ວິທີການວິເຄາະ HijackThis Logs

by Tony Bradley, CISSP-ISSAP

ການຕີຄວາມຫມາຍຂໍ້ມູນເພື່ອຊ່ວຍໃຫ້ລົບ Spyware ແລະ Browser Hijackers

HijackThis ແມ່ນເຄື່ອງມືຟຣີຈາກ Trend Micro. ມັນໄດ້ຖືກພັດທະນາໂດຍ Merijn Bellekom, ນັກສຶກສາໃນປະເທດເນເທີແລນ. ຊອບແວການໂຍກຍ້າຍ Spyware ເຊັ່ນ: Adaware ຫຼື Spybot S & D ເຮັດວຽກທີ່ດີຂອງການກວດສອບແລະຖອນເອົາໂຄງການ spyware ຫຼາຍທີ່ສຸດ, ແຕ່ບາງ spyware ແລະ hijackers ຕົວທ່ອງເວັບແມ່ນ insidious ເກີນໄປສໍາລັບການເຫຼົ່ານີ້ເຖິງແມ່ນວ່າ utility ຕ້ານ spyware ທີ່ຍິ່ງໃຫຍ່.

HijackThis ແມ່ນລາຍລັກອັກສອນໂດຍສະເພາະໃນການກວດສອບແລະລຶບຕົວທ່ອງເວັບຂອງຕົວທ່ອງເວັບ, ຫຼືຊອບແວທີ່ໃຊ້ເວລາໃນໄລຍະຕົວທ່ອງເວັບຂອງເວັບ, ປ່ຽນຫນ້າທໍາອິດຂອງທ່ານແລະເຄື່ອງຈັກຊອກຫາແລະສິ່ງທີ່ເປັນອັນຕະລາຍອື່ນໆ. ບໍ່ເຫມືອນກັນກັບຊອບແວຕ້ານ spyware ທົ່ວໄປ, HijackThis ບໍ່ໄດ້ນໍາໃຊ້ລາຍເຊັນຫລືເປົ້າຫມາຍໃດໆຂອງໂຄງການຫຼື URL ທີ່ຈະກວດພົບແລະຕັນ. ແທນທີ່ຈະ, HijackThis ເບິ່ງເຄັດລັບແລະວິທີການທີ່ໃຊ້ໂດຍ malware ເພື່ອຕິດເຊື້ອລະບົບຂອງທ່ານແລະປ່ຽນເສັ້ນທາງທ່ອງເວັບຂອງທ່ານ.

ບໍ່ທຸກສິ່ງທຸກຢ່າງທີ່ສະແດງຢູ່ໃນບັນທຶກ HijackThis ແມ່ນສິ່ງທີ່ບໍ່ດີແລະມັນບໍ່ຄວນຈະຖືກໂຍກຍ້າຍທັງຫມົດ. ໃນຄວາມເປັນຈິງ, ຂ້ອນຂ້າງກົງກັນຂ້າມ. ມັນຖືກຮັບປະກັນເກືອບວ່າບາງບັນດາລາຍການໃນບັນທຶກ HijackThis ຂອງທ່ານຈະເປັນຊອບແວທີ່ຖືກຕ້ອງແລະການຖອນເອົາບັນດາລາຍການເຫຼົ່ານັ້ນອາດຈະມີຜົນກະທົບຕໍ່ລະບົບຂອງທ່ານຫຼືເຮັດໃຫ້ມັນບໍ່ສາມາດໃຊ້ໄດ້. ການນໍາໃຊ້ HijackThis ແມ່ນຄ້າຍຄືການແກ້ໄຂ Windows Registry ຕົວທ່ານເອງ. ມັນບໍ່ແມ່ນວິທະຍາສາດກ່ຽວກັບລູກ, ແຕ່ທ່ານກໍ່ບໍ່ຄວນເຮັດມັນໂດຍບໍ່ມີການແນະນໍາຜູ້ຊ່ຽວຊານບາງເວັ້ນເສຍແຕ່ທ່ານຮູ້ວ່າທ່ານກໍາລັງເຮັດຫຍັງ.

