hijackthis는 대부분의 브라우저가 하이재킹되었을 때 hijackthis를 통해 분석하고 복구할 수 있는 매우 편리한 분석 도구입니다.
Windsinger는 HijackThis 로그에 대한 자세한 설명을 작성한 적이 있습니다. 로그를 자세히 분석해서 나 자신도 많은 유익을 얻었습니다!
그러나 많은 친구들은 분석을 학습하는 과정에서 많은 프로젝트를 수리해야 할지 확신이 없고, 일부 일반 파일을 실수로 삭제할까 봐 두려워합니다...
여기서 문제를 해결하는 방법에 대한 몇 가지 아이디어 로그를 분석하고 자신의 경험에 대해 이야기하십시오.
HijackThis는 특정 프로젝트가 정상인지 여부에 대한 레지스트리 항목과 특정 파일을 검사합니다. 정상에 해당하는지 확인해야 한다는 것입니다. 프로그램 파일은 여전히 악성 트로이 목마입니다...
예:
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96- 11D6-8C65-B2868B609932} - C:\Program Files\Xi \NetTransport 2\NTIEHelper.dll
이 항목에서 마지막 C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll은 즉, 이 모듈에 해당하는 파일입니다. 해당 파일 디렉터리 또는 파일 이름에서 이 모듈이 어떤 용도로 사용되는지 알 수 있습니다. NetTransport는 "오디오 및 비디오 컨베이어 벨트" 다운로드 도구이며 파일 이름은 NT IE입니다. HELPER. 그러면 이 항목이 IE의 오디오 및 비디오 컨베이어 벨트여야 한다고 미리 판단할 수 있습니다.
O2 - BHO: QQBrowserHelperObject 클래스 - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
Tencent QQ용 플러그인임이 분명합니다
익숙하지 않은 파일의 경우 Google이나 Baidu를 사용하여 온라인으로 제공되는 검색 결과를 보고 파일을 판단할 수 있습니다.
예를 들어
O2 - BHO: IEMoni Class - { F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
Google을 통해 SBHOPlin.dll 파일을 검색한 결과 검색결과 스카이넷인 것으로 확인되었습니다. Firewall IE 플러그인
아래에는 주의가 필요한 디렉터리나 파일은 파란색으로 표시됩니다(한눈에 볼 수 있는 것은 하나씩 나열하지 않습니다)
R3 - URLSearchHook: MyURLSearchHook 클래스 - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
Sogou Express
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\ Program Files\P4P\sodaie.dll
Sogou Express
O2 - BHO : IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~ 1\CnsHook.dll
네트워크 실제 이름
O2 - BHO: IEMoni 클래스 - {F2
36CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
Skynet 방화벽 IE 모듈
O2 - BHO: AcroIEHlprObj 클래스 - {06849E9F- C7 -4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader
O2 - BHO: (이름 없음 ) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
Baidu 검색
O2 - BHO: ThunderIEHelper 클래스 - { 0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
Thunder의 IE 모듈
O2 - BHO: CdnForIE 클래스 - {5C3853CF- C7E0- 4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj 클래스 - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C :\ 프로그램 파일\CNNIC\CDN\WMHLPR.DLL
중국어 인터넷 액세스
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA ~ 1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: 안티 피쉬 - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo! ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist \ YDRAGS~1.DLL
Yahoo Assistant IE 모듈
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files \TENCENT \AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
Tencent QQ 모듈
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google IE 모듈 검색
O
2 - BHO: IeCatch2 클래스 - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
Internet Express IE 모듈
O3 - 도구 모음: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT BitComet 도구 모음 다운로드
O3 - 도구 모음: FlashGet 바 - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
Internet Express 도구 모음
O3 - 툴바: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Google 툴바
아래에 나열됨 항목 04는 정상이지만 그리고 무해한 항목은 반드시 필요한 것은 아닙니다. 필요에 따라 보관할지 여부를 결정할 수 있습니다.
O4 - HKLM\..\Run: [SystemTray] SysTray
날짜 및 시간 정보를 표시하는 데 사용되는 백그라운드 프로세스
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG .EXE" /Spoil /RemAdvDef /Migration32
Microsoft 일본어 입력 방법
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /SYNC p>
Microsoft 지능형 입력 방법 2002A(동적)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\ TINTSETP.EXE /IMEName p>
Microsoft 지능형 입력 방법 2002A(이름)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\ IMEKRMIG.EXE
Microsoft Office 제품군의 일부입니다. 다국어 지원을 위해.
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Microsoft 병음 입력 방법
O4 - 시작 항목 HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
Microsoft IME 입력 방법 구성 요소
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
사운드 카드 관리 최적화 소프트웨어
O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
마더보드 내장 사운드 카드용 드라이버
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe
adi 칩을 기반으로 한 사운드 카드 관련 프로세스는 시스템 트레이에 아이콘을 생성합니다.
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme
전원 관리 구성
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
인텔 그래픽 카드 관련 프로그램, 관련 장비 구성 및 진단에 사용
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
상승 예정 살인 프로그램
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
실제 상승 -시간별 바이러스 모니터링
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
Rising Firewall
O4 - HKLM\..\ 실행: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
SkyNet Firewall
O4 - HKLM\. .\실행: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
Kaspersky 실시간 모니터링
O4 - HKLM\..\실행: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
Super Rabbit
O4 - HKCU\.. \실행: [슈퍼 래빗 IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
슈퍼 래빗
O4 - HKLM\..\Run: [ TkBellExe] "C:\Program Files\Common Files\Rea
l\Update_OB\realsched.exe" -osboot
RealPlayer 버전 업데이트 프로그램
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k
Windows 커널 검사기
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows 오류 보고 프로그램
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
인터넷 길잡이
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM \\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
네트워크 실제 이름
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA 시리즈 그래픽 카드용 조정 도구
O4 - HKLM\..\Run: [nwiz ] nwiz.exe /install
NVIDIA 시리즈 그래픽 카드 제어판
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 그래픽 카드 2D 모드 기능 모듈
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
음성 인식, 필기 인식, 키보드, 및 번역 및 기타 사용자 입력 기술 지원
O4 - HKLM\\Run: [동기화 관리자] mobsync.exe /logon
internetexplorer 관련 프로그램, 오프라인 웹 페이지를 동기화하는 데 사용됨
p>O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
중국 도메인 이름
O4 - HKLM\ \Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassiste] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"
Yahoo Assistant
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe p>
중국 인터넷 액세스
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC 카메라 301P
카메라 드라이버
O4 - HKLM\..\Run: [AddrPlus3] C:\P
ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ Assistant 플러그인
O4 - 시작 항목 HKLM \\실행: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
Sina 게임 프로그램
O4 - 글로벌 시작: Microsoft Office.lnk = C :\Program Files\Microsoft Office\Office\OSA9.EXE
Office 시작 도우미
아래 나열된 04 항목은 정상적이고 무해한 항목이지만 반드시 필요한 것은 아닙니다. 필요에 따라 보관 여부를 결정할 수 있습니다.
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
날짜 및 시간을 표시하는 데 사용되는 백그라운드 프로세스 정보
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Microsoft 일본어 입력 방법
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
Microsoft 스마트 입력 방법 2002A (동적)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
Microsoft 지능형 입력 방법 2002A (이름)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office 제품군의 일부입니다. 다국어 지원을 위해.
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Microsoft 병음 입력 방법
O4 - 시작 항목 HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
Microsoft IME 입력 방법 구성 요소
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
사운드 카드 관리 최적화 소프트웨어
O4 - HKLM\\Run: [ Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
마더보드 내장 사운드 카드용 드라이버
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices \SoundMAX\ Smtray.exe
adi 칩을 기반으로 한 사운드 카드 관련 프로세스는 시스템 트레이에 아이콘을 생성합니다.
