기 기능을 사용합니다.

O17 - Lop.com 도메인 도용

모양은 다음과 같습니다.
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP : 도메인 = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters : Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony : DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7} : 도메인 = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters : SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP : NameServer = 69.57.146.14,69.57.147.175

해야 할 일 :
도메인이 ISP 또는 회사 네트워크의 도메인이 아닌 경우 HijackThis가이를 수정하도록하십시오. 'SearchList'항목도 마찬가지입니다. 'NameServer'( DNS 서버 ) 항목의 경우 IP 또는 IP 용 Google이 좋든 나쁘 든 쉽게 볼 수 있습니다.

O18 - 추가 프로토콜 및 프로토콜 하이재커

모양은 다음과 같습니다.
O18 - 프로토콜 : 관련 링크 - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C : \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - 프로토콜 : mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - 프로토콜 도용 : http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

해야 할 일 :
몇 명의 납치범이 여기에 나타납니다. 알려진 악성 코드는 'cn'(CommonName), 'ayb'(Lop.com) 및 'relatedlinks'(Huntbar)입니다. HijackThis가이를 수정해야합니다. 표시되는 다른 것들은 아직 확인되지 않았거나 스파이웨어에 의해 납치되었습니다 (즉, CLSID가 변경되었습니다). 마지막 사건에서, HijackThis가 그것을 고치도록하십시오.

O19 - 사용자 스타일 시트 도용

모양은 다음과 같습니다.
O19 - 사용자 스타일 시트 : c : \ WINDOWS \ Java \ my.css

해야 할 일 :
브라우저 속도가 느려지고 팝업이 자주 나타나는 경우 HijackThis가 로그에 나타나면이 항목을 수정하도록하십시오. 그러나 Coolwebsearch 만이 작업을 수행하므로 CWShredder를 사용하여 해결하는 것이 좋습니다.

O20 - AppInit_DLLs 레지스트리 값 자동 실행

모양은 다음과 같습니다.
O20 - AppInit_DLLs : msconfd.dll

해야 할 일 :
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows에있는이 레지스트리 값은 사용자가 로그인 할 때 메모리에 DLL을로드 한 후 로그 오프 할 때까지 메모리에 남아 있습니다. 합법적 인 프로그램은 거의 없으며 (Norton CleanSweep은 APITRAP.DLL을 사용합니다.) 대개의 경우 트로 얀이나 공격적인 브라우저 하이재커가 사용합니다.

이 레지스트리 값 (Regedit에서 'Edit Binary Data'옵션 사용시에만 표시됨)에서 '숨겨진'DLL로드의 경우 dll 이름 앞에 '|' 로그에 표시되도록합니다.

O21 - ShellServiceObjectDelayLoad

모양은 다음과 같습니다.
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C : \ WINDOWS \ System \ auhook.dll

해야 할 일 :
이것은 문서화되지 않은 자동 실행 방법으로, 일반적으로 몇 가지 Windows 시스템 구성 요소에서 사용됩니다. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad에 나열된 항목은 Windows가 시작될 때 Explorer에 의해로드됩니다. HijackThis는 여러 가지 매우 일반적인 SSODL 항목의 허용 목록을 사용하므로 로그에 항목이 표시 될 때마다 알 수 없으며 악의적 인 내용 일 수 있습니다. 극도로 조심해서 다루십시오.

O22 - SharedTaskScheduler

모양은 다음과 같습니다.
O22 - SharedTaskScheduler : (이름 없음) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c : \ windows \ system32 \ mtwirl32.dll

해야 할 일 :
이것은 매우 드물게 사용되는 Windows NT / 2000 / XP 전용 문서화되지 않은 자동 실행 프로그램입니다. 지금까지 CWS.Smartfinder만이 이것을 사용합니다. 조심스럽게 다루십시오.

O23 - NT 서비스

모양은 다음과 같습니다.
O23 - 서비스 : Kerio 개인 방화벽 (PersFw) - Kerio Technologies - C : \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

해야 할 일 :
이것은 타사 서비스 목록입니다. 목록은 Windows XP의 Msconfig 유틸리티에서 볼 수있는 것과 동일해야합니다. 몇몇 트로이 납치범은 다른 신생 기업에 대한 직접적인 서비스를 사용하여 스스로 재설치합니다. 전체 이름은 일반적으로 '네트워크 보안 서비스', '워크 스테이션 로그온 서비스'또는 '원격 프로 시저 호출 도우미'처럼 중요하게 들릴 수 있지만 내부 이름 (대괄호 사이)은 'Ort'와 같은 가비지 문자열입니다. 파일의 속성에서 볼 수 있듯이 두 번째 부분은 끝에있는 파일의 소유자입니다.

O23 항목을 수정하면 서비스가 중지되고 비활성화됩니다. 서비스를 수동으로 또는 다른 도구를 사용하여 레지스트리에서 삭제해야합니다. Hijack이 1.99.1 이상에서는 기타 도구 섹션의 'NT 서비스 삭제'버튼을 사용할 수 있습니다.