شرح برنامج HijackThis

عبدالله ابو بصير · #1 15 - 07 - 2008, 21:35

شرح مصور
معنى الرموز
التطبيقات العاملة في الخلفية
برامج بدء للتشغيل
العناصر المساعدة
الأزرار المضافة والمواقع الموثوقة
عناصر activeX
طريقة التخلص من التطبيقات والقيم

*******************************

برنامج ( أو أداة ) HijackThis هو من برامج الفحص والإصلاح للمشاكل التي تعتري الجهاز نتيجة البرامج التجسسية أو التروجونات أو الفايروسات
أو أي تطبيقات أو قيم ضارة من أي نوع كانت ، و يعرض الإضافات على المتصفح وبرامج بدء التشغيل والعمليات الجارية في الخلفية ، ويتضمن خاصية الإصلاح وحفظ نسخة احتياطية أيضا backup
والبرنامج مجاني بالكامل
حجمه 213 ك ب تقريبا
ورغم سهولة استخدام هذا البرنامج بعد معرفة كيفية عمله ، إلا انه يتطلب حرص شديد وانتباه في العمل من خلاله حتى لا يتسبب استخدامه في مشاكل للجهاز
رغم توفر خاصية الاحتفاظ بنسخة احتياطية من أي عمل يتم القيام به 0
وباختصار
البرنامج يقوم بفحص الجهاز وإظهار التطبيقات والقيم لعدد من العناصر الموجودة فعليا سواء الضرورية لتشغيل النظام والبرامج أو غيرها
فهو يعرض الموجود فعليا من تطبيقات وقيم ، وبعد ذلك يأتي دور المستخدم في التأكد من مخرجات البرنامج ، ليقرر ما يتم التخلص منها إذا وجد ما هو ضار أو غير مرغوب فيه
وفيما يلي لشرح سريع لعمل البرنامج

لتحميل البرنامج

عمل فحص للجهاز
ثم حفظ النتيجة
بالضغط على
Do system scan and save a logofile

المستند الذي يتم حفظه
وسيتم العمل من خلال محتوياته لاحق

تحديد المطلوب التخلص منه ثم ضغط Fix checked

استعادة ما تم حذفه

وقف عمل التطبيقات التي تعمل في الخلفية

حذف التطبيقات العاملة
غير المرغوب فيها

كان ذلك بشكل مختصر وسريع طريقة استخدام البرنامج وبعض خواصه

ولكن الأمر الأكثر أهمية

هو كيفية التعرف على طبيعة وحقيقة المخرجات والتي ستكون ضمن الملف الذي تم حفظة كنتيجة لعملية الفحص من خلال البرنامج
وقبل الشروع في ذلك لابد من توضيح معنى الرموز التي تظهر أمام كل بند من البنود المبينة في نتيجة عملية الفحص
: وهي كالتالي

معنى الرموز

قبل البدء في شرح كيفية التعامل مع التقرير لابد من معرفة معنى الرموز التي تظهر في بداية كل سطر ، والتي تأخذ شكل أرقام أو حروف
وهي كالتالي :

********************

R - Registry, StartPage/SearchPage
changes
في الريجستري : تغييرات صفحة البداية وصفحة البحث

RR0 -Changed registry value التغيير في قيم الريجستري

R0 R1 -Created registry valueنشاء قيم في الريجستري

R1 R2Created registry keyإنشاء مفاتيح الريجستري

R2 R3Created extra registry value where only one should beإنشاء قيم إضافية محددة

R3 F - IniFiles, autoloading entries ملف IniFiles / التحميل التلقائي للمدخلات

FF0 Changed inifile value ملف IniFiles / تغيير القيم

F0F1Created inifile value ملف IniFiles / إنشاء قيم

F1N - Netscape/Mozilla StartPage/SearchPage changesمتصفح Netscape/Mozilla/تغييرات صفحة البداية وصفحة البحث

N N1 -Change in prefs.js of Netscape 4.xمتصفح Netscape4.x//تغيير في ملف

N1 N2 - Change in prefs.js of Netscape 6متصفح Netscape6/تغيير في ملف

N2 N3 -Change in prefs.js of Netscape 7متصفح Netscape7/تغيير في ملف

N3 N4 - Change in prefs.js of Mozillaمتصفح Mozilla/تغيير في ملف

N4 O -Other, several sections which representمتفرقات أخرى

O O1 Hijack of auto.search.msn.com with Hosts fileتغيير صفحة msn للبحث التلقائي

O1 O2 - Enumeration of existing MSIE BHO'sقائمة ( BHO ) العناصر المساعدة المضافة للمتصفح

O2 O3 -Enumeration of existing MSIE toolbarsقائمة ( toolbars ) أشرطة الأدوات المضافة للمتصفح

O3 O4 - Enumeration of suspicious autoloading Registry entries Startup برامج بدء التشغيل قائمة

O4 O5 - Blocking of loading Internet Options in Control Panelعدا إظهار خصائص الانترنت ضمن لوحة التحكم

