ברוכים הבאים לאתר שאלות ותשובות טכניות נפוצות-אתר תמיכה טכנית|מדריכים
חפשו אותנו בפייסבוק

אתר שאלות ותשובות טכניות נפוצות







מדריך לשימוש, בתוכנת HiJackThis

כתב את המדריך: dudubitn.

המדריך פורסם לראשונה ע"י dudubitn , מנהל פורום תמיכה טכנית בנענע

שימו לב: מדריך זה מוגן בזכויות יוצרים על פי חוק!

בחרו את האפשרות הרצויה

הקדמה

מידע כללי

חלוקה מבנית

זיהוי והבנת הערכים

בדיקה מספר 1 -זיהוי התוכנות המותקנות והמוכרות לנו

בדיקה מספר 2 - זיהוי התהליכים הפעילים ברקע

טיפול ומחיקת ערכים וקבצים

הקדמה

המדריך כולל הסבר כללי על חלוקת הנושאים והבנתם, בדו"ח המתקבל

בסריקה של התוכנה hijackthis , ואינו מסביר על תפעול התוכנה.

בתחתית המדריך, יהיה קישור למדריך, שמסביר על תפעול התוכנה.

תוכן המדריך, אינו מתאים לתפעול ע"י משתמשים ירוקים במחשבים,

וחשוב שרק אנשים בעלי ניסיון בתחום האינטרנט והמחשבים, יתעסקו בתוכנה.

לירוקי מחשבים, וגם לכאלה שלא, ישנו אתר המנתח את הלוג, בתוך מספר שניות.

האתר צודק בניתוחו ב- 90% מן המקרים, ו- 10% טועה.

שימושי ונוח מאוד, אך עם זאת, אנו ממליצים לנסות, לפניכן, לקרוא את המדריך.

הבהרה: המדריך נכתב בטרם יצא האתר הנ"ל.

חזרה לרשימת האפשרויות

מידע כללי

התהליך המוסבר פה, יהיה לכמה מבינכם מסובך, וארוך , אבל עם הזמן לאחר מספר צפיות בדו"ח של hijackthis  תלמדו כבר לזהות את התהליכים הקבועים והמוכרים, במחשב שלכם (כי הם חוזרים על עצמם), ותוכלו במשך הזמן לזהות ביתר קלות, תהליכים לא רצויים.

חשוב לבצע כל שבוע סריקה עם תוכנה לניקוי קבצי ריגול ועם אנטי וירוס.

בזמן פעילות במחשב כל מספר שעות, לבדוק שכל התהליכים במנהל המשימות מוכרים לכם.

השתמשו ב ,firewall ואל תחשבו שאתם מוגנים ע"י מישהו.

הגנו על עצמכם, ותחזקו את המחשב.

ע"י ניקוי קבצים זמניים, אך ורק ע"י תוכנות שמתמחות בכך.

בצעו ניקוי רגיסטרי לרישומים, וערכים לא פעילים, גם על ידי תוכנות שמתמחות בכך.

סריקה לסוסים טרויאנים, מומלצת כל שבועיים.

איחוי הכונן הקשיח, מומלץ לאנשים, שמורידים הרבה קבצים , ויש תנועת קבצים גדולה במחשב שלהם.

האיחוי מומלץ כל 3 חודשים.

למשתמשי xp : לעולם אל תדלגו על פעולת סורק הדיסק (מתקן השגיאות) , שמופיעה לפני הפעלת המחשב !

הפעולה הזאת מתבצעת, בעקבות שגיאת מערכת או כיבוי לא נכון של המחשב.

הפעולה הזאת, מאוד יעילה, ומתקנת קבצים שנפגמו.

מעבר לכך, תיזמו ידנית, פעם בחודש סריקה כזאת.

כעת לחובבי הפורנו, התוכנות החינמיות (פרוצות כמובן), והקראקים: האתרים האלה מנצנצים ומושכים את העין,

אבל הם בוודאות לא מתאימים לכל אחד !

90% מהם מכילים את רוב הקבצי ריגול, וחוטפי הדפדפנים, בהם אתם נתקלים.

לכן, לפני כל כניסה לאתרים מעין אלו, חישבו פעמיים, ובדקו אם אתה מוגנים.

ההגנה הטובה ביותר היא לא לאשר שום דבר באתרים כאלה, שאתם לא מכירים,

ולהשתמש בתוכנת firewall  בעלת תכונות, לחסימת ,activex  ואפליקציות java .

קישורים

התוכנה HiJackThis

התוכנה לניקוי קבצי ותוכניות ריגול Spysweeper

חזרה לרשימת האפשרויות

חלוקה מבנית

חלוקה מבנית , hijackthis

המספור והמיקום של הערכים הפועלים בתוכנה

(שמייצגים את עבודתם בזמן אמת ברגיסטרי), לא נעשו כך לחינם.

הערכים הנמצאים בתחילת הדו"ח, הם בעלי הסיכון הגבוה

ביותר לתוכניות ריגול,והשתלטות אתרים.

וככל שיורדים לאורך הדו"ח, כך "רמת הסיכון" יורדת.

