HijackThis反浏览器劫持软件--简明教程
近来很多网友由于误点不良网址,导致IE主页被改成英文搜索页或其它恶意网页,通常的方法诸如修改注册表、用上网助手或杀毒软件等是不能解决的,修改注册表,一点刷新就会恢复成原样,用上网助手等软件修复要么是根本不起作用,要么是一会儿功夫又回变成原样,而查毒又一无所获。偶朋友的机子就被这样整过,偶费了一整天也没能整好。后来终于找到了这款软件,用它搞定了!
简介:
HijaclThis软件作者是荷兰的一位学生,是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!并且它提供的扫描Log很全面,新手可以将Log放在杀毒论坛上,在高手的帮助,清除恶意程序!
该软件功能强大,使用起来有点麻烦。
下面是偶从瑞星社区找到的《HijackThis简明教程》,这个帖子在瑞星社区是很火的哟!现整理一下转帖出来,希望能对大家有所帮助
HijackThis简明教程(编译+部分原创)[转自瑞星社区]
HijackThis是一款英文免费软件,由荷兰的一名学生merijn开发。其个人主页上有merijn自己的简介(http://merijn.org/index.html),并提供其利用业余时间开发的软件供大家下载。HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。
HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心人帮助解决问题。
本文简单介绍HijackThis软件的使用方法,并提供HijackThis日志文件的初步分析方法供大家参考。
HijackThis软件下载地址:
原始网站
http://mjc1.com/mirror/hjt/
华军软件园
http://www.onlinedown.net/soft/16091.htm
天空软件站
http://www.skycn.com/soft/13334.html
汉化版(感谢Qoo酷儿)
http://www.hanzify.org/index.php?Go=Show::List&ID=5235
请参考
http://community.rising.com.cn/Forum/msg_r...=3095567&page=1
使用方法简介:
请注意,HijackThis只有一个文件,如果您下载的HijackThis是一个ZIP压缩包,需要先把它解压缩然后再运行HijackThis.exe,不要在压缩包内直接运行。
1 这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会有一个提示,点击即可。
此主题相关图片如下:
2 这是主界面。点击scan(扫描)就开始扫描。
此主题相关图片如下:
3 扫描结束后,结果会在界面中显示出来,同时scan按钮变成save log(保存日志)。
此主题相关图片如下:
4 点击save log按钮,将日志文件Hijackthis.log保存到您选定的地方,您也可以给这个文件改名字,但建议不要改动扩展名.log。
此主题相关图片如下:
5 日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记事本打开。
此主题相关图片如下:
6 您现在可以将日志中的内容完全复制到您的帖子里,以便其他会员能更好地帮助您。
此主题相关图片如下:
7 一旦您获得了其他会员的建议,决定使用HijackThis修复某些项目。请重新运行HijackThis来扫描,然后在主界面中相应项目前面的正方形里用鼠标点击打勾,接着按下Fix Checked按钮。会有一个安全提示,点击Yes让它继续即可。
此主题相关图片如下:
8 其它按钮功能简介
此主题相关图片如下:
9 config菜单——main菜单
这里列出一些默认设置,一般不必改动。
此主题相关图片如下:
10 config菜单——Ignorelist菜单
这里用来管理那些不希望HijackThis扫描的项目。
此主题相关图片如下:
11 config菜单——Backups菜单
按照默认设置,HijackThis在修复的同时留下备份文件,用来在将来后悔时取消当初的修复动作(选中备份文件后按下“Restore”)。
此主题相关图片如下:
12 config菜单——Misc Tools菜单
这里可以生成启动列表和在线更新HijackThis。
此主题相关图片如下:
由于这是一款英文软件,而且它的log文件也比较复杂(谁让windows那么复杂呢),所以给大家解读带来一定困难,下面,我们就来看看log文件到底说了些什么。
Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本
Running processes:——扫描时正在运行的进程
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/spoolsv.exe
C:/WINDOWS/Explorer.EXE
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpcc.exe
F:/Program Files/SkyNet/FireWall/PFWMain.exe
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpcc.exe
C:/WINDOWS/System32/ctfmon.exe
C:/Program Files/MSN Messenger/MsnMsgr.Exe
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpm.exe
C:/WINDOWS/System32/nvsvc32.exe
C:/WINDOWS/System32/MsPMSPSv.exe
C:/WINDOWS/System32/conime.exe
C:/Program Files/Internet Explorer/IEXPLORE.EXE
C:/Program Files/Internet Explorer/IEXPLORE.EXE
E:/SOFTLIB/TOOLS/安全/启动项/HijackThis.exe
可能的进程很多,在此无法一一列举,推荐两个网站,可以查找这些进程的资料。
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
英文的,很丰富。
(下面部分,所有可能出现在log文件中的项已经分组排列,方便大家参考。)
组别——R
R – 注册表中的默认起始主页和默认搜索页的改变
R0 - 默认页改变
R1 - 新建的注册表值(V),或称为键值
R2 - 新建的注册表项(K),或称为键
R3 - 在本来应该只有一个键值的地方新建的额外键值
说明:
R0、R1、R2、R3 都是IE的默认起始主页和默认搜索页的改变
举例:
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page=http://www.google.com/
R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL=http://www.google.com/
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:/WINDOWS/DOWNLOADED PROGRAM FILES/BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:/WINDOWS/DOWNLO~1/CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误。此错误可以用HijackThis修复。
