Πώς να αναλύσετε το HijackThis Logs

Πώς να μην υπερ-αναλύετε - ΚΓ Show με τη Δρ. Νάνσυ Μαλλέρου (Ιούνιος 2026)

Πίνακας περιεχομένων:

R0, R1, R2, R3 - σελίδες εκκίνησης και αναζήτησης IE
F0, F1, F2, F3 - Αυτόνομα προγράμματα από αρχεία INI
N1, N2, N3, N4 - Σελίδα Netscape / Mozilla Start & Search
O1 - Ανακατευθύνσεις Hostsfile
O2 - Βοηθητικά προγράμματα περιήγησης
O3 - IE γραμμές εργαλείων
O4 - Αυτόνομα προγράμματα από τη μητρώου ή την ομάδα εκκίνησης
O5 - Οι επιλογές IE δεν είναι ορατές στον Πίνακα Ελέγχου
O6 - IE Επιλογές πρόσβασης περιορισμένες από Administrator
O7 - Η πρόσβαση Regedit περιορίζεται από το διαχειριστή
O8 - Επιπλέον στοιχεία στο μενού δεξιού κλικ του IE
O9 - Επιπλέον κουμπιά στην κύρια γραμμή εργαλείων IE ή επιπλέον στοιχεία στο μενού IE 'Εργαλεία'
O10 - αεροπειρατές Winsock
O11 - Επιπλέον ομάδα στο παράθυρο IE 'Advanced Options'
O12 - IE plugins
O13 - Αποτυχία IE DefaultPrefix
O14 - 'Επαναφορά ρυθμίσεων ιστού'
O15 - Ανεπιθύμητες τοποθεσίες στην Αξιόπιστη Ζώνη
O16 - Αντικείμενα ActiveX (γνωστά και ως "Κατεβασμένα αρχεία προγράμματος")
O17 - Hacking τομέα του Lop.com
O18 - Πρόσθετα πρωτόκολλα και αεροπειρατές του πρωτοκόλλου
O19 - Αποκλεισμός φύλλου στυλ χρήστη
O20 - AppInit_DLLs Τιμή μητρώου autorun
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
Υπηρεσίες O23 - NT

HijackThis είναι ένα δωρεάν εργαλείο από την Trend Micro. Αρχικά αναπτύχθηκε από τον Merijn Bellekom, φοιτητή στην Ολλανδία. Το λογισμικό απομάκρυνσης λογισμικού υποκλοπής spyware όπως το Adaware ή το Spybot S & D κάνουν καλή δουλειά ανίχνευσης και κατάργησης των περισσότερων προγραμμάτων spyware, αλλά ορισμένοι αεροπειρατές κατασκοπευτικών προγραμμάτων και προγραμμάτων περιήγησης είναι πολύ ύπουλοι για ακόμη και αυτές τις μεγάλες επιχειρήσεις κοινής ωφέλειας κατά του spyware.

Το HijackThis γράφεται ειδικά για τον εντοπισμό και την κατάργηση των hijacks του προγράμματος περιήγησης ή λογισμικού που αναλαμβάνει το πρόγραμμα περιήγησης ιστού, αλλάζει την προεπιλεγμένη αρχική σελίδα και τη μηχανή αναζήτησης και άλλα κακόβουλα πράγματα. Σε αντίθεση με το τυπικό λογισμικό anti-spyware, το HijackThis δεν χρησιμοποιεί υπογραφές ούτε στοχεύει σε συγκεκριμένα προγράμματα ή διευθύνσεις URL για ανίχνευση και αποκλεισμό. Αντίθετα, το HijackThis αναζητά τα κόλπα και τις μεθόδους που χρησιμοποιούνται από το κακόβουλο λογισμικό για να μολύνει το σύστημά σας και να ανακατευθύνει το πρόγραμμα περιήγησης.

