史萊姆論壇 - 查看單個文章

psac · 2006-02-12, 05:11 AM

組別——O19

1. 項目說明

O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

此外，此項中也可能出現.ini、.bmp文件等。

2. 舉例

O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建議

已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。

當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。

組別——O20

1. 項目說明

O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。

相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

鍵值為AppInit_DLLs

此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建議

僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。

4. 疑難解析

有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`|`來使自己難被發覺。

組別——O21

1. 項目說明

O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。
相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 舉例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建議

HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。

4. 疑難解析

（暫無）

組別——O22

1. 項目說明

O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。

2. 舉例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建議

已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見http://community.rising.com.cn/Forum...3926810&page=1

4. 疑難解析

（暫無）

組別——O23

1. 項目說明

O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務)

2. 舉例

O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

3. 一般建議

很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache，MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了.

4. 疑難解析

只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.

2006-02-12, 05:11 AM	#15 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O19 1. 項目說明 O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 此外，此項中也可能出現.ini、.bmp文件等。 2. 舉例 O19 - User stylesheet: c:\WINDOWS\Java\my.css O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\win32.bmp 3. 一般建議已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考 http://www.pestpatrol.com/pestinfo/d/datanotary.asp http://www.spywareinfo.com/articles/datanotary/ 該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。組別——O20 1. 項目說明 O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows 鍵值為AppInit_DLLs 此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。 2. 舉例 O20 - AppInit_DLLs: msconfd.dll 3. 一般建議僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。 4. 疑難解析有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`\|`來使自己難被發覺。組別——O21 1. 項目說明 O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 2. 舉例 O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 3. 一般建議 HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。 4. 疑難解析（暫無）組別——O22 1. 項目說明 O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。 2. 舉例 O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 3. 一般建議已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見http://community.rising.com.cn/Forum...3926810&page=1 4. 疑難解析（暫無）組別——O23 1. 項目說明 O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務) 2. 舉例 O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe 3. 一般建議很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache，MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了. 4. 疑難解析只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次