史萊姆論壇 - 查看單個文章

psac · 2006-06-19, 09:05 PM

如何看hijackthis掃瞄出來的日誌

HijackThis日誌細解正文

（一）HijackThis日誌縱覽
R0，R1，R2，R3 Internet Explorer（IE）的預定起始主頁和預定搜索頁的改變
F0，F1，F2，F3 ini文件中的自動載入程式
N1，N2，N3，N4 Netscape/Mozilla 的預定起始主頁和預定搜索頁的改變
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，瀏覽器輔助模塊）
O3 IE瀏覽器的工具條
O4 自啟動項
O5 控制台中被屏蔽的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器（regedit）被管理員禁用
O8 IE的右鍵表菜單中的新增專案
O9 額外的IE「工具」表菜單專案及工具欄按鈕
O10 Winsock LSP「瀏覽器綁架」
O11 IE的高階選項中的新專案
O12 IE插件
O13 對IE預定的URL前綴的修改
O14 對「重置WEB設置」的修改
O15 「受信任的站點」中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX對像
O17 域「劫持」
O18 額外的協議和協議「劫持」
O19 用戶樣式模板表（stylesheet）「劫持」
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項

（二）組別——R

1. 專案說明
R – 註冊表中Internet Explorer（IE）的預定起始主頁和預定搜索頁的改變
R0 - 註冊表中IE主頁/搜索頁預定鍵值的改變
R1 - 新增的註冊表值（V），或稱為鍵值，可能導致IE主頁/搜索頁的改變
R2 - 新增的註冊表項（K），或稱為鍵，可能導致IE主頁/搜索頁的改變
R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值，可能導致IE搜索頁的改變

R3主要出現在URLSearchHooks這一專案上，當我們在IE中輸入錯誤的網址後，瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下，當我們在IE中輸入錯誤的網址後，瀏覽器會使用預定的搜索引擎（如http://search.msn.com/、網路實�...��它網頁。

2. 舉例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）
上面的例子中，預定主頁被改變，指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
這是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
這是3721網路實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤（預定的URLSearchHook丟失）。此錯誤可以用HijackThis修復。

3. 一般建議
對於R0、R1，如果您認得後面的網址，知道它是安全的，甚至那就是您自己這樣設置的，當然不用去修復。否則的話，在那一行前面打勾，然後按「Fix checked」，讓HijackThis修復它。
對於R2項，據HijackThis的作者說，實際上現在還沒有用到。
對於R3，一般總是要選修復，除非它指向一個您認識的程式（比如百度搜索和3721網路實名）。

4. 疑難解析
(1) 偶爾，在這一組的某些專案後面會出現一個特殊的詞——(obfuscated)，例如下面幾個
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)

obfuscated，中文大意為「使混亂，使糊塗迷惑，使過於混亂或模糊，使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的專案在對IE主頁/搜索頁進行修改的同時，還利用各種方法把自己變得不易理解，以躲避人們對註冊表內容的查找辨識（比如直接在註冊表特定位置新增十六進制字元鍵值，電腦認得它，一般人可就不認得了）。

(2) 有些R3專案{ }號後面，會跟上一個下劃線（ _ ），比如下面幾個：

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

這些{ }後面多一個下劃線的R3專案，實際上無法使用HijackThis修復（這是HijackThis本身的一個bug）。如果要修復這樣的專案，需要打開註冊表編輯器（開始——執行——輸入 regedit——按「確定」），找到下面的鍵

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——刪除想要刪除的專案，但要注意不要誤刪以下一項
CFBFAE00-17A6-11D0-99CB-00C04FD64497
這一項是預定的。

請注意，如果是在{ }號前面有一個下劃線，這些專案HijackThis可以正常清除。比如下面的：
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

（3）最近見到不少後面沒有內容的R3項。比如
R3 - URLSearchHook:
懷疑這是3721的專案，如果您安裝了3721，則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

（三）組別——F

** 特別提醒：如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2專案的修改（我指的是config表菜單——Backups表菜單——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。
此bug涉及的註冊表鍵值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit）
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。

1. 專案說明
F - ini文件中的自動執行程式或者註冊表中的等價專案
F0 - ini文件中改變的值，system.ini中啟動的自動執行程式
F1 - ini文件中新增的值，win.ini中啟動的自動執行程式
F2 - 註冊表中system.ini文件映射區中啟動的自動執行程式或註冊表中UserInit項後面啟動的其它程式
F3 - 註冊表中win.ini文件映射區中啟動的自動執行程式

F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程式。
F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程式。在Windows 9X中，System.ini裡面這一項應該是
Shell=explorer.exe
這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預定的。如果在explorer.exe後面加上其它程式名，該程式在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動Windows時也被自動執行。
F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程式。這些程式也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程式以保持相容性，而「Load=」用來載入某些硬體驅動。
F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程式要求這些ini文件中的相關訊息時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡查找需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程式
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處預定的鍵值是(注意後面有個逗號)
C:\WINDOWS\system32\userinit.exe,
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預定指向%System%\userinit.exe
%System%指的是系統文件目錄
對於NT、2000，該鍵值預定為X:\WINNT\system32\userinit.exe
對於XP，該鍵值預定為X:\WINDOWS\system32\userinit.exe
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關訊息的。如果在這裡新增其它程式（在該鍵值中userinit.exe後的逗號後面可以新增其它程式），這些程式在用戶登入後也會被執行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個程式也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。

總之，F項相關的文件包括
c:\windows\system.ini
c:\windows\win.ini
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件
%Windows%目錄指的是Windows安裝目錄
對於NT、2000，Windows安裝目錄為X:\WINNT\
對於XP，Windows安裝目錄為X:\WINDOWS\
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
F項相關的註冊表專案包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中，在system.ini文件中，預定的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中，在win.ini文件中，啟動了hpfsched這個程式，需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。

3. 一般建議
基本上，F0提示的Explorer.exe後面的程式總是有問題的，一般應該修復。
F1後面的需要慎重對待，一些老的程式的確要在這裡載入。所以應該仔細看看載入的程式的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。
對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設置一些軟件開機自啟動，這是題外話了，相信如果是您自己設置的，您一定不會誤刪的。

4. 疑難解析
(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項與預定情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個比較特別，這是廣告程式BlazeFind幹的好事，這個廣告程式修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe替換了userinit.exe，使得註冊表這一項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從預定的
C:\WINDOWS\system32\userinit.exe,
變為
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程式，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程式修改的鍵值恢復預定值，再刪除wsaupdater.exe文件。
該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。
具體訊息清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html

（四）組別——N

1. 專案說明
N - Netscape、Mozilla瀏覽器的預定起始主頁和預定搜索頁的改變
N1 - Netscape 4.x中，瀏覽器的預定起始主頁和預定搜索頁的改變
N2 - Netscape 6中，瀏覽器的預定起始主頁和預定搜索頁的改變
N3 - Netscape 7中，瀏覽器的預定起始主頁和預定搜索頁的改變
N4 - Mozilla中，瀏覽器的預定起始主頁和預定搜索頁的改變

與這些改變相關的文件為prefs.js。

2. 舉例
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

3. 一般建議
一般來說，Netscape和Mozilla的預定起始主頁和預定搜索頁是比較安全的，很少被修改。如果你在預定起始主頁或預定搜索頁看到了一個陌生的地址，可以修復它。
已知，Lop.com（Live Online Portal）這個網站會修改上述N類項。有興趣者請參考此鏈接提供的詳細訊息
http://www.doxdesk.com/parasite/lop.html

4. 疑難解析
（暫無）

（五）組別——O1（字母O，代表Other即「其它」類，以下各組同屬O類）

1. 專案說明
O1代表在hosts文件中對某個網址與IP地址的映射。在瀏覽器中輸入網址時，瀏覽器會先檢查hosts文件中是否存在該網址的映射，如果有，則直接連接到相應IP地址，不再請求DNS域名解析。這個方法可以用來加快瀏覽速度，也可能被木馬等惡意程式用來打開某些網址、屏蔽某些網址。
這個hosts文件在系統中的通常位置為
C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）
注意，沒有延伸名。

該文件的一般格式類似

219.238.233.202 www.rising.com.cn

注意，IP地址在前，空格後為網址，下一個映射另起一行。（若有#，則#後的部分作為註釋，不起作用。）
上面的例子中，瑞星的主頁http://www.rising.com.cn和IP地址2...��搜索頁。

2. 舉例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，預定搜索頁（auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預定搜索頁）被指向了216.177.73.139這個IP地址。造成每次使用瀏覽器的搜索功能，都被帶到216.177.73.139這個地方。

下面是XP的原始Hosts文件的內容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#開始的行都是註釋內容，不起作用。最後一行指明本機主機（localhost）的IP地址為127.0.0.1（這是預定的）。

3. 一般建議
HijackThis報告O1項時，一般建議修復它，除非是您自己在Hosts文件中如此設置的。

4. 疑難解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中，那麼很可能感染了CoolWebSearch（跟上面提到的Lop.com一樣著名的惡意網站家族），應該使用HijackThis修復相關項。當然，別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）。

2006-06-19, 09:05 PM	#30 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	如何看hijackthis掃瞄出來的日誌 HijackThis日誌細解正文（一）HijackThis日誌縱覽 R0，R1，R2，R3 Internet Explorer（IE）的預定起始主頁和預定搜索頁的改變 F0，F1，F2，F3 ini文件中的自動載入程式 N1，N2，N3，N4 Netscape/Mozilla 的預定起始主頁和預定搜索頁的改變 O1 Hosts文件重定向 O2 Browser Helper Objects（BHO，瀏覽器輔助模塊） O3 IE瀏覽器的工具條 O4 自啟動項 O5 控制台中被屏蔽的IE選項 O6 IE選項被管理員禁用 O7 註冊表編輯器（regedit）被管理員禁用 O8 IE的右鍵表菜單中的新增專案 O9 額外的IE「工具」表菜單專案及工具欄按鈕 O10 Winsock LSP「瀏覽器綁架」 O11 IE的高階選項中的新專案 O12 IE插件 O13 對IE預定的URL前綴的修改 O14 對「重置WEB設置」的修改 O15 「受信任的站點」中的不速之客 O16 Downloaded Program Files目錄下的那些ActiveX對像 O17 域「劫持」 O18 額外的協議和協議「劫持」 O19 用戶樣式模板表（stylesheet）「劫持」 O20 註冊表鍵值AppInit_DLLs處的自啟動項 O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項 O22 註冊表鍵SharedTaskScheduler處的自啟動項（二）組別——R 1. 專案說明 R – 註冊表中Internet Explorer（IE）的預定起始主頁和預定搜索頁的改變 R0 - 註冊表中IE主頁/搜索頁預定鍵值的改變 R1 - 新增的註冊表值（V），或稱為鍵值，可能導致IE主頁/搜索頁的改變 R2 - 新增的註冊表項（K），或稱為鍵，可能導致IE主頁/搜索頁的改變 R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值，可能導致IE搜索頁的改變 R3主要出現在URLSearchHooks這一專案上，當我們在IE中輸入錯誤的網址後，瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下，當我們在IE中輸入錯誤的網址後，瀏覽器會使用預定的搜索引擎（如http://search.msn.com/、網路實�...��它網頁。 2. 舉例 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ （HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）上面的例子中，預定主頁被改變，指向了新的地址http://www.google.com/。 R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL 這是百度搜索 R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL 這是3721網路實名 R3 - Default URLSearchHook is missing 這是報告發現一個錯誤（預定的URLSearchHook丟失）。此錯誤可以用HijackThis修復。 3. 一般建議對於R0、R1，如果您認得後面的網址，知道它是安全的，甚至那就是您自己這樣設置的，當然不用去修復。否則的話，在那一行前面打勾，然後按「Fix checked」，讓HijackThis修復它。對於R2項，據HijackThis的作者說，實際上現在還沒有用到。對於R3，一般總是要選修復，除非它指向一個您認識的程式（比如百度搜索和3721網路實名）。 4. 疑難解析 (1) 偶爾，在這一組的某些專案後面會出現一個特殊的詞——(obfuscated)，例如下面幾個 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) obfuscated，中文大意為「使混亂，使糊塗迷惑，使過於混亂或模糊，使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的專案在對IE主頁/搜索頁進行修改的同時，還利用各種方法把自己變得不易理解，以躲避人們對註冊表內容的查找辨識（比如直接在註冊表特定位置新增十六進制字元鍵值，電腦認得它，一般人可就不認得了）。 (2) 有些R3專案{ }號後面，會跟上一個下劃線（ _ ），比如下面幾個： R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file) R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 這些{ }後面多一個下劃線的R3專案，實際上無法使用HijackThis修復（這是HijackThis本身的一個bug）。如果要修復這樣的專案，需要打開註冊表編輯器（開始——執行——輸入 regedit——按「確定」），找到下面的鍵 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——刪除想要刪除的專案，但要注意不要誤刪以下一項 CFBFAE00-17A6-11D0-99CB-00C04FD64497 這一項是預定的。請注意，如果是在{ }號前面有一個下劃線，這些專案HijackThis可以正常清除。比如下面的： R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file) （3）最近見到不少後面沒有內容的R3項。比如 R3 - URLSearchHook: 懷疑這是3721的專案，如果您安裝了3721，則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。（三）組別——F ** 特別提醒：如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2專案的修改（我指的是config表菜單——Backups表菜單——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。此bug涉及的註冊表鍵值是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit 一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell 所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit） F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。 1. 專案說明 F - ini文件中的自動執行程式或者註冊表中的等價專案 F0 - ini文件中改變的值，system.ini中啟動的自動執行程式 F1 - ini文件中新增的值，win.ini中啟動的自動執行程式 F2 - 註冊表中system.ini文件映射區中啟動的自動執行程式或註冊表中UserInit項後面啟動的其它程式 F3 - 註冊表中win.ini文件映射區中啟動的自動執行程式 F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程式。 F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程式。在Windows 9X中，System.ini裡面這一項應該是 Shell=explorer.exe 這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預定的。如果在explorer.exe後面加上其它程式名，該程式在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如 Shell=explorer.exe trojan.exe 這樣就可以使得trojan.exe在啟動Windows時也被自動執行。 F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程式。這些程式也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程式以保持相容性，而「Load=」用來載入某些硬體驅動。 F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程式要求這些ini文件中的相關訊息時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡查找需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程式 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 此處預定的鍵值是(注意後面有個逗號) C:\WINDOWS\system32\userinit.exe, （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預定指向%System%\userinit.exe %System%指的是系統文件目錄對於NT、2000，該鍵值預定為X:\WINNT\system32\userinit.exe 對於XP，該鍵值預定為X:\WINDOWS\system32\userinit.exe 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關訊息的。如果在這裡新增其它程式（在該鍵值中userinit.exe後的逗號後面可以新增其它程式），這些程式在用戶登入後也會被執行。比如將其鍵值改為 C:\windows\system32\userinit.exe,c:\windows\trojan.exe 則c:\windows\trojan.exe這個程式也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。總之，F項相關的文件包括 c:\windows\system.ini c:\windows\win.ini （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件 %Windows%目錄指的是Windows安裝目錄對於NT、2000，Windows安裝目錄為X:\WINNT\ 對於XP，Windows安裝目錄為X:\WINDOWS\ 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。） F項相關的註冊表專案包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 2. 舉例 F0 - system.ini: Shell=Explorer.exe trojan.exe 上面的例子中，在system.ini文件中，預定的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。 F1 - win.ini: run=hpfsched 上面的例子中，在win.ini文件中，啟動了hpfsched這個程式，需要分析。 F2 - REG:-System.ini: UserInit=userinit,trojan.exe 上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe F2 - REG:-System.ini: Shell=explorer.exe trojan.exe 上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。 3. 一般建議基本上，F0提示的Explorer.exe後面的程式總是有問題的，一般應該修復。 F1後面的需要慎重對待，一些老的程式的確要在這裡載入。所以應該仔細看看載入的程式的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設置一些軟件開機自啟動，這是題外話了，相信如果是您自己設置的，您一定不會誤刪的。 4. 疑難解析 (1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe 注意到這一項與預定情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。 (2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。 (3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 這一個比較特別，這是廣告程式BlazeFind幹的好事，這個廣告程式修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe替換了userinit.exe，使得註冊表這一項 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 的鍵值從預定的 C:\WINDOWS\system32\userinit.exe, 變為 C:\Windows\System32\wsaupdater.exe, 如果您使用Ad-aware 6 Build 181清除該廣告程式，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程式修改的鍵值恢復預定值，再刪除wsaupdater.exe文件。該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。具體訊息清參考 http://www.lavahelp.com/articles/v6/04/06/0901.html （四）組別——N 1. 專案說明 N - Netscape、Mozilla瀏覽器的預定起始主頁和預定搜索頁的改變 N1 - Netscape 4.x中，瀏覽器的預定起始主頁和預定搜索頁的改變 N2 - Netscape 6中，瀏覽器的預定起始主頁和預定搜索頁的改變 N3 - Netscape 7中，瀏覽器的預定起始主頁和預定搜索頁的改變 N4 - Mozilla中，瀏覽器的預定起始主頁和預定搜索頁的改變與這些改變相關的文件為prefs.js。 2. 舉例 N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 3. 一般建議一般來說，Netscape和Mozilla的預定起始主頁和預定搜索頁是比較安全的，很少被修改。如果你在預定起始主頁或預定搜索頁看到了一個陌生的地址，可以修復它。已知，Lop.com（Live Online Portal）這個網站會修改上述N類項。有興趣者請參考此鏈接提供的詳細訊息 http://www.doxdesk.com/parasite/lop.html 4. 疑難解析（暫無）（五）組別——O1（字母O，代表Other即「其它」類，以下各組同屬O類） 1. 專案說明 O1代表在hosts文件中對某個網址與IP地址的映射。在瀏覽器中輸入網址時，瀏覽器會先檢查hosts文件中是否存在該網址的映射，如果有，則直接連接到相應IP地址，不再請求DNS域名解析。這個方法可以用來加快瀏覽速度，也可能被木馬等惡意程式用來打開某些網址、屏蔽某些網址。這個hosts文件在系統中的通常位置為 C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）或 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）或 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）注意，沒有延伸名。該文件的一般格式類似 219.238.233.202 www.rising.com.cn 注意，IP地址在前，空格後為網址，下一個映射另起一行。（若有#，則#後的部分作為註釋，不起作用。）上面的例子中，瑞星的主頁http://www.rising.com.cn和IP地址2...��搜索頁。 2. 舉例 O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 在上面的例子中，預定搜索頁（auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預定搜索頁）被指向了216.177.73.139這個IP地址。造成每次使用瀏覽器的搜索功能，都被帶到216.177.73.139這個地方。下面是XP的原始Hosts文件的內容 # Copyright (C) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a `#` symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 所有以#開始的行都是註釋內容，不起作用。最後一行指明本機主機（localhost）的IP地址為127.0.0.1（這是預定的）。 3. 一般建議 HijackThis報告O1項時，一般建議修復它，除非是您自己在Hosts文件中如此設置的。 4. 疑難解析 O1 - Hosts file is located at C:\Windows\Help\hosts 如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中，那麼很可能感染了CoolWebSearch（跟上面提到的Lop.com一樣著名的惡意網站家族），應該使用HijackThis修復相關項。當然，別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次