การตีความข้อมูลบันทึกช่วยลบสปายแวร์และเบราว์เซอร์ไฮแจ็คเกอร์
HijackThis เป็นเครื่องมือฟรีจาก Trend Micro มันถูกพัฒนาขึ้นโดย Merijn Bellekom นักเรียนคนหนึ่งในประเทศเนเธอร์แลนด์ ซอฟต์แวร์กำจัดสปายแวร์ เช่น Adaware หรือ Spybot S & D จะทำงานได้ดีในการตรวจจับและลบโปรแกรมสปายแวร์ส่วนใหญ่ แต่สปายแวร์และเบราว์เซอร์ hijackers ก็น่าสังเวชเกินไปสำหรับแม้แต่สาธารณูปโภคป้องกันสปายแวร์ที่ดีเหล่านี้
HijackThis ถูกเขียนโดยเฉพาะเพื่อตรวจจับและลบ hijacks เบราว์เซอร์หรือซอฟต์แวร์ที่ใช้เวลาผ่านเว็บเบราว์เซอร์ของคุณปรับเปลี่ยนโฮมเพจและเครื่องมือค้นหาและสิ่งที่เป็นอันตรายอื่น ๆ ไม่เหมือนกับซอฟต์แวร์ป้องกันสปายแวร์ทั่วไป HijackThis ไม่ใช้ลายเซ็นหรือกำหนดเป้าหมายโปรแกรมเฉพาะหรือ URL เพื่อตรวจจับและบล็อก แต่ HijackThis มองหาเทคนิคและวิธีการที่ มัลแวร์ใช้ เพื่อติดตั้งระบบของคุณและเปลี่ยนเส้นทางเบราว์เซอร์ของคุณ
ไม่ใช่ทุกอย่างที่แสดงในบันทึก HijackThis เป็นข้อมูลที่ไม่ดีและไม่ควรนำออกทั้งหมด ในความเป็นจริงค่อนข้างตรงข้าม เกือบจะมั่นใจได้ว่ารายการบางอย่างในบันทึกของคุณใน HijackThis จะเป็นซอฟต์แวร์ที่ถูกต้องและการลบรายการเหล่านี้อาจส่งผลกระทบต่อระบบของคุณหรือทำให้ไม่สามารถดำเนินการได้อย่างสมบูรณ์ การใช้ HijackThis เป็นเหมือนการแก้ไข รีจิสทรีของ Windows ด้วยตัวคุณเอง ไม่ใช่วิทยาศาสตร์จรวด แต่คุณไม่ควรทำแบบนี้โดยไม่ได้รับคำแนะนำจากผู้เชี่ยวชาญจนกว่าคุณจะรู้ว่าคุณกำลังทำอะไรอยู่
เมื่อคุณติดตั้ง HijackThis และเรียกใช้เพื่อสร้างไฟล์บันทึกมีหลากหลายฟอรัมและไซต์ที่คุณสามารถโพสต์หรืออัปโหลดข้อมูลบันทึกของคุณได้ ผู้เชี่ยวชาญที่รู้ว่าจะหาอะไรจากนั้นสามารถช่วยคุณวิเคราะห์ข้อมูลบันทึกและให้คำแนะนำแก่คุณในสิ่งที่ควรนำออกและรายการใดที่จะปล่อยให้คนเดียว
ในการดาวน์โหลดเวอร์ชันปัจจุบันของ HijackThis คุณสามารถเยี่ยมชมเว็บไซต์อย่างเป็นทางการได้ที่ บริษัท เทรนด์ไมโคร
นี่คือภาพรวมของรายการบันทึก HijackThis ซึ่งคุณสามารถใช้เพื่อข้ามไปยังข้อมูลที่คุณต้องการได้:
- R0, R1, R2, R3 - URL เริ่ม / ค้นหา URL ของอินเทอร์เน็ต
- F0, F1 - โปรแกรม Autoloading
- N1, N2, N3, N4 - URL เริ่มต้น / ค้นหาของ Netscape / Mozilla
- O1 - โฮสต์การเปลี่ยนเส้นทางไฟล์
- O2 - วัตถุช่วยเหลือเบราว์เซอร์
- O3 - แถบเครื่องมือของ Internet Explorer
- O4 - โปรแกรม Autoloading จาก Registry
- O5 - ไอคอนตัวเลือก IE ไม่ปรากฏในแผงควบคุม