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32 .exe powrprof.dll,LoadCurrentPwrScheme
전원 관리 구성
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
인텔 그래픽 카드 관련 프로그램, 관련 장비 구성 및 진단에 사용
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
상승 예정 살인 프로그램
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
실제 상승 -시간별 바이러스 모니터링
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
Rising Firewall
O4 - HKLM\..\ 실행: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
SkyNet Firewall
O4 - HKLM\. .\실행: [KAVPersonal50] " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
Kaspersky 실시간 모니터링
O4 - HKLM\..\실행: [ Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
Super Rabbit
O4 - HKCU\.. \실행: [슈퍼 래빗 IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
슈퍼 래빗
O4 - HKLM\..\Run: [ TkBellExe] "C:\Program Files\Common Files\Rea
l\Update_OB\realsched.exe" -osboot
RealPlayer 버전 업데이트 프로그램
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 - k
Windows 커널 검사기
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows 오류 보고 프로그램
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
인터넷 길잡이
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM \\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
네트워크 실제 이름
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA 시리즈 그래픽 카드용 조정 도구
O4 - HKLM\..\Run: [nwiz ] nwiz.exe /install
NVIDIA 시리즈 그래픽 카드 제어판
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 그래픽 카드 2D 모드 기능 모듈
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
음성 인식, 필기 인식, 키보드, 및 번역 및 기타 사용자 입력 기술 지원
O4 - HKLM\\Run: [동기화 관리자] mobsync.exe /logon
internetexplorer 관련 프로그램, 오프라인 웹 페이지를 동기화하는 데 사용됨
p>O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
중국 도메인 이름
O4 - HKLM\ \Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassiste] "C:\PROGRA ~1\ Yahoo!\Assistant\yassistse.exe"
Yahoo Assistant
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup. exe p>
중국 인터넷 액세스
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC 카메라 301P
카메라 드라이버
O4 - HKLM\..\Run: [AddrPlus3] C:\P
ROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ Assistant 플러그인
O4 - 시작 항목 HKLM \\실행: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
Sina 게임 프로그램
O4 - 글로벌 시작: Microsoft Office.lnk = C :\Program Files\Microsoft Office\Office\OSA9.EXE
Office 시작 도우미
로그 항목 개요
R0, R1, R2, R3 Internet Explorer( IE 기본 시작 홈페이지 및 기본 검색 페이지 변경
F0, F1, F2, F3 ini 파일의 오토로더
N1, N2, N3, N4 Netscape/ Mozilla 기본 변경 홈페이지 및 기본 검색 페이지 시작
O1 호스트 파일 리디렉션
O2 브라우저 도우미 개체(BHO, 브라우저 보조 모듈)
O3 IE 브라우저 도구 모음
O4 자동 시작 항목
제어판에서 O5 IE 옵션이 차단되었습니다.
관리자가 O6 IE 옵션을 비활성화했습니다.
p>O7 레지스트리 편집기(regedit) 관리자가 비활성화했습니다.
O8 IE 오른쪽 클릭 메뉴의 새 항목
O9 추가 IE "도구" 메뉴 항목 및 도구 모음 버튼
O10 Winsock LSP "브라우저 하이재킹"
O11 IE 고급 옵션의 새 항목
O12 IE 플러그인
O13 IE 기본 URL 접두사 수정
O14 "웹 설정 재설정" 수정
O15 "신뢰할 수 있는 사이트"의 초대받지 않은 손님
O16 다운로드한 프로그램 파일 디렉터리에 있는 ActiveX 개체
O17 도메인 "하이재킹"
O18 추가 프로토콜 및 프로토콜 "하이재킹"
O19 사용자 스타일 스타일시트 "하이재킹"
O20 자동 시작 항목 레지스트리 키 AppInit_DLLs
O21 레지스트리 키 ShellServiceObjectDelayLoad의 자동 시작 항목
O22 레지스트리 키 SharedTaskScheduler의 자동 시작 항목
O23 로드된 시스템 서비스
그룹 - O2
1. 프로젝트 설명
항목 O2에는 IE 브라우저의 기존 BHO 모듈이 나열됩니다. BHO(브라우저 도우미 개체)는 브라우저 기능을 확장하는 작은 플러그인인 브라우저의 보조 모듈(또는 보조 개체)을 나타냅니다. 여기에는 좋은 것과 나쁜 것이 섞여 있는데, 노턴 안티바이러스(Norton Antivirus), 구글(Google) 등이 여기에 나타날 수도 있고, 일부 스파이웨어가 자주 나타나는 곳이기도 하다.
