此刻网上病毒泛滥,尤其是木马满天飞。可是HijackThis软件能等闲的发明这些病毒和混混软件,出格是一些可以或许本身埋没,杀软无法杀死的木马(好比灰鸽子等)也无法逃过HijackThis,因此察看HijackThis扫描日志成了好手们杀毒前的首选步调。可是一般的人很丢脸懂日志,更不要说发明病毒项了,只能处处求救。下面这篇是有关如何解读HijackThis扫描日志的文章,想学会看日志的不妨来看看,从而本身学会阐嫡志。别的需申明一下的是这篇文章是我本身保藏的,本人只是做了整理,以便各人阅读,并不是我原创的,只能算转帖,呵呵,不多说空话了,这就开始正题。
有关本文的提示:
提示一:本文目标
本文的目标是辅佐您进一步解读HijackThis扫描日志。假如您只是想知道HijackThis的利用要领,下面列出的文章可以满意您的要求:
提示二:处理惩罚“欣赏器绑架”
常见的“欣赏器绑架”症状大概有以下一些:
*被重定向到恶意网页
*当输入错误的网址时被重定向
*输入字符时IE速度严重减慢
*重启动后IE主页/搜索页被变动
*不请自来的受信任站点
*保藏夹里自动重复添加恶意网站
*在利用Google和Yahoo搜索时呈现某些弹出窗口
*IE 选项卡中呈现不能变动或被埋没的项目
*不能打开 IE 选项卡
等等
假如您碰着了“欣赏器绑架”,请首先利用最新版杀毒软件在安详模式查杀病毒、木马,其次,提醒您一下,某些告白措施(尤其是一些没有被杀毒软件列入查杀名单的)会在节制面板的“添加删除”中留下卸载项目,在举办下一步之前您不妨找找看。再次,发起您不妨先实验一些现成的搪塞“欣赏器绑架”、特工软件、告白措施的免费东西。(有需要的话帖子最后有下载地点)好比——
1. Spybot-Search&Destroy
2. Ad-aware
3. CoolWebSearch Shredder (CWShredder.exe)
假如您碰着的那些恶意网页是英文的,这些软件经常能帮上您的忙。假如这些软件不起浸染,您再实验利用HijackThis扫描并修复。您也可以把HijackThis生成的log日志文件的内容发到论坛(请贴内容而不要直接抓图贴图),利便各人阐明。假如您对HijackThis扫描日志中某些项目不清楚,请不要贸然自行修复,不妨利用搜索引擎在互联网上查找一下。假如您抉择将HijackThis扫描日志发到论坛上寻求辅佐,请在宣布HijackThis扫描日志的同时说明您碰着的详细问题。别的,阐明HijackThis扫描日志需要必然的时间,所以请稍稍期待一下。
提示三:利用HijackThis前的步调
请必然将下载获得的HijackThis放到一个单独的文件夹中,假如下载获得的是压缩包,还要把它解压出来。但愿您不要在姑且目次中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为利用HijackThis作修复时,它会自动给修改的项目做备份,保存这些备份文件是个好习惯,一旦修复错了,可以操作这些备份文件恢复兴先的状态。姑且文件目次大概随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。
尚有,利用HijackThis举办修复前请封锁所有欣赏器窗口和文件夹窗口。
提示四:利用HijackThis修复时的步调
1. 有恶意历程正在运行的,请先终止其历程
(封锁所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的历程,然后按下“竣事任务”可能“竣事历程”,最后封锁该窗口。)
2. 利用HijackThis修复
3. 重启动到安详模式,显示埋没文件和系统文件,删除那些被修复项目相关的文件。(为保险起见,可以先压缩生存。)
4. 从头启动到正常模式,再次运行HijackThis查抄一下。
二、HijackThis日志细解正文
(一)HijackThis日志纵览
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载措施
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,欣赏器帮助模块)
O3 IE欣赏器的东西条
O4 自启动项
O5 节制面板中被屏蔽的IE选项
O6 IE选项被打点员禁用
O7 注册表编辑器(regedit)被打点员禁用
O8 IE的右键菜单中的新增项目
O9 特另外IE“东西”菜单项目及东西栏按钮
O10 Winsock LSP“欣赏器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB配置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目次下的那些ActiveX工具
O17 域“挟制”
O18 特另外协议和协议“挟制”
O19 用户样式表(stylesheet)“挟制”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项
023 非操纵系统默认的处事项目
(二)组别——R
1. 项目说明
R – 注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值(V),或称为键值,大概导致IE主页/搜索页的改变
R2 - 新建的注册表项(K),或称为键,大概导致IE主页/搜索页的改变
R3 - 在原来应该只有一个键值的处所新建的特别键值,大概导致IE搜索页的改变
R3主要呈此刻URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,欣赏器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常环境下,当我们在IE中输入错误的网址后,欣赏器会利用默认的搜索引擎(如、网络实名等)来查找匹配项目。假如HijackThis陈诉R3项,相关的“欣赏器绑架”现象大概是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。
2. 举例
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page=http://www.google.com/
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL=http://www.google.com/
(HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)
上面的例子中,默认主页被改变,指向了新的地点。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:/WINDOWS/DOWNLOADED PROGRAM FILES/BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:/WINDOWS/DOWNLO~1/CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是陈诉发明一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。
3. 一般发起
对付R0、R1,假如您认得后头的网址,知道它是安详的,甚至那就是您本身这样配置的,虽然不消去修复。不然的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。
对付R2项,据HijackThis的作者说,实际上此刻还没有用到。
对付R3,一般老是要选修复,除非它指向一个您认识的措施(好比百度搜索和3721网络实名)。
4. 疑难理会
(1) 偶然,在这一组的某些项目后头会呈现一个非凡的词——(obfuscated),譬喻下面几个
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R0 - HKLM/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINDOWS/System32/kihm.dll/sp.html (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/Main,SearchAssistant = %34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,SearchAssistant = %34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Search,(Default) = (obfuscated)
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = %00@ (obfuscated)
R0 - HKLM/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = %00@ (obfuscated)
R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = %00@ (obfuscated)
obfuscated,中文大意为“使杂乱,使糊涂疑惑,使过于杂乱或恍惚,使得难于感受或领略”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页举办修改的同时,还操作各类要领把本身变得不易领略,以躲避人们对注册表内容的查找辨识(好比直接在注册表特定位置添加十六进制字符键值,电脑认得它,一般人可就不认得了)。
(2) 有些R3项目{ }号后头,会跟上一个下划线( _ ),好比下面几个:
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
这些{ }后头多一个下划线的R3项目,实际上无法利用HijackThis修复(这是HijackThis自己的一个bug)。假如要修复这样的项目,需要打开注册表编辑器(开始——运行——输入 regedit——按“确定”),找到下面的键
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks
比拟HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目,但要留意不要误删以下一项
CFBFAE00-17A6-11D0-99CB-00C04FD64497
这一项是默认的。
请留意,假如是在{ }号前面有一个下划线,这些项目HijackThis可以正常排除。好比下面的:
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)
(3)最近见到不少后头没有内容的R3项。好比
R3 - URLSearchHook:
猜疑这是3721的项目,假如您安装了3721,则会呈现这样一个R3项。利用HijackThis无法修复这一项。是否利用3721抉择权在用户本身。
(三)组别——F
** 出格提醒:假如您在HijackThis的扫描日志中发明白F2项并举办了修复,一旦因为某些原因想要忏悔,请“不要”利用HijackThis的规复成果来打消对F2项目标修改(我指的是config菜单——Backups菜单——Restore成果),因为据陈诉HijackThis在规复对F2项的修改时,大概会错误地修改注册表中另一个键值。此bug已被反应给HijackThis的作者。
此bug涉及的注册表键值是
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon:UserInit
一旦对上面键值相关的F2项利用HijackThis修复后再利用HijackThis的规复成果规复对这一项的修改,大概会错误修改另一个键值
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon:Shell
所以,假如您在HijackThis的扫描日志中发明白雷同下面的F2项并举办了修复,一旦因为某些原因想要忏悔,请手动修改上面提到的UserInit键值(HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon:UserInit)
F2 - REG:-System.ini: UserInit=C:/WINDOWS/System32/Userinit.exe
F2 - REG:-System.ini: UserInit=C:/Windows/System32/wsaupdater.exe,
不外,说实话,在我的影象中我从没有处理惩罚过含有F2项的HijackThis扫描日志。
1. 项目说明
F - ini文件中的自动运行措施可能注册表中的等价项目
F0 - ini文件中改变的值,system.ini中启动的自动运行措施
F1 - ini文件中新建的值,win.ini中启动的自动运行措施
F2 - 注册表中system.ini文件映射区中启动的自动运行措施或注册表中UserInit项后头启动的其它措施
F3 - 注册表中win.ini文件映射区中启动的自动运行措施
F0和F1别离对应system.ini和win.ini文件中启动的自动运行措施。
F0对应在System.ini文件中“Shell=”这一项(没有引号)后头启动的特别措施。在Windows 9X中,System.ini内里这一项应该是
Shell=explorer.exe
这一项指明利用explorer.exe作为整个操纵系统的“壳”,来处理惩罚用户的操纵。这是默认的。假如在explorer.exe后头加上其它措施名,该措施在启动Windows时也会被执行,这是木马启动的方法之一(较量传统的启动方法之一)。好比
Shell=explorer.exe trojan.exe
这样就可以使得trojan.exe在启动Windows时也被自动执行。
F1对应在win.ini文件中“Run=”或“Load=”项(均没有引号)后头启动的措施。这些措施也会在启动Windows时自动执行。凡是,“Run=”用来启动一些老的措施以保持兼容性,而“Load=”用来加载某些硬件驱动。
F2和F3项别离对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中,凡是不利用上面提到的system.ini和win.ini文件,它们利用一种称作IniFileMapping(ini文件映射)的方法,把这些ini文件的内容完全放在注册内外。措施要求这些ini文件中的相关信息时,Windows会先到注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping这里查找需要的内容,而不是去找那些ini文件。F2/F3其实和F0/F1相雷同,只不外它们指向注册内外的ini映像。别的有一点差异的是,F2项中还陈诉下面键值处特别启动的措施
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
此处默认的键值是(留意后头有个逗号)
C:/WINDOWS/system32/userinit.exe,
