Διερμηνεία δεδομένων καταγραφής για να βοηθήσετε στην κατάργηση προγραμμάτων κατασκοπείας Spyware και Browser
HijackThis είναι ένα δωρεάν εργαλείο από την Trend Micro. Αρχικά αναπτύχθηκε από τον Merijn Bellekom, φοιτητή στην Ολλανδία. Το λογισμικό απομάκρυνσης λογισμικού υποκλοπής spyware όπως το Adaware ή το Spybot S & D κάνουν καλή δουλειά ανίχνευσης και κατάργησης των περισσότερων προγραμμάτων spyware, αλλά ορισμένοι αεροπειρατές κατασκοπευτικών προγραμμάτων και προγραμμάτων περιήγησης είναι πολύ ύπουλοι για ακόμη και αυτές τις μεγάλες επιχειρήσεις κοινής ωφέλειας κατά του spyware.
Το HijackThis γράφεται ειδικά για τον εντοπισμό και την κατάργηση των hijacks του προγράμματος περιήγησης ή λογισμικού που αναλαμβάνει το πρόγραμμα περιήγησης ιστού, αλλάζει την προεπιλεγμένη αρχική σελίδα και τη μηχανή αναζήτησης και άλλα κακόβουλα πράγματα. Σε αντίθεση με το τυπικό λογισμικό anti-spyware, το HijackThis δεν χρησιμοποιεί υπογραφές ούτε στοχεύει σε συγκεκριμένα προγράμματα ή διευθύνσεις URL για ανίχνευση και αποκλεισμό. Αντίθετα, το HijackThis αναζητά τα κόλπα και τις μεθόδους που χρησιμοποιούνται από το κακόβουλο λογισμικό για να μολύνει το σύστημά σας και να ανακατευθύνει το πρόγραμμα περιήγησης.
Δεν είναι όλα όσα εμφανίζονται στα αρχεία καταγραφής HijackThis κακά πράγματα και δεν πρέπει όλα να αφαιρεθούν. Στην πραγματικότητα, το αντίθετο. Είναι σχεδόν εγγυημένο ότι ορισμένα από τα στοιχεία των αρχείων καταγραφής HijackThis θα είναι νόμιμο λογισμικό και η αφαίρεση αυτών των αντικειμένων μπορεί να επηρεάσει αρνητικά το σύστημά σας ή να το καταστήσει εντελώς αδύνατο. Η χρήση του HijackThis είναι πολύ παρόμοια με την επεξεργασία του ίδιου του Μητρώου των Windows . Δεν είναι επιστήμη πυραύλων, αλλά σίγουρα δεν πρέπει να το κάνετε χωρίς κάποια καθοδήγηση από ειδικούς, εκτός αν γνωρίζετε πραγματικά τι κάνετε.
Αφού εγκαταστήσετε το HijackThis και το εκτελέσετε για να δημιουργήσετε ένα αρχείο καταγραφής, υπάρχει μια μεγάλη ποικιλία φόρουμ και ιστότοπων όπου μπορείτε να δημοσιεύσετε ή να μεταφορτώσετε τα δεδομένα καταγραφής. Οι εμπειρογνώμονες που ξέρουν τι να αναζητήσουν μπορούν στη συνέχεια να σας βοηθήσουν να αναλύσετε τα δεδομένα των ημερολογίων και να σας συμβουλέψουμε για τα αντικείμενα που πρέπει να αφαιρέσετε και ποια να τα αφήσετε μόνοι σας.
Για να κατεβάσετε την τρέχουσα έκδοση του HijackThis, μπορείτε να επισκεφθείτε την επίσημη ιστοσελίδα της Trend Micro.