2. 예:
O2 - BHO: (이름 없음) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\ NTIEHelper.dll
오디오 및 비디오 컨베이어 벨트(Net Transport)의 모듈입니다.
O2 - BHO: (이름 없음) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
Internet Express입니다. (FlashGet) 모듈.
O2 - BHO: (이름 없음) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
바이두입니다 검색 모듈.
O2 - BHO: (이름 없음) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
이것은 3721 인터넷 보조 모듈.
O2 - BHO: (이름 없음) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Adobe Acrobat Reader(PDF 파일 처리에 사용)용 모듈입니다.
O2 - BHO: (이름 없음) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
Google 툴바입니다. 기준 치수.
3. 일반 권장 사항
여기에 나열할 수 있는 O2 항목이 너무 많습니다. 관련 프로젝트 정보를 확인할 수 있는 좋은 BHO 목록이 인터넷에 있습니다.
관련 정보 문의 주소 예시:
/bhos/
putercops.biz/CLSID.html
사용을 권장합니다. 관련 항목을 찾기 위한 CLSID(즉, " { }")입니다. 일반적으로 위 URL의 쿼리 결과에서 L로 표시된 것은 합법적인 모듈, X로 표시된 것은 스파이/광고 모듈, O로 표시된 것은 일시적으로 결론이 나지 않습니다.
수리하기 전에 이 물건의 이름과 그것이 위치한 경로를 인식하는지 주의 깊게 분석하십시오. 관련 정보에 대해 더 자세히 문의하고 함부로 수리하지 않는 것이 가장 좋습니다. X로 표시된 악성 모듈의 경우 일반적으로 복구하는 것이 좋습니다.
4. 문제 해결
HijackThis가 O2 항목을 복구하면 관련 파일이 삭제됩니다. 그러나 일부 O2 항목의 경우 HijackThis가 수리하도록 선택했지만 다음 스캔 중에도 여전히 남아 있었습니다. 이런 일이 발생하면 HijackThis 복구를 사용할 때 모든 브라우저 창과 폴더 창을 닫았는지 확인하세요. 그래도 문제가 해결되지 않으면 안전 모드로 재부팅하고 파일을 직접 삭제하는 것이 좋습니다. 때때로 다음 프로젝트가 표시됩니다(이후 내용 없음)
O2 - BHO:
3721 프로젝트를 설치한 경우 삭제할 수 없습니다. , 그러면 그러한 O2 항목이 나타납니다. HijackThis를 사용하여 이 문제를 해결할 수 있는 방법은 없습니다. 3721을 사용할지 여부에 대한 결정은 사용자 자신에게 있습니다.
그룹 - O3
1. 프로젝트 설명
O3 항목에는 기존 IE 브라우저 도구 모음(ToolBar, 약어로 TB)이 나열됩니다. 여기에 나열된 것은 일반적으로 여러 항목을 포함하는 도구 모음입니다. IE와 함께 제공되는 일부 도구 모음 외에도 다른 소프트웨어도 일부 도구 모음을 설치합니다. 이러한 도구 모음은 일반적으로 IE 자체 도구 모음 및 주소 표시줄 아래에 나타납니다. HijackO3 항목에 나열되어 있습니다.
관련 레지스트리 항목은
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2입니다. 예
O3 - 도구 모음: ? 11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
미디어 플레이어의 ActiveX 컨트롤 항목인 Windows Media Player 2 ActiveX 컨트롤입니다.
O3 - 도구 모음: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
이것은 Internet Express(FlashGet ) IE 도구 모음의
O3 - 도구 모음: ? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - 도구 모음: ? A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - 도구 모음: ? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL .DLL
위의 세 가지는 Kingsoft Antivirus의 IE 도구 모음입니다.
O3 - 도구 모음: ? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
Kingsoft Express입니다. 번역된 IE 도구 모음.
O3 - 도구 모음: ? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721 IE용 인터넷 길잡이 도구 모음.
O3 - 도구 모음: Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
Google의 IE 도구 모음입니다. .
