[psac]

（八）組別——O4

1. 項目說明
這裡列出的就是平常大家提到的一般意義上的自啟動程序。確切地說，這裡列出的是註冊表下面諸鍵啟動的程序。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit這一項雖然也可以啟動程序，但已經在F2項報告過了。
另外，O4項還報告兩種情況，即「Startup:」和「Global Startup:」，在我的印象裡
Startup: 相當於資料夾c:\documents and settings\USERNAME\ 下的內容（USERNAME指您的用戶名）
Global Startup: 相當於資料夾c:\documents and settings\All Users\ 下的內容
注意，其它存放在這兩個資料夾的文件也會被報告。
我覺得，其實，「啟動」資料夾應該被報告，就是
Startup: 報告c:\documents and settings\USERNAME\start menu\programs\startup 下的內容
Global Startup: 報告c:\documents and settings\All Users\start menu\programs\startup 下的內容
但這兩項在中文版分別為
Startup: C:\Documents and Settings\USERNAME\「開始」功能表\程序\啟動
Global Startup: C:\Documents and Settings\All Users\「開始」功能表\程序\啟動
恐怕HijackThis不能識別中文版的這兩個目錄，以至不報告其內容。不是是否如此？望達人告知。

2. 舉例
註：中括號前面是註冊表主鍵位置
中括號中是鍵值
中括號後是資料
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
註冊表自我檢驗
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows工作最佳化器（Windows Task Optimizer）
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows電源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三個均是瑞星的自啟動程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面兩個是3721和百度的自啟動程序。（不是經常有朋友問行程裡的Rundll32.exe是怎麼來的嗎？）
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows計劃工作
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面兩個也是瑞星的自啟動程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
這是微軟Office在「開始——程序——啟動」中的啟動項。

3. 一般建議
查表吧！可能的項目太多了，請進一步查詢相關資料，千萬不要隨意修復。推薦一些好的查詢位址
http://www.oixiaomi.net/systemprocess.html
這是中文的，一些一般的項目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Taskl...s/tasklist.htm
http://www.liutilities.com/products/...rocesslibrary/
英文的，很全面。其中一些標記的含義——
Y - 一般應該允許執行。
N - 非必須程序，可以留待需要時手動啟動。
U - 由用戶根據具體情況決定是否需要 。
X - 明確不需要的，一般是病毒、間諜軟體、廣告等。
? - 暫時未知
還有，有時候直接使用行程的名字在www.google.com上搜尋，會有意想不到的收穫（特別對於新出現的病毒、木馬等）。

4. 疑難解析
請注意，有些病毒、木馬會使用近似於系統行程、正常應用程式(甚至殺毒軟體）的名字，或者乾脆直接使用那些行程的名字，所以一定要注意仔細分辨。O4項中啟動的程序可能在您試圖使用HijackThis對它進行修復時仍然執行著，這就需要先終止相關行程然後再使用HijackThis對它的啟動項進行修復。（終止行程的一般方法：關閉所有視窗，同時按下CTRL+ALT+DELETE，在開啟的視窗中選要終止的行程，然後按下「結束工作」或者「結束行程」，最後關閉該視窗。）

（九）組別——O5

1. 項目說明
O5項與控制台中被遮閉的一些IE選項相關，一些惡意程序會隱藏控制台中關於IE的一些選項，這可以通過在control.ini文件中增加相關指令實現。

2. 舉例
O5 - control.ini: inetcpl.cpl=no
這裡隱藏了控制台中的internet選項

3. 一般建議
除非您知道隱藏了某些選項（比如公司網管特意設定的），或者是您自己如此設定的，否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十）組別——O6

1. 項目說明
O6提示Internet選項（開啟IE——工具——Internet選項）被禁用。管理員可以對Internet選項的使用進行限制，一些惡意程序也會這樣阻撓修復。這裡用到的註冊表項目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