处理方法:
如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。对于R3,一般总是要选修复,除非它指向一个你认识的程序(比如百度搜索和3721网络实名)。
组别——F
F - ini文件中的自动运行程序。
F0 - ini文件中改变的值
F1 - ini文件中新建的值
说明:
F0, F1 - 这都是ini文件(system.ini、win.ini)中启动的自动运行程序。
举例:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个Openme.exe,这个Openme.exe十分可疑。在win.ini中,启动了hpfsched这个程序,需要分析。
处理方法:
基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。
F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查找一下,具体问题具体分析
组别——N
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中,prefs.js的改变。
N2 - Netscape 6中,prefs.js的改变。
N3 - Netscape 7中,prefs.js的改变。
N4 - Mozilla中,prefs.js的改变。
说明:
N1、N2、N3、N4 - 这都是Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。
举例:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:/Program Files/Netscape/Users/default/prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com";); (C:/Documents and Settings/User/Application Data/Mozilla/Profiles/defaulto9t1tfl.slt/prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:/Documents and Settings/User/Application Data/Mozilla/Profiles/defaulto9t1tfl.slt/prefs.js)
上面的例子列出了现在的默认页和相关配置文件的位置。
处理方法:
一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。
组别——O(这是字母O哦!)
O - 其它类,包含很多方面,下面一一详述。
O1 - 在Hosts文件中将默认搜索页重新定向。
说明:O1出现,表明在Hosts文件中,默认搜索页可能被重新定向了。这里出现的其实不仅是搜索页,通过Hosts文件,可以把各种网页和不属于它的IP地址联系起来。
举例:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。
处理方法:
一般你应该修复它,除非是你自己在Hosts文件中如此设置的。
O2 - 列举现有的IE浏览器的BHO模块。
说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块。
常见项举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:/Program Files/Xi/Net Transport/NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:/PROGRAM FILES/FLASHGET/JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:/WINDOWS/DOWNLO~1/BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:/PROGRAM FILES/3721/CES/CESWEB.DLL
这是3721的中文邮(我没用过,这个不确定)。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:/PROGRAM FILES/3721/ASSIST/ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:/Adobe/Acrobat 5.0/Reader/ActiveX/AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
(通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。)
处理方法:
这个必须仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。
O3 - 列举现有的IE浏览器的工具条。(注意,这里列出的是工具条,一般是包含多个项目的那种。)
说明:除了IE自带的一些工具条外,其它软件也会安装一些工具条,HijackThis在O3项中把它们列出来。
常见项举例:
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/SYSTEM/MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:/PROGRAM FILES/FLASHGET/FGIEBAR.DLL
这是网际快车(FlashGet)的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:/Program Files/KAV5/KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:/KAV2003/KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:/KAV2003/KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:/PROGRA~1/KINGSOFT/FASTAIT/IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:/PROGRAM FILES/3721/ASSIST/ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:/WINDOWS/Downloaded Program Files/googlenav.dll
这个是google的IE工具条。
相关资料查询地址举例:
http://www.spywareinfo.com/toolbars/
(通常,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。)
处理方法:
同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“APPLICATION DATA”下,一般是有问题的,建议修复。如O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:/WINDOWS/APPLICATION DATA/CKSTPRLLNQUL.
O4 - 列举自启动项。
说明:就是平常大家最关心的自启动程序。
常见项举例:
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM/../Run: [ScanRegistry] C:/WINDOWS/scanregw.exe /autorun
注册表自检
O4 - HKLM/../Run: [TaskMonitor] C:/WINDOWS/taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM/../Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM/../Run: [RavTimer] C:/PROGRAM FILES/RISING/RAV/RavTimer.exe
O4 - HKLM/../Run: [RavMon] C:/PROGRAM FILES/RISING/RAV/RavMon.exe
O4 - HKLM/../Run: [ccenter] C:/Program Files/rising/Rav/CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM/../Run: [helper.dll] C:/WINDOWS/rundll32.exe C:/PROGRA~1/3721/helper.dll,Rundll32
O4 - HKLM/../Run: [BIE] Rundll32.exe C:/WINDOWS/DOWNLO~1/BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM/../RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM/../RunServices: [RavMon] C:/PROGRAM FILES/RISING/RAV/RavMon.exe /AUTO
O4 - HKLM/../RunServices: [ccenter] C:/Program Files/rising/Rav/CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:/Program Files/Microsoft Office/Office/OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。
这里仅仅举几个例子,因为这样的项目太多,不胜枚举。请您进一步查询相关网页。
相关资料查询地址举例:
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
这是英文的,很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
处理方法:
建议对照上面的相关网址的信息,来决定取舍。
O5 - 控制面板中被屏蔽的一些IE选项
说明:一些恶意程序会隐藏控制面板中关于IE的一些选项,这里就显示被隐藏项。
举例:
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
处理方法:
除非你知道隐藏了某些选项,否则应该用HijackThis修复。
O6 - Internet选项被禁用
说明:管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
这里禁用了internet选项
处理方法:
除非你知道禁用了internet选项(比如使用一些管理软件),否则应该用HijackThis修复。
O7 - 注册表编辑器(regedit)被禁用
说明:管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1
这里禁用了注册表编辑器
处理方法:
一般来说,应该用HijackThis修复。
O8 - IE的右键菜单中的新增项目
说明:除了IE本身的右键菜单之外,一些程序也能向其中添加项目。
举例:
O8 - Extra context menu item: 使用网际快车下载 - C:/PROGRAM FILES/FLASHGET/jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:/PROGRAM FILES/FLASHGET/jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:/PROGRA~1/NETANTS/NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:/PROGRA~1/NETANTS/NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:/PROGRA~1/Xi/NETTRA~1/NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:/PROGRA~1/Xi/NETTRA~1/NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:/PROGRA~1/MICROS~1/Office10/EXCEL.EXE/3000
这是Office添加的。
处理方法:
如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。
O9 - 额外的IE“工具”菜单项目及工具栏按钮。
说明:O3是工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。
举例:
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
处理方法:
如果不认得新添加的项目或按钮,可以用HijackThis修复。
O10 - Winsock LSP浏览器“劫持”。
说明:修改Winsock 2的设置,进行Winsock Layered Service Provider (LSP)的浏览器“劫持”。最著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
举例:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider `c:/progra~1/common~2/toolbar/cnmib.dll` missing
O10 - Unknown file in Winsock LSP: c:/program files/newton knows/vmain.dll
处理方法:
建议使用专门工具修复。
LSPFix
http://www.cexx.org/lspfix.htm
Spybot S&D(这也是一个著名的查间谍软件的免费工具。)
http://www.safer-networking.org/
O11 - IE的高级选项中的新项目。
说明:现在已知只有一个恶意程序在IE的高级选项中添加新项目。
举例:
O11 - Options group: [CommonName] CommonName
处理方法:
现在已知只有一个恶意程序在IE的高级选项中添加新项目,这个程序叫“CommonName”。建议使用HijackThis来修复。
O12 - IE插件。
说明:扩展IE功能,让它支持更多扩展名类型文件的插件。
举例:
O12 - Plugin for .spop: C:/Program Files/Internet Explorer/Plugins/NPDocBox.dll
O12 - Plugin for .PDF: C:/Program Files/Internet Explorer/PLUGINS/nppdf32.dll
处理方法:
绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类型.ofb)是恶意的,需要修复。