(按照您的Windows版本和安装目次的差异,路径里的“C”和“windows”大概不尽沟通,总之这里默认指向%System%/userinit.exe
%System%指的是系统文件目次
对付NT、2000,该键值默认为X:/WINNT/system32/userinit.exe
对付XP,该键值默认为X:/WINDOWS/system32/userinit.exe
这里的X指的是Windows安装到的盘的盘符。此问题后头不再反复表明白。)
这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。假如在这里添加其它措施(在该键值中userinit.exe后的逗号后头可以添加其它措施),这些措施在用户登录后也会被执行。好比将其键值改为
C:/windows/system32/userinit.exe,c:/windows/trojan.exe
则c:/windows/trojan.exe这个措施也会在用户登录后自动执行。这也是木马等启动的方法之一。
总之,F项相关的文件包罗
c:/windows/system.ini
c:/windows/win.ini
(按照您的Windows版本和安装目次的差异,路径里的“C”和“windows”大概不尽沟通,总之这里指的是%windows%目次下的这两个ini文件
%Windows%目次指的是Windows安装目次
对付NT、2000,Windows安装目次为X:/WINNT/
对付XP,Windows安装目次为X:/WINDOWS/
这里的X指的是Windows安装到的盘的盘符。此问题后头不再反复表明白。)
F项相关的注册表项目包罗
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping
2. 举例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后头又启动了一个trojan.exe,这个trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中,在win.ini文件中,启动了hpfsched这个措施,需要阐明。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中,UserInit项(说明见上)中特别启动了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其实相当于第一个例子F0 - system.ini: Shell=Explorer.exe trojan.exe,在注册表中的system.ini文件“映像”中,特别启动了trojan.exe。
3. 一般发起
根基上,F0提示的Explorer.exe后头的措施老是有问题的,一般应该修复。
F1后头的需要慎重看待,一些老的措施简直要在这里加载。所以应该仔细看看加载的措施的名字,在电脑上查一下,网上搜一搜,详细问题详细阐明。
对付F2项,假如是关于“Shell=”的,相当于F0的环境,一般应该修复。假如是关于“UserInit=”的,除了下面的“疑难理会”中提到的几种环境另作阐明外,一般也发起修复。但要留意,一旦修复了关于“UserInit=”的F2项,请不要利用HijackThis的规复成果规复对这一项的修改,这一点上面着重提到了。虽然,您也可以操作“UserInit=”本身配置一些软件开机自启动,这是题外话了,相信假如是您本身配置的,您必然不会误删的。
4. 疑难理会
(1) F2 - REG:-System.ini: UserInit=C:/WINDOWS/System32/Userinit.exe
留意到这一项与默认环境的区别了吗?其实,这一项之所以被HijackThis陈诉出来,是因为丢失了键值最后的一个逗号。但这并不是真正的问题,可以不予剖析。
(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent,这一项呈此刻userinit后头也是正常的。
(3) F2 - REG:-System.ini: UserInit=C:/Windows/System32/wsaupdater.exe,
这一个较量出格,这是告白措施BlazeFind干的功德,这个告白措施修改注册表时不是把本身的wsaupdater.exe放在userinit的后头,而是直接用wsaupdater.exe替换了userinit.exe,使得注册表这一项
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
的键值从默认的
C:/WINDOWS/system32/userinit.exe,
变为
C:/Windows/System32/wsaupdater.exe,
假如您利用Ad-aware 6 Build 181排除该告白措施,重启动后大概会造成用户无法登录系统。这时需要利用光盘可能软盘启动,将userinit.exe复制一份,定名为wsaupdater.exe放在同一目次下,以使得系统可以或许正常登录,然后将上面所述的注册表中被告白措施修改的键值规复默认值,再删除wsaupdater.exe文件。
该问题存在于Ad-aware 6 Build 181,据我所知,HijackThis可以正常修复这一项。
(四)组别——N
1. 项目说明
N - Netscape、Mozilla欣赏器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中,欣赏器的默认起始主页和默认搜索页的改变
N2 - Netscape 6中,欣赏器的默认起始主页和默认搜索页的改变
N3 - Netscape 7中,欣赏器的默认起始主页和默认搜索页的改变
N4 - Mozilla中,欣赏器的默认起始主页和默认搜索页的改变
与这些改变相关的文件为prefs.js。
2. 举例
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:/Program Files/Netscape/Users/default/prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:/Documents and Settings/User/Application Data/Mozilla/Profiles/defaulto9t1tfl.slt/prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:/Documents and Settings/User/Application Data/Mozilla/Profiles/defaulto9t1tfl.slt/prefs.js)
3. 一般发起
一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是较量安详的,很少被修改。假如你在默认起始主页或默认搜索页看到了一个生疏的地点,可以修复它。
已知,Lop.com(Live Online Portal)这个网站会修改上述N类项。有乐趣者请参考此链接提供的具体信息
4. 疑难理会
(暂无)
(五)组别——O1(字母O,代表Other即“其它”类,以下各组同属O类)
1. 项目说明
O1代表在hosts文件中对某个网址与IP地点的映射。在欣赏器中输入网址时,欣赏器会先查抄hosts文件中是否存在该网址的映射,假如有,则直接毗连到相应IP地点,不再请求DNS域名理会。这个要领可以用来加速欣赏速度,也大概被木马等恶意措施用来打开某些网址、屏蔽某些网址。
这个hosts文件在系统中的凡是位置为
C:/WINDOWS/HOSTS (Windows 3.1、95、98、Me)
或
C:/WINNT/SYSTEM32/DRIVERS/ETC/HOSTS (Windows NT、2000)
或
C:/WINDOWS/SYSTEM32/DRIVERS/ETC/HOSTS (XP、2003)
留意,没有扩展名。
该文件的一般名目雷同
219.238.233.202
留意,IP地点在前,空格后为网址,下一个映射另起一行。(若有#,则#后的部门作为注释,不起浸染。)
上面的例子中,瑞星的主页和IP地点219.238.233.202在hosts文件中相互关联起来,一旦用户要会见,欣赏器按照hosts文件中的内容,会直接毗连219.238.233.202。在这个例子中,这个219.238.233.202实际上正是瑞星主页的IP地点,所以这样做加速了会见速度(省掉了DNS域名理会这一步),在好几年前,这是一个较量常用的加速欣赏的要领(当时上网用度高、小猫跑得又慢),此刻这个要领用得少了。并且,这个要领有个缺陷,那就是,一旦想要欣赏的网站的IP地点变换了,就不能正常欣赏该网站了,必需再次窜改hosts文件。这个hosts文件也可以被木马、恶意网站等操作,它们修改hosts文件,成立一些错误的映射。好比把著名的反病毒软件的网站定向到无关网站、恶意网站或爽性定向到127.0.0.1(127.0.0.1就是指您本身的电脑),那么您就打不开那些反病毒软件的网站,排除木马等恶意措施就越发坚苦,甚至连杀毒软件都不能正常进级。它们还可以把一些常被会见的网站(好比google等)指向其它一些网站的IP地点,增加后者的会见量。虽然,也可以直接用此要领重定向欣赏器的搜索页。
2. 举例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是差异环境下的默认搜索页)被指向了216.177.73.139这个IP地点。造成每次利用欣赏器的搜索成果,都被带到216.177.73.139这个处所。
下面是XP的原始Hosts文件的内容
# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
所有以#开始的行都是注释内容,不起浸染。最后一行指明当田主机(localhost)的IP地点为127.0.0.1(这是默认的)。
3. 一般发起
HijackThis陈诉O1项时,一般发起修复它,除非是您本身在Hosts文件中如此配置的。
4. 疑难理会
O1 - Hosts file is located at C:/Windows/Help/hosts
假如发明hosts文件呈此刻C:/Windows/Help/这样的文件夹中,那么很大概传染了CoolWebSearch(跟上面提到的Lop.com一样著名的恶意网站家属),应该利用HijackThis修复相关项。虽然,别忘了尚有CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)。
(六)组别——O2
1. 项目说明
O2项罗列现有的IE欣赏器的BHO模块。BHO,即Browser Helper Objects,指的是欣赏器的帮助模块(或称帮助工具),这是一些扩充欣赏器成果的小插件。这内里鱼龙稠浊,诺顿杀毒、goolge等都大概呈此刻这里,而这里也是一些特工软件常出没的处所。
2. 举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:/Program Files/Xi/Net Transport/NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:/PROGRAM FILES/FLASHGET/JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:/WINDOWS/DOWNLO~1/BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:/PROGRAM FILES/3721/ASSIST/ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:/Adobe/Acrobat 5.0/Reader/ActiveX/AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理惩罚PDF文件)的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:/program/google/googletoolbar1.dll
这是Google东西条的模块。
3. 一般发起
大概的O2项实在太多了,此处无法一一罗列。网上有一些很好的BHO列表,各人可以在内里查询相关的项目信息。
相关资料查询地点举例:
发起利用CLSID(就是“{ }”之间的数字 )来查找相关项。凡是,在以上网址的查询功效中,标志为L的是正当的模块,标志为X的是特工/告白模块,标志为O的为临时无结论的。
修复前请仔细阐明,看看是否定得这个对象的名字,看看它地址的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对付标志为X的恶意模块,一般发起修复。
4. 疑难理会
HijackThis修复O2项时,会删除相关文件。但对付某些O2项,固然选择了让HijackThis修复,下次扫描时却还在。呈现此环境时,请先确保利用HijackThis修复时已经封锁了所有欣赏器窗口和文件夹窗口。假如还不可,发起从头启动到安详模式直接删除该文件。有时,会碰着一个如下的项目(后头没内容)
O2 - BHO:
老是删不掉,猜疑这是3721的项目,假如您安装了3721,则会呈现这样一个O2项。利用HijackThis无法修复这一项。是否利用3721抉择权在用户本身。
(七)组别——O3
1. 项目说明
O3项罗列现有的IE欣赏器的东西条(ToolBar,简写为TB)。留意,这里列出的是东西条,一般是包括多个项目标那种。除了IE自带的一些东西条外,其它软件也会安装一些东西条,这些东西条凡是呈此刻IE本身的东西条和地点栏的下面。HijackThis在O3项中把它们列出来。其相存眷册表项目为
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Toolbar
2. 举例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/SYSTEM/MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX节制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:/PROGRAM FILES/FLASHGET/FGIEBAR.DLL
这是网际快车(FlashGet)的IE东西条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:/Program Files/KAV5/KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:/KAV2003/KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:/KAV2003/KIETOOL.DLL
上面三个是金山毒霸的IE东西条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:/PROGRA~1/KINGSOFT/FASTAIT/IEBAND.DLL
这个是金山快译的IE东西条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:/PROGRAM FILES/3721/ASSIST/ASSIST.DLL
3721上网助手的IE东西条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:/WINDOWS/Downloaded Program Files/googlenav.dll
这个是google的IE东西条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:/Program Files/Norton Antivirus/NavShExt.dll
这个是诺顿杀毒软件的东西条。
3. 一般发起
同O2,这个也必需仔细阐明,看看是否定得这个对象的名字,看看它在IE的东西栏是什么(有一些大概安装了但没有显示,在IE的东西栏点右键可以看到一些),看看它地址的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地点
发起利用CLSID(就是“{ }”之间的数字 )来查找相关项。凡是,在以上网址的查询功效中,标志为L的是正当的模块,标志为X的是特工/告白模块,标志为O的为临时无结论的。对付标志为X的,一般发起修复。
4. 疑难理会
假如在资料查询列表中找不到,其名称又好像是随机的,而路径则在“Application Data”下,一般是传染了著名的Lop.com,发起修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:/WINDOWS/APPLICATION DATA/CKSTPRLLNQUL.DLL
关于Lop.com的具体信息及手工修复要领,请参阅
(八)组别——O4
1. 项目说明
这里列出的就是泛泛各人提到的一般意义上的自启动措施。确切地说,这里列出的是注册表下面诸键启动的措施。
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
留意HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit这一项固然也可以启动措施,但已经在F2项陈诉过了。
别的,O4项还陈诉两种环境,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:/documents and settings/USERNAME/ 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:/documents and settings/All Users/ 下的内容
留意,其它存放在这两个文件夹的文件也会被陈诉。
我以为,其实,“启动”文件夹应该被陈诉,就是
Startup: 陈诉c:/documents and settings/USERNAME/start menu/programs/startup 下的内容
Global Startup: 陈诉c:/documents and settings/All Users/start menu/programs/startup 下的内容
但这两项在中文版别离为
Startup: C:/Documents and Settings/USERNAME/「开始」菜单/措施/启动
Global Startup: C:/Documents and Settings/All Users/「开始」菜单/措施/启动
恐怕HijackThis不能识别中文版的这两个目次,以至不陈诉其内容。不是是否如此?望达人奉告。
2. 举例
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM/../Run: [ScanRegistry] C:/WINDOWS/scanregw.exe /autorun
注册表自检
O4 - HKLM/../Run: [TaskMonitor] C:/WINDOWS/taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM/../Run: [SystemTray] SysTray.Exe
Windows电源打点措施
O4 - HKLM/../Run: [RavTimer] C:/PROGRAM FILES/RISING/RAV/RavTimer.exe
O4 - HKLM/../Run: [RavMon] C:/PROGRAM FILES/RISING/RAV/RavMon.exe
O4 - HKLM/../Run: [ccenter] C:/Program Files/rising/Rav/CCenter.exe
上面三个均是瑞星的自启动措施。
O4 - HKLM/../Run: [helper.dll] C:/WINDOWS/rundll32.exe C:/PROGRA~1/3721/helper.dll,Rundll32
O4 - HKLM/../Run: [BIE] Rundll32.exe C:/WINDOWS/DOWNLO~1/BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动措施。(不是常常有伴侣问历程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM/../RunServices: [SchedulingAgent] mstask.exe
Windows打算任务
O4 - HKLM/../RunServices: [RavMon] C:/PROGRAM FILES/RISING/RAV/RavMon.exe /AUTO
O4 - HKLM/../RunServices: [ccenter] C:/Program Files/rising/Rav/CCenter.exe
上面两个也是瑞星的自启动措施。
O4 - Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
这是微软Office在“开始——措施——启动”中的启动项。
3. 一般发起
查表吧!大概的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地点
这是中文的,一些常见的项目均可查到。
英文的,很全面。个中一些标志的寄义——
Y - 一般应该答允运行。
N - 非必需措施,可以留待需要时手动启动。
U - 由用户按照详细环境抉择是否需要 。
X - 明晰不需要的,一般是病毒、特工软件、告白等。
? - 临时未知
尚有,有时候直接利用历程的名字在上查找,会有意想不到的收获(出格对付新呈现的病毒、木马等)。
4. 疑难理会
请留意,有些病毒、木马会利用近似于系统历程、正常应用措施(甚至杀毒软件)的名字,可能爽性直接利用那些历程的名字,所以必然要留意仔细判别。O4项中启动的措施大概在您试图利用HijackThis对它举办修复时仍然运行着,这就需要先终止相关历程然后再利用HijackThis对它的启动项举办修复。(终止历程的一般要领:封锁所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的历程,然后按下“竣事任务”可能“竣事历程”,最后封锁该窗口。)
(九)组别——O5
1. 项目说明
O5项与节制面板中被屏蔽的一些IE选项相关,一些恶意措施会埋没节制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关呼吁实现。
2. 举例
O5 - control.ini: inetcpl.cpl=no
这里埋没了节制面板中的internet选项
3. 一般发起
除非您知道埋没了某些选项(好比公司网管特意配置的),可能是您本身如此配置的,不然应该用HijackThis修复。
4. 疑难理会
(暂无)
(十)组别——O6
1. 项目说明
O6提示Internet选项(打开IE——东西——Internet选项)被禁用。打点员可以对Internet选项的利用举办限制,一些恶意措施也会这样阻挠修复。这里用到的注册表项目是
HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions
2. 举例
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
这里禁用了internet选项
3. 一般发起
除非您知道禁用了internet选项(好比网吧利用了一些打点软件),可能是您本身有意配置的(通过改注册表可能利用一些安详软件),不然应该用HijackThis修复。
4. 疑难理会
(暂无)
(十一)组别——O7
1. 项目说明
O7提示注册表编辑器(regedit)被禁用。打点员可以对注册表编辑器的利用举办限制,一些恶意措施也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System
2. 举例
O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1
这里禁用了注册表编辑器。
3. 一般发起
除非您知道禁用了注册表编辑器(好比公司利用了一些打点软件),可能是您本身有意配置的(通过改注册表可能利用一些安详软件),不然应该用HijackThis修复。
4. 疑难理会
(暂无)
(十二)组别——O8
1. 项目说明
O8项指IE的右键菜单中的新增项目。除了IE自己的右键菜单之外,一些措施也能向个中添加项目。相存眷册表项目为
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt
2. 举例
O8 - Extra context menu item: 利用网际快车下载 - C:/PROGRAM FILES/FLASHGET/jc_link.htm
O8 - Extra context menu item: 利用网际快车下载全部链接 - C:/PROGRAM FILES/FLASHGET/jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:/PROGRA~1/NETANTS/NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:/PROGRA~1/NETANTS/NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 利用影音传送带下载 - C:/PROGRA~1/Xi/NETTRA~1/NTAddLink.html
O8 - Extra context menu item: 利用影音传送带下载全部链接 - C:/PROGRA~1/Xi/NETTRA~1/NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:/PROGRA~1/MICROS~1/Office10/EXCEL.EXE/3000
这是Office添加的。
3. 一般发起
假如不认得新添加的项目,其地址路径也可疑,可以用HijackThis修复。发起最好先在上查一下。临时未在网上找到O8项的列表。
4. 疑难理会
(暂无)
(十三)组别——O9
1. 项目说明
O9提示特另外IE“东西”菜单项目及东西栏按钮。前面O3是指东西条,这里是新增的单个东西栏按钮和IE“东西”菜单项目。相存眷册表项目为
HKLM/SOFTWARE/Microsoft/Internet Explorer/Extensions registry key
2. 举例
O9 - Extra button: QQ (HKLM)
就是IE东西栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE东西栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE东西栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“东西”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE东西栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“东西”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE东西栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“东西”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE东西栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“东西”菜单中的“Windows Messenger”项。
3. 一般发起
假如不认得新添加的项目或按钮,可以用HijackThis修复。
4. 疑难理会
(暂无)
(十四)组别——O10
1. 项目说明
O10项提示Winsock LSP(Layered Service Provider)“欣赏器挟制”。某些特工软件会修改Winsock 2的配置,举办LSP“欣赏器挟制”,所有与网络互换的信息都要通过这些特工软件,从而使得它们可以监控利用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的对象。相关的中文信息可参考——
2. 举例
O10 - Hijacked Internet access by New.Net
这是被告白措施New.Net挟制的症状(可以通过“节制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:/progra~1/common~2/toolbar/cnmib.dll` missing
这一般呈此刻已排除特工软件但没有规复LSP正常状态的环境下。此时,网络毗连大概丢失。
O10 - Unknown file in Winsock LSP: c:/program files/newton knows/vmain.dll
这是被告白措施newtonknows挟制的症状,相关信息可参考
3. 一般发起
必然要留意,由于LSP的非凡性,单单排除特工软件而不规复LSP的正常状态很大概会导致无法连通网络!假如您利用杀毒软件排除特工措施,大概碰着如上面第二个例子的环境,此时大概无法上网。有时HijackThis在O10项陈诉网络毗连粉碎,但其实仍旧可以连通,不外无论如何,修复O10项时必然要小心。
碰着O10项需要修复时,发起利用专门东西修复。
(1)LSPFix
(2)Spybot-Search&Destroy(上面提到过,但必然要利用最新版)
这两个东西都可以修复此问题,请进一步参考相关教程。
4. 疑难理会
某些正常正当措施(出格是一些杀毒软件)也会在Winsock程度事情。好比
O10 - Unknown file in Winsock LSP: c:/windows/system32/kvwsp.dll
这一项就属于国产杀毒软件KV。所以,在O10项碰着“Unknown file in Winsock LSP”必然要先查询一下,不要一概修复。
(十五)组别——O11
1. 项目说明
O11项提示在IE的高级选项中呈现了新项目。相存眷册表项目大概是
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/AdvancedOptions
2. 举例
O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是海内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您本身抉择。假如想排除,请先实验利用“节制面板——添加删除”来卸载相关措施。
3. 一般发起
碰着CommonName应该排除,碰着其它项目请先在网上查询一下。
4. 疑难理会
(暂无)
(十六)组别——O12
1. 项目说明
O12罗列IE插件(就是那些用来扩展IE成果、让它支持更多扩展名范例文件的插件)。相存眷册表项目是
HKEY_LOCAL_MACHINE/software/microsoft/internet explorer/plugins
2. 举例
O12 - Plugin for .spop: C:/Program Files/Internet Explorer/Plugins/NPDocBox.dll
O12 - Plugin for .PDF: C:/Program Files/Internet Explorer/PLUGINS/nppdf32.dll
这两个都属于Acrobat软件。
3. 一般发起
绝大部门这类插件是安详的。已知仅有一个插件(OnFlow,用以支持文件范例.ofb)是恶意的,需要修复。碰着不认得的项目,发起先在网上查询一下。
4. 疑难理会
(暂无)
(十七)组别——O13
1. 项目说明
O13提示对欣赏器默认的URL前缀的修改。当在欣赏器的地点栏输入一个网址而没有输入其前缀(好比或ftp://)时,欣赏器会试图利用默认的前缀(默认为)。相存眷册表项目包罗
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix/
当此项被修改,好比改为?那么当输入一个网址如时,实际打开的网址酿成了——?< wind_code_10 >
2. 举例
O13 - DefaultPrefix: ?url=
O13 - WWW Prefix: ?
O13 - Prefix: ?
O13 - DefaultPrefix: %6E%6B%76%64%2E%75%73/ (翻译过来就是)
O13 - WWW Prefix: %6E%6B%76%64%2E%75%73/ (翻译过来就是))
O13 - DefaultPrefix: c:/searchpage.html?page=
O13 - WWW Prefix: c:/searchpage.html?page=
O13 - Home Prefix: c:/searchpage.html?page=
O13 - Mosaic Prefix: c:/searchpage.html?page=
3. 一般发起
著名恶意网站家属CoolWebSearch大概造成此现象。发起利用CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)来修复,本帖前部已提到过此软件,并给出了相关小教程的链接。
假如利用CWShredder.exe发明白问题但却无法修复(Fix),请在安详模式利用CWShredder.exe再次修复(Fix)。
假如利用CWShredder.exe后仍然无法修复可能基础未发明异常,再利用HijackThis来扫描修复。
4. 疑难理会
对付searchpage.html这个“欣赏器挟制”(上面例子中最后4个就是它的现象),请参考
【原创】近期论坛中2个较常被提到的恶意网页的办理要领(searchpage.html和)
... =3556320&page=1
简朴说,就是——“对付searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安详模式利用CWShredder.exe修复(Fix),修复后清空IE姑且文件(打开IE欣赏器——东西——internet选项——删除文件,可以把“删除所有脱机内容”选上),从头启动。”
(十八)组别——O14
1. 项目说明
O14提示IERESET.INF文件中的改变,也就是对internet选项中“措施”选项卡内的“重置WEB配置”的修改。该IERESET.INF文件生存着IE的默认配置信息,假如其内容被恶意措施改变,那么一旦您利用“重置WEB配置”成果,就会再次激活那些恶意修改。
2. 举例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
3. 一般发起
假如这里列出的URL不是指向你的电脑提供者或Internet处事提供者(ISP),可以利用HijackThis修复。
4. 疑难理会
(暂无)
(十九)组别——O15
1. 项目说明
O15项目提示“受信任的站点”中的不速之客,也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安详限制,可以使得该网址上的恶意剧本、小措施等更容易躲过用户自动执行。相存眷册表项目
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap/Domains
2. 举例
O15 - Trusted Zone:
3. 一般发起
假如不认得该网站,发起利用HijackThis来修复。
4. 疑难理会
(暂无)
(二十)组别——O16
1. 项目说明
O16 - 下载的措施文件,就是Downloaded Program Files目次下的那些ActiveX工具。这些ActiveX工具来自网络,存放在Downloaded Program Files目次下,其CLSID记录在注册表中。
2. 举例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ... s/flash/swflash.cab
用来看flash的东东,相信许多伴侣都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) -
瑞星在线查毒。
3. 一般发起
假如不认得这些ActiveX工具的名字,可能不知道其相关的下载URL,发起利用搜索引擎查询一下,然后抉择是否利用HijackThis来修复该项。假如名字可能下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样, 一般应该修复。HijackThis修复O16项时,会删除相关文件。但对付某些O16项,固然选择了让HijackThis修复,却没可以或许删除相关文件。若碰着此环境,发起启动到安详模式来修复、删除该文件。
4. 疑难理会
(暂无)
(二十一)组别——O17
1. 项目说明
O17提示“域挟制”,这是一些与DNS理会相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在表明O1项时提到过,当在欣赏器中输入网址时,假如hosts文件中没有相关的网址映射,将请求DNS域名理会以把网址转换为IP地点。假如恶意网站改变了您的DNS配置,把其指向恶意网站,那么虽然是它们指哪儿您去哪儿啦!
2. 举例
O17 - HKLM/System/CCS/Services/VxD/MSTCP: Domain = aoldsl.net
O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = W21944.find-quick.com
O17 - HKLM/Software/../Telephony: DomainName = W21944.find-quick.com
O17 - HKLM/System/CCS/Services/Tcpip/../{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM/System/CS1/Services/VxD/MSTCP: NameServer = 69.57.146.14,69.57.147.175
3. 一般发起
假如这个DNS处事器不是您的ISP或您地址的局域网提供的,请查询一下以抉择是否利用HijackThis来修复。已知Lop.com应该修复,好像已知的需要修复的O17项也就此一个。
4. 疑难理会
(暂无)
(二十二)组别——O18
1. 项目说明
O18项罗列现有的协议(protocols)用以发明特另外协议和协议“挟制”。相存眷册表项目包罗
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/PROTOCOLS/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID
等等。
通过将您的电脑的默认协议替换为本身的协议,恶意网站可以通过多种方法节制您的电脑、监控您的信息。
HijackThis会罗列出默认协议以外的特别添加的协议,并列出其在电脑上的生存位置。
2. 举例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:/PROGRA~1/COMMON~1/MSIETS/msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
3. 一般发起
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它环境巨大,大概(只是大概)有一些特工软件存在,需要进一步查询资料、综合阐明。
4. 疑难理会
(暂无)
(二十三)组别——O19
1. 项目说明
O19提示用户样式表(stylesheet)“挟制”,样式表是一个扩展名为.CSS的文件,它是关于网页名目、颜色、字体、外观等的一个模板。相存眷册表项目
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/styles/: User stylesheets
另外,此项中也大概呈现.ini、.bmp文件等。
2. 举例
O19 - User stylesheet: c:/WINDOWS/Java/my.css
O19 - User stylesheet: C:/WINDOWS/Web/tips.ini
O19 - User stylesheet: C:/WINDOWS/win32.bmp
3. 一般发起
已知,datanotary.com会修改样式表。该样式表名为my.css可能system.css,详细信息可参考
该“欣赏器挟制”也属于CoolWebSearch家属,别忘了上面多次提到的专杀。
当欣赏器欣赏速度变慢、常常呈现泉源不明的弹出窗口,而HijackThis又陈诉此项时,发起利用HijackThis修复。假如您基础没利用过样式表而HijackThis又陈诉此项,发起利用HijackThis修复。
(二十四)组别——O20
1. 项目说明
O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺锋利的“about:blank”挟制就是操作这一项)。
相存眷册表键为
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows
键值为
AppInit_DLLs
此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。
2. 举例
O20 - AppInit_DLLs: msconfd.dll
3. 一般发起
仅有少少的正当软件利用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大大都时候,当HijackThis陈诉此项时,您就需要提防木马可能其它恶意措施。
4. 疑难理会
(1) O20 - AppInit_DLLs: apihookdll.dll
木马克星有这个文件,一般不消修复。
(2) 有时,HijackThis不陈诉这一项,但假如您在注册表编辑器中利用“修改二进位数据”成果,则大概看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使本身难被觉察。
(二十五)组别——O21
1. 项目说明
O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式发布的自启动方法,凡是只有少数Windows系统组件用到它。Windows启动时,该处注册的组件会由Explorer加载。
相存眷册表键为
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
2. 举例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:/WINDOWS/System/auhook.dll
3. 一般发起
HijackThis会自动识别在该处启动的常见Windows系统组件,不会陈诉它们。所以假如HijackThis陈诉这一项,则有大概存在恶意措施,需要仔细阐明。
4. 疑难理会
(暂无)
(二十六)组别——O22
1. 项目说明
O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式发布的自启动方法,极罕用到。
2. 举例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:/windows/system32/mtwirl32.dll
3. 一般发起
已知,CoolWebSearch变种Smartfinder用到这一项,请小心处理惩罚。发起利用CoolWebSearch专杀——CoolWeb Shredder(CoolWeb毁坏机),简介见
... =3926810&page=1
4. 疑难理会
(暂无)
(二十七)组别——O23
1. 项目说明
O23项提示处事中非系统默认的处事。(等于安装措施时新增插手处事中的处事项)
2. 举例
O23 - Service: KVSrvXP - JiangMin New Tech Ltd. - F:/KV2005/KVSrvXP.exe(附:江民杀毒软件历程)