首頁綁架者剋星HijackThis 日誌分析!!!
許多不熟悉瀏覽器綁架的人發表文章,詢問如何通過份析HijackThis的日誌來獲得說明 ,因為他們不理解哪些內容是無害的,而哪些內容是有害的。
本文是一個關於日誌含義的基本指南,並包含一些有助於獨立閱讀本文的提示。
本文決不能替代在請求說明 的解答,而只是在某種程度上說明 您自己理解日誌的含義。
已做好的Word文件我已已壓縮成RAR文件上傳,在附件中,直接下載就ok了。
HijackThis 日誌分析
——如何識別有害訊息
________________________________________
概述
HijcakThis日誌中的每一行以一個分類名稱開始。
(要檢視這一主旨的技術訊息,按下主視窗中的「Info」按鈕,並向下滾動視窗,突出顯示某一行並按下「More info on this item」按鈕即可。)
要檢視實用訊息,按下需要獲得說明 的分類名稱:
• R0, R1, R2, R3 – IE起始頁/搜尋頁 URL
• F0, F1 – 自動載入程序
• N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL
• O1 – 主機文件重轉發IP
• O2 – 瀏覽器輔助對像
• O3 – IE工作列
• O4 – 從註冊表自動載入程序
• O5 – 使IE選項的圖示在控制台中不可見
• O6 –由管理員限制的對IE選項的訪問
• O7 –由管理員限制的對註冊表編輯器的訪問
• O8 – IE右鍵表單中的額外項
• O9 – 主IE按鈕工作列上的額外按鈕,或IE「工具」表單中的額外項
• O10 – Winsock綁架程序
• O11 – IE「進階選項」視窗中的額外組
• O12 – IE插件
• O13 – IE DefaultPrefix綁架
• O14 – 「重置Web設定」綁架
• O15 – 受信任區域中的有害站點
• O16 – ActiveX對像(aka 下載的程式文件)
• O17 – Lop.com域綁架程序
• O18 – 額外傳輸協定和傳輸協定綁架程序
• O19 – 用戶樣式表綁架
R0、R1、R2、R3-IE起始頁和搜尋頁
症狀:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 –Default URLSearchHook is missing
治療方案:
如果結尾的URL是您的主頁或搜尋引擎,那就不用管它。如果您不認可,請檢查一下並用HijcakThis修復。
對於R3項,始終修復它們,直到它提及一個您認可的程序為止,比如Copernic。
________________________________________
F0、F1-自動載入程序
症狀:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
治療方案:
F0項始終是有害的,因此要修復它們。
F1項通常是存在很長時間的安全程序,因此您應該根據其檔案名搜尋與該檔案有關的更多訊息,以確定它是無害的還是有害的。
________________________________________
N1、N2、N3、N4-Netscape/Mozilla起始頁和搜尋頁
症狀:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
治療方案:
通常情況下,Netacape和Mozilla的主頁及搜尋頁是安全的。
它們極少被綁架。主頁和搜尋頁的URL不是您認可的,請用HilackThis修復它。
________________________________________
O1-主機文件重轉發IP
症狀:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
治療方案:
這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址,那麼在您每次按鍵輸入該位址時,您將被重轉發IP到一個錯誤的站點。
始終用HilackThis修復它們,除非您故意將這些行放到主機文件中。
________________________________________
O2-瀏覽器輔助對像
症狀:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
治療方案:
如果您無法直接識別某個瀏覽器輔助對象的名稱,可以使用TonyK的 BHO 列表 通過類ID(CLSID,位於大括號中的編號)進行搜尋,以確定它是無害的還是有害的。
在BHO列表中,『X』代表偵探軟體,『L』代表安全。
________________________________________
O3-IE工作列
症狀:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
治療方案:
如果您不能直接識別工作列的名稱,可以使用TonyK的 工作列列表 通過類ID(CLSID,位於大括號中的編號)進行搜尋,以確定它是無害的還是有害的。
在工作列列表中,『X』代表偵探軟體,『L』代表安全。
如果它不在列表中,而且其名稱似乎是一個隨機的字元串,並且該檔案位於一個名為『Application Data』的資料夾中的某處(比如上述例子中的最後一個),那麼它肯定是有害的,應該用HilackThis修復它。
________________________________________
|