अपहरणाचा विश्लेषण कसा करावा?

लॉग डेटा स्पष्टीकरण स्पायवेअर आणि ब्राउझर अपहरणकर्त्यांना काढून मदत करण्यासाठी

अपहरण हे ट्रेन्ड मायक्रोपासून मुक्त साधन आहे. हे मूलतः नेदरलँड्स मधील एक विद्यार्थी मेरिजन बेलेकॉम यांनी विकसित केले होते. अॅडवार किंवा स्पायबॉट एस म्हणून स्पायवेअर काढून टाकणे सॉफ्टवेअर आणि डीडी हे बहुतेक स्पायवेअर प्रोग्राम्स डिटेक्शन आणि काढून टाकण्याचे एक चांगले काम करतात, परंतु काही स्पायवेअर व ब्राउझर अपहरणकर्त्यांनाही या महान अँटी-स्पायवेअर युटिलिटीसाठी खूप कपटी आहेत.

अपहरण हे विशेषत: ब्राउझर अपहरण शोधण्यासाठी किंवा काढून टाकण्यासाठी किंवा आपल्या वेब ब्राउझरवर घेणार्या सॉफ्टवेअरला आपले डीफॉल्ट मुख्यपृष्ठ आणि शोध इंजिन आणि इतर दुर्भावनापूर्ण गोष्टी बदलविते. विशिष्ट स्पायवेअर स्पायवेअर सॉफ्टवेअरच्या विपरीत, अपहरण हे ओळखण्यासाठी किंवा ब्लॉक करण्यासाठी कोणत्याही विशिष्ट प्रोग्राम्स किंवा URL च्या स्वाक्षर्या वापरत नाही किंवा लक्ष्य करीत नाही. त्याऐवजी, अपहरणआपल्या सिस्टमला संक्रमित करण्यासाठी आणि आपल्या ब्राउझरला पुनर्निर्देशित करण्यासाठी मालवेअरद्वारे वापरल्या जाणार्या युक्त्या आणि पद्धतींसाठीही ते दिसते.

HijackThis log मध्ये दर्शविणारी प्रत्येक गोष्ट वाईट सामग्री नाही आणि ती सर्व काढली जाऊ नये. खरेतर, जोरदार उलट. हे जवळजवळ हमी दिले जाते की आपल्या अपहरणाच्या या नोंदीतील काही वस्तू कायदेशीर सॉफ्टवेअर असतील आणि ती वस्तू काढून टाकल्याने आपल्या सिस्टमवर विपरित परिणाम होऊ शकतो किंवा तो पूर्णपणे अक्षम करू शकतो. अपहरण वापरणे हा विंडोज रजिस्ट्री स्वत: चे संपादन करण्यासारखे आहे हे रॉकेट विज्ञान नाही, परंतु जोपर्यंत आपण काय करत आहात हे आपल्याला खरोखर माहित नसल्यास आपण काही विशेषज्ञ मार्गदर्शनाशिवाय हे निश्चितपणे न करणे आवश्यक आहे.

आपण एकदा HijackThis इन्स्टॉल केले आणि लॉग फाईल जनरेट करण्यासाठी ते चालू केले, तेव्हा अनेक मंच आणि साइट्स आहेत जेथे आपण आपला लॉग डेटा पोस्ट किंवा अपलोड करू शकता. ज्या तंत्रज्ञानासाठी काय शोधले आहे हे जाणून घेण्यास आपण लॉग डेटाचे विश्लेषण करण्यास आणि आपल्याला कोणती वस्तू काढू शकते आणि कोणत्या वस्तूंना एकटे सोडण्यास मदत करण्यास मदत करू शकतात.

HijackThis चे वर्तमान आवृत्ती डाऊनलोड करण्यासाठी, आपण ट्रेंड मायक्रो येथील अधिकृत साइटला भेट देऊ शकता.

