«12 3 » Pages: ( 3/3 total )
本页主题: [推荐]Hijackthis 1.99.1 简明教程[建议所有关于系统安全与稳定性的提问贴附加本软件生成的分析报告] 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17392
威望: 8730 点
金钱: 7074 静电币
支持度: 11401 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 四、HijackThis日志细解正文(二十四):组别——O20

HijackThis日志细解正文(二十四):组别——O20

www.rising.com.cn 2004-8-5 15:38:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。

相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

键值为AppInit_DLLs

此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。

2. 举例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建议

仅有极少的合法软件使用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大多数时候,当HijackThis报告此项时,您就需要提防木马或者其它恶意程序。

4. 疑难解析

有时,HijackThis不报告这一项,但如果您在注册表编辑器中使用“修改二进位数据”功能,则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。
Posted: 2005-07-13 11:17 | 30 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17392
威望: 8730 点
金钱: 7074 静电币
支持度: 11401 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 四、HijackThis日志细解正文(二十五):组别——O21

HijackThis日志细解正文(二十五):组别——O21

www.rising.com.cn 2004-8-5 15:43:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式,通常只有少数Windows系统组件用到它。Windows启动时,该处注册的组件会由Explorer加载。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 举例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建议

HijackThis会自动识别在该处启动的常见Windows系统组件,不会报告它们。所以如果HijackThis报告这一项,则有可能存在恶意程序,需要仔细分析。

4. 疑难解析

(暂无)
Posted: 2005-07-13 11:19 | 31 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17392
威望: 8730 点
金钱: 7074 静电币
支持度: 11401 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 四、HijackThis日志细解正文(二十六):组别——O22

HijackThis日志细解正文(二十六):组别——O22

www.rising.com.cn 2004-8-5 15:48:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式,极少用到。


2. 举例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建议

已知,CoolWebSearch变种Smartfinder用到这一项,请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机),简介见http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1


4. 疑难解析

(暂无)
Posted: 2005-07-13 11:20 | 32 楼
«12 3 » Pages: ( 3/3 total )
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor