បកស្រាយទិន្នន័យកំណត់ហេតុដើម្បីជួយយក Spyware និងកម្មវិធីរុករកប្លន់
HijackThis គឺជាឧបករណ៍ឥតគិតថ្លៃពី Trend Micro ។ វាត្រូវបានបង្កើតឡើងដំបូងដោយ Merijn Bellekom សិស្សនៅប្រទេសហូឡង់។ កម្មវិធីកម្ចាត់មេរោគ spyware ដូចជា Adaware ឬ Spybot S & D ធ្វើការងារល្អក្នុងការរកនិងដកចេញនូវកម្មវិធី spyware ភាគច្រើនប៉ុន្តែ spyware និងប្លន់តាមផ្លូវកម្មវិធីរុករកគឺមិនសូវគ្រប់គ្រាន់សម្រាប់សូម្បីតែកម្មវិធីប្រឆាំង spyware ដ៏អស្ចារ្យទាំងនេះ។
HijackThis ត្រូវបានសរសេរជាពិសេសដើម្បីរកឱ្យឃើញនិងលុបចេញនូវប្លន់កម្មវិធីរុករកឬកម្មវិធីដែលចំណាយលើកម្មវិធីរុករកបណ្ដាញរបស់អ្នកផ្លាស់ប្តូរទំព័រដើមលំនាំដើមនិងម៉ាស៊ីនស្វែងរកនិងរបស់ផ្សេងទៀតដែលមានគំនិតអាក្រក់។ មិនដូចជាកម្មវិធីប្រឆាំង spyware ធម្មតាទេ HijackThis មិនប្រើហត្ថលេខាឬកំណត់គោលដៅកម្មវិធីណាមួយឬ URL ណាដែលត្រូវរកឃើញនិងរារាំងឡើយ។ ផ្ទុយទៅវិញ HijackThis រកមើលវិធីសាស្រ្តនិងវិធីសាស្រ្តដែលត្រូវបានប្រើដោយ មេរោគ ដើម្បីឆ្លងប្រព័ន្ធរបស់អ្នកនិងប្តូរទិសកម្មវិធីរុករករបស់អ្នក។
មិនមែនអ្វីគ្រប់យ៉ាងដែលបង្ហាញនៅក្នុងកំណត់ហេតុ HijackThis នេះគឺជារបស់អាក្រក់ហើយវាមិនគួរត្រូវបានយកចេញទេ។ ការពិតផ្ទុយទៅវិញ។ វាស្ទើរតែត្រូវបានធានាថាធាតុមួយចំនួននៅក្នុងកំណត់ហេតុ HijackThis របស់អ្នកនឹងជាកម្មវិធីស្របច្បាប់ហើយការលុបធាតុទាំងនោះអាចប៉ះពាល់ដល់ប្រព័ន្ធរបស់អ្នកយ៉ាងធ្ងន់ធ្ងរឬធ្វើឱ្យវាមិនអាចដំណើរការបានទាំងស្រុង។ ការប្រើ HijackThis គឺច្រើនដូចជាការកែសម្រួល Windows Registry ដោយខ្លួនឯង។ វាមិនមែនជាវិទ្យាសាស្ត្ររ៉ុក្កែតនោះទេប៉ុន្តែអ្នកមិនគួរធ្វើវាដោយគ្មានការណែនាំអ្នកជំនាញទេលុះត្រាតែអ្នកពិតជាដឹងពីអ្វីដែលអ្នកកំពុងធ្វើ។
នៅពេលដែលអ្នកដំឡើង HijackThis ហើយដំណើរការវាដើម្បីបង្កើតឯកសារកំណត់ហេតុមានវេទិការនិងគេហទំព័រជាច្រើនដែលអ្នកអាចបង្ហោះឬផ្ទុកទិន្នន័យកំណត់ហេតុរបស់អ្នក។ អ្នកជំនាញដែលដឹងពីអ្វីដែលត្រូវរកមើលអាចជួយអ្នកវិភាគទិន្នន័យកំណត់ហេតុហើយណែនាំអ្នកអំពីធាតុណាដែលត្រូវដកចេញហើយអ្នកណាត្រូវទុកឱ្យនៅម្នាក់ឯង។
ដើម្បីទាញយកកំណែ HijackThis បច្ចុប្បន្នអ្នកអាចចូលមើលវែបសាយត៍ផ្លូវការនៅ Trend Micro ។
នេះជាទិដ្ឋភាពទូទៅនៃធាតុកំណត់ហេតុ HijackThis ដែលអ្នកអាចប្រើដើម្បីលោតទៅព័ត៌មានដែលអ្នកកំពុងស្វែងរក:
- R0, R1, R2, R3
- F0, F1 - កម្មវិធី autoloading
- N1, N2, N3, N4 - Netscape / Mozilla Start / ស្វែងរក URL របស់ទំព័រ
- O1 - បញ្ជូនឯកសារបញ្ជូនបន្ត
