hijackthis：处理浏览器劫持者和间谍软件的捣乱

时间：2020-03-19 来源：点击：

手机扫码继续观看

劫持首先读取非标准协议注册表的“协议”部分。当它找到它时查询列出的CLSID，以获取有关其文件路径的信息。

示例列表	O18 - 协议：相关链接 - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C： PROGRA〜1 COMMON〜1 MSIETS msielink.dll

常见的违法者是CoolWebSearch，相关链接和Lop.com。如果你看到这些，你可以有HijackThis修复它。

　　使用谷歌查看文件是否合法。您也可以使用SystemLookup.com来帮助验证文件。

　　重要的是要注意，修复这些条目似乎不会删除注册表项或与其关联的文件。您应该让用户重新启动进入安全模式并手动删除违规文件。

　　O19部分

　　此部分对应于用户样式表劫持。

　　样式表是如何从html页面查看页面布局，颜色和字体的模板。这种类型的劫持将覆盖为残障用户开发的默认样式表，并导致大量的弹出窗口和潜在的减速。

　　注册表项：HKEY_CURRENT_USER Software Microsoft Internet Explorer Styles ：用户样式表

示例列表	O19 - 用户样式表：c： WINDOWS Java my.css

您通常可以删除这些，除非您实际设置了样式表供您使用。

　　修复这些类型的条目时，HijackThis不会删除列出的违规文件。建议您重新启动进入安全模式并删除样式表。

　　O20部分

　　AppInit_DLLs

　　此部分对应于通过AppInit_DLLs注册表值和Winlogon通知子项加载的文件

　　AppInit_DLLs注册表值包含加载user32.dll时将加载的dll列表。大多数Windows可执行文件使用user32.dll，这意味着AppInit_DLLs注册表项中列出的任何DLL也将被加载。这使得很难删除DLL，因为它将在多个进程中加载，其中一些不能在不引起系统不稳定的情况下停止。user32.dll文件也被系统在您登录时自动启动的进程使用。这意味着，加载在AppInit_DLLs值中的文件将在Windows启动例程的早期加载，使得DLL可以在我们访问系统之前隐藏自身或保护自身。

　　已知此方法由CoolWebSearch变体使用，只能通过右键单击该值，并选择“修改二进制数据”，才能在Regedit中看到。另一方面，Registrar Lite更容易看到这个DLL。

　　注册表项：HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Windows AppInit_DLLs