ExcelHome技术论坛

 找回密码
 免费注册

QQ登录

只需一步,快速开始

快捷登录

搜索
EH技术汇-专业的职场技能充电站 妙哉!函数段子手趣味讲函数 Excel服务器-会Excel,做管理系统 效率神器,一键搞定繁琐工作
HR薪酬管理数字化实战 Excel 2021函数公式学习大典 Excel数据透视表实战秘技 打造核心竞争力的职场宝典
让更多数据处理,一键完成 数据工作者的案头书 免费直播课集锦 ExcelHome出品 - VBA代码宝免费下载
用ChatGPT与VBA一键搞定Excel WPS表格从入门到精通 Excel VBA经典代码实践指南
查看: 5952|回复: 3

HijackThis使用简明教程与日志分析

[复制链接]

TA的精华主题

TA的得分主题

发表于 2005-4-23 14:58 | 显示全部楼层 |阅读模式
[广告] VBA代码宝 - VBA编程加强工具 · VBA代码随查随用  · 内置多项VBA编程加强工具       ★ 免费下载 ★      ★使用手册

部分信息来自--瑞星社区、--动网先锋论坛

软件下载:

qQwEULbs.rar (152.95 KB, 下载次数: 28)

—————————————————————————————————

浏览网页可能遇到到的问题:

*被重定向到恶意网页 *当输入错误的网址时被重定向 *输入字符时IE速度严重减慢 *重启动后IE主页/搜索页被更改 *不请自来的受信任站点 *收藏夹里自动反复添加恶意网站 *在使用Google和Yahoo搜索时出现某些弹出窗口 *IE 选项卡中出现不能更改或被隐藏的项目 *不能打开 IE 选项卡

由于某些原因,这些程序还没有被广大反病毒软件普遍接纳为病毒。但其恼人程度甚至不次于真正的病毒,如何解决……

——————————————————————————————————————

教程部分

本文部分内容节选自:瑞星信息安全咨讯网 浏览器是我们网海冲浪的小舟,我们自己才是冲锋破浪的舵手。我的浏览器你别碰,我的小舟我做主。谁改了我的主页?谁“锲而不舍”地反复弹出广告?到底是谁在我的浏览器上做了手脚?恼人的浏览器劫持,我们要向它说不! 浏览器劫持已经成为十分常见、不容忽视的威胁:主页、搜索页被改,不请自来的受信任站点,收藏夹里自动反复添加恶意网站,浏览正常网站时弹出恶意网站的广告……其恼人程度甚至不次于真正的病毒。更严重的是,有些具有浏览器劫持行为的间谍软件是被我们不小心“放”进来的,这些程序还没有被广大反病毒软件普遍接纳入病毒库。但要对付它们,我们也并不是束手无策,今天,我给大家带来本文,让我们认识一把所向无敌的神兵利器,彻底解决您在反浏览器劫持方面遇到到的烦恼。 一、软件的基本信息   软件名称:HijackThis   最新版本:1.991版   软件大小:198KB   软件语言:汉化版   软件性质:免费软件   运行环境:Win9x/Me/NT/2000/XP/2003      软件主页:http://www.spywareinfo.com/ 二、软件下载:见上面 三、软件扫描编码解释   编号:R0、 R1、 R2、 R3 -- 代表IE起始页/搜索页 URL   例:   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/   R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/   R3 ?Default URLSearchHook is missing   含义:   对于R0、R1、R2中末尾出现的URL地址,如果是您的主页或搜索引擎,那就不用管它。如果不是,请用HijcakThis修复。   对于列出的R3项,我们必须始终修复它们,直到它提及一个您认可的程序为止。   编号:F0、 F1-- 代表自动加载的程序   例:   F0 - system.ini: Shell=Explorer.exe Openme.exe   F1 - win.ini: run=hpfsched   含义:   对于F0中的选项始终是有害的,因此我们必须要修复它们。对于F1项通常是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是否有害。   编号:N1、N2、N3、N4--代表Netscape/Mozilla起始页和搜索页   例:   N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)   N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)   N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)   含义:   通常情况下,Netacape和Mozilla的主页及搜索页很少被绑架。如果这两个URL不是您认可的,请用HilackThis修复它。 编号:O1--代表主机文件重定向   例:   O1 - Hosts: 216.177.73.139 auto.search.msn.com   O1 - Hosts: 216.177.73.139 search.netscape.com   O1 - Hosts: 216.177.73.139 ieautosearch   含义:   这些绑架程序将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始终用HilackThis修复它们,除非您故意将这些行放到主机文件中。   编号:O2--代表浏览器辅助对象   例:   O2 - BH Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL   O2 - BH (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)   O2 - BH MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL   含义:   如果您无法直接识别某个浏览器辅助对象的名称,可以使用TonyK的 BHO 列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在BHO列表中,‘X’代表侦探软件,‘L’代表安全。   编号O3--代表IE工具栏项   例:   O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL   O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)   O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL   含义:   如果您不能直接识别工具栏的名称,可以使用TonyK的 工具栏列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在工具栏列表中,‘X’代表侦探软件,‘L’代表安全。   如果它不在列表中,而且其名称似乎是一个随机的字符串,并且该文件位于一个名为‘Application Data’的文件夹中的某处(比如上述例子中的最后一个),那么它肯定是有害的,应该用HilackThis修复它。   编号:O4--代表从注册表自动加载的程序   例:   O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun   O4 - HKLM\..\Run: [SystemTray] SysTray.Exe   O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"   O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE   含义:   04代表启机时自动加载的程序,你要对系统有一定的了解,以确定它们是无害的还是有害的。   编号:O5--使IE选项在控制面板中不可见   例:   O5 - control.ini: inetcpl.cpl=no   含义:   除非故意隐藏控制面板中的图标,否则用HijackThis修复它。   编号:O6--由管理员限制的对IE选项的访问   例:   O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present   含义:   限制了对IE选项的访问,请用HijackThis修复这一项。 编号:O7--由管理员限制的对注册表编辑器的访问   例:   O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1   含义:   注册表编辑被禁用,始终用HijackThis修复这一项。   编号:O8--IE右键菜单中的额外项   例:   O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html   O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm   O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm   O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm   含义:   如果不能识别IE右键菜单中的项目名称,用HijackThis修复它。   编号:O9--主IE工具栏上的额外按钮,或IE“工具”菜单中的额外项   例:   O9 - Extra button: Messenger (HKLM)   O9 - Extra 'Tools' menuitem: Messenger (HKLM)   O9 - Extra button: AIM (HKLM)   含义:   如果不能识别按钮或菜单项的名称,用hijackThis修复它。   编号:O10--Wincock绑架程序   例:   O10 - Hijacked Internet access by New.Net   O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing   O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll   含义:   最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。   编号:O11--IE“高级选项”窗口中的额外组   例:   O11 - Options group: [CommonName] CommonName   含义:   现在,惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。   编号:O12--IE插件   例:   O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll   O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll   含义:   大部分时间内,这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。 编号:O13--IE DefaultPrefix绑架   例:   O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=   O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?   含义:   这些项始终是有害的。用HijackThis修复它们。   编号:O14--‘重置Web设置’绑架   例:   O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com   含义:   如果该URL不是您计算机的厂商或您的ISP,用HijackThis修复它。   编号:O15--受信任区域中的有害站点   例:   O15 - Trusted Zone: http://free.aol.com   含义:   迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。   编号:016--Active对象(aka 下载的程序文件)   例:   O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab   O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab   含义:   如果您你不能识别对象名称,或它下载文件的URL,用HijackThis修复它。如果名称或URL中包含下列单词,比如‘dialer’、‘casino’、‘free-pludin’等等,那么一定要修复它。   编号:017--Lop.com域绑架   例:   O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net   O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com   O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com   O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com   含义:   如果域不是来自您的ISP或公司的网络,用HijackThis修复它。   编号:O18--额外协议和协议绑架程序   例:   O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll   O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}   O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}   含义:   这里只显示了少数绑架程序。恶名昭著的还有‘cn’(CommonName),‘ayb’(Lop.com)和‘relatedlinks’(Huntbar),您应该用Hijackthis修复这些项。   显示的其他情况要么是未被确认为安全的,要么是被侦探软件绑架的。如果是后一种情况,用HijackThis修复它。   编号:O19--用户样式表绑架   例:   O19 - User style sheet: c:\WINDOWS\Java\my.css   含义:   在浏览器速度变慢并频繁弹出各种消息的情况下,如果这一项显示在日志中,用HijackThis修复它。 以上是HijackThis的汉化版下载及扫描日志的基本定义,如果您是新手朋友,请您继续往下看,下面我将更为详细的为您介绍HijackThis的使用,希望本文能助您走上反浏览器劫持的高手之路。