Δεν είναι όλα όσα εμφανίζονται στα αρχεία καταγραφής HijackThis κακά πράγματα και δεν πρέπει όλα να αφαιρεθούν. Στην πραγματικότητα, το αντίθετο. Είναι σχεδόν εγγυημένο ότι ορισμένα από τα στοιχεία των αρχείων καταγραφής HijackThis θα είναι νόμιμο λογισμικό και η αφαίρεση αυτών των αντικειμένων μπορεί να επηρεάσει αρνητικά το σύστημά σας ή να το καταστήσει εντελώς αδύνατο. Η χρήση του HijackThis είναι πολύ παρόμοια με την επεξεργασία του ίδιου του Μητρώου των Windows. Δεν είναι επιστήμη πυραύλων, αλλά σίγουρα δεν πρέπει να το κάνετε χωρίς κάποια καθοδήγηση από ειδικούς, εκτός αν γνωρίζετε πραγματικά τι κάνετε.

Αφού εγκαταστήσετε το HijackThis και το εκτελέσετε για να δημιουργήσετε ένα αρχείο καταγραφής, υπάρχει μια μεγάλη ποικιλία φόρουμ και ιστότοπων όπου μπορείτε να δημοσιεύσετε ή να μεταφορτώσετε τα δεδομένα καταγραφής. Οι εμπειρογνώμονες που ξέρουν τι να αναζητήσουν μπορούν στη συνέχεια να σας βοηθήσουν να αναλύσετε τα δεδομένα των ημερολογίων και να σας συμβουλέψουμε για τα αντικείμενα που πρέπει να αφαιρέσετε και ποια να τα αφήσετε μόνοι σας.

Για να κατεβάσετε την τρέχουσα έκδοση του HijackThis, μπορείτε να επισκεφθείτε την επίσημη ιστοσελίδα της Trend Micro.

Ακολουθεί μια επισκόπηση των καταχωρίσεων του αρχείου καταγραφής HijackThis, τις οποίες μπορείτε να χρησιμοποιήσετε για να μεταβείτε στις πληροφορίες που ψάχνετε:

R0, R1, R2, R3 - Διαδικτυακές διευθύνσεις σελίδων εκκίνησης / αναζήτησης του Internet Explorer
F0, F1 - Αυτόνομα προγράμματα
N1, N2, N3, N4 - Netscape / Mozilla Start / Αναζήτηση σελίδων URL
O1 - Υποστηρίζει ανακατεύθυνση αρχείου
O2 - Βοηθητικά προγράμματα περιήγησης
O3 - Γραμμές εργαλείων του Internet Explorer
O4 - Αυτόνομα προγράμματα από το μητρώο
Το εικονίδιο O5 - IE Options δεν είναι ορατό στον Πίνακα Ελέγχου
O6 - IE Επιλογές πρόσβασης περιορισμένες από Administrator
O7 - Η πρόσβαση Regedit περιορίζεται από το διαχειριστή
O8 - Επιπλέον στοιχεία στο μενού δεξιού κλικ του IE
O9 - Επιπλέον κουμπιά στη γραμμή εργαλείων του κύριου κουμπιού IE ή επιπλέον στοιχεία στο μενού IE 'Εργαλεία'
O10 - αεροπειρατή Winsock
O11 - Επιπλέον ομάδα στο παράθυρο IE 'Advanced Options'
O12 - IE plugins
O13 - Αποτυχία IE DefaultPrefix
O14 - 'Επαναφορά ρυθμίσεων ιστού'
O15 - Ανεπιθύμητη τοποθεσία στην αξιόπιστη ζώνη
O16 - Αντικείμενα ActiveX (γνωστά και ως "Κατεβασμένα αρχεία προγράμματος")
O17 - αεροπειρατές τομέα Lop.com
O18 - Πρόσθετα πρωτόκολλα και αεροπειρατές του πρωτοκόλλου
O19 - Αποκλεισμός φύλλου στυλ χρήστη
O20 - AppInit_DLLs Τιμή μητρώου autorun
O21 - ShellServiceObjectDelayLoad κλειδί μητρώου autorun
O22 - SharedTaskScheduler κλειδί μητρώου autorun
O23 - Υπηρεσίες των Windows NT