- O6 - การเข้าถึงตัวเลือก IE ถูก จำกัด โดยผู้ดูแลระบบ
- O7 - การเข้าถึง Regedit ถูก จำกัด โดยผู้ดูแลระบบ
- O8 - รายการเสริมในเมนูคลิกขวาของ IE
- O9 - ปุ่มพิเศษบนแถบเครื่องมือปุ่ม IE หลักหรือเพิ่มรายการในเมนู 'Tools' ของ IE
- O10 - Winsock hijacker
- O11 - กลุ่มเสริมในหน้าต่าง 'ตัวเลือกขั้นสูง' ของ IE
- O12 - ปลั๊กอิน IE
- O13 - IE defaultPrefix จี้
- O14 - รีเซ็ตการตั้งค่าเว็บ 'จี้'
- O15 - ไซต์ที่ไม่ต้องการใน Trusted Zone
- O16 - วัตถุ ActiveX (ไฟล์โปรแกรมดาวน์โหลด aka)
- O17 - hakers โดเมน Lop.com
- O18 - โปรโตคอลเสริมและโปรโตคอล hijackers
- O19 - ผู้ใช้สไตล์ชีตชีต
- O20 - AppInit_DLLs รีสตาร์ทค่ารีจิสตรี้
- O21 - ShellServiceObjectDelayLoad การทำงานอัตโนมัติของคีย์รีจิสทรี
- O22 - SharedTaskScheduler คีย์รีจิสทรีทำงานอัตโนมัติ
- O23 - บริการของ Windows NT
R0, R1, R2, R3 - หน้าเริ่มต้นและค้นหา IE
สิ่งที่ดูเหมือนว่า:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (นี้ยังไม่ได้ใช้โดย HijackThis)
R3 - URLSearchHook เริ่มต้นหายไป
สิ่งที่ต้องทำ:
หากคุณรู้จัก URL ในตอนท้ายว่าเป็นหน้าแรกหรือเครื่องมือค้นหาของคุณก็ไม่เป็นไร ถ้าไม่ทำให้ตรวจสอบและแก้ไข HijackThis ด้วย สำหรับรายการ R3 ให้แก้ไขปัญหาเหล่านี้ทุกครั้งยกเว้นที่กล่าวถึงโปรแกรมที่คุณรู้จักเช่น Copernic
F0, F1, F2, F3 - โปรแกรม Autoloading จากไฟล์ INI
สิ่งที่ดูเหมือนว่า:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: เรียกใช้ = hpfsched
สิ่งที่ต้องทำ:
รายการ F0 ไม่ดีเสมอไปโปรดแก้ไขปัญหาเหล่านี้ รายการ F1 มักเป็นโปรแกรมที่เก่ามาก ๆ ที่ปลอดภัยดังนั้นคุณควรหาข้อมูลเพิ่มเติมเกี่ยวกับชื่อไฟล์เพื่อดูว่าดีหรือไม่ดี รายการเริ่มต้นของ Pacman สามารถช่วยในการระบุรายการ
N1, N2, N3, N4 - การเริ่มต้น Netscape / Mozilla & amp; หน้าค้นหา
สิ่งที่ดูเหมือนว่า:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application ข้อมูล \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application ข้อมูล \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
สิ่งที่ต้องทำ:
ปกติหน้าแรกและหน้าค้นหาของ Netscape และ Mozilla จะปลอดภัย พวกเขาไม่ค่อยได้รับการแย่งชิงเพียง Lop.com เท่านั้นที่ทราบว่าทำเช่นนี้ หากคุณเห็น URL ที่คุณไม่รู้จักว่าเป็นหน้าแรกหรือหน้าการค้นหาของคุณให้แก้ไข HijackThis
O1 - การเปลี่ยนเส้นทาง Hostsfile
สิ่งที่ดูเหมือนว่า:
O1 - โฮสต์: 216.177.73.139 auto.search.msn.com
O1 - โฮสต์: 216.177.73.139 search.netscape.com
O1 - โฮสต์: 216.177.73.139 ieautosearch
O1 - ไฟล์โฮสต์อยู่ที่ C: \ Windows \ Help \ hosts
สิ่งที่ต้องทำ:
จี้นี้จะเปลี่ยนเส้นทางที่อยู่ทางด้านขวาไปยังที่อยู่ IP ทางซ้าย หาก IP ไม่อยู่ในที่อยู่คุณจะถูกเปลี่ยนเส้นทางไปยังไซต์ที่ไม่ถูกต้องทุกครั้งที่คุณป้อนที่อยู่ คุณสามารถแก้ไข HijackThis ได้เสมอเว้นแต่คุณจะใส่บรรทัดเหล่านั้นลงในไฟล์โฮสต์ของคุณ
รายการสุดท้ายบางครั้งเกิดขึ้นบน Windows 2000 / XP ที่มีการติดตั้ง Coolwebsearch แก้ไขรายการนี้เสมอหรือให้ CWShredder ซ่อมแซมโดยอัตโนมัติ
O2 - วัตถุช่วยเหลือเบราว์เซอร์
สิ่งที่ดูเหมือนว่า:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ ไฟล์ PROGRAM FILE \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ไม่มีชื่อ) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ แฟ้มโปรแกรม \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (ไฟล์หายไป)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ ไฟล์ PROGRAM FILE \ MEDIALOADS ENHANCED \ ME1.DLL
สิ่งที่ต้องทำ:
หากคุณไม่รู้จักชื่อ Browser Helper Object โดยตรงให้ใช้ TonyK's BHO และ Toolbar List เพื่อค้นหาโดย ID ชั้นเรียน (CLSID จำนวนระหว่างวงเล็บปีกกา) และดูว่าดีหรือไม่ดี ในรายการ BHO 'X' หมายถึงสปายแวร์และ 'L' หมายถึงความปลอดภัย
O3 - แถบเครื่องมือ IE
สิ่งที่ดูเหมือนว่า:
O3 - แถบเครื่องมือ: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ ไฟล์ PROGRAM FILE \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - แถบเครื่องมือ: ป็อปอัพ Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ แฟ้มโปรแกรม \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (ไฟล์หายไป)
O3 - แถบเครื่องมือ: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ ข้อมูลการใช้งาน \ CKSTPRLLNQUL.DLL
สิ่งที่ต้องทำ:
ถ้าคุณไม่รู้จักชื่อของแถบเครื่องมือให้ใช้ BHO & Toolbar List ของโทนี่เพื่อค้นหาโดยใช้ ID ชั้น (CLSID จำนวนระหว่างวงเล็บปีกกา) และดูว่าดีหรือไม่ดี ในรายการ Toolbar 'X' หมายถึงสปายแวร์และ 'L' หมายถึงความปลอดภัย หากไม่ได้อยู่ในรายการและชื่อดูเหมือนจะเป็นสตริงอักขระแบบสุ่มและไฟล์อยู่ในโฟลเดอร์ 'ข้อมูลแอ็พพลิเคชัน' (เช่นเดียวกับไฟล์สุดท้ายในตัวอย่างด้านบน) อาจเป็น Lop.com และคุณน่าจะควรแก้ไขปัญหา HijackThis มัน.
