hijackthis:处理浏览器劫持者和间谍软件的捣乱
使用此注册表项的合法程序很少,但删除此处列出的文件时,请谨慎。使用我们的Bleeping计算机启动数据库或SystemLookup.com来帮助验证文件。
修复这些类型的条目时,HijackThis不会删除列出的违规文件。建议您重新启动进入安全模式并删除违规文件。
Winlogon通知
Winlogon通知键通常由Look2Me感染使用。劫持将列出所有不标准的Winlogon通知密钥,以便您可以轻松发现不属于的标准。您可以识别Look2Me感染密钥,因为它将具有位于%SYSTEM%目录中的随机文件名的DLL。
注册表项:HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Notify
| 示例列表 | O20 - Winlogon通知:扩展 - C: WINDOWS system32 i042laho1d4c.dll |
当您修复此条目时,它将从注册表中删除该键,但保留该文件。然后必须手动删除此文件
。
O21部分
此部分对应于通过ShellServiceObjectDelayLoad注册表项加载的文件。
此注册表以与运行键相似的方式包含值。不同之处在于,它不是指向文件本身,而是指向CLSID的InProcServer,其中包含有关正在使用的特定DLL文件的信息。
当您的计算机启动时,此密钥下的文件由Explorer.exe自动加载。因为Explorer.exe是您的计算机的shell,它将始终启动,因此始终加载此密钥下的文件。因此,在任何人为干预发生之前,这些文件将在启动过程的早期加载。
使用该方法的劫持者可以通过以下条目来识别:
| 示例列表 | R0 - HKCU Software Microsoft Internet Explorer Main,Start Page = C: WINDOWS secure.html R1 - HKCU Software Microsoft Internet Explorer Main,Default_Page_URL = C: WINDOWS secure.html |
注册表项:HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad
| 示例列表 | O21 - SSODL:系统 - {3CE8EED5-112D-4E37-B671-74326D12971E} - C: WINDOWS system32 system32.dll |
相关文章
- 1免费完整版office2016激活密钥|永久激活码
- 2已解决:steam在连接至steam服务器时遇到问题
- 3ps序列号cc永久免费_2020Photoshop序列号 ps激活码注
- 4win10最好的看图软件?win10照片查看软件推荐
- 5迅雷播放器投屏到电视如何操作
- 6电脑安卓模拟器哪个好用?pc最好用的安卓模拟器
- 7reboot and select proper boot device问题分析及处理
- 8在中国怎么用twitter软件国内推特如何上_国内微软win1
- 9如何修复取文件时错误0x8096002A (4种解决方案)
- 10最新Win10激活码/KEY分享(也附win10激活方法)