R0, R1, R2, R3 - σελίδες εκκίνησης και αναζήτησης IE

Πως μοιάζει:R0 - HKCU Λογισμικό Microsoft Internet Explorer Main, Αρχική Σελίδα = http://www.google.com/R1 - HKLM Λογισμικό Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (αυτός ο τύπος δεν χρησιμοποιείται από το HijackThis ακόμα)R3 - Το προεπιλεγμένο URLSearchHook λείπει

Τι να κάνω:Εάν αναγνωρίσετε τη διεύθυνση URL στο τέλος ως αρχική σελίδα ή μηχανή αναζήτησης, είναι εντάξει. Εάν δεν το κάνετε, ελέγξτε το και επιδιορθώστε το HijackThis. Για τα αντικείμενα R3, τα διορθώστε πάντα, εκτός αν αναφέρει ένα πρόγραμμα που αναγνωρίζετε, όπως το Copernic.

F0, F1, F2, F3 - Αυτόνομα προγράμματα από αρχεία INI

Πως μοιάζει:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched
Τι να κάνω:Τα στοιχεία F0 είναι πάντα κακά, οπότε τα διορθώστε. Τα στοιχεία της F1 είναι συνήθως πολύ παλιά προγράμματα που είναι ασφαλή, οπότε πρέπει να βρείτε περισσότερες πληροφορίες για το όνομα αρχείου για να δείτε αν είναι καλό ή κακό. Η λίστα εκκίνησης του Pacman μπορεί να βοηθήσει στην αναγνώριση ενός στοιχείου.

N1, N2, N3, N4 - Σελίδα Netscape / Mozilla Start & Search

Πως μοιάζει:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Προγράμματα Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"). (C: Documents and Settings Χρήστης Δεδομένα εφαρμογής Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Χρήστης Δεδομένα εφαρμογής Mozilla Profiles defaulto9t1tfl.slt prefs.js)
Τι να κάνω:Συνήθως η αρχική σελίδα του Netscape και της Mozilla και η σελίδα αναζήτησης είναι ασφαλείς. Σπάνια παίρνουν αεροπειρατεία, μόνο το Lop.com είναι γνωστό ότι το κάνει αυτό. Εάν δείτε μια διεύθυνση URL που δεν αναγνωρίζετε ως αρχική σελίδα ή σελίδα αναζήτησης, πρέπει να το διορθώσετε από το HijackThis.

O1 - Ανακατευθύνσεις Hostsfile

Πως μοιάζει:O1 - Υποδοχές: 216.177.73.139 auto.search.msn.comO1 - Υποδοχές: 216.177.73.139 search.netscape.comO1 - Υποδοχές: 216.177.73.139 ieautosearchΤο αρχείο O1 - Hosts βρίσκεται στο φάκελο C: Windows Help hosts
Τι να κάνω:Αυτή η αεροπειρατεία θα ανακατευθύνει τη διεύθυνση προς τα δεξιά στη διεύθυνση IP προς τα αριστερά.Εάν το IP δεν ανήκει στη διεύθυνση, θα μεταφερθείτε σε λάθος τοποθεσία κάθε φορά που εισάγετε τη διεύθυνση. Μπορείτε να έχετε πάντα το HijackThis να διορθώσετε αυτά, εκτός αν έχετε θέσει συνειδητά αυτές τις γραμμές στο αρχείο Hosts σας.
Το τελευταίο στοιχείο εμφανίζεται μερικές φορές στα Windows 2000 / XP με μόλυνση Coolwebsearch. Πάντοτε να διορθώνετε αυτό το στοιχείο ή να το επισκευάζετε αυτόματα από το CWShredder.

O2 - Βοηθητικά προγράμματα περιήγησης

Πως μοιάζει:O2 - BHO: Yahoo! Σύντροφος BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: ΑΡΧΕΙΑ ΠΡΟΓΡΑΜΜΑΤΩΝ YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (χωρίς όνομα) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ POPUP ELIMINATOR AUTODISPLAY401.DLL (αρχείο λείπει)O2 - BHO: Enhanced MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: ΑΡΧΕΙΑ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΝΙΣΧΥΜΕΝΕΣ MEDIALOADS ME1.DLL
Τι να κάνω:Εάν δεν αναγνωρίζετε άμεσα το όνομα του Αντικειμενικού Βοηθού Browser, χρησιμοποιήστε τη Λίστα BHO και τη Γραμμή εργαλείων του TonyK για να το βρείτε με το αναγνωριστικό κλάσης (CLSID, ο αριθμός μεταξύ των αγκυλών) και δείτε εάν είναι καλό ή κακό. Στη λίστα BHO, το "X" σημαίνει spyware και το "L" σημαίνει ασφαλές.

O3 - IE γραμμές εργαλείων

Πως μοιάζει: O3 - Γραμμή εργαλείων: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Γραμμή εργαλείων: Εξαργύρωση αναδυόμενων παραθύρων - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: ΑΡΧΕΙΟ ΠΡΟΓΡΑΜΜΑΤΟΣ POPUP ELIMINATOR PETOOLBAR401.DLLO3 - Γραμμή εργαλείων: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL
Τι να κάνω:Εάν δεν αναγνωρίζετε άμεσα το όνομα μιας γραμμής εργαλείων, χρησιμοποιήστε τη λίστα BHO και τη γραμμή εργαλείων του TonyK για να την βρείτε με το αναγνωριστικό κλάσης (CLSID, ο αριθμός μεταξύ των αγκυλών) και δείτε αν είναι καλό ή κακό. Στη λίστα γραμμών εργαλείων, το "X" σημαίνει spyware και το "L" σημαίνει ασφαλές. Αν δεν υπάρχει στη λίστα και το όνομα φαίνεται τυχαία σειρά χαρακτήρων και το αρχείο βρίσκεται στον φάκελο "Δεδομένα εφαρμογών" (όπως το τελευταίο στα παραπάνω παραδείγματα), είναι πιθανότατα το Lop.com και σίγουρα θα πρέπει να διορθώσετε το HijackThis το.

O4 - Αυτόνομα προγράμματα από τη μητρώου ή την ομάδα εκκίνησης

Πως μοιάζει:O4 - HKLM .. Εκτέλεση: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Εκτέλεση: SystemTray SysTray.ExeO4 - HKLM .. Εκτέλεση: ccApp "C: Program Files Κοινά αρχεία Symantec Shared ccApp.exe"O4 - Εκκίνηση: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Παγκόσμια εκκίνηση: winlogon.exe
Τι να κάνω:Χρησιμοποιήστε τη λίστα εκκίνησης του PacMan για να βρείτε την καταχώρηση και να δείτε αν είναι καλό ή κακό.
Εάν το στοιχείο εμφανίζει ένα πρόγραμμα που κάθεται σε μια ομάδα εκκίνησης (όπως το τελευταίο στοιχείο παραπάνω), το HijackThis δεν μπορεί να διορθώσει το στοιχείο εάν αυτό το πρόγραμμα παραμένει στη μνήμη. Χρησιμοποιήστε τη Διαχείριση εργασιών των Windows (TASKMGR.EXE) για να κλείσετε τη διαδικασία πριν από την επιδιόρθωση.

O5 - Οι επιλογές IE δεν είναι ορατές στον Πίνακα Ελέγχου

Πως μοιάζει: O5 - control.ini: inetcpl.cpl = όχι
Τι να κάνω:Εκτός εάν εσείς ή ο διαχειριστής του συστήματός σας έχετε αποκρύψει εν γνώσει το εικονίδιο από τον Πίνακα Ελέγχου, επιδιορθώστε το HijackThis.

O6 - IE Επιλογές πρόσβασης περιορισμένες από Administrator

Πως μοιάζει:O6 - HKCU Λογισμικό Πολιτικές Microsoft Internet Explorer Περιορισμοί παρόντες
Τι να κάνω:Εκτός αν έχετε την επιλογή Spybot S & D 'ενεργοποιημένη την αρχική σελίδα κλειδώματος από τις αλλαγές', ή ο διαχειριστής του συστήματος το έθεσε σε ισχύ, το HijackThis επιδιορθώνει αυτό.