O13 - 对IE默认的URL前缀的修改
说明:对IE默认的URL前缀的修改
举例:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
处理方法:
使用HijackThis来修复。
O14 - IERESET.INF文件中的改变。
说明:对internet选项中“程序”选项卡内的“重置WEB设置”的修改。
举例:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
处理方法:
如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可以使用HijackThis
O15 - “受信任的站点”中的不速之客。
说明:这里列出自动添加的“受信任的站点”。
举例:
O15 - Trusted Zone: http://free.aol.com
处理方法:
使用HijackThis来修复。
O16 - 下载的程序文件。
说明:Downloaded Program Files目录下的那些ActiveX对象。
举例:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
用来看flash的东东,相信很多朋友都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
瑞星在线查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在线查毒。
处理方法:
如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,可以使用HijackThis来修复该项。如果名字或者下载URL中带有“dialer”、“casino”、“free_plugin”字样, 一般应该修复。
O17 - 域“劫持”
说明:与域相关的改变。
举例:
O17 - HKLM/System/CCS/Services/VxD/MSTCP: Domain = aoldsl.net
O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = W21944.find-quick.com
O17 - HKLM/Software/../Telephony: DomainName = W21944.find-quick.com
O17 - HKLM/System/CCS/Services/Tcpip/../{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
处理方法:
如果这个域不是你的ISP或你所在的局域网提供的,使用HijackThis来修复。已知Lop.com应该修复。
O18 - 列举现有的协议(protocols)
说明:用以发现额外的协议和协议“劫持”。
举例:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:/PROGRA~1/COMMON~1/MSIETS/msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
处理方法:
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要综合分析。
O19 - 用户样式表(stylesheet)“劫持”
说明:样式表(stylesheet)是一个扩展名为.CSS的文件。
举例:
O19 - User style sheet: c:/WINDOWS/Java/my.css
处理方法:
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此项时,建议使用HijackThis修复。
提醒一下,在HijackThis主界面中,您随时可以选中一个扫描到的项目,然后按下“Info on selected item”来获取相关信息。
最后,用我自己的扫描日志做个复习。
Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本
Running processes:——扫描时正在运行的进程
C:/WINDOWS/System32/smss.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/system32/winlogon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/system32/services.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/system32/lsass.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/system32/svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/System32/svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/system32/spoolsv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/Explorer.EXE——在http://www.oixiaomi.net/systemprocess.html可以查到
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpcc.exe——卡巴斯基杀毒
F:/Program Files/SkyNet/FireWall/PFWMain.exe——天网防火墙
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpcc.exe——卡巴斯基杀毒
C:/WINDOWS/System32/ctfmon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/Program Files/MSN Messenger/MsnMsgr.Exe——MSN
F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpm.exe——卡巴斯基杀毒
C:/WINDOWS/System32/nvsvc32.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/System32/MsPMSPSv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:/WINDOWS/System32/conime.exe——Console IME IME控制台(在google上查到)
C:/Program Files/Internet Explorer/IEXPLORE.EXE——IE浏览器
C:/Program Files/Internet Explorer/IEXPLORE.EXE——IE浏览器
E:/SOFTLIB/TOOLS/安全/启动项/HijackThis.exe——HijackThis.exe本身
R3 - Default URLSearchHook is missing——上面说过。这里我修复了。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:/Program Files/Adobe/Acrobat 5.0/Acrobat/ActiveX/AcroIEHelper.ocx
Acrobat的辅助模块。
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:/PROGRA~1/COMMON~1/Real/Toolbar/realbar.dll
real播放器的辅助模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:/PROGRA~1/FLASHGET/jccatch.dll
这是网际快车(FlashGet)的模块。
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/System32/msdxm.ocx
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:/PROGRA~1/COMMON~1/Real/Toolbar/realbar.dll
real播放器的IE工具条。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:/PROGRA~1/FLASHGET/fgiebar.dll
这是网际快车(FlashGet)的IE工具条。
O4 - HKLM/../Run: [IMJPMIG8.1] "C:/WINDOWS/IME/imjp8_1/IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32——日文输入法。
O4 - HKLM/../Run: [PHIME2002ASync] C:/WINDOWS/System32/IME/TINTLGNT/TINTSETP.EXE /SYNC
O4 - HKLM/../Run: [PHIME2002A] C:/WINDOWS/System32/IME/TINTLGNT/TINTSETP.EXE /IMEName
上面两项是用来提供对中文/日文支持的。在http://www.sysinfo.org/startuplist.php可以查到。
O4 - HKLM/../Run: [NeroCheck] C:/WINDOWS/System32//NeroCheck.exe
Nero刻录软件
O4 - HKLM/../Run: [SKYNET Personal FireWall] F:/Program Files/SkyNet/FireWall/PFWMain.exe
天网防火墙
O4 - HKLM/../Run: [nwiz] nwiz.exe /install——在http://www.oixiaomi.net/systemprocess.html可以查到。
O4 - HKLM/../Run: [QuickTime Task] "F:/Program Files/QuickTime/qttask.exe" -atboottime
QuickTime播放器
O4 - HKLM/../Run: [OfficeGuard RegChecker] "F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/ogrc.exe"
卡巴斯基杀毒软件
O4 - HKLM/../Run: [AVPCC] "F:/Program Files/Kaspersky Lab/Kaspersky Anti-Virus Personal Pro/avpcc.exe" /wait
卡巴斯基杀毒软件
O4 - HKCU/../Run: [ctfmon.exe] C:/WINDOWS/System32/ctfmon.exe
在http://www.oixiaomi.net/systemprocess.html可以查到
O4 - HKCU/../Run: [msnmsgr] "C:/Program Files/MSN Messenger/MsnMsgr.Exe" /background
就是MSN
O4 - Startup: NTUSER.DAT
O4 - Startup: NTUSER.DAT.LOG
O4 - Startup: ntuser.ini
正常的配置文件。
O8 - Extra context menu item: &Download by NetAnts - F:/PROGRA~1/NETANTS/NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - F:/PROGRA~1/NETANTS/NAGetAll.htm
O8 - Extra context menu item: 使用网际快车下载 - F:/Program Files/FlashGet/jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - F:/Program Files/FlashGet/jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:/PROGRA~1/MICROS~1/Office10/EXCEL.EXE/3000
O9 - Extra button: NetAnts (HKLM)
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
以上这些,在前面相关部分都已有介绍,不再重复。
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB
到微软下载时留下的。
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
Office升级时留下的。
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://www.5liao.com/talk.cab
很早以前到过的一个语音聊天室留下的。今天看到才想起来。
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
MSN的。
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedCon...n/bin/cabsa.cab
在诺顿作安全检测留下的。
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
播放Flash需要的。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
瑞星在线查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在线查毒。
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
MSN的。
O17 - HKLM/System/CCS/Services/Tcpip/../{1034EF9B-7427-4536-BF38-44E05687ADBF}: NameServer = 202.99.96.68 202.99.64.69
DNS:202.99.96.68. 202.99.64.69
O17 - HKLM/System/CCS/Services/Tcpip/../{6FA0606E-A9CC-487A-BBD9-3D513B517459}: NameServer = 192.168.1.1
我给自己设置的。
好了,到此告一段落,希望能给大家帮上点忙。
参考文献
http://mjc1.com/mirror/hjt/
http://merijn.org/htlogtutorial.html
涂涂:0607040936详细的学习交流,请点击瑞星社区:http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm
HijackThis反浏览器劫持软件--简明教程相关推荐
- HijackThis日志细解【简明教程增强版】(一)
转的贴(偶是怕以后看不到了,所以保存下来的),原文章(By 风之咏者)地址:http://bbs.kingsoft.com/viewthread.php?tid=407983&sid=8miH ...
