วิธีการวิเคราะห์ HijackThis Logs

การคิดวิเคราะห์ (มิถุนายน 2026)

การคิดวิเคราะห์ (มิถุนายน 2026)

:

Anonim

HijackThis เป็นเครื่องมือฟรีจาก Trend Micro มันถูกพัฒนาขึ้นโดย Merijn Bellekom นักเรียนคนหนึ่งในประเทศเนเธอร์แลนด์ ซอฟต์แวร์กำจัดสปายแวร์เช่น Adaware หรือ Spybot S & D จะทำงานได้ดีในการตรวจจับและลบโปรแกรมสปายแวร์ส่วนใหญ่ แต่สปายแวร์และเบราว์เซอร์ hijackers ก็น่าสังเวชเกินไปสำหรับแม้แต่สาธารณูปโภคป้องกันสปายแวร์ที่ดีเหล่านี้

HijackThis ถูกเขียนโดยเฉพาะเพื่อตรวจจับและลบ hijacks เบราว์เซอร์หรือซอฟต์แวร์ที่ใช้เวลาผ่านเว็บเบราว์เซอร์ของคุณปรับเปลี่ยนโฮมเพจและเครื่องมือค้นหาและสิ่งที่เป็นอันตรายอื่น ๆ ไม่เหมือนกับซอฟต์แวร์ป้องกันสปายแวร์ทั่วไป HijackThis ไม่ใช้ลายเซ็นหรือกำหนดเป้าหมายโปรแกรมเฉพาะหรือ URL เพื่อตรวจจับและบล็อก แต่ HijackThis มองหาเทคนิคและวิธีการที่มัลแวร์ใช้เพื่อติดตั้งระบบของคุณและเปลี่ยนเส้นทางเบราว์เซอร์ของคุณ

ไม่ใช่ทุกอย่างที่แสดงในบันทึก HijackThis เป็นข้อมูลที่ไม่ดีและไม่ควรนำออกทั้งหมด ในความเป็นจริงค่อนข้างตรงข้าม เกือบจะมั่นใจได้ว่ารายการบางอย่างในบันทึกของคุณใน HijackThis จะเป็นซอฟต์แวร์ที่ถูกต้องและการลบรายการเหล่านี้อาจส่งผลกระทบต่อระบบของคุณหรือทำให้ไม่สามารถดำเนินการได้อย่างสมบูรณ์ การใช้ HijackThis เป็นเหมือนการแก้ไขรีจิสทรีของ Windows ด้วยตัวคุณเอง ไม่ใช่วิทยาศาสตร์จรวด แต่คุณไม่ควรทำแบบนี้โดยไม่ได้รับคำแนะนำจากผู้เชี่ยวชาญจนกว่าคุณจะรู้ว่าคุณกำลังทำอะไรอยู่

เมื่อคุณติดตั้ง HijackThis และเรียกใช้เพื่อสร้างไฟล์บันทึกมีหลากหลายฟอรัมและไซต์ที่คุณสามารถโพสต์หรืออัปโหลดข้อมูลบันทึกของคุณได้ ผู้เชี่ยวชาญที่รู้ว่าจะหาอะไรจากนั้นสามารถช่วยคุณวิเคราะห์ข้อมูลบันทึกและให้คำแนะนำแก่คุณในสิ่งที่ควรนำออกและรายการใดที่จะปล่อยให้คนเดียว

ในการดาวน์โหลดเวอร์ชันปัจจุบันของ HijackThis คุณสามารถเยี่ยมชมเว็บไซต์อย่างเป็นทางการได้ที่ บริษัท เทรนด์ไมโคร

นี่คือภาพรวมของรายการบันทึก HijackThis ซึ่งคุณสามารถใช้เพื่อข้ามไปยังข้อมูลที่คุณต้องการได้:

  • R0, R1, R2, R3 - URL เริ่ม / ค้นหา URL ของอินเทอร์เน็ต
  • F0, F1 - โปรแกรม Autoloading
  • N1, N2, N3, N4 - URL เริ่มต้น / ค้นหาของ Netscape / Mozilla
  • O1 - โฮสต์การเปลี่ยนเส้นทางไฟล์
  • O2 - วัตถุช่วยเหลือเบราว์เซอร์
  • O3 - แถบเครื่องมือของ Internet Explorer
  • O4 - โปรแกรม Autoloading จาก Registry
  • O5 - ไอคอนตัวเลือก IE ไม่ปรากฏในแผงควบคุม
  • O6 - การเข้าถึงตัวเลือก IE ถูก จำกัด โดยผู้ดูแลระบบ
  • O7 - การเข้าถึง Regedit ถูก จำกัด โดยผู้ดูแลระบบ
  • O8 - รายการเสริมในเมนูคลิกขวาของ IE
  • O9 - ปุ่มพิเศษบนแถบเครื่องมือปุ่ม IE หลักหรือเพิ่มรายการในเมนู 'Tools' ของ IE
  • O10 - Winsock hijacker
  • O11 - กลุ่มเสริมในหน้าต่าง 'ตัวเลือกขั้นสูง' ของ IE
  • O12 - ปลั๊กอิน IE
  • O13 - IE defaultPrefix จี้
  • O14 - รีเซ็ตการตั้งค่าเว็บ 'จี้'
  • O15 - ไซต์ที่ไม่ต้องการใน Trusted Zone
  • O16 - วัตถุ ActiveX (ไฟล์โปรแกรมดาวน์โหลด aka)
  • O17 - hakers โดเมน Lop.com
  • O18 - โปรโตคอลเสริมและโปรโตคอล hijackers
  • O19 - ผู้ใช้สไตล์ชีตชีต
  • O20 - AppInit_DLLs รีสตาร์ทค่ารีจิสตรี้
  • O21 - ShellServiceObjectDelayLoad การทำงานอัตโนมัติของคีย์รีจิสทรี
  • O22 - SharedTaskScheduler คีย์รีจิสทรีทำงานอัตโนมัติ
  • O23 - บริการของ Windows NT

R0, R1, R2, R3 - หน้าเริ่มต้นและค้นหา IE

สิ่งที่ดูเหมือนว่า:R0 - HKCU Software Microsoft Internet Explorer Main, Start Page = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (นี้ยังไม่ได้ใช้โดย HijackThis)R3 - URLSearchHook เริ่มต้นหายไป

สิ่งที่ต้องทำ:หากคุณรู้จัก URL ในตอนท้ายว่าเป็นหน้าแรกหรือเครื่องมือค้นหาของคุณก็ไม่เป็นไร ถ้าไม่ทำให้ตรวจสอบและแก้ไข HijackThis ด้วย สำหรับรายการ R3 ให้แก้ไขปัญหาเหล่านี้ทุกครั้งยกเว้นที่กล่าวถึงโปรแกรมที่คุณรู้จักเช่น Copernic

F0, F1, F2, F3 - โปรแกรม Autoloading จากไฟล์ INI

สิ่งที่ดูเหมือนว่า:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: เรียกใช้ = hpfsched

สิ่งที่ต้องทำ:รายการ F0 ไม่ดีเสมอไปโปรดแก้ไขปัญหาเหล่านี้ รายการ F1 มักเป็นโปรแกรมที่เก่ามาก ๆ ที่ปลอดภัยดังนั้นคุณควรหาข้อมูลเพิ่มเติมเกี่ยวกับชื่อไฟล์เพื่อดูว่าดีหรือไม่ดี รายการเริ่มต้นของ Pacman สามารถช่วยในการระบุรายการ

N1, N2, N3, N4 - หน้าเริ่มต้นและค้นหา Netscape / Mozilla

สิ่งที่ดูเหมือนว่า:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application ข้อมูล Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application ข้อมูล Mozilla Profiles defaulto9t1tfl.slt prefs.js)

สิ่งที่ต้องทำ:ปกติหน้าแรกและหน้าค้นหาของ Netscape และ Mozilla จะปลอดภัย พวกเขาไม่ค่อยได้รับการแย่งชิงเพียง Lop.com เท่านั้นที่ทราบว่าทำเช่นนี้ หากคุณเห็น URL ที่คุณไม่รู้จักว่าเป็นหน้าแรกหรือหน้าการค้นหาของคุณให้แก้ไข HijackThis

O1 - การเปลี่ยนเส้นทาง Hostsfile

สิ่งที่ดูเหมือนว่า:O1 - โฮสต์: 216.177.73.139 auto.search.msn.comO1 - โฮสต์: 216.177.73.139 search.netscape.comO1 - โฮสต์: 216.177.73.139 ieautosearchO1 - ไฟล์โฮสต์อยู่ที่ C: Windows Help hosts

