Энэ тэмдэглэлийг устгахын тулд хэрхэн яаж шинжилгээ хийх вэ

by Тони Брэдли, CISSP-ISSAP

Spyware болон Хөтөч халдлага устгахад туслахын тулд Бүртгэлийн өгөгдлийг орчуулах

Hijack Энэ бол Trend Micro-ийн үнэгүй хэрэгсэл юм. Энэ нь анхандаа Нидерландын оюутан Мериж Белlekом боловсруулсан юм. Адавар эсвэл Spybot S & D зэрэг Spyware зайлуулах програм хангамж нь ихэнх spyware програмуудыг илрүүлж, арилгах сайн ажил хийдэг боловч зарим spyware болон браузерын халдлага нь эдгээр гайхалтай anti-spyware хэрэгслүүдийг ч бас хор хөнөөлтэй юм.

HijackThis нь вэб хөтчийг тань хөтлөх хөтөчийн hijacks буюу програмыг илрүүлэх, устгах, таны үндсэн хуудас, хайлтын систем болон бусад хортой зүйлсийг өөрчилдөг програм юм. Ердийн эсрэг тагнуул програм хангамжаас ялгаатай нь, HijackThis нь гарын үсэг ашигладаггүй эсвэл илрүүлж, блоклохын тулд ямар нэг тусгайлсан програмууд эсвэл URL-ыг ашигладаггүй. Харин, Hijack Энэ нь хоролмаа ашигладаг арга, аргуудыг таны системд халдварлаж, хөтөчийг дахин чиглүүлэх арга замыг хайдаг.

Hijack-д орсон бүх зүйл нь муу зүйл бөгөөд бүгдийг устгах ёсгүй. Үнэндээ бол эсрэгээрээ. Халдлагад байгаа зарим зүйлсийг энэ бараг л баталгаажуулсан нь хууль ёсны программ хангамж байх бөгөөд эдгээр зүйлсийг устгах нь таны системд сөргөөр нөлөөлөх юмуу бүрэн ажиллагаагүй болгож болох юм. Hijack ашиглах Энэ нь өөрөө Windows бүртгэлийг засахтай адил юм. Энэ бол пуужингийн шинжлэх ухаан биш, гэхдээ та нар юу хийж байгаагаа үнэхээр сайн мэддэггүй бол ямар нэг мэргэжлийн зөвлөгөөгүйгээр үүнийг хийх ёсгүй.

Та HijackThis-г суулгаж, үүнийг ажиллуулахын тулд бүртгэлийн файл үүсгэхийн тулд олон төрлийн форум болон сайтууд байдаг. Юуг хайж байгаагаа мэддэг шинжээчид логоны өгөгдөлд дүн шинжилгээ хийхэд туслах болно. Ямар төрлийн зүйлсийг устгах, хэн нь ганцаараа үлдээхийг зөвлөнө.

HijackThis-ийн одоогийн хувилбарыг татаж авахын тулд Trend Micro дээр албан ёсны сайтад зочилно уу.

Энэ линкийг дараах хаягаар оруулаарай:

R0, R1, R2, R3 - Internet Explorer Эхлэх / Хайлтын хуудсууд URL
F0, F1 - Autoloading програмууд
N1, N2, N3, N4 - Netscape / Mozilla Эхлэх / Хайлтын хуудас URLууд
O1 - Хост файлыг дахин чиглүүлэх
O2 - Хөтчийн туслагч объект
O3 - Internet Explorer toolbars
O4 - Бүртгэлийн автостеродын програмууд
O5 - Хяналтын самбар дээр харагдахгүй
O6 - Администраторын хязгаарлалтууд
O7 - Администратороор хязгаарлагдсан хандалтыг бүртгэх
O8 - IE дээр дарна уу
O9 - үндсэн IE товчийг дарах нэмэлт товчлуурууд, эсвэл IE багажнууд дахь нэмэлт зүйлс
O10 - Winsock олзлогдогч
O11 - IE-ийн 'Advanced Options' цонхны нэмэлт бүлэг
O12 - IE холболтууд
O13 - IE DefaultPrefix хулгайлах
O14 - 'Дахин тохируулах Вэб Тохиргоо' hijack
O15 - Trusted Zone дахь хүссэн сайт
O16 - ActiveX Objects (татаж авах програмын файлууд)
O17 - Lop.com домэйн hijackers
O18 - Нэмэлт протокол болон протоколын халдлага
O19 - Хэрэглэгчийн загварын хуудсыг хулгайлах
O20 - AppInit_DLLs Бүртгэлийн үнэ autorun
O21 - ShellServiceObjectDelayLoad Registry key autorun
O22 - SharedTaskScheduler Registry key autorun