ເມື່ອທ່ານຕິດຕັ້ງ HijackThis ແລະດໍາເນີນການມັນເພື່ອສ້າງໄຟລ໌ log, ມີເວບບອດແລະເວັບໄຊຕ່າງໆທີ່ທ່ານສາມາດໂພດຫລືອັບໂຫລດຂໍ້ມູນບັນທຶກຂອງທ່ານ. ຜູ້ຊ່ຽວຊານທີ່ຮູ້ວ່າຈະຊອກຫາຫຍັງກໍ່ສາມາດຊ່ວຍໃຫ້ທ່ານວິເຄາະຂໍ້ມູນບັນທຶກແລະໃຫ້ຄໍາແນະນໍາກ່ຽວກັບບັນດາລາຍການທີ່ຈະເອົາແລະຄົນທີ່ຈະອອກຈາກຄົນດຽວ.

ເພື່ອດາວໂຫລດເວີຊັນ HijackThis ປັດຈຸບັນ, ທ່ານສາມາດໄປຢ້ຽມຢາມເວັບໄຊທ໌ທາງການທີ່ Trend Micro.

ນີ້ແມ່ນພາບລວມຂອງບັນຊີລາຍການ HijackThis ທີ່ທ່ານສາມາດໃຊ້ເພື່ອເຕັ້ນໄປຫາຂໍ້ມູນທີ່ທ່ານກໍາລັງຊອກຫາ:

R0, R1, R2, R3 - Internet Explorer Start / Search URLs
F0, F1 - ໂຄງການ Autoloading
N1, N2, N3, N4 - Netscape / Mozilla Start / Search URLs
O1 - ການໂອນໄຟລ໌ຂອງເຈົ້າພາບ
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - ໂຄງການ Autoloading ຈາກ Registry
ຕົວເລືອກ O5-IE ຕົວເລືອກບໍ່ປາກົດຢູ່ໃນກະດານຄວບຄຸມ
ການເຂົ້າເຖິງທາງເລືອກ O6 - IE ຖືກຈໍາກັດໂດຍ Administrator
O7 - ການເຂົ້າເຖິງ Regedit ຖືກຈໍາກັດໂດຍ Administrator
O8 - ລາຍການພິເສດໃນ IE ຄລິກທີ່ເມນູ
O9 - ປຸ່ມພິເສດໃນແຖບເຄື່ອງມື IE ຫຼັກໆ, ຫຼືລາຍການພິເສດໃນເມນູ 'Tools' ຂອງ IE
O10-Winsock hijacker
O11 - ກຸ່ມພິເສດໃນ IE 'Advanced Options' window
O12-IE plugins
O13-IE DefaultPrefix hijack
O14 - "ການຕັ້ງຄ່າການຕັ້ງຄ່າເວັບໄຊຕ໌" ຂົ່ມຂູ່
O15 - ເວັບໄຊທ໌ທີ່ບໍ່ຕ້ອງການຢູ່ໃນເຂດທີ່ເຊື່ອຖືໄດ້
O16 - ActiveX Objects (ແລະໄຟລ໌ໂຄງການດາວໂຫຼດ)
O17 - Lop.com ໂດເມນ hijackers
O18 - ໂປຣແກຣມພິເສດແລະຕົວທ່ອງເວັບ hijackers ໂປໂຕຄອນ
O19 - ຮູບແບບຜູ້ໃຊ້ hijack
O20 - AppInit_DLLs Registry value ເປີດໃຊ້
O21 - ShellServiceObjectDelayLoad Registry key ເປີດ
O22 - SharedTaskScheduler Registry key ອະນຸຍາດໃຫ້

O23 - ບໍລິການ Windows NT

R0, R1, R2, R3 - IE Start ແລະ Search pages

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
R0-HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1-HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (ປະເພດນີ້ບໍ່ໄດ້ຖືກນໍາໃຊ້ໂດຍ HijackThis ນີ້)
R3 - Default URLSearchHook ຫາຍໄປ

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານຮັບຮູ້ URL ຢູ່ໃນຕອນທ້າຍຂອງຫນ້າທໍາອິດຫຼືເຄື່ອງຈັກຊອກຫາຂອງທ່ານ, ມັນແມ່ນ OK. ຖ້າທ່ານບໍ່ເຮັດ, ກວດເບິ່ງມັນແລະມີ HijackThis ແກ້ໄຂມັນ. ສໍາລັບລາຍການ R3, ສະເຫມີແກ້ໄຂໃຫ້ເຂົາເຈົ້າເວັ້ນເສຍແຕ່ວ່າມັນກ່າວເຖິງໂຄງການທີ່ທ່ານໄດ້ຮັບຮູ້, ຄື Copernic.