สิ่งที่ต้องทำ:จี้นี้จะเปลี่ยนเส้นทางที่อยู่ทางด้านขวาไปยังที่อยู่ IP ทางซ้ายหาก IP ไม่อยู่ในที่อยู่คุณจะถูกเปลี่ยนเส้นทางไปยังไซต์ที่ไม่ถูกต้องทุกครั้งที่คุณป้อนที่อยู่ คุณสามารถแก้ไข HijackThis ได้เสมอเว้นแต่คุณจะใส่บรรทัดเหล่านั้นลงในไฟล์โฮสต์ของคุณ

รายการสุดท้ายบางครั้งเกิดขึ้นบน Windows 2000 / XP ที่มีการติดตั้ง Coolwebsearch แก้ไขรายการนี้เสมอหรือให้ CWShredder ซ่อมแซมโดยอัตโนมัติ

O2 - วัตถุช่วยเหลือเบราว์เซอร์

สิ่งที่ดูเหมือนว่า:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: ไฟล์ PROGRAM FILE YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (ไม่มีชื่อ) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: แฟ้มโปรแกรม POPUP ELIMINATOR AUTODISPLAY401.DLL (ไฟล์หายไป)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: ไฟล์ PROGRAM FILE MEDIALOADS ENHANCED ME1.DLL

สิ่งที่ต้องทำ:หากคุณไม่รู้จักชื่อ Browser Helper Object โดยตรงให้ใช้ TonyK's BHO และ Toolbar List เพื่อค้นหาโดย ID ชั้นเรียน (CLSID จำนวนระหว่างวงเล็บปีกกา) และดูว่าดีหรือไม่ดี ในรายการ BHO 'X' หมายถึงสปายแวร์และ 'L' หมายถึงความปลอดภัย

O3 - แถบเครื่องมือ IE

สิ่งที่ดูเหมือนว่า: O3 - แถบเครื่องมือ: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: ไฟล์ PROGRAM FILE YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - แถบเครื่องมือ: ป็อปอัพ Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: แฟ้มโปรแกรม POPUP ELIMINATOR PETOOLBAR401.DLL (ไฟล์หายไป)O3 - แถบเครื่องมือ: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS ข้อมูลการใช้งาน CKSTPRLLNQUL.DLL

สิ่งที่ต้องทำ:ถ้าคุณไม่รู้จักชื่อของแถบเครื่องมือให้ใช้ BHO & Toolbar List ของโทนี่เพื่อค้นหาโดยใช้ ID ชั้น (CLSID จำนวนระหว่างวงเล็บปีกกา) และดูว่าดีหรือไม่ดี ในรายการ Toolbar 'X' หมายถึงสปายแวร์และ 'L' หมายถึงความปลอดภัย หากไม่ได้อยู่ในรายการและชื่อดูเหมือนจะเป็นสตริงอักขระแบบสุ่มและไฟล์อยู่ในโฟลเดอร์ 'ข้อมูลแอ็พพลิเคชัน' (เช่นเดียวกับไฟล์สุดท้ายในตัวอย่างด้านบน) อาจเป็น Lop.com และคุณน่าจะควรแก้ไขปัญหา HijackThis มัน.

O4 - โปรแกรม Autoloading จากกลุ่ม Registry หรือ Startup

สิ่งที่ดูเหมือนว่า:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / ทำงานอัตโนมัติO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Symantec Shared ccApp.exe"O4 - การเริ่มต้นใช้งาน: Microsoft Office.lnk = C: Program Office Office OSA9.EXE Files Microsoft C: ProgramO4 - การเริ่มต้นใช้งานระดับโลก: winlogon.exe

สิ่งที่ต้องทำ:ใช้รายการเริ่มต้นของ PacMan เพื่อค้นหารายการและดูว่ารายการนั้นดีหรือไม่ดี

หากรายการแสดงโปรแกรมนั่งอยู่ในกลุ่ม Startup (เช่นรายการสุดท้ายด้านบน) HijackThis ไม่สามารถแก้ไขรายการได้ถ้าโปรแกรมนี้ยังอยู่ในหน่วยความจำ ใช้ Windows Task Manager (TASKMGR.EXE) เพื่อปิดกระบวนการก่อนที่จะทำการแก้ไข

O5 - ตัวเลือก IE ไม่ปรากฏในแผงควบคุม

สิ่งที่ดูเหมือนว่า: O5 - control.ini: inetcpl.cpl = ไม่

สิ่งที่ต้องทำ:ถ้าคุณหรือผู้ดูแลระบบของคุณไม่ได้ซ่อนไอคอนจาก Control Panel ให้ใช้ HijackThis แก้ไขปัญหานี้

O6 - การเข้าถึงตัวเลือก IE ถูก จำกัด โดยผู้ดูแลระบบ

สิ่งที่ดูเหมือนว่า:O6 - HKCU Software Policies Microsoft Internet Explorer Restrictions ปัจจุบัน

สิ่งที่ต้องทำ:หากคุณไม่มีตัวเลือก Spybot S & D 'ล็อกหน้าแรกจากการเปลี่ยนแปลง' ที่ใช้งานอยู่หรือผู้ดูแลระบบของคุณใส่ข้อมูลนี้ให้ถูกต้องให้ HijackThis แก้ไขปัญหานี้

O7 - การเข้าถึง Regedit ถูก จำกัด โดยผู้ดูแลระบบ

สิ่งที่ดูเหมือนว่า:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

สิ่งที่ต้องทำ:ให้ HijackThis แก้ไขปัญหานี้เสมอยกเว้นกรณีที่ผู้ดูแลระบบของคุณได้ใส่ข้อ จำกัด นี้ไว้

O8 - รายการเสริมในเมนูคลิกขวาของ IE

สิ่งที่ดูเหมือนว่า: O8 - รายการเมนูบริบทเสริม: & ค้นหาโดย Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - เมนูรายการบริบทเสริม: Yahoo! ค้นหา - ไฟล์: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - รายการเมนูบริบทเสริม: ซูมเข้าและ - C: WINDOWS WEB zoomin.htmO8 - รายการเมนูบริบทเสริม: ซูม O & ut - C: WINDOWS WEB zoomout.htm

สิ่งที่ต้องทำ:ถ้าคุณไม่รู้จักชื่อของรายการในเมนูคลิกขวาใน IE ให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา

O9 - ปุ่มเสริมบนแถบเครื่องมือ IE หลักหรือเพิ่มรายการในเมนู 'Tools' ของ IE

สิ่งที่ดูเหมือนว่า: O9 - ปุ่มเสริม: Messenger (HKLM)O9 - menuitem 'Tools' เพิ่มเติม: Messenger (HKLM)O9 - ปุ่มเสริม: AIM (HKLM)

สิ่งที่ต้องทำ:ถ้าคุณไม่รู้จักชื่อของปุ่มหรือรายการเมนูให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหานี้

O10 - Winsock hijackers

สิ่งที่ดูเหมือนว่า: O10 - การเข้าถึงอินเทอร์เน็ตที่ถูกแย่งชิงโดย New.NetO10 - การเข้าถึงอินเทอร์เน็ตที่ไม่สมบูรณ์เนื่องจากผู้ให้บริการ LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' หายไปO10 - ไฟล์ที่ไม่รู้จักใน Winsock LSP: c: program files newton knows vmain.dll

สิ่งที่ต้องทำ:คุณควรแก้ไขปัญหาเหล่านี้โดยใช้ LSPFix จาก Cexx.org หรือ Spybot S & D จาก Kolla.de

โปรดทราบว่าไฟล์ 'unknown' ใน LSP stack จะไม่ถูกแก้ไขโดย HijackThis เพื่อความปลอดภัย

O11 - กลุ่มเสริมในหน้าต่าง 'ตัวเลือกขั้นสูง' ของ IE

สิ่งที่ดูเหมือนว่า: O11 - กลุ่มอ็อพชัน: CommonName CommonName

สิ่งที่ต้องทำ:ตอนนี้ผู้บุกเบิกเพียงคนเดียวที่เพิ่มกลุ่มตัวเลือกของตนเองลงในหน้าต่าง IE Options ขั้นสูงคือ CommonName คุณสามารถแก้ไขปัญหานี้ได้เสมอใน HijackThis

O12 - ปลั๊กอิน IE

สิ่งที่ดูเหมือนว่า: O12 - ปลั๊กอินสำหรับ. spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - ปลั๊กอินสำหรับ. PPDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

สิ่งที่ต้องทำ:โดยส่วนใหญ่แล้วจะปลอดภัย เฉพาะ OnFlow เพิ่มปลั๊กอินที่นี่ที่คุณไม่ต้องการ (.fb)

O13 - IE defaultPrefix จี้

สิ่งที่ดูเหมือนว่า: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW คำนำหน้า: http://ehttp.cc/?

