Trend Micro Hijack을 어떻게 사용합니까?

Trend Micro HijackThis의 최신 버전을 다운로드하여 설치 한 후 파일을 엽니 다. 컴퓨터에서 프로그램을 열 수 없으면 파일을 다른 이름 (예 : sniper.exe)으로 바꾸고 다시 실행하십시오. 일단 열리면 아래 그림과 비슷한 화면이 나타납니다.

마지막 버튼 "위의 아무 것도 아니고 그냥 프로그램 시작"을 클릭하고 "구성 .."버튼을 선택하십시오. 다음에 대한 확인란이 선택되어 있는지 확인하십시오.

  • 항목을 수정하기 전에 백업 만들기
  • 항목 고정 및 무시 확인
  • IE에서 비표준이지만 안전한 도메인을 무시하십시오.
  • 로그 파일에 실행중인 프로세스 목록 포함

확인 또는 확인이 끝나면 주 메뉴 버튼을 클릭하십시오.

그런 다음 첫 번째 단추를 선택하여 시스템 검사 를 시작하고 로그 파일저장 하여 시스템 검사를 시작합니다. 완료되면 아래 그림과 비슷한 화면과 새로운 HijackThis 로그가 표시된 새 메모장 창이 나타납니다.

이 로그를 생성하여 온라인으로 분석 하려면 Ctrl + A 를 눌러 전체 텍스트를 선택하여 전체 로그를 클립 보드로 복사하십시오. 강조 표시되면 편집 및 복사를 클릭하십시오. 끝나면 컴퓨터 희망 Windows 프로세스 도구와 같은 포럼 페이지 나 HijackThis 도구에 붙여 넣을 수 있습니다.

HijackThis 로그 파일은 또한 컴퓨터의 기본 디렉토리 "C : \ program files \ Trend Micro \ HijackThis \"에 저장되며 포럼 게시물에 첨부되거나 전자 메일로 다른 사용자에게 보내져 분석 될 수 있습니다.

결과 이해하기

언뜻보기에는 결과가 압도적 인 것처럼 보일 수 있지만 로그에는 멀웨어가 컴퓨터를 공격 할 수있는 모든 정보와 잠재적 위치가 포함됩니다. 다음은 각 섹션에 대한 일반적인 설명을위한 간단한 설명입니다.

주의 : HijackThis는 고급 유틸리티이며 추가적인 컴퓨터 문제를 일으킬 수있는 레지스트리 및 기타 시스템 파일을 수정할 수 있습니다. 위 지침을 따르고 변경 사항을 백업하며 확인 된 항목을 수정하기 전에 수정 사항을 잘 알고 있는지 확인하십시오.

R0 - R3 섹션

Microsoft Internet Explorer 브라우저와 관련하여 작성되고 변경된 Windows 레지스트리 값. 종종 맬웨어는 이러한 레지스트리 값을 공격하여 기본 홈페이지, 검색 페이지 등을 변경합니다. 아래는 R0 값의 예입니다.

 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, 시작 페이지 = //www.computerhope.com/

F0 - F3 섹션

system.ini 또는 win.ini 파일에서로드되는 내용의 개요.

N1 - N4 섹션

R0-R3 섹션과 마찬가지로이 섹션은 Netscape 및 Mozilla Firefox 브라우저와 관련된 prefs.js 파일의 일부입니다. N1-N4 섹션이 공격 받아 기본 홈페이지, 검색 페이지 등을 변경합니다.

O1 섹션

이 섹션에는 Windows 호스트 파일에 만들어진 모든 호스트 파일 리디렉션이 포함됩니다. 리디렉션은 도메인 이름을 다른 IP 주소로 리디렉션하는 또 다른 유형의 공격입니다. 예를 들어 공격자가이를 사용하여 로그인 정보를 훔치기 위해 은행 URL을 다른 사이트로 리디렉션 할 수 있습니다. 아래는 O1 라인의 예입니다.

 O1 - 호스트 : :: 1 로컬 호스트

O2 섹션

이 섹션에는 컴퓨터에 설치된 CLSID ({}로 묶여 있음)가있는 인터넷 BHO (브라우저 도우미 개체)가 포함됩니다. 아래는 O2 라인의 예입니다.

 O2 - BHO : Adobe PDF Reader 링크 도우미 - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C : ₩ Program Files ₩ Common Files ₩ Adobe ₩ Acrobat ₩ ActiveX ₩ AcroIEHelper.dll

O3 섹션

이 섹션에서는 컴퓨터에 설치된 Microsoft Internet Explorer 도구 모음을 모두 표시합니다. 합법적 인 브라우저 툴바가 많이 있지만, 원하지 않을 수도있는 다른 프로그램에 의해 설치된 많은 악성 툴바와 툴바가 있습니다. 아래는 O3 라인의 예입니다.

 O3 - 툴바 : StumbleUpon 툴바 - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C : \ Program Files \ StumbleUpon \ StumbleUponIEBar.dll

O4 섹션

가장 일반적으로 살펴볼 섹션 중 하나 인 O4 섹션에는 컴퓨터가 시작될 때마다 Windows 레지스트리에 자동으로로드되는 프로그램이 들어 있습니다. 아래는이 줄의 예입니다.

 O4 - HKLM \ .. \ Run : [NvCplDaemon] RUNDLL32.EXE C : \ WINDOWS \ system32 \ NvCpl.dll, NvStartup

O5 섹션

이 섹션에는 표시되지 않도록 설정된 Windows 제어판 아이콘이 표시됩니다. 일부 맬웨어는 프로그램에서 발생하는 문제를 해결하지 못하도록 Windows 제어판을 비활성화 할 수 있습니다.

