¿Qué tipo de archivo es Addrplus3? ¿Qué navegador IE es mejor usar ahora? Estoy usando SOSO ahora

hijackthis es una herramienta de análisis muy conveniente. Cuando la mayoría de los navegadores son secuestrados, se pueden analizar y reparar a través de hijackthis.

Windsinger escribió una vez una explicación detallada del registro de HijackThis. El registro se analizó en detalle y ¡yo mismo me beneficié mucho de ello!

Sin embargo, muchos amigos no están seguros de si deberían reparar muchos proyectos en el proceso de análisis de aprendizaje y temen borrar accidentalmente algunos archivos normales...

Aquí tengo algunas ideas sobre cómo solucionar el problema. Analice el registro y hable sobre algunas de sus propias experiencias.

HijackThis escanea entradas de registro y archivos específicos en el disco duro. Lo más importante es si un determinado proyecto es normal. es que necesitamos ver si corresponde a lo normal. Los archivos del programa siguen siendo troyanos maliciosos...

Por ejemplo:

O2 - BHO: Clase NTIECatcher - {C56CB6B0-0D96- 11D6-8C65-B2868B609932} - C:\Program Files\Xi \NetTransport 2\NTIEHelper.dll

En este elemento, el último C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll es el archivo correspondiente a este módulo, es decir, desde el directorio de archivos correspondiente o desde el nombre del archivo, podemos saber para qué se utiliza este módulo: NetTransport es la herramienta de descarga "cinta transportadora de audio y video", y observe el nombre del archivo: NT IE. AYUDANTE Entonces podemos juzgar preliminarmente que este elemento debería ser la cinta transportadora de audio y video en IE Un módulo de ayuda

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} -. C:\Program Files\TENCENT\QQ\QQIEHelper.dll

Es obvio que este es un complemento para Tencent QQ

Para archivos con los que no está familiarizado, puede ¿Puedo usar Google o Baidu para buscar y ver los resultados de búsqueda proporcionados en línea para juzgar el archivo?

Por ejemplo

O2 - BHO: IEMoni Class - {. F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll

Buscamos el archivo SBHOPlin.dll a través de Google y descubrimos en los resultados de búsqueda que este es Skynet Complemento Firewall IE

A continuación, enumeraré algunos proyectos normales comunes. Los directorios o archivos que necesitan atención están marcados en azul (los que se pueden ver de un vistazo no se enumerarán uno por uno)<. /p>

R3 - URLSearchHook: Clase MyURLSearchHook - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll

Sogou Express

O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\ Archivos de programa\P4P\sodaie.dll

Sogou Express

O2 - BHO : IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~ 1\CnsHook.dll

Nombre real de la red

O2 - BHO: Clase IEMoni - {F2

36CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll

Módulo Skynet Firewall IE

O2 - BHO: Clase AcroIEHlprObj - {06849E9F- C7 -4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Adobe Acrobat Reader

O2 - BHO: (sin nombre ) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL

Búsqueda Baidu

O2 - BHO: Clase ThunderIEHelper - { 0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll

Módulo IE de Thunder

O2 - BHO: Clase CdnForIE - {5C3853CF- C7E0- 4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O2 - BHO: Clase WMHlprObj - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C :\ ARCHIVOS DE PROGRAMA\CNNIC\CDN\WMHLPR.DLL

Acceso a Internet chino

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA ~ 1\Yahoo!\ASSIST~1\Assist\yphtb.dll

O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo! ASSIST~1\Assist\yangling.dll

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist \ YDRAGS~1.DLL

Módulo Yahoo Assistant IE

O2 - BHO: Ayudante del navegador Tencent - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files \TENCENT \AddrPlus\IEHelp1.dll

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll

Módulo Tencent QQ

O2 - BHO: Asistente de la barra de herramientas de Google - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

Google buscar módulo IE

O

2 - BHO: Clase IeCatch2 - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

Módulo Internet Express IE

O3 - Barra de herramientas: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll

BT Descargar la barra de herramientas BitComet

O3 - Barra de herramientas: Barra FlashGet - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