Ακολουθεί μια επισκόπηση των καταχωρίσεων του αρχείου καταγραφής HijackThis, τις οποίες μπορείτε να χρησιμοποιήσετε για να μεταβείτε στις πληροφορίες που ψάχνετε:
- R0, R1, R2, R3 - Διαδικτυακές διευθύνσεις σελίδων εκκίνησης / αναζήτησης του Internet Explorer
- F0, F1 - Αυτόνομα προγράμματα
- N1, N2, N3, N4 - Netscape / Mozilla Start / Αναζήτηση σελίδων URL
- O1 - Υποστηρίζει ανακατεύθυνση αρχείου
- O2 - Βοηθητικά προγράμματα περιήγησης
- O3 - Γραμμές εργαλείων του Internet Explorer
- O4 - Αυτόνομα προγράμματα από το μητρώο
- Το εικονίδιο O5 - IE Options δεν είναι ορατό στον Πίνακα Ελέγχου
- O6 - IE Επιλογές πρόσβασης περιορισμένες από Administrator
- O7 - Η πρόσβαση Regedit περιορίζεται από το διαχειριστή
- O8 - Επιπλέον στοιχεία στο μενού δεξιού κλικ του IE
- O9 - Επιπλέον κουμπιά στη γραμμή εργαλείων του κύριου κουμπιού IE ή επιπλέον στοιχεία στο μενού IE 'Εργαλεία'
- O10 - αεροπειρατή Winsock
- O11 - Επιπλέον ομάδα στο παράθυρο IE 'Advanced Options'
- O12 - IE plugins
- O13 - Αποτυχία IE DefaultPrefix
- O14 - 'Επαναφορά ρυθμίσεων ιστού'
- O15 - Ανεπιθύμητη τοποθεσία στην αξιόπιστη ζώνη
- O16 - Αντικείμενα ActiveX (γνωστά και ως "Κατεβασμένα αρχεία προγράμματος")
- O17 - αεροπειρατές τομέα Lop.com
- O18 - Πρόσθετα πρωτόκολλα και αεροπειρατές του πρωτοκόλλου
- O19 - Αποκλεισμός φύλλου στυλ χρήστη
- O20 - AppInit_DLLs Τιμή μητρώου autorun
- O21 - ShellServiceObjectDelayLoad κλειδί μητρώου autorun
- O22 - SharedTaskScheduler κλειδί μητρώου autorun
- O23 - Υπηρεσίες των Windows NT
R0, R1, R2, R3 - σελίδες εκκίνησης και αναζήτησης IE
Πως μοιάζει:
R0 - HKCU \ Λογισμικό \ Microsoft \ Internet Explorer \ Main, Αρχική Σελίδα = http://www.google.com/
R1 - HKLM \ Λογισμικό \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (αυτός ο τύπος δεν χρησιμοποιείται από το HijackThis ακόμα)
R3 - Το προεπιλεγμένο URLSearchHook λείπει
Τι να κάνω:
Εάν αναγνωρίσετε τη διεύθυνση URL στο τέλος ως αρχική σελίδα ή μηχανή αναζήτησης, είναι εντάξει. Εάν δεν το κάνετε, ελέγξτε το και επιδιορθώστε το HijackThis. Για τα αντικείμενα R3, τα διορθώστε πάντα, εκτός αν αναφέρει ένα πρόγραμμα που αναγνωρίζετε, όπως το Copernic.
F0, F1, F2, F3 - Αυτόνομα προγράμματα από αρχεία INI
Πως μοιάζει:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Τι να κάνω:
Τα στοιχεία F0 είναι πάντα κακά, οπότε τα διορθώστε. Τα στοιχεία της F1 είναι συνήθως πολύ παλιά προγράμματα που είναι ασφαλή, οπότε πρέπει να βρείτε περισσότερες πληροφορίες για το όνομα αρχείου για να δείτε αν είναι καλό ή κακό. Η λίστα εκκίνησης του Pacman μπορεί να βοηθήσει στην αναγνώριση ενός στοιχείου.
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; Αναζήτηση σελίδας
Πως μοιάζει:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Προγράμματα \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"). (C: \ Documents and Settings \ Χρήστης \ Δεδομένα εφαρμογής \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ Χρήστης \ Δεδομένα εφαρμογής \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Τι να κάνω:
Συνήθως η αρχική σελίδα του Netscape και της Mozilla και η σελίδα αναζήτησης είναι ασφαλείς. Σπάνια παίρνουν αεροπειρατεία, μόνο το Lop.com είναι γνωστό ότι το κάνει αυτό. Αν δείτε μια διεύθυνση URL που δεν αναγνωρίζετε ως αρχική σελίδα ή σελίδα αναζήτησής σας, επιδιορθώστε το HijackThis.
O1 - Ανακατευθύνσεις Hostsfile
Πως μοιάζει:
O1 - Υποδοχές: 216.177.73.139 auto.search.msn.com
O1 - Υποδοχές: 216.177.73.139 search.netscape.com
O1 - Υποδοχές: 216.177.73.139 ieautosearch
Το αρχείο O1 - Hosts βρίσκεται στο φάκελο C: \ Windows \ Help \ hosts
Τι να κάνω:
Αυτή η αεροπειρατεία θα ανακατευθύνει τη διεύθυνση προς τα δεξιά στη διεύθυνση IP προς τα αριστερά. Εάν το IP δεν ανήκει στη διεύθυνση, θα μεταφερθείτε σε λάθος τοποθεσία κάθε φορά που εισάγετε τη διεύθυνση. Μπορείτε να έχετε πάντα το HijackThis να διορθώσετε αυτά, εκτός αν έχετε θέσει συνειδητά αυτές τις γραμμές στο αρχείο Hosts σας.