येथे HijackThis लॉग प्रविष्टेचे एक विहंगावलोकन आहे जे आपण शोधत असलेल्या माहितीवर जाण्यासाठी आपण वापरू शकता:

• R0, R1, R2, R3 - इंटरनेट एक्सप्लोरर प्रारंभ / शोध पृष्ठे URL
• F0, F1 - ऑटोलोडिंग प्रोग्राम
• N1, N2, N3, N4 - नेटस्केप / मोझीला स्टार्ट / शोध पृष्ठे URL
• O1 - होस्ट फाइल पुनर्निर्देशन
• O2 - ब्राउझर मदतनीस ऑब्जेक्ट
• O3 - इंटरनेट एक्सप्लोरर टूलबार
• O4 - रेजिस्ट्री पासून Autoloading प्रोग्राम
• O5 - IE पर्याय चिन्ह नियंत्रण पॅनेलमध्ये दृश्यमान नाहीत
• O6 - प्रशासक द्वारे प्रतिबंधित IE पर्याय प्रवेश
• O7 - प्रशासक द्वारे प्रतिबंधित प्रवेश रीगॅडेट
• O8 - IE मधील अतिरिक्त आयटम उजवे क्लिक मेनू
• O9 - मुख्य IE बटण टूलबारवरील अतिरिक्त बटणे, IE 'साधने' मेनूमधील अतिरिक्त आयटम
• O10 - Winsock लूट करणारा
• O11 - IE 'प्रगत पर्याय' विंडो मध्ये अतिरिक्त गट
• O12 - IE प्लगइन
• O13 - IE DefaultPrefix अपहरण
• O14 - 'वेब सेटिंग्ज रीसेट करा' अपहृत
• O15 - विश्वासार्ह विभागात अवांछित साइट
• O16 - ActiveX ऑब्जेक्ट्स (उर्फ डाउनलोडेड प्रोग्राम फाइल्स)
• O17 - Lop.com डोमेन अपहरणकर्ते
• O18 - अतिरिक्त प्रोटोकॉल आणि प्रोटोकॉल अपहरणकर्ते
• O19 - वापरकर्ता शैली पत्रक अपहरण
• O20 - AppInit_DLLs रजिस्ट्री मूल्य ऑटोरुन
• O21 - ShellServiceObjectDelayLoad नोंदणी की स्वयं संरक्षित करा
• O22 - शेअर्ड टास्क शेड्यूलर नोंदणी की स्वयं संरक्षित

• O23 - विंडोज एनटी सेवा

R0, R1, R2, R3 - IE प्रारंभ आणि शोध पृष्ठे

हे कशासारखे दिसते:
R0 - HKCU सॉफ्टवेअर मायक्रोसॉफ्ट इंटरनेट एक्सप्लोरर मुख्य, प्रारंभ पृष्ठ = http://www.google.com/
R1 - HKLM सॉफ्टवेअर Microsoft \ InternetExplorer \ Main, Default_Page_URL = http://www.google.com/
R2 - (हा प्रकार अद्याप अपहरणकर्त्याद्वारे वापरला जात नाही)
R3 - डीफॉल्ट URLSearchHook गहाळ आहे

काय करायचं:
जर आपण शेवटी आपले मुख्यपृष्ठ किंवा शोध इंजिन म्हणून URL ओळखले, तर ते ठीक आहे. आपण न केल्यास, ते तपासा आणि HijackThis आहे तो याचे निराकरण. R3 आयटमसाठी, जोपर्यंत आपण ओळखत असलेल्या प्रोग्रामचा उल्लेख करत नाही तोपर्यंत नेहमी ती दुरुस्त करा, जसे की कोपरनिक.

F0, F1, F2, F3 - INI फाईल्समधून Autoloading प्रोग्राम

हे कशासारखे दिसते:
F0 - system.ini: शेल = एक्सप्लोरर. Exe Openme.exe
F1 - win.ini: run = hpfsched

काय करायचं:
F0 आयटम नेहमी वाईट असतात, त्यामुळे त्यांना ठीक करा. F1 आयटम सहसा खूप जुने प्रोग्राम्स आहेत जे सुरक्षीत आहेत, जेणेकरून ते चांगले किंवा वाईट आहे हे पाहण्यासाठी आपण फाईलचे आणखी काही माहिती शोधू शकता. पॅकमनची स्टार्टअप लिस्ट आयटम ओळखण्यासाठी मदत करू शकते.