O6 섹션

Microsoft Internet Explorer 옵션이 정책에 의해 비활성화 된 경우이를 수정해야합니다.

O7 섹션

이 섹션은 레지스트리 편집기 (regedit)에 액세스 할 수없는 경우 표시됩니다. 존재하는 경우 수정해야합니다.

O8 섹션

이 섹션에는 Microsoft Internet Explorer 오른쪽 클릭 메뉴에 추가 된 모든 추가 기능이 표시됩니다. 아래는이 줄의 예입니다.

 O8 - 추가 컨텍스트 메뉴 항목 : & Windows Live Search - res : // C : \ Program Files \ Windows Live Toolbar \ msntb.dll / search.htm.

O9 섹션

Microsoft Internet Explorer에 추가 된 모든 추가 단추 또는 메뉴 항목이 여기에 표시됩니다. 아래는이 줄의 예입니다.

 O9 - 추가 버튼 : StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C : \ Program Files \ StumbleUpon \ StumbleUponIEBar.dll.

O10 섹션

이 섹션에는 Windows Winsock 하이재커가 표시됩니다. 이러한 라인은 Winsock의 작동 방식 때문에 HijackThis에서 수정 될 수 있지만, 발견 된 경우이 섹션을 수정하도록 설계된 대체 도구 인 LSP-Fix를 사용하는 것이 좋습니다. 아래는이 줄의 예입니다.

 O10 - Winsock LSP의 알 수없는 파일 : c : \ windows \ system32 \ nwprovau.dll

O11 섹션

Microsoft Internet Explorer 고급 옵션 섹션에 추가 된 추가 그룹을 표시합니다.

O12 섹션

이 섹션에는 컴퓨터에 설치된 Microsoft Internet Explorer 플러그인이 표시됩니다.

O13 섹션

Microsoft Internet Explorer의 기본 // 접두어에 대한 변경 사항을 표시합니다. 사용자가 URL 주소를 입력하지만 앞에 "//"를 추가하지 않은 경우 사용됩니다.

O14 섹션

이 섹션에는 iereset.inf 파일의 변경 내용이 표시됩니다. 이 파일은 Microsoft Internet Explorer 설정을 기본 설정으로 복원 할 때 사용됩니다.

O15 섹션

Microsoft Internet Explorer의 신뢰할 수있는 영역 변경 사항을 표시합니다. 이 섹션을 추가하거나 인식하지 않으면 HijackThis를 통해 수정하는 것이 좋습니다. 다음은 O15 라인의 예입니다.

 O15 - 신뢰할 수있는 영역 : //www.partypoker.com

O16 섹션

모든 Microsoft Internet Explorer ActiveX 개체를 표시합니다. 아래는이 줄의 예입니다.

 O16 - DPF : {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook 사진 업 로더 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab.

O17 섹션

이 섹션에는 잠재적 인 DNS 및 도메인 하이재킹이 표시됩니다. 아래는이 줄의 예입니다.

 O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {F30B90D7-A542-4DAD-A7EF-4FF23D23587B} : Nameserver = 203.23.236.66 203.23.236.69.

O18 섹션

모든 프로토콜 하이재커가 여기에 표시됩니다. 이 섹션이 표시되면 HijackThis가 수정하도록 권장합니다.

 O18 - 프로토콜 : sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c : \ PROGRA ~ 1 \ mcafee \ SITEAD ~ 1 \ mcieplg.dll.

O19 섹션

이 섹션에는 CSS 스타일 시트 변경 사항이 표시됩니다. 사용자 정의 스타일 시트를 사용하지 않는 한 HijackThis를 사용하여이 섹션을 수정하는 것이 좋습니다.

O20 섹션

이 섹션에서는 APPInit_DLL 또는 Winlogon을 통해로드되는 모든 항목이이 섹션에 표시됩니다. 다음은 이러한 각 행의 예입니다.

 O20 - AppInit_DLLs : avgrsstx.dll 
 O20 - Winlogon 알림 :! SASWinLogon - C : \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL.

O21 섹션

이 섹션에는 SSODL (ShellServiceObjectDelayLoad) Windows 레지스트리 키에로드되는 항목이 표시됩니다.

O22 섹션

이 섹션에서는 SharedTaskScheduler 자동 실행 Windows 레지스트리 키를 보여줍니다. 아래는이 줄의 예입니다.

 O22 - SharedTaskScheduler : Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C : \ Windows \ System32 \ DreamScene.dll.

O23 섹션

이 섹션에서는이 섹션에 Windows XP, NT, 2000, 2003 및 Vista 시작 서비스가 표시됩니다. 아래는이 줄의 예입니다.

 O23 - 서비스 : AVG8 전자 메일 스캐너 (avg8emc) - AVG Technologies CZ, sro - C : \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe.

O24 섹션

마지막으로 O24 섹션은 컴퓨터에 설치된 Microsoft Windows 액티브 데스크톱 구성 요소입니다. 액티브 데스크톱을 사용하거나 이름을 인식하지 않는 한, 이 이름도 수정하는 것이 좋습니다. 아래는이 줄의 예입니다.

 O24 - 데스크탑 구성 요소 1 : (이름 없음) - //mbox.personals.yahoo.com/mbox/mboxlist.