O7 - Η πρόσβαση Regedit περιορίζεται από το διαχειριστή

Πως μοιάζει:O7 - HKCU Λογισμικό Microsoft Windows CurrentVersion Policies Σύστημα, DisableRegedit = 1
Τι να κάνω:Να έχετε πάντα HijackThis το διορθώσετε αυτό, εκτός εάν ο διαχειριστής του συστήματός σας έχει θέσει αυτόν τον περιορισμό στη θέση του.

O8 - Επιπλέον στοιχεία στο μενού δεξιού κλικ του IE

Πως μοιάζει: O8 - Πρόσθετο στοιχείο μενού περιβάλλοντος: & Αναζήτηση Google - res: // C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_GR_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Έξτρα στοιχείο μενού περιβάλλοντος: Yahoo! Αναζήτηση - αρχείο: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Έξτρα στοιχείο μενού περιβάλλοντος: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Έξτρα στοιχείο μενού περιβάλλοντος: Μεγέθυνση O & ut - C: WINDOWS WEB zoomout.htm
Τι να κάνω:Αν δεν αναγνωρίζετε το όνομα του στοιχείου στο μενού δεξιού κλικ στο IE, θα πρέπει να διορθώσετε το HijackThis.

O9 - Επιπλέον κουμπιά στην κύρια γραμμή εργαλείων IE ή επιπλέον στοιχεία στο μενού IE 'Εργαλεία'

Πως μοιάζει: O9 - Κουμπί Extra: Messenger (HKLM)O9 - Εργαλεία μενού "Extra": Messenger (HKLM)O9 - Κουμπί Extra: AIM (HKLM)
Τι να κάνω:Αν δεν αναγνωρίσετε το όνομα του κουμπιού ή του στοιχείου μενού, θα πρέπει να διορθώσετε το HijackThis.

O10 - αεροπειρατές Winsock

Πως μοιάζει: O10 - Πρόσβαση στο Internet από το New.NetO10 - Λανθασμένη πρόσβαση στο Διαδίκτυο λόγω λείπουν ο πάροχος LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll'O10 - Άγνωστο αρχείο στο Winsock LSP: c: files newton ξέρει vmain.dll
Τι να κάνω:Είναι καλύτερο να τα διορθώσετε χρησιμοποιώντας το LSPFix από το Cexx.org ή το Spybot S & D από το Kolla.de.
Σημειώστε ότι τα "άγνωστα" αρχεία στη στοίβα LSP δεν θα διορθωθούν από το HijackThis, για θέματα ασφάλειας.

O11 - Επιπλέον ομάδα στο παράθυρο IE 'Advanced Options'

Πως μοιάζει: O11 - Ομάδα επιλογών: CommonName CommonName
Τι να κάνω:Ο μόνος αεροπειρατής από τώρα που προσθέτει τη δική του ομάδα επιλογών στο παράθυρο IE Advanced Options είναι CommonName. Έτσι μπορείτε να έχετε πάντα HijackThis διορθώσετε αυτό.

O12 - IE plugins

Πως μοιάζει: O12 - Προσθήκη για το .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Προσθήκη για .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll
Τι να κάνω:Τις περισσότερες φορές είναι ασφαλείς. Μόνο το OnFlow προσθέτει εδώ ένα plugin που δεν θέλετε (.ofb).

O13 - Αποτυχία IE DefaultPrefix

Πως μοιάζει: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Πρόθεμα WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Πρόθεμα: http://ehttp.cc/?
Τι να κάνω:Αυτά είναι πάντα κακά. Έχετε το HijackThis τα διορθώσετε.

O14 - 'Επαναφορά ρυθμίσεων ιστού'

Πως μοιάζει: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Τι να κάνω:Εάν η διεύθυνση URL δεν είναι ο πάροχος του υπολογιστή σας ή του ISP σας, επιδιορθώστε το HijackThis.

