資訊 - 首頁綁架者剋星HijackThis 日誌分析!!!

psac · 2004-10-23, 06:01 AM

許多不熟悉瀏覽器綁架的人發表文章，詢問如何通過份析HijackThis的日誌來獲得說明，因為他們不理解哪些內容是無害的，而哪些內容是有害的。

本文是一個關於日誌含義的基本指南，並包含一些有助於獨立閱讀本文的提示。

本文決不能替代在請求說明的解答，而只是在某種程度上說明您自己理解日誌的含義。

已做好的Word文件我已已壓縮成RAR文件上傳，在附件中，直接下載就ok了。

HijackThis 日誌分析
——如何識別有害訊息

________________________________________
概述
HijcakThis日誌中的每一行以一個分類名稱開始。

（要檢視這一主旨的技術訊息，按下主視窗中的「Info」按鈕，並向下滾動視窗，突出顯示某一行並按下「More info on this item」按鈕即可。）

要檢視實用訊息，按下需要獲得說明的分類名稱：

• R0, R1, R2, R3 – IE起始頁/搜尋頁 URL
• F0, F1 – 自動載入程序
• N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL
• O1 – 主機文件重轉發IP
• O2 – 瀏覽器輔助對像
• O3 – IE工作列
• O4 – 從註冊表自動載入程序
• O5 – 使IE選項的圖示在控制台中不可見
• O6 –由管理員限制的對IE選項的訪問
• O7 –由管理員限制的對註冊表編輯器的訪問
• O8 – IE右鍵表單中的額外項
• O9 – 主IE按鈕工作列上的額外按鈕，或IE「工具」表單中的額外項
• O10 – Winsock綁架程序
• O11 – IE「進階選項」視窗中的額外組
• O12 – IE插件
• O13 – IE DefaultPrefix綁架
• O14 – 「重置Web設定」綁架
• O15 – 受信任區域中的有害站點
• O16 – ActiveX對像（aka 下載的程式文件）
• O17 – Lop.com域綁架程序
• O18 – 額外傳輸協定和傳輸協定綁架程序
• O19 – 用戶樣式表綁架
R0、R1、R2、R3－IE起始頁和搜尋頁

症狀：

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 –Default URLSearchHook is missing

治療方案：

如果結尾的URL是您的主頁或搜尋引擎，那就不用管它。如果您不認可，請檢查一下並用HijcakThis修復。

對於R3項，始終修復它們，直到它提及一個您認可的程序為止，比如Copernic。
________________________________________
F0、F1－自動載入程序

症狀：

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

治療方案：

F0項始終是有害的，因此要修復它們。

F1項通常是存在很長時間的安全程序，因此您應該根據其檔案名搜尋與該檔案有關的更多訊息，以確定它是無害的還是有害的。

________________________________________
N1、N2、N3、N4－Netscape/Mozilla起始頁和搜尋頁

症狀：

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

治療方案：

通常情況下，Netacape和Mozilla的主頁及搜尋頁是安全的。

它們極少被綁架。主頁和搜尋頁的URL不是您認可的，請用HilackThis修復它。

________________________________________
O1－主機文件重轉發IP

症狀：

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

治療方案：

這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址，那麼在您每次按鍵輸入該位址時，您將被重轉發IP到一個錯誤的站點。

始終用HilackThis修復它們，除非您故意將這些行放到主機文件中。

________________________________________
O2－瀏覽器輔助對像

症狀：

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

治療方案：

如果您無法直接識別某個瀏覽器輔助對象的名稱，可以使用TonyK的 BHO 列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。

在BHO列表中，『X』代表偵探軟體，『L』代表安全。

________________________________________
O3－IE工作列

症狀：

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

治療方案：

如果您不能直接識別工作列的名稱，可以使用TonyK的工作列列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。

在工作列列表中，『X』代表偵探軟體，『L』代表安全。

如果它不在列表中，而且其名稱似乎是一個隨機的字元串，並且該檔案位於一個名為『Application Data』的資料夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。

________________________________________

psac · 2004-10-23, 06:03 AM

O4－從註冊表自動載入程序

症狀：

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

治療方案：

使用PacMan的啟動列表來搜尋這些列項，以確定它們是無害的還是有害的。
________________________________________
O5－使IE選項在控制台中不可見
症狀：

O5 - control.ini: inetcpl.cpl=no

治療方案：

除非故意隱藏控制台中的圖示，否則用HijackThis修復它。
________________________________________
O6－由管理員限制的對IE選項的訪問

症狀：

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

治療方案：

除非啟動了 Spybot S&D 選項「Lock homepage from changes」，否則用HijackThis修復這一項。
________________________________________
O7－由管理員限制的對註冊表編輯器的訪問

症狀：

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

治療方案：

始終用HijackThis修復這一項。
________________________________________
O8－IE右鍵表單中的額外項

症狀：

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

治療方案：

如果不能識別IE右鍵表單中的項目名稱，用HijackThis修復它。
________________________________________
O9－主IE工作列上的額外按鈕，或IE「工具」表單中的額外項

症狀：

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

治療方案：

如果不能識別按鈕或表單項的名稱，用hijackThis修復它。
________________________________________
O10－Wincock綁架程序

症狀：

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

治療方案：

最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修復這些項。
________________________________________
O11－IE「進階選項」視窗中的額外組

症狀：

O11 - Options group: [CommonName] CommonName

治療方案：

現在，惟一將其自身的選項組增加到IE 進階選項視窗中的綁架程序是CommonName。因此您始終可以用HijackThis修復這一項。
________________________________________
O12－IE插件

症狀：

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

治療方案：

大部分時間內，這些項是安全的。只有OnFlow在這裡增加了一個您不想要的插件（.ofb）。
________________________________________
O13－IE DefaultPrefix綁架

症狀：

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

治療方案：

這些項始終是有害的。用HijackThis修復它們。
________________________________________
O14－『重置Web設定』綁架

症狀：

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

治療方案：

如果該URL不是您電腦的廠商或您的ISP，用HijackThis修復它。
________________________________________
O15－受信任區域中的有害站點

症狀：

O15 - Trusted Zone: http://free.aol.com

治療方案：

迄今為止，只有AOL傾向於將自身增加到您的受信任區域，從而允許它執行任何它想要執行的ActiveX。始終用HijackThis修復這一項。

________________________________________
O16－Active對像（aka 下載的程式文件）

症狀：

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

治療方案：

如果您你不能識別對像名稱，或它下載文件的URL，用HijackThis修復它。如果名稱或URL中包含下列單詞，比如『dialer』、『casino』、『free-pludin』等等，那麼一定要修復它。
________________________________________
O17－Lop.com域綁架

症狀：

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

治療方案：

如果域不是來自您的ISP或公司的網路，用HijackThis修復它。
________________________________________
O18－額外傳輸協定和傳輸協定綁架程序

症狀：

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

治療方案：

這裡只顯示了少數綁架程序。惡名昭著的還有『cn』（CommonName），『ayb』（Lop.com）和『relatedlinks』（Huntbar），您應該用Hijackthis修復這些項。

顯示的其他情況要麼是未被驗證為安全的，要麼是被偵探軟體綁架的。如果是後一種情況，用HijackThis修復它。
________________________________________
O19－用戶樣式表綁架

症狀：

O19 - User style sheet: c:\WINDOWS\Java\my.css

治療方案：

在瀏覽器速度變慢並頻繁彈出各種消息的情況下，如果這一項顯示在日誌中，用HijackThis修復它。

psac · 2006-02-12, 04:51 AM

網頁安全嚴防死守 IE瀏覽器被篡改完全揭秘

最近這段時間線人們上網衝浪時常常會碰到一件令人反感的事，就是在瀏覽一些網站�多為個人主頁　後IE瀏覽器的標題欄被篡改成了諸如「歡迎訪問……網站」的字樣，IE的起始頁、主頁預設頁也被設定成了那些網站的網址，更有甚者在訪問者的IE右鍵功能表中加入了那些網站的名字。這都是那些網站為了宣傳自己的網站通過在網頁中嵌入 javascript指令碼語言來修改瀏覽者的註冊表中相應的鍵值造成的，讓我們這些「網蟲」很煩。那我們怎樣恢復IE的「本來面目」呢？讓我們將其「個個擊破」。

　　篡改IE標題欄

　　症狀：IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式，這是最一般的篡改手段，受害者眾多。

　　涉及子鍵：

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window title

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window title

　　說明：這兩個「Window title」子鍵的鍵值就是IE標題欄中的標題。

　　修復方法：執行註冊表編輯器regedit.exe，展開上述兩個子鍵，將這兩個子鍵的鍵值修改為「Microsoft Internet Explorer」(IE預設值)，或者你也可以將鍵值改為像「我的專用瀏覽器」這樣體現個性的標題，重新執行IE就可以看到效果了。怎麼樣？是不是感到很親切？

　　篡改IE起始頁

　　症狀：這裡所說的IE起始頁就是一執行IE就會自動開啟的網頁，也就是說起始頁被改成了篡改網站的網址。

　　涉及子鍵：

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

　　說明：這個子鍵的鍵值就是IE起始頁的網址。

　　修復方法：執行註冊表編輯器，展開上述子鍵，將「Start Page」子鍵的鍵值修改為某個網址即可。如果你不想一執行IE就自動開啟某網頁的話，你可以將IE起始頁設為空白頁，即將「Start Page」子鍵的鍵值修改為「about�blank」，重新執行IE就可以看到效果了。其實也可以通過IE的選項設定來更改IE的起始頁，設定方法：點擊「工具/Internet選項」，在「主頁」中輸入起始頁。

　　特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自執行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。

　　修復方法：執行註冊表編輯器regedit．exe，然後依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current Version\Run主鍵，然後將其下的registry．exe子鍵移除，然後移除自執行程序c:\Program Files\registry.exe，最後從IE選項中重新設定起始頁就好了。

　　篡改IE起始頁的預設頁

　　症狀：有些IE被改了起始頁後，即使設定了「使用預設頁」仍然無效，這是因為IE起始頁的預設頁也被篡改啦。

　　涉及子鍵：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

　　說明：該子鍵的鍵值即起始頁的預設頁。

　　修復方法：執行註冊表編輯器，然後展開上述子鍵，將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設定為IE的預設值。

　　篡改IE預設的搜尋引擎

　　症狀：在IE瀏覽器的工作列中有一個搜尋引擎的工具按鈕，可以實現網路搜尋，被篡改後只要點擊那個搜尋工具按鈕就會連接到那個篡改網站。

　　涉及子鍵：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

　　修復方法：執行註冊表編輯器，依次展開上述子鍵，將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可。

　　篡改IE右鍵功能表

　　症狀：當你在瀏覽網頁的時候右擊滑鼠的時候在彈出功能表中有一項「歡迎訪問……網站」的話你會怎樣？是不是有一種惡魔纏身的感覺？

　　涉及子鍵：

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\歡迎訪問……網站

　　說明：「MenuExt」主鍵是IE增強功能表項的控制主鍵，如果你機器裡安裝了網際快車或者網路螞蟻的話，在這個子鍵下面就能看到「使用網際快車下載」這樣的子鍵啦。

　　修復方法：執行註冊表編輯器，開上述主鍵，在「MenuExt」主鍵下面就會有「歡迎訪問……網站」相似內容的主鍵，將其移除，但是在移除之前你可以展開這個主鍵看一下，在這裡面有一個連接開啟一個HTML文件的子鍵，看看這個文件路徑，然後根據路徑將這個文件也移除(注意，這個HTML文件被設定了隱藏內容，從功能表選項「檢視/資料夾選項/檢視頁/顯示所有文件」即可看見它啦！)。這樣才徹底清楚乾淨，是不是有種如釋重負的感覺？哈哈！

　　系統啟動時彈出對話視窗

　　症狀：開機時，會彈出推薦網站「歡迎訪問http://www……」樣式的視窗。進入系統後，?/a>|自動開啟IE瀏覽器，自動訪問預設主頁http://www…… 並且無法更改。

　　涉及子鍵：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

　　Winlogon\LegalNoticeCaption

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

　　Winlogon\LegalNoticeText

　　說明：其實這個主鍵與IE並不相關，而是Windows登入提示對話視窗的控制項。

　　修復方法：執行註冊表編輯器，然後依次展開上述主鍵，將「LegalNoticeCaption」和「LegalNoticeText」主鍵移除就萬事大吉啦。

　　小結上面介紹了幾種篡改手段所涉及到的子鍵以及恢復方法，但是有些篡改網站所涉及的子鍵以及放置自啟動程序的路徑會不盡相同或者還有新的篡改「技術」出現，那怎麼辦？不要緊，我們還有一招，可以以不變應萬變。當你不清楚它們修改了註冊表哪個子鍵的時候，你可以「透過現象看本質」，進入註冊表編輯器，然後按「F3」鍵開啟「搜尋」，搜尋內容就是那個篡改網站的網站名或者網址，當找到後你可以對相應鍵值或移除或修改，然後再按「F3」鍵「搜尋下一個」，直到將它們清理乾淨了才罷休。對於設定了自執行程序或者設定了文件連接的情況，你還要根據文件路徑順籐摸瓜直搗黃龍得而誅之以圖後快，哈哈！

　　當然最治標治本的方法就是那些做網頁的「大蝦」朋友能夠早日良心發現迷途知返，讓我們這些小小「菜鳥」上網的時候多些安全感啊，不然真的成了驚弓之鳥啦！以上這些就是近來「流行」的篡改手段的大揭密，希望對大家有一點作用!

psac · 2006-02-12, 04:53 AM

遇到病毒/木馬等惡意程序時常要的操作【給新手】

一般大家遇到病毒的時候,首先做的就是殺毒,如果殺毒軟體也無法清除,那麼就要自行手動式清除了.
現在向大家講解一下,手動式清除病毒(木馬,惡意程序)以及恢復病毒(木馬,惡意程序)對系統的改變的技巧.

1.如何清空IE臨時文件
首先開啟IE瀏覽器,選項[工具]展開功能表,按下[Internet 選項],按下[移除文件],就可以順利移除IE臨時文件.

2.如何顯示所有文件和資料夾?
雙按[我的電腦],選項[工具]展開功能表,按下[資料夾選項],按下[檢視],勾上[顯示所有文件和資料夾],把[隱藏受保護的操作系統檔案(推薦)]去掉勾.再按[確定]按鈕即可.

3.如何禁用/關閉[系統還原]功能?
[我的電腦]右鍵按下,展開功能表按下[內容],按下[系統還原]按鈕,把[在所有驅動器上關閉系統還原]勾上,再按[確定]按鈕即可.

4.如何進入安全模式?
開啟電腦(如果電腦正在執行,就請重新啟動電腦)
Windows Xp 進入安全模式方法:
在電腦開啟BIOS載入完之後,迅速按下F8鍵,在出現的WindowsXP進階選項功能表中Enter鍵按下[安全模式].
Windows 2000 進入安全模式方法:
啟動Windows2000時,當看到白色箭頭的進度條,按下F8鍵,出現Windows2000進階選項功能表中Enter鍵按下[安全模式].
Windows98/Me 進入安全模式方法:
啟動Windows98/Me時,當出現[Starting Windows 98]的時候,迅速按下F8鍵,按下啟動功能表中選項第三項[Safe Mode].

5.如何修覆文件關聯?
http://www.dougknox.com/xp/file_assoc.htm
在以上的網站,下載所需要修復關聯的 reg,下載後雙按匯入,即可修復該關聯.

6.如何禁用某個Windows 服務?
雙按[我的電腦],雙按[控制台],雙按[系統管理工具],雙按[服務],即可看見所有WINDOWS的服務,雙按某個需要禁用的服務, 把[啟動檔案類型]設定為[已禁用],把[服務狀態]設定為[停止],即可.
如果在服務列表看不見所要禁用的服務(某些病毒的服務是看不到的).
我們可以在[開始],[執行],輸入[regedit],開啟註冊表編輯器,展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到服務的名稱,按下,看右邊,修改:ErrorControl,修改鍵值為1(0是允許).

7.如何移除一些不能移除的文件?
有時候,清除病毒的時候,會遇到移除不到的文件,這時候就需要利用一些軟體來移除,或者進入安全模式直接移除,這裡介紹一下軟體移除.我們利用到的軟體就是killbox.
http://download.pchome.net/utility/a...ers/19347.html
這裡下載killbox,解壓縮,雙按開啟執行,
驗證了要移除的文件,再填上文件的完整路徑,或通過遊覽選此文件,然後在按下旁邊的紅x.(某些文件可能需要重啟電腦)

8.如何移除一些不能移除的文件[方法二]?
使用Unlocker:http://www.51ct.cn/downinfo/41.html

9.如何簡單快捷使用 HijackThis 掃瞄系統?
1.下載最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
2.解開hijackthis.zip,執行HijackThis.exe
3.點擊 Do a system scan and save a logfile
4.掃瞄完成後,一個記事本彈出來,你可以把裡面的Log發上來,供高手分析.

10.如何簡單快捷使用 System Repair Engineer 掃瞄系統?
下載最新官方版本 System Repair Engineer 2.0.12.350:
http://www.kztechs.com/sreng/download.html
使用方法: 解壓到隨意資料夾,執行SREng.exe,點擊"智能掃瞄"->"掃瞄"->"儲存報告".然後把報告發上來供高手分析.

11.如何快捷檢視啟動項目?
[開始]--->[執行]--->輸入"msconfig",不帶引號--->點擊[啟動]--->即可檢視啟動項目.[通過這步操作,也可以檢視服務項目,以及其它]

12.如何快捷檢視服務項目?
[開始]--->[執行]--->輸入"services.msc",不帶引號.便可檢視服務列表,指導服務啟動關閉狀態,對服務的啟動,停止,手動等操作.

13.如何快捷開啟註冊表編輯器?
[開始]--->[執行]--->輸入"regedit",不帶引號,便可對註冊表進行寫,移除,增加等動作,如果不熟悉,請別亂操作,否則可能會導致Windows崩潰!

psac · 2006-02-12, 04:55 AM

HijackThis日誌細解(最後更新:2005-03-30)

為了解決大家在使用HijackThis中的問題,經過原作者論壇反瀏覽器劫持版主的同意,現在特將他的傳統教學帖"HijackThis日誌細解"轉入安全區,供大家學習.

注意:本教學版權歸風之詠者所有,轉載前請與風之詠者聯係,請保護網上的原創作品,謝謝大家!

日誌項縱覽
R0，R1，R2，R3 Internet Explorer（IE）的預設起始主頁和預設搜尋頁的改變
F0，F1，F2，F3 ini文件中的自動載入程序
N1，N2，N3，N4 Netscape/Mozilla 的預設起始主頁和預設搜尋頁的改變
O1 Hosts文件重轉發IP
O2 Browser Helper Objects（BHO，瀏覽器輔助模組）
O3 IE瀏覽器的工具條
O4 自啟動項
O5 控制台中被遮閉的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器（regedit）被管理員禁用
O8 IE的右鍵功能表中的新增項目
O9 額外的IE「工具」功能表項目及工作列按鈕
O10 Winsock LSP「瀏覽器綁架」
O11 IE的進階選項中的新項目
O12 IE插件
O13 對IE預設的URL前綴的修改
O14 對「重置WEB設定」的修改
O15 「受信任的站點」中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX對像
O17 域「劫持」
O18 額外的傳輸協定和傳輸協定「劫持」
O19 用戶樣式表（stylesheet）「劫持」
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項
O23 載入的系統服務

組別——R
1. 項目說明

R – 註冊表中Internet Explorer（IE）的預設起始主頁和預設搜尋頁的改變
R0 - 註冊表中IE主頁/搜尋頁預設鍵值的改變
R1 - 新增的註冊表值（V），或稱為鍵值，可能導致IE主頁/搜尋頁的改變
R2 - 新增的註冊表項（K），或稱為鍵，可能導致IE主頁/搜尋頁的改變
R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值，可能導致IE搜尋頁的改變

R3主要出現在URLSearchHooks這一項目上，當我們在IE中輸入錯誤的網址後，瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下，當我們在IE中輸入錯誤的網址後，瀏覽器會使用預設的搜尋引擎（如http://search.msn.com/、網路實名等）來搜尋匹配項目。如果HijackThis報告R3項，相關的「瀏覽器綁架」現象可能是：當在IE中輸入錯誤的網址後，被帶到某個莫名其妙的搜尋網站甚至其它網頁。

2. 舉例

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）
上面的例子中，預設主頁被改變，指向了新的位址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
這是百度搜尋
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
這是3721網路實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤（預設的URLSearchHook丟失掉）。此錯誤可以用HijackThis修復。

3. 一般建議
對於R0、R1，如果您認得後面的網址，知道它是安全的，甚至那就是您自己這樣設定的，當然不用去修復。否則的話，在那一行前面打勾，然後按「Fix checked」，讓HijackThis修復它。
對於R2項，據HijackThis的作者說，實際上現在還沒有用到。
對於R3，一般總是要選修復，除非它指向一個您認識的程序（比如百度搜尋和3721網路實名）。

4. 疑難解析

(1) 偶爾，在這一組的某些項目後面會出現一個特殊的詞——(obfuscated)，例如下面幾個
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)

obfuscated，中文大意為「使混亂，使糊塗迷惑，使過於混亂或模糊，使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的項目在對IE主頁/搜尋頁進行修改的同時，還利用各種方法把自己變得不易理解，以躲避人們對註冊表內容的搜尋辨識（比如直接在註冊表特定位置增加十六進制字元鍵值，電腦認得它，一般人可就不認得了）。

(2) 有些R3項目{ }號後面，會跟上一個底線（ _ ），比如下面幾個：

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

這些{ }後面多一個底線的R3項目，實際上無法使用HijackThis修復（這是HijackThis本身的一個bug）。如果要修復這樣的項目，需要開啟註冊表編輯器（開始——執行——輸入 regedit——按「確定」），找到下面的鍵

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——移除想要移除的項目，但要注意不要誤刪以下一項
CFBFAE00-17A6-11D0-99CB-00C04FD64497
這一項是預設的。

請注意，如果是在{ }號前面有一個底線，這些項目HijackThis可以正常清除。比如下面的：
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

（3）最近見到不少後面沒有內容的R3項。比如
R3 - URLSearchHook:
懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

** 特別提醒：

如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2項目的修改（我指的是config功能表——Backups功能表——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。
此bug涉及的註冊表鍵值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit）
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。

組別——F
1. 項目說明

F - ini文件中的自動執行程序或者註冊表中的等價項目
F0 - ini文件中改變的值，system.ini中啟動的自動執行程序
F1 - ini文件中新增的值，win.ini中啟動的自動執行程序
F2 - 註冊表中system.ini文件映射區中啟動的自動執行程序或註冊表中UserInit項後面啟動的其它程序
F3 - 註冊表中win.ini文件映射區中啟動的自動執行程序

F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程序。
F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程序。在Windows 9X中，System.ini裡面這一項應該是
Shell=explorer.exe
這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預設的。如果在explorer.exe後面加上其它程式名稱，該程序在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動Windows時也被自動執行。
F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程序。這些程序也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程序以保持相容性，而「Load=」用來載入某些硬體驅動。
F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程序要求這些ini文件中的相關資訊時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡搜尋需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處預設的鍵值是(注意後面有個逗號)
C:\WINDOWS\system32\userinit.exe,
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預設指向%System%\userinit.exe
%System%指的是系統檔案目錄
對於NT、2000，該鍵值預設為X:\WINNT\system32\userinit.exe
對於XP，該鍵值預設為X:\WINDOWS\system32\userinit.exe
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關資訊的。如果在這裡增加其它程序（在該鍵值中userinit.exe後的逗號後面可以增加其它程序），這些程序在用戶登入後也會被執行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個程序也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。

總之，F項相關的文件包括
c:\windows\system.ini
c:\windows\win.ini
（根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件
%Windows%目錄指的是Windows安裝目錄
對於NT、2000，Windows安裝目錄為X:\WINNT\
對於XP，Windows安裝目錄為X:\WINDOWS\
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）
F項相關的註冊表項目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例

F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中，在system.ini文件中，預設的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中，在win.ini文件中，啟動了hpfsched這個程序，需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。

3. 一般建議

基本上，F0提示的Explorer.exe後面的程序總是有問題的，一般應該修復。
F1後面的需要慎重對待，一些老的程序的確要在這裡載入。所以應該仔細看看載入的程序的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。
對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設定一些軟體開機自啟動，這是題外話了，相信如果是您自己設定的，您一定不會誤刪的。

4. 疑難解析

(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項與預設情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失掉了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個比較特別，這是廣告程序BlazeFind幹的好事，這個廣告程序修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe取代了userinit.exe，使得註冊表這一項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從預設的
C:\WINDOWS\system32\userinit.exe,
變為
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程序，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程序修改的鍵值恢復預設值，再移除wsaupdater.exe文件。
該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。
具體訊息清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html

組別——N
1. 項目說明

N - Netscape、Mozilla瀏覽器的預設起始主頁和預設搜尋頁的改變
N1 - Netscape 4.x中，瀏覽器的預設起始主頁和預設搜尋頁的改變
N2 - Netscape 6中，瀏覽器的預設起始主頁和預設搜尋頁的改變
N3 - Netscape 7中，瀏覽器的預設起始主頁和預設搜尋頁的改變
N4 - Mozilla中，瀏覽器的預設起始主頁和預設搜尋頁的改變

與這些改變相關的文件為prefs.js。

2. 舉例

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

3. 一般建議

一般來說，Netscape和Mozilla的預設起始主頁和預設搜尋頁是比較安全的，很少被修改。如果你在預設起始主頁或預設搜尋頁看到了一個陌生的位址，可以修復它。
已知，Lop.com（Live Online Portal）這個網站會修改上述N類項。有興趣者請參考此連接提供的詳細資料
http://www.doxdesk.com/parasite/lop.html

psac · 2006-02-12, 04:56 AM

組別——O

（字母O，代表Other即「其它」類，以下各組同屬O類）

1. 項目說明

O1代表在hosts文件中對某個網址與IP位址的映射。在瀏覽器中輸入網址時，瀏覽器會先檢查hosts文件中是否存在該網址的映射，如果有，則直接連線到相應IP位址，不再請求DNS域名解析。這個方法可以用來加快瀏覽速度，也可能被木馬等惡意程序用來開啟某些網址、遮閉某些網址。
這個hosts文件在系統中的通常位置為
C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）
注意，沒有副檔名。

該檔案的一般格式類似

219.238.233.202 www.rising.com.cn

注意，IP位址在前，空格後為網址，下一個映射另起一行。（若有#，則#後的部分作為註釋，不起作用。）
上面的例子中，瑞星的主頁www.rising.com.cn和IP位址219.238.233.202在hosts文件中互相關聯起來，一旦用戶要訪問www.rising.com.cn，瀏覽器根據hosts文件中的內容，會直接連接219.238.233.202。在這個例子中，這個219.238.233.202實際上正是瑞星主頁的IP位址，所以這樣做加快了訪問速度（省掉了DNS域名解析這一步），在好幾年前，這是一個比較常用的加快瀏覽的方法（那時上網費用高、魔電上網跑得又慢），現在這個方法用得少了。而且，這個方法有個缺陷，那就是，一旦想要瀏覽的網站的IP位址變動了，就不能正常瀏覽該網站了，必須再次改動hosts文件。這個hosts文件也可以被木馬、惡意網站等利用，它們修改hosts文件，建立一些錯誤的映射。比如把著名的反病毒軟體的網站轉發IP到無關網站、惡意網站或乾脆轉發IP到127.0.0.1（127.0.0.1就是指您自己的電腦），那麼您就打不開那些反病毒軟體的網站，清除木馬等惡意程序就更加困難，甚至連殺毒軟體都不能正常昇級。它們還可以把一些常被訪問的網站（比如google等）指向其它一些網站的IP位址，增加後者的訪問量。當然，也可以直接用此方法重轉發IP瀏覽器的搜尋頁。

2. 舉例

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，預設搜尋頁（auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預設搜尋頁）被指向了216.177.73.139這個IP位址。造成每次使用瀏覽器的搜尋功能，都被帶到216.177.73.139這個地方。

下面是XP的原始Hosts文件的內容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#開始的行都是註釋內容，不起作用。最後一行指明本機主機（localhost）的IP位址為127.0.0.1（這是預設的）。

3. 一般建議

HijackThis報告O1項時，一般建議修復它，除非是您自己在Hosts文件中如此設定的。

4. 疑難解析

O1 - Hosts file is located at C:\Windows\Help\hosts
如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中，那麼很可能感染了CoolWebSearch（跟上面提到的Lop.com一樣著名的惡意網站家族），應該使用HijackThis修複相關項。當然，別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）。

psac · 2006-02-12, 04:57 AM

組別——O2

1. 項目說明

O2項列舉現有的IE瀏覽器的BHO模組。BHO，即Browser Helper Objects，指的是瀏覽器的輔助模組（或稱輔助對像），這是一些擴充瀏覽器功能的小插件。這裡面魚龍混雜，諾頓殺毒、goolge等都可能出現在這裡，而這裡也是一些間諜軟體常出沒的地方。

2. 舉例：

O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
這是影音傳送帶（Net Transport）的模組。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
這是網際快車（FlashGet）的模組。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
這是百度搜尋的模組。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
這是3721上網助手的模組。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
這是Adobe Acrobat Reader（用來處理PDF文件）的模組。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
這是Google工具條的模組。

3. 一般建議

可能的O2項實在太多了，此處無法一一列舉。網上有一些很好的BHO列表，大家可以在裡面查詢相關的項目訊息。
相關資料查詢位址舉例：
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建議使用CLSID（就是「{ }」之間的數位）來搜尋相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。
修復前請仔細分析，看看是否認得這個東西的名字，看看它所在的路徑，不能一概而論。最好進一步查詢相關資料，千萬不要隨意修復。對於標記為X的惡意模組，一般建議修復。

4. 疑難解析

HijackThis修復O2項時，會移除相關文件。但對於某些O2項，雖然選項了讓HijackThis修復，下次掃瞄時卻還在。出現此情況時，請先確保使用HijackThis修復時已經關閉了所有瀏覽器視窗和資料夾視窗。如果還不行，建議重新啟動到安全模式直接移除該檔案。有時，會遇到一個如下的項目（後面沒內容）
O2 - BHO:
總是刪不掉，懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個O2項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

psac · 2006-02-12, 04:59 AM

組別——O3

1. 項目說明

O3項列舉現有的IE瀏覽器的工具條（ToolBar，簡寫為TB）。注意，這裡列出的是工具條，一般是包含多個項目的那種。除了IE原有的的一些工具條外，其它軟體也會安裝一些工具條，這些工具條通常出現在IE自己的工具條和位址欄的下面。HijackThis在O3項中把它們列出來。其相關註冊表項目為
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

2. 舉例

O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
這是Windows Media Player 2 ActiveX Control，媒體播放器的ActiveX控制項。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
這是網際快車（FlashGet）的IE工具條。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三個是金山毒霸的IE工具條。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
這個是金山快譯的IE工具條。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上網助手的IE工具條。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
這個是google的IE工具條。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
這個是諾頓殺毒軟體的工具條。

3. 一般建議

同O2，這個也必須仔細分析，看看是否認得這個東西的名字，看看它在IE的工作列是什麼（有一些可能安裝了但沒有顯示，在IE的工作列點右鍵可以看到一些），看看它所在的路徑，不能一概而論。可以進一步查詢相關資料，千萬不要隨意修復。這裡推薦一些好的查詢位址
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/toolbars/
http://computercops.biz/CLSID.html
建議使用CLSID（就是「{ }」之間的數位）來搜尋相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。對於標記為X的，一般建議修復。

4. 疑難解析

如果在資料查詢列表中找不到，其名稱又似乎是隨機的，而路徑則在「Application Data」下，一般是感染了著名的Lop.com，建議修復。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
關於Lop.com的詳細資料及手動式修復方法，請參閱
http://www.doxdesk.com/parasite/lop.html

psac · 2006-02-12, 05:00 AM

組別——O4

1. 項目說明

這裡列出的就是平常大家提到的一般意義上的自啟動程序。確切地說，這裡列出的是註冊表下面諸鍵啟動的程序。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit這一項雖然也可以啟動程序，但已經在F2項報告過了。
另外，O4項還報告兩種情況，即「Startup:」和「Global Startup:」，在我的印象裡
Startup: 相當於資料夾c:\documents and settings\USERNAME\ 下的內容（USERNAME指您的用戶名）
Global Startup: 相當於資料夾c:\documents and settings\All Users\ 下的內容
注意，其它存放在這兩個資料夾的文件也會被報告。
我覺得，其實，「啟動」資料夾應該被報告，就是
Startup: 報告c:\documents and settings\USERNAME\start menu\programs\startup 下的內容
Global Startup: 報告c:\documents and settings\All Users\start menu\programs\startup 下的內容
但這兩項在中文版分別為
Startup: C:\Documents and Settings\USERNAME\「開始」功能表\程序\啟動
Global Startup: C:\Documents and Settings\All Users\「開始」功能表\程序\啟動
恐怕HijackThis不能識別中文版的這兩個目錄，以至不報告其內容。不是是否如此？望達人告知。

2. 舉例

註：中括號前面是註冊表主鍵位置
中括號中是鍵值
中括號後是資料
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
註冊表自我檢驗
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows工作最佳化器（Windows Task Optimizer）
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows電源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三個均是瑞星的自啟動程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面兩個是3721和百度的自啟動程序。（不是經常有朋友問工作裡的Rundll32.exe是怎麼來的嗎？）
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows計劃工作
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面兩個也是瑞星的自啟動程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
這是微軟Office在「開始——程序——啟動」中的啟動項。

3. 一般建議

查表吧！可能的項目太多了，請進一步查詢相關資料，千萬不要隨意修復。推薦一些好的查詢位址
http://www.oixiaomi.net/systemprocess.html
這是中文的，一些一般的項目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Taskl...s/tasklist.htm
http://www.liutilities.com/products/...rocesslibrary/
英文的，很全面。其中一些標記的含義——
Y - 一般應該允許執行。
N - 非必須程序，可以留待需要時手動啟動。
U - 由用戶根據具體情況決定是否需要。
X - 明確不需要的，一般是病毒、間諜軟體、廣告等。
? - 暫時未知
還有，有時候直接使用工作的名字在www.google.com上搜尋，會有意想不到的收穫（特別對於新出現的病毒、木馬等）。

4. 疑難解析

請注意，有些病毒、木馬會使用近似於系統工作、正常應用程式(甚至殺毒軟體）的名字，或者乾脆直接使用那些工作的名字，所以一定要注意仔細分辨。O4項中啟動的程序可能在您試圖使用HijackThis對它進行修復時仍然執行著，這就需要先終止相關工作然後再使用HijackThis對它的啟動項進行修復。（終止工作的一般方法：關閉所有視窗，同時按下CTRL+ALT+DELETE，在開啟的視窗中選要終止的工作，然後按下「結束工作」或者「結束工作」，最後關閉該視窗。）

psac · 2006-02-12, 05:01 AM

組別——O5

1. 項目說明

O5項與控制台中被遮閉的一些IE選項相關，一些惡意程序會隱藏控制台中關於IE的一些選項，這可以通過在control.ini文件中增加相關指令實現。

2. 舉例

O5 - control.ini: inetcpl.cpl=no
這裡隱藏了控制台中的internet選項

3. 一般建議

除非您知道隱藏了某些選項（比如公司網管特意設定的），或者是您自己如此設定的，否則應該用HijackThis修復。

psac · 2006-02-12, 05:04 AM

組別——O6

1. 項目說明

O6提示Internet選項（開啟IE——工具——Internet選項）被禁用。管理員可以對Internet選項的使用進行限制，一些惡意程序也會這樣阻撓修復。這裡用到的註冊表項目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