F0, F1, F2, F3 - ໂຄງການ Autoloading ຈາກໄຟລ໌ INI

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
F0-systemini: Shell = Explorerexe Openmexe
F1-winini: run = hpfsched

ສິ່ງທີ່ຕ້ອງເຮັດ:
ລາຍການ F0 ແມ່ນສະເຫມີໄປບໍ່ດີ, ດັ່ງນັ້ນການແກ້ໄຂໃຫ້ເຂົາເຈົ້າ. ລາຍການ F1 ແມ່ນປົກກະຕິແລ້ວໂຄງການເກົ່າທີ່ມີຄວາມປອດໄພ, ສະນັ້ນທ່ານຄວນຊອກຫາຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຊື່ເອກະສານເພື່ອເບິ່ງວ່າມັນດີຫຼືບໍ່ດີ. ບັນຊີ Startup Pacman ສາມາດຊ່ວຍໃນການລະບຸລາຍການ.

N1, N2, N3, N4 - Netscape / Mozilla Start & amp; ຫນ້າຄົ້ນຫາ

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
N1 - Netscape 4: user_pref "browserstartup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browserstartup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tflslt \ prefsjs)
N2-Netscape 6: user_pref ("browsersearchdefaultengine", "engine: // C% 3A% 5CProgram% 20Files% 5CNetscape% 206% 5Csearchplugins% 5CSBWeb_02src") (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tflslt \ prefsjs)

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຕາມປົກກະຕິແລ້ວຫນ້າເວັບແລະຫນ້າຄົ້ນຫາຂອງ Netscape ແລະ Mozilla ມີຄວາມປອດໄພ. ພວກເຂົາບໍ່ຄ່ອຍຈະຖືກຂົ່ມຂືນ, ແຕ່ Lop.com ໄດ້ເປັນທີ່ຮູ້ຈັກວ່າຈະເຮັດແນວນີ້. ທ່ານຄວນເຫັນ URL ທີ່ທ່ານບໍ່ຮູ້ຈັກເປັນຫນ້າທໍາອິດຫຼືຫນ້າຄົ້ນຫາຂອງທ່ານ, ມີ HijackThis ແກ້ໄຂມັນ.

O1-Hostsfile redirections

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O1-Hosts: 21617773139 autosearchmsncom
O1 - ໂຮດຕິ້ງ: 21617773139 searchnetscape.com
O1 - ເຈົ້າພາບ: 21617773139 ieautosearch
O1 - ໄຟລ໌ເຈົ້າພາບແມ່ນຢູ່ທີ່ C: \ Windows \ Help \ hosts

ສິ່ງທີ່ຕ້ອງເຮັດ:
ການຫລອກລວງນີ້ຈະສົ່ງເສັ້ນທາງໄປຫາສິດທີ່ຢູ່ IP ຢູ່ທາງຊ້າຍ. ຖ້າ IP ບໍ່ຂຶ້ນກັບທີ່ຢູ່, ທ່ານຈະຖືກສົ່ງກັບເວັບໄຊທ໌ທີ່ບໍ່ຖືກຕ້ອງທຸກຄັ້ງທີ່ທ່ານໃສ່ທີ່ຢູ່. ທ່ານສະເຫມີສາມາດມີ HijackThis ແກ້ໄຂເຫຼົ່ານີ້, ເວັ້ນເສຍແຕ່ວ່າທ່ານເຈດໃຈໃສ່ສາຍເຫຼົ່ານັ້ນຢູ່ໃນໄຟລ໌ເຈົ້າພາບຂອງທ່ານ.

ລາຍການຫຼ້າສຸດກໍ່ເກີດຂື້ນໃນ Windows 2000 / XP ດ້ວຍການຕິດເຊື້ອ Coolwebsearch. ຕ້ອງແກ້ໄຂບັນຫານີ້, ຫຼືແກ້ໄຂ CWShredder ໂດຍອັດຕະໂນມັດ.

O2 - Browser Helper Objects

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O2-BHO: Yahoo! Companion BHO- {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4DLL
O2-BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401DLL (file missing)
O2-BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1DLL

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານບໍ່ຮູ້ຊື່ຂອງຕົວເລືອກຂອງ Browser Helper, ໃຫ້ໃຊ້ BHO & ແຖບເຄື່ອງມືຂອງ TonyK ເພື່ອຊອກຫາມັນໂດຍ ID ຫ້ອງຮຽນ (CLSID, ຫມາຍເລກລະຫວ່າງວົງເລັບ) ແລະເບິ່ງວ່າມັນດີຫຼືບໍ່ດີ. ໃນບັນຊີ BHO, 'X' ຫມາຍເຖິງ spyware ແລະ 'L' ຫມາຍຄວາມວ່າມີຄວາມປອດໄພ.

O3-IE toolbars

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O3 - ແຖບເຄື່ອງມື: & Yahoo! Companion- {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ FILES \ PROGRAM \ YAHOO! \ COMPANION \ YCOMP5_0_2_4DLL
O3 - ແຖບເຄື່ອງມື: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (ໄຟລ໌ທີ່ຂາດຫາຍໄປ)
O3 - ແຖບເຄື່ອງມື: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານບໍ່ຮູ້ຊື່ຂອງແຖບເຄື່ອງມືໂດຍກົງ, ໃຫ້ໃຊ້ BHO & ແຖບເຄື່ອງມືຂອງ TonyK ເພື່ອຊອກຫາມັນໂດຍລະຫັດປະເພດ (CLSID, ຫມາຍເລກລະຫວ່າງວົງເລັບ) ແລະເບິ່ງວ່າມັນດີຫຼືບໍ່ດີ. ໃນລາຍການແຖບເຄື່ອງມື, 'X' ຫມາຍຄວາມວ່າ spyware ແລະ 'L' ຫມາຍຄວາມວ່າມີຄວາມປອດໄພ. ຖ້າຫາກວ່າມັນບໍ່ຢູ່ໃນບັນຊີແລະຊື່ເບິ່ງຄືວ່າຕົວອັກສອນຕົວເລກແບບສຸ່ມແລະໄຟລ໌ຢູ່ໃນໂຟເດີ 'Application Data' (ເຊັ່ນດຽວກັບຕົວສຸດທ້າຍໃນຕົວຢ່າງຂ້າງເທິງ), ມັນອາດຈະເປັນ Lop.com, ແລະທ່ານແນ່ນອນຄວນມີການແກ້ໄຂ HijackThis ມັນ.

O4 - ໂຄງການ Autoloading ຈາກ Registry ຫຼື Startup ກຸ່ມ

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O4-HKLM \ \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4-HKLM \ \ Run: [SystemTray] SysTrayExe
O4 - HKLM \ \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4-Startup: Microsoft Officelnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9EXE
O4 - Global Startup: winlogone.exe

ສິ່ງທີ່ຕ້ອງເຮັດ:
ໃຊ້ຊື່ Startup ຂອງ PacMan ເພື່ອຊອກຫາເຂົ້າແລະເບິ່ງວ່າມັນດີຫຼືບໍ່ດີ.

ຖ້າລາຍະການສະແດງໃຫ້ເຫັນວ່າໂຄງການທີ່ຕັ້ງຢູ່ໃນກຸ່ມ Startup (ເຊັ່ນ: ລາຍການຫຼ້າສຸດຂ້າງເທິງ), HijackThis ບໍ່ສາມາດແກ້ໄຂໄດ້ຖ້າວ່າໂຄງການນີ້ຍັງຢູ່ໃນຫນ່ວຍຄວາມຈໍາ. ໃຊ້ Windows Task Manager (TASKMGR.EXE) ເພື່ອປິດຂະບວນການກ່ອນທີ່ຈະແກ້ໄຂ.

ຕົວເລືອກ O5 - IE ບໍ່ສາມາດເຫັນໄດ້ໃນ Control Panel

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O5-controlini: inetcplcpl = no

ສິ່ງທີ່ຕ້ອງເຮັດ:
ເວັ້ນເສຍແຕ່ວ່າທ່ານຫຼືຜູ້ເບິ່ງແຍງລະບົບຂອງທ່ານໄດ້ເຈື່ອງໄວ້ຂັດຂວາງ icon ຈາກ Control Panel, ມີ HijackThis ແກ້ໄຂມັນ.

