Როგორ გაანალიზება Hijack ეს ლოგები

ინტერპრეტაციის ჟურნალი მონაცემთა დასახმარებლად წაშლა Spyware და ბრაუზერის hijackers

HijackThis არის უფასო ინსტრუმენტი Trend Micro. თავდაპირველად შეიქმნა ნიდერლანდის სტუდენტი Merijn Bellekom. Spyware მოხსნა პროგრამული უზრუნველყოფა, როგორიცაა Adaware ან Spybot S & D გავაკეთოთ კარგი სამუშაო გამოვლენის და მოხსნის საუკეთესო spyware პროგრამები, მაგრამ ზოგიერთი spyware და ბრაუზერის hijackers ძალიან მზაკვრული კი ამ დიდი anti-spyware კომუნალური.

HijackThis სპეციალურად დაწერილი და ამოიღონ ბრაუზერის hijacks, ან პროგრამული უზრუნველყოფა, რომელიც იღებს თქვენს ბრაუზერში, ცვლის თქვენი default home page და საძიებო სისტემა და სხვა მუქარის რამ. განსხვავებით ტიპიური ანტი-მზვერავი პროგრამული უზრუნველყოფისგან, HijackThis არ იყენებს ხელმოწერებს ან მიზანში მიუთითებს კონკრეტული პროგრამების ან URL- ის გამოვლენისა და დაბლოკვის მიზნით. უფრო მეტიც, HijackThis გამოიყურება ამისთვის ხრიკები და მეთოდები მიერ გამოყენებული malware რომ აინფიცირებს თქვენი სისტემის და გადამისამართება თქვენი ბრაუზერი.

არ არის ყველაფერი, რაც გვიჩვენებს up in Hijack ეს ჟურნალები არის ცუდი პერსონალი და არ უნდა ყველა მოიხსნება. სინამდვილეში საკმაოდ საპირისპიროა. ეს არის თითქმის გარანტირებული, რომ ზოგიერთი თქვენი ნივთები ამ ჟურნალების იქნება ლეგიტიმური პროგრამული უზრუნველყოფა და მოხსნის ეს ნივთები შეიძლება უარყოფითი გავლენა მოახდინოს თქვენი სისტემის ან გაწევა სრულად inoperable. გამოყენება HijackThis არის ბევრი მოსწონს რედაქტირება Windows რეესტრის თავს. ეს არ არის სარაკეტო მეცნიერება, მაგრამ აუცილებლად არ უნდა გავაკეთოთ ამის გარეშე ექსპერტის ხელმძღვანელობით, თუ ნამდვილად არ იცი რას აკეთებთ.

მას შემდეგ, რაც დააინსტალირეთ HijackThis და გაუშვით მას, რათა შეიქმნას ჟურნალი ფაილი, არსებობს მრავალფეროვანი ფორუმი და საიტები, სადაც შეგიძლიათ განათავსოთ ან ატვირთოთ თქვენი ჟურნალი მონაცემები. ექსპერტები, რომლებმაც იციან, რა უნდა მოძებნოთ, შეგიძლიათ გაითვალისწინოთ ჟურნალი მონაცემების გაანალიზება და გაეცანით, თუ რომელი ნივთები ამოიღონ და რომელია დატოვონ მარტო.

ჩამოტვირთეთ მიმდინარე ვერსია HijackThis, შეგიძლიათ ეწვიოთ ოფიციალურ საიტზე Trend Micro.

აქ არის მიმოხილვა HijackThis შესვლა მასალა, რომელიც შეგიძლიათ გამოიყენოთ გადადით ინფორმაცია, რომელიც ეძებს:

• R0, R1, R2, R3 - Internet Explorer დაწყება / ძიება გვერდები მისამართები
• F0, F1 - პროგრამების Autoloading
• N1, N2, N3, N4 - Netscape / Mozilla დაწყება / ძიება გვერდები მისამართები
• O1 - მასპინძლობს ფაილის გადამისამართებას
• O2 - ბრაუზერის დამხმარე ობიექტები
• O3 - Internet Explorer toolbars
• O4 - რეესტრის პროგრამებიდან Autoloading
• O5 - IE პარამეტრები ხატულა არ ჩანს საკონტროლო პანელში
• O6 - IE პარამეტრები წვდომა შეზღუდულია ადმინისტრატორის მიერ
• O7 - Regedit წვდომა შეზღუდულია ადმინისტრატორის მიერ
• O8 - დამატებითი ელემენტი IE მარჯვენა ღილაკის მენიუში
• O9 - დამატებითი ღილაკები ძირითად IE ღილაკს პანელი, ან დამატებითი ელემენტი IE 'ინსტრუმენტები' მენიუ
• O10 - Winsock hijacker
• O11 - დამატებითი ჯგუფი IE- ში 'Advanced Options' ფანჯარაში
• O12 - IE plugins
• O13 - IE DefaultPrefix hijack
• O14 - 'ვებ პარამეტრების გადატვირთვა' გაიტაცეს
• O15 - არასასურველი საიტი სანდო ზონაში
• O16 - ActiveX ობიექტები (aka გადმოწერილი პროგრამა ფაილები)
• O17 - Lop.com დომენის hijackers
• O18 - დამატებითი ოქმები და ოქმი hijackers
• O19 - მომხმარებლის სტილის ფურცლის გატაცება
• O20 - AppInit_DLL რეესტრის ღირებულება autorun
• O21 - ShellServiceObjectDelayLoad რეესტრის გასაღები ავტო
• O22 - SharedTaskScheduler რეესტრის გასაღები autorun

• O23 - Windows NT მომსახურება

R0, R1, R2, R3 - IE დაწყება და ძიება გვერდები

რას ჰგავს:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, დაწყება გვერდი = http://www.google.com/
R1 - HKLM \ პროგრამები \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (ამ ტიპის არ გამოიყენება Hijack ეს ჯერ კიდევ)
R3 - ნაგულისხმები URLSearchHook აკლია

რა უნდა ვქნა:
თუ URL- ს აღიარებთ თქვენს მთავარ გვერდზე ან საძიებო სისტემაში, ეს კარგია. თუ არა, შეამოწმე და აქვს HijackThis შეასწორეთ. იყიდება R3 ელემენტი, ყოველთვის გაასწორონ ისინი, თუ იგი არ ითვალისწინებს პროგრამის აღიარებას, როგორც კოპერნიკი.

F0, F1, F2, F3 - პროგრამების Autoloading INI ფაილები

რას ჰგავს:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

რა უნდა ვქნა:
F0 ელემენტი ყოველთვის ცუდია, ასე რომ მათ დააფიქსირეთ. F1 ელემენტი, როგორც წესი, ძალიან ძველი პროგრამები, რომლებიც უსაფრთხოა, ასე რომ თქვენ უნდა იპოვოთ დამატებითი ინფორმაცია ფაილის შესახებ, თუ ეს კარგია ან ცუდი. Pacman- ს Startup სია შეიძლება დაეხმაროს დადგენა პუნქტის.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; ძებნა გვერდი

რას ჰგავს:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "ძრავა: // C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

რა უნდა ვქნა:
როგორც წესი, Netscape- ისა და Mozilla- ის მთავარ გვერდზე და ძიების გვერდი უსაფრთხოა. ისინი იშვიათად გაიტაცეს, მხოლოდ Lop.com უკვე ცნობილია ამის გაკეთებაზე. თუ თქვენ არ იცნობთ URL- ს, თქვენ არ აღიარებთ, როგორც თქვენს მთავარ გვერდზე ან საძიებო გვერდს, აქვს Hijack- ის დაფიქსირება.

O1 - Hostsfile გადამისამართებები

რას ჰგავს:
O1 - მასპინძლობს: 216.177.73.139 auto.search.msn.com
O1 - მასპინძლობს: 216.177.73.139 search.netscape.com
O1 - მასპინძლებს: 216.177.73.139
O1 - მასპინძელი ფაილი მდებარეობს C: \ Windows \ Help \ hosts

რა უნდა ვქნა:
ეს hijack გადამისამართება მისამართი უფლება IP მისამართი მარცხნივ. თუ IP არ ეკუთვნის მისამართს, თქვენ გადანაწილდებით არასწორი საიტისთვის, რომელიც მიუთითებთ მისამართზე. თქვენ ყოველთვის შეგიძლიათ HijackThis შეასწოროს ეს, თუ თქვენ შეგნებულად დააყენა იმ ხაზების თქვენს მასპინძლებს ფაილი.