O23 - Windows NT үйлчилгээ

R0, R1, R2, R3 - IE эхлэх ба хайлтын хуудас

Энэ нь ямар харагдах вэ:
R0 - HKCU \ Програм хангамж \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.com/
R1 - HKLM \ Програм хангамж \ Microsoft \ InternetExplorer \ Үндсэн, Default_Page_URL = http://www.google.com/
R2 - (энэ төрөл нь HijackThis ашиглаагүй байна)
R3 - Үндсэн URL Хайлт байхгүй байна

Юу хийх вэ:
Хэрвээ та вэбсайт эсвэл хайлтын системийн төгсгөл дэх URL-г хүлээн зөвшөөрвөл энэ нь зүгээр юм. Хэрвээ үгүй бол түүнийг шалгаад, Hijack байна. R3 эд зүйлсийн хувьд Кольперник гэх мэт таних програмыг дурдаагүй л бол тэдгээрийг засварлана.

F0, F1, F2, F3 - INI файлуудаас Autoloading програмууд

Энэ нь ямар харагдах вэ:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched

Юу хийх вэ:
F0 зүйлүүд үргэлж муу байдаг тул засах хэрэгтэй. F1 зүйлүүд нь ихэвчлэн маш хуучин програмууд нь аюулгүй байдаг тул та файлын нэр дээр илүү сайн мэдээлэл олж авахын тулд сайн эсвэл муу эсэхийг харах хэрэгтэй. Pacman's Startup List нь зүйлийг тодорхойлоход тусалж чадна.

N1, N2, N3, N4 - Netscape / Mozilla Эхлэх & amp; Хайлтын хуудас

Энэ нь ямар харагдах вэ:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Програмын мэдээлэл \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Програмын мэдээлэл \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)

Юу хийх вэ:
Ихэвчлэн Netscape, Mozilla вэбсайт болон хайлтын хуудас аюулгүй байдаг. Тэд ховорхон халдлагад өртдөг, зөвхөн Lop.com үүнийг мэддэг болсон. Хэрэв та өөрийн нүүр хуудас эсвэл хайлтын хуудсыг танихгүй URL харвал, Hijack Энэ нь үүнийг засах болно.

O1 - Hostsfile шилжүүлгүүд

Энэ нь ямар харагдах вэ:
O1 - Хостууд: 216.177.73.139 auto.search.msn.com
O1 - Хостууд: 216.177.73.139 search.netscape.com
O1 - Хостууд: 216.177.73.139 ieautosearch
O1 - Хост файл нь C: \ Windows \ Help \ hosts дээр байрлана

Юу хийх вэ:
Энэ хулгайлах хаяг нь зүүнээс баруун тийш хаягаа IP хаяг руу дахин чиглүүлнэ. Хэрвээ IP хаяг нь харъяалагдахгүй бол та хаягаа нэвтрэх бүртээ буруу сайт руу чиглүүлнэ. Та ямагт энэ файлыг устгах боломжтой. Энэ нь таны хост файлд эдгээр мөрүүдийг тавьдаггүй.

Сүүлийн зүйлс нь заримдаа Windows 2000 / XP дээр Coolwebsearch халдлагатай тохиолддог. Энэ зүйлийг үргэлж засах эсвэл CWShredder автоматаар засах хэрэгтэй.

O2 - Хөтчийн туслагч объект

Энэ нь ямар харагдах вэ:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (ямар ч нэр) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (файл алга)
O2 - BHO: MediaLoads Өргөтгөсөн - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

Юу хийх вэ:
Хэрэв та Хөтчийн Туслагчийн Обьектийн нэрийг шууд танихгүй бол TonyK-ийн BHO & Хэрэгслийн мөрийн жагсаалтыг class ID (CLSID, curly хаалт хоорондох дугаар) хайж, сайн, муу эсэхийг нь үзээрэй. BHO-ийн жагсаалтад 'X' нь spyware ба 'L' гэсэн утгатай.

O3 - IE toolbars

Энэ нь ямар харагдах вэ:
O3 - Хэрэгсэл: & Yahoo! Хамтрагч - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Хэрэгсэл: Попап Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (файл алга)
O3 - Хэрэгсэл: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

Юу хийх вэ:
Хэрэв та toolbar-ийн нэрийг шууд танихгүй бол TonyK-ийн BHO & Хэрэгслийн мөрийн жагсаалтыг class ID (CLSID, curly хаалтан хоорондох дугаар) олох ба энэ нь сайн, муу эсэхийг нь үзээрэй. Хэрэгслийн мөрөнд жагсаалтын дагуу 'X' нь spyware бөгөөд 'L' гэдэг нь аюулгүй гэсэн үг юм. Хэрэв энэ жагсаалтад байхгүй бол нэр нь санамсаргүй тэмдэгт тэмдэгт мэт санагдах бөгөөд файл нь 'Application Data' хавтас (дээр дурдсан жишээнүүдийн сүүлийнх шиг), энэ нь магадгүй Lop.com, мөн та заавал HijackThis fix байх ёстой энэ нь.