[此贴子已经被作者于2005-4-23 15:38:41编辑过]

TA的精华主题

TA的得分主题

 楼主| 发表于 2005-4-23 14:58 | 显示全部楼层
[广告] VBA代码宝 - VBA编程加强工具 · VBA代码随查随用  · 内置多项VBA编程加强工具       ★ 免费下载 ★      ★使用手册

hijackthis介绍2

——————————————————————————————————

HijackThis是一款英文免费软件,由荷兰的一名学生merijn开发。

其个人主页上有merijn自己的简介(http://merijn.org/index.html ),并提供其利用业余时间开发的软件供大家下载。HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。

HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心人帮助解决问题。

一、说在前面的提示(请原谅我啰嗦)

提示一:本文目的 本文的目的是帮助您进一步解读HijackThis扫描日志。如果您只是想知道HijackThis的使用方法,下面列出的2篇文章可以满足您的要求: 1. 图解HijackThis的使用说明 http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3095567&page=1 2. HijackThis简明教程(编译+部分原创) http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1 ( 后面这一篇点击、回复较多,现在经常出现“无法显示网页”的情况,如果您坚持要参考它,请多尝试几次。:-) 下面的内容本来准备添加到这个帖子里的,只是实在不好浏览,所以最终决定单开一帖了。)

HijackThis软件下载地址: 原始网站 http://mjc1.com/mirror/hjt/

computercops.biz http://www.computercops.biz/zx/phoenix22/hijackthis.zip

华军软件园 http://www.onlinedown.net/soft/16091.htm

天空软件站 http://www.skycn.com/soft/13334.html

汉化版(感谢Qoo酷儿) http://www.hanzify.org/index.php?Go=Showist&ID=5235

提示二:处理“浏览器绑架” 常见的“浏览器绑架”症状可能有以下一些: *被重定向到恶意网页 *当输入错误的网址时被重定向 *输入字符时IE速度严重减慢 *重启动后IE主页/搜索页被更改 *不请自来的受信任站点 *收藏夹里自动反复添加恶意网站 *在使用Google和Yahoo搜索时出现某些弹出窗口 *IE 选项卡中出现不能更改或被隐藏的项目 *不能打开 IE 选项卡 等等 如果您遇到了“浏览器绑架”,请首先使用最新版杀毒软件在安全模式查杀病毒、木马,其次,提醒您一下,某些广告程序(尤其是一些没有被杀毒软件列入查杀名单的)会在控制面板的“添加删除”中留下卸载项目,在进行下一步之前您不妨找找看。再次,建议您不妨先尝试一些现成的对付“浏览器绑架”、间谍软件、广告程序的免费工具。比如—— 1. Spybot-Search&Destroy 本站相关教程: 【转贴】用Spybot屏蔽广告和间谍程序 http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3862834&page=1

2. Ad-aware 本站相关教程: 【原创】关于反间谍软件Ad-aware的简单介绍 http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3951375&page=1

3. CoolWebSearch Shredder (CWShredder.exe) 本站相关教程: CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机)简介[原创] http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1