O4 - โปรแกรม Autoloading จากกลุ่ม Registry หรือ Startup
สิ่งที่ดูเหมือนว่า:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / ทำงานอัตโนมัติ
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Symantec Shared \ ccApp.exe"
O4 - การเริ่มต้นใช้งาน: Microsoft Office.lnk = C: \ Program Office \ Office \ OSA9.EXE Files \ Microsoft C: \ Program
O4 - การเริ่มต้นใช้งานระดับโลก: winlogon.exe
สิ่งที่ต้องทำ:
ใช้รายการเริ่มต้นของ PacMan เพื่อค้นหารายการและดูว่ารายการนั้นดีหรือไม่ดี
หากรายการแสดงโปรแกรมนั่งอยู่ในกลุ่ม Startup (เช่นรายการสุดท้ายด้านบน) HijackThis ไม่สามารถแก้ไขรายการได้ถ้าโปรแกรมนี้ยังอยู่ในหน่วยความจำ ใช้ Windows Task Manager (TASKMGR.EXE) เพื่อปิดกระบวนการก่อนที่จะทำการแก้ไข
O5 - ตัวเลือก IE ไม่ปรากฏในแผงควบคุม
สิ่งที่ดูเหมือนว่า:
O5 - control.ini: inetcpl.cpl = ไม่
สิ่งที่ต้องทำ:
ถ้าคุณหรือผู้ดูแลระบบของคุณไม่ได้ซ่อนไอคอนจาก Control Panel ให้ใช้ HijackThis แก้ไขปัญหานี้
O6 - การเข้าถึงตัวเลือก IE ถูก จำกัด โดยผู้ดูแลระบบ
สิ่งที่ดูเหมือนว่า:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Restrictions ปัจจุบัน
สิ่งที่ต้องทำ:
หากคุณไม่มีตัวเลือก Spybot S & D 'ล็อกหน้าแรกจากการเปลี่ยนแปลง' ที่ใช้งานอยู่หรือผู้ดูแลระบบของคุณใส่ข้อมูลนี้ให้ถูกต้องให้ HijackThis แก้ไขปัญหานี้
O7 - การเข้าถึง Regedit ถูก จำกัด โดยผู้ดูแลระบบ
สิ่งที่ดูเหมือนว่า:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
สิ่งที่ต้องทำ:
ให้ HijackThis แก้ไขปัญหานี้เสมอยกเว้นกรณีที่ผู้ดูแลระบบของคุณได้ใส่ข้อ จำกัด นี้ไว้
O8 - รายการเสริมในเมนูคลิกขวาของ IE
สิ่งที่ดูเหมือนว่า:
O8 - รายการเมนูบริบทเสริม: & ค้นหาโดย Google - res: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - เมนูรายการบริบทเสริม: Yahoo! ค้นหา - ไฟล์: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - รายการเมนูบริบทเสริม: ซูมเข้าและ - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - รายการเมนูบริบทเสริม: ซูม O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
สิ่งที่ต้องทำ:
ถ้าคุณไม่รู้จักชื่อของรายการในเมนูคลิกขวาใน IE ให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา
O9 - ปุ่มเสริมบนแถบเครื่องมือ IE หลักหรือเพิ่มรายการใน IE & # 39; Tools & # 39; เมนู
สิ่งที่ดูเหมือนว่า:
O9 - ปุ่มเสริม: Messenger (HKLM)
O9 - menuitem 'Tools' เพิ่มเติม: Messenger (HKLM)
O9 - ปุ่มเสริม: AIM (HKLM)
สิ่งที่ต้องทำ:
ถ้าคุณไม่รู้จักชื่อของปุ่มหรือรายการเมนูให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหานี้
O10 - Winsock hijackers
สิ่งที่ดูเหมือนว่า:
O10 - การเข้าถึงอินเทอร์เน็ตที่ถูกแย่งชิงโดย New.Net
O10 - การเข้าถึงอินเทอร์เน็ตที่ไม่สมบูรณ์เนื่องจากผู้ให้บริการ LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' หายไป
O10 - ไฟล์ที่ไม่รู้จักใน Winsock LSP: c: \ program files \ newton knows \ vmain.dll
สิ่งที่ต้องทำ:
คุณควรแก้ไขปัญหาเหล่านี้โดยใช้ LSPFix จาก Cexx.org หรือ Spybot S & D จาก Kolla.de
โปรดทราบว่าไฟล์ 'unknown' ใน LSP stack จะไม่ถูกแก้ไขโดย HijackThis เพื่อความปลอดภัย
O11 - กลุ่มเพิ่มเติมใน IE 'ตัวเลือกขั้นสูง & # 39; หน้าต่าง
สิ่งที่ดูเหมือนว่า:
O11 - กลุ่มอ็อพชัน: [CommonName] CommonName
สิ่งที่ต้องทำ:
ตอนนี้ผู้บุกเบิกเพียงคนเดียวที่เพิ่มกลุ่มตัวเลือกของตนเองลงในหน้าต่าง IE Options ขั้นสูงคือ CommonName คุณสามารถแก้ไขปัญหานี้ได้เสมอใน HijackThis
O12 - ปลั๊กอิน IE
สิ่งที่ดูเหมือนว่า:
O12 - ปลั๊กอินสำหรับ. spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - ปลั๊กอินสำหรับ. PPDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
สิ่งที่ต้องทำ:
โดยส่วนใหญ่แล้วจะปลอดภัย เฉพาะ OnFlow เพิ่มปลั๊กอินที่นี่ที่คุณไม่ต้องการ (.fb)
O13 - IE defaultPrefix จี้
สิ่งที่ดูเหมือนว่า:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW คำนำหน้า: http://ehttp.cc/?