N1, N2, N3, N4 - नेटस्केप / मोझीला स्टार्ट & amp; शोध पृष्ठ

हे कशासारखे दिसते:
N1 - नेटस्केप 4: वापरकर्ता_pref "browser.startup.homepage", "www.google.com"); (सी: \ प्रोग्राम फाइल्स \ Netscape \ वापरकर्ते \ default \ prefs.js)
N2 - नेटस्केप 6: वापरकर्ता_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ दस्तऐवज आणि सेटिंग्ज \ वापरकर्ता डेटा डेटा \ Mozilla \ Profiles defaulto9t1tfl.slt \ prefs.js)
N2 - नेटस्केप 6: युजर_pref ("browser.search.defaultengine", "इंजिन: // सी 2003 एझल्यू प्रोग्राम्स, 20 एफिम्स, 5 सीनेटस्केप, 206% 5 सीझरप्लगिन, 2005 सीसीएसबीडब्ल्यूबी 2. एसआरसी"); (C: \ दस्तऐवज आणि सेटिंग्ज \ वापरकर्ता डेटा डेटा \ Mozilla \ Profiles defaulto9t1tfl.slt \ prefs.js)

काय करायचं:
सामान्यतः नेटस्केप आणि मोझीला मुख्यपृष्ठ आणि शोध पृष्ठ सुरक्षित आहेत. ते क्वचितच अपहरण होतात, फक्त Lop.com हे करण्यासाठी ज्ञात आहे. आपण आपल्या मुख्यपृष्ठ किंवा शोध पृष्ठासह ओळखत नसलेले एक URL पाहू शकता, अपहरण केल्याने ते याचे निराकरण करते

O1 - होस्ट फाईल पुनर्निर्देशन

हे कशासारखे दिसते:
O1 - होस्ट: 216.177.73.139 auto.search.msn.com
O1 - यजमान: 216.177.73.139 search.netscape.com
O1 - यजमान: 216.177.73.139 अर्थपूर्ण शोध
O1 - होस्ट फाईल C: \ Windows \ Help \ hosts येथे स्थित आहे

काय करायचं:
हे अपहरण पत्ता IP पत्ता डावीकडून उजवीकडे पुनर्निर्देशित करेल. जर आयपी पत्त्याशी संबंधित नसेल तर प्रत्येक पत्त्यावर आपण पत्ता प्रविष्ट केल्यावर आपल्याला चुकीच्या साइटवर पुनर्निर्देशित केले जाईल. आपण नेहमी अपहरण हे याचे निराकरण करू शकता, जोपर्यंत आपण आपल्या होस्ट फाइलमध्ये त्या ओळींना जाणूनबुजून ठेवले नसेल.

कूल वेबशैप संसर्ग असलेल्या Windows 2000 / XP वर शेवटचा आयटम कधी कधी आढळतो. हा आयटम नेहमी निश्चित करा किंवा CWShredder स्वयंचलितपणे त्याची दुरुस्ती करा.

O2 - ब्राउझर मदतनीस ऑब्जेक्ट

हे कशासारखे दिसते:
O2 - बीएचओ: याहू! जोडीदार बीएचओ - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ प्रोग्राम फायली \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (नाव नाही) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ प्रोग्राम फाइल \ POPUP एलिमिनेटर \ AUTODISPLAY401.DLL (फाइल गहाळ)
O2 - बीएचओ: मीडियालोड्स वर्धित - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - सी: \ प्रोग्राम फाइल \ मॉडेलओडस सुधारीत \ ME1.DLL

काय करायचं:
जर आपण थेटपणे एक ब्राउझर मदतनीस ऑब्जेक्टचे नाव ओळखले नाही तर तो टोनीकेच्या BHO आणि Toolbar सूचीचा वापर क्लास आयडी (सीएलएसआयडी, कर्ली ब्रॅकेट दरम्यानची संख्या) द्वारे आणि तो चांगला किंवा वाईट आहे का ते पहाण्यासाठी करा. बीएचओ सूचीमध्ये 'एक्स' म्हणजे स्पायवेअर आणि 'एल' म्हणजे सुरक्षित.

O3 - IE साधनपट्टी

हे कशासारखे दिसते:
O3 - टूलबार: & याहू! जोडीदार - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ प्रोग्राम फायली \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - टूलबार: पॉपअप एलिमिनेटर - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ प्रोग्राम फाइल POPUP Eliminerator \ PETOOLBAR401.DLL (फाईल गहाळ)
O3 - टूलबार: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS APPLICATION डेटा \ CKSTPRLLNQUL.DLL

काय करायचं:
आपण थेट एका टूलबारचे नाव ओळखत नसल्यास, टोनीकेच्या BHO आणि Toolbar सूचीचा वापर क्लास आयडी (सीएलएसआयडी, कर्ली ब्रॅकेट दरम्यानची संख्या) द्वारे आणि तो चांगला किंवा वाईट आहे का ते पहाण्यासाठी करा. टूलबार सूचीमध्ये 'एक्स' म्हणजे स्पायवेअर आणि 'एल' म्हणजे सुरक्षित. जर त्या सूचीवर नाही आणि नावात वर्णांची एक यादृच्छिक स्ट्रिंग आढळत असेल आणि फाइल 'अनुप्रयोग डेटा' फोल्डरमध्ये असेल (जसे वरील उदाहरणात शेवटचे एक), हे कदाचित Lop.com आहे आणि आपण निश्चितपणे अपहरण हे निश्चित असावे ते

O4 - रेजिस्ट्रेशन किंवा स्टार्टअप समूहातील ऑटोलोडिंग प्रोग्राम

हे कशासारखे दिसते:
O4 - HKLM \ .. चालवा: [स्कॅनरग्रास्टी] सी: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. चालवा: [सिस्टमट्रे] SysTray.Exe
O4 - HKLM \. \ चालवा: [ccApp] "सी: \ कार्यक्रम फायली सामान्य फायली \ सिमॅन्टेक \ सामायिक \ ccApp.exe"
O4 - स्टार्टअप: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - जागतिक स्टार्टअप: winlogon.exe

काय करायचं:
नोंद शोधण्यासाठी PacMan च्या प्रारंभ सूचीचा वापर करा आणि ते चांगले किंवा वाईट आहे का ते पहा.

आयटम स्टार्टअप ग्रुपमध्ये बसलेला एखादा प्रोग्राम दर्शवतो (वरील शेवटच्या आयटमप्रमाणे), जर हा प्रोग्राम मेमरीमध्ये असेल तर अपहरणकर्त्याने आयटम निश्चित करणे शक्य नाही. फिक्सिंगपूर्वी प्रक्रिया बंद करण्यासाठी विंडोज टास्क मॅनेजर (TASKMGR.EXE) वापरा.

O5 - IE पर्याय नियंत्रण पॅनेल मध्ये दृश्यमान नाहीत

हे कशासारखे दिसते:
O5 - control.ini: inetcpl.cpl = no

काय करायचं:
जोपर्यंत आपण किंवा आपल्या सिस्टीम प्रशासकाकडून नियंत्रण पॅनेलमधून जाणूनबुजून लपलेले नाही तोपर्यंत, अपहरणकर्त्याने हे निश्चित केले आहे.

O6 - प्रशासक द्वारे प्रतिबंधित IE पर्याय प्रवेश

हे कशासारखे दिसते:
O6 - HKCU सॉफ्टवेअर धोरणे मायक्रोसॉफ्ट इंटरनेट एक्सप्लोरर निर्बंध सादर

काय करायचं:
आपण Spybot एस & डी पर्याय 'बदल पासून लॉक मुख्यपृष्ठ' सक्रिय असल्याशिवाय, किंवा आपल्या सिस्टम प्रशासक ठिकाणी ठेवले, HijackThis आहे हे निश्चित.

O7 - प्रशासक द्वारे प्रतिबंधित प्रवेश रीगॅडेट

हे कशासारखे दिसते:
O7 - HKCU सॉफ्टवेअर मायक्रोसॉफ्ट विंडोज CurrentVersion धोरणे प्रणाली, DisableRegedit = 1

काय करायचं:
नेहमी अपहरण हे याचे निराकरण करा, जोपर्यंत आपल्या सिस्टम प्रशासकाने हे निर्बंध लावले नाही.

O8 - IE मधील अतिरिक्त आयटम उजवे क्लिक मेनू

हे कशासारखे दिसते:
O8 - अतिरिक्त संदर्भ मेनू आयटम: & Google शोध - res: // C: \ WINDOWS \ डाउनलोड केलेल्या प्रोग्राम फायली GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - अतिरिक्त संदर्भ मेनू आयटम: Yahoo! शोधा - फाइल: /// सी: \ प्रोग्राम फाईल \ याहू! \ कॉमन / वाईसीएसआरच एचटीएम
O8 - अतिरिक्त संदर्भ मेनू आयटम: झूम & इन - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - अतिरिक्त संदर्भ मेनू आयटम: झूम ओ आणि ut - C: \ WINDOWS \ WEB \ zoomout.htm

काय करायचं:
आपण IE मध्ये उजव्या-क्लिक मेनूमध्ये आयटमचे नाव ओळखत नसल्यास, HijackThis वर याचे निराकरण करा.

O9 - मुख्य IE टूलबारवरील अतिरिक्त बटणे, किंवा IE & # 39; Tools & # 39; मेनू

हे कशासारखे दिसते:
O9 - अतिरिक्त बटण: मेसेंजर (HKLM)
O9 - अतिरिक्त 'साधने' मेनू: मेसेंजर (HKLM)
O9 - अतिरिक्त बटण: AIM (HKLM)

काय करायचं:
आपण बटण किंवा मेनू आयटमचे नाव ओळखत नसल्यास, अपहरण केल्याने त्याचे निराकरण करा.

O10 - विनसॉक अपहरणकर्ते

हे कशासारखे दिसते:
O10 - New.Net द्वारे अपहरण केलेल्या इंटरनेट ऍक्सेस
O10 - एलएसपी प्रदाता 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll' असल्यामुळे तुटलेली इंटरनेट ऍक्सेस
O10 - Winsock LSP मध्ये अज्ञात फाइल: c: \ प्रोग्राम फाईल्स \ न्यूटन \ vmain.dll माहित आहे

काय करायचं:
Cexx.org, किंवा Kolla.de कडून Spybot S & डी पासून LSPFix वापरून त्यांचे निराकरण करणे चांगले.

लक्षात ठेवा की एलएसपी स्टॅकमध्ये 'अज्ञात' फाईल्स सुरक्षिततेच्या मुद्यांकरिता, हायजॅकद्वारे निश्चित नाहीत.

O11 - IE & # 39; प्रगत पर्याय & # 39; खिडकी

हे कशासारखे दिसते:
O11 - पर्याय गट: [सामान्य नाव] सामान्य नाव

काय करायचं:
आता फक्त म्हणून अपहरणकर्ता IE मध्ये त्याचे स्वत: चे विकल्प समूह जोडते. प्रगत पर्याय विंडो सामान्य नाव आहे. त्यामुळे आपण नेहमी अपहरण हे निश्चित करू शकता.

O12 - IE प्लगइन

हे कशासारखे दिसते:
O12 - .स्पॉपसाठी प्लगइन: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - पीडीएफ साठी प्लगइन: सी: \ प्रोग्राम फाइल्स इंटरनेट एक्सप्लोरर PLUGINS \ nppdf32.dll

काय करायचं:
बहुतेक वेळा हे सुरक्षित असतात. केवळ OnFlow येथे प्लगइन जोडते जे आपण इच्छित नाही (.ओबीबी).

O13 - IE DefaultPrefix अपहरण

हे कशासारखे दिसते:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW उपसर्ग: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. प्रत्यय: http://ehttp.cc/?

काय करायचं:
हे नेहमी वाईट असतात. अपहृत करा.

O14 - वेब सेटिंग्ज रीसेट करा & # 39; अपहरण

हे कशासारखे दिसते:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

काय करायचं:
जर URL आपल्या कॉम्प्यूटरचा प्रदाता किंवा आपल्या ISP नसेल तर, अपहरण केल्याने त्याचे निराकरण करा.

O15 - विश्वसनीय क्षेत्रातील अवांछित साइट

हे कशासारखे दिसते:
O15 - विश्वसनीय क्षेत्र: http://free.aol.com
O15 - विश्वसनीय क्षेत्र: * .coolwebsearch.com
O15 - विश्वसनीय क्षेत्र: * .msn.com

काय करायचं:
बहुतेक वेळा फक्त एओएल व कूलविबसेच शांतपणे विश्वसनीय क्षेत्रामध्ये साइट्स जोडतात. आपण स्वत: ला विश्वसनीय क्षेत्रामध्ये सूचीबद्ध केलेले डोमेन न जोडल्यास, अपहरण करावे यासाठी त्याचे निराकरण करा.

O16 - ActiveX ऑब्जेक्ट्स (उर्फ डाउनलोडेड प्रोग्राम फाइल्स)

हे कशासारखे दिसते:
O16 - डीपीएफ: याहू! चॅट - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (शॉकवॉव्ह फ्लॅश ऑब्जेक्ट) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

काय करायचं:
आपण ऑब्जेक्टचे नाव, किंवा त्यास डाउनलोड केलेल्या URLला ओळखत नसल्यास, अपहरणकर्त्याने याचे निराकरण केले आहे. जर नाव किंवा URL मध्ये 'डायलर', 'कॅसिनो', 'फ्री_प्लगिन' असे शब्द असतील तर ते निश्चित करा. Javacool च्या SpywareBlaster मध्ये दुर्भावनापूर्ण ActiveX ऑब्जेक्ट्सचा एक मोठा डेटाबेस आहे ज्याचा उपयोग CLSIDs साठी शोधण्याकरिता केला जाऊ शकतो. (कार्य शोधा वापरण्यासाठी सूचीवर उजवे-क्लिक करा.)

O17 - Lop.com डोमेन अपहरण

हे कशासारखे दिसते:
O17 - HKLM प्रणाली \ CCS सेवा \ VxD \ MSTCP: डोमेन = aoldsl.net
O17 - HKLM प्रणाली \ CCS सेवा \ Tcpip \ Parameters: डोमेन = W21944.find-quick.com
O17 - HKLM सॉफ्टवेअर ... .. टेलिफोनी: डोमेन नाव = W21944.find-quick.com
O17 - HKLM प्रणाली \ CCS सेवा \ Tcpip \. {{D196AB38-4D1F-45C1-9108-46D367F19F7E}: डोमेन = W21944.find-quick.com
O17 - HKLM \ System \ CS1 सेवा \ Tcpip \ Parameters: SearchList = gla.ac.uk
O17 - HKLM प्रणाली \ CS1 सेवा \ VxD \ MSTCP: नावसर्व्हर = 69.57.146.14,69.57.147.175

काय करायचं:
जर डोमेन आपल्या आयएसपी किंवा कंपनीच्या नेटवर्कपासून नसेल तर अपहृत झाल्यास त्याचे निराकरण करा. तो 'शोध सूची' प्रविष्ट्यांसाठी देखील जातो. 'नेमसर्व्हर' ( DNS सर्व्हर्स ) प्रविष्ट्यांकरीता, Google IP किंवा IP साठी आणि ते चांगले किंवा वाईट असल्यास ते पाहणे सोपे असेल.

O18 - अतिरिक्त प्रोटोकॉल आणि प्रोटोकॉल अपहरणकर्ते

हे कशासारखे दिसते:
O18 - प्रोटोकॉल: संबंधित लिंक्स - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - प्रोटोकॉल: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - प्रोटोकॉल अपहरण: http - {669 93893-61B8-47DC-B10D-21E0C86DD9C8}

काय करायचं:
येथे फक्त काही अपहरणकर्त्यांना दर्शविले आहे. ज्ञात baddies 'सीएन' (कॉमनएनमे), 'एईबी' (Lop.com) आणि 'संबंधित लिंक्स' (हंटबार) आहेत, आपल्याकडे हायजॅक असणे आवश्यक आहे. इतर गोष्टी ज्या दर्शविल्या जातात त्यापैकी एक म्हणजे सुरक्षेची अद्याप पुष्टी केलेली नाही किंवा स्पायवेअरने अपहृत (म्हणजे सीएलएसआयडी बदलली आहे) नाही. शेवटच्या प्रकरणात, अपहरणकर्त्यांनी हे निश्चित केले आहे.

O19 - वापरकर्ता शैली पत्रक अपहरण

हे कशासारखे दिसते:
O19 - वापरकर्ता शैली पत्रक: c: \ WINDOWS \ Java \ my.css

काय करायचं:
एका ब्राउझरच्या मंदी आणि वारंवार पॉपअपच्या बाबतीत, हायेजॅकला लॉगमध्ये दर्शविल्यास हा आयटम निश्चित करा. तथापि, केवळ Coolwebsearch असे केल्याने, याचे निराकरण करण्यासाठी CWShredder वापरणे चांगले आहे.

