[資訊] 關於一些HijackThis

我在網上找到一些HijackThis的應用資料,以大家分享!
軟體掃描編碼解釋
　　編號：R0、 R1、 R2、 R3 －－ 代表IE起始頁/搜索頁 URL
　　例：
　　R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
　　R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
　　R3 ?Default URLSearchHook is missing
　　含義：
　對於R0、R1、R2中末尾出現的URL地址，如果是您的主頁或搜索引擎，那就不用管它。如果不是，請用HijcakThis修復。
　對於列出的R3項，我們必須始終修復它們，直到它提及一個您認可的程式為止。

　　編號：F0、 F1－－ 代表自動載入的程式
　　例：
　　F0 - system.ini: Shell=Explorer.exe Openme.exe
　　F1 - win.ini: run=hpfsched
　　含義：
　　對於F0中的選項始終是有害的，因此我們必須要修復它們。對於F1項通常是存在很長時間的安全程式，因此您應該根據其檔案名查找與該檔有關的更多資訊，以確定它是否有害。

　　編號：N1、N2、N3、N4－－代表Netscape/Mozilla起始頁和搜索頁
　　例：
　　N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
　　N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settin ... Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　含義：
　　通常情況下，Netacape和Mozilla的主頁及搜索頁很少被綁架。如果這兩個URL不是您認可的，請用HilackThis修復它。

      編號：O1－－代表主機檔重定向  
　　例：
　　O1 - Hosts: 216.177.73.139 auto.search.msn.com
　　O1 - Hosts: 216.177.73.139 search.netscape.com
　　O1 - Hosts: 216.177.73.139 ieautosearch
　　含義：
　　這些綁架程式將通向正確IP位址的位址重定向到錯誤的IP位址。如果IP不屬於該地址，那麼在您每次鍵入該位址時，您將被重定向到一個錯誤的站點。始終用HilackThis修復它們，除非您故意將這些行放到主機檔中。

　　編號：O2－－代表流覽器輔助對象
　　例：
　　O2 - BH Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O2 - BH (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
　　O2 - BH MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
　　含義：
　　如果您無法直接識別某個流覽器輔助物件的名稱，可以使用TonyK的 BHO 列表 通過類ID（CLSID，位於大括弧中的編號）進行查找，以確定它是無害的還是有害的。在BHO列表中，‘X’代表偵探軟體，‘L’代表安全。

　　編號O3－－代表IE工具欄項
　　例：
　　O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
　　O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
　　含義：
　　如果您不能直接識別工具欄的名稱，可以使用TonyK的 工具欄列表 通過類ID（CLSID，位於大括弧中的編號）進行查找，以確定它是無害的還是有害的。在工具欄列表中，‘X’代表偵探軟體，‘L’代表安全。
　　如果它不在列表中，而且其名稱似乎是一個隨機的字串，並且該檔位於一個名為‘Application Data’的檔夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。

　　編號：O4－－代表從註冊表自動載入的程式
　　例：
　　O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
　　O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
　　O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
　　O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
　　含義：04代表啟機時自動載入的程式，你要對系統有一定的瞭解，以確定它們是無害的還是有害的。

　　編號：O5－－使IE選項在控制面板中不可見
　　例：　O5 - control.ini: inetcpl.cpl=no
　　含義：除非故意隱藏控制面板中的圖示，否則用HijackThis修復它。

　　編號：O6－－由管理員限制的對IE選項的訪問
　　例：
　　O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
　　含義：限制了對IE選項的訪問，請用HijackThis修復這一項。

      編號：O7－－由管理員限制的對註冊表編輯器的訪問
　　例：
　　O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
　　含義：註冊表編輯被禁用，始終用HijackThis修復這一項。

　　編號：O8－－IE右鍵功能表中的額外項
　　例：
　　O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
　　O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
　　O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
　　O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
　　含義：
　　如果不能識別IE右鍵功能表中的專案名稱，用HijackThis修復它。

　　編號：O9－－主IE工具欄上的額外按鈕，或IE“工具”功能表中的額外項
　　例：
　　O9 - Extra button: Messenger (HKLM)
　　O9 - Extra 'Tools' menuitem: Messenger (HKLM)
　　O9 - Extra button: AIM (HKLM)
　　含義：如果不能識別按鈕或功能表項的名稱，用hijackThis修復它。

　　編號：O10－－Wincock綁架程式
　　例：
　　O10 - Hijacked Internet access by New.Net
　　O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
　　O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
　　含義：最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修復這些項。

　　編號：O11－－IE“高級選項”視窗中的額外組
　　例：
　　O11 - Options group: [CommonName] CommonName
　　含義：
　　現在，惟一將其自身的選項組添加到IE 高級選項視窗中的綁架程式是CommonName。因此您始終可以用HijackThis修復這一項。

　　編號：O12－－IE插件
　　例：
　　O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
　　O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
　　含義：
　　大部分時間內，這些項是安全的。只有OnFlow在這裏添加了一個您不想要的插件（.ofb）。

      編號：O13－－IE DefaultPrefix綁架
　　例：
　　O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
　　O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
　　含義：
　　這些項始終是有害的。用HijackThis修復它們。

　　編號：O14－－‘重置Web設置’綁架
　　例：
　　O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
　　含義：如果該URL不是您電腦的廠商或您的ISP，用HijackThis修復它。

　　編號：O15－－受信任區域中的有害站點
　　例：　O15 - Trusted Zone: http://free.aol.com
　　含義：
　　迄今為止，只有AOL傾向於將自身添加到您的受信任區域，從而允許它運行任何它想要運行的ActiveX。始終用HijackThis修復這一項。
　　編號：016－－Active物件（aka 下載的程式檔）
　　例：
　　O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.c ... 7;pplet/c381/chat.cab
　　O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s ... lash/swflash.cab
　　含義：
　　如果您你不能識別物件名稱，或它下載檔的URL，用HijackThis修復它。如果名稱或URL中包含下列單詞，比如‘dialer’、‘casino’、‘free-pludin’等等，那麼一定要修復它。

　　編號：017－－Lop.com域綁架
　　例：
　　O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
　　O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
　　O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
　　O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
　　含義：
　　如果域不是來自您的ISP或公司的網路，用HijackThis修復它。

　　編號：O18－－額外協定和協定綁架程式
　　例：
　　O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
　　O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
　　O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
　　含義：
　　這裏只顯示了少數綁架程式。惡名昭著的還有‘cn’（CommonName），‘ayb’（Lop.com）和‘relatedlinks’（Huntbar），您應該用Hijackthis修復這些項。
　　顯示的其他情況要麼是未被確認為安全的，要麼是被偵探軟體綁架的。如果是後一種情況，用HijackThis修復它。

　　編號：O19－－用戶樣式表綁架
　　例：
　　O19 - User style sheet: c:\WINDOWS\Java\my.css
　　含義：
　　在流覽器速度變慢並頻繁彈出各種消息的情況下，如果這一項顯示在日誌中，用HijackThis修復它。

以上是HijackThis的漢化版下載及掃描日誌的基本定義，如果您是新手朋友，請您繼續往下看，下面我將更為詳細的為您介紹HijackThis的使用，希望本文能助您走上反流覽器劫持的高手之路。
HijackThis是一款英文免費軟體，由荷蘭的一名學生merijn開發。
其個人主頁上有merijn自己的簡介（http://merijn.org/index.html ），並提供其利用業餘時間開發的軟體供大家下載。HijackThis能夠掃描註冊表和硬碟上的特定檔，找到一些惡意程式“劫持”流覽器的入口。但要提醒大家注意的是，這些內容也可能正由正常的程式在使用，所以不能草率處理，必須經過分析。
HijackThis掃描的內容十分詳盡，並且可以修復大部分被惡意修改的內容。尤其值得一提的是它的日誌，HijackThis可以把掃描的內容保存為日誌檔，並直接用記事本（notepad）打開。使用者可以把它的日誌直接發在帖子裏，以方便熱心人幫助解決問題。

[ 本帖最後由 mayday03225 於 2008-10-14 19:54 編輯 ]

使用HijackThis前的步驟
請一定將下載得到的HijackThis放到一個單獨的檔夾中，如果下載得到的是壓縮包，還要把它解壓出來。希望您不要在臨時目錄中運行HijackThis，也不要直接在壓縮包中運行HijackThis。因為使用HijackThis作修復時，它會自動給修改的項目做備份，保留這些備份檔案是個好習慣，一旦修復錯了，可以利用這些備份檔案恢復原先的狀態。暫存檔案目錄可能隨時被清空，而在壓縮包中直接運行HijackThis的話，是無法生成備份檔案的。
還有，使用HijackThis進行修復前請關閉所有流覽器視窗和檔夾視窗。

使用HijackThis修復時的步驟
1. 有惡意進程正在運行的，請先終止其進程
（關閉所有視窗，同時按下CTRL+ALT+DELETE，在打開的視窗中選中要終止的進程，然後按下“結束任務”或者“結束進程”，最後關閉該視窗。）
2. 使用HijackThis修復
3. 重啟動到安全模式，顯示隱藏檔和系統檔，刪除那些被修復專案相關的檔。（為保險起見，可以先壓縮保存。）
4. 重新啟動到正常模式，再次運行HijackThis檢查一下。
.............................................
使用方法簡介：
請注意，HijackThis只有一個檔，如果您下載的HijackThis是一個ZIP壓縮包，需要先把它解壓縮然後再運行HijackThis.exe，不要在壓縮包內直接運行。
1 雙擊滑鼠左鍵運行HijackThis.exe，初次運行會有一個提示，點擊即可。
2 這是主介面。點擊scan（掃描）就開始掃描。
3 掃描結束後，結果會在介面中顯示出來，同時scan按鈕變成save log（保存日誌）。
4 點擊save log按鈕，將日誌檔Hijackthis.log保存到您選定的地方，您也可以給這個檔改名字，但建議不要改動副檔名.log。
5 日誌會自動在記事本中打開，如果沒有自動打開，請找到日誌檔，並且用記事本打開。
6 您現在可以將日誌中的內容完全複製到您的帖子裏，以便其他會員能更好地幫助您。
7 一旦您獲得了其他會員的建議，決定使用HijackThis修復某些專案。請重新運行HijackThis來掃描，然後在主介面中相應專案前面的正方形裏用滑鼠點擊打勾，接著按下Fix Checked按鈕。會有一個安全提示，點擊Yes讓它繼續即可。
8 其他按鈕功能簡介
9 config功能表——main功能表
這裏列出一些默認設置，一般不必改動。
10 config功能表——Ignorelist功能表
這裏用來管理那些不希望HijackThis掃描的專案。
11 config功能表——Backups功能表
按照默認設置，HijackThis在修復的同時留下備份檔案，用來在將來後悔時取消當初的修復動作（選中備份檔案後按下“Restore”）。
12 config功能表——Misc Tools功能表
這裏可以生成啟動列表和線上更新HijackThis。

好了，接下來我們重點是介紹軟體掃描後的日誌。

一，先看看日誌頭說什麼
Logfile of HijackThis v1.97.7——這裏表明這是HijackThis的1.97.7版本生成的log檔
Scan saved at 0:36:25, on 2003-12-24——掃描並存檔的時間
Platform: Windows XP SP1 (WinNT 5.01.2600)——作業系統版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微軟IE流覽器版本

二、HijackThis日誌細解正文
（一）HijackThis日誌縱覽
R0，R1，R2，R3 Internet Explorer（IE）的默認起始主頁和默認搜索頁的改變
F0，F1，F2，F3 ini檔中的自動載入程式
N1，N2，N3，N4 Netscape/Mozilla 的默認起始主頁和默認搜索頁的改變
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，流覽器輔助模組）
O3 IE流覽器的工具條
O4 自啟動項
O5 控制面板中被遮罩的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器（regedit）被管理員禁用
O8 IE的右鍵功能表中的新增專案
O9 額外的IE“工具”功能表專案及工具欄按鈕
O10 Winsock LSP“流覽器綁架”
O11 IE的高級選項中的新專案
O12 IE插件
O13 對IE默認的URL首碼的修改
O14 對“重置WEB設置”的修改
O15 “受信任的站點”中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX物件
O17 域“劫持”
O18 額外的協定和協定“劫持”
O19 用戶樣式表（stylesheet）“劫持”
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項

（二）組別——R

1. 專案說明
R – 註冊表中Internet Explorer（IE）的默認起始主頁和默認搜索頁的改變
R0 - 註冊表中IE主頁/搜索頁默認鍵值的改變
R1 - 新建的註冊表值（V），或稱為鍵值，可能導致IE主頁/搜索頁的改變
R2 - 新建的註冊表項（K），或稱為鍵，可能導致IE主頁/搜索頁的改變
R3 - 在本來應該只有一個鍵值的地方新建的額外鍵值，可能導致IE搜索頁的改變

R3主要出現在URLSearchHooks這一項目上，當我們在IE中輸入錯誤的網址後，流覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下，當我們在IE中輸入錯誤的網址後，流覽器會使用默認的搜索引擎（如http://search.msn.com/、網路實名等）來查找匹配專案。如果HijackThis報告R3項，相關的“流覽器綁架”現象可能是：當在IE中輸入錯誤的網址後，被帶到某個莫名其妙的搜索網站甚至其他網頁。

2. 舉例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）
上面的例子中，默認主頁被改變，指向了新的位址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
這是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
這是3721網路實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤（默認的URLSearchHook丟失）。此錯誤可以用HijackThis修復。

3. 一般建議
對於R0、R1，如果您認得後面的網址，知道它是安全的，甚至那就是您自己這樣設置的，當然不用去修復。否則的話，在那一行前面打勾，然後按“Fix checked”，讓HijackThis修復它。
對於R2項，據HijackThis的作者說，實際上現在還沒有用到。
對於R3，一般總是要選修復，除非它指向一個您認識的程式（比如百度搜索和3721網路實名）。

4. 疑難解析
(1) 偶爾，在這一組的某些項目後面會出現一個特殊的詞——(obfuscated)，例如下面幾個
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com %00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com %00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com %00@www.e-finder.cc/search/ (obfuscated)

obfuscated，中文大意為“使混亂，使糊塗迷惑，使過於混亂或模糊，使得難於感覺或理解”。這裏主要是最後一個意義。這些被HijackThis標為obfuscated的項目在對IE主頁/搜索頁進行修改的同時，還利用各種方法把自己變得不易理解，以躲避人們對註冊表內容的查找辨識（比如直接在註冊表特定位置添加十六進位字元鍵值，電腦認得它，一般人可就不認得了）。

(2) 有些R3項目{ }號後面，會跟上一個下劃線（ _ ），比如下面幾個：

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

這些{ }後面多一個下劃線的R3項目，實際上無法使用HijackThis修復（這是HijackThis本身的一個bug）。如果要修復這樣的專案，需要打開註冊表編輯器（開始——運行——輸入 regedit——按“確定”），找到下面的鍵

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

對比HijackThis的掃描日誌中那些R3項的CLSID——就是{ }號中的數字——刪除想要刪除的項目，但要注意不要誤刪以下一項
CFBFAE00-17A6-11D0-99CB-00C04FD64497
這一項是默認的。

請注意，如果是在{ }號前面有一個下劃線，這些項目HijackThis可以正常清除。比如下麵的：
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

（3）最近見到不少後面沒有內容的R3項。比如
R3 - URLSearchHook:
懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

（三）組別——F

** 特別提醒：如果您在HijackThis的掃描日誌中發現了F2項並進行了修復，一旦因為某些原因想要反悔，請“不要”使用HijackThis的恢復功能來取消對F2專案的修改（我指的是config功能表——Backups功能表——Restore功能），因為據報告HijackThis在恢復對F2項的修改時，可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。
此bug涉及的註冊表鍵值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改，可能會錯誤修改另一個鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以，如果您在HijackThis的掃描日誌中發現了類似下面的F2項並進行了修復，一旦因為某些原因想要反悔，請手動修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit）
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過，說實話，在我的記憶中我從沒有處理過含有F2項的HijackThis掃描日誌。

1. 專案說明
F - ini檔中的自動運行程式或者註冊表中的等價專案
F0 - ini檔中改變的值，system.ini中啟動的自動運行程式
F1 - ini文件中新建的值，win.ini中啟動的自動運行程式
F2 - 註冊表中system.ini檔映射區中啟動的自動運行程式或註冊表中UserInit項後面啟動的其他程式
F3 - 註冊表中win.ini檔映射區中啟動的自動運行程式

F0和F1分別對應system.ini和win.ini檔中啟動的自動運行程式。
F0對應在System.ini檔中“Shell=”這一項（沒有引號）後面啟動的額外程式。在Windows 9X中，System.ini裏面這一項應該是
Shell=explorer.exe
這一項指明使用explorer.exe作為整個作業系統的“殼”，來處理用戶的操作。這是默認的。如果在explorer.exe後面加上其他程式名，該程式在啟動Windows時也會被執行，這是木馬啟動的方式之一（比較傳統的啟動方式之一）。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動Windows時也被自動執行。
F1對應在win.ini檔中“Run=”或“Load=”項（均沒有引號）後面啟動的程式。這些程式也會在啟動Windows時自動執行。通常，“Run=”用來啟動一些老的程式以保持相容性，而“Load=”用來載入某些硬體驅動。
F2和F3項分別對應F0和F1項在註冊表中的“映射”。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini檔，它們使用一種稱作IniFileMapping（ini檔映射）的方式，把這些ini檔的內容完全放在註冊表裏。程式要求這些ini檔中的相關資訊時，Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裏查找需要的內容，而不是去找那些ini檔。F2/F3其實和F0/F1相類似，只不過它們指向註冊表裏的ini映射。另外有一點不同的是，F2項中還報告下面鍵值處額外啟動的程式
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處默認的鍵值是(注意後面有個逗號)
C:\WINDOWS\system32\userinit.exe,
（根據您的Windows版本和安裝目錄的不同，路徑裏的“C”和“windows”可能不盡相同，總之這裏默認指向%System%\userinit.exe
%System%指的是系統檔目錄
對於NT、2000，該鍵值默認為X:\WINNT\system32\userinit.exe
對於XP，該鍵值默認為X:\WINDOWS\system32\userinit.exe
這裏的X指的是Windows安裝到的盤的盤符。此問題後面不再重複解釋了。）
這個鍵值是Windows NT、2000、XP等用來在用戶登錄後載入該用戶相關資訊的。如果在這裏添加其他程式（在該鍵值中userinit.exe後的逗號後面可以添加其他程式），這些程式在用戶登錄後也會被執行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個程式也會在用戶登錄後自動執行。這也是木馬等啟動的方式之一。

總之，F項相關的檔包括
c:\windows\system.ini
c:\windows\win.ini
（根據您的Windows版本和安裝目錄的不同，路徑裏的“C”和“windows”可能不盡相同，總之這裏指的是%windows%目錄下的這兩個ini檔
%Windows%目錄指的是Windows安裝目錄
對於NT、2000，Windows安裝目錄為X:\WINNT對於XP，Windows安裝目錄為X:\WINDOWS這裏的X指的是Windows安裝到的盤的盤符。此問題後面不再重複解釋了。）
F項相關的註冊表項目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中，在system.ini文件中，默認的Shell=Explorer.exe後面又啟動了一個trojan.exe，這個trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中，在win.ini檔中，啟動了hpfsched這個程式，需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中，UserInit項（說明見上）中額外啟動了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在註冊表中的system.ini檔“映射”中，額外啟動了trojan.exe。

3. 一般建議
基本上，F0提示的Explorer.exe後面的程式總是有問題的，一般應該修復。
F1後面的需要慎重對待，一些老的程式的確要在這裏載入。所以應該仔細看看載入的程式的名字，在電腦上查一下，網上搜一搜，具體問題具體分析。
對於F2項，如果是關於“Shell=”的，相當於F0的情況，一般應該修復。如果是關於“UserInit=”的，除了下面的“疑難解析”中提到的幾種情況另作分析外，一般也建議修復。但要注意，一旦修復了關於“UserInit=”的F2項，請不要使用HijackThis的恢復功能恢復對這一項的修改，這一點上面著重提到了。當然，您也可以利用“UserInit=”自己設置一些軟體開機自啟動，這是題外話了，相信如果是您自己設置的，您一定不會誤刪的。

4. 疑難解析
(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項與默認情況的區別了嗎？其實，這一項之所以被HijackThis報告出來，是因為丟失了鍵值最後的一個逗號。但這並不是真正的問題，可以不予理會。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項出現在userinit後面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個比較特別，這是廣告程式BlazeFind幹的好事，這個廣告程式修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面，而是直接用wsaupdater.exe替換了userinit.exe，使得註冊表這一項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從默認的
C:\WINDOWS\system32\userinit.exe,
變為
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程式，重啟動後可能會造成用戶無法登錄系統。這時需要使用光碟或者軟碟啟動，將userinit.exe複製一份，命名為wsaupdater.exe放在同一目錄下，以使得系統能夠正常登錄，然後將上面所述的註冊表中被廣告程式修改的鍵值恢復預設值，再刪除wsaupdater.exe文件。
該問題存在於Ad-aware 6 Build 181，據我所知，HijackThis可以正常修復這一項。
具體資訊清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html

（四）組別——N

1. 專案說明
N - Netscape、Mozilla流覽器的默認起始主頁和默認搜索頁的改變
N1 - Netscape 4.x中，流覽器的默認起始主頁和默認搜索頁的改變
N2 - Netscape 6中，流覽器的默認起始主頁和默認搜索頁的改變
N3 - Netscape 7中，流覽器的默認起始主頁和默認搜索頁的改變
N4 - Mozilla中，流覽器的默認起始主頁和默認搜索頁的改變

與這些改變相關的檔為prefs.js。

2. 舉例
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settin ... Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

3. 一般建議
一般來說，Netscape和Mozilla的默認起始主頁和默認搜索頁是比較安全的，很少被修改。如果你在默認起始主頁或默認搜索頁看到了一個陌生的位址，可以修復它。
已知，Lop.com（Live Online Portal）這個網站會修改上述N類項。有興趣者請參考此鏈結提供的詳細資訊
http://www.doxdesk.com/parasite/lop.html

4. 疑難解析
（暫無）

（五）組別——O1（字母O，代表Other即“其他”類，以下各組同屬O類）

1. 專案說明
O1代表在hosts檔中對某個網址與IP位址的映射。在流覽器中輸入網址時，流覽器會先檢查hosts檔中是否存在該網址的映射，如果有，則直接連接到相應IP位址，不再請求DNS功能變數名稱解析。這個方法可以用來加快流覽速度，也可能被木馬等惡意程式用來打開某些網址、遮罩某些網址。
這個hosts檔在系統中的通常位置為
C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）
注意，沒有副檔名。

該檔的一般格式類似

219.238.233.202www.rising.com...............................

注意，IP位址在前，空格後為網址，下一個映射另起一行。（若有#，則#後的部分作為注釋，不起作用。）
上面的例子中，瑞星的主頁www.rising.com...............................和IP位址219.238.233.202在hosts檔中互相關聯起來，一旦用戶要訪問www.rising.com...............................，流覽器根據hosts檔中的內容，會直接連接219.238.233.202。在這個例子中，這個219.238.233.202實際上正是瑞星主頁的IP位址，所以這樣做加快了訪問速度（省掉了DNS功能變數名稱解析這一步），在好幾年前，這是一個比較常用的加快流覽的方法（那時上網費用高、小貓跑得又慢），現在這個方法用得少了。而且，這個方法有個缺陷，那就是，一旦想要流覽的網站的IP位址變動了，就不能正常流覽該網站了，必須再次改動hosts檔。這個hosts檔也可以被木馬、惡意網站等利用，它們修改hosts檔，建立一些錯誤的映射。比如把著名的反病毒軟體的網站定向到無關網站、惡意網站或乾脆定向到127.0.0.1（127.0.0.1就是指您自己的電腦），那麼您就打不開那些反病毒軟體的網站，清除木馬等惡意程式就更加困難，甚至連殺毒軟體都不能正常升級。它們還可以把一些常被訪問的網站（比如google等）指向其他一些網站的IP位址，增加後者的訪問量。當然，也可以直接用此方法重定向流覽器的搜索頁。

2. 舉例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，默認搜索頁（auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的默認搜索頁）被指向了216.177.73.139這個IP位址。造成每次使用流覽器的搜索功能，都被帶到216.177.73.139這個地方。

下面是XP的原始Hosts檔的內容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#開始的行都是注釋內容，不起作用。最後一行指明本地主機（localhost）的IP位址為127.0.0.1（這是默認的）。

3. 一般建議
HijackThis報告O1項時，一般建議修復它，除非是您自己在Hosts檔中如此設置的。

4. 疑難解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果發現hosts檔出現在C:\Windows\Help\這樣的檔夾中，那麼很可能感染了CoolWebSearch（跟上面提到的Lop.com一樣著名的惡意網站家族），應該使用HijackThis修復相關項。當然，別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）。

（六）組別——O2
1. 專案說明
O2項列舉現有的IE流覽器的BHO模組。BHO，即Browser Helper Objects，指的是流覽器的輔助模組（或稱輔助物件），這是一些擴充流覽器功能的小插件。這裏面魚龍混雜，諾頓殺毒、goolge等都可能出現在這裏，而這裏也是一些間諜軟體常出沒的地方。

2. 舉例：
O2 - BH (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
這是影音傳送帶（Net Transport）的模組。
O2 - BH (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
這是網際快車（FlashGet）的模組。
O2 - BH (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
這是百度搜索的模組。
O2 - BH (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
這是3721上網助手的模組。
O2 - BH (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
這是Adobe Acrobat Reader（用來處理PDF檔）的模組。
O2 - BH (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
這是Google工具條的模組。

3. 一般建議
可能的O2項實在太多了，此處無法一一列舉。網上有一些很好的BHO列表，大家可以在裏面查詢相關的專案資訊。
相關資料查詢位址舉例：
http://www.sysinfo.org/bholist.php
http://www.spywaredata.com/spyware/bho.php
http://computercops.biz/CLSID.html
建議使用CLSID（就是“{ }”之間的數位 ）來查找相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。
修復前請仔細分析，看看是否認得這個東西的名字，看看它所在的路徑，不能一概而論。最好進一步查詢相關資料，千萬不要隨意修復。對於標記為X的惡意模組，一般建議修復。

4. 疑難解析
HijackThis修復O2項時，會刪除相關檔。但對於某些O2項，雖然選擇了讓HijackThis修復，下次掃描時卻還在。出現此情況時，請先確保使用HijackThis修復時已經關閉了所有流覽器視窗和檔夾視窗。如果還不行，建議重新啟動到安全模式直接刪除該檔。有時，會遇到一個如下的專案（後面沒內容）
O2 - BH
總是刪不掉，懷疑這是3721的項目，如果您安裝了3721，則會出現這樣一個O2項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

（七）組別——O3

1. 專案說明
O3項列舉現有的IE流覽器的工具條（ToolBar，簡寫為TB）。注意，這裏列出的是工具條，一般是包含多個項目的那種。除了IE自帶的一些工具條外，其他軟體也會安裝一些工具條，這些工具條通常出現在IE自己的工具條和地址欄的下面。HijackThis在O3項中把它們列出來。其相關註冊表項目為
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

2. 舉例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
這是Windows Media Player 2 ActiveX Control，媒體播放器的ActiveX控制項。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
這是網際快車（FlashGet）的IE工具條。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三個是金山毒霸的IE工具條。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
這個是金山快譯的IE工具條。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上網助手的IE工具條。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
這個是google的IE工具條。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
這個是諾頓殺毒軟體的工具條。

3. 一般建議
同O2，這個也必須仔細分析，看看是否認得這個東西的名字，看看它在IE的工具欄是什麼（有一些可能安裝了但沒有顯示，在IE的工具欄點右鍵可以看到一些），看看它所在的路徑，不能一概而論。可以進一步查詢相關資料，千萬不要隨意修復。這裏推薦一些好的查詢地址
http://www.sysinfo.org/bholist.php
http://www.spywaredata.com/spyware/toolbar.php
http://computercops.biz/CLSID.html
建議使用CLSID（就是“{ }”之間的數位 ）來查找相關項。通常，在以上網址的查詢結果中，標記為L的是合法的模組，標記為X的是間諜/廣告模組，標記為O的為暫時無結論的。對於標記為X的，一般建議修復。

4. 疑難解析
如果在資料查詢列表中找不到，其名稱又似乎是隨機的，而路徑則在“Application Data”下，一般是感染了著名的Lop.com，建議修復。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
關於Lop.com的詳細資訊及手工修復方法，請參閱
http://www.doxdesk.com/parasite/lop.html

（八）組別——O4

1. 專案說明
這裏列出的就是平常大家提到的一般意義上的自啟動程式。確切地說，這裏列出的是註冊表下面諸鍵啟動的程式。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit這一項雖然也可以啟動程式，但已經在F2項報告過了。
另外，O4項還報告兩種情況，即“Startup:”和“Global Startup:”，在我的印象裏
Startup: 相當於文件夾c:\documents and settings\USERNAME\ 下的內容（USERNAME指您的用戶名）
Global Startup: 相當於文件夾c:\documents and settings\All Users\ 下的內容
注意，其他存放在這兩個文件夾的文件也會被報告。
我覺得，其實，“啟動”檔夾應該被報告，就是
Startup: 報告c:\documents and settings\USERNAME\start menu\programs\startup 下的內容
Global Startup: 報告c:\documents and settings\All Users\start menu\programs\startup 下的內容
但這兩項在中文版分別為
Startup: C:\Documents and Settings\USERNAME\「開始」功能表\程式\啟動
Global Startup: C:\Documents and Settings\All Users\「開始」功能表\程式\啟動
恐怕HijackThis不能識別中文版的這兩個目錄，以至不報告其內容。不是是否如此？望達人告知。

2. 舉例
注：中括弧前面是註冊表主鍵位置
中括弧中是鍵值
中括弧後是數據
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
註冊表自檢
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任務優化器（Windows Task Optimizer）
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows電源管理程式
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三個均是瑞星的自啟動程式。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面兩個是3721和百度的自啟動程式。（不是經常有朋友問進程裏的Rundll32.exe是怎麼來的嗎？）
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows計畫任務
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面兩個也是瑞星的自啟動程式。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
這是微軟Office在“開始——程式——啟動”中的啟動項。

3. 一般建議
查表吧！可能的項目太多了，請進一步查詢相關資料，千萬不要隨意修復。推薦一些好的查詢地址
http://www.oixiaomi.net/systemprocess.html
這是中文的，一些常見的項目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的，很全面。其中一些標記的含義——
Y - 一般應該允許運行。
N - 非必須程式，可以留待需要時手動啟動。
U - 由用戶根據具體情況決定是否需要 。
X - 明確不需要的，一般是病毒、間諜軟體、廣告等。
? - 暫時未知
還有，有時候直接使用進程的名字在www.google.com上查找，會有意想不到的收穫（特別對於新出現的病毒、木馬等）。

4. 疑難解析
請注意，有些病毒、木馬會使用近似於系統進程、正常應用程式(甚至殺毒軟體）的名字，或者乾脆直接使用那些進程的名字，所以一定要注意仔細分辨。O4項中啟動的程式可能在您試圖使用HijackThis對它進行修復時仍然運行著，這就需要先終止相關進程然後再使用HijackThis對它的啟動項進行修復。（終止進程的一般方法：關閉所有視窗，同時按下CTRL+ALT+DELETE，在打開的視窗中選中要終止的進程，然後按下“結束任務”或者“結束進程”，最後關閉該視窗。）

（九）組別——O5

1. 專案說明
O5項與控制面板中被遮罩的一些IE選項相關，一些惡意程式會隱藏控制面板中關於IE的一些選項，這可以通過在control.ini檔中添加相關命令實現。

2. 舉例
O5 - control.ini: inetcpl.cpl=no
這裏隱藏了控制面板中的internet選項

3. 一般建議
除非您知道隱藏了某些選項（比如公司網管特意設置的），或者是您自己如此設置的，否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十）組別——O6

1. 專案說明
O6提示Internet選項（打開IE——工具——Internet選項）被禁用。管理員可以對Internet選項的使用進行限制，一些惡意程式也會這樣阻撓修復。這裏用到的註冊表項目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

2. 舉例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
這裏禁用了internet選項

3. 一般建議
除非您知道禁用了internet選項（比如網吧使用了一些管理軟體），或者是您自己有意設置的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十一）組別——O7

1. 專案說明
O7提示註冊表編輯器（regedit）被禁用。管理員可以對註冊表編輯器的使用進行限制，一些惡意程式也會這樣阻撓修復。這可以通過對註冊表如下鍵的預設值的修改實現
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

2. 舉例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
這裏禁用了註冊表編輯器。

3. 一般建議
除非您知道禁用了註冊表編輯器（比如公司使用了一些管理軟體），或者是您自己有意設置的（通過改註冊表或者使用一些安全軟體），否則應該用HijackThis修復。

4. 疑難解析
（暫無）

（十二）組別——O8

1. 專案說明
O8項指IE的右鍵功能表中的新增專案。除了IE本身的右鍵功能表之外，一些程式也能向其中添加項目。相關註冊表項目為
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

2. 舉例
O8 - Extra context menu item: 使用網際快車下載 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈結 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
這是網際快車（FlashGet）添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
這是網路螞蟻（NetAnts）添加的。
O8 - Extra context menu item: 使用影音傳送帶下載 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部鏈結 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
這是影音傳送帶（Net Transport）添加的。
O8 - Extra context menu item: 導出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
這是Office添加的。

3. 一般建議
如果不認得新添加的專案，其所在路徑也可疑，可以用HijackThis修復。建議最好先在www.google.com上查一下。暫時未在網上找到O8項的列表。

4. 疑難解析
（暫無）

（十三）組別——O9

1. 專案說明
O9提示額外的IE“工具”功能表專案及工具欄按鈕。前面O3是指工具條，這裏是新增的單個工具欄按鈕和IE“工具”功能表專案。相關註冊表項目為
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key

2. 舉例
O9 - Extra button: QQ (HKLM)
就是IE工具欄上的QQ按鈕。
O9 - Extra button: UC (HKLM)
IE工具欄上的UC按鈕。
O9 - Extra button: FlashGet (HKLM)
IE工具欄上的網際快車（FlashGet）按鈕。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”功能表中的網際快車（FlashGet）項。
O9 - Extra button: NetAnts (HKLM)
IE工具欄上的網路螞蟻（NetAnts）按鈕。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”功能表中的網路螞蟻（NetAnts）項。
O9 - Extra button: Related (HKLM)
IE工具欄上的“顯示相關站點”按鈕。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”功能表中的“顯示相關站點”項。
O9 - Extra button: Messenger (HKLM)
IE工具欄上的Messenger按鈕。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”功能表中的“Windows Messenger”項。

3. 一般建議
如果不認得新添加的專案或按鈕，可以用HijackThis修復。

4. 疑難解析
（暫無）

（十四）組別——O10

1. 專案說明
O10項提示Winsock LSP(Layered Service Provider)“流覽器劫持”。某些間諜軟體會修改Winsock 2的設置，進行LSP“流覽器劫持”，所有與網路交換的資訊都要通過這些間諜軟體，從而使得它們可以監控使用者的資訊。著名的如New.Net插件或WebHancer組件，它們是安裝一些軟體時帶來的你不想要的東西。相關的中文資訊可參考——
http://tech.sina.com.............................../c/2001-11-19/7274.html

2. 舉例
O10 - Hijacked Internet access by New.Net
這是被廣告程式New.Net劫持的症狀（可以通過“控制面板——添加刪除”來卸載）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
這一般出現在已清除間諜軟體但沒有恢復LSP正常狀態的情況下。此時，網路連接可能丟失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
這是被廣告程式newtonknows劫持的症狀，相關資訊可參考
http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建議
一定要注意，由於LSP的特殊性，單單清除間諜軟體而不恢復LSP的正常狀態很可能會導致無法連通網路！如果您使用殺毒軟體清除間諜程式，可能遇到如上面第二個例子的情況，此時可能無法上網。有時HijackThis在O10項報告網路連接破壞，但其實仍舊可以連通，不過無論如何，修復O10項時一定要小心。
遇到O10項需要修復時，建議使用專門工具修復。
（1）LSPFix
http://www.cexx.org/lspfix.htm

（2）Spybot-Search&Destroy（上面提到過，但一定要使用最新版）

這兩個工具都可以修復此問題，請進一步參考相關教程。

4. 疑難解析
某些正常合法程式（特別是一些殺毒軟體）也會在Winsock水準工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
這一項就屬於國產殺毒軟體KV。所以，在O10項遇到“Unknown file in Winsock LSP”一定要先查詢一下，不要一概修復。

（十五）組別——O11

1. 專案說明
O11項提示在IE的高級選項中出現了新專案。相關註冊表項目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

2. 舉例
O11 - Options group: [CommonName] CommonName
這個是已知需要修復的一項。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
這2個是國內論壇上的HijackThis掃描日誌裏最常見的O11項，分屬3721和百度，去留您自己決定。如果想清除，請先嘗試使用“控制面板——添加刪除”來卸載相關程式。

3. 一般建議
遇到CommonName應該清除，遇到其他項目請先在網上查詢一下。

4. 疑難解析
（暫無）

（十六）組別——O12

1. 專案說明
O12列舉IE插件（就是那些用來擴展IE功能、讓它支持更多副檔名類型檔的插件）。相關註冊表項目是
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

2. 舉例
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
這兩個都屬於Acrobat軟體。

3. 一般建議
絕大部分這類插件是安全的。已知僅有一個插件（OnFlow，用以支持檔類型.ofb）是惡意的，需要修復。遇到不認得的專案，建議先在網上查詢一下。

4. 疑難解析
（暫無）

（十七）組別——O13

1. 專案說明
O13提示對流覽器默認的URL首碼的修改。當在流覽器的位址欄輸入一個網址而沒有輸入其首碼（比如http://或ftp://）時，流覽器會試圖使用默認的首碼（默認為http://）。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix當此項被修改，比如改為http://www.AA.BB/?www.rising.com..............................." ... ank>http://www.AA.BB/?那麼當輸入一個網址如www.rising.com...............................時，實際打開的網址變成了——http://www.AA.BB/?www.rising.com...............................