כלומר: כאשר ישתלט לכם אתר או תוכנה על הדפדפן או על שולחן העבודה

הם ימוקמו בתחילת הדו"ח, ברוב המקרים, בערכים הממוספרים, בערך נמוך (01,02,03,04 וכו').

חזרה לרשימת האפשרויות

זיהוי והבנת הערכים

תחילה, לפני שאתם ניגשים, לסמן ערכים לא רצויים, הדבר יתבצע , אך ורק לאחר סריקה וניקוי עם תוכנה לניקוי קבצי ריגול.

כי הסרת קבצי ריגול וחוטפי דפדפנים, נעשית בצורה המושלמת , והטובה ביותר ע"י תוכנות אלו.

כמו כן, לעיתים ניתן להסיר את תוכניות הריגול, מ"הוספה והסרה של תוכניות" , שבלוח הבקרה.

התוכנה hijackthis  יעילה במקרים, שהתוכנות להסרת קבצי ריגול, לא הצליחו להסיר את הטפילים.

כעת, עליכם להכיר את המחשב שלכם , מערך הקבצים, והערכים הפועלים בו.

זאת נעשה ע"י מספר בדיקות פשוטות.

נפעיל את התוכנה ,hijackthis ונלחץ על הכפתור scan לקבלת הדו"ח.

ונצפה בדו"ח המתקבל.

חזרה לרשימת האפשרויות

בדיקה מספר 1 - זיהוי התוכנות המותקנות והמוכרות לנו

בדיקה זאת, תתבצע ע"י בדיקת נתיב הקבצים.

לדוגמא, נצפה בערך הבא:

O2 - BHO: NAV Helper 

{BDF3E430-B101-42AD-A544-FADC6B084872} -

C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

*02 מספר הערך, שמציין קובץ של תוכנה, שעובדת עם הדפדפן.

*ומוגדר כ nav helper כלומר, עזרה של הנורטון אנטי וירוס.

*המספר הארוך, שמגיע לאחר מכן, מציין את מיקום הערך במערך הרגיסטרי.

*וכאן מגיע הדבר, שחשוב לכם: מיקום שממנו מגיע הקובץ הפעיל:

C:\Program Files\Norton Internet Security Professional\Norton AntiVirus

המיקום הזה, מוכר לנו, והוא מדבר על התוכנה נורטון אינטרנט סקיוריטי פרו.

ולכן, הקובץ הזה, יחשב מבחינתנו כבטוח, כי הוא מגיע מתיקיה בטוחה ומוכרת לנו.

- נתקלתם בנתיב של תוכנה, שלא מוכרת לכם?

אל תתעצלו, גשו לנתיב פיזית דרך "המחשב שלי",

וצפו בקבצים הנמצאים בתיקיה של התוכנה, אולי תתקלו באייקון של התוכנה או הפעילו את קובץ ההפעלה (אם ישנו כזה כמובן),

ראו, באיזו תוכנה מדובר.

אז תזכרו, מהיכן היא מגיעה.

(למעט הנתיבים הבאים windows ,windows\system ,windows\system32

או כל נתיב המתחיל בתיקיית הwindows.)

חזרה לרשימת האפשרויות

בדיקה מספר 2 - זיהוי התהליכים הפעילים ברקע

בנוסף לערכי הרגיסטרי המוצגים ע"י התוכנה hijackthis , ישנם קבצים פעילים ברקע, שעולים עם הפעלת המחשב,

ואלה שפועלים ברקע, בהתאם לתוכנות שהפעלנו ידנית, והפועלות בזמן אמת.

כדי לקבל רשימה מלאה גם של הערכים, וגם של הקבצים הפעילים, יש ללחוץ בתוכנה hijackthis  על ,scan ולאחר מכן, על save log

.

שמירת לוג , hijackthis

ייווצר קובץ טקסט, שייתן דו"ח מלא.

בתחילת הדו"ח, יופיעו הקבצים הפעילים ברקע.

לאחר מכן, הערכים.

כעת, עלינו לזהות את "מפעיל הקבצים".

האם אלה קבצי מערכת ההפעלה או קבצים של תוכנות, בשליטת המשתמש במחשב.

לכן, נצטרך להפעיל את מנהל המשימות:

Xp\2000 - מקש ימני על סרגל הכלים התחתון-מנהל המשימות-לשונית תהליכים.

98\me- לחיצה על המקשים alt+ctrl+del - בחירה במנהל המשימות.

יש לשים לב, לקישור התהליכים.

1) כלומר, הקבצים שיהיו שייכים למערכת ההפעלה, יקושרו בשמות הבאים:

system ,local service ,network.

ב 99% מהמקרים הקבצים האלה, בטוחים ומאובטחים.

2) כל שאר הקבצים, יקושרו לשם המשתמש שלנו או administrator.

אלה קבצים של תוכנות, שאנחנו התקנו, אבל קבצי טפילים, ווירוסים יפעלו בד"כ  בקישור לשם המשמש שלנו.

לסיכום: קבצים שאיתרנו כשייכים למערכת ההפעלה, יחשבו מבחינתנו כבטוחים.

שאר הקבצים, שמקושרים לשם משתמש,"יעברו" את בדיקה מספר 1.