O15 - Ανεπιθύμητες τοποθεσίες στην Αξιόπιστη Ζώνη

Πως μοιάζει: O15 - Αξιόπιστη Ζώνη: http://free.aol.comO15 - Αξιόπιστη ζώνη: * .coolwebsearch.comO15 - Αξιόλογη ζώνη: * .msn.com
Τι να κάνω:Τις περισσότερες φορές μόνο η AOL και η Coolwebsearch προσθέτουν σιωπηλά τοποθεσίες στη Αξιόλογη Ζώνη. Εάν δεν προσθέσατε τον ελεγχόμενο τομέα στην εφεδρική ζώνη μόνοι σας, επιδιορθώστε το HijackThis.

O16 - Αντικείμενα ActiveX (γνωστά και ως "Κατεβασμένα αρχεία προγράμματος")

Πως μοιάζει: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Αντικείμενο Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Τι να κάνω:Εάν δεν αναγνωρίζετε το όνομα του αντικειμένου ή τη διεύθυνση URL από την οποία έχει μεταφορτωθεί, το διορθώσετε από το HijackThis. Αν το όνομα ή η διεύθυνση URL περιέχει λέξεις όπως 'dialer', 'casino', 'free_plugin' κ.λπ., σίγουρα το διορθώσετε. Το SpywareBlaster της Javacool διαθέτει μια τεράστια βάση δεδομένων με κακόβουλα αντικείμενα ActiveX που μπορούν να χρησιμοποιηθούν για την αναζήτηση CLSID. (Κάντε δεξί κλικ στη λίστα για να χρησιμοποιήσετε τη λειτουργία εύρεσης.)

O17 - Hacking τομέα του Lop.com

Πως μοιάζει: O17 - HKLM Σύστημα CCS Υπηρεσίες VxD MSTCP: Domain = aoldsl.netO17 - HKLM Σύστημα CCS Υπηρεσίες Tcpip Παράμετροι: Domain = W21944.find-quick.comO17 - HKLM Λογισμικό .. Τηλεφωνία: DomainName = W21944.find-quick.comO17 - HKLM Σύστημα CCS Υπηρεσίες Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Τομέας = W21944.find-quick.comO17 - HKLM Σύστημα CS1 Υπηρεσίες Tcpip Παράμετροι: SearchList = gla.ac.ukO17 - HKLM System CS1 Υπηρεσίες VxD MSTCP: ΌνομαServer = 69.57.146.14,69.57.147.175
Τι να κάνω:Αν ο τομέας δεν είναι από τον ISP ή το δίκτυο της εταιρείας σας, επιδιορθώστε το HijackThis. Το ίδιο ισχύει και για τις καταχωρίσεις 'SearchList'. Για τις καταχωρίσεις 'NameServer' (διακομιστές DNS), η Google για την IP ή IP και θα είναι εύκολο να δούμε αν είναι καλοί ή κακοί.

O18 - Πρόσθετα πρωτόκολλα και αεροπειρατές του πρωτοκόλλου

Πως μοιάζει: O18 - Πρωτόκολλο: σχετικοί σύνδεσμοι - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Πρωτόκολλο: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Απόπειρα πρωτοκόλλου: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Τι να κάνω:Μόνο μερικοί αεροπειρατές εμφανίζονται εδώ. Οι γνωστοί κακοί είναι "cn" (CommonName), "ayb" (Lop.com) και "relatedlinks" (Huntbar), θα πρέπει να έχετε το HijackThis να τις διορθώσετε. Άλλα πράγματα που εμφανίζονται είτε δεν έχουν επιβεβαιωθεί ακόμη ασφαλές, είτε έχουν καταστραφεί (δηλαδή το CLSID έχει αλλάξει) από το spyware. Στην τελευταία περίπτωση, το HijackThis το διορθώσετε.

O19 - Αποκλεισμός φύλλου στυλ χρήστη

Πως μοιάζει: O19 - Φύλλο στυλ χρήστη: c: WINDOWS Java my.css
Τι να κάνω:Σε περίπτωση επιβράδυνσης του προγράμματος περιήγησης και συχνών αναδυόμενων παραθύρων, το HijackThis επιδιορθώνει αυτό το στοιχείο αν εμφανίζεται στο ημερολόγιο. Ωστόσο, δεδομένου ότι μόνο το Coolwebsearch κάνει αυτό, είναι καλύτερο να χρησιμοποιήσετε το CWShredder για να το διορθώσετε.