สิ่งที่ต้องทำ:สิ่งเหล่านี้ไม่ดีเสมอไป มี HijackThis แก้ไขปัญหาเหล่านี้

O14 - รีเซ็ตการตั้งค่าเว็บ 'จี้'

สิ่งที่ดูเหมือนว่า: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

สิ่งที่ต้องทำ:ถ้า URL ไม่ใช่ผู้ให้บริการคอมพิวเตอร์หรือ ISP ของคุณให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา

O15 - ไซต์ที่ไม่ต้องการใน Trusted Zone

สิ่งที่ดูเหมือนว่า: O15 - โซนที่เชื่อถือได้: http://free.aol.comO15 - Trusted Zone: * .coolwebsearch.comO15 - Trusted Zone: * .msn.com

สิ่งที่ต้องทำ:โดยส่วนใหญ่แล้ว AOL และ Coolwebsearch จะเพิ่มเว็บไซต์ใน Trusted Zone โดยไม่ได้ตั้งใจ ถ้าคุณไม่ได้เพิ่มโดเมนที่ระบุไว้ใน Trusted Zone ด้วยตัวคุณเองให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา

O16 - วัตถุ ActiveX (ไฟล์โปรแกรมดาวน์โหลด aka)

สิ่งที่ดูเหมือนว่า: O16 - DPF: Yahoo! แชท - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

สิ่งที่ต้องทำ:ถ้าคุณไม่รู้จักชื่อของวัตถุหรือ URL ที่ถูกดาวน์โหลดจากมี HijackThis fix it หากชื่อหรือ URL มีคำเช่น 'dialer', 'casino', 'free_plugin' ฯลฯ แน่นอนต้องแก้ไข SpywareBlaster ของ Javacool มีฐานข้อมูลขนาดใหญ่ของวัตถุ ActiveX ที่เป็นอันตรายซึ่งสามารถใช้ค้นหา CLSID ได้ (คลิกขวาที่รายการเพื่อใช้ฟังก์ชัน Find)

O17 - โดเมน hijacks Lop.com

สิ่งที่ดูเหมือนว่า: O17 - HKLM System CCS Services VxD MSTCP: โดเมน = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: โดเมน = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: โดเมน = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

สิ่งที่ต้องทำ:ถ้าโดเมนไม่ได้มาจาก ISP หรือเครือข่าย บริษัท ของคุณให้แก้ไข HijackThis เช่นเดียวกันสำหรับรายการ 'SearchList' สำหรับรายการ 'NameServer' (เซิร์ฟเวอร์ DNS) Google สำหรับ IP หรือ IP และจะเห็นได้ง่ายว่าดีหรือไม่ดี

O18 - โปรโตคอลเสริมและโปรโตคอล hijackers

สิ่งที่ดูเหมือนว่า: O18 - โปรโตคอล: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - พิธีสาร: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - การแย่งชิงโปรโตคอล: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

สิ่งที่ต้องทำ:มีเพียงจี้ไม่กี่คนเท่านั้นที่มาปรากฏที่นี่ baddies ที่รู้จักกันดีคือ 'cn' (CommonName) 'ayb' (Lop.com) และ 'relatedlinks' (Huntbar) คุณควรมี HijackThis แก้ไขปัญหาเหล่านั้น สิ่งอื่น ๆ ที่แสดงขึ้นไม่ได้รับการยืนยันว่าปลอดภัยหรือถูกแย่งชิง (เช่น CLSID ได้รับการเปลี่ยนแปลง) โดยสปายแวร์ ในกรณีล่าสุดให้แก้ไข HijackThis

