ינטערפּרעטינג לאָג דאַטע צו הילף באַזייַטיקן ספּיוואַרע און בלעטערער הידזשאַקקער
הידזשאַקקטהיס איז אַ פֿרייַ געצייַג פון טרענד מיקראָ. עס איז געווען אָריגינעל דעוועלאָפּעד דורך Merijn Bellekom, אַ תּלמיד אין די נעטהערלאַנדס. ספּיוואַרע באַזייַטיקונג ווייכווארג אַזאַ ווי Adaware or Spybot S & D טאָן אַ גוט אַרבעט פון דיטעקטינג און רימוווינג רובֿ ספּיוואַרע מגילה, אָבער עטלעכע ספּיוואַרע און בלעטערער כיידזשאַקערז זענען אויך ינסידיאַס פֿאַר אפילו די גרויס אַנטי-ספּיוואַרע יוטילאַטיז.
הידזשאַקקטהיס איז געשריבן ספּעציעל צו דעטעקט און באַזייַטיקן בלעטערער כיידזשאַקז, אָדער סאָפטווער וואָס נעמט דיין וועב בלעטערער, אַלטערס דיין פעליקייַט האָמעפּאַגע און זוכן מאָטאָר און אנדערע בייזע זאכן. ניט ווי טיפּיש אַנטי-ספּיוואַרע ווייכווארג, הידזשאַקקטהיס טוט נישט נוצן סיגנאַטשערז אָדער צילן קיין ספּעציפיש מגילה אָדער URL ס צו דיטעקט און פאַרשפּאַרן. אלא, הידזשאַקקטהיס קוקט פֿאַר די טריקס און מעטהאָדס געניצט דורך מאַלוואַרע צו אָנשטעקן דיין סיסטעם און רידערעקט דיין בלעטערער.
ניט אַלץ וואָס ווייַזן זיך אין די הידזשאַקקטהיס לאָגס איז אַ שלעכט זאַך און עס זאָל נישט זיין אַלע אַוועקגענומען. אין פאַקט, גאַנץ די פאַרקערט. עס איז כּמעט געראַנטיד אַז עטלעכע פון די זאכן אין דיין הידזשאַקקטהיס לאָגס וועט זיין לאַדזשיטאַמאַט סאָפטווער און רימוווינג די זאכן קען אַדווערסלי פּראַל דיין סיסטעם אָדער רינען עס גאָר ינאַפּעראַבאַל. ניצן הידזשאַקקטהיס איז אַ פּלאַץ ווי עדיטינג די Windows רעגיסטרי זיך. עס איז ניט ראַקעט וויסנשאַפֿט, אָבער איר זאָל באשטימט ניט טאָן עס אָן עטלעכע עקספּערט גיידאַנס סייַדן איר טאַקע וויסן וואָס איר טאָן.
אַמאָל איר ינסטאַלירן HijackThis און לויפן עס צו דזשענערייט אַ לאָג טעקע, עס זענען אַ ברייט פאַרשיידנקייַט פון גרופּעס און זייטלעך ווו איר קענען פּאָסטן אָדער ופּלאָאַד אייער קלאָץ דאַטן. עקספּערץ וואס וויסן וואָס צו קוקן פֿאַר קענען דעריבער העלפֿן איר פונאַנדערקלייַבן די לאָג-דאַטן און רעקאָמענדירן איר אויף וואָס זאכן צו באַזייַטיקן און וואָס אָנעס צו לאָזן אַליין.
צו אראפקאפיע די קראַנט ווערסיע פון הידזשאַקקטהיס, איר קענען באַזוכן די באַאַמטער פּלאַץ אין טרענד מיקראָ.