O5 O6 - Disabling of 'Internet Options' Main tab with Policiesتعطيل فتح تبويب خصائص الانترنت

O6 O7 -Disabling of Regedit with Policiesتعطيل فتح الريجستري

O7 O8 -Extra MSIE context menu items(إضافات يمين الفارة في المتصفح ( الاكسبلورر

O8 O9 -Extra 'Tools' menuitems and buttons( الأدوات المضافة على القوائم والأزرار في المتصفح ( الاكسبلورر

O9 O10 -Breaking of Internet access by New.Net or WebHancer تعطيل مدخلات الانترنت بسبب برامج من نوع

O10O11 - Extra options in MSIE 'Advanced' settings tabخصائص مضافة على الخيارات المتقدمة في المتصفح

O11 O12 -MSIE plugins for file extensions or MIME typesمشغلات مضافة على المتصفح

O12 O13 -Hijack of default URL prefixes

O14 -Changing of IERESET.INFالتغييرات في ملف

O14 O15 -Trusted Zone Autoaddلإضافات التلقائية على المواقع الموثوقة

O15 O16 -Download Program Files item المضافة activeX عناصر

O16 O17 - Domain hijackالسيطرة ( اختراق ) الدومين

O17

*******************

بالإضافة إلى ذلك سيتضمن التقرير التطبيقات العاملة ( العمليات الجارية ) في الخلفية Running processes

Running processes: العمليات الجارية

C:\WINDOWS\System32\smss.exe

تطبيق خاص بالنظام
C:\WINDOWS\system32\winlogon.exe

تطبيق خاص بالنظام
C:\WINDOWS\system32\services.exe

تطبيق خاص بالنظام
C:\WINDOWS\system32\lsass.exe

تطبيق خاص بالنظام
C:\WINDOWS\System32\Ati2evxx.exe

تطبيق خاص بالنظام
C:\WINDOWS\system32\svchost.exe

تطبيق خاص بالنظام
C:\WINDOWS\System32\svchost.exe

تطبيق خاص بالنظام
C:\WINDOWS\system32\spoolsv.exe

تطبيق خاص بالنظام
C:\Program Files\Common Files\Symantec \ccSetMgr.exe

برنامج النورتن
C:\WINDOWS\system32\drivers\dcfssvc.exe

تطبيق خاص بالنظام
C:\Program Files\Common Files\Microsoft Shared\\MDM.EXE

برنامج خاص بمايكروسوفت
C:\Program Files\Norton AntiVirus\navapsvc.exe

برنامج النورتن
C:\Program Files\Norton AntiVirus\Tools\NPROTECT.EXE

برنامج النورتن
C:\Program Files\Common Files\Symantec \CCPD\symlcsvc.exe

برنامج النورتن
C:\Program Files\Common Files\Symantec \ccEvtMgr.exe

برنامج النورتن
C:\Program Files\Norton AntiVirus\SAVScan.exe

برنامج النورتن
C:\WINDOWS\Explorer.EXE

تطبيق خاص بالنظام
C:\Program Files\Common Files\Symantec Shared\ccApp.exe

برنامج النورتن
C:\WINDOWS\System32\gmt.exe

برنامج تجسسي
C:\WINDOWS\System32\carpserv.exe

برنامج خاص بالمودم
C:\Program Files\Messenger Plus! 3\MsgPlus.exe

برنامج الماسنجر
C:\WINDOWS\System32\EXSHOW95.EXE

برنامج خاص بالماوس
C:\WINDOWS\System32\ICO.EXE

برنامج
C:\Program Files\Common Files\Real\Update\realsched.exe

برنامج ريل بلير
C:\Program Files\Athan\Athan.exe

برنامج الأذان
C:\WINDOWS\qqbcds.exe

تطبيق مجهول
C:\WINDOWS\winyh.exe

تطبيق مجهول
C:\WINDOWS\System32\ctfmon.exe

تطبيق خاص بالنظام
C:\WINDOWS\System32\Pelmiced.exe

تطبيق خاص بالنظام
C:\WINDOWS\System32\EXSHOW.EXE

برنامج خاص بالماوس
C:\Program Files\MSN Messenger\msnmsgr.exe

برنامج الماسنجر
C:\Program Files\Internet Explorer\iexplore.exe

برنامج الاكسبلورر
C:\WINDOWS\System32\mfcoo.exe

تطبيق مجهول
C:\PROGRA~1\WINZIP\winzip32.exe

برنامج وين زيب
C:\************************s and Settings\ Settings\Temp\HijackThis.exe

برنامج

*********************************************

تطبيقات بدء التشغيل StartUp

هي البرامج التي تعمل مع بدء تشغيل الجهاز التفاصيل
وتأخذ الرقم O4 ضمن التقرير وقد تم تقديمها لأهميتها ولارتباطها الوثيق بالبند السابق
وغالبا وبشكل عام فان التطبيقات التي تعمل ضمن بدء التشغيل يكون لها وجود ضمن التطبيقات العاملة في الخلفية ، وان كان هناك استثناءات لذلك لكن نتحدث هنا عن الغالب الأعم
ويمكن الاستدلال عن حقيقة هذه التطبيقات من خلال الموقع التالي ، وهو أيضا من أفضل المواقع على الإطلاق في هذا الشأن

http://www.sysinfo.org/startuplist.php
ويكون البحث من خلال الاسم المكتوب بين [xxxxxx]
ويجب بذل بحث كافي مع حرص شديد نظرا لاستخدام بعض التطبيقات الضارة لأسماء خاصة ببرامج معروفة
وهذا مثال على ذلك ولهذا التطبيق ستة احتمالات
اطلع على التفاصيل ccApp.exeالتطبيق

وكمثال على البحث النتيجة التالية
ملف التطبيق غير معروف
ملف التطبيق معروف
اسم التطبيق ( البرنامج )

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mfcoo.exe] C:\WINDOWS\system32\mfcoo.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WallSlide] C:\Program Files\Changer\Mover.exe Run
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [EXSHOW95.EXE] EXSHOW95.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [wdyeefcc] C:\WINDOWS\qqbcds.exeO4 - HKLM\..\Run: [RunDLL]rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

***********************************

وفيما يلي القيم المضافة على المتصفح والمتعلقة بمختلف الاستخدامات كما هو مبين فيما بعد
ويتم التعرف عليها بشكل عام من خلال التسميات الواردة ضمن كل بند إذا كانت تدل على برنامج نعرفه
أو من خلال عنوان الموقع المبين ضمن البند نفسه وفيما يلي أمثلة لذلك

العناصر ( المساعدة ) المضافة على المتصفح Browser Helper Objects

أشرطة الأدوات Toolbar

*************************************

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html

O2 - BHO: (no name) - {06849E9F-C8D7-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\ActiveX\AcroIEHelper.oc
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar 888-423F-11D2-876E-00A0C9082467&راديو -} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar : FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - D:\WINDOWS\DOWNLO~1\NAUPOI~1.DLLl
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL

*************************************

الإضافات على قائمة يمين الفارة Extra context menu

O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link_htm
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Open *************** in &New Window - C:\WINDOWS\WEB\frm2new.htm

***********************************

الأزرار المضافة والمواقع الموثوقة

O9 - Extra button: Msn Messenger (HKLM
O9 - Extra button: بحث (HKLM)
O9 - Extra button: Alexa (HKLM)

الأزرار المضافة Extra buttonO15-Trusted Zone: *.greg-search.comالمواقع الموثوقة Trusted Zone

************************************

Download Program FilesactiveX عناصر

O16 - DPF: {3E68E405-C6DE-4} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-} (RdxIE Class) - http://software-dl.real.com/02ed578dd28dc3e25e23/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-49} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB
O16 - DPF:AC6AE(SymantecRegistryInformationClasshttp://security.symantec.com/sscv6//common/bin/cabsa.cab
O16 - DPF: {D27CDB6EC50000}(ShockwaveFlashObjec thttp://download.macromedia.com//shockwave//flash/swflash.cab
O16- DPF: {9076A11F-5EA6-4A67-BDE9-8D3C7C453DAC} - http://www.thecoolbar.com/installfiles/coolbar.cab

O16 DPF: {75D1F3B2-2A21-11D7-97B9-} (SecureLogin.SecureControl) - http:/secure2.comnedcom/...iveSecuritycab

وبعد تطبيق ما سبق سيكون التقرير لدينا قد اقتصر على العناصر غير المرغوب فيها فقط
وسيكون بالشكل التالي

C:\WINDOWS\System32\gmt.exe
C:\WINDOWS\qqbcds.exe
C:\WINDOWS\winyh.exe
C:\WINDOWS\System32\mfcoo.exe

Running processes

العمليات الجارية

O4 - HKLM\..\Run: [mfcoo.exe] C:\WINDOWS\system32\mfcoo.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WallSlide] C:\Program Files\Changer\Mover.exe Run
O4 - HKLM\..\Run: [wdyeefcc] C:\WINDOWS\qqbcds.exe
O4 - HKLM\..\Run: [RunDLL]rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

تطبيقات بدء التشغيل

StartUp

وسيتم التخلص من التطبيقات بحذفها إما بواسطة البرنامج أو يدويا أو بـ

طريقة حذف التطبيقات الضارة

العودة للفهرس

R1 - HKCU\\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-} - C:\WINDOWS\System32\bridge.dll
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-4} - D:\WINDOWS\DOWNLO~1\NAUPOI~1.DLLl
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Alexa (HKLM)
O15-Trusted Zone: *.greg-search.com
O16- DPF: {9076A11F-5EA6-4A67-} - http://www.thecoolbar.com/install/coolbar.cab
O16 DPF: {75D1F3B2-2A21-11D7-97B9-} (SecureLogin.) - http:/secure2.comnedcom/...iveSecuritycab

بقية القيم

أما بقية القيم فيتم التخلص منها بواسطة نفس البرنامج
Fix checked بوضع علامة صح أمامها ثم الضغط على

المصدر: منتديات مدينة الاحلام

avp fvkhl[ HijackThis