Barra de herramientas de Internet Express

O3 - Barra de herramientas: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

Barra de herramientas de Google

Enumerada a continuación Aunque los elementos 04 son normales y elementos inofensivos, no son necesariamente necesarios. Puede decidir si desea conservarlos según sus propias necesidades

O4 - HKLM\..\Run: [SystemTray] SysTray

Proceso en segundo plano, utilizado para mostrar información de fecha y hora

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG .EXE" /Spoil /RemAdvDef /Migration32

Método de entrada japonés de Microsoft

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /SYNC

Método de entrada inteligente de Microsoft 2002A (dinámico)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /IMEName

Método de entrada inteligente de Microsoft 2002A (nombre)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\ IMEKRMIG.EXE

Parte del paquete Microsoft Office. para soporte en varios idiomas.

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

Método de entrada Microsoft Pinyin

O4 - Elemento de inicio HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

Método de entrada de IME de Microsoft Componentes

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Software de optimización de gestión de tarjetas de sonido

O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

Controlador para tarjeta de sonido integrada en la placa base

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe

El proceso relacionado con la tarjeta de sonido basado en el chip adi creará un icono en la bandeja del sistema

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme

Configuración de administración de energía

O4 - HKLM\\Ejecutar: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe

Programa relacionado con la tarjeta gráfica Intel, utilícelo para configurar y diagnosticar equipos relacionados

O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE

Programa de matanza programada en ascenso

O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM

Real en ascenso -monitoreo de virus en tiempo

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe

Rising Firewall

O4 - HKLM\..\ Ejecutar: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe

SkyNet Firewall

O4 - HKLM\. .\Ejecutar: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizar

Monitoreo en tiempo real de Kaspersky

O4 - HKLM\..\Ejecutar: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave

Super Rabbit

O4 - HKCU\.. \Ejecutar: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD

Super Rabbit

O4 - HKLM\..\Ejecutar: [ TkBellExe] "C:\Archivos de programa\Archivos comunes\Rea

l\Update_OB\realsched.exe" -osboot

Programa de actualización de versión de RealPlayer

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k

Comprobador del kernel de Windows

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u

Programa de informe de errores de Windows

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

Asistente de Internet

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM \\Ejecutar: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3

Nombre real de la red

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

Herramienta de ajuste para tarjetas gráficas de la serie NVIDIA

O4 - HKLM\..\Run: [nwiz ] nwiz.exe /instalar

Panel de control de la tarjeta gráfica de la serie NVIDIA

O4 - HKLM\\Ejecutar: [ATIModeChange] Ati2mdxx.exe

Tarjeta gráfica ATI 2D modo Módulo de función

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

Proporciona reconocimiento de voz, reconocimiento de escritura a mano, teclado, y soporte de traducción y otras tecnologías de entrada del usuario

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon

programa relacionado con internetexplorer, utilizado para sincronizar páginas web sin conexión

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo

Nombre de dominio chino

O4 - HKLM\ \Ejecutar: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe

O4 - HKLM\\Ejecutar: [yassistse] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"

Asistente de Yahoo

O4 - HKLM\\Ejecutar: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe

Acceso a Internet chino

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

Cámara controlador

O4 - HKLM\..\Ejecutar: [AddrPlus3] C:\P

ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32

Complemento QQ Assistant

O4 - Elemento de inicio HKLM \\Ejecutar: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa

Programa de juego Sina

O4 - Inicio global: Microsoft Office.lnk = C :\Program Files\Microsoft Office\Office\OSA9.EXE

Asistente de inicio de Office

Aunque los 04 elementos enumerados a continuación son elementos normales e inofensivos, no necesariamente son necesarios. puede decidir si desea conservarlo según sus propias necesidades

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

Proceso en segundo plano, utilizado para mostrar la fecha y la hora información

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

Microsoft Método de entrada japonés

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

Método de entrada inteligente de Microsoft 2002A (dinámico)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

Método de entrada inteligente de Microsoft 2002A (nombre)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

Parte de la suite Microsoft Office. para soporte en varios idiomas.

