hijackthis es una herramienta de análisis muy conveniente. Cuando la mayoría de los navegadores son secuestrados, se pueden analizar y reparar a través de hijackthis.
Windsinger escribió una vez una explicación detallada del registro de HijackThis. El registro se analizó en detalle y ¡yo mismo me beneficié mucho de ello!
Sin embargo, muchos amigos no están seguros de si deberían reparar muchos proyectos en el proceso de análisis de aprendizaje y temen borrar accidentalmente algunos archivos normales...
Aquí tengo algunas ideas sobre cómo solucionar el problema. Analice el registro y hable sobre algunas de sus propias experiencias.
HijackThis escanea entradas de registro y archivos específicos en el disco duro. Lo más importante es si un determinado proyecto es normal. es que necesitamos ver si corresponde a lo normal. Los archivos del programa siguen siendo troyanos maliciosos...
Por ejemplo:
O2 - BHO: Clase NTIECatcher - {C56CB6B0-0D96- 11D6-8C65-B2868B609932} - C:\Program Files\Xi \NetTransport 2\NTIEHelper.dll
En este elemento, el último C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll es el archivo correspondiente a este módulo, es decir, desde el directorio de archivos correspondiente o desde el nombre del archivo, podemos saber para qué se utiliza este módulo: NetTransport es la herramienta de descarga "cinta transportadora de audio y video", y observe el nombre del archivo: NT IE. AYUDANTE Entonces podemos juzgar preliminarmente que este elemento debería ser la cinta transportadora de audio y video en IE Un módulo de ayuda
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} -. C:\Program Files\TENCENT\QQ\QQIEHelper.dll
Es obvio que este es un complemento para Tencent QQ
Para archivos con los que no está familiarizado, puede ¿Puedo usar Google o Baidu para buscar y ver los resultados de búsqueda proporcionados en línea para juzgar el archivo?
Por ejemplo
O2 - BHO: IEMoni Class - {. F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
Buscamos el archivo SBHOPlin.dll a través de Google y descubrimos en los resultados de búsqueda que este es Skynet Complemento Firewall IE
A continuación, enumeraré algunos proyectos normales comunes. Los directorios o archivos que necesitan atención están marcados en azul (los que se pueden ver de un vistazo no se enumerarán uno por uno)<. /p>
R3 - URLSearchHook: Clase MyURLSearchHook - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
Sogou Express
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\ Archivos de programa\P4P\sodaie.dll
Sogou Express
O2 - BHO : IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~ 1\CnsHook.dll
Nombre real de la red
O2 - BHO: Clase IEMoni - {F2
36CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
Módulo Skynet Firewall IE
O2 - BHO: Clase AcroIEHlprObj - {06849E9F- C7 -4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader
O2 - BHO: (sin nombre ) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
Búsqueda Baidu
O2 - BHO: Clase ThunderIEHelper - { 0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
Módulo IE de Thunder
O2 - BHO: Clase CdnForIE - {5C3853CF- C7E0- 4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: Clase WMHlprObj - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C :\ ARCHIVOS DE PROGRAMA\CNNIC\CDN\WMHLPR.DLL
Acceso a Internet chino
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA ~ 1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo! ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist \ YDRAGS~1.DLL
Módulo Yahoo Assistant IE
O2 - BHO: Ayudante del navegador Tencent - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files \TENCENT \AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
Módulo Tencent QQ
O2 - BHO: Asistente de la barra de herramientas de Google - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google buscar módulo IE
O
2 - BHO: Clase IeCatch2 - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
Módulo Internet Express IE
O3 - Barra de herramientas: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT Descargar la barra de herramientas BitComet
O3 - Barra de herramientas: Barra FlashGet - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
Barra de herramientas de Internet Express
O3 - Barra de herramientas: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Barra de herramientas de Google
Enumerada a continuación Aunque los elementos 04 son normales y elementos inofensivos, no son necesariamente necesarios. Puede decidir si desea conservarlos según sus propias necesidades
O4 - HKLM\..\Run: [SystemTray] SysTray
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG .EXE" /Spoil /RemAdvDef /Migration32
Método de entrada japonés de Microsoft
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /SYNC p>
Método de entrada inteligente de Microsoft 2002A (dinámico)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /IMEName p>
Método de entrada inteligente de Microsoft 2002A (nombre)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\ IMEKRMIG.EXE
Parte del paquete Microsoft Office. para soporte en varios idiomas.