O20 - AppInit_DLLs Τιμή μητρώου autorun

Πως μοιάζει: O20 - AppInit_DLLs: msconfd.dll
Τι να κάνω:Αυτή η τιμή μητρώου που βρίσκεται στο HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows φορτώνει ένα αρχείο DLL στη μνήμη όταν συνδεθεί ο χρήστης, μετά από το οποίο παραμένει στη μνήμη μέχρι την αποχώρησή του. Πολύ λίγα νόμιμα προγράμματα το χρησιμοποιούν (το Norton CleanSweep χρησιμοποιεί το APITRAP.DLL), το πιο συχνά χρησιμοποιείται από trojans ή aggressive browser αεροπειρατές.
Σε περίπτωση που μια "κρυφή" φόρτωση DLL από αυτήν την τιμή του μητρώου (εμφανίζεται μόνο όταν χρησιμοποιείται η επιλογή "Επεξεργασία δυαδικών δεδομένων" στο Regedit), το όνομα dll μπορεί να έχει προθέματα με ένα σωλήνα '|' για να γίνει ορατό στο αρχείο καταγραφής.

O21 - ShellServiceObjectDelayLoad

Πως μοιάζει: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS Σύστημα auhook.dll
Τι να κάνω:Πρόκειται για μια μη τεκμηριωμένη μέθοδο autorun, που συνήθως χρησιμοποιείται από μερικά στοιχεία του συστήματος των Windows. Τα στοιχεία που παρατίθενται στο HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad φορτώνονται από την Εξερεύνηση κατά την εκκίνηση των Windows. Το HijackThis χρησιμοποιεί ένα κατάλογο λευκών λίστας με πολλά πολύ κοινά στοιχεία SSODL, οπότε κάθε φορά που εμφανίζεται ένα στοιχείο στο αρχείο καταγραφής είναι άγνωστο και πιθανόν κακόβουλο. Αντιμετωπίστε με μεγάλη προσοχή.

O22 - SharedTaskScheduler

Πως μοιάζει: O22 - SharedTaskScheduler: (χωρίς όνομα) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll
Τι να κάνω:Πρόκειται για ένα έγγραφο χωρίς άδεια για τα Windows NT / 2000 / XP μόνο, το οποίο χρησιμοποιείται πολύ σπάνια. Μέχρι τώρα μόνο το CWS.Smartfinder το χρησιμοποιεί. Αντιμετωπίστε με προσοχή.

Υπηρεσίες O23 - NT

Πως μοιάζει: O23 - Υπηρεσία: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe
Τι να κάνω:Αυτή είναι η λίστα υπηρεσιών που δεν ανήκουν στη Microsoft.Η λίστα θα πρέπει να είναι ίδια με αυτή που βλέπετε στο βοηθητικό πρόγραμμα Msconfig των Windows XP. Αρκετοί απατεώνες trojan χρησιμοποιούν μια σπιτική υπηρεσία σε προσθήκη σε άλλες επιχειρήσεις για να επανεγκατασταθούν. Το πλήρες όνομα είναι συνήθως σημαντικό, όπως "Υπηρεσία Ασφάλειας Δικτύου", "Υπηρεσία Σύνδεσης Σταθμού Εργασίας" ή "Βοηθός Call Call Remote", αλλά το εσωτερικό όνομα (μεταξύ παρενθέσεων) είναι μια σειρά από σκουπίδια, όπως "Ort". Το δεύτερο μέρος της γραμμής είναι ο ιδιοκτήτης του αρχείου στο τέλος, όπως φαίνεται στις ιδιότητες του αρχείου.
Σημειώστε ότι ο καθορισμός ενός στοιχείου O23 θα σταματήσει την υπηρεσία και θα την απενεργοποιήσει. Η υπηρεσία πρέπει να διαγραφεί από το μητρώο με μη αυτόματο τρόπο ή με άλλο εργαλείο. Στο HijackThis 1.99.1 ή παραπάνω, το κουμπί 'Delete NT Service' στην ενότητα Misc Tools μπορεί να χρησιμοποιηθεί για αυτό.