Sekcja oznaczona O2 odpowiada za BHO (Browser Helper Object) - różnego rodzaju dodatki rozszerzające funkcje, zmieniające konfigurację, bądź wygląd przeglądarki internetowej, o których więcej znaleźć można np. tutaj: BHO - Browser Helper Objects - HijackThis - strona startowa cd... Jak zwykle jednak bywa oprócz wykorzystywania tej funkcji przez np.: Google Toolbar, bądz Adobe
Acrobat Reader, zainteresowali się nią także twórcy spyware czy adware.
Jeśli chodzi o usuwanie wpisów O2 z log'a, to tutaj należy samemu zadecydować, czy dany wpis odnosi się do porządanego przez nas elementu, czy też został dodany drogą infekcji. Wpisy te wyglądają przykładowo tak:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Identyfikację ich przeprowadzić trzeba nie na podstawie samej nazwy, która dla pierwszego z przykładowych wpisów, to: Yahoo! Companion BHO , a po {CLSID} - class ID, który dla przykładu nr 1 to: {13F537F0-AF09-11d6-9029-0002B31F9E59} , jednak zdarza się, że zarówno nazwa, jak i CLSID tworzone są losowo. W takiej sytuacji przy rozpoznawaniu pomocne okazują się strony z wyszczególnionymi dobrymi i złymi BHO - przykładem takiej jest lista na CastleCops (tutaj wpisy oznaczone X uznane są za pochodzące z infekcji, a L to wpisy prawidłowe), czy też na Sysinfo.
UWAGA: HT usuwając wpisy BHO bezpośrednio ze swojej listy po skanie, pozbywa się także (najczęściej) powiązanych z nimi bibliotek - dla pierwszego z przykładowych wpisów jest to plik YCOMP5_0_2_4.DLL . Tutaj znów nie jest to reguła 100%, dlatego lepiej stosować się do sposobu przedstawionego niżej, ewentualnie zrestartować komputer w Trybie awaryjnym i daną bibliotekę wyrzucić stamtąd.
Jeśli widzimy podejrzany wpis z przedrostkiem O2, należy się go pozbyć - tu zacytuję Sebart'a:
"Kasacja wrednych BHO
1. Wchodzisz w Panel Sterowania -> Dodaj/Usuń Programy
Odinstalowujesz wszystko czego nie znasz, wszystko co Ci podpada choćby taki New.Net zero skrupułów dla podejrzanego syfu. ;)
2. Zaczynamy od wyrejestrowania dll'a wykrytego w HijackThis
Start -> Uruchom tu wpisujemy:
W zależności jaką masz lokalizację pliku no i każdy wpisuje taką nazwę dll jaką wykrył ;)
Win 95/98/Me: %windir%\system\regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\system\wredny.dll
Win 95/98/Me: %windir%\system\regsvr32 /u %windir%\wredny.dll
Win NT/2000/XP: regsvr32 /u "C:\Program Files\xxx\wredny.dll"
Win NT/2000/XP: regsvr32 /u %windir%\system32\wredny.dll
Win NT/2000/XP: regsvr32 /u %windir%\wredny.dll
Powinno ukazać się info, że wredny.dll został pomyślnie wyrejestrowany.
Wersja ENG -> "DllUnregisterServer in C:\Program Files\xxx\wredny.dll succeeded"
3. Zaznaczamy w HijackThis to wykryte wredne BHO, które przed chwilą wyrejestrowaliśmy i dajemy klik na "Fix Checked"" - uzupełnić należy, że przy wyrzucaniu z Rejestru bibliotek, wpis %windir% oznacza katalog systemowy (nie trzeba więc pisać pełnej ścieżki do niego).
"4. Poprawiamy czyszcząc rejestr, tak dla pewności ;)
Start -> Uruchom -> regedit
Wciskamy Ctrl+F tu w Wyszukaj wpisujemy ten długi numer {CLSID} ten w nawiasach skręconych %)
O2 - BHO: (no name) - {1675AA03-A4B6-B52E-621F-A324E2D9D861} - C:/WINDOWS/adddn.dll
Czyli Ctrl+F wpisujemy wykryty numer tu akurat było by to 1675AA03-A4B6-B52E-621F-A324E2D9D861 i szukamy... co znajdzie to kasujemy, teraz klikamy F3 aby szukać dalej... tak przeszukujemy cały rejestr.
5. Restartujemy kompa i kasujemy wredny plik przykładowo C:/WINDOWS/adddn.dll czy też cały folder C:/Program Files/ClearSearch/ zależy co tam było u Ciebie ;)
6. Gdyby jeszcze były problemy z usunięciem, choć nie powinny :) to kasujemy dziada przy pomocy CopyLock." - BHO - Browser Helper Objects - HijackThis - strona startowa cd...
Subskrybuj:
Komentarze do posta (Atom)
Brak komentarzy:
Prześlij komentarz