O4 - Бүртгэл эсвэл Startup группын Autoloading програмууд

Энэ нь ямар харагдах вэ:
O4 - HKLM \ .. \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Хуваалцсан \ ccApp.exe"
O4 - Эхлэл: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Global Startup: winlogon.exe

Юу хийх вэ:
Эхлэлийг хайхын тулд PacMan-ийн эхлүүлэх жагсаалтыг ашигла. Энэ нь сайн, муу эсэхийг нь үзээрэй.

Хэрэв item Startup бүлгийн сууж байгаа програмыг харуулсан бол (энэ нь дээр дурдсан сүүлийн зүйл шиг), HijackThis нь энэ програм санах ойд байвал энэ зүйлийг засаж чадахгүй. Windows Task Manager (TASKMGR.EXE) ашиглан засахын өмнө процессыг хаах хэрэгтэй.

O5 - Хяналтын самбар дээр харагдахгүй

Энэ нь ямар харагдах вэ:
O5 - control.ini: inetcpl.cpl = no

Юу хийх вэ:
Хэрэв та эсвэл таны системийн администратор Хяналтын Panel-аас мэдэгдэлийг далдуур далдлаагүй бол энэ нь Hijack-ийг засах боломжтой.

O6 - Администраторын хязгаарлалтууд

Энэ нь ямар харагдах вэ:
O6 - HKCU \ Програм хангамж \ Бодлогууд \ Microsoft \ Internet Explorer \ Хязгаарлалтууд бий

Юу хийх вэ:
Хэрэв та Spybot S & D сонголтыг 'Өөрчлөлтөөс эхлэн Lock homepage-г идэвхжүүлээгүй эсвэл таны системийн администратор үүнийг байршуулсан бол, Hijack Энэ нь үүнийг засна.

O7 - Администратороор хязгаарлагдсан хандалтыг бүртгэх

Энэ нь ямар харагдах вэ:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1

Юу хийх вэ:
Хэдийгээр таны системийн администратор энэ хязгаарлалтыг байршуулаагүй л бол үүнийг засна.

O8 - IE дээр дарна уу

Энэ нь ямар харагдах вэ:
O8 - Нэмэлт контентын цэсийн зүйл: & Google Хайлт - шуудан: // C: \ WINDOWS \ DOWNLOAD VIDEO FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Нэмэлт контентын цэсийн зүйл: Yahoo! Хайлт - файл: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Нэмэлт агуулга цэсийн зүйл: Zoom & In-C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Нэмэлт контекстийн цэсийн зүйл: Zoom O & ut - C: \ WINDOWS \ WEB \ zoomout.htm

Юу хийх вэ:
Хэрэв та IE дээрх баруун товчлуур дээр байгаа зүйлийн нэрийг танихгүй бол, HijackThis нь үүнийг засна.

O9 - үндсэн IE хэрэгслийн нэмэлт товчлуурууд, эсвэл IE & # 39; Tools & # 39; цэс

Энэ нь ямар харагдах вэ:
O9 - Нэмэлт товч: Messenger (HKLM)
O9 - Нэмэлт 'Хэрэгсэл' menuitem: Messenger (HKLM)
O9 - Нэмэлт товч: AIM (HKLM)

Юу хийх вэ:
Хэрэв та товчлуурын нэр эсвэл цэсийн нэрийг танихгүй бол, Hijack Энэ нь үүнийг засна.

O10 - Winsock олзлогдогчид

Энэ нь ямар харагдах вэ:
O10 - Шинэ.Net ашиглан интернет хандах эрхийг хязгаарласан
O10 - LSP үйлчилгээ үзүүлэгчийн учир нь эвдэрсэн интернет хандалт c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll алга
O10 - Winsock LSP дэх үл мэдэгдэх файл: c: \ program files \ newton \ vmain.dll мэддэг

Юу хийх вэ:
Clexx.org, эсвэл Kolla.de-аас Spybot S & D-ээс LSPFix ашиглан эдгээрийг засах нь хамгийн зөв арга юм.

LSP стек дэх үл мэдэгдэх файлууд нь HijackThis-ийн аюулгүй байдлыг хангах үүднээс засахгүй гэдгийг анхаарна уу.

