史萊姆論壇 - 查看單個文章

psac · 2005-05-10, 05:25 AM

（二十）組別——O16

1. 項目說明
O16 - 下載的程式文件，就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。

2. 舉例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab
用來看flash的東東，相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在線查毒。

3. 一般建議
如果不認得這些ActiveX對象的名字，或者不知道其相關的下載URL，建議使用搜尋引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣，一般應該修復。HijackThis修復O16項時，會移除相關文件。但對於某些O16項，雖然選項了讓HijackThis修復，卻沒能夠移除相關文件。若遇到此情況，建議啟動到安全模式來修復、移除該檔案。

4. 疑難解析
（暫無）

（二十一）組別——O17

1. 項目說明
O17提示「域劫持」，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在瀏覽器中輸入網址時，如果hosts文件中沒有相關的網址映射，將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！

2. 舉例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建議
如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。

4. 疑難解析
（暫無）

（二十二）組別——O18

1. 項目說明
O18項列舉現有的傳輸協定（protocols）用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
等等。
通過將您的電腦的預設值傳輸協定取代為自己的傳輸協定，惡意網站可以通過多種方式控制您的電腦、監控您的訊息。
HijackThis會列舉出預設值傳輸協定以外的額外增加的傳輸協定，並列出其在電腦上的儲存位置。

2. 舉例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建議
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。

4. 疑難解析
（暫無）

（二十三）組別——O19

1. 項目說明
O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外，此項中也可能出現.ini、.bmp文件等。

2. 舉例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建議
已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。
當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。

（二十四）組別——O20

1. 項目說明
O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。
相關註冊表鍵為
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
鍵值為
AppInit_DLLs
此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例
O20 - AppInit_DLLs: msconfd.dll

3. 一般建議
僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。

4. 疑難解析
(1) O20 - AppInit_DLLs: apihookdll.dll
木馬剋星有這個文件，一般不用修復。

(2) 有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`|`來使自己難被發覺。

（二十五）組別——O21

1. 項目說明
O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。
相關註冊表鍵為
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 舉例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建議
HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。

4. 疑難解析
（暫無）

（二十六）組別——O22

1. 項目說明
O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。

2. 舉例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建議
已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見
http://community.rising.com.cn/F ... =3926810&page=1

4. 疑難解析
（暫無）

三、致謝
HijackThis的掃瞄日誌分析起來十分費時費力，在此我感謝熱心為論壇上的朋友們分析HijackThis掃瞄日誌的各位！辛苦啦！

參考文獻（已更新）
http://www.spywareinfo.com/~merijn/htlogtutorial.html
http://aumha.org/a/hjttutor.php
http://hjt.wizardsofwebsites.com/
http://www.bleepingcomputer.com/foru...howtutorial=42

2005-05-10, 05:25 AM	#9 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	（二十）組別——O16 1. 項目說明 O16 - 下載的程式文件，就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。 2. 舉例 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab 用來看flash的東東，相信很多朋友都安裝了。 O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab 瑞星在線查毒。 3. 一般建議如果不認得這些ActiveX對象的名字，或者不知道其相關的下載URL，建議使用搜尋引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣，一般應該修復。HijackThis修復O16項時，會移除相關文件。但對於某些O16項，雖然選項了讓HijackThis修復，卻沒能夠移除相關文件。若遇到此情況，建議啟動到安全模式來修復、移除該檔案。 4. 疑難解析（暫無）（二十一）組別——O17 1. 項目說明 O17提示「域劫持」，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在瀏覽器中輸入網址時，如果hosts文件中沒有相關的網址映射，將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！ 2. 舉例 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 3. 一般建議如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。 4. 疑難解析（暫無）（二十二）組別——O18 1. 項目說明 O18項列舉現有的傳輸協定（protocols）用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 等等。通過將您的電腦的預設值傳輸協定取代為自己的傳輸協定，惡意網站可以通過多種方式控制您的電腦、監控您的訊息。 HijackThis會列舉出預設值傳輸協定以外的額外增加的傳輸協定，並列出其在電腦上的儲存位置。 2. 舉例 O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 3. 一般建議已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。 4. 疑難解析（暫無）（二十三）組別——O19 1. 項目說明 O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 此外，此項中也可能出現.ini、.bmp文件等。 2. 舉例 O19 - User stylesheet: c:\WINDOWS\Java\my.css O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\win32.bmp 3. 一般建議已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考 http://www.pestpatrol.com/pestinfo/d/datanotary.asp http://www.spywareinfo.com/articles/datanotary/ 該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。（二十四）組別——O20 1. 項目說明 O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。相關註冊表鍵為 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows 鍵值為 AppInit_DLLs 此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。 2. 舉例 O20 - AppInit_DLLs: msconfd.dll 3. 一般建議僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。 4. 疑難解析 (1) O20 - AppInit_DLLs: apihookdll.dll 木馬剋星有這個文件，一般不用修復。 (2) 有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`\|`來使自己難被發覺。（二十五）組別——O21 1. 項目說明 O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。相關註冊表鍵為 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 2. 舉例 O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 3. 一般建議 HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。 4. 疑難解析（暫無）（二十六）組別——O22 1. 項目說明 O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。 2. 舉例 O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 3. 一般建議已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見 http://community.rising.com.cn/F ... =3926810&page=1 4. 疑難解析（暫無）三、致謝 HijackThis的掃瞄日誌分析起來十分費時費力，在此我感謝熱心為論壇上的朋友們分析HijackThis掃瞄日誌的各位！辛苦啦！參考文獻（已更新） http://www.spywareinfo.com/~merijn/htlogtutorial.html http://aumha.org/a/hjttutor.php http://hjt.wizardsofwebsites.com/ http://www.bleepingcomputer.com/foru...howtutorial=42
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次