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Método de entrada Microsoft Pinyin
O4 - Elemento de inicio HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
Método de entrada de IME de Microsoft Componentes
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
Software de optimización de gestión de tarjetas de sonido
O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
Controlador para tarjeta de sonido integrada en la placa base
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe
El proceso relacionado con la tarjeta de sonido basado en el chip adi creará un icono en la bandeja del sistema
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme
Configuración de administración de energía
O4 - HKLM\\Ejecutar: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
Programa relacionado con la tarjeta gráfica Intel, utilícelo para configurar y diagnosticar equipos relacionados
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
Programa de matanza programada en ascenso
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
Real en ascenso -monitoreo de virus en tiempo
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
Rising Firewall
O4 - HKLM\..\ Ejecutar: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
SkyNet Firewall
O4 - HKLM\. .\Ejecutar: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizar
Monitoreo en tiempo real de Kaspersky
O4 - HKLM\..\Ejecutar: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
Super Rabbit
O4 - HKCU\.. \Ejecutar: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
Super Rabbit
O4 - HKLM\..\Ejecutar: [ TkBellExe] "C:\Archivos de programa\Archivos comunes\Rea
l\Update_OB\realsched.exe" -osboot
Programa de actualización de versión de RealPlayer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k
Comprobador del kernel de Windows
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Programa de informe de errores de Windows
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
Asistente de Internet
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM \\Ejecutar: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
Nombre real de la red
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Herramienta de ajuste para tarjetas gráficas de la serie NVIDIA
O4 - HKLM\..\Run: [nwiz ] nwiz.exe /instalar
Panel de control de la tarjeta gráfica de la serie NVIDIA
O4 - HKLM\\Ejecutar: [ATIModeChange] Ati2mdxx.exe
Tarjeta gráfica ATI 2D modo Módulo de función
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
Proporciona reconocimiento de voz, reconocimiento de escritura a mano, teclado, y soporte de traducción y otras tecnologías de entrada del usuario
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
programa relacionado con internetexplorer, utilizado para sincronizar páginas web sin conexión p>
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
Nombre de dominio chino
O4 - HKLM\ \Ejecutar: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Ejecutar: [yassistse] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"
Asistente de Yahoo
O4 - HKLM\\Ejecutar: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe p>
Acceso a Internet chino
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
Cámara controlador
O4 - HKLM\..\Ejecutar: [AddrPlus3] C:\P
ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
Complemento QQ Assistant
O4 - Elemento de inicio HKLM \\Ejecutar: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
Programa de juego Sina
O4 - Inicio global: Microsoft Office.lnk = C :\Program Files\Microsoft Office\Office\OSA9.EXE
Asistente de inicio de Office
Aunque los 04 elementos enumerados a continuación son elementos normales e inofensivos, no necesariamente son necesarios. puede decidir si desea conservarlo según sus propias necesidades
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Proceso en segundo plano, utilizado para mostrar la fecha y la hora información
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Microsoft Método de entrada japonés
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
Método de entrada inteligente de Microsoft 2002A (dinámico)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
Método de entrada inteligente de Microsoft 2002A (nombre)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Parte de la suite Microsoft Office. para soporte en varios idiomas.
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Método de entrada Microsoft Pinyin
O4 - Elemento de inicio HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
Método de entrada de IME de Microsoft Componentes
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
Software de optimización de gestión de tarjetas de sonido
O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
Controlador para tarjeta de sonido integrada en la placa base
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe
El proceso relacionado con la tarjeta de sonido basado en el chip adi creará un icono en la bandeja del sistema
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme
Configuración de administración de energía
O4 - HKLM\\Ejecutar: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
Programa relacionado con la tarjeta gráfica Intel, utilícelo para configurar y diagnosticar equipos relacionados
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
Programa de matanza programada en ascenso
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
Real en ascenso -monitoreo de virus en tiempo
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
Rising Firewall
O4 - HKLM\..\ Ejecutar: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
SkyNet Firewall
O4 - HKLM\. .\Ejecutar: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizar
Monitoreo en tiempo real de Kaspersky
O4 - HKLM\..\Ejecutar: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
Super Rabbit
O4 - HKCU\.. \Ejecutar: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
Super Rabbit
O4 - HKLM\..\Ejecutar: [ TkBellExe] "C:\Archivos de programa\Archivos comunes\Rea
l\Update_OB\realsched.exe" -osboot
Programa de actualización de versión de RealPlayer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k
Comprobador de kernel de Windows
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Programa de informe de errores de Windows
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
Asistente de Internet
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM \\Ejecutar: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
Nombre real de la red
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Herramienta de ajuste para tarjetas gráficas de la serie NVIDIA
O4 - HKLM\..\Run: [nwiz ] nwiz.exe /instalar
Panel de control de la tarjeta gráfica de la serie NVIDIA
O4 - HKLM\\Ejecutar: [ATIModeChange] Ati2mdxx.exe
Tarjeta gráfica ATI 2D modo Módulo de funciones
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
Proporciona reconocimiento de voz, reconocimiento de escritura a mano, teclado, y soporte de traducción y otras tecnologías de entrada del usuario
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
programa relacionado con internetexplorer, utilizado para sincronizar páginas web sin conexión p>
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
Nombre de dominio chino
O4 - HKLM\ \Ejecutar: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Ejecutar: [yassistse] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"
Yahoo Assistant
O4 - HKLM\\Ejecutar: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe p>
Acceso a Internet chino
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
Cámara controlador
O4 - HKLM\..\Ejecutar: [AddrPlus3] C:\P
ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
Complemento QQ Assistant
O4 - Elemento de inicio HKLM \\Ejecutar: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
Programa de juego Sina
O4 - Inicio global: Microsoft Office.lnk = C :\Archivos de programa\Microsoft Office\Office\OSA9.EXE
Asistente de inicio de Office
Descripción general de las entradas de registro
R0, R1, R2, R3 Internet Explorer ( Cambios en la página de inicio predeterminada y la página de búsqueda predeterminada de IE
Autocargador en archivos ini F0, F1, F2, F3
N1, N2, N3, N4 Netscape/Cambios en la página predeterminada de Mozilla iniciar página de inicio y página de búsqueda predeterminada
Redirección de archivos de O1 Hosts
Objetos auxiliares del navegador O2 (BHO, módulo auxiliar del navegador)
Barra de herramientas del navegador O3 IE
Elemento de inicio automático de O4
Opción de IE O5 bloqueada en el panel de control
Opción de IE O6 deshabilitada por el administrador
p>Editor de Registro O7 (regedit) está deshabilitado por el administrador
O8 Nuevos elementos en el menú contextual de IE
O9 Elementos adicionales del menú "Herramientas" y botones de la barra de herramientas de IE
O10 Winsock LSP "secuestro de navegador"
Nuevo elemento en las opciones avanzadas de O11 IE
Complemento O12 IE
O13 Modificaciones al prefijo URL predeterminado de IE
O14 Modificaciones a “Restablecer configuración WEB”
O15 Invitados no invitados en “Sitios de confianza”
O16 Esos objetos ActiveX en el directorio de Archivos de programa descargados
O17 Dominio "secuestro"
O18 Protocolos adicionales y protocolo "secuestro"
O19 Estilo de usuario Hoja de estilo "secuestro"
O20 El elemento de inicio automático en el clave de registro AppInit_DLLs
O21 El elemento de inicio automático en la clave de registro ShellServiceObjectDelayLoad
O22 Elemento de inicio automático en la clave de registro SharedTaskScheduler
O23 servicio del sistema cargado
Grupo - O2
1. Descripción del proyecto
El elemento O2 enumera los módulos BHO existentes del navegador IE. BHO, u objetos auxiliares del navegador, se refiere a los módulos auxiliares del navegador (u objetos auxiliares), que son pequeños complementos que amplían las funciones del navegador. Aquí hay una mezcla de bueno y malo, Norton Antivirus, Google, etc. pueden aparecer aquí, y este también es un lugar donde a menudo aparece algún software espía.
2. Ejemplo:
O2 - BHO: (sin nombre) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\ NTIEHelper.dll
Este es el módulo de la cinta transportadora de audio y vídeo (Net Transport).
O2 - BHO: (sin nombre) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
Esto es Internet Express (FlashGet) módulo.
O2 - BHO: (sin nombre) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
Este es Baidu Módulo de búsqueda.
O2 - BHO: (sin nombre) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
Esto es 3721 Módulo asistente de Internet.
O2 - BHO: (sin nombre) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Este es un módulo para Adobe Acrobat Reader (utilizado para procesar archivos PDF).
O2 - BHO: (sin nombre) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
Esta es la barra de herramientas de Google módulo.
3. Recomendaciones generales
Hay demasiados elementos posibles de O2 para enumerarlos aquí. Hay algunas buenas listas de BHO en Internet, donde puedes consultar información relevante del proyecto.
Ejemplo de dirección de consulta de información relevante:
/bhos/
putercops.biz/CLSID.html
Se recomienda utilizar CLSID (es decir, " { }") para buscar elementos relacionados. Generalmente, en los resultados de la consulta de la URL anterior, los marcados con L son módulos legales, los marcados con X son módulos espía/publicitarios y los marcados con O no son concluyentes temporalmente.
Antes de reparar, analízalo detenidamente para ver si reconoces el nombre de esta cosa y la ruta donde se encuentra. No puedes generalizar. Es mejor preguntar más sobre información relevante y nunca repararla casualmente. Para los módulos maliciosos marcados con X, generalmente se recomienda repararlos.
4. Solución de problemas
Cuando HijackThis repara el elemento O2, los archivos relacionados se eliminarán. Sin embargo, para algunos elementos de O2, aunque elegí dejar que HijackThis los reparara, todavía estaban allí durante el siguiente escaneo. Cuando esto suceda, asegúrese de haber cerrado todas las ventanas del navegador y de las carpetas cuando utilice la reparación HijackThis. Si eso aún no funciona, se recomienda reiniciar en modo seguro y eliminar el archivo directamente. A veces, encontrará un proyecto como el siguiente (sin contenido después)
O2 - BHO:
No se puede eliminar. Sospecho que es un proyecto 3721. instalado 3721, aparecerá dicho elemento de O2. No hay forma de solucionar este problema utilizando HijackThis. La decisión de utilizar 3721 recae en el propio usuario.
Grupo - O3
1. Descripción del proyecto
El elemento O3 enumera la barra de herramientas del navegador IE existente (ToolBar, abreviada como TB). Tenga en cuenta que lo que se enumera aquí es una barra de herramientas, que generalmente contiene varios elementos. Además de algunas barras de herramientas que vienen con IE, otro software también instalará algunas barras de herramientas. Estas barras de herramientas generalmente aparecen debajo de la barra de herramientas y la barra de direcciones de IE. HijackThis los enumera en el elemento O3.
Las entradas de registro relacionadas son
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. Ejemplo
O3 - Barra de herramientas: - {8E718888-423F - 11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
Este es el control ActiveX de Windows Media Player 2, el elemento de control ActiveX del reproductor multimedia.
O3 - Barra de herramientas: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
Esto es Internet Express (FlashGet ) de la barra de herramientas de IE.
O3 - Barra de herramientas: ? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Barra de herramientas: - { A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Barra de herramientas: - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL .DLL
Las tres anteriores son las barras de herramientas de IE de Kingsoft Antivirus.
O3 - Barra de herramientas: ? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
Este es Kingsoft Express Barra de herramientas de IE traducida.
O3 - Barra de herramientas: ? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721 Asistente de Internet para IE Barra de herramientas.