O20 - AppInit_DLLs रजिस्ट्री मूल्य ऑटोरुन

हे कशासारखे दिसते:
O20 - AppInit_DLLs: msconfd.dll

काय करायचं:
HKEY_LOCAL_MACHINE \ Software \ मायक्रोसॉफ्ट \ विंडोज एनटी \ CurrentVersion \ Windows या रजिस्ट्रीची व्हॅल्यू मेमरीमध्ये डीएलएल लोड करतो जेव्हा युजर लॉग करतात, ज्यानंतर तो लॉगऑफ पर्यंत मेमरीमध्ये राहतो. खूप काही कायदेशीर प्रोग्रॅम वापरतात (नॉर्मन क्लीनस्व्हिच APITRAP.DLL वापरते), बहुतेकदा ते ट्रोजन्स किंवा ऍग्र्रेसिव्ह ब्राउझर अपहरणकर्त्यांद्वारे वापरले जाते.

या रेजिस्ट्री व्हॅल्यूपासून 'छुपा' डीएलएल लोड होण्यामध्ये (रीगॅडिटमधील 'बायोनि डेटा संपादित करा' वापरताना केवळ दृश्यमान) डीली नावात एक पाईप 'प्रिक्सिक्स' असेल. लॉगमध्ये ती दृश्यमानित करण्यासाठी.

O21 - ShellServiceObjectDelayLoad

हे कशासारखे दिसते:
O21 - SSODL - AUHOOK - {11566B38-955B-4549- 930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll

काय करायचं:
ही एक अप्रमाणित ऑटोरन पद्धत आहे, साधारणपणे काही विंडोज प्रणाली घटकांद्वारे वापरली जातात HKEY_LOCAL_MACHINE \ सॉफ्टवेअर \ मायक्रोसॉफ्ट विंडोज विंडोज CurrentVersion \ ShellServiceObjectDelayLoad वर सूचीबद्ध गोष्टी एक्सप्लोररद्वारे लोड होते जेव्हा विंडोज सुरु होते अपहरण हे बर्याच सामान्य SSODL आयटमच्या श्वेतसूचीचा वापर करते, म्हणून जेव्हा एखादे आयटम लॉगमध्ये प्रदर्शित केले जाते तेव्हा ती अज्ञात आणि शक्यतो दुर्भावनापूर्ण आहे. अत्यंत काळजीपूर्वक उपचार करा

O22- सामायिकटस्क शेड्यूलर

हे कशासारखे दिसते:
O22 - शेअर्ड टास्क शेड्यूलर: (नाव नाही) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll

काय करायचं:
हा फक्त विंडोज एनटी / 2000 / XP साठीचा एक अपॉइंटमेंट ऑटोरन आहे, जो फार क्वचितच वापरला जातो. आतापर्यंत फक्त CWS.Smartfinder हे वापरते. काळजीपूर्वक वागवा

O23 - एनटी सेवा

हे कशासारखे दिसते:
O23 - सेवा: केरीओ पर्सनल फायरवॉल (पर्सफूव्ह) - केरीओ टेक्नॉलॉजीज - सी: \ प्रोग्राम फाईल्स Kerio \ वैयक्तिक फायरवॉल \ persfw.exe

काय करायचं:
ही Microsoft नसलेल्या सेवांची सूची आहे सूची आपण Windows XP च्या Msconfig युटिलिटीमध्ये पहात असलेल्या सारखेच असली पाहिजे. अनेक ट्रोजन अपहरणकर्ते स्वत: पुनर्स्थापित करण्यासाठी इतर स्टार्टअपच्या अनुषंगाने होममेड सेवा वापरतात. पूर्ण नाव सहसा 'नेटवर्क सिक्युरिटी सर्व्हिस', 'वर्कस्टेशन लॉगऑन सर्व्हिस' किंवा 'रिमोट प्रोसीजर कॉल हेल्पर' सारखे महत्वाचे आहे, परंतु अंतर्गत नाव (ब्रॅकेट्समध्ये) कचराची एक स्ट्रिंग आहे, जसे 'ओर'. फाईलच्या गुणधर्मांप्रमाणे फाईलच्या शेवटी रेखाचा दुसरा भाग असतो.

लक्षात ठेवा की O23 आयटम निश्चित केल्याने सेवा थांबेल आणि ती अक्षम केली जाईल. ही सेवा रेजिस्ट्री मॅन्युअली किंवा दुसर्या साधनासह काढून टाकली जाण्याची आवश्यकता आहे. अपहरणाचा हा 1.99.1 किंवा उच्चतम, विविध उपकरण विभागात 'एनटी सेवा काढून टाका' या बटणाचा वापर केला जाऊ शकतो.