本页面由 Flash 保存计划 从 Internet Archive 存档还原 · 快照 2004-12-09 · 原址 http://bbs.flash8.net/forums/1024645/ShowPost.aspx ← Flash 保存计划
欢迎光临 闪吧论坛 登录 | 注册 | FAQ | 搜索
Print Search
帖子排序:    
帖子发起人:nine   发起时间:2004-03-20 13:35 下午   回复:9
nine 离线,最后访问时间:2006-4-25 16:28:32 nine

等级:Flash 4


等级:版主
注册:2002-04-29
发贴:1,383
积分:31
访问我的Blog
2004-03-20, 13:35 下午   IP 地址:已记录  报告  收藏  楼主
[转帖]HiJackThis中文版及其详细使用说明(汉化第二版附非常详细中文说明,建议大家下载)

  • 下载:Hijackthis 中文帮助部分,单独下载!每一项的说明都非常详细。
    [upload=rar]viewFile.asp?ID=253296[/upload]
    下载:HijackThis1.99.1 汉化版(第二版)http://dlc.pconline.com.cn/filedown.jsp?id=64430&dltypeid=1 HijackThis简明教程(编译+部分原创):http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1 下载:HijackThis1.99.1 汉化版(第二版) 本地下载 [upload=rar]viewFile.asp?ID=253289[/upload]
    资料来源:网络 作者:不详
    ----------------------------------
    首页绑架者克星HijackThis 日志分析

    许多不熟悉浏览器绑架的人发表文章,询问如何通过分析HijackThis的日志来获得帮助,因为他们不理解哪些内容是无害的,而哪些内容是有害的。
    本文是一个关于日志含义的基本指南,并包含一些有助于独立阅读本文的提示。本文决不能代替在请求帮助的解答,而只是在某种程度上帮助您自己理解日志的含义。 HijackThis 日志分析
    --如何识别有害信息 ________________________________________
    ●分类简表 HijcakThis日志中的每一行以一个分类名称开始。(要查看这一主题的技术信息,单击主窗口中的"Info"按钮,并向下滚动窗口,突出显示某一行并单击"More info on this item"按钮即可。)要查看实用信息,单击需要获得帮助的分类名称:
    * R0, R1, R2, R3 - IE起始页/搜索页 URL
    * F0, F1 - 自动加载程序
    * N1, N2, N3, N4 - Netscape/Mozilla 起始页/搜索页 URL
    * O1 - 主机文件重定向
    * O2 - 浏览器辅助对象
    * O3 - IE工具栏
    * O4 - 从注册表自动加载程序
    * O5 - 使IE选项的图标在控制面板中不可见
    * O6 -由管理员限制的对IE选项的访问
    * O7 -由管理员限制的对注册表编辑器的访问
    * O8 - IE右键菜单中的额外项
    * O9 - 主IE按钮工具栏上的额外按钮,或IE"工具"菜单中的额外项
    * O10 - Winsock绑架程序
    * O11 - IE"高级选项"窗口中的额外组
    * O12 - IE插件
    * O13 - IE DefaultPrefix绑架
    * O14 - "重置Web设置"绑架
    * O15 - 受信任区域中的有害站点
    * O16 - ActiveX对象(aka 下载的程序文件)
    * O17 - Lop.com域绑架程序(DNS服务器)
    * O18 - 额外协议和协议绑架程序
    * O19 - 用户样式表绑架 ●症状及治疗方案: ________________________________________
    R0、R1、R2、R3-IE起始页和搜索页
    症状:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
    R3 -Default URLSearchHook is missing 治疗方案:
    如果结尾的URL是您的主页或搜索引擎,那就不用管它。如果您不认可,请检查一下并用HijcakThis修复。
    对于R3项,始终修复它们,直到它提及一个您认可的程序为止,比如Copernic。
    ________________________________________
    F0、F1-自动加载程序
    症状:
    F0 - system.ini: Shell=Explorer.exe Openme.exe
    F1 - win.ini: run=hpfsched 治疗方案:
    F0项始终是有害的,因此要修复它们。
    F1项通常是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是无害的还是有害的。
    ________________________________________
    N1、N2、N3、N4-Netscape/Mozilla起始页和搜索页
    症状:
    N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
    N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 治疗方案:
    通常情况下,Netacape和Mozilla的主页及搜索页是安全的。它们极少被绑架。主页和搜索页的URL不是您认可的,请用HilackThis修复它。
    ________________________________________
    O1-主机文件重定向
    症状:
    O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch 治疗方案:
    这种绑架将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始终用HilackThis修复它们,除非您故意将这些行放到主机文件中。
    ________________________________________
    O2-浏览器辅助对象
    症状:
    O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 治疗方案:
    如果您无法直接识别某个浏览器辅助对象的名称,可以使用TonyK的 BHO 列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在BHO列表中,'X'代表侦探软件,'L'代表安全。
    ________________________________________
    O3-IE工具栏
    症状:
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
    O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 治疗方案:
    如果您不能直接识别工具栏的名称,可以使用TonyK的 工具栏列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在工具栏列表中,'X'代表侦探软件,'L'代表安全。
    如果它不在列表中,而且其名称似乎是一个随机的字符串,并且该文件位于一个名为'Application Data'的文件夹中的某处(比如上述例子中的最后一个),那么它肯定是有害的,应该用HilackThis修复它。
    ________________________________________
    O4-从注册表自动加载程序
    症状:
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    治疗方案:
    使用PacMan的 启动列表 来查找这些条目,以确定它们是无害的还是有害的。
    ________________________________________
    O5-使IE选项在控制面板中不可见
    症状:
    O5 - control.ini: inetcpl.cpl=no 治疗方案:
    除非故意隐藏控制面板中的图标,否则用HijackThis修复它。
    ________________________________________
    O6-由管理员限制的对IE选项的访问
    症状:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 治疗方案:
    除非激活了 Spybot S&D 选项"Lock homepage from changes",否则用HijackThis修复这一项。
    ________________________________________
    O7-由管理员限制的对注册表编辑器的访问
    症状:
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 治疗方案:
    始终用HijackThis修复这一项。
    ________________________________________
    O8-IE右键菜单中的额外项
    症状:
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
    O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm 治疗方案:
    如果不能识别IE右键菜单中的项目名称,用HijackThis修复它。
    ________________________________________
    O9-主IE工具栏上的额外按钮,或IE"工具"菜单中的额外项
    症状:
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: AIM (HKLM) 治疗方案:
    如果不能识别按钮或菜单项的名称,用hijackThis修复它。
    ________________________________________
    O10-Wincock绑架程序
    症状:
    O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
    O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 治疗方案:
    最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
    ________________________________________
    O11-IE"高级选项"窗口中的额外组
    症状:
    O11 - Options group: [CommonName] CommonName 治疗方案:
    现在,惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。
    ________________________________________
    O12-IE插件
    症状:
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 治疗方案:
    大部分时间内,这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。
    ________________________________________
    O13-IE DefaultPrefix绑架
    症状:
    O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
    O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 治疗方案:
    这些项始终是有害的。用HijackThis修复它们。
    ________________________________________
    O14-'重置Web设置'绑架
    症状:
    O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 治疗方案:
    如果该URL不是您计算机的厂商或您的ISP,用HijackThis修复它。
    ________________________________________
    O15-受信任区域中的有害站点
    症状:
    O15 - Trusted Zone: http://free.aol.com 治疗方案:
    迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。
    ________________________________________
    O16-Active对象(aka 下载的程序文件)
    症状:
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab 治疗方案:
    如果您你不能识别对象名称,或它下载文件的URL,用HijackThis修复它。如果名称或URL中包含下列单词,比如'dialer'、'casino'、'free-pludin'等等,那么一定要修复它。
    ________________________________________
    O17-Lop.com域绑架(DNS服务器)
    症状:
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
    O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 治疗方案:
    如果域不是来自您的ISP或公司的网络,用HijackThis修复它。
    ________________________________________
    O18-额外协议和协议绑架程序
    症状:
    O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
    O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
    O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 治疗方案:
    这里只显示了少数绑架程序。恶名昭著的还有'cn'(CommonName),'ayb'(Lop.com)和'relatedlinks'(Huntbar),您应该用Hijackthis修复这些项。
    显示的其他情况要么是未被确认为安全的,要么是被侦探软件绑架的。如果是后一种情况,用HijackThis修复它。
    ________________________________________
    O19-用户样式表绑架
    症状:
    O19 - User style sheet: c:\WINDOWS\Java\my.css 治疗方案:
    在浏览器速度变慢并频繁弹出各种消息的情况下,如果这一项显示在日志中,用HijackThis修复它。 ●软件详解   浏览器绑架克星 - HijackThis是一款专门对付恶意网页及木马的程序,它能够将绑架您浏览器的全部恶意程序揪出来!只要你有了它,就相当于请到了一位免费的安全护卫,这个安全护卫会尽心尽责地找出启动项中所有可疑的项目,包括自启动程序和共享软件中的广告发送程序,捆绑在IE中的木马等恶意程序。另外它还提供了对恶意代码的修复功能,如果你遇到利用3721上网助手、超级兔子IE保护器等无法修复的恶意网页,你不妨请出HijackThis来帮帮忙。  一、软件的基本信息
      软件名称:HijackThis
      最新版本:1.98版
      软件大小:177KB
      软件语言:英文
      软件性质:免费软件
      运行环境:Win9x/Me/NT/2000/XP
      软件主页:http://www.spywareinfo.com/   二、软件的使用  HijackThis不需要安装即可使用,我们只要双击压缩包中的HijackThis.exe,就能直接打开程序的主界面了(如图1所示)。软件的使用非常简单,点击"Scan"按钮后,它会自动对系统进行全方位的安全检测,检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序,以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等。

     检测完成后HijackThis就会将系统中所有可疑的项目列出来(如图2所示)。最后只要我们选中你认为确实属于可疑的项目后,点击"Fix checked"按钮即可对其进行自动修复。

    图2
      提示:在每个可疑项目的前面都会提供一个编号,这些编号代表了不同的类别,如果想了解每个选项的详细信息,我们只要选中某个项目后点击下面的"Info on selected item"按钮即可出现该项的详细说明窗口(如图3所示)。

    图3
      注意:如果修复系统后出现错误,我们可以点击"Config"按钮,切换到"Backups"标签页,在这里选择"Restore"按钮进行恢复;假如修复并重新启动计算机后一切正常,那么就可以选择"Delete"或"Delete all"将此项目彻底清除了。 三、识别有害信息   当然,要想识别有害信息也不是一件容易的事情,刚才提到,每个可疑项目的前面都有一个编号,事实上这些编号分别代表了不同的含义(如图4),下面笔者就结合实例给大家详细说明一下各编号的含义:

    图4
      编号:R0、 R1、 R2、 R3 -- 代表IE起始页/搜索页 URL
      例:
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
      R3 ?Default URLSearchHook is missing
      含义:
      对于R0、R1、R2中末尾出现的URL地址,如果是您的主页或搜索引擎,那就不用管它。如果不是,请用HijcakThis修复。
      对于列出的R3项,我们必须始终修复它们,直到它提及一个您认可的程序为止。
      编号:F0、 F1-- 代表自动加载的程序
      例:
      F0 - system.ini: Shell=Explorer.exe Openme.exe
      F1 - win.ini: run=hpfsched
      含义:
      对于F0中的选项始终是有害的,因此我们必须要修复它们。对于F1项通常是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是否有害。
      编号:N1、N2、N3、N4--代表Netscape/Mozilla起始页和搜索页
      例:
      N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
      N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
      N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
      含义:
      通常情况下,Netacape和Mozilla的主页及搜索页很少被绑架。如果这两个URL不是您认可的,请用HilackThis修复它。
    编号:O1--代表主机文件重定向
      例:
      O1 - Hosts: 216.177.73.139 auto.search.msn.com
      O1 - Hosts: 216.177.73.139 search.netscape.com
      O1 - Hosts: 216.177.73.139 ieautosearch
      含义:
      这些绑架程序将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始终用HilackThis修复它们,除非您故意将这些行放到主机文件中。
      编号:O2--代表浏览器辅助对象
      例:
      O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
      O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
      O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
      含义:
      如果您无法直接识别某个浏览器辅助对象的名称,可以使用TonyK的 BHO 列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在BHO列表中,'X'代表侦探软件,'L'代表安全。
      编号O3--代表IE工具栏项
      例:
      O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
      O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
      O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
      含义:
      如果您不能直接识别工具栏的名称,可以使用TonyK的 工具栏列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在工具栏列表中,'X'代表侦探软件,'L'代表安全。
      如果它不在列表中,而且其名称似乎是一个随机的字符串,并且该文件位于一个名为'Application Data'的文件夹中的某处(比如上述例子中的最后一个),那么它肯定是有害的,应该用HilackThis修复它。
      编号:O4--代表从注册表自动加载的程序
      例:
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      含义:
      04代表启机时自动加载的程序,你要对系统有一定的了解,以确定它们是无害的还是有害的。
      编号:O5--使IE选项在控制面板中不可见
      例:
      O5 - control.ini: inetcpl.cpl=no
      含义:
      除非故意隐藏控制面板中的图标,否则用HijackThis修复它。
      编号:O6--由管理员限制的对IE选项的访问
      例:
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      含义:
      限制了对IE选项的访问,请用HijackThis修复这一项。
    编号:O7--由管理员限制的对注册表编辑器的访问
      例:
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      含义:
      注册表编辑被禁用,始终用HijackThis修复这一项。
      编号:O8--IE右键菜单中的额外项
      例:
      O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
      O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
      O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
      O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
      含义:
      如果不能识别IE右键菜单中的项目名称,用HijackThis修复它。
      编号:O9--主IE工具栏上的额外按钮,或IE"工具"菜单中的额外项
      例:
      O9 - Extra button: Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Messenger (HKLM)
      O9 - Extra button: AIM (HKLM)
      含义:
      如果不能识别按钮或菜单项的名称,用hijackThis修复它。
      编号:O10--Wincock绑架程序
      例:
      O10 - Hijacked Internet access by New.Net
      O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
      O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
      含义:
      最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
      编号:O11--IE"高级选项"窗口中的额外组
      例:
      O11 - Options group: [CommonName] CommonName
      含义:
      现在,惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。
      编号:O12--IE插件
      例:
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
      含义:
      大部分时间内,这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。
    编号:O13--IE DefaultPrefix绑架
      例:
      O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
      O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
      含义:
      这些项始终是有害的。用HijackThis修复它们。
      编号:O14--'重置Web设置'绑架
      例:
      O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
      含义:
      如果该URL不是您计算机的厂商或您的ISP,用HijackThis修复它。
      编号:O15--受信任区域中的有害站点
      例:
      O15 - Trusted Zone: http://free.aol.com
      含义:
      迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。
      编号:016--Active对象(aka 下载的程序文件)
      例:
      O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      含义:
      如果您你不能识别对象名称,或它下载文件的URL,用HijackThis修复它。如果名称或URL中包含下列单词,比如'dialer'、'casino'、'free-pludin'等等,那么一定要修复它。
      编号:017--Lop.com域绑架(DNS服务器)
      例:
      O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
      O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
      O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
      含义:
      如果域不是来自您的ISP或公司的网络,用HijackThis修复它。
      编号:O18--额外协议和协议绑架程序
      例:
      O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
      O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
      O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
      含义:
      这里只显示了少数绑架程序。恶名昭著的还有'cn'(CommonName),'ayb'(Lop.com)和'relatedlinks'(Huntbar),您应该用Hijackthis修复这些项。
      显示的其他情况要么是未被确认为安全的,要么是被侦探软件绑架的。如果是后一种情况,用HijackThis修复它。
      编号:O19--用户样式表绑架
      例:
      O19 - User style sheet: c:\WINDOWS\Java\my.css
      含义:
      在浏览器速度变慢并频繁弹出各种消息的情况下,如果这一项显示在日志中,用HijackThis修复它。
    [此贴子已经被作者于2005-7-9 14:33:06编辑过]
    附件:
    序号 附件名称 类型 文件大小 上传时间 下载次数
    1 2005-7/200579142436736.rar 压缩文件 1487Kb 2005-07-09 75
    2 2005-7/200579143118990.rar 压缩文件 39Kb 2005-07-09 23

    用心服务
    服务用心
    nine 离线,最后访问时间:2006-4-25 16:28:32 nine

    等级:Flash 4


    等级:版主
    注册:2002-04-29
    发贴:1,383
    积分:31
    访问我的Blog
    2004-03-20, 13:37 下午   IP 地址:已记录  报告  收藏  第2楼

  • HijackThis简明教程(编译+部分原创) HijackThis是一款英文免费软件,由荷兰的一名学生merijn开发。其个人主页上 有merijn自己的简介(http://merijn.org/index.html),并提供其利用业余时 间开发的软件供大家下载。HijackThis能够扫描注册表和硬盘上的特定文件,找 到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可 能正由正常的程序在使用,所以不能草率处理,必须经过分析。
    HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其 值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接 用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心 人帮助解决问题。
    本文简单介绍HijackThis软件的使用方法,并提供HijackThis日志文件的初步分 析方法供大家参考。 HijackThis软件下载地址:
    原始网站
    http://mjc1.com/mirror/hjt/
    华军软件园
    http://www.onlinedown.net/soft/16091.htm
    天空软件站
    http://www.skycn.com/soft/13334.html
    汉化版(感谢Qoo酷儿)
    http://www.hanzify.org/index.php?Go=Show::List&ID=5235
    请参考
    http://community.rising.com.cn/Forum/msg_read.asp? FmID=28&SubjectID=3095567&page=1 使用方法简介:
    请注意,HijackThis只有一个文件,如果您下载的HijackThis是一个ZIP压缩包, 需要先把它解压缩然后再运行HijackThis.exe,不要在压缩包内直接运行。 1 这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会 有一个提示,点击即可。
    2 这是主界面。点击scan(扫描)就开始扫描。
    3 扫描结束后,结果会在界面中显示出来,同时scan按钮变成save log(保存日 志)。
    4 点击save log按钮,将日志文件Hijackthis.log保存到您选定的地方,您也可 以给这个文件改名字,但建议不要改动扩展名.log。
    5 日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记 事本打开。
    6 您现在可以将日志中的内容完全复制到您的帖子里,以便其他会员能更好地 帮助您。
    7 一旦您获得了其他会员的建议,决定使用HijackThis修复某些项目。请重新运 行HijackThis来扫描,然后在主界面中相应项目前面的正方形里用鼠标点击打勾 ,接着按下Fix Checked按钮。会有一个安全提示,点击Yes让它继续即可。
    由于这是一款英文软件,而且它的log文件也比较复杂(谁让windows那么复杂呢 ),所以给大家解读带来一定困难,下面,我们就来看看log文件到底说了些什么 。 Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成 的log文件
    Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
    Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本
    Running processes:——扫描时正在运行的进程
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    F:\Program Files\SkyNet\FireWall\PFWMain.exe
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\System32\conime.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    E:\SOFTLIB\TOOLS\安全\启动项\HijackThis.exe 可能的进程很多,在此无法一一列举,推荐两个网站,可以查找这些进程的资料 。 http://www.oixiaomi.net/systemprocess.html
    这是中文的,一些常见的项目均可查到。
    http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
    英文的,很丰富。
    (下面部分,所有可能出现在log文件中的项已经分组排列,方便大家参考。) 组别——R R – 注册表中的默认起始主页和默认搜索页的改变
    R0 - 默认页改变
    R1 - 新建的注册表值(V),或称为键值
    R2 - 新建的注册表项(K),或称为键
    R3 - 在本来应该只有一个键值的地方新建的额外键值 说明:
    R0、R1、R2、R3 都是IE的默认起始主页和默认搜索页的改变 举例:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
    上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/
    R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E- 7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
    这是百度搜索
    R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67- 4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
    这是3721网络实名
    R3 - Default URLSearchHook is missing
    这是报告发现一个错误。此错误可以用HijackThis修复。 处理方法:
    如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,当然 不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让 HijackThis修复它。对于R3,一般总是要选修复,除非它指向一个你认识的程序 (比如百度搜索和3721网络实名)。
    组别——F F - ini文件中的自动运行程序。
    F0 - ini文件中改变的值
    F1 - ini文件中新建的值 说明:
    F0, F1 - 这都是ini文件(system.ini、win.ini)中启动的自动运行程序。 举例:
    F0 - system.ini: Shell=Explorer.exe Openme.exe
    F1 - win.ini: run=hpfsched
    上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了 一个Openme.exe,这个Openme.exe十分可疑。在win.ini中,启动了hpfsched这个 程序,需要分析。 处理方法:
    基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。
    F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加 载的程序的名字,在电脑上查找一下,具体问题具体分析。
    组别——N N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
    N1 - Netscape 4.x中,prefs.js的改变。
    N2 - Netscape 6中,prefs.js的改变。
    N3 - Netscape 7中,prefs.js的改变。
    N4 - Mozilla中,prefs.js的改变。 说明:
    N1、N2、N3、N4 - 这都是Netscape、Mozilla浏览器的默认起始主页和默认搜索 页的改变。 举例:
    N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
    N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins% 5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    上面的例子列出了现在的默认页和相关配置文件的位置。 处理方法:
    一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少 被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复 它。
    组别——O(这是字母O哦!) O - 其它类,包含很多方面,下面一一详述。 O1 - 在Hosts文件中将默认搜索页重新定向。 说明:O1出现,表明在Hosts文件中,默认搜索页可能被重新定向了。这里出现的 其实不仅是搜索页,通过Hosts文件,可以把各种网页和不属于它的IP地址联系起 来。 举例:
    O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch
    在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、 ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址 。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。 处理方法:
    一般你应该修复它,除非是你自己在Hosts文件中如此设置的。
    O2 - 列举现有的IE浏览器的BHO模块。 说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块。 常见项举例:
    O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
    这是影音传送带(Net Transport)的模块。
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
    这是网际快车(FlashGet)的模块。
    O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
    这是百度搜索的模块。
    O2 - BHO: (no name) - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:\PROGRAM FILES\3721\CES\CESWEB.DLL
    这是3721的中文邮(我没用过,这个不确定)。
    O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
    这是3721上网助手的模块。
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    这是Adobe Acrobat Reader(用来处理PDF文件)的模块。 相关资料查询地址举例:
    http://www.sysinfo.org/bholist.php
    http://www.spywareinfo.com/bhos/
    (通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/ 广告模块,标记为O的为暂时无结论的。) 处理方法:
    这个必须仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一 概而论。可以进一步查询相关资料,千万不要随意修复。
    O3 - 列举现有的IE浏览器的工具条。(注意,这里列出的是工具条,一般是包含 多个项目的那种。) 说明:除了IE自带的一些工具条外,其它软件也会安装一些工具条,HijackThis 在O3项中把它们列出来。 常见项举例:
    O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
    这是网际快车(FlashGet)的IE工具条。
    O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
    O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
    O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
    上面三个是金山毒霸的IE工具条。
    O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
    这个是金山快译的IE工具条。
    O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
    3721上网助手的IE工具条。
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
    这个是google的IE工具条。 相关资料查询地址举例:
    http://www.spywareinfo.com/toolbars/
    (通常,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂 时无结论的。) 处理方法:
    同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具 栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些) ,看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意 修复。
    如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在 “APPLICATION DATA”下,一般是有问题的,建议修复。如O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
    O4 - 列举自启动项。 说明:就是平常大家最关心的自启动程序。 常见项举例:
    注:中括号前面是注册表主键位置
    中括号中是键值
    中括号后是数据
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    注册表自检
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    windows任务优化器(Windows Task Optimizer)
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    Windows电源管理程序
    O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
    O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
    O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
    上面三个均是瑞星的自启动程序。
    O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1 \3721\helper.dll,Rundll32
    O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1 \BDSRHOOK.DLL,Rundll32
    上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的 Rundll32.exe是怎么来的吗?)
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    Windows计划任务
    O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
    O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
    上面两个也是瑞星的自启动程序。
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    这是微软Office在“开始——程序——启动”中的启动项。
    这里仅仅举几个例子,因为这样的项目太多,不胜枚举。请您进一步查询相关网 页。 相关资料查询地址举例:
    http://www.oixiaomi.net/systemprocess.html
    这是中文的,一些常见的项目均可查到。
    http://www.sysinfo.org/startuplist.php
    这是英文的,很全面。其中一些标记的含义——
    Y - 一般应该允许运行。
    N - 非必须程序,可以留待需要时手动启动。
    U - 由用户根据具体情况决定是否需要 。
    X - 明确不需要的,一般是病毒、间谍软件、广告等。
    ? - 暂时未知 处理方法:
    建议对照上面的相关网址的信息,来决定取舍。
    O5 - 控制面板中被屏蔽的一些IE选项 说明:一些恶意程序会隐藏控制面板中关于IE的一些选项,这里就显示被隐藏项 。 举例:
    O5 - control.ini: inetcpl.cpl=no
    这里隐藏了控制面板中的internet选项 处理方法:
    除非你知道隐藏了某些选项,否则应该用HijackThis修复。
    O6 - Internet选项被禁用 说明:管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠 修复。 举例:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    这里禁用了internet选项 处理方法:
    除非你知道禁用了internet选项(比如使用一些管理软件),否则应该用 HijackThis修复。
    O7 - 注册表编辑器(regedit)被禁用 说明:管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠 修复。 举例:
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    这里禁用了注册表编辑器 处理方法:
    一般来说,应该用HijackThis修复。
    O8 - IE的右键菜单中的新增项目 说明:除了IE本身的右键菜单之外,一些程序也能向其中添加项目。 举例:
    O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
    O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
    这是网际快车(FlashGet)添加的。
    O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1 \NETANTS\NAGet.htm
    O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1 \NETANTS\NAGetAll.htm
    这是网络蚂蚁(NetAnts)添加的。
    O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1 \Xi\NETTRA~1\NTAddLink.html
    O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1 \Xi\NETTRA~1\NTAddList.html
    这是影音传送带(Net Transport)添加的。
    O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    这是Office添加的。 处理方法:
    如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。
    O9 - 额外的IE“工具”菜单项目及工具栏按钮。 说明:O3是工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。 举例:
    O9 - Extra button: QQ (HKLM)
    就是IE工具栏上的QQ按钮。
    O9 - Extra button: UC (HKLM)
    IE工具栏上的UC按钮。
    O9 - Extra button: FlashGet (HKLM)
    IE工具栏上的网际快车(FlashGet)按钮。
    O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
    IE“工具”菜单中的网际快车(FlashGet)项。
    O9 - Extra button: NetAnts (HKLM)
    IE工具栏上的网络蚂蚁(NetAnts)按钮。
    O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
    IE“工具”菜单中的网络蚂蚁(NetAnts)项。
    O9 - Extra button: Related (HKLM)
    IE工具栏上的“显示相关站点”按钮。
    O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
    IE“工具”菜单中的“显示相关站点”项。
    O9 - Extra button: Messenger (HKLM)
    IE工具栏上的Messenger按钮。
    O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
    IE“工具”菜单中的“Windows Messenger”项。 处理方法:
    如果不认得新添加的项目或按钮,可以用HijackThis修复。
    O10 - Winsock LSP浏览器“劫持”。 说明:修改Winsock 2的设置,进行Winsock Layered Service Provider (LSP)的 浏览器“劫持”。最著名的如New.Net插件或WebHancer组件,它们是安装一些软 件时带来的你不想要的东西。相关的中文信息可参考——
    http://tech.sina.com.cn/c/2001-11-19/7274.html 举例:
    O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider `c:\progra~1 \common~2\toolbar\cnmib.dll` missing
    O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 处理方法:
    建议使用专门工具修复。
    LSPFix
    http://www.cexx.org/lspfix.htm
    Spybot S&D(这也是一个著名的查间谍软件的免费工具。)
    http://www.safer-networking.org/
    O11 - IE的高级选项中的新项目。 说明:现在已知只有一个恶意程序在IE的高级选项中添加新项目。 举例:
    O11 - Options group: [CommonName] CommonName 处理方法:
    现在已知只有一个恶意程序在IE的高级选项中添加新项目,这个程序叫 “CommonName”。建议使用HijackThis来修复。
    O12 - IE插件。 说明:扩展IE功能,让它支持更多扩展名类型文件的插件。 举例:
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 处理方法:
    绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类 型.ofb)是恶意的,需要修复。
    O13 - 对IE默认的URL前缀的修改 说明:对IE默认的URL前缀的修改 举例:
    O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
    O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 处理方法:
    使用HijackThis来修复。
    O14 - IERESET.INF文件中的改变。 说明:对internet选项中“程序”选项卡内的“重置WEB设置”的修改。 举例:
    O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 处理方法:
    如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可 以使用HijackThis修复。
    O15 - “受信任的站点”中的不速之客。 说明:这里列出自动添加的“受信任的站点”。 举例:
    O15 - Trusted Zone: http://free.aol.com 处理方法:
    使用HijackThis来修复。
    O16 - 下载的程序文件。 说明:Downloaded Program Files目录下的那些ActiveX对象。 举例:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    用来看flash的东东,相信很多朋友都安装了。
    O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
    瑞星在线查毒。
    O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
    KV在线查毒。 处理方法:
    如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,可以使用 HijackThis来修复该项。如果名字或者下载URL中带有“dialer”、“casino”、 “free_plugin”字样, 一般应该修复。
    O17 - 域“劫持” 说明:与域相关的改变。 举例:
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find- quick.com
    O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108- 46D367F19F7E}: Domain = W21944.find-quick.com 处理方法:
    如果这个域不是你的ISP或你所在的局域网提供的,使用HijackThis来修复。已知 Lop.com应该修复。
    O18 - 列举现有的协议(protocols) 说明:用以发现额外的协议和协议“劫持”。 举例:
    O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
    O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
    O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 处理方法:
    已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要 用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在, 需要综合分析。
    O19 - 用户样式表(stylesheet)“劫持” 说明:样式表(stylesheet)是一个扩展名为.CSS的文件。 举例:
    O19 - User style sheet: c:\WINDOWS\Java\my.css 处理方法:
    当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此 项时,建议使用HijackThis修复。
    提醒一下,在HijackThis主界面中,您随时可以选中一个扫描到的项目,然后按 下“Info on selected item”来获取相关信息。
    最后,用我自己的扫描日志做个复习。 Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成 的log文件
    Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
    Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本 Running processes:——扫描时正在运行的进程