- O2 - វត្ថុជំនួយកម្មវិធីរុករក
- O3 - របារឧបករណ៍ Internet Explorer
- O4 - កម្មវិធី Autoloading ពី Registry
- O5 - រូបតំណាងជម្រើស IE មិនអាចមើលឃើញនៅក្នុងផ្ទាំងបញ្ជា
- O6 - ការចូលប្រើប្រាស់ IE អាចដាក់កម្រិតបានដោយអ្នកគ្រប់គ្រង
- O7 - Regedit ត្រូវបានដាក់កម្រិតដោយអ្នកគ្រប់គ្រង
- O8 - ធាតុបន្ថែមនៅក្នុងកម្មវិធី IE ចុចខាងស្តាំ
- O9 - ប៊ូតុងបន្ថែមនៅលើរបារឧបករណ៍ប៊ូតុង IE ចម្បងឬធាតុបន្ថែមនៅក្នុងម៉ឺនុយ IE 'ឧបករណ៍'
- O10 - ចង្កូត Winsock
- O11 - ក្រុមបន្ថែមនៅក្នុង IE 'Advanced Options'
- O12 - IE កម្មវិធីជំនួយ
- O13 - IE DefaultPrefix hijack
- O14 - 'កំណត់ការកំណត់បណ្តាញ' ប្លន់
- O15 - តំបន់បណ្ដាញដែលមិនត្រូវការនៅក្នុងតំបន់ដែលជឿទុកចិត្ត
- O16 - វត្ថុ ActiveX (aka ឯកសារកម្មវិធីដែលបានទាញយក)
- O17 - ប្លន់ដែន Lop.com
- O18 - ពិធីការបន្ថែមនិងប្លន់ពិធីការ
- O19 - ប្លង់សន្លឹករចនាប័ទ្មអ្នកប្រើ
- O20 - តម្លៃ Registry AppInit_DLLs បើក
- O21 - ShellServiceObjectDelayLoad គ្រាប់ចុចចុះបញ្ជីអនុញ្ញាត
- O22 - SharedTaskScheduler គ្រាប់ចុច Registry បើក
- O23 - សេវាកម្មវីនដូ NT
R0, R1, R2, R3 - IE Start និង Search pages
វាមើលទៅដូចជា:
R0 - HKCU កម្មវិធីក្រុមហ៊ុន Microsoft Internet Explorer មេចាប់ផ្តើមទំព័រ = http://www.google.com/
R1 - HKLM កម្មវិធី Microsoft Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/
R2 - (ប្រភេទនេះមិនត្រូវបានប្រើដោយ HijackThis នៅឡើយទេ)
R3 - URLSearchHook លំនាំដើមបាត់
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកស្គាល់ URL នៅខាងចុងជាគេហទំព័រឬម៉ាស៊ីនស្វែងរករបស់អ្នកវាមិនអីទេ។ ប្រសិនបើអ្នកមិនធ្វើវាសូមពិនិត្យវាហើយមាន HijackThis ជួសជុលវា។ សម្រាប់ធាតុ R3 សូមជួសជុលវាជានិច្ចលុះត្រាតែវាប្រាប់ពីកម្មវិធីដែលអ្នកស្គាល់ដូចជា Copernic ។
F0, F1, F2, F3 - កម្មវិធី Autoloading ពីឯកសារ INI
វាមើលទៅដូចជា:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
អ្វីដែលត្រូវធ្វើ:
ធាតុរបស់ F0 តែងតែអាក្រក់ដូច្នេះជួសជុលវា។ ធាតុរបស់ F1 ជាទូទៅមានកម្មវិធីចាស់ៗដែលមានសុវត្ថិភាពដូច្នេះអ្នកគួរតែស្វែងរកព័ត៌មានបន្ថែមទៀតនៅលើឈ្មោះឯកសារដើម្បីដឹងថាវាល្អឬអាក្រក់។ បញ្ជីចាប់ផ្ដើមរបស់ Pacman អាចជួយក្នុងការកំណត់ធាតុ។
N1, N2, N3, N4 - Netscape / Mozilla Start & amp; ស្វែងរកទំព័រ
វាមើលទៅដូចជា:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ កម្មវិធីឯកសារ \ Netscape \ អ្នកប្រើ \ លំនាំដើម \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ ឯកសារនិងការកំណត់អ្នកប្រើទិន្នន័យកម្មវិធី Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C% 3A% 5CProgram% 20Files% 5CNetscape% 206%5Csearchplugins% 5CSBWeb_02.src"); (C: \ ឯកសារនិងការកំណត់អ្នកប្រើទិន្នន័យកម្មវិធី Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
អ្វីដែលត្រូវធ្វើ:
ជាទូទៅទំព័រដើមនិងទំព័រស្វែងរក Netscape និង Mozilla មានសុវត្ថិភាព។ ពួកគេកម្រទទួលបានការប្លន់ហើយមានតែ Lop.com ប៉ុណ្ណោះដែលត្រូវបានគេដឹងថាធ្វើដូច្នេះ។ អ្នកគួរតែឃើញ URL ដែលអ្នកមិនទទួលស្គាល់ថាជាទំព័រដើមឬទំព័រស្វែងរករបស់អ្នក, HijackThis ជួសជុលវា។
O1 - ការបញ្ជូនបន្តរបស់ឯកសារ Hostsfile
វាមើលទៅដូចជា:
O1 - ម៉ាស៊ីន: 216.177.73.139 auto.search.msn.com
O1 - ម៉ាស៊ីន: 216.177.73.139 search.netscape.com
O1 - ម៉ាស៊ីន: 216.177.73.139 ieautosearch
O1 - ឯកសារម៉ាស៊ីនចែករំលែកមានទីតាំងនៅ C: \ Windows \ Help \ host
អ្វីដែលត្រូវធ្វើ:
ការប្លន់នេះនឹងប្តូរទិសអាសយដ្ឋាននៅខាងស្តាំទៅអាសយដ្ឋាន IP នៅផ្នែកខាងឆ្វេង។ ប្រសិនបើអាសយដ្ឋាន IP មិនមែនជារបស់អាសយដ្ឋានទេអ្នកនឹងត្រូវបានប្ដូរទិសទៅតំបន់បណ្តាញមិនត្រឹមត្រូវគ្រប់ពេលដែលអ្នកបញ្ចូលអាសយដ្ឋាន។ អ្នកតែងតែអាចឱ្យ HijackThis ជួសជុលទាំងនេះលុះត្រាតែអ្នកបានដាក់ខ្សែទាំងនេះនៅក្នុងឯកសារម៉ាស៊ីនរបស់អ្នកដោយចេតនា។
ធាតុចុងក្រោយពេលខ្លះកើតឡើងនៅលើ Windows 2000 / XP ជាមួយនឹងការឆ្លងមេរោគ Coolwebsearch ។ តែងតែជួសជុលធាតុនេះ, ឬមាន CWShredder ជួសជុលវាដោយស្វ័យប្រវត្តិ។
O2 - វត្ថុជំនួយកម្មវិធីរុករក
វាមើលទៅដូចជា:
O2 - BHO: ក្រុមហ៊ុន Yahoo! មិត្តរួម BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ ឯកសារកម្មវិធី \ YAHOO! \ ក្រុមហ៊ុន \ YCOMP5_0_2_4.DLL
O2 - BHO: (គ្មានឈ្មោះ) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ ឯកសារកម្មវិធី \ កម្មវិធីលុបបំបាត់ \ AUTODISPLAY401.DLL (បាត់ឯកសារ)
O2 - BHO: MediaLoads ដែលបានធ្វើឱ្យប្រសើរ - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ ឯកសារកម្មវិធី \ MEDIALOADS បានលើកកម្ពស់ \ ME1.DLL
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកមិនស្គាល់ឈ្មោះវត្ថុជំនួយរបស់កម្មវិធីដោយផ្ទាល់ទេសូមប្រើបញ្ជីរបារឧបករណ៍របស់ TonyK និងរបារឧបករណ៍ដើម្បីរកវាដោយលេខសម្គាល់ថ្នាក់ (CLSID លេខរវាងតង្កៀបអង្កាញ់) ហើយមើលថាតើវាល្អឬអាក្រក់។ នៅក្នុងបញ្ជី BHO 'X' មានន័យថា spyware និង 'L' មានន័យថាមានសុវត្ថិភាព។
O3 - IE របារឧបករណ៍
វាមើលទៅដូចជា:
O3 - របារឧបករណ៍: & យ៉ាហ៊ូ! ដៃគូ - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ ឯកសារកម្មវិធី \ YAHOO! \ COMPAGMENT \ YCOMP5_0_2_4.DLL
O3 - របារឧបករណ៍: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ កម្មវិធីឯកសារ \ កម្មវិធីលុបបណ្តោះអាសន្ន \ PETOOLBAR401.DLL (បាត់ឯកសារ)
O3 - របារឧបករណ៍: rzillcgthjx - {5996aaf3-5ca8-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកមិនស្គាល់ឈ្មោះរបស់របារឧបករណ៍ដោយផ្ទាល់ទេសូមប្រើបញ្ជីរបារឧបករណ៍របស់ TonyK និងរកឃើញវាដោយលេខសម្គាល់ថ្នាក់ (CLSID លេខរវាងតង្កៀបអង្កាញ់) ហើយមើលថាតើវាល្អឬអាក្រក់។ នៅក្នុងបញ្ជីរបារឧបករណ៍ 'X' មានន័យថា spyware និង 'L' មានន័យថាមានសុវត្ថិភាព។ ប្រសិនបើវាមិនមាននៅក្នុងបញ្ជីហើយឈ្មោះនេះហាក់ដូចជាខ្សែអក្សរចៃដន្យនៃតួអក្សរហើយឯកសារស្ថិតនៅក្នុងថត 'Application Data' (ដូចជាឧទាហរណ៍ចុងក្រោយនៅក្នុងឧទាហរណ៍ខាងលើ) វាប្រហែលជា Lop.com ហើយអ្នកពិតជាត្រូវមានការជួសជុល HijackThis ។ វា។
O4 - កម្មវិធី Autoloading ពីការចុះបញ្ជីឬ Startup
វាមើលទៅដូចជា:
O4 - HKLM \ ។ \ Run: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. Run: [SystemTray] SysTray.Exe
O4 - HKLM \ .. រត់: [ccApp] "C: \ ឯកសារកម្មវិធី \ ឯកសារទូទៅ \ Symantec ចែករំលែក \ ccApp.exe"
O4 - ការចាប់ផ្តើម: Microsoft Office.lnk = C: \ កម្មវិធីឯកសារ \ Microsoft Office \ Office \ OSA9.EXE
O4 - Startup សកល: winlogon.exe
អ្វីដែលត្រូវធ្វើ:
ប្រើបញ្ជីចាប់ផ្ដើមរបស់ PacMan ដើម្បីរកធាតុហើយមើលថាតើវាល្អឬអាក្រក់។
ប្រសិនបើធាតុបង្ហាញកម្មវិធីអង្គុយនៅក្នុងក្រុមចាប់ផ្ដើម (ដូចជាធាតុចុងក្រោយខាងលើ) HijackThis មិនអាចជួសជុលធាតុបានទេប្រសិនបើកម្មវិធីនេះនៅតែនៅក្នុងសតិ។ ប្រើកម្មវិធីគ្រប់គ្រងភារកិច្ចវីនដូ (TASKMGR.EXE) ដើម្បីបិទដំណើរការមុនពេលជួសជុល។
O5 - ជម្រើស IE មិនអាចមើលឃើញនៅក្នុងផ្ទាំងបញ្ជា
វាមើលទៅដូចជា:
O5 - control.ini: inetcpl.cpl = ទេ
អ្វីដែលត្រូវធ្វើ:
លុះត្រាតែអ្នកឬអ្នកគ្រប់គ្រងប្រព័ន្ធរបស់អ្នកលាក់រូបតំណាងពីផ្ទាំងបញ្ជាដោយចេតនាសូមឱ្យ HijackThis ជួសជុលវា។
O6 - ការចូលប្រើប្រាស់ IE អាចដាក់កម្រិតបានដោយអ្នកគ្រប់គ្រង
វាមើលទៅដូចជា:
O6 - HKCU \ Software \ គោលនយោបាយ \ Microsoft \ Internet Explorer \ Restrictions មានវត្តមាន
អ្វីដែលត្រូវធ្វើ:
លុះត្រាតែអ្នកមានជម្រើស Spybot S & D 'ចាក់សោរទំព័រដើមពីការផ្លាស់ប្តូរ' សកម្មឬអ្នកគ្រប់គ្រងប្រព័ន្ធរបស់អ្នកដាក់វាចូលក្នុងកន្លែង HijackThis ជួសជុលវា។
O7 - Regedit ត្រូវបានដាក់កម្រិតដោយអ្នកគ្រប់គ្រង
វាមើលទៅដូចជា:
O7 - HKCU កម្មវិធីកុំព្យូទ័រ Microsoft Windows Windows CurrentVersion គោលនយោបាយ DisableRegedit = 1
អ្វីដែលត្រូវធ្វើ:
មាន HijackThis ជានិច្ចជួសជុលវាលើកលែងតែអ្នកគ្រប់គ្រងប្រព័ន្ធរបស់អ្នកដាក់កម្រិតនេះ។
O8 - ធាតុបន្ថែមនៅក្នុងកម្មវិធី IE ចុចខាងស្តាំ
វាមើលទៅដូចជា:
O8 - ធាតុម៉ឺនុយបរិបទបន្ថែម: និង Google ស្វែងរក - res: // C: \ WINDOWS \ ឯកសារកម្មវិធីដែលបានទាញយក \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - ធាតុម៉ឺនុយបរិបទបន្ថែម: យ៉ាហ៊ូ ស្វែងរក - ឯកសារ: /// C,: កម្មវិធីឯកសារយ៉ាហ៊ូ! Common / ycsrch.htm
O8 - ធាតុម៉ឺនុយបរិបទបន្ថែម: ពង្រីក & បញ្ចូល - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - ធាតុម៉ឺនុយបរិបទបន្ថែម: ពង្រីក O & ច - C: \ WINDOWS \ WEB \ zoomout.htm
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកមិនស្គាល់ឈ្មោះនៃធាតុនៅក្នុងម៉ឺនុយចុចខាងស្តាំនៅក្នុង IE ទេនោះ HijackThis ជួសជុលវា។
O9 - ប៊ូតុងបន្ថែមនៅលើរបារឧបករណ៍ IE ចម្បងឬធាតុបន្ថែមនៅក្នុងឧបករណ៍ IE & # 39; ម៉ឺនុយ
វាមើលទៅដូចជា:
O9 - ប៊ូតុងបន្ថែម: កម្មវិធីផ្ញើសារ (HKLM)
O9 - ឧបករណ៍បន្ថែម 'ឧបករណ៍': កម្មវិធីផ្ញើសារ (HKLM)
O9 - ប៊ូតុងបន្ថែម: AIM (HKLM)
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកមិនស្គាល់ឈ្មោះរបស់ប៊ូតុងឬធាតុម៉ឺនុយនោះត្រូវកែ HijackThis ។
O10 - ចោរប្លន់ Winsock
វាមើលទៅដូចជា:
O10 - ការប្លន់អ៊ិនធឺរណែតដោយ New.Net
O10 - ការចូលដំណើរការអ៊ិនធឺណិខូចដោយសារតែអ្នកផ្តល់សេវា LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' ដែលបាត់
O10 - ឯកសារដែលមិនស្គាល់នៅក្នុង Winsock LSP: c: \ ឯកសារកម្មវិធី \ newton ស្គាល់ \ vmain.dll
អ្វីដែលត្រូវធ្វើ:
វាល្អបំផុតក្នុងការជួសជុលទាំងនេះដោយប្រើ LSPFix ពី Cexx.org ឬ Spybot S & D ពី Kolla.de ។
ចំណាំថាឯកសារ 'មិនស្គាល់' នៅក្នុងជង់ LSP នឹងមិនត្រូវបានជួសជុលដោយ HijackThis ទេសម្រាប់បញ្ហាសុវត្ថិភាព។
O11 - ក្រុមបន្ថែមនៅក្នុងជម្រើសកម្រិតខ្ពស់ IE & # 39; បង្អួច
វាមើលទៅដូចជា:
O11 - ក្រុមជម្រើស: [CommonName] CommonName
អ្វីដែលត្រូវធ្វើ:
ប្លន់តាមផ្លូវតែមួយគត់ដែលឥឡូវនេះដែលបន្ថែមក្រុមជម្រើសផ្ទាល់ខ្លួនរបស់វាទៅផ្ទាំង IE Advanced Options គឺ CommonName ។ ដូច្នេះអ្នកអាចមាន HijackThis នេះជានិច្ច។
O12 - IE កម្មវិធីជំនួយ
វាមើលទៅដូចជា:
O12 - កម្មវិធីជំនួយសម្រាប់ .spop: C: \ កម្មវិធីឯកសារ \ កម្មវិធីរុករកអ៊ិនធឺណិកម្មវិធីជំនួយ \ NPDocBox.dll
O12 - កម្មវិធីជំនួយសម្រាប់ .PDF: C: \ កម្មវិធីឯកសារ Internet Explorer \ PLUGINS \ nppdf32.dll
អ្វីដែលត្រូវធ្វើ:
ភាគច្រើននៃពេលវេលាទាំងនេះមានសុវត្ថិភាព។ មានតែ OnFlow ប៉ុណ្ណោះដែលបន្ថែមកម្មវិធីជំនួយនៅទីនេះដែលអ្នកមិនចង់បាន (.ofb) ។
O13 - IE DefaultPrefix hijack
វាមើលទៅដូចជា:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - បុព្វបទ WWW: http://polivation.com/cgi-bin/r.cgi?
O13 - WWW ។ បុព្វបទ: http://ehttp.cc/?
អ្វីដែលត្រូវធ្វើ:
ទាំងនេះគឺតែងតែអាក្រក់។ មាន HijackThis ជួសជុលពួកវា។
O14 - កំណត់ការកំណត់បណ្តាញឡើងវិញ & # 39; ប្លន់
វាមើលទៅដូចជា:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើ URL មិនមែនជាអ្នកផ្គត់ផ្គង់កុំព្យូទ័រឬ ISP របស់អ្នកទេនោះ HijackThis នឹងជួសជុលវា។
O15 - តំបន់ដែលមិនចង់បាននៅក្នុងតំបន់ជឿទុកចិត្ត
វាមើលទៅដូចជា:
O15 - តំបន់ជឿទុកចិត្ត: http://free.aol.com
O15 - តំបន់ជឿទុកចិត្ត: * .coolwebsearch.com
O15 - តំបន់ជឿទុកចិត្ត: * .msn.com
អ្វីដែលត្រូវធ្វើ:
ភាគច្រើនបំផុតនៃពេលវេលាតែ AOL និង Coolwebsearch បន្ថែមតំបន់បណ្តាញដោយស្ងៀមស្ងាត់ទៅតំបន់ជឿទុកចិត្ត។ ប្រសិនបើអ្នកមិនបានបន្ថែមដែនដែលបានចុះបញ្ជីទៅតំបន់ដែលទុកចិត្តដោយខ្លួនអ្នក, HijackThis ជួសជុលវា។
O16 - វត្ថុ ActiveX (aka ឯកសារកម្មវិធីដែលបានទាញយក)
វាមើលទៅដូចជា:
O16 - DPF: ក្រុមហ៊ុន Yahoo! ជជែក - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (វត្ថុ Shockwave Flash) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើអ្នកមិនស្គាល់ឈ្មោះរបស់វត្ថុឬ URL ដែលវាត្រូវបានទាញយកទេនោះ HijackThis ជួសជុលវា។ ប្រសិនបើឈ្មោះឬ URL មានពាក្យដូចជា "អ្នកហៅទូរស័ព្ទ", "កាស៊ីណូ", "free_plugin" ជាដើម។ SpywareBlaster របស់ Javacool មានមូលដ្ឋានទិន្នន័យដ៏ធំនៃវត្ថុ ActiveX ដែលអាចត្រូវបានប្រើដើម្បីមើល CLSIDs ។ (ចុចកណ្ដុរខាងស្ដាំលើបញ្ជីដើម្បីប្រើមុខងារស្វែងរក។ )
O17 - ប្លន់ដែន Lop.com
វាមើលទៅដូចជា:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ ប៉ារ៉ាម៉ែត្រ: Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ ទូរស័ព្ទ: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ ប៉ារ៉ាម៉ែត្រ: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
អ្វីដែលត្រូវធ្វើ:
ប្រសិនបើដែនមិនមកពី ISP ឬបណ្តាញរបស់ក្រុមហ៊ុនរបស់អ្នកទេនោះ HijackThis ជួសជុលវា។ ដូចគ្នានេះដែរសម្រាប់ធាតុ 'ស្វែងរក' ។ សម្រាប់ធាតុ 'ឈ្មោះ ម៉ាស៊ីនបម្រើ ' ( ម៉ាស៊ីនបម្រើ DNS ) Google សម្រាប់ IP ឬអាយភីអាហើយវានឹងងាយស្រួលមើលថាតើវាល្អឬអាក្រក់។
O18 - ពិធីការបន្ថែមនិងប្លន់ពិធីការ
វាមើលទៅដូចជា:
O18 - ពិធីការ: តំណភ្ជាប់ទាក់ទង - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ ធម្មតា ~ 1 \ MSIETS \ msielink.dll
O18 - ពិធីការ: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - ប្លន់ពិធីការ: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
អ្វីដែលត្រូវធ្វើ:
មានតែអ្នកលួចពីរបីប៉ុណ្ណោះដែលបង្ហាញនៅទីនេះ។ baddies ដែលគេស្គាល់គឺ 'cn' (CommonName) 'ayb' (Lop.com) និង 'តំណភ្ជាប់ដែលទាក់ទង' (Huntbar) អ្នកគួរមាន HijackThis ជួសជុលទាំងនោះ។ រឿងផ្សេងទៀតដែលបង្ហាញមិនត្រូវបានបញ្ជាក់ថាមានសុវត្ថិភាពនៅឡើយទេឬត្រូវបានប្លន់ (ឧ។ CLSID ត្រូវបានផ្លាស់ប្តូរ) ដោយ spyware ។ ក្នុងករណីចុងក្រោយ HijackThis ជួសជុលវា។
O19 - ប្លង់សន្លឹករចនាប័ទ្មអ្នកប្រើ
វាមើលទៅដូចជា:
O19 - សន្លឹករចនាប័ទ្មអ្នកប្រើ: c: \ WINDOWS \ Java \ my.css
អ្វីដែលត្រូវធ្វើ:
ក្នុងករណីកម្មវិធីរុករកថយចុះនិងការលេចឡើងជាញឹកញាប់មាន HijackThis ជួសជុលធាតុនេះប្រសិនបើវាបង្ហាញនៅក្នុងកំណត់ហេតុ។ ទោះជាយ៉ាងណាក៏ដោយចាប់តាំងពី Coolwebsearch ធ្វើបែបនេះវាល្អប្រសើរជាងក្នុងការប្រើ CWShredder ដើម្បីជួសជុលវា។
O20 - តម្លៃ Registry AppInit_DLLs បើក
វាមើលទៅដូចជា:
O20 - AppInit_DLLs: msconfd.dll
អ្វីដែលត្រូវធ្វើ:
តម្លៃចុះបញ្ជីនេះដែលមាននៅ HKEY_LOCAL_MACHINE កម្មវិធី Microsoft វីនដូ Windows CurrentVersion ប្រព័ន្ធផ្ទុកទិន្នន័យ DLL ទៅក្នុងអង្គចងចាំនៅពេលដែលអ្នកប្រើកត់ត្រាចូលបន្ទាប់មកវាស្ថិតនៅក្នុងអង្គចងចាំរហូតដល់រូបសញ្ញា។ កម្មវិធីស្របច្បាប់តិចតួចប្រើវា (Norton CleanSweep ប្រើ APITRAP.DLL) ដែលភាគច្រើនវាត្រូវបានប្រើដោយមេរោគ Trojans ឬកម្មវិធីប្លន់កម្មវិធីរុករក។
ក្នុងករណីដែលការផ្ទុក DLL 'លាក់' ពីតម្លៃចុះបញ្ជីនេះ (អាចមើលឃើញតែនៅពេលប្រើជម្រើស 'កែសម្រួលទិន្នន័យគោលពីរនៅក្នុង Regedit') ឈ្មោះ dll អាចត្រូវបានដាក់បុព្វបទដោយបំពង់ '|' ដើម្បីធ្វើឱ្យវាមើលឃើញក្នុងកំណត់ហេតុ។
O21 - ShellServiceObjectDelayLoad
វាមើលទៅដូចជា:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
អ្វីដែលត្រូវធ្វើ:
នេះគឺជាវិធីសាស្ត្របើកដោយស្វ័យប្រវត្តិគ្មានឯកសារដែលជាទូទៅត្រូវបានប្រើដោយសមាសធាតុប្រព័ន្ធវីនដូមួយចំនួន។ ធាតុដែលបានរាយនៅ HKEY_LOCAL_MACHINE កម្មវិធី Microsoft ប្រព័ន្ធប្រតិបត្តិការ Windows CurrentVersion ShellServiceObjectDelayLoad ត្រូវបានផ្ទុកដោយកម្មវិធីរុករកនៅពេលដែលវីនដូចាប់ផ្ដើម។ HijackThis ប្រើបញ្ជីសរបស់ SSODL ដែលមានលក្ខណៈជាទូទៅជាច្រើនដូច្នេះនៅពេលណាដែលធាតុត្រូវបានបង្ហាញនៅក្នុងកំណត់ហេតុនោះវាមិនដឹងនិងអាចមានគ្រោះថ្នាក់។ ព្យាបាលដោយការថែរក្សាយ៉ាងខ្លាំង។
O22 - SharedTaskScheduler
វាមើលទៅដូចជា:
O22 - SharedTaskScheduler: (គ្មានឈ្មោះ) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
អ្វីដែលត្រូវធ្វើ:
នេះគឺជាការអនុញ្ញាតរត់ស្វ័យប្រវត្តិសម្រាប់វីនដូ NT / 2000 / XP តែមួយគត់ដែលត្រូវបានគេប្រើប្រាស់កម្រណាស់។ រហូតមកដល់ពេលនេះ CWS.Smartfinder ប្រើវា។ ព្យាបាលដោយយកចិត្តទុកដាក់។
O23 - សេវាកម្មរបស់ NT
វាមើលទៅដូចជា:
O23 - សេវាកម្ម: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: កម្មវិធីឯកសារ Kerio Firewall ផ្ទាល់ខ្លួន persfw.exe
អ្វីដែលត្រូវធ្វើ:
នេះគឺជាបញ្ជីនៃសេវាកម្មមិនមែន Microsoft ។ បញ្ជីនេះគួរតែដូចនឹងអ្វីដែលអ្នកឃើញនៅក្នុងឧបករណ៍ប្រើប្រាស់ Msconfig នៃ Windows XP ដែរ។ ចោរប្លន់ចារកម្មជាច្រើនប្រើសេវាកម្មធ្វើដោយដៃនៅក្នុងការតស៊ូដើម្បីចាប់ផ្ដើមអាជីវកម្មផ្សេងទៀតដើម្បីដំឡើងដោយខ្លួនឯង។ ឈ្មោះពេញជាទូទៅមានសារៈសំខាន់ដូចជាសម្លេងដូចជាសេវាបណ្តាញសុវត្ថិភាពសេវាកម្មតំហែទាំស្ថានីយការងារឬការអនុវត្តការហៅតាមនីតិវិធីពីចម្ងាយប៉ុន្តែឈ្មោះខាងក្នុង (ចន្លោះតង្កៀប) គឺជាឃ្លាមួយដូចជា "Ort" ។ ផ្នែកទីពីរនៃបន្ទាត់គឺជាម្ចាស់នៃឯកសារនៅចុងបញ្ចប់ដូចដែលឃើញក្នុងលក្ខណៈសម្បត្តិរបស់ឯកសារ។
ចំណាំថាការជួសជុលធាតុ O23 នឹងបញ្ឈប់សេវាកម្មហើយបិទវា។ សេវានេះចាំបាច់ត្រូវលុបពី Registry ដោយដៃឬជាមួយឧបករណ៍ផ្សេងទៀត។ នៅក្នុង HijackThis 1.99.1 ឬខ្ពស់ជាងនេះប៊ូតុង 'លុបសេវាកម្ម NT' នៅក្នុងផ្នែកឧបករណ៍ផ្សេងៗអាចត្រូវបានប្រើសម្រាប់ការនេះ។