ການເຂົ້າເຖິງທາງເລືອກ O6 - IE ຖືກຈໍາກັດໂດຍ Administrator

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O6-HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions present

ສິ່ງທີ່ຕ້ອງເຮັດ:
ເວັ້ນເສຍແຕ່ວ່າທ່ານມີຕົວເລືອກ Spybot S & D 'ລັອກຫນ້າທໍາອິດຈາກການປ່ຽນແປງ', ຫຼືຜູ້ເບິ່ງແຍງລະບົບຂອງທ່ານໃຫ້ມັນເຂົ້າໄປໃນສະຖານທີ່, ມີ HijackThis ແກ້ໄຂນີ້.

O7 - ການເຂົ້າເຖິງ Regedit ຖືກຈໍາກັດໂດຍ Administrator

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O7-HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

ສິ່ງທີ່ຕ້ອງເຮັດ:
ສະເຫມີມີ HijackThis ການແກ້ໄຂນີ້, ເວັ້ນເສຍແຕ່ວ່າຜູ້ເບິ່ງແຍງລະບົບຂອງທ່ານໄດ້ວາງຂໍ້ຈໍາກັດນີ້ໄວ້.

O8 - ລາຍການພິເສດໃນ IE ຄລິກທີ່ເມນູ

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O8 - ລາຍການເມນູແຖບພິເສດ: & ຄົ້ນຫາຂອງ Google - res: // C: \ WINDOWS \ DOWNLOADED FILES PROGRAM \ GOOGLETOOLBAR_EN_1.168-DELEON.DLL / cmsearch.html
O8 - ລາຍະການເມນູທີ່ເພີ່ມເຕີມ: Yahoo! ຄົ້ນຫາ - ໄຟລ໌: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - ລາຍການເມນູເມນູ Extra: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - ລາຍການເມນູເມນູພິເສດ: ຂະຫຍາຍ O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານບໍ່ທາບຊື່ຂອງລາຍະການໃນເມນູທີ່ມີສິດຄລິກໃນ IE, ມີ HijackThis ແກ້ໄຂມັນ.

O9 - ປຸ່ມພິເສດໃນແຖບເຄື່ອງມື IE ຫລັກ, ຫຼືລາຍການພິເສດໃນ IE & # 39; Tools & # 39; ເມນູ

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O9 - ປຸ່ມເພີ່ມເຕີມ: Messenger (HKLM)
O9 - ເຄື່ອງມືພິເສດ 'Tools': Messenger (HKLM)
O9 - ປຸ່ມເພີ່ມເຕີມ: AIM (HKLM)

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານບໍ່ຮູ້ຊື່ຂອງປຸ່ມຫຼືລາຍການເມນູ, ໃຫ້ HijackThis ແກ້ໄຂມັນ.

O10-Winsock hijackers

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O10 - ການເຂົ້າເຖິງອິນເຕີເນັດທີ່ຖືກລັກລອບໂດຍ NewNet
O10 - ການເຂົ້າເຖິງອິນເຕີເນັດທີ່ເສຍຫາຍເນື່ອງຈາກຜູ້ໃຫ້ບໍລິການ LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' ຫາຍໄປ
O10 - ໄຟລ໌ທີ່ບໍ່ຮູ້ຈັກໃນ Winsock LSP: c: \ program files \ newton ຮູ້ \ vmain.dll

ສິ່ງທີ່ຕ້ອງເຮັດ:
ມັນດີທີ່ສຸດທີ່ຈະແກ້ໄຂເຫຼົ່ານີ້ໂດຍໃຊ້ LSPFix ຈາກ Cexx.org, ຫຼື Spybot S & D ຈາກ Kolla.de.

ໃຫ້ສັງເກດວ່າໄຟລ໌ທີ່ບໍ່ຮູ້ຈັກໃນ LSP stack ຈະບໍ່ຖືກແກ້ໄຂໂດຍ HijackThis, ສໍາລັບບັນຫາຄວາມປອດໄພ.

O11 - ກຸ່ມພິເສດໃນ IE & # 39; Advanced Options & # 39; window

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O11 - ກຸ່ມຕົວເລືອກ: [CommonName] CommonName

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຜູ້ລ່ວງລະເມີດທີ່ມີພຽງແຕ່ໃນປັດຈຸບັນທີ່ເພີ່ມກຸ່ມຕົວເລືອກຂອງຕົວເອງໄປທີ່ຫນ້າຕ່າງ IE Advanced Options ແມ່ນ CommonName. ດັ່ງນັ້ນທ່ານສະເຫມີສາມາດມີ HijackThis ແກ້ໄຂນີ້.

O12-IE plugins

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O12 - ປ່ອງສໍາລັບ spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - ປ່ອງຢ້ຽມສໍາລັບ .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

ສິ່ງທີ່ຕ້ອງເຮັດ:
ສ່ວນໃຫຍ່ຂອງເວລາເຫຼົ່ານີ້ແມ່ນປອດໄພ. ພຽງແຕ່ OnFlow ເພີ່ມ plugin ທີ່ນີ້ທີ່ທ່ານບໍ່ຕ້ອງການ (.ofb).

O13-IE DefaultPrefix hijack

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13-WWW Prefix: http: // hertpcc /?

ສິ່ງທີ່ຕ້ອງເຮັດ:
ເຫຼົ່ານີ້ແມ່ນສະເຫມີໄປບໍ່ດີ. ມີ HijackThis ແກ້ໄຂພວກມັນ.

O14 - & # 39; ປັບຕັ້ງການຕັ້ງຄ່າເວັບ & # 39; hijack

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າ URL ບໍ່ແມ່ນຜູ້ໃຫ້ບໍລິການຂອງຄອມພິວເຕີ້ຫຼື ISP ຂອງທ່ານ, ໃຫ້ HijackThis ແກ້ໄຂ.

O15 - ສະຖານທີ່ທີ່ບໍ່ຕ້ອງການໃນເຂດທີ່ເຊື່ອຖືໄດ້

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O15 - Trusted Zone: http://freeaol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com

ສິ່ງທີ່ຕ້ອງເຮັດ:
ສ່ວນໃຫຍ່ຂອງເວລາເທົ່ານັ້ນພຽງແຕ່ AOL ແລະ Coolwebsearch ຄ່ອຍໆເພີ່ມເວັບໄຊທ໌ໄປທີ່ Trusted Zone. ຖ້າທ່ານບໍ່ໄດ້ເພີ່ມໂດເມນທີ່ຈົດທະບຽນໄວ້ໃນເຂດ Trusted Zone, ທ່ານ HijackThis ແກ້ໄຂມັນ.

O16 - ActiveX Objects (ແລະໄຟລ໌ໂຄງການດາວໂຫຼດ)

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O16-DPF: Yahoo! Chat-http: // uschatyyimgcom / yyimgcom / i / chat / applet / c381 / chatatcab
O16-DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http: //download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າທ່ານບໍ່ທາບຊື່ຂອງວັດຖຸຫຼື URL ທີ່ຖືກດາວໂຫລດມາ, ມີ HijackThis ແກ້ໄຂມັນ. ຖ້າຊື່ຫລື URL ມີຄໍາເຊັ່ນ 'dialer', 'ຄາສິໂນ', 'free_plugin' ແລະອື່ນໆ, ແນ່ນອນຕ້ອງແກ້ໄຂມັນ. Javacool ຂອງ SpywareBlaster ມີຖານຂໍ້ມູນ huge ຂອງສິ່ງຂອງ ActiveX ທີ່ເປັນອັນຕະລາຍທີ່ສາມາດຖືກນໍາໃຊ້ສໍາລັບການຊອກຫາ CLSIDs. (ຄລິກຂວາໃນບັນຊີລາຍຊື່ເພື່ອໃຊ້ຟັງຊັນຊອກ.)

O17 - Lop.com ໂດເມນ hijacks

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O17-HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldslnet
O17-HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: Domain = W21944find-quickcom
O17-HKLM \ Software \ \ Telephony: DomainName = W21944find-quickcom
O17-HKLM \ System \ CCS \ Services \ Tcpip \ \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944find-quickcom
O17-HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = glacacuk
O17-HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 695714614,6957147175

ສິ່ງທີ່ຕ້ອງເຮັດ:
ຖ້າໂດເມນບໍ່ໄດ້ຈາກ ISP ຫຼືເຄືອຂ່າຍຂອງບໍລິສັດ, ໃຫ້ HijackThis ແກ້ໄຂມັນ. ດຽວກັນກັບສໍາລັບລາຍການ "SearchList". ສໍາລັບລາຍຊື່ 'NameServer' ( DNS servers ), Google ສໍາລັບ IP ຫຼື IP ແລະມັນຈະງ່າຍທີ່ຈະເຫັນວ່າມັນດີຫຼືບໍ່ດີ.

O18 - ໂປຣແກຣມພິເສດແລະຕົວທ່ອງເວັບ hijackers ໂປໂຕຄອນ

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O18-Protocol: relatedlinks- {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielinkdll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18-Protocol hijack: http- {66993893-61B8-47DC-B10D-21E0C86DD9C8}

ສິ່ງທີ່ຕ້ອງເຮັດ:
ມີພຽງແຕ່ hijackers ບໍ່ຫຼາຍປານໃດທີ່ສະແດງໃຫ້ເຫັນຢູ່ທີ່ນີ້. baddies ທີ່ຮູ້ຈັກແມ່ນ 'cn' (CommonName), 'ayb' (Lop.com) ແລະ 'relatedlinks' (Huntbar), ທ່ານຄວນມີ HijackThis ແກ້ໄຂ. ສິ່ງອື່ນໆທີ່ສະແດງໃຫ້ເຫັນເຖິງແມ່ນຍັງບໍ່ທັນໄດ້ຮັບການຢືນຢັນທີ່ມີຄວາມປອດໄພເທື່ອ, ຫຼືຖືກຂົ່ມຂູ່ (ເຊົ່ນ CLSID ໄດ້ຖືກປ່ຽນແປງ) ໂດຍ spyware. ໃນກໍລະນີສຸດທ້າຍ, ມີ HijackThis ແກ້ໄຂມັນ.

O19 - ຮູບແບບຜູ້ໃຊ້ hijack

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O19 - ຮູບແບບຂອງຜູ້ໃຊ້: c: \ WINDOWS \ Java \ my.css

ສິ່ງທີ່ຕ້ອງເຮັດ:
ໃນກໍລະນີຂອງຕົວທ່ອງເວັບທີ່ຊ້າລົງແລະຕົວທ່ອງເວັບເລື້ອຍໆ, ມີ HijackThis ແກ້ໄຂລາຍການນີ້ຖ້າມັນສະແດງໃນບັນທຶກ. ຢ່າງໃດກໍຕາມ, ນັບຕັ້ງແຕ່ Coolwebsearch ນີ້ເຮັດໄດ້, ມັນດີກວ່າທີ່ຈະໃຊ້ CWShredder ເພື່ອແກ້ໄຂມັນ.

O20 - AppInit_DLLs Registry value ເປີດໃຊ້

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O20 - AppInit_DLLs: msconfd.dll

ສິ່ງທີ່ຕ້ອງເຮັດ:
ມູນຄ່າຂອງ Registry ທີ່ຢູ່ໃນ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ໂຫລດ DLL ເປັນຫນ່ວຍຄວາມຈໍາເມື່ອຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ, ຫຼັງຈາກທີ່ມັນຢູ່ໃນຫນ່ວຍຄວາມຈໍາຈົນກ່ວາອອກມາ. ຫຼາຍໆໂຄງການທີ່ຖືກຕ້ອງທີ່ຖືກຕ້ອງໃຊ້ (Norton CleanSweep ໃຊ້ APITRAP.DLL), ສ່ວນຫຼາຍມັນຖືກໃຊ້ໂດຍການໃຊ້ trojans ຫຼື hijackers ຂອງຕົວທ່ອງເວັບທີ່ຂົ່ມຂູ່.

ໃນກໍລະນີຂອງການໂຫຼດ DLL 'ທີ່ເຊື່ອງໄວ້' ຈາກມູນຄ່າການຈົດທະບຽນນີ້ (ເບິ່ງເຫັນໄດ້ໃນເວລາທີ່ໃຊ້ຕົວເລືອກ "ດັດແກ້ຂໍ້ມູນ binaries ໃນ Regedit") ຊື່ dll ອາດຈະຖືກນໍາຫນ້າດ້ວຍທໍ່ '|' ເພື່ອເຮັດໃຫ້ມັນເບິ່ງເຫັນໃນບັນທຶກ.

O21-ShellServiceObjectDelayLoad

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O21-SSODL-AUHOOK- {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhookdll

ສິ່ງທີ່ຕ້ອງເຮັດ:
ນີ້ແມ່ນວິທີການ Autorun undocumented, ໂດຍປົກກະຕິຖືກນໍາໃຊ້ໂດຍອົງປະກອບລະບົບ Windows ບາງ. ລາຍການທີ່ສະແດງຢູ່ໃນ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad ຖືກໂຫລດໂດຍ Explorer ເມື່ອ Windows ເລີ່ມຕົ້ນ. HijackThis ໃຊ້ບັນຊີລາຍຊື່ຂອງບັນດາລາຍຊື່ SSODL ທົ່ວໄປຫຼາຍ, ສະນັ້ນເມື່ອໃດກໍຕາມບັນດາລາຍການຖືກສະແດງໃນບັນທຶກມັນກໍ່ບໍ່ຮູ້ແລະອາດເປັນອັນຕະລາຍ. ປິ່ນປົວດ້ວຍການດູແລທີ່ສຸດ.

O22-SharedTaskScheduler

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O22-SharedTaskScheduler: (ໄມ່ມີຊື່) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32dll

ສິ່ງທີ່ຕ້ອງເຮັດ:
ນີ້ແມ່ນການເປີດໃຊ້ລະບົບການຂັບຂີ່ທີ່ບໍ່ມີເອກສານສໍາລັບ Windows NT / 2000 / XP ເທົ່ານັ້ນ, ເຊິ່ງຖືກນໍາໃຊ້ຫຼາຍທີ່ສຸດ. ເຖິງຕອນນີ້ພຽງແຕ່ CWS.Smartfinder ໃຊ້ມັນ. ປິ່ນປົວດ້ວຍການດູແລ.

O23-NT Services

ສິ່ງທີ່ເບິ່ງຄືວ່າ:
O23 - ບໍລິການ: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

ສິ່ງທີ່ຕ້ອງເຮັດ:
ນີ້ແມ່ນລາຍຊື່ຂອງບໍລິການທີ່ບໍ່ແມ່ນ Microsoft. ບັນຊີລາຍຊື່ຄວນຈະຄືກັນກັບຫນຶ່ງທີ່ທ່ານເຫັນໃນ utility Msconfig ຂອງ Windows XP. hijackers trojan ໃຊ້ບໍລິການທໍາອິດໃນການເຂົ້າໃຈການເລີ່ມຕົ້ນອື່ນເພື່ອການຕິດຕັ້ງຕົວເອງ. ຊື່ເຕັມມັກຈະມີຄວາມສໍາຄັນເຊັ່ນ: 'Network Security Service', 'Workstation Logon Service' ຫຼື 'Remote Procedure Call Helper', ແຕ່ວ່າຊື່ພາຍໃນ (ລະຫວ່າງວົງເລັບ) ແມ່ນຊຸດຂອງຂີ້ເຫຍື້ອເຊັ່ນ 'Ort'. ສ່ວນທີສອງຂອງເສັ້ນແມ່ນເຈົ້າຂອງໄຟລ໌ທີ່ສຸດ, ດັ່ງທີ່ເຫັນໃນຄຸນສົມບັດຂອງໄຟລ໌.

ໃຫ້ສັງເກດວ່າການແກ້ໄຂບັນຫາ O23 ຈະຢຸດການບໍລິການແລະປິດການໃຊ້ງານ. ບໍລິການຕ້ອງຖືກລຶບອອກຈາກ Registry ດ້ວຍຕົນເອງຫຼືດ້ວຍເຄື່ອງມືອື່ນ. ໃນ HijackThis ນີ້ 1.9.1 ຫຼືສູງກວ່າ, ປຸ່ມ 'Delete NT Service' ໃນສ່ວນເຄື່ອງມືອື່ນໆສາມາດໃຊ້ໄດ້ສໍາລັບການນີ້.