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

Método de entrada Microsoft Pinyin

O4 - Elemento de inicio HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

Método de entrada de IME de Microsoft Componentes

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Software de optimización de gestión de tarjetas de sonido

O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

Controlador para tarjeta de sonido integrada en la placa base

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe

El proceso relacionado con la tarjeta de sonido basado en el chip adi creará un icono en la bandeja del sistema

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme

Configuración de administración de energía

O4 - HKLM\\Ejecutar: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe

Programa relacionado con la tarjeta gráfica Intel, utilícelo para configurar y diagnosticar equipos relacionados

O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE

Programa de matanza programada en ascenso

O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM

Real en ascenso -monitoreo de virus en tiempo

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe

Rising Firewall

O4 - HKLM\..\ Ejecutar: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe

SkyNet Firewall

O4 - HKLM\. .\Ejecutar: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizar

Monitoreo en tiempo real de Kaspersky

O4 - HKLM\..\Ejecutar: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave

Super Rabbit

O4 - HKCU\.. \Ejecutar: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD

Super Rabbit

O4 - HKLM\..\Ejecutar: [ TkBellExe] "C:\Archivos de programa\Archivos comunes\Rea

l\Update_OB\realsched.exe" -osboot

Programa de actualización de versión de RealPlayer

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k

Comprobador de kernel de Windows

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u

Programa de informe de errores de Windows

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

Asistente de Internet

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM \\Ejecutar: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3

Nombre real de la red

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

Herramienta de ajuste para tarjetas gráficas de la serie NVIDIA

O4 - HKLM\..\Run: [nwiz ] nwiz.exe /instalar

Panel de control de la tarjeta gráfica de la serie NVIDIA

O4 - HKLM\\Ejecutar: [ATIModeChange] Ati2mdxx.exe

Tarjeta gráfica ATI 2D modo Módulo de funciones

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

Proporciona reconocimiento de voz, reconocimiento de escritura a mano, teclado, y soporte de traducción y otras tecnologías de entrada del usuario

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon

programa relacionado con internetexplorer, utilizado para sincronizar páginas web sin conexión

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo

Nombre de dominio chino

O4 - HKLM\ \Ejecutar: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe

O4 - HKLM\\Ejecutar: [yassistse] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"

Yahoo Assistant

O4 - HKLM\\Ejecutar: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe

Acceso a Internet chino

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

Cámara controlador

O4 - HKLM\..\Ejecutar: [AddrPlus3] C:\P

ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32

Complemento QQ Assistant

O4 - Elemento de inicio HKLM \\Ejecutar: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa

Programa de juego Sina

O4 - Inicio global: Microsoft Office.lnk = C :\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Asistente de inicio de Office

Descripción general de las entradas de registro

R0, R1, R2, R3 Internet Explorer ( Cambios en la página de inicio predeterminada y la página de búsqueda predeterminada de IE

Autocargador en archivos ini F0, F1, F2, F3

N1, N2, N3, N4 Netscape/Cambios en la página predeterminada de Mozilla iniciar página de inicio y página de búsqueda predeterminada

Redirección de archivos de O1 Hosts

Objetos auxiliares del navegador O2 (BHO, módulo auxiliar del navegador)

Barra de herramientas del navegador O3 IE

Elemento de inicio automático de O4

Opción de IE O5 bloqueada en el panel de control

Opción de IE O6 deshabilitada por el administrador

p>

Editor de Registro O7 (regedit) está deshabilitado por el administrador

O8 Nuevos elementos en el menú contextual de IE

O9 Elementos adicionales del menú "Herramientas" y botones de la barra de herramientas de IE

O10 Winsock LSP "secuestro de navegador"

Nuevo elemento en las opciones avanzadas de O11 IE

Complemento O12 IE

O13 Modificaciones al prefijo URL predeterminado de IE

O14 Modificaciones a “Restablecer configuración WEB”

O15 Invitados no invitados en “Sitios de confianza”

O16 Esos objetos ActiveX en el directorio de Archivos de programa descargados

O17 Dominio "secuestro"

O18 Protocolos adicionales y protocolo "secuestro"

O19 Estilo de usuario Hoja de estilo "secuestro"

O20 El elemento de inicio automático en el clave de registro AppInit_DLLs

O21 El elemento de inicio automático en la clave de registro ShellServiceObjectDelayLoad

O22 Elemento de inicio automático en la clave de registro SharedTaskScheduler

O23 servicio del sistema cargado

Grupo - O2

1. Descripción del proyecto

El elemento O2 enumera los módulos BHO existentes del navegador IE. BHO, u objetos auxiliares del navegador, se refiere a los módulos auxiliares del navegador (u objetos auxiliares), que son pequeños complementos que amplían las funciones del navegador. Aquí hay una mezcla de bueno y malo, Norton Antivirus, Google, etc. pueden aparecer aquí, y este también es un lugar donde a menudo aparece algún software espía.

