|
|
查病毒的好帮手HijaclThis
病毒一般需要在系统启动时自动加载,而WINDOWS可以加载启动项的位置很多,一般用户要么不了解这些启动项的位置,要么知道的不全面,如果有个软件能查找所有病毒可能藏身的位置不就简单了吗,HijaclThis软件作者是荷兰的一位学生,是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!并且它提供的扫描Log很全面,新手可以将Log放在杀毒论坛上,在高手的帮助,清除恶意程序!
一、HijackThis简明教程(编译+部分原创)
HijackThis是一款英文免费软件,由荷兰的一名学生merijn开发。其个人主页上有merijn自己的简介(http://merijn.org/index.html),并提供其利用业余时间开发的软件供大家下载。HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。
HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心人帮助解决问题。
本文简单介绍HijackThis软件的使用方法,并提供HijackThis日志文件的初步分析方法供大家参考。
HijackThis软件下载地址:
原始网站
http://mjc1.com/mirror/hjt/
华军软件园
http://www.onlinedown.net/soft/16091.htm
天空软件站
http://www.skycn.com/soft/13334.html
汉化版(感谢Qoo酷儿)
http://www.hanzify.org/index.php?Go=Show: ist&ID=5235
请参考
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3095567&page=1
--------------------
使用方法简介:
请注意,HijackThis只有一个文件,如果您下载的HijackThis是一个ZIP压缩包,需要先把它解压缩然后再运行HijackThis.exe,不要在压缩包内直接运行。
1 这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会有一个提示,点击即可。
2 这是主界面。点击scan(扫描)就开始扫描。
3 扫描结束后,结果会在界面中显示出来,同时scan按钮变成save log(保存日志)。
4 点击save log按钮,将日志文件Hijackthis.log保存到您选定的地方,您也可以给这个文件改名字,但建议不要改动扩展名.log。
5 日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记事本打开。
6 config菜单——main菜单,这里列出一些默认设置,一般不必改动。
7 config菜单——Ignorelist菜单,这里用来管理那些不希望HijackThis扫描的项目。
8 config菜单——Backups菜单,按照默认设置,HijackThis在修复的同时留下备份文件,用来在将来后悔时取消当初的修复动作(选中备份文件后按下“Restore”)。
9 config菜单——Misc Tools菜单,这里可以生成启动列表和在线更新HijackThis。 二、日志分析
由于这是一款英文软件,而且它的log文件也比较复杂(谁让windows那么复杂呢),所以给大家解读带来一定困难,下面,我们就来看看log文件到底说了些什么。
Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本
Running processes:——扫描时正在运行的进程
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpcc.exe
F:\Program Files\SkyNet\FireWall\PFWMain.exe
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\SOFTLIB\TOOLS\安全\启动项\HijackThis.exe
可能的进程很多,在此无法一一列举,推荐两个网站,可以查找这些进程的资料。
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
英文的,很丰富。
(下面部分,所有可能出现在log文件中的项已经分组排列,方便大家参考。)
组别——R
R – 注册表中的默认起始主页和默认搜索页的改变
R0 - 默认页改变
R1 - 新建的注册表值(V),或称为键值
R2 - 新建的注册表项(K),或称为键
R3 - 在本来应该只有一个键值的地方新建的额外键值
说明:
R0、R1、R2、R3 都是IE的默认起始主页和默认搜索页的改变
举例:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start
Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Page_URL=http://www.google.com/
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class -
{2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED
PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class -
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} -
C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误。此错误可以用HijackThis修复。
处理方法:
如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix
checked”,让HijackThis修复它。对于R3,一般总是要选修复,除非它指向一个你认识的程序(比如百度搜索和3721网络实名)。
组别——F
F - ini文件中的自动运行程序。
F0 - ini文件中改变的值
F1 - ini文件中新建的值
说明:
F0, F1 - 这都是ini文件(system.ini、win.ini)中启动的自动运行程序。
举例:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个Openme.exe,这个Openme.exe十分可疑。在win.ini中,启动了hpfsched这个程序,需要分析。
处理方法:
基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。
F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查找一下,具体问题具体分析。
组别——N
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中,prefs.js的改变。
N2 - Netscape 6中,prefs.js的改变。
N3 - Netscape 7中,prefs.js的改变。
N4 - Mozilla中,prefs.js的改变。
说明:
N1、N2、N3、N4 - 这都是Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。
举例:
N1 - Netscape 4: user_pref("browser.startup.homepage",
"www.google.com"); (C:\Program
Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage",
"http://www.google.com"); (C:\Documents and
Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src");
(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
上面的例子列出了现在的默认页和相关配置文件的位置。
处理方法:
一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。
组别——O(这是字母O哦!)
O - 其它类,包含很多方面,下面一一详述。
O1 - 在Hosts文件中将默认搜索页重新定向。
说明:O1出现,表明在Hosts文件中,默认搜索页可能被重新定向了。这里出现的其实不仅是搜索页,通过Hosts文件,可以把各种网页和不属于它的IP地址联系起来。
举例:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。
处理方法:
一般你应该修复它,除非是你自己在Hosts文件中如此设置的。
O2 - 列举现有的IE浏览器的BHO模块。
说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块。
常见项举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} -
C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} -
C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} -
C:\PROGRAM FILES\3721\CES\CESWEB.DLL
这是3721的中文邮(我没用过,这个不确定)。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} -
C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
(通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。)
处理方法:
这个必须仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。
O3 - 列举现有的IE浏览器的工具条。(注意,这里列出的是工具条,一般是包含多个项目的那种。)
说明:除了IE自带的一些工具条外,其它软件也会安装一些工具条,HijackThis在O3项中把它们列出来。
常见项举例:
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar -
{E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM
FILES\FLASHGET\FGIEBAR.DLL
这是网际快车(FlashGet)的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} -
C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} -
C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} -
C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} -
C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} -
C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F}
- C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
相关资料查询地址举例:
http://www.spywareinfo.com/toolbars/
(通常,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。)
处理方法:
同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“APPLICATION
DATA”下,一般是有问题的,建议修复。如O3 - Toolbar: rzillcgthjx -
{5996aaf3-5c08-44a9-ac12-1843fd03df0a} -
C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
O4 - 列举自启动项。
说明:就是平常大家最关心的自启动程序。
常见项举例:
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe
/autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM
FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM
FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program
Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe
C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe
C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM
FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program
Files\rising\Rav\CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:\Program
Files\Microsoft Office\Office\OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。
这里仅仅举几个例子,因为这样的项目太多,不胜枚举。请您进一步查询相关网页。
相关资料查询地址举例:
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
这是英文的,很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
处理方法:
建议对照上面的相关网址的信息,来决定取舍。
O5 - 控制面板中被屏蔽的一些IE选项
说明:一些恶意程序会隐藏控制面板中关于IE的一些选项,这里就显示被隐藏项。
举例:
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
处理方法:
除非你知道隐藏了某些选项,否则应该用HijackThis修复。
O6 - Internet选项被禁用
说明:管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions present
这里禁用了internet选项
处理方法:
除非你知道禁用了internet选项(比如使用一些管理软件),否则应该用HijackThis修复。
O7 - 注册表编辑器(regedit)被禁用
说明:管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
O7 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
这里禁用了注册表编辑器
处理方法:
一般来说,应该用HijackThis修复。
O8 - IE的右键菜单中的新增项目
说明:除了IE本身的右键菜单之外,一些程序也能向其中添加项目。
举例:
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM
FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM
FILES\FLASHGET\jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts -
C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts -
C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 使用影音传送带下载 -
C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 -
C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -
res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。
处理方法:
如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。
O9 - 额外的IE“工具”菜单项目及工具栏按钮。
说明:O3是工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。
举例:
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
处理方法:
如果不认得新添加的项目或按钮,可以用HijackThis修复。
O10 - Winsock LSP浏览器“劫持”。
说明:修改Winsock 2的设置,进行Winsock Layered Service Provider
(LSP)的浏览器“劫持”。最著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
举例:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider
`c:\progra~1\common~2\toolbar\cnmib.dll` missing
O10 - Unknown file in Winsock LSP: c:\program files\newton
knows\vmain.dll
处理方法:
建议使用专门工具修复。
LSPFix
http://www.cexx.org/lspfix.htm
Spybot S&D(这也是一个著名的查间谍软件的免费工具。)
http://www.safer-networking.org/
O11 - IE的高级选项中的新项目。
说明:现在已知只有一个恶意程序在IE的高级选项中添加新项目。
举例:
O11 - Options group: [CommonName] CommonName
处理方法:
现在已知只有一个恶意程序在IE的高级选项中添加新项目,这个程序叫“CommonName”。建议使用HijackThis来修复。
O12 - IE插件。
说明:扩展IE功能,让它支持更多扩展名类型文件的插件。
举例:
O12 - Plugin for .spop: C:\Program Files\Internet
Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet
Explorer\PLUGINS\nppdf32.dll
处理方法:
绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类型.ofb)是恶意的,需要修复。
O13 - 对IE默认的URL前缀的修改
说明:对IE默认的URL前缀的修改
举例:
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
处理方法:
使用HijackThis来修复。
O14 - IERESET.INF文件中的改变。
说明:对internet选项中“程序”选项卡内的“重置WEB设置”的修改。
举例:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
处理方法:
如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可以使用HijackThis修复。
O15 - “受信任的站点”中的不速之客。
说明:这里列出自动添加的“受信任的站点”。
举例:
O15 - Trusted Zone: http://free.aol.com
处理方法:
使用HijackThis来修复。
O16 - 下载的程序文件。
说明:Downloaded Program Files目录下的那些ActiveX对象。
举例:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
用来看flash的东东,相信很多朋友都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline)
- http://211.101.232.4/ravkill/rsonline.cab
瑞星在线查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx
Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在线查毒。
处理方法:
如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,可以使用HijackThis来修复该项。如果名字或者下载URL中带有“dialer”、“casino”、“free_plugin”字样,
一般应该修复。
O17 - 域“劫持”
说明:与域相关的改变。
举例:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName =
W21944.find-quick.com
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
处理方法:
如果这个域不是你的ISP或你所在的局域网提供的,使用HijackThis来修复。已知Lop.com应该修复。
O18 - 列举现有的协议(protocols)
说明:用以发现额外的协议和协议“劫持”。
举例:
O18 - Protocol: relatedlinks -
{5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http -
{66993893-61B8-47DC-B10D-21E0C86DD9C8}
处理方法:
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks`
(Huntbar)是需要用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要综合分析。
O19 - 用户样式表(stylesheet)“劫持”
说明:样式表(stylesheet)是一个扩展名为.CSS的文件。
举例:
O19 - User style sheet: c:\WINDOWS\Java\my.css
处理方法:
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此项时,建议使用HijackThis修复。
提醒一下,在HijackThis主界面中,您随时可以选中一个扫描到的项目,然后按下“Info on selected
item”来获取相关信息。
最后,用下面的扫描日志做个复习。
Logfile of HijackThis
v1.97.7——这里表明这是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本
Running processes:——扫描时正在运行的进程
C:\WINDOWS\System32\smss.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\system32\winlogon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\system32\services.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\system32\lsass.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\system32\svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\System32\svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\system32\spoolsv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\Explorer.EXE——在http://www.oixiaomi.net/systemprocess.html可以查到
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpcc.exe——卡巴斯基杀毒
F:\Program Files\SkyNet\FireWall\PFWMain.exe——天网防火墙
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpcc.exe——卡巴斯基杀毒
C:\WINDOWS\System32\ctfmon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\Program Files\MSN Messenger\MsnMsgr.Exe——MSN
F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\avpm.exe——卡巴斯基杀毒
C:\WINDOWS\System32\nvsvc32.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\System32\MsPMSPSv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:\WINDOWS\System32\conime.exe——Console IME IME控制台(在google上查到)
C:\Program Files\Internet Explorer\IEXPLORE.EXE——IE浏览器
C:\Program Files\Internet Explorer\IEXPLORE.EXE——IE浏览器
E:\SOFTLIB\TOOLS\安全\启动项\HijackThis.exe——HijackThis.exe本身
R3 - Default URLSearchHook is missing——上面说过。这里我修复了。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
F:\Program Files\Adobe\Acrobat
5.0\Acrobat\ActiveX\AcroIEHelper.ocx
Acrobat的辅助模块。
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} -
C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
real播放器的辅助模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
F:\PROGRA~1\FLASHGET\jccatch.dll
这是网际快车(FlashGet)的模块。
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D}
- C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
real播放器的IE工具条。
O3 - Toolbar: FlashGet Bar -
{E0E899AB-F487-11D5-8D29-0050BA6940E3} -
F:\PROGRA~1\FLASHGET\fgiebar.dll
这是网际快车(FlashGet)的IE工具条。
O4 - HKLM\..\Run: [IMJPMIG8.1]
"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef
/Migration32——日文输入法。
O4 - HKLM\..\Run: [PHIME2002ASync]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
上面两项是用来提供对中文/日文支持的。在http://www.sysinfo.org/startuplist.php可以查到。
O4 - HKLM\..\Run: [NeroCheck]
C:\WINDOWS\System32\\NeroCheck.exe
Nero刻录软件
O4 - HKLM\..\Run: [SKYNET Personal FireWall] F:\Program
Files\SkyNet\FireWall\PFWMain.exe
天网防火墙
O4 - HKLM\..\Run: [nwiz] nwiz.exe
/install——在http://www.oixiaomi.net/systemprocess.html可以查到。
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program
Files\QuickTime\qttask.exe" -atboottime
QuickTime播放器
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "F:\Program
Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro\ogrc.exe"
卡巴斯基杀毒软件
O4 - HKLM\..\Run: [AVPCC] "F:\Program Files\Kaspersky
Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
卡巴斯基杀毒软件
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
在http://www.oixiaomi.net/systemprocess.html可以查到
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN
Messenger\MsnMsgr.Exe" /background
就是MSN
O4 - Startup: NTUSER.DAT
O4 - Startup: NTUSER.DAT.LOG
O4 - Startup: ntuser.ini
正常的配置文件。
O8 - Extra context menu item: &Download by NetAnts -
F:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts -
F:\PROGRA~1\NETANTS\NAGetAll.htm
O8 - Extra context menu item: 使用网际快车下载 - F:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - F:\Program
Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -
res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: NetAnts (HKLM)
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
以上这些,在前面相关部分都已有介绍,不再重复。
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
到微软下载时留下的。
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog
Class) -
http://office.microsoft.com/productupdates/content/opuc.cab
Office升级时留下的。
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1
Control) - http://www.5liao.com/talk.cab
很早以前到过的一个语音聊天室留下的。今天看到才想起来。
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
MSN的。
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec
RuFSI Registry Information Class) -
http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
在诺顿作安全检测留下的。
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
播放Flash需要的。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline)
- http://211.101.232.4/ravkill/rsonline.cab
瑞星在线查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx
Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在线查毒。
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire
Showdown Class) -
http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
MSN的。
O17 -
HKLM\System\CCS\Services\Tcpip\..\{1034EF9B-7427-4536-BF38-44E05687ADBF}:
NameServer = 202.99.96.68 202.99.64.69
DNS:202.99.96.68. 202.99.64.69
O17 -
HKLM\System\CCS\Services\Tcpip\..\{6FA0606E-A9CC-487A-BBD9-3D513B517459}:
NameServer = 192.168.1.1
我给自己设置的。
好了,到此告一段落,希望能给大家帮上点忙。
|
|
|小黑屋|《唐诗宋词》网站
( 苏ICP备2021032776号 )
IP卡
狗仔卡
发表于 2004-9-20 19:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2004-9-21 07:46