สิ่งที่ต้องทำ:
สิ่งเหล่านี้ไม่ดีเสมอไป มี HijackThis แก้ไขปัญหาเหล่านี้
O14 - & # 39; รีเซ็ตการตั้งค่าเว็บ & # 39; จี้
สิ่งที่ดูเหมือนว่า:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
สิ่งที่ต้องทำ:
ถ้า URL ไม่ใช่ผู้ให้บริการคอมพิวเตอร์หรือ ISP ของคุณให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา
O15 - ไซต์ที่ไม่ต้องการใน Trusted Zone
สิ่งที่ดูเหมือนว่า:
O15 - โซนที่เชื่อถือได้: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com
สิ่งที่ต้องทำ:
โดยส่วนใหญ่แล้ว AOL และ Coolwebsearch จะเพิ่มเว็บไซต์ใน Trusted Zone โดยไม่ได้ตั้งใจ ถ้าคุณไม่ได้เพิ่มโดเมนที่ระบุไว้ใน Trusted Zone ด้วยตัวคุณเองให้ติดตั้ง HijackThis เพื่อแก้ไขปัญหา
O16 - วัตถุ ActiveX (ไฟล์โปรแกรมดาวน์โหลด aka)
สิ่งที่ดูเหมือนว่า:
O16 - DPF: Yahoo! แชท - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
สิ่งที่ต้องทำ:
ถ้าคุณไม่รู้จักชื่อของวัตถุหรือ URL ที่ถูกดาวน์โหลดจากมี HijackThis fix it หากชื่อหรือ URL มีคำเช่น 'dialer', 'casino', 'free_plugin' ฯลฯ แน่นอนต้องแก้ไข SpywareBlaster ของ Javacool มีฐานข้อมูลขนาดใหญ่ของวัตถุ ActiveX ที่เป็นอันตรายซึ่งสามารถใช้ค้นหา CLSID ได้ (คลิกขวาที่รายการเพื่อใช้ฟังก์ชัน Find)
O17 - โดเมน hijacks Lop.com
สิ่งที่ดูเหมือนว่า:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: โดเมน = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: โดเมน = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: โดเมน = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
สิ่งที่ต้องทำ:
ถ้าโดเมนไม่ได้มาจาก ISP หรือเครือข่าย บริษัท ของคุณ ให้ แก้ไข HijackThis เช่นเดียวกันสำหรับรายการ 'SearchList' สำหรับรายการ 'NameServer' ( เซิร์ฟเวอร์ DNS ) Google สำหรับ IP หรือ IP และจะเห็นได้ง่ายว่าดีหรือไม่ดี
O18 - โปรโตคอลเสริมและโปรโตคอล hijackers
สิ่งที่ดูเหมือนว่า:
O18 - โปรโตคอล: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - พิธีสาร: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - การแย่งชิงโปรโตคอล: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
สิ่งที่ต้องทำ:
มีเพียงจี้ไม่กี่คนเท่านั้นที่มาปรากฏที่นี่ baddies ที่รู้จักกันดีคือ 'cn' (CommonName) 'ayb' (Lop.com) และ 'relatedlinks' (Huntbar) คุณควรมี HijackThis แก้ไขปัญหาเหล่านั้น สิ่งอื่นที่แสดงขึ้นไม่ได้รับการยืนยันว่าปลอดภัยหรือถูกแย่งชิง (เช่น CLSID ได้ถูกเปลี่ยนแปลง) โดยสปายแวร์ ในกรณีล่าสุดให้แก้ไข HijackThis
O19 - ผู้ใช้สไตล์ชีตชีต
สิ่งที่ดูเหมือนว่า:
O19 - สไตล์ชีตผู้ใช้: c: \ WINDOWS \ Java \ my.css
สิ่งที่ต้องทำ:
ในกรณีที่เบราว์เซอร์ชะลอตัวและป๊อปอัปบ่อยๆให้ HijackThis แก้ไขรายการนี้หากปรากฏในบันทึก อย่างไรก็ตามเนื่องจาก Coolwebsearch ทำงานแบบนี้ได้ดีกว่าควรใช้ CWShredder เพื่อแก้ไขปัญหา
O20 - AppInit_DLLs รีสตาร์ทค่ารีจิสตรี้
สิ่งที่ดูเหมือนว่า:
O20 - AppInit_DLLs: msconfd.dll
สิ่งที่ต้องทำ:
ค่ารีจิสทรีนี้อยู่ที่ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows โหลด DLL ลงในหน่วยความจำเมื่อผู้ใช้เข้าสู่ระบบหลังจากที่มันอยู่ในหน่วยความจำจนกว่าจะออกจากระบบ โปรแกรมที่ถูกต้องตามกฎหมายมากน้อยใช้ (Norton CleanSweep ใช้ APITRAP.DLL) ส่วนใหญ่มักใช้โดย trojans หรือ hijackers เบราว์เซอร์ที่ก้าวร้าว
ในกรณีที่มีการโหลด DLL "ซ่อน" จากค่ารีจิสทรีนี้ (จะปรากฏเฉพาะเมื่อใช้ตัวเลือก 'แก้ไขข้อมูลไบนารี' ใน Regedit) ชื่อ dll อาจมีคำนำหน้าด้วย '|' เพื่อให้มองเห็นได้ในล็อก
O21 - ShellServiceObjectDelayLoad
สิ่งที่ดูเหมือนว่า:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
สิ่งที่ต้องทำ:
นี่คือวิธีการทำงานอัตโนมัติที่ไม่ได้รับการบอกกล่าวโดยปกติจะใช้ส่วนประกอบของระบบ Windows เพียงไม่กี่ โหลดรายการที่ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad โดย Explorer เมื่อ Windows เริ่มทำงาน HijackThis ใช้รายการที่อนุญาตพิเศษของรายการ SSODL ที่พบโดยทั่วไปดังนั้นเมื่อใดก็ตามที่มีการแสดงรายการในล็อกข้อมูลจะไม่เป็นที่รู้จักและอาจเป็นอันตราย ปฏิบัติอย่างระมัดระวัง
O22 - SharedTaskScheduler
สิ่งที่ดูเหมือนว่า:
O22 - SharedTaskScheduler: (ไม่มีชื่อ) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
สิ่งที่ต้องทำ:
นี่เป็นการทำงานอัตโนมัติที่ไม่มีเอกสารสำหรับ Windows NT / 2000 / XP เท่านั้นซึ่งใช้งานได้ยากมาก จนถึงขณะนี้ CWS.Smartfinder ใช้มันเท่านั้น รักษาด้วยความระมัดระวัง
O23 - บริการ NT
สิ่งที่ดูเหมือนว่า:
O23 - บริการ: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program ไฟล์ \ Kerio \ Personal Firewall \ persfw.exe
สิ่งที่ต้องทำ:
นี่เป็นรายการของบริการที่ไม่ใช่ของ Microsoft รายการควรเหมือนกับที่คุณเห็นในยูทิลิตี Msconfig ของ Windows XP เครื่องจี้อากาศยานหลายตัวใช้บริการแบบโฮมเมดในการติดตั้งโปรแกรมอื่น ๆ เพื่อติดตั้งตัวเอง ชื่อเต็มมักมีความสำคัญเช่น "Network Security Service", "Workstation Logon Service" หรือ "Remote Procedure Call Helper" แต่ชื่อภายใน (ระหว่างวงเล็บ) คือสตริงขยะเช่น 'Ort' ส่วนที่สองของบรรทัดคือเจ้าของไฟล์ตอนท้ายตามที่เห็นในคุณสมบัติของไฟล์
โปรดทราบว่าการแก้ไขรายการ O23 จะทำให้บริการหยุดทำงานและปิดใช้งานเท่านั้น บริการจำเป็นต้องถูกลบออกจากรีจิสทรีด้วยตนเองหรือด้วยเครื่องมืออื่น ใน HijackThis 1.99.1 หรือสูงกว่าปุ่ม "Delete NT Service" ในส่วน Tools อื่น ๆ สามารถใช้งานได้