O3 - 도구 모음: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
이것은 Norton 바이러스 백신 소프트웨어입니다. 도구 모음.
3. 일반 권장 사항
O2와 동일하며 이 항목의 이름과 IE 도구 모음에 있는 내용을 인식하는지 확인하기 위해 주의 깊게 분석해야 합니다. 설치되어 있지만 표시되지 않습니다. IE의 도구 모음에서 마우스 오른쪽 버튼을 클릭하면 일부 볼 수 있으며 해당 위치의 경로를 보면 일반화할 수 없습니다. 관련 정보를 추가로 문의하실 수 있으며, 임의로 수리하지 않으셔도 됩니다. 다음은 좋은 쿼리 주소입니다.
/toolbars/
putercops.biz/CLSID.html
CLSID를 사용하는 것이 좋습니다(즉, "{ }" 번호) 관련 항목을 찾으세요.
일반적으로 위 URL의 쿼리 결과에서 L로 표시된 것은 합법적인 모듈, X로 표시된 것은 스파이/광고 모듈, O로 표시된 것은 일시적으로 결론이 나지 않습니다. X 표시가 있는 경우에는 일반적으로 수리를 권장합니다.
4. 문제 해결
데이터 쿼리 목록에서 찾을 수 없고 이름이 무작위인 것으로 보이며 경로가 "응용 프로그램 데이터" 아래에 있는 경우 일반적으로 감염됩니다. 유명한 Lop.com에서 수리를 권장합니다. 예:
O3 - 도구 모음: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Lop.com에 대한 세부 정보 자세한 내용 및 수동 복구 방법은
/parasite/lop.html
YoCheng 2004-12-17 12:03
Group——O4를 참조하세요.
1. 프로젝트 설명
여기에는 모든 사람이 일반적으로 언급하는 일반적인 의미의 자체 시작 프로그램이 나열되어 있습니다. 정확하게 말하면 여기에 나열된 것은 레지스트리 아래의 키로 시작되는 프로그램입니다.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software \Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 항목으로도 프로그램을 시작할 수 있지만 F2 항목에 보고되었습니다.
또한 O4 항목은 "Startup:"과 "Global Startup:"이라는 두 가지 상황도 보고합니다. 내 생각에
Startup:은 폴더 c:와 동일합니다. \ document and settings\USERNAME\ 아래의 내용(USERNAME은 사용자 이름을 나타냄)
Global Startup: c:\documents and settings\All Users\ 폴더 아래의 내용과 동일합니다.
이 두 폴더에 저장된 다른 파일도 보고된다는 점에 유의하세요.
사실 "Startup" 폴더가 보고되어야 한다고 생각합니다. 즉,
Startup: c:\documents and settings\USERNAME\start menu\programs 아래의 내용을 보고합니다. \startup
Global Startup: c:\documents and settings\All Users\start menu\programs\startup 아래 내용을 보고합니다.
그러나 이 두 항목은 각각 중국어 버전에 있습니다
시작: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup
전역 시작: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
HijackThis가 이 두 디렉터리의 중국어 버전을 인식하지 못하고 해당 내용도 보고하지 않는 것이 유감입니다. 그렇지 않나요? 누군가가 당신에게 말해주길 바랍니다.
2. 예
참고: 대괄호 앞은 레지스트리 기본 키의 위치입니다.
대괄호 안은 키 값입니다.
대괄호 다음은 데이터입니다
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
레지스트리 자체 테스트
O4 - HKLM\..\실행: [TaskMonitor] C:\WINDOWS\taskmon.exe
Windows 작업 최적화 프로그램
O4 - HKLM\..\ 실행 : [SystemTray] SysTray.Exe
Windows 전원 관리 프로그램
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer. exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ ccenter ] C:\Program Files\rising\Rav\CCenter.exe
위 3개는 모두 Rising의 자체 시작 프로그램입니다.
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
위 두 프로그램은 3721 및 Baidu용 자동 시작 프로그램입니다.
(친구들이 프로세스의 Rundll32.exe가 어디서 왔는지 자주 묻지 않나요?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows 계획 작업
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe