HijackThis是一款英文免费软件,由荷兰的一名学生 merijn 开发。HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。
HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。
日志项纵览
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载程序
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,浏览器辅助模块)
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器(regedit)被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表(stylesheet)“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项
O23 加载的系统服务
组别——R
1. 项目说明
R – 注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值(V),或称为键值,可能导致IE主页/搜索页的改变
R2 - 新建的注册表项(K),或称为键,可能导致IE主页/搜索页的改变
R3 - 在本来应该只有一个键值的地方新建的额外键值,可能导致IE搜索页的改变
R3主要出现在URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下,当我们在IE中输入错误的网址后,浏览器会使用默认的搜索引擎(如http://search.msn.com/、网络实名等)来查找匹配项目。如果HijackThis报告R3项,相关的“浏览器绑架”现象可能是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。
2. 举例
R0 - HKCU\Software\Microsoft \Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
(HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。
3. 一般建议
对于R0、R1,如果您认得后面的网址,知道它是安全的,甚至那就是您自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。
对于R2项,据HijackThis的作者说,实际上现在还没有用到。
对于R3,一般总是要选修复,除非它指向一个您认识的程序(比如百度搜索和3721网络实名)。
4. 疑难解析
(1) 偶尔,在这一组的某些项目后面会出现一个特殊的词——(obfuscated),例如下面几个
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com/www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com/www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com/www.e-finder.cc/search/ (obfuscated)
obfuscated,中文大意为“使混乱,使糊涂迷惑,使过于混乱或模糊,使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis 标为obfuscated的项目在对IE主页/搜索页进行修改的同时,还利用各种方法把自己变得不易理解,以躲避人们对注册表内容的查找辨识(比如直接在注册表特定位置添加十六进制字符键值,电脑认得它,一般人可就不认得了)。
(2) 有些R3项目{ }号后面,会跟上一个下划线( _ ),比如下面几个:
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
这些{ }后面多一个下划线的R3项目,实际上无法使用HijackThis修复(这是HijackThis本身的一个bug)。如果要修复这样的项目,需要打开注册表编辑器(开始——运行——输入 regedit——按“确定”),找到下面的键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目,但要注意不要误删以下一项
CFBFAE00-17A6-11D0-99CB-00C04FD64497
这一项是默认的。
请注意,如果是在{ }号前面有一个下划线,这些项目HijackThis可以正常清除。比如下面的:
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)
(3)最近见到不少后面没有内容的R3项。比如
R3 - URLSearchHook:
怀疑这是3721的项目,如果您安装了3721,则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。
** 特别提醒:
如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请“不要”使用HijackThis的恢复功能来取消对 F2项目的修改(我指的是config菜单——Backups菜单——Restore功能),因为据报告HijackThis在恢复对F2项的修改时,可能会错误地修改注册表中另一个键值。此bug已被反映给HijackThis的作者。
此bug涉及的注册表键值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改,可能会错误修改另一个键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell
所以,如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复,一旦因为某些原因想要反悔,请手动修改上面提到的UserInit 键值(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit)
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不过,说实话,在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志。
组别——F
1. 项目说明
F - ini文件中的自动运行程序或者注册表中的等价项目
F0 - ini文件中改变的值,system.ini中启动的自动运行程序
F1 - ini文件中新建的值,win.ini中启动的自动运行程序
F2 - 注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序
F3 - 注册表中win.ini文件映射区中启动的自动运行程序
F0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。
F0对应在System.ini文件中“Shell=”这一项(没有引号)后面启动的额外程序。在Windows 9X中,System.ini里面这一项应该是
Shell=explorer.exe
这一项指明使用explorer.exe作为整个操作系统的“壳”,来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名,该程序在启动Windows时也会被执行,这是木马启动的方式之一(比较传统的启动方式之一)。比如
Shell=explorer.exe trojan.exe
这样就可以使得trojan.exe在启动Windows时也被自动执行。
F1对应在win.ini文件中“Run=”或“Load=”项(均没有引号)后面启动的程序。这些程序也会在启动Windows时自动执行。通常,“Run=”用来启动一些老的程序以保持兼容性,而“Load=”用来加载某些硬件驱动。
F2和F3项分别对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中,通常不使用上面提到的system.ini和win.ini文件,它们使用一种称作IniFileMapping(ini文件映射)的方式,把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时,Windows会先到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping这里查找需要的内容,而不是去找那些ini文件。F2/F3其实和F0/F1相类似,只不过它们指向注册表里的ini映像。另外有一点不同的是,F2项中还报告下面键值处额外启动的程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此处默认的键值是(注意后面有个逗号)
C:\WINDOWS\system32\userinit.exe,
(根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里默认指向%System%\userinit.exe
%System%指的是系统文件目录
对于NT、2000,该键值默认为X:\WINNT\system32\userinit.exe
对于XP,该键值默认为X:\WINDOWS\system32\userinit.exe
这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)
这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序(在该键值中userinit.exe后的逗号后面可以添加其它程序),这些程序在用户登录后也会被执行。比如将其键值改为
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
则c:\windows\trojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。
总之,F项相关的文件包括
c:\windows\system.ini
c:\windows\win.ini
(根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里指的是%windows%目录下的这两个ini文件
%Windows%目录指的是Windows安装目录
对于NT、2000,Windows安装目录为X:\WINNT对于XP,Windows安装目录为X:\WINDOWS这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)
F项相关的注册表项目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
2. 举例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个trojan.exe,这个trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中,在win.ini文件中,启动了hpfsched这个程序,需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中,UserInit项(说明见上)中额外启动了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其实相当于第一个例子F0 - system.ini: Shell=Explorer.exe trojan.exe,在注册表中的system.ini文件“映像”中,额外启动了trojan.exe。
3. 一般建议
基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。
F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查一下,网上搜一搜,具体问题具体分析。
对于F2项,如果是关于“Shell=”的,相当于F0的情况,一般应该修复。如果是关于“UserInit=”的,除了下面的“疑难解析”中提到的几种情况另作分析外,一般也建议修复。但要注意,一旦修复了关于“UserInit=”的F2项,请不要使用HijackThis的恢复功能恢复对这一项的修改,这一点上面着重提到了。当然,您也可以利用“UserInit=”自己设置一些软件开机自启动,这是题外话了,相信如果是您自己设置的,您一定不会误删的。
4. 疑难解析
(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到这一项与默认情况的区别了吗?其实,这一项之所以被HijackThis报告出来,是因为丢失了键值最后的一个逗号。但这并不是真正的问题,可以不予理会。
(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent,这一项出现在userinit后面也是正常的。
(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
这一个比较特别,这是广告程序BlazeFind干的好事,这个广告程序修改注册表时不是把自己的wsaupdater.exe放在userinit的后面,而是直接用wsaupdater.exe替换了userinit.exe,使得注册表这一项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的键值从默认的
C:\WINDOWS\system32\userinit.exe,
变为
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除该广告程序,重启动后可能会造成用户无法登录系统。这时需要使用光盘或者软盘启动,将userinit.exe复制一份,命名为 wsaupdater.exe放在同一目录下,以使得系统能够正常登录,然后将上面所述的注册表中被广告程序修改的键值恢复默认值,再删除 wsaupdater.exe文件。
该问题存在于Ad-aware 6 Build 181,据我所知,HijackThis可以正常修复这一项。
具体信息清参考
http://www.lavahelp.com/articles/v6/04/06/0901.html
组别——N
1. 项目说明
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中,浏览器的默认起始主页和默认搜索页的改变
N2 - Netscape 6中,浏览器的默认起始主页和默认搜索页的改变
N3 - Netscape 7中,浏览器的默认起始主页和默认搜索页的改变
N4 - Mozilla中,浏览器的默认起始主页和默认搜索页的改变
与这些改变相关的文件为prefs.js。
2. 举例
N1 - Netscape 4: user_pref(”browser.startup.homepage”, “http://www.google.com/”); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com/”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref(”browser.search.defaultengine”, “engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
3. 一般建议
一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。
组别——O
(字母O,代表Other即“其它”类,以下各组同属O类)
1. 项目说明
O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时,浏览器会先检查hosts文件中是否存在该网址的映射,如果有,则直接连接到相应IP地址,不再请求DNS域名解析。这个方法可以用来加快浏览速度,也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。
这个hosts文件在系统中的通常位置为
C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)
注意,没有扩展名。
该文件的一般格式类似
219.238.233.202 http://www.rising.com.cn/
注意,IP地址在前,空格后为网址,下一个映射另起一行。(若有#,则#后的部分作为注释,不起作用。)
上面的例子中,瑞星的主页http://www.rising.com.cn/和IP地址219.238.233.202在hosts文件中互相关联起来,一旦用户要访问http://www.rising.com.cn/,浏览器根据hosts文件中的内容,会直接连接 219.238.233.202。在这个例子中,这个219.238.233.202实际上正是瑞星主页的IP地址,所以这样做加快了访问速度(省掉了 DNS域名解析这一步),在好几年前,这是一个比较常用的加快浏览的方法(那时上网费用高、小猫跑得又慢),现在这个方法用得少了。而且,这个方法有个缺陷,那就是,一旦想要浏览的网站的IP地址变动了,就不能正常浏览该网站了,必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用,它们修改hosts文件,建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1 (127.0.0.1就是指您自己的电脑),那么您就打不开那些反病毒软件的网站,清除木马等恶意程序就更加困难,甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站(比如google等)指向其它一些网站的IP地址,增加后者的访问量。当然,也可以直接用此方法重定向浏览器的搜索页。
2. 举例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。
下面是XP的原始Hosts文件的内容
# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
所有以#开始的行都是注释内容,不起作用。最后一行指明本地主机(localhost)的IP地址为127.0.0.1(这是默认的)。
3. 一般建议
HijackThis报告O1项时,一般建议修复它,除非是您自己在Hosts文件中如此设置的。
4. 疑难解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中,那么很可能感染了CoolWebSearch(跟上面提到的 Lop.com一样著名的恶意网站家族),应该使用HijackThis修复相关项。当然,别忘了还有CoolWebSearch的专杀—— CoolWebSearch Shredder (CWShredder.exe)。
组别——O2
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。
2. 举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google 工具条的模块。
3. 一般建议
可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。
修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。
4. 疑难解析
HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容)
O2 - BHO:
总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。
组别——O3
1. 项目说明
O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB)。注意,这里列出的是工具条,一般是包含多个项目的那种。除了IE自带的一些工具条外,其它软件也会安装一些工具条,这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. 举例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
这是网际快车(FlashGet)的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
这个是诺顿杀毒软件的工具条。
3. 一般建议
同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地址
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/toolbars/
http://computercops.biz/CLSID.html
建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。对于标记为X的,一般建议修复。
4. 疑难解析
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“Application Data”下,一般是感染了著名的Lop.com,建议修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
组别——O4
1. 项目说明
这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。
另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意,其它存放在这两个文件夹的文件也会被报告。
我觉得,其实,“启动”文件夹应该被报告,就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。
2. 举例
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。
3. 一般建议
查表吧!可能的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地址
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的,很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
还有,有时候直接使用进程的名字在http://www.google.com/上查找,会有意想不到的收获(特别对于新出现的病毒、木马等)。
4. 疑难解析
请注意,有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字,或者干脆直接使用那些进程的名字,所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着,这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。(终止进程的一般方法:关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)
组别——O5
1. 项目说明
O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现。
2. 举例
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
3. 一般建议
除非您知道隐藏了某些选项(比如公司网管特意设置的),或者是您自己如此设置的,否则应该用HijackThis修复。
组别——O6
1. 项目说明
O6提示Internet选项(打开IE——工具——Internet选项)被禁用。管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。这里用到的注册表项目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
2. 举例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
这里禁用了internet选项
3. 一般建议
除非您知道禁用了internet选项(比如网吧使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
组别——O7
1. 项目说明
O7提示注册表编辑器(regedit)被禁用。管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
2. 举例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
这里禁用了注册表编辑器。
3. 一般建议
除非您知道禁用了注册表编辑器(比如公司使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
组别——O8
1. 项目说明
O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外,一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
2. 举例
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。
3. 一般建议
如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。建议最好先在http://www.google.com/上查一下。暂时未在网上找到O8项的列表。
组别——O9
1. 项目说明
O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key
2. 举例
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
3. 一般建议
如果不认得新添加的项目或按钮,可以用HijackThis修复。
4. 疑难解析
组别——O10
1. 项目说明
O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或 WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
2. 举例
O10 - Hijacked Internet access by New.Net
这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
这是被广告程序newtonknows劫持的症状,相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp
3. 一般建议
一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。
遇到O10项需要修复时,建议使用专门工具修复。
(1)LSPFix http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)
这两个工具都可以修复此问题,请进一步参考相关教程。
4. 疑难解析
某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。
组别——O11
1. 项目说明
O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
2. 举例
O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是国内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您自己决定。如果想清除,请先尝试使用“控制面板——添加删除”来卸载相关程序。
3. 一般建议
遇到CommonName应该清除,遇到其它项目请先在网上查询一下。
4. 疑难解析
(暂无)
组别——O12
1. 项目说明
O12列举IE插件(就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件)。相关注册表项目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
2. 举例
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
这两个都属于Acrobat软件。
3. 一般建议
绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类型.ofb)是恶意的,需要修复。遇到不认得的项目,建议先在网上查询一下。
4. 疑难解析
(暂无)
组别——O13
1. 项目说明
O13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀(比如http://或ftp://)时,浏览器会试图使用默认的前缀(默认为http://)。相关注册表项目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\URL\DefaultPrefix当此项被修改,比如改为http://www.AA.BB/?那么当输入一个网址如http://www.rising.com.cn/时,实际打开的网址变成了——http://www.AA.BB/?www.rising.com.cn
2. 举例
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/)
O13 - WWW Prefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/))
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=
3. 一般建议
著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)来修复,本帖前部已提到过此软件,并给出了相关小教程的链接。
如果使用CWShredder.exe发现了问题但却无法修复(Fix),请在安全模式使用CWShredder.exe再次修复(Fix)。
如果使用CWShredder.exe后仍然无法修复或者根本未发现异常,再使用HijackThis来扫描修复。
4. 疑难解析
简单说,就是——“对于searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安全模式使用CWShredder.exe修复(Fix),修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,可以把“删除所有脱机内容”选上),重新启动。”
组别——O14
1. 项目说明
O14提示IERESET.INF文件中的改变,也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF 文件保存着IE的默认设置信息,如果其内容被恶意程序改变,那么一旦您使用“重置WEB设置”功能,就会再次激活那些恶意修改。
2. 举例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
3. 一般建议
如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可以使用HijackThis修复。
4. 疑难解析
(暂无)
组别——O15
1. 项目说明
O15项目提示“受信任的站点”中的不速之客,也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制,可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
2. 举例
O15 - Trusted Zone: http://free.aol.com/
3. 一般建议
如果不认得该网站,建议使用HijackThis来修复。
4. 疑难解析
(暂无)
组别——O16
1. 项目说明
O16 - 下载的程序文件,就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络,存放在Downloaded Program Files目录下,其CLSID记录在注册表中。
2. 举例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
用来看flash的东东,相信很多朋友都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在线查毒。
3. 一般建议
如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,建议使用搜索引擎查询一下,然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样,一般应该修复。HijackThis修复O16项时,会删除相关文件。但对于某些O16项,虽然选择了让HijackThis修复,却没能够删除相关文件。若遇到此情况,建议启动到安全模式来修复、删除该文件。
4. 疑难解析
(暂无)
组别——O17
1. 项目说明
O17提示“域劫持”,这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过,当在浏览器中输入网址时,如果hosts文件中没有相关的网址映射,将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置,把其指向恶意网站,那么当然是它们指哪儿您去哪儿啦!
2. 举例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
3. 一般建议
如果这个DNS服务器不是您的ISP或您所在的局域网提供的,请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复,似乎已知的需要修复的O17项也就此一个。
4. 疑难解析
(暂无)
组别——O18
1. 项目说明
O18项列举现有的协议(protocols)用以发现额外的协议和协议“劫持”。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLSHKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。
通过将您的电脑的默认协议替换为自己的协议,恶意网站可以通过多种方式控制您的电脑、监控您的信息。
HijackThis会列举出默认协议以外的额外添加的协议,并列出其在电脑上的保存位置。
2. 举例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
3. 一般建议
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要进一步查询资料、综合分析。
4. 疑难解析
(暂无)
组别——O19
1. 项目说明
O19提示用户样式表(stylesheet)“劫持”,样式表是一个扩展名为.CSS的文件,它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外,此项中也可能出现.ini、.bmp文件等。
2. 举例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp
3. 一般建议
已知,datanotary.com会修改样式表。该样式表名为my.css或者system.css,具体信息可参考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
该“浏览器劫持”也属于CoolWebSearch家族,别忘了上面多次提到的专杀。
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此项时,建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项,建议使用HijackThis修复。
组别——O20
1. 项目说明
O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值为AppInit_DLLs
此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。
2. 举例
O20 - AppInit_DLLs: msconfd.dll
3. 一般建议
仅有极少的合法软件使用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大多数时候,当HijackThis报告此项时,您就需要提防木马或者其它恶意程序。
4. 疑难解析
有时,HijackThis不报告这一项,但如果您在注册表编辑器中使用“修改二进位数据”功能,则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。
组别——O21
1. 项目说明
O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式,通常只有少数Windows系统组件用到它。Windows启动时,该处注册的组件会由Explorer加载。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
2. 举例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
3. 一般建议
HijackThis会自动识别在该处启动的常见Windows系统组件,不会报告它们。所以如果HijackThis报告这一项,则有可能存在恶意程序,需要仔细分析。
4. 疑难解析
(暂无)
组别——O22
1. 项目说明
O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式,极少用到。
2. 举例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
3. 一般建议
已知,CoolWebSearch变种Smartfinder用到这一项,请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机),简介见http: //community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1
4. 疑难解析
(暂无)
组别——O23
1. 项目说明
O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务)
2. 举例
O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
3. 一般建议
很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache,MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如”NOD32 Kernel Service”很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是病毒了.
4. 疑难解析
只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略.
1.99.1版新加入的O20 此回复内容原创
O20除了能检测AppInit_DLLs之外,在1.99.1版还新加入了WINLOGON NOTIFY注册表键值的检测。
1. 项目说明:
此注册表键能在系统引导时将DLL文件加载到内存中,并且让该DLL加载于内存中直到关机。除了WINDOWS系统自身的几个组件外,一些如VX2,ABETTERINTERNET和LOOK2ME等恶意程序也会使用此键值。
2. 举例:O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此为STARDOCK公司出品的WINDOWBLINDS系统主题替换软件的正常加载DLL
3. 一般建议:已知如VX2,ABETTERINTERNET和LOOK2ME等恶意程序会修改此注册表值调用自身的DLL,一般用户如果见到不熟悉的 DLL,请小心处理。已知WINDOWBLINDS和新版的INTEL板载显卡驱动会调用此键值(文件为IGFXSRVC.DLL),INTEL无线网卡程序(LgNotify.dll)。