קבצים שאיתרנו כשייכים לשם המשתמש שלנו, אבל לא זיהנו אותם כמוכרים.

לנו או לתוכנה המוכרת לנו, יש לעבור לבדיקה מספר 3.

חזרה לרשימת האפשרויות

בדיקה מספר 3 - זיהוי קבצים וערכים שלא מוכרים לנו

הבדיקה הבאה, מצריכה מעט "הגדלת ראש" , היא לא מוחלטת או בטוחה לחלוטין , ומצריכה ידע מוקדם באנגלית, והתמצאות באינטרנט.

איתרנו ערך או קובץ ולא הצלחנו לקבוע, לאיזו אפליקציה הוא שייך.

אנו חושדים בו, כקובץ ריגול או מזיק.

נבצע את התהליך הבא:

ניגש למנוע החיפוש google .

נבצע חיפוש של שם הקובץ או הערך.

לדוגמא:

csrss.exe שמופיע במנהל המשימות-תהליכים 

התקבלה התוצאה, שהקובץ הנ"ל הוא קובץ של מערכת ההפעלה.

טיפ: בד"כ קבצי מערכת מוכרים, וקבצי תוכנות נפוצות -בחיפוש בגוגל-

יופיעו בתוצאות החיפוש ע"י האתר http://www.liutilities.com/products/wintaskspro/processlibrary

עם הכותרת csrss - csrss.exe - Process Information

זהו אתר המתמחה בזיהוי קבצים וערכים.

ולכן נעדיף אותו, כמקור ראשון לפירוט תפקוד הקובץ.

עוד אתרים המתמחים בתחום:

http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

קבצי מזיקים מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/security/

קבצי מערכת בטוחים מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/system/

קבצי תוכנות בטוחות מוכרים:

http://www.liutilities.com/products/wintaskspro/processlibrary/application/

*במידה וחיפשנו מידע על קובץ, וקיבלנו תוצאה לא ברורה, יש לעבור אתר,

אתר ולקרוא, ולמצוא פירוט מקסימלי על שם הקובץ, קבצי תוכנות בטוחות  יעלו את שם האתר, המשווק אותם.

בד"כ קבצי ריגול ווירוסים, יופיעו באתרים המטפלים בהם.

ונדירים המקרים, בהם לא תמצאו פירוט על קובץ בטוח.

במידה ולא קיבלתם, שום תוצאה, בחיפוש מידע על קובץ או ערך מסוים  ב99% מהמקרים, זהו קובץ ריגול או טפיל.

חזרה לרשימת האפשרויות

טיפול ומחיקת ערכים וקבצים

טיפול בקבצים

כאשר איתרנו קובץ של תוכנית ריגול,טפיל  או וירוס

(אך ורק אם מדובר בקובץ של הוירוס עצמו ולא קובץ תמים שנדבק בוירוס),

יש תחילה לסיים את הפעילות שלו (במידה והיא קיימת) במנהל המשימות.

סימונו בלשונית תהליכים, ו"סיים משימה".

לאחר מכן, יש לאתר אותו ע"י "חיפוש" –התחל—חיפוש—קבצים ותיקיות—

כל הקבצים והתיקיות, ולמחוק אותו.

במידה ופעולת המחיקה נידחת ע"י מערכת ההפעלה, יש לבצע את הפעולה במצב בטוח.

כמו כן, יש לבטל את עלייתו עם הפעלה המחשב.

התחל—הפעלה- msconfig ואישור.

לשונית אתחול, הורדת סימונו, ואישור.

טיפול בערכי ריגול וטפילים

הטיפול בערכים האלה, יעשה ע"י התוכנה hijackthis .

נפעיל אותה, ונבחר בscan .

נאתר את הערך או הערכים הבעייתיים, ונסמן אך ורק את השורה השייכת לו.

לסיום ולמחיקתו, נבחר בfix .

נאשר את תיבת הדו שיח שתפתח, ונפעיל את המחשב מחדש .

*לאחר מכן, היכן שממוקם הקובץ של התוכנהhijackthis  , יווצרו מספר קבצי גיבוי.

למקרה שנרצה לגבות מידע שגוי שנמחק.

טיפול בערכי activex

בתחתית הדו"ח של hijackthis ,בערכים שיסומנו במספר 016

יופיעו ערכי ה,activex שאלו הן תוכנות עזר לדפדפן לעבודה מול אתרים מסוימים.

הסרתם תתבצע בדרך הבאה: בדפדפן—כלים—אפשרויות אינטרנט—הגדרות—

הצגת אובייקטים—מקש ימני על האובייקט הבעייתי, ובחירה ב"הסרה".

טיפול בערכים כלליים

לעיתים, גם לאחר הסרת תוכנה בטוחה ומוכרת לנו, נשארים במחשב שאריות ממנה,

למרות שהסרנו אותה בצורה מסודרת, ומחקנו את התיקייה שלה.

יהיה ניתן ע"י סימון הערכים, בתוכנהhijackthis  להתפטר ממנה.

ע"י סימון הערכים שקשורים אליה, ובחירה בfix .

חזרה למעלה



***