ბოლო პუნქტი ზოგჯერ ხდება Windows 2000 / XP- ზე Coolwebsearch ინფექციით. ყოველთვის შეცვალეთ ეს საქონელი, ან აქვს CWShredder- ის ავტომატურად შეკეთება.

O2 - ბრაუზერის დამხმარე ობიექტები

რას ჰგავს:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ პროგრამა ფაილები \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (არ არის სახელი) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ პროგრამის ფაილები \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (ფაილის დაკარგვა)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ პროგრამები ფაილები \ MEDIALOADS გაძლიერებული \ ME1.DLL

რა უნდა ვქნა:
თუ პირდაპირ არ აღიარებთ ბრაუზერის დამხმარე ობიექტის სახელს, გამოიყენეთ TonyK- ს BHO- ს და ინსტრუმენტების პანელის სიის მოძებნა კლასის ID- ის მიერ (CLSID, რიცხვი შორის მჭიდრო ფრჩხილებში) და თუ ეს კარგია ან ცუდია. BHO სიაში, 'X' ნიშნავს spyware და 'L' ნიშნავს უსაფრთხო.

O3 - IE ხელსაწყოები

რას ჰგავს:
O3 - Toolbar: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ პროგრამა ფაილები \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ პროგრამის ფაილები \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (ფაილი აკლია)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

რა უნდა ვქნა:
თუ თქვენ პირდაპირ არ აღიარებთ პანელის სახელს, გამოიყენეთ TonyK- ს BHO და Toolbar სია, რათა იპოვოთ იგი კლასის ID (CLSID, რიცხვი შორის მჭიდრო ფრჩხილები) და თუ ეს კარგია ან ცუდია. In Toolbar სია, 'X' ნიშნავს spyware და 'L' ნიშნავს უსაფრთხო. თუ ეს არ არის სიაში და სახელი ჩანს შემთხვევითი სიმებიანი სიმბოლოები და ფაილი არის 'განაცხადის მონაცემების' საქაღალდეში (ისევე, როგორც ბოლო ერთი მაგალითები), ალბათ Lop.com, და თქვენ definately უნდა ჰქონდეს HijackThis შეასწორეთ ის.

O4 - პროგრამების ავტომატიზირება რეესტრისა და გაშვების ჯგუფისგან

რას ჰგავს:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ აწარმოებს: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ საერთო ფაილები \ Symantec გაზიარებულია \ ccApp.exe"
O4 - ჩატვირთვა: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - გლობალური გაშვება: winlogon.exe

რა უნდა ვქნა:
გამოიყენეთ PacMan- ის სტარტაპის სია შესასვლელად და დაინახავთ, თუ კარგია თუ ცუდია.

იმ შემთხვევაში, თუ პუნქტი აჩვენებს პროგრამას, რომელიც იწყება გაშვების ჯგუფში (როგორც ბოლო პუნქტში), ეს შეიძლება არ დააფიქსიროთ იმ შემთხვევაში, თუ ეს პროგრამა ჯერ კიდევ მეხსიერებაშია. გამოიყენეთ Windows Task Manager (TASKMGR.EXE) დახურვის პროცესი ადრე გაყალბება.

O5 - IE პარამეტრები არ ჩანს საკონტროლო პანელში

რას ჰგავს:
O5 - control.ini: inetcpl.cpl = არა

რა უნდა ვქნა:
თუ თქვენ ან თქვენს სისტემურ ადმინისტრატორს არ აქვს გაცნობიერებული ხატი პანელიდან, აქვს HijackThis შეასწორეთ.