דאָ ס אַ יבערבליק פון די הידזשאַקקטהיס קלאָץ איינסן וואָס איר קענט נוצן צו שפּרינגען צו די אינפֿאָרמאַציע וואָס איר זוכט פֿאַר:
- ר 0, ר 1, ר 2, ר 3 - Internet Explorer אָנהייב / זוכן בלעטער URL
- F0, F1 - Autoloading מגילה
- נ 1, נ 2, נ 3, נ 4 - נעטסקייפ / מאָזיללאַ אָנהייב / זוכן בלעטער URL
- O1 - האַרד טעקע רעדירעקטיאָן
- O2 - בלעטערער העלפּער אָבדזשעקץ
- אָ 3 - Internet Explorer מכשירים
- O4 - Autoloading מגילה פון רעגיסטרי
- O5 - IE אָפּציעס ייקאַן ניט קענטיק אין קאָנטראָל פּאַנעל
- O6 - IE Options access restricted by Administrator
- O7 - רעגעדיט אַקסעס ריסטריקטאַד דורך אַדמיניסטראַטאָר
- אָ 8 - עקסטרע יטעמס אין הייסט רעכט גיט מעניו
- O9 - עקסטרע קנעפּלעך אויף הויפּט הייסט קנעפּל מכשיר, אָדער עקסטרע יטעמס אין הייסט 'מכשירים' מעניו
- אָ 10 - ווינסאָקק כיידזשאַקער
- אָ 11 - עקסטרע גרופּע אין IE 'אַוואַנסירטע אָפּציעס' פֿענצטער
- O12 - IE פּלוגינס
- O13 - IE DefaultPrefix כיידזשאַק
- O14 - 'באַשטעטיק וועב סעטטינגס' כיידזשאַק
- אָ 15 - אַנוואָנטיד פּלאַץ אין טראַסטיד זאָנע
- אָ 16 - אַקטיוועקס אָבדזשעקץ (אַקאַ דאַונלאָודיד פּראָגראַם פילעס)
- אָ 17 - לאָפּ.com פעלד כיידזשאַקערז
- אָ 18 - עקסטרע פּראָטאָקאָלס און פּראָטאָקאָל כיידזשאַקערז
- O19 - User סטיל בלאַט כיידזשאַק
- O20 - אַפּפּיניט_דללס רעגיסטרי ווערט אַוטאָרון
- O21 - ShellServiceObjectDelayLoad רעגיסטרי שליסל אַוטאָראַן
- אָ 22 - שאַרעדטאַסקסטשעדולער רעגיסטרי שליסל אַוטאָרון
- אָ 23 - ווינדאָוז נט באַדינונגען
ר 0, ר 1, ר 2, ר 3 - הייסט אָנהייב און זוכן בלעטער
וואָס עס קוקט ווי:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ הויפּט, אָנהייב בלאַט = http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ הויפּט, Default_Page_URL = http://www.google.com/
ר 2 - (דעם טיפּ איז נישט געניצט דורך הידזשאַקקטהיס נאָך)
R3 - פעליקייַט URLSearchHook פעלנדיק
וואָס צו טאָן:
אויב איר דערקענען די URL אין די סוף ווי דיין האָמעפּאַגע אָדער זוכן מאָטאָר, עס איז גוט. אויב איר טאָן ניט, טשעק עס און האָבן HijackThis פאַרריכטן עס. פֿאַר די ר 3 זאכן, שטענדיק פאַרריכטן זיי סייַדן עס דערמאנט אַ פּראָגראַם איר דערקענען, ווי קאָפּערניק.
F0, F1, F2, F3 - Autoloading מגילה פון יני טעקעס
וואָס עס קוקט ווי:
F0 - system.ini: שעל = Explorer.עקסע אָפּענמע.עקסע
פ 1 - win.ini: לויפן = הפטסטשעד
וואָס צו טאָן:
די פ 0 זאכן זענען שטענדיק שלעכט, אַזוי פאַרריכטן זיי. די פ 1 זאכן זענען יוזשאַוואַלי זייער אַלט מגילה אַז ביסט זיכער, אַזוי איר זאָל געפינען עטלעכע מער אינפֿאָרמאַציע אויף די פילענאַמע צו זען אויב עס איז גוט אָדער שלעכט. פּאַקמאַן ס סטאַרטאַפּ רשימה קענען העלפן מיט יידענטאַפייינג אַ נומער.