2. Ejemplo:

O2 - BHO: (sin nombre) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\ NTIEHelper.dll

Este es el módulo de la cinta transportadora de audio y vídeo (Net Transport).

O2 - BHO: (sin nombre) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL

Esto es Internet Express (FlashGet) módulo.

O2 - BHO: (sin nombre) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL

Este es Baidu Módulo de búsqueda.

O2 - BHO: (sin nombre) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL

Esto es 3721 Módulo asistente de Internet.

O2 - BHO: (sin nombre) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

Este es un módulo para Adobe Acrobat Reader (utilizado para procesar archivos PDF).

O2 - BHO: (sin nombre) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

Esta es la barra de herramientas de Google módulo.

3. Recomendaciones generales

Hay demasiados elementos posibles de O2 para enumerarlos aquí. Hay algunas buenas listas de BHO en Internet, donde puedes consultar información relevante del proyecto.

Ejemplo de dirección de consulta de información relevante:

/bhos/

putercops.biz/CLSID.html

Se recomienda utilizar CLSID (es decir, " { }") para buscar elementos relacionados. Generalmente, en los resultados de la consulta de la URL anterior, los marcados con L son módulos legales, los marcados con X son módulos espía/publicitarios y los marcados con O no son concluyentes temporalmente.

Antes de reparar, analízalo detenidamente para ver si reconoces el nombre de esta cosa y la ruta donde se encuentra. No puedes generalizar. Es mejor preguntar más sobre información relevante y nunca repararla casualmente. Para los módulos maliciosos marcados con X, generalmente se recomienda repararlos.

4. Solución de problemas

Cuando HijackThis repara el elemento O2, los archivos relacionados se eliminarán. Sin embargo, para algunos elementos de O2, aunque elegí dejar que HijackThis los reparara, todavía estaban allí durante el siguiente escaneo. Cuando esto suceda, asegúrese de haber cerrado todas las ventanas del navegador y de las carpetas cuando utilice la reparación HijackThis. Si eso aún no funciona, se recomienda reiniciar en modo seguro y eliminar el archivo directamente. A veces, encontrará un proyecto como el siguiente (sin contenido después)

O2 - BHO:

No se puede eliminar. Sospecho que es un proyecto 3721. instalado 3721, aparecerá dicho elemento de O2. No hay forma de solucionar este problema utilizando HijackThis. La decisión de utilizar 3721 recae en el propio usuario.

Grupo - O3

1. Descripción del proyecto

El elemento O3 enumera la barra de herramientas del navegador IE existente (ToolBar, abreviada como TB). Tenga en cuenta que lo que se enumera aquí es una barra de herramientas, que generalmente contiene varios elementos. Además de algunas barras de herramientas que vienen con IE, otro software también instalará algunas barras de herramientas. Estas barras de herramientas generalmente aparecen debajo de la barra de herramientas y la barra de direcciones de IE. HijackThis los enumera en el elemento O3.

Las entradas de registro relacionadas son

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

2. Ejemplo

O3 - Barra de herramientas: - {8E718888-423F - 11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

Este es el control ActiveX de Windows Media Player 2, el elemento de control ActiveX del reproductor multimedia.

O3 - Barra de herramientas: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL

Esto es Internet Express (FlashGet ) de la barra de herramientas de IE.

O3 - Barra de herramientas: ? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL

O3 - Barra de herramientas: - { A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL

O3 - Barra de herramientas: - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL .DLL

Las tres anteriores son las barras de herramientas de IE de Kingsoft Antivirus.

O3 - Barra de herramientas: ? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL

Este es Kingsoft Express Barra de herramientas de IE traducida.

O3 - Barra de herramientas: ? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL

3721 Asistente de Internet para IE Barra de herramientas.

O3 - Barra de herramientas: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll

Esta es la barra de herramientas de IE de Google .

O3 - Barra de herramientas: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll

Este es el software antivirus Norton barra de herramientas.

3. Recomendaciones generales

Igual que O2, este hay que analizarlo detenidamente para ver si reconoces el nombre de esta cosa y cuál es en la barra de herramientas de IE (hay algunas posibilidades). Está instalado pero no se muestra. Puede ver algunos haciendo clic derecho en la barra de herramientas de IE) y mirar la ruta donde se encuentra. No puede generalizar. Puede consultar más información relevante y no repararla a voluntad. A continuación se muestran algunas buenas direcciones de consulta

/toolbars/

putercops.biz/CLSID.html

Se recomienda utilizar CLSID (es decir, entre "{ }" número) para buscar elementos relacionados.

Generalmente, en los resultados de la consulta de la URL anterior, los marcados con L son módulos legales, los marcados con X son módulos espía/publicitarios y los marcados con O no son concluyentes temporalmente. Para los marcados con una X, generalmente se recomienda repararlos.

4. Solución de problemas

Si no se puede encontrar en la lista de consulta de datos, su nombre parece ser aleatorio y la ruta está en "Datos de la aplicación", generalmente está infectado. Famoso Lop.com, recomendado para reparación. Como

O3 - Barra de herramientas: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Detalles sobre Lop.com Para obtener información y métodos de reparación manual, consulte

/parasite/lop.html

YoCheng 2004-12-17 12:03

Group——O4

1. Descripción del proyecto

Aquí se enumeran los programas de inicio automático en el sentido general que todo el mundo suele mencionar. Para ser precisos, lo que se enumera aquí son los programas iniciados por las claves del registro.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software \Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run

Tenga en cuenta que aunque el elemento HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit también puede iniciar el programa, se ha informado en el elemento F2.

Además, el elemento O4 también informa dos situaciones, a saber, "Inicio:" y "Inicio global: En mi impresión,

Inicio: es equivalente a la carpeta c:". \ El contenido de documentos y configuración\NOMBRE DE USUARIO\ (NOMBRE DE USUARIO se refiere a su nombre de usuario)

Inicio global: equivalente al contenido de la carpeta c:\documentos y configuración\Todos los usuarios\

Tenga en cuenta que también se informarán otros archivos almacenados en estas dos carpetas.

Creo que, de hecho, se debe informar la carpeta "Inicio", es decir

Inicio: informe el contenido en c:\documents and settings\USERNAME\start menu\programs \startup

Inicio global: informe el contenido en c:\documents and settings\All Users\start menu\programs\startup

Pero estos dos elementos están respectivamente en la versión china

Inicio: C:\Documentos y configuraciones\NOMBRE DE USUARIO\Menú Inicio\Programas\Inicio

Inicio global: C:\Documentos y configuraciones\Todos los usuarios\Menú Inicio\Programas\Inicio

Me temo que HijackThis no reconoce la versión china de estos dos directorios y ni siquiera informa sobre su contenido. ¿No es así? Espero que alguien te lo diga.

2. Ejemplo

Nota: Antes de los corchetes está la ubicación de la clave principal del registro

Dentro de los corchetes está el valor de la clave

Después de los corchetes son datos

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

Autoprueba del registro

O4 - HKLM\..\Ejecutar: [TaskMonitor] C:\WINDOWS\taskmon.exe

Optimizador de tareas de Windows

O4 - HKLM\..\ Ejecutar: [SystemTray] SysTray.Exe

Programa de administración de energía de Windows

O4 - HKLM\..\Ejecutar: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer. exe

O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe

O4 - HKLM\..\Run: [ ccenter ] C:\Program Files\rising\Rav\CCenter.exe

Los tres anteriores son todos programas de inicio automático de Rising.

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32

Los dos anteriores son programas de inicio automático para 3721 y Baidu.

(¿No suelen preguntar los amigos de dónde viene Rundll32.exe en el proceso?)

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

Tarea del plan de Windows

O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO

O4 - HKLM\..\RunServices : [ccenter] C:\Program Files\rising\Rav\CCenter.exe