当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > HijackThis日志细解正文(二十四):组别—O20

杀毒防毒
如何清除能突破主动防御的新型木马
用卡巴斯基(AVP)检测内存驻留型病毒
针对ARP病毒攻击防治的进阶经验谈
Vista防火墙导致网络无法访问解决方法
卡巴斯基误杀XP?IT网站电脑大面积瘫痪
计算机中毒后的处理方法
ARP病毒造成断网的解决方法
局域网防ARP欺骗限速--金山ARP防火墙
解读防火墙日志记录 防范网络攻击
安全漏洞的起因:ActiveX技术安全报告
最新AUTO木马病毒变种分析及解决方案
遭遇wuauclt.exe病毒的应对方法
Auto木马致毒霸2007无法启动
春节前后最易爆发的三类病毒
防火墙的分类及优缺点综述
简单易用新方法清除顽固病毒
卡巴斯基杀毒软件的十九种实用使用方法
查杀木马病的几个安全工具
新春推荐:十大免费安全工具
清除正在运行的EXE、DLL病毒

杀毒防毒 中的 HijackThis日志细解正文(二十四):组别—O20


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

1. 项目说明
O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值为AppInit_DLLs
此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。
2. 举例
O20 - AppInit_DLLs: msconfd.dll
3. 一般建议
仅有极少的合法软件使用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大多数时候,当HijackThis报告此项时,您就需要提防木马或者其它恶意程序。
4. 疑难解析
有时,HijackThis不报告这一项,但如果您在注册表编辑器中使用“修改二进位数据”功能,则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