נ 1, נ 2, נ 3, נ 4 - נעטסקייפ / מאָזיללאַ אָנהייב & אַמפּ; זוכן בלאַט
וואָס עס קוקט ווי:
N1 - Netscape 4: user_pref "בלעטערער.סטאַרטופּ.האָמעפּאַגע", "www.google.com"); (C: \ פּראָגראַם טעקעס \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
וואָס צו טאָן:
יוזשאַוואַלי די Netscape און מאָזיללאַ האָמעפּאַגע און זוכן בלאַט זענען זיכער. זיי ראַרעלי באַקומען כיידזשאַקט, בלויז Lop.com איז באקאנט צו טאָן דאָס. זאָל איר זען אַ URL איר טאָן ניט דערקענען ווי דיין האָמעפּאַגע אָדער זוכן בלאַט, האָבן HijackThis פאַרריכטן עס.
O1 - העאַדספילע רעדירעקטיאָנס
וואָס עס קוקט ווי:
אָ 1 - האָסץ: 216.177.73.139 auto.search.msn.com
אָ 1 - האָסץ: 216.177.73.139 search.netscape.com
O1 - האָסץ: 216.177.73.139 ieautosearch
O1 - האָסץ טעקע איז ליגן בייַ C: \ Windows \ Help \ hosts
וואָס צו טאָן:
דעם כיידזשאַק וועט רידערעקט די אַדרעס צו די רעכט צו די יפּ אַדרעס צו די לינקס. אויב די IP טוט נישט געהערן צו די אַדרעס, איר וועט זיין רידערעקטיד צו אַ פאַלש פּלאַץ יעדער צייַט איר אַרייַן די אַדרעס. איר קענען שטענדיק האָבן הידזשאַקקטהיס פאַרריכטן די, אויב איר טאָן ניט וויסן די שורה אין דיין האָסט טעקע.
דער לעצט יטעמס מאל קומט אויף ווינדאָוז 2000 / קספּ מיט אַ קאָאָלוועבעאַרטש ינפעקציע. קעסיידער פאַרריכטן דעם פּאָזיציע, אָדער האָבן CWShredder פאַרריכטן עס אויטאָמאַטיש.
O2 - בלעטערער העלפּער אָבדזשעקץ
וואָס עס קוקט ווי:
O2 - BHO: יאַהאָאָ! קאַמפּיין בהאָ - {13 פ 537 פ0-אַף09-11 ד6-9029-0002 ב 31 פ 9 ע 59} - C: \ פּראָגראַם פילעס \ יאַהאָאָ! \ פירמע \ יקאָמפּ 5_0_2_4.דלל
O2 - BHO: (קיין נאָמען) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (טעקע פעלנדיק)
אָ 2 - בהאָ: מעדיעלאָאַדס ענהאַנסעד - {85 אַ 702 באַאַ-עאַ 8 ף-4 ב83-אַאַ 07-07 אַ 5186 אַקד 7 ע} - C: \ פּראָגראַם פילעס \ מעדיאַלאָאַדס ענהאַנסעד \ ME1.DLL
וואָס צו טאָן:
אויב איר טאָן ניט גלייַך דערקענען אַ בראַוזער העלפּער אָבדזשעקט נאָמען, נוצן TonyK's BHO & Toolbar רשימה צו געפֿינען עס דורך די קלאַס שייַן (CLSID, די נומער צווישן געגרייַזלט בראַקאַץ) און זען אויב עס איז גוט אָדער שלעכט. אין די BHO רשימה, 'X' מיטל ספּיוואַרע און 'L' מיטל זיכער.