2. 舉例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
這裡禁用了internet選項

3. 一般建議
除非您知道禁用了internet選項（比如網咖使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十一）組別——O7

1. 項目說明
O7提示註冊表編輯器（regedit）被禁用。管理員可以對註冊表編輯器的使用進行限制，一些惡意程序也會這樣阻撓修復。這可以通過對註冊表如下鍵的預設值的修改實現
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

2. 舉例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
這裡禁用了註冊表編輯器。

3. 一般建議
除非您知道禁用了註冊表編輯器（比如公司使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十二）組別——O8

1. 項目說明
O8項指IE的右鍵功能表中的新增項目。除了IE本身的右鍵功能表之外，一些程序也能向其中增加項目。相關註冊表項目為
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

2. 舉例
O8 - Extra context menu item: 使用網際快車下載 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部連接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
這是網際快車（FlashGet）增加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
這是網路螞蟻（NetAnts）增加的。
O8 - Extra context menu item: 使用影音傳送帶下載 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部連接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
這是影音傳送帶（Net Transport）增加的。
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
這是Office增加的。

3. 一般建議
如果不認得新增加的項目，其所在路徑也可疑，可以用HijackThis修復。建議最好先在www.google.com上查一下。暫時未在網上找到O8項的列表。

4. 疑難解析
（暫無）

（十三）組別——O9

1. 項目說明
O9提示額外的IE「工具」功能表項目及工作列按鈕。前面O3是指工具條，這裡是新增的單個工作列按鈕和IE「工具」功能表項目。相關註冊表項目為
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key

2. 舉例
O9 - Extra button: QQ (HKLM)
就是IE工作列上的QQ按鈕。
O9 - Extra button: UC (HKLM)
IE工作列上的UC按鈕。
O9 - Extra button: FlashGet (HKLM)
IE工作列上的網際快車（FlashGet）按鈕。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE「工具」功能表中的網際快車（FlashGet）項。
O9 - Extra button: NetAnts (HKLM)
IE工作列上的網路螞蟻（NetAnts）按鈕。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE「工具」功能表中的網路螞蟻（NetAnts）項。
O9 - Extra button: Related (HKLM)
IE工作列上的「顯示相關站點」按鈕。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE「工具」功能表中的「顯示相關站點」項。
O9 - Extra button: Messenger (HKLM)
IE工作列上的Messenger按鈕。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE「工具」功能表中的「Windows Messenger」項。

3. 一般建議
如果不認得新增加的項目或按鈕，可以用HijackThis修復。

4. 疑難解析
（暫無）

（十四）組別——O10

1. 項目說明
O10項提示Winsock LSP(Layered Service Provider)「瀏覽器劫持」。某些間諜軟體會修改Winsock 2的設定，進行LSP「瀏覽器劫持」，所有與網路交換的訊息都要通過這些間諜軟體，從而使得它們可以監控使用者的訊息。著名的如New.Net插件或WebHancer元件，它們是安裝一些軟體時帶來的你不想要的東西。相關的中文訊息可參考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 舉例
O10 - Hijacked Internet access by New.Net
這是被廣告程序New.Net劫持的症狀（可以通過「控制台——增加移除」來卸載）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
這一般出現在已清除間諜軟體但沒有恢復LSP正常狀態的情況下。此時，網路連接可能丟失掉。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
這是被廣告程序newtonknows劫持的症狀，相關資訊可參考
http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建議
一定要注意，由於LSP的特殊性，單單清除間諜軟體而不恢復LSP的正常狀態很可能會導致無法連通網路！如果您使用殺毒軟體清除間諜程序，可能遇到如上面第二個例子的情況，此時可能無法上網。有時HijackThis在O10項報告網路連接破壞，但其實仍舊可以連通，不過無論如何，修復O10項時一定要小心。
遇到O10項需要修復時，建議使用專門工具修復。
（1）LSPFix
http://www.cexx.org/lspfix.htm