O19 - ผู้ใช้สไตล์ชีตชีต

สิ่งที่ดูเหมือนว่า: O19 - สไตล์ชีตผู้ใช้: c: WINDOWS Java my.css

สิ่งที่ต้องทำ:ในกรณีที่เบราว์เซอร์ชะลอตัวและป๊อปอัปบ่อยๆให้ HijackThis แก้ไขรายการนี้หากปรากฏในบันทึก อย่างไรก็ตามเนื่องจาก Coolwebsearch ทำงานแบบนี้ได้ดีกว่าควรใช้ CWShredder เพื่อแก้ไขปัญหา

O20 - AppInit_DLLs รีสตาร์ทค่ารีจิสตรี้

สิ่งที่ดูเหมือนว่า: O20 - AppInit_DLLs: msconfd.dll

สิ่งที่ต้องทำ:ค่ารีจิสทรีนี้อยู่ที่ HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows โหลด DLL ลงในหน่วยความจำเมื่อผู้ใช้เข้าสู่ระบบหลังจากที่มันอยู่ในหน่วยความจำจนกว่าจะออกจากระบบ โปรแกรมที่ถูกต้องตามกฎหมายมากน้อยใช้ (Norton CleanSweep ใช้ APITRAP.DLL) ส่วนใหญ่มักใช้โดย trojans หรือ hijackers เบราว์เซอร์ที่ก้าวร้าว

ในกรณีที่มีการโหลด DLL "ซ่อน" จากค่ารีจิสทรีนี้ (จะปรากฏเฉพาะเมื่อใช้ตัวเลือก 'แก้ไขข้อมูลไบนารี' ใน Regedit) ชื่อ dll อาจมีคำนำหน้าด้วย '|' เพื่อให้มองเห็นได้ในล็อก

O21 - ShellServiceObjectDelayLoad

สิ่งที่ดูเหมือนว่า: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

สิ่งที่ต้องทำ:นี่คือวิธีการทำงานอัตโนมัติที่ไม่ได้รับการบอกกล่าวโดยปกติจะใช้ส่วนประกอบของระบบ Windows เพียงไม่กี่ โหลดรายการที่ HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad โดย Explorer เมื่อ Windows เริ่มทำงาน HijackThis ใช้รายการที่อนุญาตพิเศษของรายการ SSODL ที่พบโดยทั่วไปดังนั้นเมื่อใดก็ตามที่มีการแสดงรายการในล็อกข้อมูลจะไม่เป็นที่รู้จักและอาจเป็นอันตราย ปฏิบัติอย่างระมัดระวัง

O22 - SharedTaskScheduler

สิ่งที่ดูเหมือนว่า: O22 - SharedTaskScheduler: (ไม่มีชื่อ) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

สิ่งที่ต้องทำ:นี่เป็นการทำงานอัตโนมัติที่ไม่มีเอกสารสำหรับ Windows NT / 2000 / XP เท่านั้นซึ่งใช้งานได้ยากมาก จนถึงขณะนี้ CWS.Smartfinder ใช้มันเท่านั้น รักษาด้วยความระมัดระวัง

O23 - บริการ NT

สิ่งที่ดูเหมือนว่า: O23 - บริการ: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program ไฟล์ Kerio Personal Firewall persfw.exe

สิ่งที่ต้องทำ:นี่เป็นรายการของบริการที่ไม่ใช่ของ Microsoftรายการควรเหมือนกับที่คุณเห็นในยูทิลิตี Msconfig ของ Windows XP เครื่องจี้อากาศยานหลายตัวใช้บริการแบบโฮมเมดในการติดตั้งโปรแกรมอื่น ๆ เพื่อติดตั้งตัวเอง ชื่อเต็มมักมีความสำคัญเช่น "Network Security Service", "Workstation Logon Service" หรือ "Remote Procedure Call Helper" แต่ชื่อภายใน (ระหว่างวงเล็บ) คือสตริงขยะเช่น 'Ort' ส่วนที่สองของบรรทัดคือเจ้าของไฟล์ตอนท้ายตามที่เห็นในคุณสมบัติของไฟล์

โปรดทราบว่าการแก้ไขรายการ O23 จะทำให้บริการหยุดทำงานและปิดใช้งานเท่านั้น บริการจำเป็นต้องถูกลบออกจากรีจิสทรีด้วยตนเองหรือด้วยเครื่องมืออื่น ใน HijackThis 1.99.1 หรือสูงกว่าปุ่ม "Delete NT Service" ในส่วน Tools อื่น ๆ สามารถใช้งานได้

ตัวเลือกของบรรณาธิการ