אָ 3 - IE מכשירים
וואָס עס קוקט ווי:
O3 - Toolbar: & יאַהאָאָ! קאַמפּיין - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ PROGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Toolbar: אויפֿשפּרינג עלימינאַטאָר - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (טעקע פעלנדיק)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
וואָס צו טאָן:
אויב איר טאָן ניט גלייַך דערקענען אַ מכשיר נאָמען, נוצן TonyK's BHO & Toolbar רשימה צו געפֿינען עס דורך די קלאַס שייַן (CLSID, די נומער צווישן געגרייַזלט בראַקאַץ) און זען אויב עס איז גוט אָדער שלעכט. אין די Toolbar רשימה, 'X' מיטל ספּיוואַרע און 'L' מיטל זיכער. אויב עס איז נישט אויף דער רשימה, און דער נאָמען מיינט אַ טראַפיק שטריקל פון אותיות און די טעקע איז אין די 'אַפּפּליקאַטיאָן דאַטאַ' טעקע (ווי די לעצט אין די ביישפילן אויבן), עס איז מיסטאָמע Lop.com, און איר דעפיניטעללי זאָל האָבן HijackThis פאַרריכטן עס.
אָ 4 - אַוטאָלאָאַדינג מגילה פון רעגיסטרי אָדער סטאַרטאַפּ גרופּע
וואָס עס קוקט ווי:
O4 - HKLM \ .. \ לויפן: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ לויפן: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - סטאַרטאַפּ: Microsoft Office.lnk = C: \ פּראָגראַם טעקעס \ Microsoft Office \ Office \ OSA9.EXE
אָ 4 - גלאבאלע סטאַרטאַפּ: winlogon.exe
וואָס צו טאָן:
ניצן פּאַסמאַן ס סטאַרטאַפּ ליסטע צו געפֿינען די פּאָזיציע און זען אויב עס איז גוט אָדער שלעכט.
אויב די פּאָזיציע ווייזט אַ פּראָגראַם געזעסן אין אַ סטאַרטאַפּ גרופּע (ווי די לעצט נומער אויבן), הידזשאַקקטהיס קענען נישט פאַרריכטן דעם פּאָזיציע אויב דעם פּראָגראַם איז נאָך אין זכּרון. ניצן די Windows Task Manager (טאַסקמגר.עקסע) צו פאַרמאַכן דעם פּראָצעס איידער צו פיקסיר.
O5 - IE Options ניט קענטיק אין קאָנטראָל פּאַנעל
וואָס עס קוקט ווי:
O5 - control.ini: inetcpl.cpl = קיין
וואָס צו טאָן:
אויב איר אָדער דיין סיסטעם אַדמיניסטראַטאָר האָבן וויסנדלי פאַרבאָרגן די ייקאַן פון קאָנטראָל פּאַנעל, האָבן הידזשאַקקטהיס פאַרריכטן עס.
O6 - IE Options access restricted by Administrator
וואָס עס קוקט ווי:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ רעסיסטשונג פאָרשטעלן
וואָס צו טאָן:
אויב איר האָבן די ספּיבאָט S & D אָפּציע 'לאַק האָמעפּאַגע פון ענדערונגען' אַקטיוו, אָדער דיין סיסטעם אַדמיניסטראַטאָר שטעלן דעם אין אָרט, האָבן הידזשאַקקטהיס פאַרריכטן דעם.
O7 - רעגעדיט אַקסעס ריסטריקטאַד דורך אַדמיניסטראַטאָר
וואָס עס קוקט ווי:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, DisableRegedit = 1
וואָס צו טאָן:
שטענדיק האָבן HijackThis פאַרריכטן דעם, סייַדן דיין סיסטעם אַדמיניסטראַטאָר האט שטעלן דעם ריסטריקשאַן אין פּלאַץ.
אָ 8 - עקסטרע יטעמס אין הייסט רעכט גיט מעניו
וואָס עס קוקט ווי:
O8 - עקסטרע קאָנטעקסט מעניו נומער: & Google זוכן - ריס: // C: \ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
אָ 8 - עקסטרע קאָנטעקסט מעניו נומער: יאַהאָאָ! זוכן - טעקע: /// C: \ פּראָגראַם פילעס \ יאַהאָאָ! \ קאָממאָן / יקסרטש.הטם
O8 - עקסטרע קאָנטעקסט מעניו נומער: Zoom & In - C: \ WINDOWS \ WEB \ zoomin.htm
אָ 8 - עקסטרע קאָנטעקסט מעניו נומער: פארגרעסער אָ & צו - C: \ WINDOWS \ WEB \ zoomout.htm
וואָס צו טאָן:
אויב איר טאָן ניט דערקענען די נאָמען פון די פּאָזיציע אין די רעכט גיט מעניו אין הייסט, האָבן HijackThis פאַרריכטן עס.