O11 - IE & # 39; Нэмэлт тохируулгууд дахь нэмэлт бүлэг & # 39; цонх

Энэ нь ямар харагдах вэ:
O11 - Сонголтын бүлэг: [CommonName] CommonName

Юу хийх вэ:
IE Advanced Options цонх бол өөрийн сонголтот бүлгийнхнийг нэмсэн цорын ганц hijacker нь CommonName юм. Тэгэхээр та үргэлж үүнийг хийж чадна.

O12 - IE холболтууд

Энэ нь ямар харагдах вэ:
O12 - Plugin-д зориулсан .пп: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - .PDF: Plugin: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll

Юу хийх вэ:
Ихэнхдээ эдгээр нь аюулгүй байдаг. Зөвхөн OnFlow нь танд хүсэхгүй байгаа plugin (.ofb) дээр нэмдэг.

O13 - IE DefaultPrefix хулгайлах

Энэ нь ямар харагдах вэ:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW угтвар: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Яриа: http://ehttp.cc/?

Юу хийх вэ:
Эдгээр нь үргэлж муу байдаг. Hijack байна Энэ нь тэдгээрийг засах.

O14 - & # 39; Вэб тохиргоог дахин эхлүүлэх & # 39; hijack

Энэ нь ямар харагдах вэ:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Юу хийх вэ:
Хэрвээ URL нь таны компьютер эсвэл таны ISP-ийн үйлчилгээ үзүүлэгч биш бол энэ нь үүнийг засна.

O15 - Trusted Zone дахь хүссэн сайтууд

Энэ нь ямар харагдах вэ:
O15 - Итгэмжлэгдсэн бүс: http://free.aol.com
O15 - Итгэмжлэгдсэн бүс: * .coolwebsearch.com
O15 - Итгэмжлэгдсэн бүс: * .msn.com

Юу хийх вэ:
Ихэнх тохиолдолд зөвхөн AOL болон Coolwebsearch нь Trusted Zone руу сайтуудыг чимээгүйхэн нэмэх болно. Хэрэв та бүртгэлтэй домэйнийг Итгэмжлэгдсэн бүс рүү өөрөө нэмээгүй бол HijackThis нь үүнийг засна.

O16 - ActiveX Objects (татаж авах програмын файлууд)

Энэ нь ямар харагдах вэ:
O16 - DPF: Yahoo! Чат - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave флэш объект) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Юу хийх вэ:
Хэрэв та тухайн обьектын нэрийг мэдэхгүй эсвэл татаж авсан URL-ыг танихгүй бол, үүнийг устгах хэрэгтэй. Хэрэв нэр эсвэл URL нь "залгагч", "казино", "free_plugin" г.м. гэх мэт үгнүүд байвал үүнийг засах хэрэгтэй. Javacool-ийн SpywareBlaster нь CLSID-үүдийг хайж олоход ашиглаж болох хортой ActiveX обьектуудын асар их мэдээллийн сантай. (Хайлтын функцийг ашиглахын тулд жагсаалтыг баруун товч дарна уу.)

O17 - Lop.com домэйн hijacks

Энэ нь ямар харагдах вэ:
O17 - HKLM \ Систем \ CCS \ Үйлчилгээ \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ Систем \ CCS \ үйлчилгээ \ Tcpip \ параметрүүд: Домэйн = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ Систем \ CCS \ Үйлчилгээ \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Домэйн = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Үйлчилгээ \ Tcpip \ параметрүүд: SearchList = gla.ac.uk
O17 - HKLM \ Систем \ CS1 \ Үйлчилгээ \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175

Юу хийх вэ:
Хэрэв домэйн нь таны ISP эсвэл компаний сүлжээнээс биш юм бол, Hijack Энэ нь үүнийг засна. 'SearchList' оруулгуудын хувьд мөн адил. 'NameServer' ( DNS серверүүд ) оруулгуудын хувьд Google нь IP эсвэл IP-д зориулсан бөгөөд тэдгээр нь сайн эсвэл муу эсэхийг харахад хялбар болно.

O18 - Нэмэлт протокол болон протоколын халдлага

Энэ нь ямар харагдах вэ:
O18 - Протокол: холбоотой холбоосууд - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Протокол: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Протокол hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Юу хийх вэ:
Зөвхөн хэд хэдэн хорлон сүйтгэгчид энд гарч ирэв. Мэдэгдэж байгаа андууд нь 'cn' (CommonName), 'ayb' (Lop.com) болон 'relatedlinks' (Huntbar), таныг эдгээрийг засах хэрэгтэй. Үзэгдэх бусад зүйлүүд нь аюулгүйгээр баталгаажаагүй эсвэл сканердсанаар (өөрөөр хэлбэл CLSID өөрчлөгдсөн) устгасан байна. Сүүлчийн тохиолдолд, Hijack Энэ нь үүнийг засна.

