組別——O14
1. 項目說明
O14提示IERESET.INF文件中的改變,也就是對internet選項中「程序」選擇項內的「重置WEB設定」的修改。該IERESET.INF文件儲存著IE的預設設定訊息,如果其內容被惡意程序改變,那麼一旦您使用「重置WEB設定」功能,就會再次啟動那些惡意修改。
2. 舉例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
3. 一般建議
如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者(ISP),可以使用HijackThis修復。
4. 疑難解析
(暫無)
組別——O15
1. 項目說明
O15項目提示「受信任的站點」中的不速之客,也就是那些未經您同意自動增加到「受信任的站點」中的網址。「受信任的站點」中的網址享有最低的安全限制,可以使得該網址上的惡意指令碼、小程序等更容易躲過用戶自動執行。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
2. 舉例
O15 - Trusted Zone:
http://free.aol.com
3. 一般建議
如果不認得該網站,建議使用HijackThis來修復。
4. 疑難解析
(暫無)
組別——O16
1. 項目說明
O16 - 下載的程式文件,就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路,存放在Downloaded Program Files目錄下,其CLSID記錄在註冊表中。
2. 舉例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/s...sh/swflash.cab
用來看flash的東東,相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) -
http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在線查毒。
3. 一般建議
如果不認得這些ActiveX對象的名字,或者不知道其相關的下載URL,建議使用搜尋引擎查詢一下,然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣, 一般應該修復。HijackThis修復O16項時,會移除相關文件。但對於某些O16項,雖然選項了讓HijackThis修復,卻沒能夠移除相關文件。若遇到此情況,建議啟動到安全模式來修復、移除該檔案。
4. 疑難解析
(暫無)
組別——O17
1. 項目說明
O17提示「域劫持」,這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過,當在瀏覽器中輸入網址時,如果hosts文件中沒有相關的網址映射,將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定,把其指向惡意網站,那麼當然是它們指哪兒您去哪兒啦!
2. 舉例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
3. 一般建議
如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的,請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復,似乎已知的需要修復的O17項也就此一個。
4. 疑難解析
(暫無)
組別——O18
1. 項目說明
O18項列舉現有的傳輸協定(protocols)用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。
通過將您的電腦的預設傳輸協定取代為自己的傳輸協定,惡意網站可以通過多種方式控制您的電腦、監控您的訊息。
HijackThis會列舉出預設傳輸協定以外的額外增加的傳輸協定,並列出其在電腦上的儲存位置。
2. 舉例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
3. 一般建議
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜,可能(只是可能)有一些間諜軟體存在,需要進一步查詢資料、綜合分析。
4. 疑難解析
(暫無)