O6 - IE პარამეტრები წვდომა შეზღუდულია ადმინისტრატორის მიერ

რას ჰგავს:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ შეზღუდვები

რა უნდა ვქნა:
თუ არ გაქვთ Spybot S & D პარამეტრი "Lock Homepage საწყისი ცვლილებების" აქტიური, ან თქვენი სისტემის ადმინისტრატორი დააყენა ეს ადგილი, აქვს HijackThis შეასწორეთ ეს.

O7 - Regedit წვდომა შეზღუდულია ადმინისტრატორის მიერ

რას ჰგავს:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

რა უნდა ვქნა:
ყოველთვის HijackThis შეასწოროს ეს, თუ თქვენი სისტემის ადმინისტრატორი დააყენა ამ შეზღუდვის ადგილი.

O8 - დამატებითი ელემენტი IE მარჯვენა ღილაკის მენიუში

რას ჰგავს:
O8 - დამატებითი კონტექსტური მენიუ: & Google Search - რეს: // C: \ WINDOWS \ გადმოწერილი პროგრამა FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - დამატებითი კონტექსტური მენიუ: Yahoo! ძიება - ფაილი: /// C: \ Program Files \ Yahoo! \ საერთო / ycsrch.htm
O8 - დამატებითი კონტექსტური მენიუ: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - დამატებითი კონტექსტური მენიუ: Zoom O & U - C: \ WINDOWS \ WEB \ zoomout.htm

რა უნდა ვქნა:
თუ თქვენ არ აღიარებთ ელემენტის სახელს მარჯვენა ღილაკის მენიუში IE- ში, აქვს Hijack ეს შეასწორეთ.

O9 - დამატებითი ღილაკები ძირითადი IE პანელი ან დამატებითი ელემენტი IE & # 39; ინსტრუმენტები & # 39; მენიუ

რას ჰგავს:
O9 - დამატებითი ღილაკი: მესენჯერი (HKLM)
O9 - დამატებითი ინსტრუმენტები 'მენიუ: მესენჯერი (HKLM)
O9 - დამატებითი ღილაკი: AIM (HKLM)

რა უნდა ვქნა:
თუ არ ამოიცნობთ ღილაკზე ან მენიუს ელემენტს, გაასაჩივრე ეს HijackThis.

O10 - Winsock hijackers

რას ჰგავს:
O10 - გატეხილი ინტერნეტი New.Net- ის მიერ
O10 - LSP პროვაიდერის C: \ progra ~ 1 \ საერთო ~ 2 \ toolbar \ cnmib.dll- ის გამოტოვებული ინტერნეტით დაშვება
O10 - უცნობი ფაილი Winsock LSP: c: \ program files \ newton იცის \ vmain.dll

რა უნდა ვქნა:
ეს არის საუკეთესო დაფიქსირება ამ გამოყენებით LSPFix საწყისი Cexx.org, ან Spybot S & D საწყისი Kolla.de.

გაითვალისწინეთ, რომ "უცნობი" ფაილი LSP დასტის არ იქნება დაფიქსირებული HijackThis, უსაფრთხოების საკითხებზე.

O11 - დამატებითი ჯგუფი IE და # 39; დამატებითი პარამეტრები & # 39; ფანჯარა

რას ჰგავს:
O11 - ოფციები ჯგუფი: [CommonName] CommonName

რა უნდა ვქნა:
ერთადერთი hijacker როგორც ახლა, რომ დასძენს საკუთარი პარამეტრების ჯგუფი IE დამატებითი პარამეტრები ფანჯარა CommonName. ასე რომ თქვენ ყოველთვის შეგიძლიათ HijackThis შეასწოროს ეს.

O12 - IE plugins

რას ჰგავს:
O12 - მოდული .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - მოდული .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

რა უნდა ვქნა:
უმეტესობა ეს უსაფრთხოა. მხოლოდ Onflow დასძენს მოდული აქ, რომ თქვენ არ გსურთ (.

O13 - IE DefaultPrefix hijack

რას ჰგავს:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW პრეფიქსი: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. პრეფიქსი: http://ehttp.cc/?

რა უნდა ვქნა:
ეს ყოველთვის ცუდია. გაასაჩივრე ეს მათ.

