組別——O10
1. 項目說明
O10項提示Winsock LSP(Layered Service Provider)「瀏覽器劫持」。某些間諜軟體會修改Winsock 2的設定,進行LSP「瀏覽器劫持」,所有與網路交換的訊息都要通過這些間諜軟體,從而使得它們可以監控使用者的訊息。著名的如New.Net插件或WebHancer元件,它們是安裝一些軟體時帶來的你不想要的東西。相關的中文訊息可參考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
2. 舉例
O10 - Hijacked Internet access by New.Net
這是被廣告程序New.Net劫持的症狀(可以通過「控制台——增加移除」來卸載)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
這一般出現在已清除間諜軟體但沒有恢復LSP正常狀態的情況下。此時,網路連接可能丟失掉。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
這是被廣告程序newtonknows劫持的症狀,相關資訊可參考
http://www.pestpatrol.com/PestInfo/n/newtonknows.asp
3. 一般建議
一定要注意,由於LSP的特殊性,單單清除間諜軟體而不恢復LSP的正常狀態很可能會導致無法連通網路!如果您使用殺毒軟體清除間諜程序,可能遇到如上面第二個例子的情況,此時可能無法上網。有時HijackThis在O10項報告網路連接破壞,但其實仍舊可以連通,不過無論如何,修復O10項時一定要小心。
遇到O10項需要修復時,建議使用專門工具修復。
(1)LSPFix
http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到過,但一定要使用最新版)
這兩個工具都可以修復此問題,請進一步參考相關教學。
4. 疑難解析
某些正常合法程序(特別是一些殺毒軟體)也會在Winsock水準工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
這一項就屬於大陸殺毒軟體KV。所以,在O10項遇到「Unknown file in Winsock LSP」一定要先查詢一下,不要一概修復。
組別——O11
1. 項目說明
O11項提示在IE的進階選項中出現了新項目。相關註冊表項目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
2. 舉例
O11 - Options group: [CommonName] CommonName
這個是已知需要修復的一項。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
這2個是國內論壇上的HijackThis掃瞄日誌裡最一般的O11項,分屬3721和百度,去留您自己決定。如果想清除,請先嘗試使用「控制台——增加移除」來卸載相關程序。
3. 一般建議
遇到CommonName應該清除,遇到其它項目請先在網上查詢一下。
4. 疑難解析
(暫無)
組別——O12
1. 項目說明
O12列舉IE插件(就是那些用來增強IE功能、讓它支持更多副檔名檔案類型文件的插件)。相關註冊表項目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
2. 舉例
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
這兩個都屬於Acrobat軟體。
3. 一般建議
絕大部分這類插件是安全的。已知僅有一個插件(OnFlow,用以支持檔案類型.ofb)是惡意的,需要修復。遇到不認得的項目,建議先在網上查詢一下。
4. 疑難解析
(暫無)
組別——O13
1. 項目說明
O13提示對瀏覽器預設的URL前綴的修改。當在瀏覽器的位址欄輸入一個網址而沒有輸入其前綴(比如http://或ftp://)時,瀏覽器會試圖使用預設的前綴(預設為http://)。相關註冊表項目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
當此項被修改,比如改為http://www.AA.BB/?那麼當輸入一個網址如www.rising.com.cn時,實際開啟的網址變成了——http://www.AA.BB/?
www.rising.com.cn
2. 舉例
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix:
http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix:
http://ehttp.cc/?
O13 - DefaultPrefix:
http://%6E%6B%76%64%2E%75%73/ (翻譯過來就是http://nkvd.us/)
O13 - WWW Prefix:
http://%6E%6B%76%64%2E%75%73/ (翻譯過來就是http://nkvd.us/))
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=
3. 一般建議
著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder (CWShredder.exe)來修復,本帖前部已提到過此軟體,並指出了相關小教學的連接。
如果使用CWShredder.exe發現了問題但卻無法修復(Fix),請在安全模式使用CWShredder.exe再次修復(Fix)。
如果使用CWShredder.exe後仍然無法修復或者根本未發現異常,再使用HijackThis來掃瞄修復。
4. 疑難解析
簡單說,就是——「對於searchpage.html這個問題,上面提到的CWShredder.exe可以修復(Fix),普通模式不能修復的話,請在安全模式使用CWShredder.exe修復(Fix),修復後清空IE臨時文件(開啟IE瀏覽器——工具——internet選項——移除文件,可以把「移除所有離線內容」選上),重新啟動。」