組別——O19
1. 項目說明
O19提示用戶樣式表(stylesheet)「劫持」,樣式表是一個副檔名為.CSS的文件,它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外,此項中也可能出現.ini、.bmp文件等。
2. 舉例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp
3. 一般建議
已知,datanotary.com會修改樣式表。該樣式表名為my.css或者system.css,具體訊息可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該「瀏覽器劫持」也屬於CoolWebSearch家族,別忘了上面多次提到的專殺。
當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗,而HijackThis又報告此項時,建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項,建議使用HijackThis修復。
組別——O20
1. 項目說明
O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about
:blank」劫持就是利用這一項)。
相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
鍵值為AppInit_DLLs
此處用來在用戶登入時載入.dll文件。用戶註銷時,這個.dll也被註銷。
2. 舉例
O20 - AppInit_DLLs: msconfd.dll
3. 一般建議
僅有極少的合法軟體使用此項,已知諾頓的CleanSweep用到這一項,它的相關文件為APITRAP.DLL。其它大多數時候,當HijackThis報告此項時,您就需要提防木馬或者其它惡意程序。
4. 疑難解析
有時,HijackThis不報告這一項,但如果您在註冊表編輯器中使用「修改二進位資料」功能,則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`|`來使自己難被發覺。
組別——O21
1. 項目說明
O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式,通常只有少數Windows系統元件用到它。Windows啟動時,該處註冊的元件會由Explorer載入。
相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
2. 舉例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
3. 一般建議
HijackThis會自動識別在該處啟動的一般Windows系統元件,不會報告它們。所以如果HijackThis報告這一項,則有可能存在惡意程序,需要仔細分析。
4. 疑難解析
(暫無)
組別——O22
1. 項目說明
O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式,極少用到。
2. 舉例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
3. 一般建議
已知,CoolWebSearch變種Smartfinder用到這一項,請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder(CoolWeb粉碎機),簡介見
http://community.rising.com.cn/Forum...3926810&page=1
4. 疑難解析
(暫無)
組別——O23
1. 項目說明
O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務)
2. 舉例
O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
3. 一般建議
很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache,MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了.
4. 疑難解析
只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.