O14 - & # 39; ვებ პარამეტრების შეცვლა & # 39; გატაცება

რას ჰგავს:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

რა უნდა ვქნა:
თუ URL არ არის თქვენი კომპიუტერი ან თქვენი ISP- ის მიმწოდებელი, აქვს Hijack ეს გაასწორონ.

O15 - არასასურველი საიტები სანდო ზონაში

რას ჰგავს:
O15 - სანდო ზონა: http://free.aol.com
O15 - სანდო ზონა: * .coolwebsearch.com
O15 - სანდო ზონა: * .msn.com

რა უნდა ვქნა:
ყველაზე მეტი დრო მხოლოდ AOL და Coolwebsearch მდუმარედ დაამატოთ საიტებზე სანდო ზონაში. თუ სანდო ზონაში ჩამოთვლილი დომენი არ დაამატეთ, ჰეიკი დააფიქსირეთ.

O16 - ActiveX ობიექტები (aka გადმოწერილი პროგრამა ფაილები)

რას ჰგავს:
O16 - DPF: Yahoo! ჩეთი - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash ობიექტი) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

რა უნდა ვქნა:
თუ არ იცნობთ ობიექტის სახელს ან URL- ს გადმოწერილი, აქვს HijackThis გაასწორონ ის. თუ სახელი ან URL შეიცავს სიტყვებს "dialer", "casino", "free_plugin" და ა.შ., აუცილებლად გაასწორონ ის. Javacool- ის SpywareBlaster აქვს უზარმაზარი მონაცემთა ბაზა მუქარის ActiveX ობიექტები, რომელიც შეიძლება გამოყენებულ იქნას ეძებს CLSIDs. (მარჯვენა ღილაკის სია გამოიყენეთ მოძებნა ფუნქცია.)

O17 - Lop.com დომენი hijacks

რას ჰგავს:
O17 - HKLM \ სისტემის \ CCS \ მომსახურება \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ სისტემის \ CCS \ მომსახურება \ Tcpip \ პარამეტრები: Domain = W21944.find-quick.com
O17 - HKLM \ პროგრამები \ .. \ ტელეფონი: DomainName = W21944.find-quick.com
O17 - HKLM \ სისტემის \ CCS \ მომსახურება \ Tppip \ .. \ D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ სერვისები \ Tcpip \ პარამეტრი: SearchList = gla.ac.uk
O17 - HKLM \ სისტემის \ CS1 \ სერვისები \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

რა უნდა ვქნა:
თუ დომენი არ არის თქვენი ISP ან კომპანიის ქსელიდან, აქვს HijackThis შეასწორეთ. იგივე ეხება "SearchList" მასალას. "NameServer" ( DNS სერვერების ) ჩანაწერებისათვის, IP ან IP- ები Google და ადვილი იქნება თუ არა ისინი კარგი თუ ცუდი.

O18 - დამატებითი ოქმები და ოქმი hijackers

რას ჰგავს:
O18 - პროტოკოლი: დაკავშირებული ლინკები - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - ოქმი: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - ოქმი hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

რა უნდა ვქნა:
აქ მხოლოდ რამდენიმე hijackers გამოჩნდება აქ. ცნობილი baddies are 'cn' (CommonName), 'ayb' (Lop.com) და 'relatedlinks' (Huntbar), თქვენ უნდა ჰქონდეს HijackThis შეასწოროს ისინი. სხვა რამ, რომლებიც გამოჩნდება ან არ არის დადასტურებული უსაფრთხოდ, ან გატაცებულია (ანუ CLSID შეიცვალა) მიერ spyware. ბოლო შემთხვევაში, HijackThis შეასწოროს იგი.

O19 - მომხმარებლის სტილის ფურცლის გატაცება

რას ჰგავს:
O19 - მომხმარებლის სტილის ფურცელი: c: \ WINDOWS \ Java \ my.css

რა უნდა ვქნა:
იმ შემთხვევაში, თუ ბრაუზერი შენელება და ხშირი popups, აქვს HijackThis დაფიქსირება ამ პუნქტის თუ იგი გვიჩვენებს up in log. თუმცა, რადგან მხოლოდ Coolwebsearch აკეთებს ამას, უმჯობესია გამოვიყენოთ CWShredder მისი დაფიქსირება.