- JabRef文献管理软件简明教程
本文转载自:https://www.cnblogs.com/tsingke/p/4523908.html JabRef 文献管理软件简明教程 大多只有使用LaTeX撰写科技论文的研究人员才能完全领略到 ...
- JabRef 文献管理软件简明教程
JabRef 文献管理软件简明教程 大多只有使用LaTeX撰写科技论文的研究人员才能完全领略到JabRef的妙不可言,但随着对Word写作平台上BibTeX4Word插件的开发和便利应用,使用Word ...
- HijackThis日志细解【简明教程增强版】(五)
(九)组别--O5 1. 项目说明 O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现. 2. 举例 ...
- HijackThis日志细解【简明教程增强版】(六)
(十六)组别--O12 1. 项目说明 O12列举IE插件(就是那些用来扩展IE功能.让它支持更多扩展名类型文件的插件).相关注册表项目是 HKEY_LOCAL_MACHINE\software\mi ...
- HijackThis日志细解【简明教程增强版】(三)
(五)组别--O1(字母O,代表Other即"其它"类,以下各组同属O类) 1. 项目说明 O1代表在hosts文件中对某个网址与IP地址的映射.在浏览器中输入网址时,浏览器会先检 ...
- HijackThis日志细解【简明教程增强版】(四)
(七)组别--O3 1. 项目说明 O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB).注意,这里列出的是工具条,一般是包含多个项目的那种.除了IE自带的一些工具条外,其它软件也会安装一 ...
- HijackThis日志细解【简明教程增强版】(二)
(三)组别--F ** 特别提醒:如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请"不要"使用HijackThis的恢复功能来取消对F ...
- 浏览器劫持定义及危害、处理浏览器被劫持自动跳转到某个网页的修复教程
浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器( ...
最新文章
- 单片机c语言编译软件6,eUIDE下载-单片机c语言编译器 v1.07.32.23 官方版 - 安下载...
- 卷进大厂系列之LeetCode刷题笔记:二分查找(简单)
- 理论实践都重要,交换机安装全接触
- Linux串口转远程串口,linux虚拟串口及远程访问
- pg加密扩展的安装_postgresql的加密扩展插件pgcrypto
- 信息学奥赛一本通 1102:与指定数字相同的数的个数 | OpenJudge NOI 1.6 01
- 天池-街景字符编码识别2-数据读取与数据扩增
- anaconda中安装xgboost_在windows64位Anaconda3环境下安装XGBoost
- 算法: 用队列Queue实现栈Stack
- 电气工程cad实用教程电子版_电气工程cad实用教程
- php网站模板怎么改动,ECshop网站模板修改详细教程 and 模板对应的文件
- 优秀项目经理的五大核心能力
- 萤火商城前端页面搭建(一)
- 步进电机加速的c语言编程,步进电机加速-匀速-减速运行程序(C - 电子制作 - 电子发烧友网...
- http://enki-ding-yeah-net.iteye.com/blog/1042644
- L2-3.名人堂与代金券
- java多线程和锁,自用,长文
- RX文件管理器——能否替代windows自带文件管理
- git-代码同步至github
- Cadence Orcad Capture 妙用Intersheet Reference页面指示图文教程