|
组别——O23 1. 项目说明 O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务) 2. 举例 O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe 3. 一般建议 很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache,MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如"NOD32 Kernel Service"很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是病毒了. 4. 疑难解析 只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略. cyberarmy 2005-03-30 02:20 1.99.1版新加入的O20 此回复内容原创 O20除了能检测AppInit_DLLs之外,在1.99.1版还新加入了WINLOGON NOTIFY注册表键值的检测。 1. 项目说明: 此注册表键能在系统引导时将DLL文件加载到内存中,并且让该DLL加载于内存中直到关机。除了WINDOWS系统自身的几个组件外,一些如VX2,ABETTERINTERNET和LOOK2ME等恶意程序也会使用此键值。 2. 举例:O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此为STARDOCK公司出品的WINDOWBLINDS系统主题替换软件的正常加载DLL 3. 一般建议:已知如VX2,ABETTERINTERNET和LOOK2ME等恶意程序会修改此注册表值调用自身的DLL,一般用户如果见到不熟悉的DLL,请小心处理。已知WINDOWBLINDS和新版的INTEL板载显卡驱动会调用此键值(文件为IGFXSRVC.DLL),INTEL无线网卡程序 |
相关教程