Giải thích dữ liệu nhật ký để giúp loại bỏ phần mềm gián điệp và trình duyệt Hijackers
HijackThis là công cụ miễn phí của Trend Micro. Ban đầu nó được phát triển bởi Merijn Bellekom, một sinh viên ở Hà Lan. Phần mềm loại bỏ phần mềm gián điệp như Adaware hoặc Spybot S & D thực hiện tốt việc phát hiện và loại bỏ hầu hết các chương trình phần mềm gián điệp, nhưng một số phần mềm gián điệp và trình duyệt không tặc quá ngớ ngẩn ngay cả những tiện ích chống phần mềm gián điệp tuyệt vời này.
HijackThis được viết đặc biệt để phát hiện và xóa các phần mềm tấn công của trình duyệt hoặc phần mềm chiếm đoạt trình duyệt web của bạn, làm thay đổi trang chủ mặc định và công cụ tìm kiếm của bạn và những thứ độc hại khác. Không giống như phần mềm chống phần mềm gián điệp điển hình, HijackThis không sử dụng chữ ký hoặc nhắm mục tiêu bất kỳ chương trình hoặc URL cụ thể nào để phát hiện và chặn. Thay vào đó, HijackThis tìm kiếm các thủ thuật và phương pháp được phần mềm độc hại sử dụng để lây nhiễm cho hệ thống của bạn và chuyển hướng trình duyệt của bạn.
Không phải mọi thứ hiển thị trong nhật ký HijackThis đều là nội dung xấu và không được xóa tất cả. Trong thực tế, hoàn toàn ngược lại. Nó gần như được đảm bảo rằng một số mục trong nhật ký HijackThis của bạn sẽ là phần mềm hợp pháp và xóa những mục đó có thể ảnh hưởng xấu đến hệ thống của bạn hoặc làm cho nó hoàn toàn không thể hoạt động. Sử dụng HijackThis rất giống với việc chỉnh sửa Windows Registry . Nó không phải là khoa học tên lửa, nhưng bạn chắc chắn không nên làm điều đó mà không có một số hướng dẫn chuyên môn, trừ khi bạn thực sự biết những gì bạn đang làm.
Khi bạn cài đặt HijackThis và chạy nó để tạo tệp nhật ký, có rất nhiều diễn đàn và trang web nơi bạn có thể đăng hoặc tải lên dữ liệu nhật ký của mình. Các chuyên gia, những người biết những gì để tìm kiếm sau đó có thể giúp bạn phân tích dữ liệu nhật ký và tư vấn cho bạn về những mục cần xóa và những mục cần loại bỏ một mình.
Để tải xuống phiên bản HijackThis hiện tại, bạn có thể truy cập trang web chính thức tại Trend Micro.
Dưới đây là tổng quan về các mục nhập nhật ký HijackThis mà bạn có thể sử dụng để chuyển đến thông tin bạn đang tìm kiếm:
- R0, R1, R2, R3 - URL trang bắt đầu / tìm kiếm trên Internet Explorer
- F0, F1 - Chương trình tự động tải
- URL trang N1, N2, N3, N4 - Netscape / Mozilla Bắt đầu / Tìm kiếm trang
- O1 - Chuyển hướng tệp của máy chủ
- O2 - Đối tượng trình trợ giúp trình duyệt
- O3 - Thanh công cụ của Internet Explorer
- O4 - Tự động tải chương trình từ Registry
- O5 - Biểu tượng Tùy chọn IE không hiển thị trong Bảng điều khiển
- O6 - Quyền truy cập tùy chọn IE bị hạn chế bởi Quản trị viên
- O7 - Truy cập Regedit bị hạn chế bởi Quản trị viên
- O8 - Các mục bổ sung trong trình đơn nhấp chuột phải của IE
- O9 - Các nút phụ trên thanh công cụ nút chính của IE hoặc các mục bổ sung trong menu 'Công cụ' của IE
- O10 - Winsock hijacker
- O11 - Nhóm phụ trong cửa sổ Tùy chọn nâng cao của IE
- O12 - Trình cắm IE
- O13 - IE DefaultPrefix hijack
- O14 - 'Đặt lại cài đặt web'
- O15 - Trang web không mong muốn trong Vùng tin cậy
- O16 - Đối tượng ActiveX (còn gọi là Tệp chương trình đã tải xuống)
- O17 - Kẻ xâm nhập miền Lop.com
- O18 - Giao thức bổ sung và kẻ tấn công giao thức
- O19 - hijack bảng kiểu người dùng
- O20 - AppInit_DLLs Tự động điền giá trị đăng ký
- Tự động khóa O21 - ShellServiceObjectDelayLoad Registry autorun
- O22 - Tự động khóa khóa SharedTaskScheduler
- O23 - Dịch vụ Windows NT
R0, R1, R2, R3 - Trang Bắt đầu và Tìm kiếm của IE
Nó trông như thế nào:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Chính, Trang Bắt đầu = http://www.google.com.vn/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Chính, Default_Page_URL = http://www.google.com/
R2 - (loại này chưa được HijackThis sử dụng)
R3 - Thiếu URLSearchHook mặc định
Phải làm gì:
Nếu bạn nhận ra URL ở cuối trang làm trang chủ hoặc công cụ tìm kiếm, thì không sao. Nếu không, hãy kiểm tra và có HijackThis sửa chữa nó. Đối với các mục R3, hãy luôn sửa chúng trừ khi nó đề cập đến một chương trình mà bạn nhận ra, như Copernic.