如果您遇到的那些恶意网页是英文的,这些软件常常能帮上您的忙。如果这些软件不起作用,您再尝试使用HijackThis扫描并修复。您也可以把HijackThis生成的log日志文件的内容发到论坛(请贴内容而不要直接抓图贴图),方便大家分析。如果您对HijackThis扫描日志中某些项目不清楚,请不要贸然自行修复,不妨使用搜索引擎在互联网上查找一下。如果您决定将HijackThis扫描日志发到论坛上寻求帮助,请在发布HijackThis扫描日志的同时说明您遇到的具体问题。另外,分析HijackThis扫描日志需要一定的时间,所以请稍稍等待一下。

提示三:使用HijackThis前的步骤 请一定将下载得到的HijackThis放到一个单独的文件夹中,如果下载得到的是压缩包,还要把它解压出来。希望您不要在临时目录中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时,它会自动给修改的项目做备份,保留这些备份文件是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。 还有,使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。

提示四:使用HijackThis修复时的步骤 1. 有恶意进程正在运行的,请先终止其进程 (关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。) 2. 使用HijackThis修复 3. 重启动到安全模式,显示隐藏文件和系统文件,删除那些被修复项目相关的文件。(为保险起见,可以先压缩保存。) 4. 重新启动到正常模式,再次运行HijackThis检查一下。

[此贴子已经被作者于2005-4-23 15:06:00编辑过]

TA的精华主题

TA的得分主题

 楼主| 发表于 2005-4-23 15:00 | 显示全部楼层

hijack图例使用说明

————————————————————————————————

请注意,HijackThis只有一个文件,如果您下载的HijackThis是一个ZIP压缩包,需要先把它解压缩然后再运行HijackThis.exe,不要在压缩包内直接运行。

1 这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会有一个提示,点击即可。 2 这是主界面。点击scan(扫描)就开始扫描。 图2 3 扫描结束后,结果会在界面中显示出来,同时scan按钮变成save log(保存日志)。 图3 4 点击save log按钮,将日志文件Hijackthis.log保存到您选定的地方,您也可以给这个文件改名字,但建议不要改动扩展名.log。 图4 5 日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记事本打开。 图5 6 您现在可以将日志中的内容完全复制到您的帖子里,以便其他会员能更好地帮助您。 图6 7 一旦您获得了其他会员的建议,决定使用HijackThis修复某些项目。请重新运行HijackThis来扫描,然后在主界面中相应项目前面的正方形里用鼠标点击打勾,接着按下Fix Checked按钮。会有一个安全提示,点击Yes让它继续即可 图7 8 其它按钮功能简介 图8 9 config菜单——main菜单 这里列出一些默认设置,一般不必改动。 图9 10 config菜单——Ignorelist菜单 这里用来管理那些不希望HijackThis扫描的项目。 图10 11 config菜单——Backups菜单 按照默认设置,HijackThis在修复的同时留下备份文件,用来在将来后悔时取消当初的修复动作(选中备份文件后按下“Restore”)。 图11 12 config菜单——Misc Tools菜单 这里可以生成启动列表和在线更新HijackThis。 图12

[此贴子已经被作者于2005-4-23 15:25:32编辑过]
2rZKbC2F.jpg
nF5hl8WT.jpg
S2IMbgYC.jpg
7cXEadn9.jpg
EBB2hF7v.jpg
wRmzJwZx.jpg
3vkgVuFO.jpg
YeUB3WpB.jpg
fjBk7yRN.jpg
pUqSee2J.jpg
ZO6i7Wqa.jpg

TA的精华主题

TA的得分主题

 楼主| 发表于 2005-4-23 15:01 | 显示全部楼层

日志分析部分

————————————————————————————————

介绍软件扫描后的日志。 一,先看看日志头说什么 Logfile of HijackThis v1.97.7——这里表明这是HijackThis的1.97.7版本生成的log文件 Scan saved at 0:36:25, on 2003-12-24——扫描并存档的时间 Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系统版本 MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微软IE浏览器版本 二、HijackThis日志细解正文 (一)HijackThis日志纵览 R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变 F0,F1,F2,F3 ini文件中的自动加载程序 N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变 O1 Hosts文件重定向 O2 Browser Helper Objects(BHO,浏览器辅助模块) O3 IE浏览器的工具条 O4 自启动项 O5 控制面板中被屏蔽的IE选项 O6 IE选项被管理员禁用 O7 注册表编辑器(regedit)被管理员禁用 O8 IE的右键菜单中的新增项目 O9 额外的IE“工具”菜单项目及工具栏按钮 O10 Winsock LSP“浏览器绑架” O11 IE的高级选项中的新项目 O12 IE插件 O13 对IE默认的URL前缀的修改 O14 对“重置WEB设置”的修改 O15 “受信任的站点”中的不速之客 O16 Downloaded Program Files目录下的那些ActiveX对象 O17 域“劫持” O18 额外的协议和协议“劫持” O19 用户样式表(stylesheet)“劫持” O20 注册表键值AppInit_DLLs处的自启动项 O21 注册表键ShellServiceObjectDelayLoad处的自启动项 O22 注册表键SharedTaskScheduler处的自启动项 (二)组别——R 1. 项目说明 R – 注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变 R0 - 注册表中IE主页/搜索页默认键值的改变 R1 - 新建的注册表值(V),或称为键值,可能导致IE主页/搜索页的改变 R2 - 新建的注册表项(K),或称为键,可能导致IE主页/搜索页的改变 R3 - 在本来应该只有一个键值的地方新建的额外键值,可能导致IE搜索页的改变 R3主要出现在URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下,当我们在IE中输入错误的网址后,浏览器会使用默认的搜索引擎(如http://search.msn.com/、网络实名等)来查找匹配项目。如果HijackThis报告R3项,相关的“浏览器绑架”现象可能是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。 2. 举例 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ (HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同) 上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。 R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL 这是百度搜索 R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL 这是3721网络实名 R3 - Default URLSearchHook is missing 这是报告发现一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。 3. 一般建议 对于R0、R1,如果您认得后面的网址,知道它是安全的,甚至那就是您自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。 对于R2项,据HijackThis的作者说,实际上现在还没有用到。 对于R3,一般总是要选修复,除非它指向一个您认识的程序(比如百度搜索和3721网络实名)。 4. 疑难解析 (1) 偶尔,在这一组的某些项目后面会出现一个特殊的词——(obfuscated),例如下面几个 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) obfuscated,中文大意为“使混乱,使糊涂迷惑,使过于混乱或模糊,使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时,还利用各种方法把自己变得不易理解,以躲避人们对注册表内容的查找辨识(比如直接在注册表特定位置添加十六进制字符键值,电脑认得它,一般人可就不认得了)。 (2) 有些R3项目{ }号后面,会跟上一个下划线( _ ),比如下面几个: R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file) R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 这些{ }后面多一个下划线的R3项目,实际上无法使用HijackThis修复(这是HijackThis本身的一个bug)。如果要修复这样的项目,需要打开注册表编辑器(开始——运行——输入 regedit——按“确定”),找到下面的键 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目,但要注意不要误删以下一项 CFBFAE00-17A6-11D0-99CB-00C04FD64497 这一项是默认的。 请注意,如果是在{ }号前面有一个下划线,这些项目HijackThis可以正常清除。比如下面的: R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file) (3)最近见到不少后面没有内容的R3项。比如 R3 - URLSearchHook: 怀疑这是3721的项目,如果您安装了3721,则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。

————————————————————————

太多了,不贴了,有兴趣的可以下载看看。

pBZhjCME.rar (16.36 KB, 下载次数: 10)
[此贴子已经被作者于2005-4-23 15:32:42编辑过]
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

手机版|关于我们|联系我们|ExcelHome

GMT+8, 2024-11-24 15:53 , Processed in 0.044909 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 1999-2023 Wooffice Inc.

沪公网安备 31011702000001号 沪ICP备11019229号-2

本论坛言论纯属发表者个人意见,任何违反国家相关法律的言论,本站将协助国家相关部门追究发言者责任!     本站特聘法律顾问:李志群律师

快速回复 返回顶部 返回列表