    C:\WINDOWS\System32\smss.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\system32\winlogon.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\system32\services.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\system32\lsass.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\system32\svchost.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\System32\svchost.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\system32\spoolsv.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\Explorer.EXE——在http://www.oixiaomi.net/systemprocess.html 可以查到
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe——卡巴斯基杀毒
    F:\Program Files\SkyNet\FireWall\PFWMain.exe——天网防火墙
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe——卡巴斯基杀毒
    C:\WINDOWS\System32\ctfmon.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\Program Files\MSN Messenger\MsnMsgr.Exe——MSN
    F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe——卡巴斯基杀毒
    C:\WINDOWS\System32\nvsvc32.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\System32\MsPMSPSv.exe——在 http://www.oixiaomi.net/systemprocess.html可以查到
    C:\WINDOWS\System32\conime.exe——Console IME IME控制台(在google上查到 )
    C:\Program Files\Internet Explorer\IEXPLORE.EXE——IE浏览器
    C:\Program Files\Internet Explorer\IEXPLORE.EXE——IE浏览器
    E:\SOFTLIB\TOOLS\安全\启动项\HijackThis.exe——HijackThis.exe本身 R3 - Default URLSearchHook is missing——上面说过。这里我修复了。
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    Acrobat的辅助模块。
    O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
    real播放器的辅助模块。
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FLASHGET\jccatch.dll
    这是网际快车(FlashGet)的模块。
    O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
    O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
    real播放器的IE工具条。
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\fgiebar.dll
    这是网际快车(FlashGet)的IE工具条。
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32——日文输入法。
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32 \IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32 \IME\TINTLGNT\TINTSETP.EXE /IMEName
    上面两项是用来提供对中文/日文支持的。在 http://www.sysinfo.org/startuplist.php可以查到。
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    Nero刻录软件
    O4 - HKLM\..\Run: [SKYNET Personal FireWall] F:\Program Files\SkyNet\FireWall\PFWMain.exe
    天网防火墙
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install——在 http://www.oixiaomi.net/systemprocess.html可以查到。
    O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
    QuickTime播放器
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    卡巴斯基杀毒软件
    O4 - HKLM\..\Run: [AVPCC] "F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    卡巴斯基杀毒软件
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    http://www.oixiaomi.net/systemprocess.html可以查到
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    就是MSN
    O4 - Startup: NTUSER.DAT
    O4 - Startup: NTUSER.DAT.LOG
    O4 - Startup: ntuser.ini
    正常的配置文件。
    O8 - Extra context menu item: &Download by NetAnts - F:\PROGRA~1 \NETANTS\NAGet.htm
    O8 - Extra context menu item: Download &All by NetAnts - F:\PROGRA~1 \NETANTS\NAGetAll.htm
    O8 - Extra context menu item: 使用网际快车下载 - F:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: 使用网际快车下载全部链接 - F:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: NetAnts (HKLM)
    O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
    以上这些,在前面相关部分都已有介绍,不再重复。
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F- 94901338C922/wmv9VCM.CAB
    到微软下载时留下的。
    O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
    Office升级时留下的。
    O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://www.5liao.com/talk.cab
    很早以前到过的一个语音聊天室留下的。今天看到才想起来。
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    MSN的。
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
    在诺顿作安全检测留下的。
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    播放Flash需要的。
    O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
    瑞星在线查毒。
    O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
    KV在线查毒。
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    MSN的。
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1034EF9B-7427-4536-BF38- 44E05687ADBF}: NameServer = 202.99.96.68 202.99.64.69
    DNS:202.99.96.68. 202.99.64.69
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6FA0606E-A9CC-487A-BBD9- 3D513B517459}: NameServer = 192.168.1.1
    我给自己设置的。 好了,到此告一段落,希望能给大家帮上点忙。祝大家新年快乐。 参考文献
    http://mjc1.com/mirror/hjt/
    http://merijn.org/htlogtutorial.html

    用心服务
    服务用心
    飘旗 离线,最后访问时间:2006-3-15 23:42:01 飘旗

    等级:Flash MX2004

    等级:FLASH MX2004
    头衔:争分夺秒
    注册:2003-11-14
    发贴:6,879
    积分:16
    2004-03-21, 09:40 上午   IP 地址:已记录  报告  收藏  第3楼

  • 如果修了不该修 ,系统不是完了?

    台式机:/AMD 3000+/磐正 9NPA+ Ultra/影驰 6600GT/红色威龙512M x2/金钻80G x2/AOC 液晶193F/航嘉 磐石400
    笔记本:/华硕 M2417N/Dothan 1.7G/显卡 集成Intel Extreme2芯片/内存 768M/硬盘 60G/显示屏 14.1寸/重量 2.2Kg
    nine 离线,最后访问时间:2006-4-25 16:28:32 nine

    等级:Flash 4


    等级:版主
    注册:2002-04-29
    发贴:1,383
    积分:31
    访问我的Blog
    2004-03-24, 19:12 下午   IP 地址:已记录  报告  收藏  第4楼

  • 可以恢复备份的!

    用心服务
    服务用心
    初涉江湖 离线,最后访问时间:2005-3-31 1:21:00 初涉江湖

    等级:Flash 2

    等级:FLASH 2
    注册:2004-04-04
    发贴:110
    积分:0
    2004-04-09, 15:27 下午   IP 地址:已记录  报告  收藏  第5楼


  • 随风

    野疯 离线,最后访问时间:2006-4-25 22:15:37 野疯

    等级:Flash 9


    等级:闪吧成员
    头衔:沉落同位相
    注册:2001-12-01
    发贴:13,055
    积分:198
    2004-04-29, 17:21 下午   IP 地址:已记录  报告  收藏  第6楼

  • 很好的东西!谢谢9

    平安、健康、开心、幸福!
    floatclouds 离线,最后访问时间:2006-4-12 15:56:35 floatclouds

    等级:Flash 2

    等级:FLASH 2
    注册:2003-10-07
    发贴:248
    积分:3
    2004-05-19, 20:11 下午   IP 地址:已记录  报告  收藏  第7楼

  • 能人真多! 赶紧下一个先!谢了,我的电脑这一阵大概困了,反应慢...
    xpggzk1989 离线,最后访问时间:2004-11-4 17:06:00 xpggzk1989

    等级:Flash1

    等级:FLASH1
    注册:2004-10-24
    发贴:8
    积分:0
    2004-10-24, 20:21 下午   IP 地址:已记录  报告  收藏  第8楼

  • 这个好象不是最新的? 我下载的英文版的都 V 1.98.2 版了!
    zkr 离线,最后访问时间:2005-12-24 21:28:00 zkr

    等级:Flash 2

    等级:FLASH 2
    注册:2003-12-10
    发贴:476
    积分:6
    2005-02-08, 17:15 下午   IP 地址:已记录  报告  收藏  第9楼

  • HiJackThis 1.99[upload=rar]viewFile.asp?ID=206010[/upload]

    附件:
    序号 附件名称 类型 文件大小 上传时间 下载次数
    1 2005-2/2005281715886.rar 压缩文件 198Kb 2005-02-08 10

    I'm not alive
    terrysk 离线,最后访问时间:2005-5-6 15:04:00 terrysk

    等级:Flash1

    等级:FLASH1
    注册:2005-05-05
    发贴:0
    积分:0
    2005-05-06, 15:27 下午   IP 地址:已记录  报告  收藏  第10楼

  • 上网,看新闻,可以赚钱。骗你我就是猪
    免费注册搜狐广告自动浏览赚钱网
    http://www.sohoads.com/sabar/reg.asp?sj=terrysk
    快速回复帖子

     




    标题: