HijackThis日志细解正文（二十四）

减小字体

增大字体作者：风未起时来源：中国站长学院发布时间：2008-10-20 19:32:30

1. 项目说明

O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。

相关注册表键为

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

键值为AppInit_DLLs

此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。

2. 举例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建议

仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防木马或者其它恶意程序。

4. 疑难解析

有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。

文章评论评论内容只代表网友观点，与本站立场无关！