O20 - AppInit_DLL რეესტრის ღირებულება autorun

რას ჰგავს:
O20 - AppInit_DLLs: msconfd.dll

რა უნდა ვქნა:
ეს რეესტრის ღირებულება მდებარეობს HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows იტვირთება DLL მეხსიერებაში, როდესაც მომხმარებელი შესვლისას, მას შემდეგ, რაც იგი რჩება მეხსიერებაში სანამ logoff. ძალიან ცოტა ლეგიტიმური პროგრამები სარგებლობს (Norton CleanSweep იყენებს APITRAP.DLL), ყველაზე ხშირად იგი გამოიყენება trojans ან agressive ბრაუზერის hijackers.

იმ შემთხვევაში, თუ "დამალული" DLL იტვირთება ამ რეესტრის ღირებულებით (მხოლოდ ჩანს, როდესაც "ორობითი მონაცემების რედაქტირების პარამეტრი" Regedit- ში), dll- ის სახელი შეიძლება შეიცვალოს მილის '|' დავინახოთ, რომ ეს ჩანაწერი გამოჩნდება.

O21 - ShellServiceObjectDelayLoad

რას ჰგავს:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

რა უნდა ვქნა:
ეს არის დაუსაბუთებელი autorun მეთოდი, როგორც წესი, გამოიყენება რამდენიმე Windows სისტემის კომპონენტები. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad იტვირთება Explorer- ში, როდესაც Windows იწყება. HijackThis იყენებს რამდენიმე ძალიან გავრცელებული SSODL- ის ელემენტების whitelist, ასე რომ, როდესაც ნივთი არის ნაჩვენები log ეს არის უცნობი და შესაძლოა მუქარის. მკურნალობა უკიდურესი ზრუნვა.

O22 - SharedTaskScheduler

რას ჰგავს:
O22 - SharedTaskScheduler: (არ სახელი) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - გ: \ Windows \ system32 \ mtwirl32.dll

რა უნდა ვქნა:
ეს არის დაუზუსტებელი autorun for Windows NT / 2000 / XP მხოლოდ, რომელიც გამოიყენება ძალიან იშვიათად. ჯერჯერობით მხოლოდ CWS.Smartfinder იყენებს მას. მკურნალობა ზრუნვა.

O23 - NT სერვისები

რას ჰგავს:
O23 - სერვისი: Kerio პირადი Firewall (PersFw) - Kerio ტექნოლოგიები - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

რა უნდა ვქნა:
ეს არის არა-Microsoft- ის სერვისების ჩამონათვალი. სიაში უნდა იყოს იგივე, რაც თქვენ ხედავთ msconfig სასარგებლო Windows XP. რამდენიმე ტროას hijackers გამოიყენოთ ხელნაკეთი მომსახურება adittion სხვა startups რომ გადააყენოს თავს. სრული სახელწოდება, როგორც წესი, მნიშვნელოვანია ჟღერადობა, როგორიცაა "ქსელის უსაფრთხოების სამსახური", "სამუშაო სადგურის ლოგოს სამსახური" ან "დისტანციური საპროცესო ზარის დამხმარე", მაგრამ შიდა სახელი (ფრჩხილებს შორის) არის ნაგვის სტრიქონი, როგორიცაა "ორტი". მეორე ნაწილი ხაზის მფლობელია ბოლოსთვის, როგორც ჩანს, ფაილის თვისებების ნახვა.

გაითვალისწინეთ, რომ O23- ის შეკეთება შეწყდება მხოლოდ სერვისის შეჩერება და გამორთვა. სერვისი უნდა წაიშალოს რეესტრის ხელიდან ან სხვა ხელსაწყოთი. HijackThis 1.99.1 ან უფრო მაღალია, ღილაკი "წაშლა NT სერვისი" სხვადასხვა ინსტრუმენტები განყოფილებაში შეიძლება გამოყენებულ იქნას ამისათვის.