O9 - עקסטרע קנעפּלעך אויף הויפּט IE Toolbar, אָדער עקסטרע זאכן אין הייסט & # 39; מכשירים & # 39; מעניו
וואָס עס קוקט ווי:
O9 - עקסטרע קנעפּל: מעסינדזשער (הקלם)
O9 - עקסטרע 'מכשירים' מעניו: מעסינדזשער (הקלם)
O9 - עקסטרע קנעפּל: ציל (הקלם)
וואָס צו טאָן:
אויב איר טאָן ניט דערקענען די נאָמען פון די קנעפּל אָדער מעניו נומער, האָבן HijackThis פאַרריכטן עס.
אָ 10 - ווינסאָקק כיידזשאַקערז
וואָס עס קוקט ווי:
O10 - הידזשאַקקעד אינטערנעט צוטריט דורך New.Net
אָ 10 - צעבראכן אינטערנעט צוטריט ווייַל פון LSP שפּייַזער 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' פעלנדיק
אָ 10 - ומבאַקוועם טעקע אין Winsock LSP: C: \ פּראָגראַם טעקעס \ newton knows \ vmain.dll
וואָס צו טאָן:
עס איז בעסטער צו פאַרריכטן די ניצן LSPFix פון Cexx.org, אָדער ספּיבאָט ז & די פון Kolla.de.
באַמערקונג אַז 'אומבאַקאַנט' טעקעס אין די לספּ סטאַק וועט נישט זיין פאַרפעסטיקט דורך הידזשאַקקטהיס, פֿאַר זיכערקייַט ישוז.
אָ 11 - עקסטרע גרופע אין הייסט & # 39; אַוואַנסירטע אָפּציעס & # 39; פענצטער
וואָס עס קוקט ווי:
O11 - Options group: [CommonName] CommonName
וואָס צו טאָן:
דער בלויז כיידזשאַקער ווי איצט אַדמיץ זייַן אייגן אָפּציעס גרופּע צו די IE אַוואַנסירטע אָפּציעס פֿענצטער איז קאָממאָננאַמע. אזוי איר קענען שטענדיק האָבן HijackThis פאַרריכטן דעם.
O12 - IE פּלוגינס
וואָס עס קוקט ווי:
O12 - Plugin for .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin פֿאַר .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
וואָס צו טאָן:
רובֿ פון די צייַט די ביסט זיכער. בלויז אָנפלאָוו מוסיף אַ פּלוגין דאָ אַז איר טאָן ניט וועלן (. אָבב).
O13 - IE DefaultPrefix כיידזשאַק
וואָס עס קוקט ווי:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
וואָס צו טאָן:
די ביסט שטענדיק שלעכט. האָבן הידזשאַקקטהיס פאַרריכטן זיי.
אָ 14 - באַשטעטיק וועב סעטטינגס & # 39; כיידזשאַק
וואָס עס קוקט ווי:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
וואָס צו טאָן:
אויב די URL איז נישט דער שפּייַזער פון דיין קאָמפּיוטער אָדער דיין יספּ, האָבן HijackThis פאַרריכטן עס.
אָ 15 - אַנוואָנטיד זייטלעך אין טראַסטיד זאָנע
וואָס עס קוקט ווי:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: * .coolwebsearch.com
O15 - Trusted Zone: * .msn.com
וואָס צו טאָן:
רובֿ פון די צייַט בלויז אַאָל און קאָאָלוועבעאַרטש סילאַנטלי לייגן זייטלעך צו די טראַסטיד זאָנע. אויב איר האט נישט לייגן די ליסטעד פעלד צו די טראַסטיד זאָנע זיך, האָבן HijackThis פאַרריכטן עס.