O3 - Barra de herramientas: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
Esta es la barra de herramientas de IE de Google .
O3 - Barra de herramientas: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
Este es el software antivirus Norton barra de herramientas.
3. Recomendaciones generales
Igual que O2, este hay que analizarlo detenidamente para ver si reconoces el nombre de esta cosa y cuál es en la barra de herramientas de IE (hay algunas posibilidades). Está instalado pero no se muestra. Puede ver algunos haciendo clic derecho en la barra de herramientas de IE) y mirar la ruta donde se encuentra. No puede generalizar. Puede consultar más información relevante y no repararla a voluntad. A continuación se muestran algunas buenas direcciones de consulta
/toolbars/
putercops.biz/CLSID.html
Se recomienda utilizar CLSID (es decir, entre "{ }" número) para buscar elementos relacionados.
Generalmente, en los resultados de la consulta de la URL anterior, los marcados con L son módulos legales, los marcados con X son módulos espía/publicitarios y los marcados con O no son concluyentes temporalmente. Para los marcados con una X, generalmente se recomienda repararlos.
4. Solución de problemas
Si no se puede encontrar en la lista de consulta de datos, su nombre parece ser aleatorio y la ruta está en "Datos de la aplicación", generalmente está infectado. Famoso Lop.com, recomendado para reparación. Como
O3 - Barra de herramientas: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Detalles sobre Lop.com Para obtener información y métodos de reparación manual, consulte
/parasite/lop.html
YoCheng 2004-12-17 12:03
Group——O4
1. Descripción del proyecto
Aquí se enumeran los programas de inicio automático en el sentido general que todo el mundo suele mencionar. Para ser precisos, lo que se enumera aquí son los programas iniciados por las claves del registro.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software \Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
Tenga en cuenta que aunque el elemento HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit también puede iniciar el programa, se ha informado en el elemento F2.
Además, el elemento O4 también informa dos situaciones, a saber, "Inicio:" y "Inicio global: En mi impresión,
Inicio: es equivalente a la carpeta c:". \ El contenido de documentos y configuración\NOMBRE DE USUARIO\ (NOMBRE DE USUARIO se refiere a su nombre de usuario)
Inicio global: equivalente al contenido de la carpeta c:\documentos y configuración\Todos los usuarios\
Tenga en cuenta que también se informarán otros archivos almacenados en estas dos carpetas.
Creo que, de hecho, se debe informar la carpeta "Inicio", es decir
Inicio: informe el contenido en c:\documents and settings\USERNAME\start menu\programs \startup
Inicio global: informe el contenido en c:\documents and settings\All Users\start menu\programs\startup
Pero estos dos elementos están respectivamente en la versión china
Inicio: C:\Documentos y configuraciones\NOMBRE DE USUARIO\Menú Inicio\Programas\Inicio
Inicio global: C:\Documentos y configuraciones\Todos los usuarios\Menú Inicio\Programas\Inicio
Me temo que HijackThis no reconoce la versión china de estos dos directorios y ni siquiera informa sobre su contenido. ¿No es así? Espero que alguien te lo diga.
2. Ejemplo
Nota: Antes de los corchetes está la ubicación de la clave principal del registro
Dentro de los corchetes está el valor de la clave
Después de los corchetes son datos
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
Autoprueba del registro
O4 - HKLM\..\Ejecutar: [TaskMonitor] C:\WINDOWS\taskmon.exe
Optimizador de tareas de Windows
O4 - HKLM\..\ Ejecutar: [SystemTray] SysTray.Exe
Programa de administración de energía de Windows
O4 - HKLM\..\Ejecutar: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer. exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ ccenter ] C:\Program Files\rising\Rav\CCenter.exe
Los tres anteriores son todos programas de inicio automático de Rising.
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
Los dos anteriores son programas de inicio automático para 3721 y Baidu.
(¿No suelen preguntar los amigos de dónde viene Rundll32.exe en el proceso?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Tarea del plan de Windows
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices : [ccenter] C:\Program Files\rising\Rav\CCenter.exe