F0, F1, F2, F3 - Tự động tải chương trình từ các tệp INI
Nó trông như thế nào:
F0 - system.ini: Shell = Explorer.exe Openme.exe
F1 - win.ini: run = hpfsched
Phải làm gì:
Các mặt hàng F0 luôn xấu, vì vậy hãy sửa chúng. Các mặt hàng F1 thường là các chương trình rất cũ được an toàn, vì vậy bạn nên tìm thêm một số thông tin về tên tệp để xem nó có tốt hay xấu. Danh sách Khởi động của Pacman có thể giúp xác định một mục.
N1, N2, N3, N4 - Netscape / Mozilla Bắt đầu & amp; Trang tìm kiếm
Nó trông như thế nào:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: \ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: \ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
Phải làm gì:
Thông thường, trang chủ và trang tìm kiếm của Netscape và Mozilla an toàn. Họ hiếm khi bị tấn công, chỉ có Lop.com được biết là đã làm điều này. Nếu bạn thấy một URL mà bạn không nhận ra là trang chủ hoặc trang tìm kiếm của mình, hãy HijackThis khắc phục nó.
O1 - Chuyển hướng Hostsfile
Nó trông như thế nào:
O1 - Máy chủ lưu trữ: 216.177.73.139 auto.search.msn.com
O1 - Máy chủ: 216.177.73.139 search.netscape.com
O1 - Máy chủ lưu trữ: 216.177.73.139 ieautosearch
O1 - Tệp máy chủ được đặt tại C: \ Windows \ Help \ hosts
Phải làm gì:
Tội xâm nhập này sẽ chuyển hướng địa chỉ sang bên phải đến địa chỉ IP ở bên trái. Nếu IP không thuộc về địa chỉ, bạn sẽ được chuyển hướng đến một trang web sai mỗi khi bạn nhập địa chỉ. Bạn luôn có thể có HijackThis sửa các lỗi này, trừ khi bạn cố tình đặt những dòng đó trong tệp Máy chủ lưu trữ của mình.
Mục cuối cùng đôi khi xảy ra trên Windows 2000 / XP với nhiễm trùng Coolwebsearch. Luôn luôn sửa chữa mục này, hoặc có CWShredder sửa chữa nó tự động.
O2 - Đối tượng trình trợ giúp trình duyệt
Nó trông như thế nào:
O2 - BHO: Yahoo! BHO đồng hành - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: \ FILOGRAM FILOG \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO: (không có tên) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: \ FILOG FILOG \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL (tệp bị thiếu)
O2 - BHO: Tăng cường MediaLoads - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: \ FILOG FILOG \ MEDIALOADS ENHANCED \ ME1.DLL
Phải làm gì:
Nếu bạn không trực tiếp nhận ra tên đối tượng của Trình trợ giúp trình duyệt, hãy sử dụng BHO & Danh sách thanh công cụ của TonyK để tìm ID đó bằng ID lớp (CLSID, số giữa dấu ngoặc nhọn) và xem nó tốt hay xấu. Trong danh sách BHO, 'X' có nghĩa là phần mềm gián điệp và 'L' có nghĩa là an toàn.