אָ 16 - אַקטיוועקס אָבדזשעקץ (אַקאַ דאַונלאָודיד פּראָגראַם פילעס)
וואָס עס קוקט ווי:
O16 - DPF: יאַהאָאָ! שמועסן - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
וואָס צו טאָן:
אויב איר טאָן ניט דערקענען די נאָמען פון די כייפעץ, אָדער די URL עס איז דאַונלאָודיד פון, האָבן HijackThis פאַרריכטן עס. אויב די נאָמען אָדער URL כּולל ווערטער ווי 'דיאַלער', 'קאַסינאָ', 'פרעע_פּלוגין' עטק, באשטימט פאַרריכטן עס. Javacool's SpywareBlaster האט אַ ריזיק דאַטאַבאַסע פון בייזע אַקטיוועקס אַבדזשעקס אַז קענען זיין געניצט פֿאַר קוקן אַרויף קלסידס. (רעכט גיט די רשימה צו נוצן די געפֿינען פונקציאָנירן.)
אָ 17 - לאָפּ.com פעלד כיידז
וואָס עס קוקט ווי:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP: Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ פּאַראַמעטערס: פעלד = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: פעלד = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ פּאַראַמעטערס: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ סערוויסעס \ ווקסד \ מסטקפּ: NameServer = 69.57.146.14,69.57.147.175
וואָס צו טאָן:
אויב די פעלד איז נישט פון דיין ISP אָדער פירמע נעץ, האָבן HijackThis פאַרריכטן עס. דער זעלביקער גייט פֿאַר די 'זוכןליסט' איינסן. פֿאַר די 'נאָמעסערווער' ( דנס סערווערס ) איינסן, גוגל פֿאַר די IP אָדער יפּס און עס וועט זיין גרינג צו זען אויב זיי זענען גוט אָדער שלעכט.
אָ 18 - עקסטרע פּראָטאָקאָלס און פּראָטאָקאָל כיידזשאַקערז
וואָס עס קוקט ווי:
O18 - פּראָטאָקאָל: Related links - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - פּראָטאָקאָל: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
אָ 18 - פּראָטאָקאָל כיידזשאַק: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
וואָס צו טאָן:
בלויז אַ ביסל כיידזשאַקערז ווייַזן אַרויף דאָ. די באקאנט באַדדיעס זענען 'קן' (CommonName), 'ayb' (Lop.com) און 'פֿאַרבונדענע לינקס' (Huntbar), איר זאָל האָבן הידזשאַקקטהיס פאַרריכטן די. אנדערע זאכן וואָס ווייַזן זיך זענען נאָך נישט באשטעטיקט זיכער, אָדער זענען כיידזשאַקט (ד"ה די קלסיד האט שוין פארענדערט) דורך ספּיוואַרע. אין די לעצטע פאַל האָבן HijackThis פאַרריכטן עס.
O19 - User סטיל בלאַט כיידזשאַק
וואָס עס קוקט ווי:
אָ 19 - באַניצער נוסח בויגן: c: \ WINDOWS \ Java \ my.css
וואָס צו טאָן:
אין דעם פאַל פון אַ בלעטערער סלאָודאַון און אָפט פּאָפּופּס, האָבן HijackThis פאַרריכטן דעם נומער אויב עס ווייזט אַרויף אין די קלאָץ. אָבער, זינט נאָר Coolwebsearch טוט דאָס, עס איז בעסער צו נוצן CWShredder צו פאַרריכטן עס.
