查看單個文章
舊 2005-05-10, 05:20 AM   #5 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

二、HijackThis日誌細解正文

(一)HijackThis日誌縱覽
R0,R1,R2,R3 Internet Explorer(IE)的預設值起始主頁和預設值搜尋頁的改變
F0,F1,F2,F3 ini文件中的自動載入程序
N1,N2,N3,N4 Netscape/Mozilla 的預設值起始主頁和預設值搜尋頁的改變
O1 Hosts文件重轉發IP
O2 Browser Helper Objects(BHO,瀏覽器輔助模組)
O3 IE瀏覽器的工具條
O4 自啟動項
O5 控制台中被遮閉的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器(regedit)被管理員禁用
O8 IE的右鍵功能表中的新增項目
O9 額外的IE「工具」功能表項目及工作列按鈕
O10 Winsock LSP「瀏覽器綁架」
O11 IE的進階選項中的新項目
O12 IE插件
O13 對IE預設值的URL前綴的修改
O14 對「重置WEB設定」的修改
O15 「受信任的站點」中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX對像
O17 域「劫持」
O18 額外的傳輸協定和傳輸協定「劫持」
O19 用戶樣式表(stylesheet)「劫持」
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項

(二)組別——R

1. 項目說明
R – 註冊表中Internet Explorer(IE)的預設值起始主頁和預設值搜尋頁的改變
R0 - 註冊表中IE主頁/搜尋頁預設值鍵值的改變
R1 - 新增的註冊表值(V),或稱為鍵值,可能導致IE主頁/搜尋頁的改變
R2 - 新增的註冊表項(K),或稱為鍵,可能導致IE主頁/搜尋頁的改變
R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值,可能導致IE搜尋頁的改變

R3主要出現在URLSearchHooks這一項目上,當我們在IE中輸入錯誤的網址後,瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下,當我們在IE中輸入錯誤的網址後,瀏覽器會使用預設值的搜尋引擎(如http://search.msn.com/、網路實名等)來搜尋匹配項目。如果HijackThis報告R3項,相關的「瀏覽器綁架」現象可能是:當在IE中輸入錯誤的網址後,被帶到某個莫名其妙的搜尋網站甚至其它網頁。

2. 舉例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
(HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)
上面的例子中,預設值主頁被改變,指向了新的位址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
這是百度搜尋
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
這是3721網路實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤(預設值的URLSearchHook丟失掉)。此錯誤可以用HijackThis修復。

3. 一般建議
對於R0、R1,如果您認得後面的網址,知道它是安全的,甚至那就是您自己這樣設定的,當然不用去修復。否則的話,在那一行前面打勾,然後按「Fix checked」,讓HijackThis修復它。
對於R2項,據HijackThis的作者說,實際上現在還沒有用到。
對於R3,一般總是要選修復,除非它指向一個您認識的程序(比如百度搜尋和3721網路實名)。

4. 疑難解析
(1) 偶爾,在這一組的某些項目後面會出現一個特殊的詞——(obfuscated),例如下面幾個
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)

obfuscated,中文大意為「使混亂,使糊塗迷惑,使過於混亂或模糊,使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的項目在對IE主頁/搜尋頁進行修改的同時,還利用各種方法把自己變得不易理解,以躲避人們對註冊表內容的搜尋辨識(比如直接在註冊表特定位置增加十六進制字元鍵值,電腦認得它,一般人可就不認得了)。

(2) 有些R3項目{ }號後面,會跟上一個底線( _ ),比如下面幾個:

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

這些{ }後面多一個底線的R3項目,實際上無法使用HijackThis修復(這是HijackThis本身的一個bug)。如果要修復這樣的項目,需要開啟註冊表編輯器(開始——執行——輸入 regedit——按「確定」),找到下面的鍵

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——移除想要移除的項目,但要注意不要誤刪以下一項
CFBFAE00-17A6-11D0-99CB-00C04FD64497
這一項是預設值的。

請注意,如果是在{ }號前面有一個底線,這些項目HijackThis可以正常清除。比如下面的:
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

(3)最近見到不少後面沒有內容的R3項。比如
R3 - URLSearchHook:
懷疑這是3721的項目,如果您安裝了3721,則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次