2. 舉例
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建議
著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）來修復，本帖前部已提到過此軟體，並給出了相關小教程的鏈結。
如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。
如果使用CWShredder.exe後仍然無法修復或者根本未發現異常，再使用HijackThis來掃描修復。

4. 疑難解析
對於searchpage.html這個“流覽器劫持”（上面例子中最後4個就是它的現象），請參考
【原創】近期論壇中2個較常被提到的惡意網頁的解決方法(searchpage.html和http://aifind.info/)
http://community.rising.com.............................../Forum/msg_read ... ubjectID=3556320&page=1
簡單說，就是——“對於searchpage.html這個問題，上面提到的CWShredder.exe可以修復（Fix），普通模式不能修復的話，請在安全模式使用CWShredder.exe修復（Fix），修復後清空IE暫存檔案(打開IE流覽器——工具——internet選項——刪除檔，可以把“刪除所有脫機內容”選上)，重新啟動。”

（十八）組別——O14

1. 專案說明
O14提示IERESET.INF檔中的改變，也就是對internet選項中“程式”選項卡內的“重置WEB設置”的修改。該IERESET.INF檔保存著IE的默認設置資訊，如果其內容被惡意程式改變，那麼一旦您使用“重置WEB設置”功能，就會再次啟動那些惡意修改。

2. 舉例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建議
如果這裏列出的URL不是指向你的電腦提供者或Internet服務提供者（ISP），可以使用HijackThis修復。

4. 疑難解析
（暫無）

（十九）組別——O15

1. 專案說明
O15專案提示“受信任的站點”中的不速之客，也就是那些未經您同意自動添加到“受信任的站點”中的網址。“受信任的站點”中的網址享有最低的安全限制，可以使得該網址上的惡意腳本、小程式等更容易躲過用戶自動執行。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 舉例
O15 - Trusted Zone: http://free.aol.com

3. 一般建議
如果不認得該網站，建議使用HijackThis來修復。

4. 疑難解析
（暫無）

（二十）組別——O16

1. 專案說明
O16 - 下載的程式檔，就是Downloaded Program Files目錄下的那些ActiveX物件。這些ActiveX物件來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。

2. 舉例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub ... bs/flash/swflash.cab
用來看flash的東東，相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.............................../ravkill/rsonline.cab
瑞星線上查毒。

3. 一般建議
如果不認得這些ActiveX物件的名字，或者不知道其相關的下載URL，建議使用搜索引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有“***”、“adult”、“dialer”、“casino”、“free_plugin”字樣， 一般應該修復。HijackThis修復O16項時，會刪除相關檔。但對於某些O16項，雖然選擇了讓HijackThis修復，卻沒能夠刪除相關檔。若遇到此情況，建議啟動到安全模式來修復、刪除該檔。

4. 疑難解析
（暫無）

（二十一）組別——O17

1. 專案說明
O17提示“域劫持”，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在流覽器中輸入網址時，如果hosts檔中沒有相關的網址映射，將請求DNS功能變數名稱解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設置，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！

2. 舉例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建議
如果這個DNS伺服器不是您的ISP或您所在的局域網提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。

4. 疑難解析
（暫無）

（二十二）組別——O18

1. 專案說明
O18項列舉現有的協議（protocols）用以發現額外的協定和協定“劫持”。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLSHKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
等等。
通過將您的電腦的默認協定替換為自己的協定，惡意網站可以通過多種方式控制您的電腦、監控您的資訊。
HijackThis會列舉出默認協議以外的額外添加的協議，並列出其在電腦上的保存位置。

2. 舉例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建議
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其他情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。

4. 疑難解析
（暫無）

（二十三）組別——O19

1. 專案說明
O19提示用戶樣式表（stylesheet）“劫持”，樣式表是一個副檔名為.CSS的檔，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外，此項中也可能出現.ini、.bmp文件等。

2. 舉例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建議
已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體資訊可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該“流覽器劫持”也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。
當流覽器流覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。

（二十四）組別——O20

1. 專案說明
O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的“about:blank”劫持就是利用這一項)。
相關註冊表鍵為
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
鍵值為
AppInit_DLLs
此處用來在用戶登錄時載入.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例
O20 - AppInit_DLLs: msconfd.dll

3. 一般建議
僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關檔為APITRAP.DLL。其他大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其他惡意程式。

4. 疑難解析
(1) O20 - AppInit_DLLs: apihookdll.dll
木馬剋星有這個檔，一般不用修復。

(2) 有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用“修改二進位元資料”功能，則可能看到該“隱形”dll檔。這是因為該“隱形”dll檔在檔案名的開頭添加了一個`|`來使自己難被發覺。


（二十五）組別——O21

1. 專案說明
O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的組件會由Explorer載入。
相關註冊表鍵為
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 舉例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建議
HijackThis會自動識別在該處啟動的常見Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程式，需要仔細分析。

4. 疑難解析
（暫無）

（二十六）組別——O22

1. 專案說明
O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。


2. 舉例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建議
已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見
http://community.rising.com.............................../Forum/msg_read ... ubjectID=3926810&page=1


4. 疑難解析
（暫無）

三、致謝
HijackThis的掃描日誌分析起來十分費時費力，在此我感謝熱心為論壇上的朋友們分析HijackThis掃描日誌的各位！辛苦啦！