O20 - אַפּפּיניט_דללס רעגיסטרי ווערט אַוטאָרון
וואָס עס קוקט ווי:
O20 - AppInit_DLLs: msconfd.dll
וואָס צו טאָן:
דעם רעגיסטרי ווערט ליגן בייַ HKEY_LOCAL_MACHINE \ Microsoft \ ווינדאָוז NT \ CurrentVersion \ ווינדאָוז לאָודז אַ דלל אין זיקאָרן ווען דער באַניצער לאָגס אין, נאָך וואָס עס סטייז אין זיקאָרן ביז לאָגאָפף. Very few legitimate programs use it (נאָרטאָן CleanSweep uses APITRAP.DLL), רובֿ אָפֿט עס איז געניצט דורך טראָודזשאַנז אָדער אַגרעסיוו בלעטערער כיידזשאַקערז.
אין פאַל פון אַ 'פאַרבאָרגן' דלל לאָודינג פון דעם רעגיסטרי ווערט (בלויז קענטיק ווען ניצן 'רעדאַקטירן ביינערי דאַטע' אָפּציע אין רעגעדיט) די דלל נאָמען קען זיין פּרעפיקסעד מיט אַ רער '| צו מאַכן עס קענטיק אין די קלאָץ.
O21 - ShellServiceObjectDelayLoad
וואָס עס קוקט ווי:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
וואָס צו טאָן:
דעם איז אַן אַנדאַקיאַמעניד אַוטאָרון אופֿן, נאָרמאַלי געניצט דורך אַ ביסל Windows סיסטעם קאַמפּאָונאַנץ. זאכן ליסטעד בייַ HKEY_LOCAL_MACHINE \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad זענען לאָודיד דורך Explorer ווען ווינדאָוז סטאַרץ. הידזשאַקקטהיס ניצט אַ ווהיטעליסט פון עטלעכע זייער פּראָסט ססאָדל זאכן, אַזוי ווען אַ נומער איז געוויזן אין די קלאָץ עס איז אומבאַקאַנט און עפשער בייזע. באַהאַנדלונג מיט עקסטרעם זאָרג.
אָ 22 - שאַרעדטאַסקסטשעדולער
וואָס עס קוקט ווי:
O22 - SharedTaskScheduler: (קיין נאָמען) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C: \ Windows \ System32 \ mtwirl32.dll
וואָס צו טאָן:
דעם איז אַן אַנדאַקיאַמעניד אַוטאָרון פֿאַר ווינדאָוז נט / 2000 / קספּ בלויז, וואָס איז געניצט זייער ראַרעלי. אזוי ווייַט בלויז CWS.Smartfinder ניצט עס. אָפּגעהיט מיט זאָרג.
אָ 23 - נט סערוויס
וואָס עס קוקט ווי:
O23 - סערוויס: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
וואָס צו טאָן:
דאס איז די ליסטינג פון ניט-מיקראָסאָפט באַדינונגען. דער רשימה זאָל זיין די זעלבע ווי דער איינער איר זען אין די מסקאָנפיג נוצן פון Windows XP. עטלעכע טראָדזשאַן כיידזשאַקערז נוצן אַ כאָוממייד דינסט אין אַדיטטיאָן צו אנדערע סטאַרטאַפּס צו ריינסטאַל זיך. די פול נאָמען איז יוזשאַוואַלי וויכטיק ווי געזונט ווי געזונט ווי "נעץ סעקוריטי סערוויס", "Workstation Logon Service" אָדער "Remote Procedure Call Helper", אָבער די ינערלעך נאָמען (צווישן brackets) איז אַ שטריקל פון מיסט, ווי 'אָרט'. די רגע טייל פון די שורה איז די באַזיצער פון די טעקע אין די סוף, ווי געזען אין די טעקע ס פּראָפּערטיעס.
באַמערקונג אַז פיקסיר אַ אָ 23 נומער וועט נאָר האַלטן די דינסט און דיסייבאַל עס. די דינסט דארף זיין אויסגעמעקט פון די רעגיסטרי מאַניואַלי אָדער מיט אן אנדער געצייַג. אין הידזשאַקקטהיס 1.99.1 אָדער העכער, די קנעפּל 'דיליט NT סערוויס' אין די Misc מכשירים אָפּטיילונג קענען זיין געניצט פֿאַר דעם.