HijackThis日志细解【简明教程增强版】(三)
1. 项目说明
O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时,浏览器会先检查hosts文件中是否存在该网址的映射,如果有,则直接连接到相应IP地址,不再请求DNS域名解析。这个方法可以用来加快浏览速度,也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。
这个hosts文件在系统中的通常位置为
C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)
注意,没有扩展名。
该文件的一般格式类似
219.238.233.202 www.rising.com.cn
注意,IP地址在前,空格后为网址,下一个映射另起一行。(若有#,则#后的部分作为注释,不起作用。)
上面的例子中,瑞星的主页www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来,一旦用户要访问www.rising.com.cn,浏览器根据hosts文件中的内容,会直接连接219.238.233.202。在这个例子中,这个219.238.233.202实际上正是瑞星主页的IP地址,所以这样做加快了访问速度(省掉了DNS域名解析这一步),在好几年前,这是一个比较常用的加快浏览的方法(那时上网费用高、小猫跑得又慢),现在这个方法用得少了。而且,这个方法有个缺陷,那就是,一旦想要浏览的网站的IP地址变动了,就不能正常浏览该网站了,必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用,它们修改hosts文件,建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1(127.0.0.1就是指您自己的电脑),那么您就打不开那些反病毒软件的网站,清除木马等恶意程序就更加困难,甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站(比如google等)指向其它一些网站的IP地址,增加后者的访问量。当然,也可以直接用此方法重定向浏览器的搜索页。
2. 举例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。
下面是XP的原始Hosts文件的内容
# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
所有以#开始的行都是注释内容,不起作用。最后一行指明本地主机(localhost)的IP地址为127.0.0.1(这是默认的)。
3. 一般建议
HijackThis报告O1项时,一般建议修复它,除非是您自己在Hosts文件中如此设置的。
4. 疑难解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中,那么很可能感染了CoolWebSearch(跟上面提到的Lop.com一样著名的恶意网站家族),应该使用HijackThis修复相关项。当然,别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)。
(六)组别——O2
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。
2. 举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。
3. 一般建议
可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。
修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。
4. 疑难解析
HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容)
O2 - BHO:
总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。
HijackThis日志细解【简明教程增强版】(三)相关推荐
- HijackThis日志细解【简明教程增强版】(一)
转的贴(偶是怕以后看不到了,所以保存下来的),原文章(By 风之咏者)地址:http://bbs.kingsoft.com/viewthread.php?tid=407983&sid=8miH ...
- HijackThis日志细解--清净网络(复杂详尽)
一.说在前面的提示(请原谅我啰嗦) 提示一:本文目的 本文的目的是帮助您进一步解读HijackThis扫描日志.如果您只是想知道HijackThis的使用方法,下面列出的2篇文章可以满足您的要求: 1 ...
- 揪出狐狸的尾巴,HijackThis日志细解【附反劫持一般建议】
HijackThis日志细解[附反劫持一般建议] 一.说在前面的提示(请原谅我啰嗦) 提示一:本文目的 本文的目的是帮助您进一步解读HijackThis扫描日志.如果您只是想知道HijackThis的 ...
- HijackThis日志细解【简明教程增强版】(五)
(九)组别--O5 1. 项目说明 O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现. 2. 举例 ...
- HijackThis日志细解【简明教程增强版】(六)
(十六)组别--O12 1. 项目说明 O12列举IE插件(就是那些用来扩展IE功能.让它支持更多扩展名类型文件的插件).相关注册表项目是 HKEY_LOCAL_MACHINE\software\mi ...
- HijackThis日志细解【简明教程增强版】(二)
(三)组别--F ** 特别提醒:如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请"不要"使用HijackThis的恢复功能来取消对F ...
- HijackThis日志细解【简明教程增强版】(四)
(七)组别--O3 1. 项目说明 O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB).注意,这里列出的是工具条,一般是包含多个项目的那种.除了IE自带的一些工具条外,其它软件也会安装一 ...
- python简明教程word版-计算机开放电子书归档 2018
97 Things Every Programmer Should Know A Java Reference (UCB CS61b Textbook) AI Cheat Sheet Advanced ...
- python3简明教程第二版答案_python入门简明教程?求最新的python简明教程,最好是python3的...
本人对于计算机没有任何基础,只是简单的操作.过两天要学习python语言的基础课,需要如何准备.跪谢! 先看python的简明教程,然后可以再看<dive into python>中文版( ...
最新文章
- android如何在底部显示四个按钮,[Android系列—] 四. 添加操作栏(Action Bar)
- python展开 c函数中的宏预处理_最基本的宏函数 课后习题9.2 (C语言代码)
- tunctl used bridge sub interface network used with multi-network env
- 嵌入式Linux之我行——ARM MMU工作原理剖析
- [Leetcode][第207题][JAVA][课程表][拓扑排序][DFS]
- pointcut 排除_宁河天津玻璃门地弹簧玻璃门故障排除
- c语言案例游戏,C语言实现五子棋游戏的案例
- mybatis 不同格式日期比较大小_怎样创建一个命令函数来获得不同国家和应用程序所要求的大多数日期格式...
- all方法 手写promise_前端进阶高薪必看手写源码篇
- react中IOS手机里面两个input同时存在时,聚焦focus失效解决办法
- ubuntu和ok6410开发板之间架设nfs
- VOS防止盗打及后门的安全策略
- java怎么查看jar包_怎么查看Jar包源码?如何打开Jar文件?
- 为什么计算机窗口在桌面不显示,电脑桌面无法显示怎么解决
- 酷睿i7 7700hq性能怎么样 i77700hq是什么水平
- 串口服务器主要作用,串口服务器到底能干啥,作用,一看便知!
- 华为会员开放服务(Membership Kit),助力移动应用快速建设会员生态
- BUUCTF MISC刷题笔记(五)
- 网易校招,网络运维工程师——满满的干货点
- 十级龙王间的决斗(四刷) kkmd66