Το τελευταίο στοιχείο εμφανίζεται μερικές φορές στα Windows 2000 / XP με μόλυνση Coolwebsearch. Πάντοτε να διορθώνετε αυτό το στοιχείο ή να το επισκευάζετε αυτόματα από το CWShredder.
O2 - Βοηθητικά προγράμματα περιήγησης
Πως μοιάζει:
O2 - BHO: Yahoo! Σύντροφος BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ ΑΡΧΕΙΑ ΠΡΟΓΡΑΜΜΑΤΩΝ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (χωρίς όνομα) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (αρχείο λείπει)
O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ ΑΡΧΕΙΑ ΠΡΟΓΡΑΜΜΑΤΟΣ \ ΕΝΙΣΧΥΜΕΝΕΣ MEDIALOADS \ ME1.DLL
Τι να κάνω:
Εάν δεν αναγνωρίζετε άμεσα το όνομα του Αντικειμενικού Βοηθού Browser, χρησιμοποιήστε τη Λίστα BHO και τη Γραμμή εργαλείων του TonyK για να το βρείτε με το αναγνωριστικό κλάσης (CLSID, ο αριθμός μεταξύ των αγκυλών) και δείτε εάν είναι καλό ή κακό. Στη λίστα BHO, το "X" σημαίνει spyware και το "L" σημαίνει ασφαλές.
O3 - IE γραμμές εργαλείων
Πως μοιάζει:
O3 - Γραμμή εργαλείων: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Γραμμή εργαλείων: Εξαργύρωση αναδυόμενων παραθύρων - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ \ POPUP ELIMINATOR \ PETOOLBAR401.DLL
O3 - Γραμμή εργαλείων: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Τι να κάνω:
Εάν δεν αναγνωρίζετε άμεσα το όνομα μιας γραμμής εργαλείων, χρησιμοποιήστε τη λίστα BHO και τη γραμμή εργαλείων του TonyK για να την βρείτε με το αναγνωριστικό κλάσης (CLSID, ο αριθμός μεταξύ των αγκυλών) και δείτε αν είναι καλό ή κακό. Στη λίστα γραμμών εργαλείων, το "X" σημαίνει spyware και το "L" σημαίνει ασφαλές. Αν δεν υπάρχει στη λίστα και το όνομα φαίνεται τυχαία σειρά χαρακτήρων και το αρχείο βρίσκεται στον φάκελο "Δεδομένα εφαρμογών" (όπως το τελευταίο στα παραπάνω παραδείγματα), είναι πιθανότατα το Lop.com και σίγουρα θα πρέπει να διορθώσετε το HijackThis το.
O4 - Αυτόνομα προγράμματα από τη μητρώου ή την ομάδα εκκίνησης
Πως μοιάζει:
O4 - HKLM \ .. \ Εκτέλεση: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Εκτέλεση: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Εκτέλεση: [ccApp] "C: \ Program Files \ Κοινά αρχεία \ Symantec Shared \ ccApp.exe"
O4 - Εκκίνηση: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Παγκόσμια εκκίνηση: winlogon.exe
Τι να κάνω:
Χρησιμοποιήστε τη λίστα εκκίνησης του PacMan για να βρείτε την καταχώρηση και να δείτε αν είναι καλό ή κακό.
Εάν το στοιχείο εμφανίζει ένα πρόγραμμα που κάθεται σε μια ομάδα εκκίνησης (όπως το τελευταίο στοιχείο παραπάνω), το HijackThis δεν μπορεί να διορθώσει το στοιχείο εάν αυτό το πρόγραμμα παραμένει στη μνήμη. Χρησιμοποιήστε τη Διαχείριση εργασιών των Windows (TASKMGR.EXE) για να κλείσετε τη διαδικασία πριν από την επιδιόρθωση.
O5 - Οι επιλογές IE δεν είναι ορατές στον Πίνακα Ελέγχου
Πως μοιάζει:
O5 - control.ini: inetcpl.cpl = όχι
Τι να κάνω:
Εκτός εάν εσείς ή ο διαχειριστής του συστήματός σας έχετε αποκρύψει εν γνώσει το εικονίδιο από τον Πίνακα Ελέγχου, επιδιορθώστε το HijackThis.
O6 - IE Επιλογές πρόσβασης περιορισμένες από Administrator
Πως μοιάζει:
O6 - HKCU \ Λογισμικό \ Πολιτικές \ Microsoft \ Internet Explorer \ Περιορισμοί παρόντες
Τι να κάνω:
Εκτός αν έχετε την επιλογή Spybot S & D 'ενεργοποιημένη την αρχική σελίδα κλειδώματος από τις αλλαγές', ή ο διαχειριστής του συστήματος το έθεσε σε ισχύ, το HijackThis επιδιορθώνει αυτό.
O7 - Η πρόσβαση Regedit περιορίζεται από το διαχειριστή
Πως μοιάζει:
O7 - HKCU \ Λογισμικό \ Microsoft \ Windows \ CurrentVersion \ Policies \ Σύστημα, DisableRegedit = 1
Τι να κάνω:
Να έχετε πάντα HijackThis το διορθώσετε αυτό, εκτός εάν ο διαχειριστής του συστήματός σας έχει θέσει αυτόν τον περιορισμό στη θέση του.
O8 - Επιπλέον στοιχεία στο μενού δεξιού κλικ του IE
Πως μοιάζει:
O8 - Πρόσθετο στοιχείο μενού περιβάλλοντος: & Αναζήτηση Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_GR_1.1.68-DELEON.DLL / cmsearch.html
O8 - Έξτρα στοιχείο μενού περιβάλλοντος: Yahoo! Αναζήτηση - αρχείο: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Έξτρα στοιχείο μενού περιβάλλοντος: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Έξτρα στοιχείο μενού περιβάλλοντος: Μεγέθυνση O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Τι να κάνω:
Αν δεν αναγνωρίζετε το όνομα του στοιχείου στο μενού δεξιού κλικ στο IE, θα πρέπει να διορθώσετε το HijackThis.
O9 - Πρόσθετα κουμπιά στην κύρια γραμμή εργαλείων IE ή πρόσθετα στοιχεία στο IE & # 39; Εργαλεία & # 39; μενού
Πως μοιάζει:
O9 - Κουμπί Extra: Messenger (HKLM)
O9 - Εργαλεία μενού "Extra": Messenger (HKLM)
O9 - Κουμπί Extra: AIM (HKLM)
Τι να κάνω:
Αν δεν αναγνωρίσετε το όνομα του κουμπιού ή του στοιχείου μενού, θα πρέπει να διορθώσετε το HijackThis.
O10 - αεροπειρατές Winsock
Πως μοιάζει:
O10 - Πρόσβαση στο Internet από το New.Net
O10 - Λανθασμένη πρόσβαση στο Διαδίκτυο λόγω λείπουν ο πάροχος LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll'
O10 - Άγνωστο αρχείο στο Winsock LSP: c: \ files \ newton ξέρει \ vmain.dll
Τι να κάνω:
Είναι καλύτερο να τα διορθώσετε χρησιμοποιώντας το LSPFix από το Cexx.org ή το Spybot S & D από το Kolla.de.
Σημειώστε ότι τα "άγνωστα" αρχεία στη στοίβα LSP δεν θα διορθωθούν από το HijackThis, για θέματα ασφάλειας.
O11 - Έξτρα ομάδα στις προχωρημένες επιλογές του IE & # 39; παράθυρο
Πως μοιάζει:
O11 - Ομάδα επιλογών: [CommonName] CommonName
Τι να κάνω:
Ο μόνος αεροπειρατής από τώρα που προσθέτει τη δική του ομάδα επιλογών στο παράθυρο IE Advanced Options είναι CommonName. Έτσι μπορείτε να έχετε πάντα HijackThis διορθώσετε αυτό.
O12 - IE plugins
Πως μοιάζει:
O12 - Προσθήκη για το .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Προσθήκη για .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Τι να κάνω:
Τις περισσότερες φορές είναι ασφαλείς. Μόνο το OnFlow προσθέτει εδώ ένα plugin που δεν θέλετε (.ofb).
O13 - Αποτυχία IE DefaultPrefix
Πως μοιάζει:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Πρόθεμα WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Πρόθεμα: http://ehttp.cc/?
Τι να κάνω:
Αυτά είναι πάντα κακά. Έχετε το HijackThis τα διορθώσετε.
O14 - & # 39; Επαναφορά ρυθμίσεων ιστού & # 39; εκβιάζω
Πως μοιάζει:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Τι να κάνω:
Εάν η διεύθυνση URL δεν είναι ο πάροχος του υπολογιστή σας ή του ISP σας, επιδιορθώστε το HijackThis.
O15 - Ανεπιθύμητες τοποθεσίες στην Αξιόπιστη Ζώνη
Πως μοιάζει:
O15 - Αξιόπιστη Ζώνη: http://free.aol.com
O15 - Αξιόπιστη ζώνη: * .coolwebsearch.com
O15 - Αξιόλογη ζώνη: * .msn.com
Τι να κάνω:
Τις περισσότερες φορές μόνο η AOL και η Coolwebsearch προσθέτουν σιωπηλά τοποθεσίες στη Αξιόλογη Ζώνη. Εάν δεν προσθέσατε τον ελεγχόμενο τομέα στην εφεδρική ζώνη μόνοι σας, επιδιορθώστε το HijackThis.
O16 - Αντικείμενα ActiveX (γνωστά και ως "Κατεβασμένα αρχεία προγράμματος")
Πως μοιάζει:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Αντικείμενο Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Τι να κάνω:
Εάν δεν αναγνωρίζετε το όνομα του αντικειμένου ή τη διεύθυνση URL από την οποία έχει μεταφορτωθεί, το διορθώσετε από το HijackThis. Αν το όνομα ή η διεύθυνση URL περιέχει λέξεις όπως 'dialer', 'casino', 'free_plugin' κ.λπ., σίγουρα το διορθώσετε. Το SpywareBlaster της Javacool διαθέτει μια τεράστια βάση δεδομένων με κακόβουλα αντικείμενα ActiveX που μπορούν να χρησιμοποιηθούν για την αναζήτηση CLSID. (Κάντε δεξί κλικ στη λίστα για να χρησιμοποιήσετε τη λειτουργία εύρεσης.)
O17 - Hacking τομέα του Lop.com
Πως μοιάζει:
O17 - HKLM \ Σύστημα \ CCS \ Υπηρεσίες \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Σύστημα \ CCS \ Υπηρεσίες \ Tcpip \ Παράμετροι: Domain = W21944.find-quick.com
O17 - HKLM \ Λογισμικό \ .. \ Τηλεφωνία: DomainName = W21944.find-quick.com
O17 - HKLM \ Σύστημα \ CCS \ Υπηρεσίες \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Τομέας = W21944.find-quick.com
O17 - HKLM \ Σύστημα \ CS1 \ Υπηρεσίες \ Tcpip \ Παράμετροι: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Υπηρεσίες \ VxD \ MSTCP: ΌνομαServer = 69.57.146.14,69.57.147.175
Τι να κάνω:
Αν ο τομέας δεν είναι από τον ISP ή το δίκτυο της εταιρείας σας, επιδιορθώστε το HijackThis. Το ίδιο ισχύει και για τις καταχωρίσεις 'SearchList'. Για τις καταχωρίσεις 'NameServer' ( διακομιστές DNS ), η Google για την IP ή IP και θα είναι εύκολο να δούμε αν είναι καλοί ή κακοί.
O18 - Πρόσθετα πρωτόκολλα και αεροπειρατές του πρωτοκόλλου
Πως μοιάζει:
O18 - Πρωτόκολλο: σχετικοί σύνδεσμοι - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Πρωτόκολλο: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Απόπειρα πρωτοκόλλου: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Τι να κάνω:
Μόνο μερικοί αεροπειρατές εμφανίζονται εδώ. Οι γνωστοί κακοί είναι "cn" (CommonName), "ayb" (Lop.com) και "relatedlinks" (Huntbar), θα πρέπει να έχετε το HijackThis να τις διορθώσετε. Άλλα πράγματα που εμφανίζονται είτε δεν έχουν επιβεβαιωθεί ακόμη ασφαλές, είτε έχουν καταστρατηγηθεί (π.χ. το CLSID έχει αλλάξει) από το spyware. Στην τελευταία περίπτωση, το HijackThis το διορθώσετε.
O19 - Αποκλεισμός φύλλου στυλ χρήστη
Πως μοιάζει:
O19 - Φύλλο στυλ χρήστη: c: \ WINDOWS \ Java \ my.css
Τι να κάνω:
Σε περίπτωση επιβράδυνσης του προγράμματος περιήγησης και συχνών αναδυόμενων παραθύρων, το HijackThis επιδιορθώνει αυτό το στοιχείο αν εμφανίζεται στο ημερολόγιο. Ωστόσο, δεδομένου ότι μόνο το Coolwebsearch κάνει αυτό, είναι καλύτερο να χρησιμοποιήσετε το CWShredder για να το διορθώσετε.
O20 - AppInit_DLLs Τιμή μητρώου autorun
Πως μοιάζει:
O20 - AppInit_DLLs: msconfd.dll
Τι να κάνω:
Αυτή η τιμή μητρώου που βρίσκεται στο HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows φορτώνει ένα αρχείο DLL στη μνήμη όταν συνδεθεί ο χρήστης, μετά από το οποίο παραμένει στη μνήμη μέχρι την αποχώρησή του. Πολύ λίγα νόμιμα προγράμματα το χρησιμοποιούν (το Norton CleanSweep χρησιμοποιεί το APITRAP.DLL), το πιο συχνά χρησιμοποιείται από trojans ή aggressive browser αεροπειρατές.
Σε περίπτωση που μια "κρυφή" φόρτωση DLL από αυτήν την τιμή του μητρώου (εμφανίζεται μόνο όταν χρησιμοποιείται η επιλογή "Επεξεργασία δυαδικών δεδομένων" στο Regedit), το όνομα dll μπορεί να έχει προθέματα με ένα σωλήνα '|' για να γίνει ορατό στο αρχείο καταγραφής.
O21 - ShellServiceObjectDelayLoad
Πως μοιάζει:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ Σύστημα \ auhook.dll
Τι να κάνω:
Πρόκειται για μια μη τεκμηριωμένη μέθοδο autorun, που συνήθως χρησιμοποιείται από μερικά στοιχεία του συστήματος των Windows. Τα στοιχεία που παρατίθενται στο HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad φορτώνονται από την Εξερεύνηση κατά την εκκίνηση των Windows. Το HijackThis χρησιμοποιεί ένα κατάλογο λευκών λίστας με πολλά πολύ κοινά στοιχεία SSODL, οπότε κάθε φορά που εμφανίζεται ένα στοιχείο στο αρχείο καταγραφής είναι άγνωστο και πιθανόν κακόβουλο. Αντιμετωπίστε με μεγάλη προσοχή.
O22 - SharedTaskScheduler
Πως μοιάζει:
O22 - SharedTaskScheduler: (χωρίς όνομα) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Τι να κάνω:
Πρόκειται για ένα έγγραφο χωρίς άδεια για τα Windows NT / 2000 / XP μόνο, το οποίο χρησιμοποιείται πολύ σπάνια. Μέχρι τώρα μόνο το CWS.Smartfinder το χρησιμοποιεί. Αντιμετωπίστε με προσοχή.
Υπηρεσίες O23 - NT
Πως μοιάζει:
O23 - Υπηρεσία: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Τι να κάνω:
Αυτή είναι η λίστα υπηρεσιών που δεν ανήκουν στη Microsoft. Η λίστα θα πρέπει να είναι ίδια με αυτή που βλέπετε στο βοηθητικό πρόγραμμα Msconfig των Windows XP. Αρκετοί απατεώνες trojan χρησιμοποιούν μια σπιτική υπηρεσία σε προσθήκη σε άλλες επιχειρήσεις για να επανεγκατασταθούν. Το πλήρες όνομα είναι συνήθως σημαντικό, όπως "Υπηρεσία Ασφάλειας Δικτύου", "Υπηρεσία Σύνδεσης Σταθμού Εργασίας" ή "Βοηθός Call Call Remote", αλλά το εσωτερικό όνομα (μεταξύ παρενθέσεων) είναι μια σειρά από σκουπίδια, όπως "Ort". Το δεύτερο μέρος της γραμμής είναι ο ιδιοκτήτης του αρχείου στο τέλος, όπως φαίνεται στις ιδιότητες του αρχείου.
Σημειώστε ότι ο καθορισμός ενός στοιχείου O23 θα σταματήσει την υπηρεσία και θα την απενεργοποιήσει. Η υπηρεσία πρέπει να διαγραφεί από το μητρώο με μη αυτόματο τρόπο ή με άλλο εργαλείο. Στο HijackThis 1.99.1 ή παραπάνω, το κουμπί 'Delete NT Service' στην ενότητα Misc Tools μπορεί να χρησιμοποιηθεί για αυτό.