O19 - Хэрэглэгчийн загварын хуудсыг хулгайлах

Энэ нь ямар харагдах вэ:
O19 - Хэрэглэгчийн хэв маяг хуудас: c: \ WINDOWS \ Java \ my.css

Юу хийх вэ:
Хөтөчийн удаашруулалт болон байнгын popups тохиолдолд Hijack Энэ нь энэ зүйлийг засах үед энэ зүйлийг засна. Гэсэн хэдий ч зөвхөн Coolwebsearch нь үүнийг хийдэг учраас CWShredder-г засахын тулд ашиглах нь дээр.

O20 - AppInit_DLLs Бүртгэлийн үнэ autorun

Энэ нь ямар харагдах вэ:
O20 - AppInit_DLLs: msconfd.dll

Юу хийх вэ:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows дээр бүртгэгдсэн бүртгэлийн үнэ цэнэ нь хэрэглэгч нэвтрэх үед л DLL-ийг ачаалах бөгөөд дараа нь энэ нь логоff хүртэлх хугацаанд санах ойд хадгалагдана. Маш цөөхөн хууль ёсны програмууд үүнийг ашигладаг (Norton CleanSweep APITRAP.DLL ашигладаг), ихэнхдээ үүнийг trojans эсвэл түрэмгий хөтчийн hijackers ашиглаж байна.

Хэрэв энэ Registry-аас "далд" DLL-г ачаалах тохиолдолд (Regedit доторх 'Засварлах хоёртын өгөгдөл' сонголтыг ашиглах үед л харагдах болно) Ether нэр нь хоолой '|' үүнийг логон дээр харагдахаар болгох.

O21 - ShellServiceObjectDelayLoad

Энэ нь ямар харагдах вэ:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

Юу хийх вэ:
Энэ бол бичиг баримтгүй autorun арга бөгөөд ихэнхдээ Windows системийн бүрэлдэхүүн хэсгүүдэд хэрэглэгддэг. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad дээр жагсаасан зүйлсийг Windows эхлэх үед Explorer суулгадаг. Hijack Энэ нь хэд хэдэн маш нийтлэг SSODL зүйлсийн жагсаалтыг ашигладаг бөгөөд ингэснээр бүртгэлд харагдах зүйл нь үл мэдэгдэх бөгөөд хортой байж магадгүй юм. Хэт их анхаарал тавь.

O22 - SharedTaskScheduler

Энэ нь ямар харагдах вэ:
O22 - SharedTaskScheduler: (нэр байхгүй) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

Юу хийх вэ:
Энэ нь зөвхөн Windows NT / 2000 / XP-д зориулж бичигдээгүй autorun юм. Энэ нь маш ховор хэрэглэгддэг. Одоогоор зөвхөн CWS.Smartfinder нь үүнийг ашигладаг. Хамтран асрах.

O23 - NT үйлчилгээ

Энэ нь ямар харагдах вэ:
O23 - Үйлчилгээ: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe

Юу хийх вэ:
Энэ бол Microsoft-ын бус үйлчилгээний жагсаалт юм. Жагсаалт нь Windows XP-ийн Msconfig хэрэгсэлд харагдахтай адил байх ёстой. Хэд хэдэн террорист халдлагад өртөгсөд нь өөр бусад эхлэлүүд рүү өөрсдийгөө дахин суулгахын тулд гар хийцийн үйлчилгээг ашигладаг. Бүрэн нэр нь ихэвчлэн "Сүлжээний аюулгүй байдлын үйлчилгээ", "Ажлын байрны логоны үйлчилгээ" эсвэл "Алсын процедурын дуудлага туслагч" гэх мэт. Гэхдээ дотоод нэр (хаалт хоорондын) нь "Ort" гэх мэт хог хаягдал юм. Мөрний хоёр дахь хэсэг нь файлын өмчийг үзсэний эцэст файлын эзэмшигч юм.

O23-г засах нь зөвхөн үйлчилгээг зогсоож, үүнийг идэвхгүй болгоно гэдгийг анхаарна уу. Үйлчилгээг Бүртгэлийн гараас эсвэл өөр хэрэгслээр устгах хэрэгтэй. HijackThis 1.99.1 болон түүнээс дээш бол Misc Tools хэсэгт 'Delete NT Service' товчлуурыг ашиглаж болно.