关于HijackThis的日志简单解释。

xiaocai_itpub

简单地说明一下，关于HijackThis的日志解释：\n\nR——注册表中IE的默认起始页和搜索页的改变。\n   R0、R1、R3 都要修复，R2 没有人试过去修复。\n\nF——ini文件中的自动运行程序或者注册表中等价项目。\n   F0 提示“Explorer.exe”后面的程序要修复。F1、F3 要具体分析。F2 的“Shell=”都要修复！“UserInit=”要具体分析。\n\nN——Netscape、Mozilla 浏览器默认起始页和搜索页的改变。\n   很少要修复，但不清楚的地址，可以修复！\n\nO——Other ，1~23个项目\n   O1：Hosts 映射（应该修复！）\n   O2：浏览器辅助模块（具体分析。）\n   O3：IE 工具栏（具体分析。）\n   O4：自启动程序（具体分析。）\n   O5：控制面板中被屏蔽的一些IE 选项（应该修复！）\n   O6：Internet 选项被禁用（应该修复！）\n   O7：注册表编辑器被禁用（应该修复！）\n   O8：IE 右键菜单中新增项目（如果其路径可疑的则可修复！）\n   O9：额外IE “工具”菜单及工具栏按钮（可以修复！）\n   O10：Winsock LSP 浏览器劫持（具体分析，应该用专门的修复工具来修复应该修复的项目！）\n   O11：IE 高级选项中出现的新项目（遇到“CommonName”应该修复！其余要具体分析。）\n   O12：IE 插件（具体分析。）\n   O13：浏览器默认URL 前缀修改（应该修复！）\n   O14：IERESET.INF 文件中改变（可以修复！）\n   O15：“受信任站点”中不速之客（应该修复！）\n   O16：下载的程序文件（如果URL 中有“sex”、“adult”、“dialer”、“casino”、“free_plugin”都要修复！一定要在安全模式下操作！其余的要具体分析。）\n   O17：域劫持/DNS 服务器（“Lop.com”要修复！其余要具体分析。）\n   O18：额外协议和协议“劫持”（“cn”[CommonName]、“ayb”[Lop.com]、“relatedlinks”[Huntbar]都要修复！其余的要综合分析。）\n   O19：用户样式表“劫持”（应该修复！）\n   O20：注册表键值AppInit_DLLs 处的自启动项（具体分析。还需要提防！）\n   O21：注册表键值SSODL 处自启动项（具体分析，一般都要修复！）\n   O22：注册表键值Shared Task Scheduler 处自启动项（极少用到，小心提防，因此，还需要具体分析。）\n   O23：NT 服务（具体分析。）\n\nP.S.  由于这些都是本人的简单总结解释，所以不排除有出错或者有漏洞的可能。\n\n風鳥院·花月  ，  又名————「弦の花月」

shiningzhao

补充下：\nHijackThis日志细解\n\n日志项纵览\nR0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变\nF0，F1，F2，F3 ini文件中的自动加载程序\nN1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变\nO1 Hosts文件重定向\nO2 Browser Helper Objects（BHO，浏览器辅助模块）\nO3 IE浏览器的工具条\nO4 自启动项\nO5 控制面板中被屏蔽的IE选项\nO6 IE选项被管理员禁用\nO7 注册表编辑器（regedit）被管理员禁用\nO8 IE的右键菜单中的新增项目\nO9 额外的IE“工具”菜单项目及工具栏按钮\nO10 Winsock LSP“浏览器绑架”\nO11 IE的高级选项中的新项目\nO12 IE插件\nO13 对IE默认的URL前缀的修改\nO14 对“重置WEB设置”的修改\nO15 “受信任的站点”中的不速之客\nO16 Downloaded Program Files目录下的那些ActiveX对象\nO17 域“劫持”\nO18 额外的协议和协议“劫持”\nO19 用户样式表（stylesheet）“劫持”\nO20 注册表键值AppInit_DLLs处的自启动项\nO21 注册表键ShellServiceObjectDelayLoad处的自启动项\nO22 注册表键SharedTaskScheduler处的自启动项\nO23 加载的系统服务\n组别——R\n1. 项目说明\n\nR – 注册表中Internet Explorer（IE）的默认起始主页和默认搜索页的改变\nR0 - 注册表中IE主页/搜索页默认键值的改变\nR1 - 新建的注册表值（V），或称为键值，可能导致IE主页/搜索页的改变\nR2 - 新建的注册表项（K），或称为键，可能导致IE主页/搜索页的改变\nR3 - 在本来应该只有一个键值的地方新建的额外键值，可能导致IE搜索页的改变\n\nR3主要出现在URLSearchHooks这一项目上，当我们在IE中输入错误的网址后，浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下，当我们在IE中输入错误的网址后，浏览器会使用默认的搜索引擎（如http://search.msn.com/、网络实名等）来查找匹配项目。如果HijackThis报告R3项，相关的“浏览器绑架”现象可能是：当在IE中输入错误的网址后，被带到某个莫名其妙的搜索网站甚至其它网页。\n\n2. 举例\n\nR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page=http://www.google.com/\nR1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL=http://www.google.com/\n（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）\n上面的例子中，默认主页被改变，指向了新的地址http://www.google.com/。\nR3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:WINDOWSDOWNLOADED PROGRAM FILESBDSRHOOK.DLL\n这是百度搜索\nR3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:WINDOWSDOWNLO~1CNSHOOK.DLL\n这是3721网络实名\nR3 - Default URLSearchHook is missing\n这是报告发现一个错误（默认的URLSearchHook丢失）。此错误可以用HijackThis修复。\n\n3. 一般建议\n对于R0、R1，如果您认得后面的网址，知道它是安全的，甚至那就是您自己这样设置的，当然不用去修复。否则的话，在那一行前面打勾，然后按“Fix checked”，让HijackThis修复它。\n对于R2项，据HijackThis的作者说，实际上现在还没有用到。\n对于R3，一般总是要选修复，除非它指向一个您认识的程序（比如百度搜索和3721网络实名）。\n\n4. 疑难解析\n\n(1) 偶尔，在这一组的某些项目后面会出现一个特殊的词——(obfuscated)，例如下面几个\nR1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://ls0.net/home.html (obfuscated) \nR1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) \nR1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32kihm.dll/sp.html (obfuscated) \nR1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) \nR1 - HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) \nR1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,(Default) = http://ls0.net/srchasst.html (obfuscated)\nR1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)\nR0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)\nR1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)\n\nobfuscated，中文大意为“使混乱，使糊涂迷惑，使过于混乱或模糊，使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时，还利用各种方法把自己变得不易理解，以躲避人们对注册表内容的查找辨识（比如直接在注册表特定位置添加十六进制字符键值，电脑认得它，一般人可就不认得了）。\n\n(2) 有些R3项目{ }号后面，会跟上一个下划线（ _ ），比如下面几个：\n\nR3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)\nR3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)\nR3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)\n\n这些{ }后面多一个下划线的R3项目，实际上无法使用HijackThis修复（这是HijackThis本身的一个bug）。如果要修复这样的项目，需要打开注册表编辑器（开始——运行——输入 regedit——按“确定”），找到下面的键\n\nHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks\n\n对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目，但要注意不要误删以下一项\nCFBFAE00-17A6-11D0-99CB-00C04FD64497\n这一项是默认的。\n\n请注意，如果是在{ }号前面有一个下划线，这些项目HijackThis可以正常清除。比如下面的：\nR3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) \nR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) \nR3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)\nR3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)\nR3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)\nR3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)\n\n（3）最近见到不少后面没有内容的R3项。比如\nR3 - URLSearchHook:\n怀疑这是3721的项目，如果您安装了3721，则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。\n\n** 特别提醒：\n\n如果您在HijackThis的扫描日志中发现了F2项并进行了修复，一旦因为某些原因想要反悔，请“不要”使用HijackThis的恢复功能来取消对F2项目的修改（我指的是config菜单——Backups菜单——Restore功能），因为据报告HijackThis在恢复对F2项的修改时，可能会错误地修改注册表中另一个键值。此bug已被反映给HijackThis的作者。\n此bug涉及的注册表键值是\nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon:UserInit\n一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改，可能会错误修改另一个键值\nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon:Shell\n\n所以，如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复，一旦因为某些原因想要反悔，请手动修改上面提到的UserInit键值（HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon:UserInit）\nF2 - REG:-System.ini: UserInit=C:WINDOWSSystem32Userinit.exe\nF2 - REG:-System.ini: UserInit=C:WindowsSystem32wsaupdater.exe,\n不过，说实话，在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志

shiningzhao

组别——F\n1. 项目说明\n\nF - ini文件中的自动运行程序或者注册表中的等价项目\nF0 - ini文件中改变的值，system.ini中启动的自动运行程序\nF1 - ini文件中新建的值，win.ini中启动的自动运行程序\nF2 - 注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序\nF3 - 注册表中win.ini文件映射区中启动的自动运行程序\n\nF0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。\nF0对应在System.ini文件中“Shell=”这一项（没有引号）后面启动的额外程序。在Windows 9X中，System.ini里面这一项应该是\nShell=explorer.exe\n这一项指明使用explorer.exe作为整个操作系统的“壳”，来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名，该程序在启动Windows时也会被执行，这是木马启动的方式之一（比较传统的启动方式之一）。比如\nShell=explorer.exe trojan.exe\n这样就可以使得trojan.exe在启动Windows时也被自动执行。\nF1对应在win.ini文件中“Run=”或“Load=”项（均没有引号）后面启动的程序。这些程序也会在启动Windows时自动执行。通常，“Run=”用来启动一些老的程序以保持兼容性，而“Load=”用来加载某些硬件驱动。\nF2和F3项分别对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它们使用一种称作IniFileMapping（ini文件映射）的方式，把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时，Windows会先到注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping这里查找需要的内容，而不是去找那些ini文件。F2/F3其实和F0/F1相类似，只不过它们指向注册表里的ini映像。另外有一点不同的是，F2项中还报告下面键值处额外启动的程序\nHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit\n此处默认的键值是(注意后面有个逗号)\nC:WINDOWSsystem32userinit.exe,\n（根据您的Windows版本和安装目录的不同，路径里的“C”和“windows”可能不尽相同，总之这里默认指向%System%userinit.exe\n%System%指的是系统文件目录\n对于NT、2000，该键值默认为X:WINNTsystem32userinit.exe\n对于XP，该键值默认为X:WINDOWSsystem32userinit.exe\n这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。）\n这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序（在该键值中userinit.exe后的逗号后面可以添加其它程序），这些程序在用户登录后也会被执行。比如将其键值改为\nC:windowssystem32userinit.exe,c:windows        rojan.exe\n则c:windows        rojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。\n\n总之，F项相关的文件包括\nc:windowssystem.ini \nc:windowswin.ini\n（根据您的Windows版本和安装目录的不同，路径里的“C”和“windows”可能不尽相同，总之这里指的是%windows%目录下的这两个ini文件\n%Windows%目录指的是Windows安装目录\n对于NT、2000，Windows安装目录为X:WINNT\n对于XP，Windows安装目录为X:WINDOWS\n这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。）\nF项相关的注册表项目包括\nHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit \nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping\n\n2. 举例\n\nF0 - system.ini: Shell=Explorer.exe trojan.exe\n上面的例子中，在system.ini文件中，默认的Shell=Explorer.exe后面又启动了一个trojan.exe，这个trojan.exe十分可疑。\nF1 - win.ini: run=hpfsched\n上面的例子中，在win.ini文件中，启动了hpfsched这个程序，需要分析。 \nF2 - REG:-System.ini: UserInit=userinit,trojan.exe\n上面的例子中，UserInit项（说明见上）中额外启动了trojan.exe\nF2 - REG:-System.ini: Shell=explorer.exe trojan.exe\n上面的例子其实相当于第一个例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在注册表中的system.ini文件“映像”中，额外启动了trojan.exe。\n\n3. 一般建议\n\n基本上，F0提示的Explorer.exe后面的程序总是有问题的，一般应该修复。\nF1后面的需要慎重对待，一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字，在电脑上查一下，网上搜一搜，具体问题具体分析。\n对于F2项，如果是关于“Shell=”的，相当于F0的情况，一般应该修复。如果是关于“UserInit=”的，除了下面的“疑难解析”中提到的几种情况另作分析外，一般也建议修复。但要注意，一旦修复了关于“UserInit=”的F2项，请不要使用HijackThis的恢复功能恢复对这一项的修改，这一点上面着重提到了。当然，您也可以利用“UserInit=”自己设置一些软件开机自启动，这是题外话了，相信如果是您自己设置的，您一定不会误删的。\n\n4. 疑难解析\n\n(1) F2 - REG:-System.ini: UserInit=C:WINDOWSSystem32Userinit.exe\n注意到这一项与默认情况的区别了吗？其实，这一项之所以被HijackThis报告出来，是因为丢失了键值最后的一个逗号。但这并不是真正的问题，可以不予理会。\n\n(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe\nnddeagnt.exe是Network Dynamic Data Exchange Agent，这一项出现在userinit后面也是正常的。\n\n(3) F2 - REG:-System.ini: UserInit=C:WindowsSystem32wsaupdater.exe,\n这一个比较特别，这是广告程序BlazeFind干的好事，这个广告程序修改注册表时不是把自己的wsaupdater.exe放在userinit的后面，而是直接用wsaupdater.exe替换了userinit.exe，使得注册表这一项\nHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit\n的键值从默认的\nC:WINDOWSsystem32userinit.exe,\n变为\nC:WindowsSystem32wsaupdater.exe,\n如果您使用Ad-aware 6 Build 181清除该广告程序，重启动后可能会造成用户无法登录系统。这时需要使用光盘或者软盘启动，将userinit.exe复制一份，命名为wsaupdater.exe放在同一目录下，以使得系统能够正常登录，然后将上面所述的注册表中被广告程序修改的键值恢复默认值，再删除wsaupdater.exe文件。\n该问题存在于Ad-aware 6 Build 181，据我所知，HijackThis可以正常修复这一项。\n具体信息清参考\nhttp://www.lavahelp.com/articles/v6/04/06/0901.html\n\n\n组别——N\n1. 项目说明\n\nN - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变\nN1 - Netscape 4.x中，浏览器的默认起始主页和默认搜索页的改变\nN2 - Netscape 6中，浏览器的默认起始主页和默认搜索页的改变\nN3 - Netscape 7中，浏览器的默认起始主页和默认搜索页的改变\nN4 - Mozilla中，浏览器的默认起始主页和默认搜索页的改变\n\n与这些改变相关的文件为prefs.js。\n\n2. 举例\n\nN1 - Netscape 4: user_pref(\"browser.startup.homepage\", \"www.google.com\"; (Crogram FilesNetscapeUsersdefaultprefs.js)\nN2 - Netscape 6: user_pref(\"browser.startup.homepage\", \"http://www.google.com\"; (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)\nN2 - Netscape 6: user_pref(\"browser.search.defaultengine\", \"engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"; (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js) \n\n3. 一般建议\n\n一般来说，Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的，很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址，可以修复它。\n已知，Lop.com（Live Online Portal）这个网站会修改上述N类项。有兴趣者请参考此链接提供的详细信息\nhttp://www.doxdesk.com/parasite/lop.html

shiningzhao

别——O\n\n（字母O，代表Other即“其它”类，以下各组同属O类）\n\n1. 项目说明\n\nO1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时，浏览器会先检查hosts文件中是否存在该网址的映射，如果有，则直接连接到相应IP地址，不再请求DNS域名解析。这个方法可以用来加快浏览速度，也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。\n这个hosts文件在系统中的通常位置为\nC:WINDOWSHOSTS （Windows 3.1、95、98、Me）\n或\nC:WINNTSYSTEM32DRIVERSETCHOSTS （Windows NT、2000）\n或\nC:WINDOWSSYSTEM32DRIVERSETCHOSTS （XP、2003）\n注意，没有扩展名。\n\n该文件的一般格式类似\n\n219.238.233.202 www.rising.com.cn\n\n注意，IP地址在前，空格后为网址，下一个映射另起一行。（若有#，则#后的部分作为注释，不起作用。）\n上面的例子中，瑞星的主页www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来，一旦用户要访问www.rising.com.cn，浏览器根据hosts文件中的内容，会直接连接219.238.233.202。在这个例子中，这个219.238.233.202实际上正是瑞星主页的IP地址，所以这样做加快了访问速度（省掉了DNS域名解析这一步），在好几年前，这是一个比较常用的加快浏览的方法（那时上网费用高、小猫跑得又慢），现在这个方法用得少了。而且，这个方法有个缺陷，那就是，一旦想要浏览的网站的IP地址变动了，就不能正常浏览该网站了，必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用，它们修改hosts文件，建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1（127.0.0.1就是指您自己的电脑），那么您就打不开那些反病毒软件的网站，清除木马等恶意程序就更加困难，甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站（比如google等）指向其它一些网站的IP地址，增加后者的访问量。当然，也可以直接用此方法重定向浏览器的搜索页。\n\n2. 举例\n\nO1 - Hosts: 216.177.73.139 auto.search.msn.com\nO1 - Hosts: 216.177.73.139 search.netscape.com\nO1 - Hosts: 216.177.73.139 ieautosearch \n在上面的例子中，默认搜索页（auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页）被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能，都被带到216.177.73.139这个地方。\n\n下面是XP的原始Hosts文件的内容\n\n# Copyright (C) 1993-1999 Microsoft Corp.\n#\n# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.\n#\n# This file contains the mappings of IP addresses to host names. Each\n# entry should be kept on an individual line. The IP address should\n# be placed in the first column followed by the corresponding host name.\n# The IP address and the host name should be separated by at least one\n# space.\n#\n# Additionally, comments (such as these) may be inserted on individual\n# lines or following the machine name denoted by a `#` symbol.\n#\n# For example:\n#\n# 102.54.94.97 rhino.acme.com # source server\n# 38.25.63.10 x.acme.com # x client host\n\n127.0.0.1 localhost\n\n所有以#开始的行都是注释内容，不起作用。最后一行指明本地主机（localhost）的IP地址为127.0.0.1（这是默认的）。\n\n3. 一般建议\n\nHijackThis报告O1项时，一般建议修复它，除非是您自己在Hosts文件中如此设置的。\n\n4. 疑难解析\n\nO1 - Hosts file is located at C:WindowsHelphosts\n如果发现hosts文件出现在C:WindowsHelp这样的文件夹中，那么很可能感染了CoolWebSearch（跟上面提到的Lop.com一样著名的恶意网站家族），应该使用HijackThis修复相关项。当然，别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）。\n\n\n组别——O2 \n\n1. 项目说明\n\nO2项列举现有的IE浏览器的BHO模块。BHO，即Browser Helper Objects，指的是浏览器的辅助模块（或称辅助对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂，诺顿杀毒、goolge等都可能出现在这里，而这里也是一些间谍软件常出没的地方。\n\n2. 举例：\n\nO2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - Crogram FilesXiNet TransportNTIEHelper.dll\n这是影音传送带（Net Transport）的模块。\nO2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - CROGRAM FILESFLASHGETJCCATCH.DLL\n这是网际快车（FlashGet）的模块。\nO2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:WINDOWSDOWNLO~1BDSRHOOK.DLL\n这是百度搜索的模块。\nO2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - CROGRAM FILES3721ASSISTASSIST.DLL\n这是3721上网助手的模块。\nO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:AdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx\n这是Adobe Acrobat Reader（用来处理PDF文件）的模块。\nO2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:programgooglegoogletoolbar1.dll\n这是Google工具条的模块。\n\n3. 一般建议\n\n可能的O2项实在太多了，此处无法一一列举。网上有一些很好的BHO列表，大家可以在里面查询相关的项目信息。\n相关资料查询地址举例：\nhttp://www.sysinfo.org/bholist.php\nhttp://www.spywareinfo.com/bhos/\nhttp://computercops.biz/CLSID.html\n建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。\n修复前请仔细分析，看看是否认得这个东西的名字，看看它所在的路径，不能一概而论。最好进一步查询相关资料，千万不要随意修复。对于标记为X的恶意模块，一般建议修复。\n\n4. 疑难解析\n\nHijackThis修复O2项时，会删除相关文件。但对于某些O2项，虽然选择了让HijackThis修复，下次扫描时却还在。出现此情况时，请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行，建议重新启动到安全模式直接删除该文件。有时，会遇到一个如下的项目（后面没内容）\nO2 - BHO:\n总是删不掉，怀疑这是3721的项目，如果您安装了3721，则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。\n\n\n组别——O3 \n\n1. 项目说明\n\nO3项列举现有的IE浏览器的工具条（ToolBar，简写为TB）。注意，这里列出的是工具条，一般是包含多个项目的那种。除了IE自带的一些工具条外，其它软件也会安装一些工具条，这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为\nHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar\n\n2. 举例\n\nO3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX\n这是Windows Media Player 2 ActiveX Control，媒体播放器的ActiveX控制项。\nO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - CROGRAM FILESFLASHGETFGIEBAR.DLL\n这是网际快车（FlashGet）的IE工具条。\nO3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - Crogram FilesKAV5KAIEPlus.DLL\nO3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:KAV2003KAIEPLUS.DLL\nO3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:KAV2003KIETOOL.DLL\n上面三个是金山毒霸的IE工具条。\nO3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - CROGRA~1KINGSOFTFASTAITIEBAND.DLL\n这个是金山快译的IE工具条。\nO3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - CROGRAM FILES3721ASSISTASSIST.DLL\n3721上网助手的IE工具条。\nO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:WINDOWSDownloaded Program Filesgooglenav.dll\n这个是google的IE工具条。\nO3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - Crogram FilesNorton AntivirusNavShExt.dll\n这个是诺顿杀毒软件的工具条。\n\n3. 一般建议\n\n同O2，这个也必须仔细分析，看看是否认得这个东西的名字，看看它在IE的工具栏是什么（有一些可能安装了但没有显示，在IE的工具栏点右键可以看到一些），看看它所在的路径，不能一概而论。可以进一步查询相关资料，千万不要随意修复。这里推荐一些好的查询地址\nhttp://www.sysinfo.org/bholist.php\nhttp://www.spywareinfo.com/toolbars/\nhttp://computercops.biz/CLSID.html\n建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。对于标记为X的，一般建议修复。\n\n4. 疑难解析\n\n如果在资料查询列表中找不到，其名称又似乎是随机的，而路径则在“Application Data”下，一般是感染了著名的Lop.com，建议修复。如\nO3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL\n关于Lop.com的详细信息及手工修复方法，请参阅\nhttp://www.doxdesk.com/parasite/lop.html

shiningzhao

组别——O4 \n\n1. 项目说明\n\n这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说，这里列出的是注册表下面诸键启动的程序。\n\nHKLMSoftwareMicrosoftWindowsCurrentVersionRun\nHKCUSoftwareMicrosoftWindowsCurrentVersionRun\nHKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce\nHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce\nHKLMSoftwareMicrosoftWindowsCurrentVersionRunServices\nHKCUSoftwareMicrosoftWindowsCurrentVersionRunServices\nHKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce\nHKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce\nHKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx\nHKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun\nHKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun\n\n注意HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit这一项虽然也可以启动程序，但已经在F2项报告过了。\n另外，O4项还报告两种情况，即“Startup:”和“Global Startup:”，在我的印象里\nStartup: 相当于文件夹c:documents and settingsUSERNAME 下的内容（USERNAME指您的用户名）\nGlobal Startup: 相当于文件夹c:documents and settingsAll Users 下的内容\n注意，其它存放在这两个文件夹的文件也会被报告。\n我觉得，其实，“启动”文件夹应该被报告，就是\nStartup: 报告c:documents and settingsUSERNAMEstart menuprogramsstartup 下的内容\nGlobal Startup: 报告c:documents and settingsAll Usersstart menuprogramsstartup 下的内容\n但这两项在中文版分别为\nStartup: Cocuments and SettingsUSERNAME「开始」菜单程序启动\nGlobal Startup: Cocuments and SettingsAll Users「开始」菜单程序启动\n恐怕HijackThis不能识别中文版的这两个目录，以至不报告其内容。不是是否如此？望达人告知。\n\n2. 举例\n\n注：中括号前面是注册表主键位置\n中括号中是键值\n中括号后是数据\nO4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun\n注册表自检\nO4 - HKLM..Run: [TaskMonitor] C:WINDOWS        askmon.exe\nwindows任务优化器（Windows Task Optimizer）\nO4 - HKLM..Run: [SystemTray] SysTray.Exe\nWindows电源管理程序\nO4 - HKLM..Run: [RavTimer] CROGRAM FILESRISINGRAVRavTimer.exe\nO4 - HKLM..Run: [RavMon] CROGRAM FILESRISINGRAVRavMon.exe\nO4 - HKLM..Run: [ccenter] Crogram Files\risingRavCCenter.exe\n上面三个均是瑞星的自启动程序。\nO4 - HKLM..Run: [helper.dll] C:WINDOWS\rundll32.exe CROGRA~13721helper.dll,Rundll32\nO4 - HKLM..Run: [BIE] Rundll32.exe C:WINDOWSDOWNLO~1BDSRHOOK.DLL,Rundll32\n上面两个是3721和百度的自启动程序。（不是经常有朋友问进程里的Rundll32.exe是怎么来的吗？）\nO4 - HKLM..RunServices: [SchedulingAgent] mstask.exe\nWindows计划任务\nO4 - HKLM..RunServices: [RavMon] CROGRAM FILESRISINGRAVRavMon.exe /AUTO\nO4 - HKLM..RunServices: [ccenter] Crogram Files\risingRavCCenter.exe\n上面两个也是瑞星的自启动程序。\nO4 - Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOfficeOSA9.EXE \n这是微软Office在“开始——程序——启动”中的启动项。\n\n3. 一般建议\n\n查表吧！可能的项目太多了，请进一步查询相关资料，千万不要随意修复。推荐一些好的查询地址\nhttp://www.oixiaomi.net/systemprocess.html\n这是中文的，一些常见的项目均可查到。\nhttp://www.sysinfo.org/startuplist.php\nhttp://www.windowsstartup.com/wso/browse.php\nhttp://www.windowsstartup.com/wso/search.php\nhttp://www.answersthatwork.com/Tasklist_pages/tasklist.htm\nhttp://www.liutilities.com/products/wintaskspro/processlibrary/\n英文的，很全面。其中一些标记的含义——\nY - 一般应该允许运行。\nN - 非必须程序，可以留待需要时手动启动。\nU - 由用户根据具体情况决定是否需要 。\nX - 明确不需要的，一般是病毒、间谍软件、广告等。\n? - 暂时未知\n还有，有时候直接使用进程的名字在www.google.com上查找，会有意想不到的收获（特别对于新出现的病毒、木马等）。\n\n4. 疑难解析\n\n请注意，有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件）的名字，或者干脆直接使用那些进程的名字，所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着，这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。（终止进程的一般方法：关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）\n\n组别——O5 \n\n1. 项目说明\n\nO5项与控制面板中被屏蔽的一些IE选项相关，一些恶意程序会隐藏控制面板中关于IE的一些选项，这可以通过在control.ini文件中添加相关命令实现。\n\n2. 举例\n\nO5 - control.ini: inetcpl.cpl=no \n这里隐藏了控制面板中的internet选项\n\n3. 一般建议\n\n除非您知道隐藏了某些选项（比如公司网管特意设置的），或者是您自己如此设置的，否则应该用HijackThis修复。

shiningzhao

组别——O6 \n\n1. 项目说明\n\nO6提示Internet选项（打开IE——工具——Internet选项）被禁用。管理员可以对Internet选项的使用进行限制，一些恶意程序也会这样阻挠修复。这里用到的注册表项目是\nHKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions\n\n2. 举例\n\nO6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present \n这里禁用了internet选项\n\n3. 一般建议\n\n除非您知道禁用了internet选项（比如网吧使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。\n\n组别——O7 \n\n1. 项目说明\n\nO7提示注册表编辑器（regedit）被禁用。管理员可以对注册表编辑器的使用进行限制，一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现\nHKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem\n\n2. 举例\n\nO7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1 \n这里禁用了注册表编辑器。\n\n3. 一般建议\n\n除非您知道禁用了注册表编辑器（比如公司使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。\n\n\n组别——O8 \n\n1. 项目说明\n\nO8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外，一些程序也能向其中添加项目。相关注册表项目为\nHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt\n\n2. 举例\n\nO8 - Extra context menu item: 使用网际快车下载 - CROGRAM FILESFLASHGETjc_link.htm\nO8 - Extra context menu item: 使用网际快车下载全部链接 - CROGRAM FILESFLASHGETjc_all.htm\n这是网际快车（FlashGet）添加的。\nO8 - Extra context menu item: &Download by NetAnts - CROGRA~1NETANTSNAGet.htm\nO8 - Extra context menu item: Download &All by NetAnts - CROGRA~1NETANTSNAGetAll.htm\n这是网络蚂蚁（NetAnts）添加的。\nO8 - Extra context menu item: 使用影音传送带下载 - CROGRA~1XiNETTRA~1NTAddLink.html\nO8 - Extra context menu item: 使用影音传送带下载全部链接 - CROGRA~1XiNETTRA~1NTAddList.html\n这是影音传送带（Net Transport）添加的。\nO8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://FROGRA~1MICROS~1Office10EXCEL.EXE/3000\n这是Office添加的。\n\n3. 一般建议\n\n如果不认得新添加的项目，其所在路径也可疑，可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。\n\n\n\n组别——O9 \n\n1. 项目说明\n\nO9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条，这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为\nHKLMSOFTWAREMicrosoftInternet ExplorerExtensions registry key\n\n2. 举例\n\nO9 - Extra button: QQ (HKLM)\n就是IE工具栏上的QQ按钮。\nO9 - Extra button: UC (HKLM)\nIE工具栏上的UC按钮。\nO9 - Extra button: FlashGet (HKLM)\nIE工具栏上的网际快车（FlashGet）按钮。\nO9 - Extra `Tools` menuitem: &FlashGet (HKLM)\nIE“工具”菜单中的网际快车（FlashGet）项。\nO9 - Extra button: NetAnts (HKLM)\nIE工具栏上的网络蚂蚁（NetAnts）按钮。\nO9 - Extra `Tools` menuitem: &NetAnts (HKLM)\nIE“工具”菜单中的网络蚂蚁（NetAnts）项。\nO9 - Extra button: Related (HKLM)\nIE工具栏上的“显示相关站点”按钮。\nO9 - Extra `Tools` menuitem: Show &Related Links (HKLM)\nIE“工具”菜单中的“显示相关站点”项。\nO9 - Extra button: Messenger (HKLM)\nIE工具栏上的Messenger按钮。\nO9 - Extra `Tools` menuitem: Windows Messenger (HKLM)\nIE“工具”菜单中的“Windows Messenger”项。\n\n3. 一般建议\n\n如果不认得新添加的项目或按钮，可以用HijackThis修复。\n\n4. 疑难解析\n\n\n组别——O9 \n\n1. 项目说明\n\nO9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条，这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为\nHKLMSOFTWAREMicrosoftInternet ExplorerExtensions registry key\n\n2. 举例\n\nO9 - Extra button: QQ (HKLM)\n就是IE工具栏上的QQ按钮。\nO9 - Extra button: UC (HKLM)\nIE工具栏上的UC按钮。\nO9 - Extra button: FlashGet (HKLM)\nIE工具栏上的网际快车（FlashGet）按钮。\nO9 - Extra `Tools` menuitem: &FlashGet (HKLM)\nIE“工具”菜单中的网际快车（FlashGet）项。\nO9 - Extra button: NetAnts (HKLM)\nIE工具栏上的网络蚂蚁（NetAnts）按钮。\nO9 - Extra `Tools` menuitem: &NetAnts (HKLM)\nIE“工具”菜单中的网络蚂蚁（NetAnts）项。\nO9 - Extra button: Related (HKLM)\nIE工具栏上的“显示相关站点”按钮。\nO9 - Extra `Tools` menuitem: Show &Related Links (HKLM)\nIE“工具”菜单中的“显示相关站点”项。\nO9 - Extra button: Messenger (HKLM)\nIE工具栏上的Messenger按钮。\nO9 - Extra `Tools` menuitem: Windows Messenger (HKLM)\nIE“工具”菜单中的“Windows Messenger”项。\n\n3. 一般建议\n\n如果不认得新添加的项目或按钮，可以用HijackThis修复。\n\n4. 疑难解析

shiningzhao

组别——O10 \n\n1. 项目说明\n\nO10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——\nhttp://tech.sina.com.cn/c/2001-11-19/7274.html\n\n2. 举例\n\nO10 - Hijacked Internet access by New.Net\n这是被广告程序New.Net劫持的症状（可以通过“控制面板——添加删除”来卸载）。\nO10 - Broken Internet access because of LSP provider `c:progra~1common~2        oolbarcnmib.dll` missing\n这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时，网络连接可能丢失。\nO10 - Unknown file in Winsock LSP: c:program files\newton knowsvmain.dll\n这是被广告程序newtonknows劫持的症状，相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp\n\n3. 一般建议\n\n一定要注意，由于LSP的特殊性，单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络！如果您使用杀毒软件清除间谍程序，可能遇到如上面第二个例子的情况，此时可能无法上网。有时HijackThis在O10项报告网络连接破坏，但其实仍旧可以连通，不过无论如何，修复O10项时一定要小心。\n\n遇到O10项需要修复时，建议使用专门工具修复。\n\n（1）LSPFix http://www.cexx.org/lspfix.htm\n\n（2）Spybot-Search&Destroy（上面提到过，但一定要使用最新版）\n\n这两个工具都可以修复此问题，请进一步参考相关教程。\n\n4. 疑难解析\n\n某些正常合法程序（特别是一些杀毒软件）也会在Winsock水平工作。比如\nO10 - Unknown file in Winsock LSP: c:windowssystem32kvwsp.dll\n\n这一项就属于国产杀毒软件KV。所以，在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下，不要一概修复。\n\n\n组别——O11 \n\n1. 项目说明\n\nO11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是\nHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions\n\n2. 举例\n\nO11 - Options group: [CommonName] CommonName\n这个是已知需要修复的一项。\nO11 - Options group: [!CNS]\nO11 - Options group: [!IESearch] !IESearch \n这2个是国内论坛上的HijackThis扫描日志里最常见的O11项，分属3721和百度，去留您自己决定。如果想清除，请先尝试使用“控制面板——添加删除”来卸载相关程序。\n\n3. 一般建议\n\n遇到CommonName应该清除，遇到其它项目请先在网上查询一下。\n\n4. 疑难解析\n\n（暂无）\n\n\n\n组别——O12 \n\n1. 项目说明\n\nO12列举IE插件（就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件）。相关注册表项目是HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins\n\n2. 举例\n\nO12 - Plugin for .spop: Crogram FilesInternet ExplorerPluginsNPDocBox.dll\nO12 - Plugin for .PDF: Crogram FilesInternet ExplorerPLUGINS\nppdf32.dll\n这两个都属于Acrobat软件。\n\n3. 一般建议\n\n绝大部分这类插件是安全的。已知仅有一个插件（OnFlow，用以支持文件类型.ofb）是恶意的，需要修复。遇到不认得的项目，建议先在网上查询一下。\n\n4. 疑难解析\n\n（暂无）

shiningzhao

组别——O13 \n\n1. 项目说明\n\nO13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀（比如http://或ftp://）时，浏览器会试图使用默认的前缀（默认为http://）。相关注册表项目包括HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix\n当此项被修改，比如改为http://www.AA.BB/?那么当输入一个网址如www.rising.com.cn时，实际打开的网址变成了——http://www.AA.BB/?www.rising.com.cn\n\n2. 举例\n\nO13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=\nO13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? \nO13 - WWW. Prefix: http://ehttp.cc/? \nO13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/）\nO13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/））\nO13 - DefaultPrefix: c:searchpage.html?page=\nO13 - WWW Prefix: c:searchpage.html?page=\nO13 - Home Prefix: c:searchpage.html?page=\nO13 - Mosaic Prefix: c:searchpage.html?page=\n\n3. 一般建议\n\n著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）来修复，本帖前部已提到过此软件，并给出了相关小教程的链接。\n\n如果使用CWShredder.exe发现了问题但却无法修复（Fix），请在安全模式使用CWShredder.exe再次修复（Fix）。\n\n如果使用CWShredder.exe后仍然无法修复或者根本未发现异常，再使用HijackThis来扫描修复。\n\n4. 疑难解析\n\n  简单说，就是——“对于searchpage.html这个问题，上面提到的CWShredder.exe可以修复（Fix），普通模式不能修复的话，请在安全模式使用CWShredder.exe修复（Fix），修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，可以把“删除所有脱机内容”选上)，重新启动。”\n\n\n\n组别——O14 \n\n1. 项目说明\n\nO14提示IERESET.INF文件中的改变，也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF文件保存着IE的默认设置信息，如果其内容被恶意程序改变，那么一旦您使用“重置WEB设置”功能，就会再次激活那些恶意修改。\n\n2. 举例\n\nO14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com\n\n3. 一般建议\n\n如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者（ISP），可以使用HijackThis修复。\n\n4. 疑难解析\n\n（暂无）\n\n\n\n组别——O15 \n\n1. 项目说明\n\nO15项目提示“受信任的站点”中的不速之客，也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制，可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目\nHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings\ZoneMapDomains\n\n2. 举例\n\nO15 - Trusted Zone: http://free.aol.com\n\n3. 一般建议\n\n如果不认得该网站，建议使用HijackThis来修复。\n\n4. 疑难解析\n\n（暂无）

shiningzhao

组别——O16 \n\n1. 项目说明\n\nO16 - 下载的程序文件，就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络，存放在Downloaded Program Files目录下，其CLSID记录在注册表中。\n\n2. 举例\n\nO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab\n用来看flash的东东，相信很多朋友都安装了。\nO16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab\n瑞星在线查毒。\n\n3. 一般建议\n\n如果不认得这些ActiveX对象的名字，或者不知道其相关的下载URL，建议使用搜索引擎查询一下，然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样， 一般应该修复。HijackThis修复O16项时，会删除相关文件。但对于某些O16项，虽然选择了让HijackThis修复，却没能够删除相关文件。若遇到此情况，建议启动到安全模式来修复、删除该文件。\n\n4. 疑难解析\n\n（暂无）\n\n\n\n组别——O17\n\n1. 项目说明\n\nO17提示“域劫持”，这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过，当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您去哪儿啦！\n\n2. 举例\n\nO17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net\nO17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com\nO17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com\nO17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com\n017 - HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175\n\n3. 一般建议\n\n如果这个DNS服务器不是您的ISP或您所在的局域网提供的，请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复，似乎已知的需要修复的O17项也就此一个。\n\n4. 疑难解析\n\n（暂无）\n\n\n\n组别——O18 \n\n1. 项目说明\n\nO18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括\nHKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS\nHKEY_LOCAL_MACHINESOFTWAREClassesCLSID等等。\n\n通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。\n\nHijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。\n\n2. 举例\n\nO18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - CROGRA~1COMMON~1MSIETSmsielink.dll\nO18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}\nO18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} \n\n3. 一般建议\n\n已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。\n\n4. 疑难解析\n\n（暂无）

shiningzhao

组别——O19 \n\n1. 项目说明\n\nO19提示用户样式表（stylesheet）“劫持”，样式表是一个扩展名为.CSS的文件，它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目\nHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: User Stylesheets\n\n此外，此项中也可能出现.ini、.bmp文件等。\n\n2. 举例\n\nO19 - User stylesheet: c:WINDOWSJavamy.css\nO19 - User stylesheet: C:WINDOWSWeb        ips.ini\nO19 - User stylesheet: C:WINDOWSwin32.bmp\n\n3. 一般建议\n\n已知，datanotary.com会修改样式表。该样式表名为my.css或者system.css，具体信息可参考\nhttp://www.pestpatrol.com/pestinfo/d/datanotary.asp\nhttp://www.spywareinfo.com/articles/datanotary/\n该“浏览器劫持”也属于CoolWebSearch家族，别忘了上面多次提到的专杀。\n\n当浏览器浏览速度变慢、经常出现来历不明的弹出窗口，而HijackThis又报告此项时，建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项，建议使用HijackThis修复。\n\n\n\n组别——O20 \n\n1. 项目说明\n\nO20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。\n\n相关注册表键为HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows\n\n键值为AppInit_DLLs\n\n此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。\n\n2. 举例\n\nO20 - AppInit_DLLs: msconfd.dll\n\n3. 一般建议\n\n仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防木马或者其它恶意程序。\n\n4. 疑难解析\n\n有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。\n\n\n\n组别——O21 \n\n1. 项目说明\n\nO21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式，通常只有少数Windows系统组件用到它。Windows启动时，该处注册的组件会由Explorer加载。\n相关注册表键为HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad\n\n2. 举例\n\nO21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:WINDOWSSystemauhook.dll \n\n3. 一般建议\n\nHijackThis会自动识别在该处启动的常见Windows系统组件，不会报告它们。所以如果HijackThis报告这一项，则有可能存在恶意程序，需要仔细分析。\n\n4. 疑难解析\n\n（暂无）