2. 舉例

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
這裡禁用了internet選項

3. 一般建議

除非您知道禁用了internet選項（比如網咖使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），

組別——O7

1. 項目說明

O7提示註冊表編輯器（regedit）被禁用。管理員可以對註冊表編輯器的使用進行限制，一些惡意程序也會這樣阻撓修復。這可以通過對註冊表如下鍵的預設值的修改實現
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

2. 舉例

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
這裡禁用了註冊表編輯器。

3. 一般建議

除非您知道禁用了註冊表編輯器（比如公司使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

psac · 2006-02-12, 05:06 AM

組別——O8

1. 項目說明

O8項指IE的右鍵功能表中的新增項目。除了IE本身的右鍵功能表之外，一些程序也能向其中增加項目。相關註冊表項目為
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

2. 舉例

O8 - Extra context menu item: 使用網際快車下載 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部連接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
這是網際快車（FlashGet）增加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
這是網路螞蟻（NetAnts）增加的。
O8 - Extra context menu item: 使用影音傳送帶下載 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部連接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
這是影音傳送帶（Net Transport）增加的。
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
這是Office增加的。

3. 一般建議

如果不認得新增加的項目，其所在路徑也可疑，可以用HijackThis修復。建議最好先在www.google.com上查一下。暫時未在網上找到O8項的列表。

組別——O9

1. 項目說明

O9提示額外的IE「工具」功能表項目及工作列按鈕。前面O3是指工具條，這裡是新增的單個工作列按鈕和IE「工具」功能表項目。相關註冊表項目為
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key

2. 舉例

O9 - Extra button: QQ (HKLM)
就是IE工作列上的QQ按鈕。
O9 - Extra button: UC (HKLM)
IE工作列上的UC按鈕。
O9 - Extra button: FlashGet (HKLM)
IE工作列上的網際快車（FlashGet）按鈕。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE「工具」功能表中的網際快車（FlashGet）項。
O9 - Extra button: NetAnts (HKLM)
IE工作列上的網路螞蟻（NetAnts）按鈕。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE「工具」功能表中的網路螞蟻（NetAnts）項。
O9 - Extra button: Related (HKLM)
IE工作列上的「顯示相關站點」按鈕。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE「工具」功能表中的「顯示相關站點」項。
O9 - Extra button: Messenger (HKLM)
IE工作列上的Messenger按鈕。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE「工具」功能表中的「Windows Messenger」項。

3. 一般建議

如果不認得新增加的項目或按鈕，可以用HijackThis修復。

4. 疑難解析

psac · 2006-02-12, 05:07 AM

組別——O10

1. 項目說明

O10項提示Winsock LSP(Layered Service Provider)「瀏覽器劫持」。某些間諜軟體會修改Winsock 2的設定，進行LSP「瀏覽器劫持」，所有與網路交換的訊息都要通過這些間諜軟體，從而使得它們可以監控使用者的訊息。著名的如New.Net插件或WebHancer元件，它們是安裝一些軟體時帶來的你不想要的東西。相關的中文訊息可參考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 舉例

O10 - Hijacked Internet access by New.Net
這是被廣告程序New.Net劫持的症狀（可以通過「控制台——增加移除」來卸載）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
這一般出現在已清除間諜軟體但沒有恢復LSP正常狀態的情況下。此時，網路連接可能丟失掉。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
這是被廣告程序newtonknows劫持的症狀，相關資訊可參考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建議

一定要注意，由於LSP的特殊性，單單清除間諜軟體而不恢復LSP的正常狀態很可能會導致無法連通網路！如果您使用殺毒軟體清除間諜程序，可能遇到如上面第二個例子的情況，此時可能無法上網。有時HijackThis在O10項報告網路連接破壞，但其實仍舊可以連通，不過無論如何，修復O10項時一定要小心。

遇到O10項需要修復時，建議使用專門工具修復。

（1）LSPFix http://www.cexx.org/lspfix.htm

（2）Spybot-Search&Destroy（上面提到過，但一定要使用最新版）

這兩個工具都可以修復此問題，請進一步參考相關教學。

4. 疑難解析

某些正常合法程序（特別是一些殺毒軟體）也會在Winsock水準工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll

這一項就屬於大陸殺毒軟體KV。所以，在O10項遇到「Unknown file in Winsock LSP」一定要先查詢一下，不要一概修復。

組別——O11

1. 項目說明

O11項提示在IE的進階選項中出現了新項目。相關註冊表項目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

2. 舉例

O11 - Options group: [CommonName] CommonName
這個是已知需要修復的一項。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
這2個是國內論壇上的HijackThis掃瞄日誌裡最一般的O11項，分屬3721和百度，去留您自己決定。如果想清除，請先嘗試使用「控制台——增加移除」來卸載相關程序。

3. 一般建議

遇到CommonName應該清除，遇到其它項目請先在網上查詢一下。

4. 疑難解析

（暫無）

組別——O12

1. 項目說明

O12列舉IE插件（就是那些用來增強IE功能、讓它支持更多副檔名檔案類型文件的插件）。相關註冊表項目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

2. 舉例

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
這兩個都屬於Acrobat軟體。

3. 一般建議

絕大部分這類插件是安全的。已知僅有一個插件（OnFlow，用以支持檔案類型.ofb）是惡意的，需要修復。遇到不認得的項目，建議先在網上查詢一下。

4. 疑難解析

（暫無）

組別——O13

1. 項目說明

O13提示對瀏覽器預設的URL前綴的修改。當在瀏覽器的位址欄輸入一個網址而沒有輸入其前綴（比如http://或ftp://）時，瀏覽器會試圖使用預設的前綴（預設為http://）。相關註冊表項目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
當此項被修改，比如改為http://www.AA.BB/?那麼當輸入一個網址如www.rising.com.cn時，實際開啟的網址變成了——http://www.AA.BB/?www.rising.com.cn

2. 舉例

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建議

著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）來修復，本帖前部已提到過此軟體，並指出了相關小教學的連接。

如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。

如果使用CWShredder.exe後仍然無法修復或者根本未發現異常，再使用HijackThis來掃瞄修復。

4. 疑難解析

簡單說，就是——「對於searchpage.html這個問題，上面提到的CWShredder.exe可以修復（Fix），普通模式不能修復的話，請在安全模式使用CWShredder.exe修復（Fix），修復後清空IE臨時文件(開啟IE瀏覽器——工具——internet選項——移除文件，可以把「移除所有離線內容」選上)，重新啟動。」

psac · 2006-02-12, 05:09 AM

組別——O14

1. 項目說明

O14提示IERESET.INF文件中的改變，也就是對internet選項中「程序」選擇項內的「重置WEB設定」的修改。該IERESET.INF文件儲存著IE的預設設定訊息，如果其內容被惡意程序改變，那麼一旦您使用「重置WEB設定」功能，就會再次啟動那些惡意修改。

2. 舉例

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建議

如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者（ISP），可以使用HijackThis修復。

4. 疑難解析

（暫無）

組別——O15

1. 項目說明

O15項目提示「受信任的站點」中的不速之客，也就是那些未經您同意自動增加到「受信任的站點」中的網址。「受信任的站點」中的網址享有最低的安全限制，可以使得該網址上的惡意指令碼、小程序等更容易躲過用戶自動執行。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 舉例

O15 - Trusted Zone: http://free.aol.com

3. 一般建議

如果不認得該網站，建議使用HijackThis來修復。

4. 疑難解析

（暫無）

組別——O16

1. 項目說明

O16 - 下載的程式文件，就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。

2. 舉例

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
用來看flash的東東，相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在線查毒。

3. 一般建議

如果不認得這些ActiveX對象的名字，或者不知道其相關的下載URL，建議使用搜尋引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣，一般應該修復。HijackThis修復O16項時，會移除相關文件。但對於某些O16項，雖然選項了讓HijackThis修復，卻沒能夠移除相關文件。若遇到此情況，建議啟動到安全模式來修復、移除該檔案。

4. 疑難解析

（暫無）

組別——O17

1. 項目說明

O17提示「域劫持」，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在瀏覽器中輸入網址時，如果hosts文件中沒有相關的網址映射，將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！

2. 舉例

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建議

如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。

4. 疑難解析

（暫無）

組別——O18

1. 項目說明

O18項列舉現有的傳輸協定（protocols）用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。

通過將您的電腦的預設傳輸協定取代為自己的傳輸協定，惡意網站可以通過多種方式控制您的電腦、監控您的訊息。

HijackThis會列舉出預設傳輸協定以外的額外增加的傳輸協定，並列出其在電腦上的儲存位置。

2. 舉例

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建議

已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。

4. 疑難解析

（暫無）

psac · 2006-02-12, 05:11 AM

組別——O19

1. 項目說明

O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

此外，此項中也可能出現.ini、.bmp文件等。

2. 舉例

O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建議

已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。

當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。

組別——O20

1. 項目說明

O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。

相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

鍵值為AppInit_DLLs

此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建議

僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。

4. 疑難解析

有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`|`來使自己難被發覺。

組別——O21

1. 項目說明

O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。
相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 舉例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建議

HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。

4. 疑難解析

（暫無）

組別——O22

1. 項目說明

O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。

2. 舉例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建議

已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見http://community.rising.com.cn/Forum...3926810&page=1

4. 疑難解析

（暫無）

組別——O23

1. 項目說明

O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務)

2. 舉例

O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

3. 一般建議

很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache，MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了.

4. 疑難解析

只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.

2004-10-23, 06:01 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	資訊 - 首頁綁架者剋星HijackThis 日誌分析!!! 許多不熟悉瀏覽器綁架的人發表文章，詢問如何通過份析HijackThis的日誌來獲得說明，因為他們不理解哪些內容是無害的，而哪些內容是有害的。本文是一個關於日誌含義的基本指南，並包含一些有助於獨立閱讀本文的提示。本文決不能替代在請求說明的解答，而只是在某種程度上說明您自己理解日誌的含義。已做好的Word文件我已已壓縮成RAR文件上傳，在附件中，直接下載就ok了。 HijackThis 日誌分析 ——如何識別有害訊息 ________________________________________ 概述 HijcakThis日誌中的每一行以一個分類名稱開始。（要檢視這一主旨的技術訊息，按下主視窗中的「Info」按鈕，並向下滾動視窗，突出顯示某一行並按下「More info on this item」按鈕即可。）要檢視實用訊息，按下需要獲得說明的分類名稱： • R0, R1, R2, R3 – IE起始頁/搜尋頁 URL • F0, F1 – 自動載入程序 • N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL • O1 – 主機文件重轉發IP • O2 – 瀏覽器輔助對像 • O3 – IE工作列 • O4 – 從註冊表自動載入程序 • O5 – 使IE選項的圖示在控制台中不可見 • O6 –由管理員限制的對IE選項的訪問 • O7 –由管理員限制的對註冊表編輯器的訪問 • O8 – IE右鍵表單中的額外項 • O9 – 主IE按鈕工作列上的額外按鈕，或IE「工具」表單中的額外項 • O10 – Winsock綁架程序 • O11 – IE「進階選項」視窗中的額外組 • O12 – IE插件 • O13 – IE DefaultPrefix綁架 • O14 – 「重置Web設定」綁架 • O15 – 受信任區域中的有害站點 • O16 – ActiveX對像（aka 下載的程式文件） • O17 – Lop.com域綁架程序 • O18 – 額外傳輸協定和傳輸協定綁架程序 • O19 – 用戶樣式表綁架 R0、R1、R2、R3－IE起始頁和搜尋頁症狀： R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ R3 –Default URLSearchHook is missing 治療方案：如果結尾的URL是您的主頁或搜尋引擎，那就不用管它。如果您不認可，請檢查一下並用HijcakThis修復。對於R3項，始終修復它們，直到它提及一個您認可的程序為止，比如Copernic。 ________________________________________ F0、F1－自動載入程序症狀： F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched 治療方案： F0項始終是有害的，因此要修復它們。 F1項通常是存在很長時間的安全程序，因此您應該根據其檔案名搜尋與該檔案有關的更多訊息，以確定它是無害的還是有害的。 ________________________________________ N1、N2、N3、N4－Netscape/Mozilla起始頁和搜尋頁症狀： N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 治療方案：通常情況下，Netacape和Mozilla的主頁及搜尋頁是安全的。它們極少被綁架。主頁和搜尋頁的URL不是您認可的，請用HilackThis修復它。 ________________________________________ O1－主機文件重轉發IP 症狀： O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 治療方案：這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址，那麼在您每次按鍵輸入該位址時，您將被重轉發IP到一個錯誤的站點。始終用HilackThis修復它們，除非您故意將這些行放到主機文件中。 ________________________________________ O2－瀏覽器輔助對像症狀： O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 治療方案：如果您無法直接識別某個瀏覽器輔助對象的名稱，可以使用TonyK的 BHO 列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。在BHO列表中，『X』代表偵探軟體，『L』代表安全。 ________________________________________ O3－IE工作列症狀： O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 治療方案：如果您不能直接識別工作列的名稱，可以使用TonyK的工作列列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。在工作列列表中，『X』代表偵探軟體，『L』代表安全。如果它不在列表中，而且其名稱似乎是一個隨機的字元串，並且該檔案位於一個名為『Application Data』的資料夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。 ________________________________________

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-10-23, 06:03 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	O4－從註冊表自動載入程序症狀： O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 治療方案：使用PacMan的啟動列表來搜尋這些列項，以確定它們是無害的還是有害的。 ________________________________________ O5－使IE選項在控制台中不可見症狀： O5 - control.ini: inetcpl.cpl=no 治療方案：除非故意隱藏控制台中的圖示，否則用HijackThis修復它。 ________________________________________ O6－由管理員限制的對IE選項的訪問症狀： O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 治療方案：除非啟動了 Spybot S&D 選項「Lock homepage from changes」，否則用HijackThis修復這一項。 ________________________________________ O7－由管理員限制的對註冊表編輯器的訪問症狀： O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 治療方案：始終用HijackThis修復這一項。 ________________________________________ O8－IE右鍵表單中的額外項症狀： O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm 治療方案：如果不能識別IE右鍵表單中的項目名稱，用HijackThis修復它。 ________________________________________ O9－主IE工作列上的額外按鈕，或IE「工具」表單中的額外項症狀： O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AIM (HKLM) 治療方案：如果不能識別按鈕或表單項的名稱，用hijackThis修復它。 ________________________________________ O10－Wincock綁架程序症狀： O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 治療方案：最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修復這些項。 ________________________________________ O11－IE「進階選項」視窗中的額外組症狀： O11 - Options group: [CommonName] CommonName 治療方案：現在，惟一將其自身的選項組增加到IE 進階選項視窗中的綁架程序是CommonName。因此您始終可以用HijackThis修復這一項。 ________________________________________ O12－IE插件症狀： O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 治療方案：大部分時間內，這些項是安全的。只有OnFlow在這裡增加了一個您不想要的插件（.ofb）。 ________________________________________ O13－IE DefaultPrefix綁架症狀： O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 治療方案：這些項始終是有害的。用HijackThis修復它們。 ________________________________________ O14－『重置Web設定』綁架症狀： O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 治療方案：如果該URL不是您電腦的廠商或您的ISP，用HijackThis修復它。 ________________________________________ O15－受信任區域中的有害站點症狀： O15 - Trusted Zone: http://free.aol.com 治療方案：迄今為止，只有AOL傾向於將自身增加到您的受信任區域，從而允許它執行任何它想要執行的ActiveX。始終用HijackThis修復這一項。 ________________________________________ O16－Active對像（aka 下載的程式文件）症狀： O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab 治療方案：如果您你不能識別對像名稱，或它下載文件的URL，用HijackThis修復它。如果名稱或URL中包含下列單詞，比如『dialer』、『casino』、『free-pludin』等等，那麼一定要修復它。 ________________________________________ O17－Lop.com域綁架症狀： O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 治療方案：如果域不是來自您的ISP或公司的網路，用HijackThis修復它。 ________________________________________ O18－額外傳輸協定和傳輸協定綁架程序症狀： O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 治療方案：這裡只顯示了少數綁架程序。惡名昭著的還有『cn』（CommonName），『ayb』（Lop.com）和『relatedlinks』（Huntbar），您應該用Hijackthis修復這些項。顯示的其他情況要麼是未被驗證為安全的，要麼是被偵探軟體綁架的。如果是後一種情況，用HijackThis修復它。 ________________________________________ O19－用戶樣式表綁架症狀： O19 - User style sheet: c:\WINDOWS\Java\my.css 治療方案：在瀏覽器速度變慢並頻繁彈出各種消息的情況下，如果這一項顯示在日誌中，用HijackThis修復它。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:53 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	遇到病毒/木馬等惡意程序時常要的操作【給新手】一般大家遇到病毒的時候,首先做的就是殺毒,如果殺毒軟體也無法清除,那麼就要自行手動式清除了. 現在向大家講解一下,手動式清除病毒(木馬,惡意程序)以及恢復病毒(木馬,惡意程序)對系統的改變的技巧. 1.如何清空IE臨時文件首先開啟IE瀏覽器,選項[工具]展開功能表,按下[Internet 選項],按下[移除文件],就可以順利移除IE臨時文件. 2.如何顯示所有文件和資料夾? 雙按[我的電腦],選項[工具]展開功能表,按下[資料夾選項],按下[檢視],勾上[顯示所有文件和資料夾],把[隱藏受保護的操作系統檔案(推薦)]去掉勾.再按[確定]按鈕即可. 3.如何禁用/關閉[系統還原]功能? [我的電腦]右鍵按下,展開功能表按下[內容],按下[系統還原]按鈕,把[在所有驅動器上關閉系統還原]勾上,再按[確定]按鈕即可. 4.如何進入安全模式? 開啟電腦(如果電腦正在執行,就請重新啟動電腦) Windows Xp 進入安全模式方法: 在電腦開啟BIOS載入完之後,迅速按下F8鍵,在出現的WindowsXP進階選項功能表中Enter鍵按下[安全模式]. Windows 2000 進入安全模式方法: 啟動Windows2000時,當看到白色箭頭的進度條,按下F8鍵,出現Windows2000進階選項功能表中Enter鍵按下[安全模式]. Windows98/Me 進入安全模式方法: 啟動Windows98/Me時,當出現[Starting Windows 98]的時候,迅速按下F8鍵,按下啟動功能表中選項第三項[Safe Mode]. 5.如何修覆文件關聯? http://www.dougknox.com/xp/file_assoc.htm 在以上的網站,下載所需要修復關聯的 reg,下載後雙按匯入,即可修復該關聯. 6.如何禁用某個Windows 服務? 雙按[我的電腦],雙按[控制台],雙按[系統管理工具],雙按[服務],即可看見所有WINDOWS的服務,雙按某個需要禁用的服務, 把[啟動檔案類型]設定為[已禁用],把[服務狀態]設定為[停止],即可. 如果在服務列表看不見所要禁用的服務(某些病毒的服務是看不到的). 我們可以在[開始],[執行],輸入[regedit],開啟註冊表編輯器,展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到服務的名稱,按下,看右邊,修改:ErrorControl,修改鍵值為1(0是允許). 7.如何移除一些不能移除的文件? 有時候,清除病毒的時候,會遇到移除不到的文件,這時候就需要利用一些軟體來移除,或者進入安全模式直接移除,這裡介紹一下軟體移除.我們利用到的軟體就是killbox. http://download.pchome.net/utility/a...ers/19347.html 這裡下載killbox,解壓縮,雙按開啟執行, 驗證了要移除的文件,再填上文件的完整路徑,或通過遊覽選此文件,然後在按下旁邊的紅x.(某些文件可能需要重啟電腦) 8.如何移除一些不能移除的文件[方法二]? 使用Unlocker:http://www.51ct.cn/downinfo/41.html 9.如何簡單快捷使用 HijackThis 掃瞄系統? 1.下載最新官方版本HijackThis 1.99.1: http://www.merijn.org/files/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip 2.解開hijackthis.zip,執行HijackThis.exe 3.點擊 Do a system scan and save a logfile 4.掃瞄完成後,一個記事本彈出來,你可以把裡面的Log發上來,供高手分析. 10.如何簡單快捷使用 System Repair Engineer 掃瞄系統? 下載最新官方版本 System Repair Engineer 2.0.12.350: http://www.kztechs.com/sreng/download.html 使用方法: 解壓到隨意資料夾,執行SREng.exe,點擊"智能掃瞄"->"掃瞄"->"儲存報告".然後把報告發上來供高手分析. 11.如何快捷檢視啟動項目? [開始]--->[執行]--->輸入"msconfig",不帶引號--->點擊[啟動]--->即可檢視啟動項目.[通過這步操作,也可以檢視服務項目,以及其它] 12.如何快捷檢視服務項目? [開始]--->[執行]--->輸入"services.msc",不帶引號.便可檢視服務列表,指導服務啟動關閉狀態,對服務的啟動,停止,手動等操作. 13.如何快捷開啟註冊表編輯器? [開始]--->[執行]--->輸入"regedit",不帶引號,便可對註冊表進行寫,移除,增加等動作,如果不熟悉,請別亂操作,否則可能會導致Windows崩潰!

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:55 AM	#5 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	HijackThis日誌細解(最後更新:2005-03-30) 為了解決大家在使用HijackThis中的問題,經過原作者論壇反瀏覽器劫持版主的同意,現在特將他的傳統教學帖"HijackThis日誌細解"轉入安全區,供大家學習. 注意:本教學版權歸風之詠者所有,轉載前請與風之詠者聯係,請保護網上的原創作品,謝謝大家! 日誌項縱覽 R0，R1，R2，R3 Internet Explorer（IE）的預設起始主頁和預設搜尋頁的改變 F0，F1，F2，F3 ini文件中的自動載入程序 N1，N2，N3，N4 Netscape/Mozilla 的預設起始主頁和預設搜尋頁的改變 O1 Hosts文件重轉發IP O2 Browser Helper Objects（BHO，瀏覽器輔助模組） O3 IE瀏覽器的工具條 O4 自啟動項 O5 控制台中被遮閉的IE選項 O6 IE選項被管理員禁用 O7 註冊表編輯器（regedit）被管理員禁用 O8 IE的右鍵功能表中的新增項目 O9 額外的IE「工具」功能表項目及工作列按鈕 O10 Winsock LSP「瀏覽器綁架」 O11 IE的進階選項中的新項目 O12 IE插件 O13 對IE預設的URL前綴的修改 O14 對「重置WEB設定」的修改 O15 「受信任的站點」中的不速之客 O16 Downloaded Program Files目錄下的那些ActiveX對像 O17 域「劫持」 O18 額外的傳輸協定和傳輸協定「劫持」 O19 用戶樣式表（stylesheet）「劫持」 O20 註冊表鍵值AppInit_DLLs處的自啟動項 O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項 O22 註冊表鍵SharedTaskScheduler處的自啟動項 O23 載入的系統服務組別——R 1. 項目說明 R – 註冊表中Internet Explorer（IE）的預設起始主頁和預設搜尋頁的改變 R0 - 註冊表中IE主頁/搜尋頁預設鍵值的改變 R1 - 新增的註冊表值（V），或稱為鍵值，可能導致IE主頁/搜尋頁的改變 R2 - 新增的註冊表項（K），或稱為鍵，可能導致IE主頁/搜尋頁的改變 R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值，可能導致IE搜尋頁的改變 R3主要出現在URLSearchHooks這一項目上，當我們在IE中輸入錯誤的網址後，瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下，當我們在IE中輸入錯誤的網址後，瀏覽器會使用預設的搜尋引擎（如http://search.msn.com/、網路實名等）來搜尋匹配項目。如果HijackThis報告R3項，相關的「瀏覽器綁架」現象可能是：當在IE中輸入錯誤的網址後，被帶到某個莫名其妙的搜尋網站甚至其它網頁。 2. 舉例 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ （HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）上面的例子中，預設主頁被改變，指向了新的位址http://www.google.com/。 R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL 這是百度搜尋 R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL 這是3721網路實名 R3 - Default URLSearchHook is missing 這是報告發現一個錯誤（預設的URLSearchHook丟失掉）。此錯誤可以用HijackThis修復。 3. 一般建議對於R0、R1，如果您認得後面的網址，知道它是安全的，甚至那就是您自己這樣設定的，當然不用去修復。否則的話，在那一行前面打勾，然後按「Fix checked」，讓HijackThis修復它。對於R2項，據HijackThis的作者說，實際上現在還沒有用到。對於R3，一般總是要選修復，除非它指向一個您認識的程序（比如百度搜尋和3721網路實名）。 4. 疑難解析 (1) 偶爾，在這一組的某些項目後面會出現一個特殊的詞——(obfuscated)，例如下面幾個 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) obfuscated，中文大意為「使混亂，使糊塗迷惑，使過於混亂或模糊，使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的項目在對IE主頁/搜尋頁進行修改的同時，還利用各種方法把自己變得不易理解，以躲避人們對註冊表內容的搜尋辨識（比如直接在註冊表特定位置增加十六進制字元鍵值，電腦認得它，一般人可就不認得了）。 (2) 有些R3項目{ }號後面，會跟上一個底線（ _ ），比如下面幾個： R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file) R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 這些{ }後面多一個底線的R3項目，實際上無法使用HijackThis修復（這是HijackThis本身的一個bug）。如果要修復這樣的項目，需要開啟註冊表編輯器（開始——執行——輸入 regedit——按「確定」），找到下面的鍵 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——移除想要移除的項目，但要注意不要誤刪以下一項 CFBFAE00-17A6-11D0-99CB-00C04FD64497 這一項是預設的。請注意，如果是在{ }號前面有一個底線，這些項目HijackThis可以正常清除。比如下面的： R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file) （3）最近見到不少後面沒有內容的R3項。比如 R3 - URLSearchHook: 懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。 ** 特別提醒：如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請「不要」使用HijackThis的恢復功能來取消對F2項目的修改（我指的是config功能表——Backups功能表——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。此bug涉及的註冊表鍵值是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit 一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell 所以，如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit） F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。組別——F 1. 項目說明 F - ini文件中的自動執行程序或者註冊表中的等價項目 F0 - ini文件中改變的值，system.ini中啟動的自動執行程序 F1 - ini文件中新增的值，win.ini中啟動的自動執行程序 F2 - 註冊表中system.ini文件映射區中啟動的自動執行程序或註冊表中UserInit項後面啟動的其它程序 F3 - 註冊表中win.ini文件映射區中啟動的自動執行程序 F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程序。 F0對應在System.ini文件中「Shell=」這一項（沒有引號）後面啟動的額外程序。在Windows 9X中，System.ini裡面這一項應該是 Shell=explorer.exe 這一項指明使用explorer.exe作為整個操作系統的「殼」，來處理用戶的操作。這是預設的。如果在explorer.exe後面加上其它程式名稱，該程序在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如 Shell=explorer.exe trojan.exe 這樣就可以使得trojan.exe在啟動Windows時也被自動執行。 F1對應在win.ini文件中「Run=」或「Load=」項（均沒有引號）後面啟動的程序。這些程序也會在啟動Windows時自動執行。通常，「Run=」用來啟動一些老的程序以保持相容性，而「Load=」用來載入某些硬體驅動。 F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內容完全放在註冊表裡。程序要求這些ini文件中的相關資訊時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡搜尋需要的內容，而不是去找那些ini文件。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裡的ini映像。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 此處預設的鍵值是(注意後面有個逗號) C:\WINDOWS\system32\userinit.exe, （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡預設指向%System%\userinit.exe %System%指的是系統檔案目錄對於NT、2000，該鍵值預設為X:\WINNT\system32\userinit.exe 對於XP，該鍵值預設為X:\WINDOWS\system32\userinit.exe 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。）這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關資訊的。如果在這裡增加其它程序（在該鍵值中userinit.exe後的逗號後面可以增加其它程序），這些程序在用戶登入後也會被執行。比如將其鍵值改為 C:\windows\system32\userinit.exe,c:\windows\trojan.exe 則c:\windows\trojan.exe這個程序也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。總之，F項相關的文件包括 c:\windows\system.ini c:\windows\win.ini （根據您的Windows版本和安裝目錄的不同，路徑裡的「C」和「windows」可能不盡相同，總之這裡指的是%windows%目錄下的這兩個ini文件 %Windows%目錄指的是Windows安裝目錄對於NT、2000，Windows安裝目錄為X:\WINNT\ 對於XP，Windows安裝目錄為X:\WINDOWS\ 這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。） F項相關的註冊表項目包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 2. 舉例 F0 - system.ini: Shell=Explorer.exe trojan.exe 上面的例子中，在system.ini文件中，預設的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。 F1 - win.ini: run=hpfsched 上面的例子中，在win.ini文件中，啟動了hpfsched這個程序，需要分析。 F2 - REG:-System.ini: UserInit=userinit,trojan.exe 上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe F2 - REG:-System.ini: Shell=explorer.exe trojan.exe 上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini文件「映像」中，額外啟動了trojan.exe。 3. 一般建議基本上，F0提示的Explorer.exe後面的程序總是有問題的，一般應該修復。 F1後面的需要慎重對待，一些老的程序的確要在這裡載入。所以應該仔細看看載入的程序的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。對於F2項，如果是關於「Shell=」的，相當於F0的情況，一般應該修復。如果是關於「UserInit=」的，除了下面的「疑難解析」中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於「UserInit=」的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用「UserInit=」自己設定一些軟體開機自啟動，這是題外話了，相信如果是您自己設定的，您一定不會誤刪的。 4. 疑難解析 (1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe 注意到這一項與預設情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失掉了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。 (2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。 (3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 這一個比較特別，這是廣告程序BlazeFind幹的好事，這個廣告程序修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe取代了userinit.exe，使得註冊表這一項 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 的鍵值從預設的 C:\WINDOWS\system32\userinit.exe, 變為 C:\Windows\System32\wsaupdater.exe, 如果您使用Ad-aware 6 Build 181清除該廣告程序，重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登入，然後將上面所述的註冊表中被廣告程序修改的鍵值恢復預設值，再移除wsaupdater.exe文件。該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。具體訊息清參考 http://www.lavahelp.com/articles/v6/04/06/0901.html 組別——N 1. 項目說明 N - Netscape、Mozilla瀏覽器的預設起始主頁和預設搜尋頁的改變 N1 - Netscape 4.x中，瀏覽器的預設起始主頁和預設搜尋頁的改變 N2 - Netscape 6中，瀏覽器的預設起始主頁和預設搜尋頁的改變 N3 - Netscape 7中，瀏覽器的預設起始主頁和預設搜尋頁的改變 N4 - Mozilla中，瀏覽器的預設起始主頁和預設搜尋頁的改變與這些改變相關的文件為prefs.js。 2. 舉例 N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 3. 一般建議一般來說，Netscape和Mozilla的預設起始主頁和預設搜尋頁是比較安全的，很少被修改。如果你在預設起始主頁或預設搜尋頁看到了一個陌生的位址，可以修復它。已知，Lop.com（Live Online Portal）這個網站會修改上述N類項。有興趣者請參考此連接提供的詳細資料 http://www.doxdesk.com/parasite/lop.html

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:56 AM	#6 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O （字母O，代表Other即「其它」類，以下各組同屬O類） 1. 項目說明 O1代表在hosts文件中對某個網址與IP位址的映射。在瀏覽器中輸入網址時，瀏覽器會先檢查hosts文件中是否存在該網址的映射，如果有，則直接連線到相應IP位址，不再請求DNS域名解析。這個方法可以用來加快瀏覽速度，也可能被木馬等惡意程序用來開啟某些網址、遮閉某些網址。這個hosts文件在系統中的通常位置為 C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）或 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）或 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）注意，沒有副檔名。該檔案的一般格式類似 219.238.233.202 www.rising.com.cn 注意，IP位址在前，空格後為網址，下一個映射另起一行。（若有#，則#後的部分作為註釋，不起作用。）上面的例子中，瑞星的主頁www.rising.com.cn和IP位址219.238.233.202在hosts文件中互相關聯起來，一旦用戶要訪問www.rising.com.cn，瀏覽器根據hosts文件中的內容，會直接連接219.238.233.202。在這個例子中，這個219.238.233.202實際上正是瑞星主頁的IP位址，所以這樣做加快了訪問速度（省掉了DNS域名解析這一步），在好幾年前，這是一個比較常用的加快瀏覽的方法（那時上網費用高、魔電上網跑得又慢），現在這個方法用得少了。而且，這個方法有個缺陷，那就是，一旦想要瀏覽的網站的IP位址變動了，就不能正常瀏覽該網站了，必須再次改動hosts文件。這個hosts文件也可以被木馬、惡意網站等利用，它們修改hosts文件，建立一些錯誤的映射。比如把著名的反病毒軟體的網站轉發IP到無關網站、惡意網站或乾脆轉發IP到127.0.0.1（127.0.0.1就是指您自己的電腦），那麼您就打不開那些反病毒軟體的網站，清除木馬等惡意程序就更加困難，甚至連殺毒軟體都不能正常昇級。它們還可以把一些常被訪問的網站（比如google等）指向其它一些網站的IP位址，增加後者的訪問量。當然，也可以直接用此方法重轉發IP瀏覽器的搜尋頁。 2. 舉例 O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 在上面的例子中，預設搜尋頁（auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預設搜尋頁）被指向了216.177.73.139這個IP位址。造成每次使用瀏覽器的搜尋功能，都被帶到216.177.73.139這個地方。下面是XP的原始Hosts文件的內容 # Copyright (C) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a `#` symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 所有以#開始的行都是註釋內容，不起作用。最後一行指明本機主機（localhost）的IP位址為127.0.0.1（這是預設的）。 3. 一般建議 HijackThis報告O1項時，一般建議修復它，除非是您自己在Hosts文件中如此設定的。 4. 疑難解析 O1 - Hosts file is located at C:\Windows\Help\hosts 如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中，那麼很可能感染了CoolWebSearch（跟上面提到的Lop.com一樣著名的惡意網站家族），應該使用HijackThis修複相關項。當然，別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:51 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	網頁安全嚴防死守 IE瀏覽器被篡改完全揭秘最近這段時間線人們上網衝浪時常常會碰到一件令人反感的事，就是在瀏覽一些網站�多為個人主頁　後IE瀏覽器的標題欄被篡改成了諸如「歡迎訪問……網站」的字樣，IE的起始頁、主頁預設頁也被設定成了那些網站的網址，更有甚者在訪問者的IE右鍵功能表中加入了那些網站的名字。這都是那些網站為了宣傳自己的網站通過在網頁中嵌入 javascript指令碼語言來修改瀏覽者的註冊表中相應的鍵值造成的，讓我們這些「網蟲」很煩。那我們怎樣恢復IE的「本來面目」呢？讓我們將其「個個擊破」。　　篡改IE標題欄　　症狀：IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的樣式，這是最一般的篡改手段，受害者眾多。　　涉及子鍵：　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window title 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window title 　　說明：這兩個「Window title」子鍵的鍵值就是IE標題欄中的標題。　　修復方法：執行註冊表編輯器regedit.exe，展開上述兩個子鍵，將這兩個子鍵的鍵值修改為「Microsoft Internet Explorer」(IE預設值)，或者你也可以將鍵值改為像「我的專用瀏覽器」這樣體現個性的標題，重新執行IE就可以看到效果了。怎麼樣？是不是感到很親切？　　篡改IE起始頁　　症狀：這裡所說的IE起始頁就是一執行IE就會自動開啟的網頁，也就是說起始頁被改成了篡改網站的網址。　　涉及子鍵：　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 　　說明：這個子鍵的鍵值就是IE起始頁的網址。　　修復方法：執行註冊表編輯器，展開上述子鍵，將「Start Page」子鍵的鍵值修改為某個網址即可。如果你不想一執行IE就自動開啟某網頁的話，你可以將IE起始頁設為空白頁，即將「Start Page」子鍵的鍵值修改為「about�blank」，重新執行IE就可以看到效果了。其實也可以通過IE的選項設定來更改IE的起始頁，設定方法：點擊「工具/Internet選項」，在「主頁」中輸入起始頁。　　特殊例子：當IE的起始頁變成了某些網址後，就算你通過選項設定修改好了，重啟以後又會變成他們的網址啦，十分的難纏。其實他們是在你機器裡加了一個自執行程序，它會在系統啟動時將你的IE起始頁設成他們的網站。　　修復方法：執行註冊表編輯器regedit．exe，然後依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current Version\Run主鍵，然後將其下的registry．exe子鍵移除，然後移除自執行程序c:\Program Files\registry.exe，最後從IE選項中重新設定起始頁就好了。　　篡改IE起始頁的預設頁　　症狀：有些IE被改了起始頁後，即使設定了「使用預設頁」仍然無效，這是因為IE起始頁的預設頁也被篡改啦。　　涉及子鍵：　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL 　　說明：該子鍵的鍵值即起始頁的預設頁。　　修復方法：執行註冊表編輯器，然後展開上述子鍵，將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設定為IE的預設值。　　篡改IE預設的搜尋引擎　　症狀：在IE瀏覽器的工作列中有一個搜尋引擎的工具按鈕，可以實現網路搜尋，被篡改後只要點擊那個搜尋工具按鈕就會連接到那個篡改網站。　　涉及子鍵：　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 　　修復方法：執行註冊表編輯器，依次展開上述子鍵，將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可。　　篡改IE右鍵功能表　　症狀：當你在瀏覽網頁的時候右擊滑鼠的時候在彈出功能表中有一項「歡迎訪問……網站」的話你會怎樣？是不是有一種惡魔纏身的感覺？　　涉及子鍵：　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\歡迎訪問……網站　　說明：「MenuExt」主鍵是IE增強功能表項的控制主鍵，如果你機器裡安裝了網際快車或者網路螞蟻的話，在這個子鍵下面就能看到「使用網際快車下載」這樣的子鍵啦。　　修復方法：執行註冊表編輯器，開上述主鍵，在「MenuExt」主鍵下面就會有「歡迎訪問……網站」相似內容的主鍵，將其移除，但是在移除之前你可以展開這個主鍵看一下，在這裡面有一個連接開啟一個HTML文件的子鍵，看看這個文件路徑，然後根據路徑將這個文件也移除(注意，這個HTML文件被設定了隱藏內容，從功能表選項「檢視/資料夾選項/檢視頁/顯示所有文件」即可看見它啦！)。這樣才徹底清楚乾淨，是不是有種如釋重負的感覺？哈哈！　　系統啟動時彈出對話視窗　　症狀：開機時，會彈出推薦網站「歡迎訪問http://www……」樣式的視窗。進入系統後，?/a>\|自動開啟IE瀏覽器，自動訪問預設主頁http://www…… 並且無法更改。　　涉及子鍵：　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ 　　Winlogon\LegalNoticeCaption 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ 　　Winlogon\LegalNoticeText 　　說明：其實這個主鍵與IE並不相關，而是Windows登入提示對話視窗的控制項。　　修復方法：執行註冊表編輯器，然後依次展開上述主鍵，將「LegalNoticeCaption」和「LegalNoticeText」主鍵移除就萬事大吉啦。　　小結上面介紹了幾種篡改手段所涉及到的子鍵以及恢復方法，但是有些篡改網站所涉及的子鍵以及放置自啟動程序的路徑會不盡相同或者還有新的篡改「技術」出現，那怎麼辦？不要緊，我們還有一招，可以以不變應萬變。當你不清楚它們修改了註冊表哪個子鍵的時候，你可以「透過現象看本質」，進入註冊表編輯器，然後按「F3」鍵開啟「搜尋」，搜尋內容就是那個篡改網站的網站名或者網址，當找到後你可以對相應鍵值或移除或修改，然後再按「F3」鍵「搜尋下一個」，直到將它們清理乾淨了才罷休。對於設定了自執行程序或者設定了文件連接的情況，你還要根據文件路徑順籐摸瓜直搗黃龍得而誅之以圖後快，哈哈！　　當然最治標治本的方法就是那些做網頁的「大蝦」朋友能夠早日良心發現迷途知返，讓我們這些小小「菜鳥」上網的時候多些安全感啊，不然真的成了驚弓之鳥啦！以上這些就是近來「流行」的篡改手段的大揭密，希望對大家有一點作用!
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:57 AM	#7 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O2 1. 項目說明 O2項列舉現有的IE瀏覽器的BHO模組。BHO，即Browser Helper Objects，指的是瀏覽器的輔助模組（或稱輔助對像），這是一些擴充瀏覽器功能的小插件。這裡面魚龍混雜，諾頓殺毒、goolge等都可能出現在這裡，而這裡也是一些間諜軟體常出沒的地方。 2. 舉例： O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll 這是影音傳送帶（Net Transport）的模組。 O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL 這是網際快車（FlashGet）的模組。 O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL 這是百度搜尋的模組。 O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 這是3721上網助手的模組。 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 這是Adobe Acrobat Reader（用來處理PDF文件）的模組。 O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll 這是Google工具條的模組。 3. 一般建議可能的O2項實在太多了，此處無法一一列舉。網上有一些很好的BHO列表，大家可以在裡面查詢相關的項目訊息。相關資料查詢位址舉例： http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/bhos/ http://computercops.biz/CLSID.html 建議使用CLSID（就是「{ }」之間的數位）來搜尋相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。修復前請仔細分析，看看是否認得這個東西的名字，看看它所在的路徑，不能一概而論。最好進一步查詢相關資料，千萬不要隨意修復。對於標記為X的惡意模組，一般建議修復。 4. 疑難解析 HijackThis修復O2項時，會移除相關文件。但對於某些O2項，雖然選項了讓HijackThis修復，下次掃瞄時卻還在。出現此情況時，請先確保使用HijackThis修復時已經關閉了所有瀏覽器視窗和資料夾視窗。如果還不行，建議重新啟動到安全模式直接移除該檔案。有時，會遇到一個如下的項目（後面沒內容） O2 - BHO: 總是刪不掉，懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個O2項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 04:59 AM	#8 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O3 1. 項目說明 O3項列舉現有的IE瀏覽器的工具條（ToolBar，簡寫為TB）。注意，這裡列出的是工具條，一般是包含多個項目的那種。除了IE原有的的一些工具條外，其它軟體也會安裝一些工具條，這些工具條通常出現在IE自己的工具條和位址欄的下面。HijackThis在O3項中把它們列出來。其相關註冊表項目為 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar 2. 舉例 O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX 這是Windows Media Player 2 ActiveX Control，媒體播放器的ActiveX控制項。 O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL 這是網際快車（FlashGet）的IE工具條。 O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL 上面三個是金山毒霸的IE工具條。 O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL 這個是金山快譯的IE工具條。 O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 3721上網助手的IE工具條。 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll 這個是google的IE工具條。 O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll 這個是諾頓殺毒軟體的工具條。 3. 一般建議同O2，這個也必須仔細分析，看看是否認得這個東西的名字，看看它在IE的工作列是什麼（有一些可能安裝了但沒有顯示，在IE的工作列點右鍵可以看到一些），看看它所在的路徑，不能一概而論。可以進一步查詢相關資料，千萬不要隨意修復。這裡推薦一些好的查詢位址 http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/toolbars/ http://computercops.biz/CLSID.html 建議使用CLSID（就是「{ }」之間的數位）來搜尋相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。對於標記為X的，一般建議修復。 4. 疑難解析如果在資料查詢列表中找不到，其名稱又似乎是隨機的，而路徑則在「Application Data」下，一般是感染了著名的Lop.com，建議修復。如 O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 關於Lop.com的詳細資料及手動式修復方法，請參閱 http://www.doxdesk.com/parasite/lop.html

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:00 AM	#9 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O4 1. 項目說明這裡列出的就是平常大家提到的一般意義上的自啟動程序。確切地說，這裡列出的是註冊表下面諸鍵啟動的程序。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit這一項雖然也可以啟動程序，但已經在F2項報告過了。另外，O4項還報告兩種情況，即「Startup:」和「Global Startup:」，在我的印象裡 Startup: 相當於資料夾c:\documents and settings\USERNAME\ 下的內容（USERNAME指您的用戶名） Global Startup: 相當於資料夾c:\documents and settings\All Users\ 下的內容注意，其它存放在這兩個資料夾的文件也會被報告。我覺得，其實，「啟動」資料夾應該被報告，就是 Startup: 報告c:\documents and settings\USERNAME\start menu\programs\startup 下的內容 Global Startup: 報告c:\documents and settings\All Users\start menu\programs\startup 下的內容但這兩項在中文版分別為 Startup: C:\Documents and Settings\USERNAME\「開始」功能表\程序\啟動 Global Startup: C:\Documents and Settings\All Users\「開始」功能表\程序\啟動恐怕HijackThis不能識別中文版的這兩個目錄，以至不報告其內容。不是是否如此？望達人告知。 2. 舉例註：中括號前面是註冊表主鍵位置中括號中是鍵值中括號後是資料 O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun 註冊表自我檢驗 O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe windows工作最佳化器（Windows Task Optimizer） O4 - HKLM\..\Run: [SystemTray] SysTray.Exe Windows電源管理程序 O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面三個均是瑞星的自啟動程序。 O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32 上面兩個是3721和百度的自啟動程序。（不是經常有朋友問工作裡的Rundll32.exe是怎麼來的嗎？） O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe Windows計劃工作 O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面兩個也是瑞星的自啟動程序。 O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 這是微軟Office在「開始——程序——啟動」中的啟動項。 3. 一般建議查表吧！可能的項目太多了，請進一步查詢相關資料，千萬不要隨意修復。推薦一些好的查詢位址 http://www.oixiaomi.net/systemprocess.html 這是中文的，一些一般的項目均可查到。 http://www.sysinfo.org/startuplist.php http://www.windowsstartup.com/wso/browse.php http://www.windowsstartup.com/wso/search.php http://www.answersthatwork.com/Taskl...s/tasklist.htm http://www.liutilities.com/products/...rocesslibrary/ 英文的，很全面。其中一些標記的含義—— Y - 一般應該允許執行。 N - 非必須程序，可以留待需要時手動啟動。 U - 由用戶根據具體情況決定是否需要。 X - 明確不需要的，一般是病毒、間諜軟體、廣告等。 ? - 暫時未知還有，有時候直接使用工作的名字在www.google.com上搜尋，會有意想不到的收穫（特別對於新出現的病毒、木馬等）。 4. 疑難解析請注意，有些病毒、木馬會使用近似於系統工作、正常應用程式(甚至殺毒軟體）的名字，或者乾脆直接使用那些工作的名字，所以一定要注意仔細分辨。O4項中啟動的程序可能在您試圖使用HijackThis對它進行修復時仍然執行著，這就需要先終止相關工作然後再使用HijackThis對它的啟動項進行修復。（終止工作的一般方法：關閉所有視窗，同時按下CTRL+ALT+DELETE，在開啟的視窗中選要終止的工作，然後按下「結束工作」或者「結束工作」，最後關閉該視窗。）

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:01 AM	#10 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O5 1. 項目說明 O5項與控制台中被遮閉的一些IE選項相關，一些惡意程序會隱藏控制台中關於IE的一些選項，這可以通過在control.ini文件中增加相關指令實現。 2. 舉例 O5 - control.ini: inetcpl.cpl=no 這裡隱藏了控制台中的internet選項 3. 一般建議除非您知道隱藏了某些選項（比如公司網管特意設定的），或者是您自己如此設定的，否則應該用HijackThis修復。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:04 AM	#11 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O6 1. 項目說明 O6提示Internet選項（開啟IE——工具——Internet選項）被禁用。管理員可以對Internet選項的使用進行限制，一些惡意程序也會這樣阻撓修復。這裡用到的註冊表項目是 HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions 2. 舉例 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 這裡禁用了internet選項 3. 一般建議除非您知道禁用了internet選項（比如網咖使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），組別——O7 1. 項目說明 O7提示註冊表編輯器（regedit）被禁用。管理員可以對註冊表編輯器的使用進行限制，一些惡意程序也會這樣阻撓修復。這可以通過對註冊表如下鍵的預設值的修改實現 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 2. 舉例 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 這裡禁用了註冊表編輯器。 3. 一般建議除非您知道禁用了註冊表編輯器（比如公司使用了一些管理軟體），或者是您自己有意設定的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:06 AM	#12 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O8 1. 項目說明 O8項指IE的右鍵功能表中的新增項目。除了IE本身的右鍵功能表之外，一些程序也能向其中增加項目。相關註冊表項目為 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 2. 舉例 O8 - Extra context menu item: 使用網際快車下載 - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: 使用網際快車下載全部連接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm 這是網際快車（FlashGet）增加的。 O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm 這是網路螞蟻（NetAnts）增加的。 O8 - Extra context menu item: 使用影音傳送帶下載 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html O8 - Extra context menu item: 使用影音傳送帶下載全部連接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html 這是影音傳送帶（Net Transport）增加的。 O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 這是Office增加的。 3. 一般建議如果不認得新增加的項目，其所在路徑也可疑，可以用HijackThis修復。建議最好先在www.google.com上查一下。暫時未在網上找到O8項的列表。組別——O9 1. 項目說明 O9提示額外的IE「工具」功能表項目及工作列按鈕。前面O3是指工具條，這裡是新增的單個工作列按鈕和IE「工具」功能表項目。相關註冊表項目為 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key 2. 舉例 O9 - Extra button: QQ (HKLM) 就是IE工作列上的QQ按鈕。 O9 - Extra button: UC (HKLM) IE工作列上的UC按鈕。 O9 - Extra button: FlashGet (HKLM) IE工作列上的網際快車（FlashGet）按鈕。 O9 - Extra `Tools` menuitem: &FlashGet (HKLM) IE「工具」功能表中的網際快車（FlashGet）項。 O9 - Extra button: NetAnts (HKLM) IE工作列上的網路螞蟻（NetAnts）按鈕。 O9 - Extra `Tools` menuitem: &NetAnts (HKLM) IE「工具」功能表中的網路螞蟻（NetAnts）項。 O9 - Extra button: Related (HKLM) IE工作列上的「顯示相關站點」按鈕。 O9 - Extra `Tools` menuitem: Show &Related Links (HKLM) IE「工具」功能表中的「顯示相關站點」項。 O9 - Extra button: Messenger (HKLM) IE工作列上的Messenger按鈕。 O9 - Extra `Tools` menuitem: Windows Messenger (HKLM) IE「工具」功能表中的「Windows Messenger」項。 3. 一般建議如果不認得新增加的項目或按鈕，可以用HijackThis修復。 4. 疑難解析

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:07 AM	#13 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O10 1. 項目說明 O10項提示Winsock LSP(Layered Service Provider)「瀏覽器劫持」。某些間諜軟體會修改Winsock 2的設定，進行LSP「瀏覽器劫持」，所有與網路交換的訊息都要通過這些間諜軟體，從而使得它們可以監控使用者的訊息。著名的如New.Net插件或WebHancer元件，它們是安裝一些軟體時帶來的你不想要的東西。相關的中文訊息可參考—— http://tech.sina.com.cn/c/2001-11-19/7274.html 2. 舉例 O10 - Hijacked Internet access by New.Net 這是被廣告程序New.Net劫持的症狀（可以通過「控制台——增加移除」來卸載）。 O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing 這一般出現在已清除間諜軟體但沒有恢復LSP正常狀態的情況下。此時，網路連接可能丟失掉。 O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 這是被廣告程序newtonknows劫持的症狀，相關資訊可參考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp 3. 一般建議一定要注意，由於LSP的特殊性，單單清除間諜軟體而不恢復LSP的正常狀態很可能會導致無法連通網路！如果您使用殺毒軟體清除間諜程序，可能遇到如上面第二個例子的情況，此時可能無法上網。有時HijackThis在O10項報告網路連接破壞，但其實仍舊可以連通，不過無論如何，修復O10項時一定要小心。遇到O10項需要修復時，建議使用專門工具修復。（1）LSPFix http://www.cexx.org/lspfix.htm （2）Spybot-Search&Destroy（上面提到過，但一定要使用最新版）這兩個工具都可以修復此問題，請進一步參考相關教學。 4. 疑難解析某些正常合法程序（特別是一些殺毒軟體）也會在Winsock水準工作。比如 O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll 這一項就屬於大陸殺毒軟體KV。所以，在O10項遇到「Unknown file in Winsock LSP」一定要先查詢一下，不要一概修復。組別——O11 1. 項目說明 O11項提示在IE的進階選項中出現了新項目。相關註冊表項目可能是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions 2. 舉例 O11 - Options group: [CommonName] CommonName 這個是已知需要修復的一項。 O11 - Options group: [!CNS] O11 - Options group: [!IESearch] !IESearch 這2個是國內論壇上的HijackThis掃瞄日誌裡最一般的O11項，分屬3721和百度，去留您自己決定。如果想清除，請先嘗試使用「控制台——增加移除」來卸載相關程序。 3. 一般建議遇到CommonName應該清除，遇到其它項目請先在網上查詢一下。 4. 疑難解析（暫無）組別——O12 1. 項目說明 O12列舉IE插件（就是那些用來增強IE功能、讓它支持更多副檔名檔案類型文件的插件）。相關註冊表項目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins 2. 舉例 O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 這兩個都屬於Acrobat軟體。 3. 一般建議絕大部分這類插件是安全的。已知僅有一個插件（OnFlow，用以支持檔案類型.ofb）是惡意的，需要修復。遇到不認得的項目，建議先在網上查詢一下。 4. 疑難解析（暫無）組別——O13 1. 項目說明 O13提示對瀏覽器預設的URL前綴的修改。當在瀏覽器的位址欄輸入一個網址而沒有輸入其前綴（比如http://或ftp://）時，瀏覽器會試圖使用預設的前綴（預設為http://）。相關註冊表項目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ 當此項被修改，比如改為http://www.AA.BB/?那麼當輸入一個網址如www.rising.com.cn時，實際開啟的網址變成了——http://www.AA.BB/?www.rising.com.cn 2. 舉例 O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/? O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/） O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/）） O13 - DefaultPrefix: c:\searchpage.html?page= O13 - WWW Prefix: c:\searchpage.html?page= O13 - Home Prefix: c:\searchpage.html?page= O13 - Mosaic Prefix: c:\searchpage.html?page= 3. 一般建議著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）來修復，本帖前部已提到過此軟體，並指出了相關小教學的連接。如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。如果使用CWShredder.exe後仍然無法修復或者根本未發現異常，再使用HijackThis來掃瞄修復。 4. 疑難解析簡單說，就是——「對於searchpage.html這個問題，上面提到的CWShredder.exe可以修復（Fix），普通模式不能修復的話，請在安全模式使用CWShredder.exe修復（Fix），修復後清空IE臨時文件(開啟IE瀏覽器——工具——internet選項——移除文件，可以把「移除所有離線內容」選上)，重新啟動。」

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:09 AM	#14 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O14 1. 項目說明 O14提示IERESET.INF文件中的改變，也就是對internet選項中「程序」選擇項內的「重置WEB設定」的修改。該IERESET.INF文件儲存著IE的預設設定訊息，如果其內容被惡意程序改變，那麼一旦您使用「重置WEB設定」功能，就會再次啟動那些惡意修改。 2. 舉例 O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 3. 一般建議如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者（ISP），可以使用HijackThis修復。 4. 疑難解析（暫無）組別——O15 1. 項目說明 O15項目提示「受信任的站點」中的不速之客，也就是那些未經您同意自動增加到「受信任的站點」中的網址。「受信任的站點」中的網址享有最低的安全限制，可以使得該網址上的惡意指令碼、小程序等更容易躲過用戶自動執行。相關註冊表項目 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains 2. 舉例 O15 - Trusted Zone: http://free.aol.com 3. 一般建議如果不認得該網站，建議使用HijackThis來修復。 4. 疑難解析（暫無）組別——O16 1. 項目說明 O16 - 下載的程式文件，就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。 2. 舉例 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab 用來看flash的東東，相信很多朋友都安裝了。 O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab 瑞星在線查毒。 3. 一般建議如果不認得這些ActiveX對象的名字，或者不知道其相關的下載URL，建議使用搜尋引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣，一般應該修復。HijackThis修復O16項時，會移除相關文件。但對於某些O16項，雖然選項了讓HijackThis修復，卻沒能夠移除相關文件。若遇到此情況，建議啟動到安全模式來修復、移除該檔案。 4. 疑難解析（暫無）組別——O17 1. 項目說明 O17提示「域劫持」，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在瀏覽器中輸入網址時，如果hosts文件中沒有相關的網址映射，將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！ 2. 舉例 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 3. 一般建議如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。 4. 疑難解析（暫無）組別——O18 1. 項目說明 O18項列舉現有的傳輸協定（protocols）用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。通過將您的電腦的預設傳輸協定取代為自己的傳輸協定，惡意網站可以通過多種方式控制您的電腦、監控您的訊息。 HijackThis會列舉出預設傳輸協定以外的額外增加的傳輸協定，並列出其在電腦上的儲存位置。 2. 舉例 O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 3. 一般建議已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。 4. 疑難解析（暫無）

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-02-12, 05:11 AM	#15 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	組別——O19 1. 項目說明 O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 此外，此項中也可能出現.ini、.bmp文件等。 2. 舉例 O19 - User stylesheet: c:\WINDOWS\Java\my.css O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\win32.bmp 3. 一般建議已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考 http://www.pestpatrol.com/pestinfo/d/datanotary.asp http://www.spywareinfo.com/articles/datanotary/ 該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。組別——O20 1. 項目說明 O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows 鍵值為AppInit_DLLs 此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。 2. 舉例 O20 - AppInit_DLLs: msconfd.dll 3. 一般建議僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。 4. 疑難解析有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`\|`來使自己難被發覺。組別——O21 1. 項目說明 O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 2. 舉例 O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 3. 一般建議 HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。 4. 疑難解析（暫無）組別——O22 1. 項目說明 O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。 2. 舉例 O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 3. 一般建議已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見http://community.rising.com.cn/Forum...3926810&page=1 4. 疑難解析（暫無）組別——O23 1. 項目說明 O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務) 2. 舉例 O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe 3. 一般建議很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache，MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了. 4. 疑難解析只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告