O3 - thanh công cụ IE
Nó trông như thế nào:
O3 - Thanh công cụ: & Yahoo! Đồng hành - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: \ FILOGRAM FILES \ YAHOO! \ COMPANION \ YCOMP5_0_2_4.DLL
O3 - Thanh công cụ: Trình dọn dẹp Popup - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: \ FILOG FILOG \ POPUP ELIMINATOR \ PETOOLBAR401.DLL (tệp bị thiếu)
O3 - Thanh công cụ: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: \ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
Phải làm gì:
Nếu bạn không trực tiếp nhận ra tên của thanh công cụ, hãy sử dụng BHO & Danh sách Thanh công cụ của TonyK để tìm nó bằng ID lớp (CLSID, số giữa dấu ngoặc nhọn) và xem nó có tốt hay xấu. Trong Danh sách Thanh công cụ, 'X' có nghĩa là phần mềm gián điệp và 'L' có nghĩa là an toàn. Nếu nó không có trong danh sách và tên có vẻ là một chuỗi ký tự ngẫu nhiên và tệp nằm trong thư mục 'Dữ liệu ứng dụng' (như ví dụ cuối cùng trong ví dụ ở trên), có thể là Lop.com và bạn chắc chắn sẽ có bản sửa lỗi HijackThis nó.
O4 - Tự động tải các chương trình từ Registry hoặc nhóm Startup
Nó trông như thế nào:
O4 - HKLM \ .. \ Chạy: [ScanRegistry] C: \ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Chạy: [SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Chạy: [ccApp] "C: \ Program Files \ Tệp phổ biến \ Symantec Shared \ ccApp.exe"
O4 - Khởi động: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - Khởi động toàn cầu: winlogon.exe
Phải làm gì:
Sử dụng Danh sách Khởi động của PacMan để tìm mục nhập và xem nó có tốt hay xấu.
Nếu mục này hiển thị một chương trình nằm trong nhóm Khởi động (như mục cuối cùng ở trên), HijackThis không thể sửa mục nếu chương trình này vẫn còn trong bộ nhớ. Sử dụng Trình quản lý tác vụ Windows (TASKMGR.EXE) để đóng quá trình trước khi sửa.
O5 - Tùy chọn IE không hiển thị trong Bảng điều khiển
Nó trông như thế nào:
O5 - control.ini: inetcpl.cpl = no
Phải làm gì:
Trừ khi bạn hoặc quản trị viên hệ thống của bạn đã cố ý ẩn biểu tượng khỏi Bảng điều khiển, hãy để HijackThis khắc phục sự cố đó.
O6 - Quyền truy cập tùy chọn IE bị hạn chế bởi Quản trị viên
Nó trông như thế nào:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \ Hạn chế hiện tại
Phải làm gì:
Trừ khi bạn có tùy chọn Spybot S & D 'Khóa trang chủ từ những thay đổi' đang hoạt động, hoặc người quản trị hệ thống của bạn đặt nó vào vị trí, hãy HijackThis sửa lỗi này.
O7 - Truy cập Regedit bị hạn chế bởi Quản trị viên
Nó trông như thế nào:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Hệ thống, DisableRegedit = 1
Phải làm gì:
Luôn luôn có HijackThis sửa lỗi này, trừ khi quản trị viên hệ thống của bạn đã đặt hạn chế này vào vị trí.
O8 - Các mục bổ sung trong trình đơn nhấp chuột phải của IE
Nó trông như thế nào:
O8 - Mục trình đơn ngữ cảnh bổ sung: & Tìm kiếm của Google - res: // C: \ WINDOWS \ FILOGOGED được tải xuống \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - Mục menu ngữ cảnh bổ sung: Yahoo! Tìm kiếm - file: /// C: \ Program Files \ Yahoo! \ Common / ycsrch.htm
O8 - Mục menu ngữ cảnh bổ sung: Thu phóng & In - C: \ WINDOWS \ WEB \ zoomin.htm
O8 - Mục menu ngữ cảnh bổ sung: Thu phóng O & ut - C: \ WINDOWS \ WEB \ zoomout.htm
Phải làm gì:
Nếu bạn không nhận ra tên của mục trong menu chuột phải trong IE, hãy HijackThis sửa chữa nó.
O9 - Các nút bổ sung trên thanh công cụ chính của IE hoặc các mục bổ sung trong IE & # 39; Công cụ & # 39; thực đơn
Nó trông như thế nào:
O9 - Nút thêm: Messenger (HKLM)
O9 - Công cụ bổ sung 'Công cụ': Messenger (HKLM)
O9 - Nút bổ sung: AIM (HKLM)
Phải làm gì:
Nếu bạn không nhận ra tên của nút hoặc mục menu, hãy HijackThis khắc phục.
O10 - Winsock hijackers
Nó trông như thế nào:
O10 - Truy cập Internet bị tấn công bởi New.Net
O10 - Truy cập Internet bị hỏng do thiếu nhà cung cấp LSP 'c: \ progra ~ 1 \ common ~ 2 \ toolbar \ cnmib.dll'
O10 - Không rõ tệp trong Winsock LSP: c: \ program files \ newton biết \ vmain.dll
Phải làm gì:
Cách tốt nhất là sửa lỗi này bằng LSPFix từ Cexx.org, hoặc Spybot S & D từ Kolla.de.
Lưu ý rằng các tệp 'không xác định' trong ngăn xếp LSP sẽ không được HijackThis khắc phục, vì các vấn đề an toàn.
O11 - Nhóm phụ trong IE & # 39; Tùy chọn nâng cao & # 39; cửa sổ
Nó trông như thế nào:
O11 - Nhóm tùy chọn: [CommonName] CommonName
Phải làm gì:
Kẻ tấn công duy nhất kể từ bây giờ thêm nhóm tùy chọn của riêng nó vào cửa sổ Tùy chọn nâng cao của IE là CommonName. Vì vậy, bạn luôn có thể có HijackThis sửa lỗi này.
O12 - Trình cắm IE
Nó trông như thế nào:
O12 - Plugin cho .spop: C: \ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - Plugin cho .PDF: C: \ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
Phải làm gì:
Hầu hết thời gian này đều an toàn. Chỉ OnFlow thêm một plugin ở đây mà bạn không muốn (.ofb).
O13 - IE DefaultPrefix hijack
Nó trông như thế nào:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - Tiền tố WWW: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Tiền tố: http://ehttp.cc/?
Phải làm gì:
Đây luôn luôn là xấu. Có HijackThis sửa chúng.
O14 - & # 39; Đặt lại cài đặt web & # 39; cướp bóc
Nó trông như thế nào:
O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com
Phải làm gì:
Nếu URL không phải là nhà cung cấp máy tính hoặc ISP của bạn, hãy để HijackThis khắc phục sự cố.
O15 - Các trang web không mong muốn trong Vùng tin cậy
Nó trông như thế nào:
O15 - Vùng tin cậy: http://free.aol.com
O15 - Vùng tin cậy: * .coolwebsearch.com
O15 - Vùng tin cậy: * .msn.com
Phải làm gì:
Hầu hết thời gian chỉ có AOL và Coolwebsearch âm thầm thêm các trang web vào Vùng tin cậy. Nếu bạn không tự thêm miền được liệt kê vào Vùng tin cậy, hãy để HijackThis khắc phục sự cố đó.
O16 - Đối tượng ActiveX (còn gọi là Tệp chương trình đã tải xuống)
Nó trông như thế nào:
O16 - DPF: Yahoo! Trò chuyện - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Đối tượng Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Phải làm gì:
Nếu bạn không nhận ra tên của đối tượng hoặc URL được tải xuống, hãy HijackThis khắc phục. Nếu tên hoặc URL chứa các từ như 'dialer', 'casino', 'free_plugin' vv, chắc chắn sẽ sửa nó. SpywareBlaster của Javacool có một cơ sở dữ liệu khổng lồ gồm các đối tượng ActiveX độc hại có thể được sử dụng để tra cứu CLSID. (Nhấp chuột phải vào danh sách để sử dụng chức năng Tìm).
O17 - Cuộc tấn công miền Lop.com
Nó trông như thế nào:
O17 - HKLM \ System \ CCS \ Dịch vụ \ VxD \ MSTCP: Tên miền = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Tham số: Tên miền = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Điện thoại: DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Tên miền = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Tham số: SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Dịch vụ \ VxD \ MSTCP: NameServer = 69.57.146.14,69.57.147.175
Phải làm gì:
Nếu miền không phải từ mạng ISP hoặc công ty của bạn, hãy HijackThis khắc phục sự cố. Cũng vậy với các mục 'SearchList'. Đối với các mục nhập 'NameServer' ( máy chủ DNS ), Google cho IP hoặc IP và sẽ dễ dàng để xem chúng có tốt hay xấu.
O18 - Giao thức bổ sung và kẻ tấn công giao thức
Nó trông như thế nào:
O18 - Giao thức: liên kết liên quan - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ MSIETS \ msielink.dll
O18 - Giao thức: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Giao thức cướp: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Phải làm gì:
Chỉ có một vài tên không tặc xuất hiện ở đây. Các baddies được biết đến là 'cn' (CommonName), 'ayb' (Lop.com) và 'relatedlinks' (Huntbar), bạn nên có HijackThis sửa chữa chúng. Những thứ khác xuất hiện hoặc chưa được xác nhận là an toàn, hoặc bị tấn công (tức là CLSID đã bị thay đổi) bởi phần mềm gián điệp. Trong trường hợp cuối cùng, có HijackThis sửa chữa nó.
O19 - hijack bảng kiểu người dùng
Nó trông như thế nào:
O19 - Bảng kiểu người dùng: c: \ WINDOWS \ Java \ my.css
Phải làm gì:
Trong trường hợp trình duyệt bị chậm lại và các cửa sổ bật lên thường xuyên, hãy HijackThis khắc phục mục này nếu nó xuất hiện trong nhật ký. Tuy nhiên, vì chỉ có Coolwebsearch thực hiện điều này, nên sử dụng CWShredder để khắc phục nó.
O20 - AppInit_DLLs Tự động điền giá trị đăng ký
Nó trông như thế nào:
O20 - AppInit_DLLs: msconfd.dll
Phải làm gì:
Giá trị đăng ký này nằm ở HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows tải một DLL vào bộ nhớ khi người dùng đăng nhập, sau đó nó nằm trong bộ nhớ cho đến khi đăng xuất. Rất ít chương trình hợp pháp sử dụng nó (Norton CleanSweep sử dụng APITRAP.DLL), thường xuyên nhất nó được sử dụng bởi trojans hoặc hijacker trình duyệt agressive.
Trong trường hợp tải DLL 'ẩn' từ giá trị sổ đăng ký này (chỉ hiển thị khi sử dụng tùy chọn 'Chỉnh sửa dữ liệu nhị phân' trong Regedit) tên dll có thể được đặt trước bằng một đường ống '|' để hiển thị trong nhật ký.
O21 - ShellServiceObjectDelayLoad
Nó trông như thế nào:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: \ WINDOWS \ System \ auhook.dll
Phải làm gì:
Đây là một phương pháp tự động chạy không có giấy tờ, thường được sử dụng bởi một vài thành phần hệ thống Windows. Các mục được liệt kê tại HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad được tải bởi Explorer khi Windows khởi động. HijackThis sử dụng danh sách trắng của một số mục SSODL rất phổ biến, vì vậy bất cứ khi nào một mục được hiển thị trong nhật ký, nó không xác định và có thể độc hại. Điều trị hết sức cẩn thận.
O22 - SharedTaskScheduler
Nó trông như thế nào:
O22 - SharedTaskScheduler: (không có tên) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: \ windows \ system32 \ mtwirl32.dll
Phải làm gì:
Đây là một autorun không có giấy tờ cho Windows NT / 2000 / XP chỉ, được sử dụng rất hiếm khi. Cho đến nay chỉ có CWS.Smartfinder sử dụng nó. Điều trị cẩn thận.
O23 - Dịch vụ NT
Nó trông như thế nào:
O23 - Dịch vụ: Tường lửa cá nhân Kerio (PersFw) - Công nghệ Kerio - C: \ Program Files \ Kerio \ Personal Firewall \ persfw.exe
Phải làm gì:
Đây là danh sách các dịch vụ không phải của Microsoft. Danh sách phải giống như danh sách bạn thấy trong tiện ích Msconfig của Windows XP. Một số hijacker trojan sử dụng một dịch vụ tự làm trong adittion để khởi động khác để cài đặt lại bản thân. Tên đầy đủ thường là âm thanh quan trọng, như 'Dịch vụ bảo mật mạng', 'Dịch vụ đăng nhập máy trạm' hoặc 'Trình trợ giúp cuộc gọi thủ tục từ xa', nhưng tên nội bộ (giữa các dấu ngoặc) là một chuỗi rác, như 'Ort'. Phần thứ hai của dòng là chủ sở hữu của tệp ở cuối, như được thấy trong các thuộc tính của tệp.
Lưu ý rằng việc sửa một mục O23 sẽ chỉ dừng dịch vụ và vô hiệu hóa nó. Dịch vụ cần phải được xóa khỏi Registry bằng tay hoặc bằng một công cụ khác. Trong HijackThis 1.99.1 hoặc cao hơn, nút 'Xóa NT Service' trong phần Công cụ Misc có thể được sử dụng cho việc này.