HijackThis日志细解正文（二十四）：组别——O20

www.rising.com.cn 2004-8-5 15:38:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。

相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

键值为AppInit_DLLs

此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。

2. 举例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建议

仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防木马或者其它恶意程序。

4. 疑难解析

有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。

HijackThis日志细解正文（二十五）：组别——O21

www.rising.com.cn 2004-8-5 15:43:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式，通常只有少数Windows系统组件用到它。Windows启动时，该处注册的组件会由Explorer加载。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 举例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建议

HijackThis会自动识别在该处启动的常见Windows系统组件，不会报告它们。所以如果HijackThis报告这一项，则有可能存在恶意程序，需要仔细分析。

4. 疑难解析

（暂无）

HijackThis日志细解正文（二十六）：组别——O22

www.rising.com.cn 2004-8-5 15:48:00 信息源:瑞星社区 作者:风之咏者


1. 项目说明

O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式，极少用到。


2. 举例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建议

已知，CoolWebSearch变种Smartfinder用到这一项，请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机），简介见http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1


4. 疑难解析

（暂无）