史萊姆論壇 - 查看單個文章

psac · 2005-05-10, 05:21 AM

（三）組別——F

** 特別提醒：如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2項目的修改（我指的是config功能表——Backups功能表——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。
此bug涉及的註冊表鍵值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit）
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。

1. 項目說明
F - ini文件中的自動執行程序或者註冊表中的等價項目
F0 - ini文件中改變的值，system.ini中啟動的自動執行程序
F1 - ini文件中新增的值，win.ini中啟動的自動執行程序
F2 - 註冊表中system.ini文件映射區中啟動的自動執行程序或註冊表中UserInit項後面啟動的其它程序
F3 - 註冊表中win.ini文件映射區中啟動的自動執行程序

F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程序。
F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程序。在Windows 9X中，System.ini裡面這一項應該是
Shell=explorer.exe
這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預設值的。如果在explorer.exe後面加上其它程序名，該程序在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動Windows時也被自動執行。
F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程序。這些程序也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程序以保持相容性，而「Load=」用來載入某些硬體驅動。
F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程序要求這些ini文件中的相關資訊時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡搜尋需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處預設值的鍵值是(注意後面有個逗號)
C:\WINDOWS\system32\userinit.exe,
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預設值指向%System%\userinit.exe
%System%指的是系統檔案目錄
對於NT、2000，該鍵值預設值為X:\WINNT\system32\userinit.exe
對於XP，該鍵值預設值為X:\WINDOWS\system32\userinit.exe
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關資訊的。如果在這裡增加其它程序（在該鍵值中userinit.exe後的逗號後面可以增加其它程序），這些程序在用戶登入後也會被執行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個程序也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。

總之，F項相關的文件包括
c:\windows\system.ini
c:\windows\win.ini
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件
%Windows%目錄指的是Windows安裝目錄
對於NT、2000，Windows安裝目錄為X:\WINNT\
對於XP，Windows安裝目錄為X:\WINDOWS\
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
F項相關的註冊表項目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中，在system.ini文件中，預設值的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中，在win.ini文件中，啟動了hpfsched這個程序，需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。

3. 一般建議
基本上，F0提示的Explorer.exe後面的程序總是有問題的，一般應該修復。
F1後面的需要慎重對待，一些老的程序的確要在這裡載入。所以應該仔細看看載入的程序的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。
對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設定一些軟體開機自啟動，這是題外話了，相信如果是您自己設定的，您一定不會誤刪的。

4. 疑難解析
(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項與預設值情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失掉了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個比較特別，這是廣告程序BlazeFind幹的好事，這個廣告程序修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe取代了userinit.exe，使得註冊表這一項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從預設值的
C:\WINDOWS\system32\userinit.exe,
變為
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程序，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程序修改的鍵值恢復預設值，再移除wsaupdater.exe文件。
該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。
具體訊息清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html

2005-05-10, 05:21 AM	#6 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	（三）組別——F ** 特別提醒：如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2項目的修改（我指的是config功能表——Backups功能表——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。此bug涉及的註冊表鍵值是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit 一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell 所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit） F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。 1. 項目說明 F - ini文件中的自動執行程序或者註冊表中的等價項目 F0 - ini文件中改變的值，system.ini中啟動的自動執行程序 F1 - ini文件中新增的值，win.ini中啟動的自動執行程序 F2 - 註冊表中system.ini文件映射區中啟動的自動執行程序或註冊表中UserInit項後面啟動的其它程序 F3 - 註冊表中win.ini文件映射區中啟動的自動執行程序 F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程序。 F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程序。在Windows 9X中，System.ini裡面這一項應該是 Shell=explorer.exe 這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預設值的。如果在explorer.exe後面加上其它程序名，該程序在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如 Shell=explorer.exe trojan.exe 這樣就可以使得trojan.exe在啟動Windows時也被自動執行。 F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程序。這些程序也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程序以保持相容性，而「Load=」用來載入某些硬體驅動。 F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程序要求這些ini文件中的相關資訊時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡搜尋需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 此處預設值的鍵值是(注意後面有個逗號) C:\WINDOWS\system32\userinit.exe, （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預設值指向%System%\userinit.exe %System%指的是系統檔案目錄對於NT、2000，該鍵值預設值為X:\WINNT\system32\userinit.exe 對於XP，該鍵值預設值為X:\WINDOWS\system32\userinit.exe 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關資訊的。如果在這裡增加其它程序（在該鍵值中userinit.exe後的逗號後面可以增加其它程序），這些程序在用戶登入後也會被執行。比如將其鍵值改為 C:\windows\system32\userinit.exe,c:\windows\trojan.exe 則c:\windows\trojan.exe這個程序也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。總之，F項相關的文件包括 c:\windows\system.ini c:\windows\win.ini （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件 %Windows%目錄指的是Windows安裝目錄對於NT、2000，Windows安裝目錄為X:\WINNT\ 對於XP，Windows安裝目錄為X:\WINDOWS\ 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。） F項相關的註冊表項目包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 2. 舉例 F0 - system.ini: Shell=Explorer.exe trojan.exe 上面的例子中，在system.ini文件中，預設值的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。 F1 - win.ini: run=hpfsched 上面的例子中，在win.ini文件中，啟動了hpfsched這個程序，需要分析。 F2 - REG:-System.ini: UserInit=userinit,trojan.exe 上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe F2 - REG:-System.ini: Shell=explorer.exe trojan.exe 上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。 3. 一般建議基本上，F0提示的Explorer.exe後面的程序總是有問題的，一般應該修復。 F1後面的需要慎重對待，一些老的程序的確要在這裡載入。所以應該仔細看看載入的程序的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設定一些軟體開機自啟動，這是題外話了，相信如果是您自己設定的，您一定不會誤刪的。 4. 疑難解析 (1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe 注意到這一項與預設值情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失掉了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。 (2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。 (3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 這一個比較特別，這是廣告程序BlazeFind幹的好事，這個廣告程序修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe取代了userinit.exe，使得註冊表這一項 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 的鍵值從預設值的 C:\WINDOWS\system32\userinit.exe, 變為 C:\Windows\System32\wsaupdater.exe, 如果您使用Ad-aware 6 Build 181清除該廣告程序，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程序修改的鍵值恢復預設值，再移除wsaupdater.exe文件。該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。具體訊息清參考 http://www.lavahelp.com/articles/v6/04/06/0901.html
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次