（2）Spybot-Search&Destroy（上面提到過，但一定要使用最新版）

這兩個工具都可以修復此問題，請進一步參考相關教學。

4. 疑難解析
某些正常合法程序（特別是一些殺毒軟體）也會在Winsock水準工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
這一項就屬於國產殺毒軟體KV。所以，在O10項遇到「Unknown file in Winsock LSP」一定要先查詢一下，不要一概修復。

（十五）組別——O11

1. 項目說明
O11項提示在IE的進階選項中出現了新項目。相關註冊表項目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

2. 舉例
O11 - Options group: [CommonName] CommonName
這個是已知需要修復的一項。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
這2個是國內論壇上的HijackThis掃瞄日誌裡最一般的O11項，分屬3721和百度，去留您自己決定。如果想清除，請先嘗試使用「控制台——增加移除」來卸載相關程序。

3. 一般建議
遇到CommonName應該清除，遇到其它項目請先在網上查詢一下。

4. 疑難解析
（暫無）

（十六）組別——O12

1. 項目說明
O12列舉IE插件（就是那些用來增強IE功能、讓它支持更多副檔名檔案類型文件的插件）。相關註冊表項目是
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

2. 舉例
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
這兩個都屬於Acrobat軟體。

3. 一般建議
絕大部分這類插件是安全的。已知僅有一個插件（OnFlow，用以支持檔案類型.ofb）是惡意的，需要修復。遇到不認得的項目，建議先在網上查詢一下。

4. 疑難解析
（暫無）

（十七）組別——O13

1. 項目說明
O13提示對瀏覽器預設值的URL前綴的修改。當在瀏覽器的位址欄輸入一個網址而沒有輸入其前綴（比如http://或ftp://）時，瀏覽器會試圖使用預設值的前綴（預設值為http://）。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
當此項被修改，比如改為http://www.AA.BB/?那麼當輸入一個網址如www.rising.com.cn時，實際開啟的網址變成了——http://www.AA.BB/?www.rising.com.cn

2. 舉例
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建議
著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）來修復，本帖前部已提到過此軟體，並指出了相關小教學的連接。
如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。
如果使用CWShredder.exe後仍然無法修復或者根本未發現異常，再使用HijackThis來掃瞄修復。

4. 疑難解析
對於searchpage.html這個「瀏覽器劫持」（上面例子中最後4個就是它的現象），請參考
【原創】近期論壇中2個較常被提到的惡意網頁的解決方法(searchpage.html和http://aifind.info/)
http://community.rising.com.cn/F ... =3556320&page=1
簡單說，就是——「對於searchpage.html這個問題，上面提到的CWShredder.exe可以修復（Fix），普通模式不能修復的話，請在安全模式使用CWShredder.exe修復（Fix），修復後清空IE臨時文件(開啟IE瀏覽器——工具——internet選項——移除文件，可以把「移除所有離線內容」選上)，重新啟動。」

（十八）組別——O14

1. 項目說明
O14提示IERESET.INF文件中的改變，也就是對internet選項中「程序」選擇項內的「重置WEB設定」的修改。該IERESET.INF文件儲存著IE的預設值設定訊息，如果其內容被惡意程序改變，那麼一旦您使用「重置WEB設定」功能，就會再次啟動那些惡意修改。

2. 舉例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建議
如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者（ISP），可以使用HijackThis修復。

4. 疑難解析
（暫無）

（十九）組別——O15

1. 項目說明
O15項目提示「受信任的站點」中的不速之客，也就是那些未經您同意自動增加到「受信任的站點」中的網址。「受信任的站點」中的網址享有最低的安全限制，可以使得該網址上的惡意指令碼、小程序等更容易躲過用戶自動執行。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 舉例
O15 - Trusted Zone: http://free.aol.com

3. 一般建議
如果不認得該網站，建議使用HijackThis來修復。

4. 疑難解析
（暫無）