如何通过分析 HijackThis 的日志来获得帮助,因为他们不理解哪些内容是无害的,而哪些内容是有害的。
本文是一个关于日志含义的基本指南,并包含一些有助于独立阅读本文的提示。本文决不能代替在SWI(SpywareInfo的缩写,下同)论坛上请求帮助的解答,而只是在某种程度上帮助您自己理解日志的含义。
概述
HijackThis 日志中的每一行以一个分类名称开始。(要查看这一主题的技术信息,单击主窗口中的“Info”按钮,并向下滚动窗口,突出显示某一行并单击“More info on this item”按钮即可。)
要查看实用信息,单击需要获得帮助的分类名称:
· R0, R1, R2, R3 – Internet Explorer 起始页、搜索页 URL
· F0 – system.ini 中自动加载程序
· F1 – win.ini 中自动加载程序
· F2 – 改变的 .ini 文件值,映射到注册表(轻松 译)
· F3 – 创建的 .ini 文件值,映射到注册表(轻松 译)
· N1, N2, N3, N4 – Netscape、Mozilla 起始页、搜索页 URL
· O1 – 主机文件重定向
· O2 – 浏览器辅助对象
· O3 – Internet Explorer 工具栏
· O4 – 从注册表自动加载程序
· O5 – 使 Internet Explorer 选项的图标在控制面板中不可见
· O6 – 由管理员限制的对 Internet Explorer 选项的访问
· O7 – 由管理员限制的对注册表编辑器的访问
· O8 – Internet Explorer 右键菜单中的额外项
· O9 – 主 Internet Explorer 按钮工具栏上的额外按钮,或 Internet Explorer “工具”菜单中的额外项
· O10 – Winsock篡改程序
· O11 – Internet Explorer “高级选项”窗口中的额外组
· O12 – Internet Explorer 插件
· O13 – Internet Explorer DefaultPrefix篡改
· O14 – “重置 Web 设置”篡改
· O15 – 受信任区域中的有害站点
· O16 – ActiveX 对象(aka 下载的程序文件)
· O17 – Lop.com 域篡改程序
· O18 – 额外协议和协议篡改程序
· O19 – 用户样式表篡改
· O20 – 应用程序配置动态连接库自动运行注册值(轻松 译)
· O21 – 公共服务对象延迟加载自动运行注册键(轻松 译)
· O22 – 共享计划任务自动运行注册键(轻松 译)
· O23 – 额外的 NT 服务组件(轻松 译)
R0、R1、R2、R3 – Internet Explorer 起始页和搜索页
症状:
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 – Default URLSearchHook is missing
治疗方案:
如果结尾的URL是您的主页或搜索引擎,那就不用管它。如果您不认可,请检查一下并用 HijackThis 修复。对于 R3 项,始终修复它们,直到它提及一个您认可的程序为止,比如 Copernic。
F0、F1 – 自动加载程序
症状:
F0 – system.ini: Shell=Explorer.exe Openme.exe
F1 – win.ini: run=hpfsched
治疗方案:
F0 项始终是有害的,因此要修复它们。
F1 项通常是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是无害的还是有害的。
N1、N2、N3、N4 – Netscape、Mozilla起始页和搜索页
症状:
N1 – Netscape 4: user_pref(“browser.startup.homepage”, “www.google.com”); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 – Netscape 6: user_pref(“browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 – Netscape 6: user_pref(“browser.search.defaultengine”, “engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
治疗方案:
通常情况下,Netacape和Mozilla的主页及搜索页是安全的。它们极少被篡改。主页和搜索页的URL不是您认可的,请用 HijackThis 修复它。
O1 – 主机文件重定向
症状:
O1 – Hosts: 216.177.73.139 auto.search.msn.com
O1 – Hosts: 216.177.73.139 search.netscape.com
O1 – Hosts: 216.177.73.139 ieautosearch
治疗方案:
这种篡改将通向正确 IP 地址的地址重定向到错误的 IP 地址。如果 IP 不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始终用 HijackThis 修复它们,除非您故意将这些行放到主机文件中。
O2 – 浏览器辅助对象
症状:
O2 – BHO: Yahoo! Companion BHO – {13F537F0-AF09-11d6-9029-0002B31F9E59} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 – BHO: (no name) – {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} – C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 – BHO: MediaLoads Enhanced – {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} – C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
治疗方案:
如果您无法直接识别某个浏览器辅助对象的名称,可以使用 TonyK 的 BHO 列表通过类 ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在BHO列表中,‘X’代表侦探软件,‘L’代表安全。
O3 – Internet Explorer 工具栏
症状:
O3 – Toolbar: &Yahoo! Companion – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 – Toolbar: Popup Eliminator – {86BCA93E-457B-4054-AFB0-E428DA1563E1} – C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 – Toolbar: rzillcgthjx – {5996aaf3-5c08-44a9-ac12-1843fd03df0a} – C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
治疗方案:
如果您不能直接识别工具栏的名称,可以使用 TonyK 的工具栏列表通过类 ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在工具栏列表中,‘X’代表侦探软件,‘L’代表安全。如果它不在列表中,而且其名称似乎是一个随机的字符串,并且该文件位于一个名为‘Application Data’的文件夹中的某处(比如上述例子中的最后一个),那么它肯定是有害的,应该用 HijackThis 修复它。
O4 – 从注册表自动加载程序
症状:
O4 – HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”
O4 – Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
治疗方案:
使用 PacMan 的启动列表来查找这些条目,以确定它们是无害的还是有害的。
O5 – 使 Internet Explorer 选项在控制面板中不可见
症状:
O5 – control.ini: inetcpl.cpl=no
治疗方案:
除非故意隐藏控制面板中的图标,否则用 HijackThis 修复它。
O6 – 由管理员限制的对 Internet Explorer 选项的访问
症状:
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
治疗方案:
除非激活了 Spybot S&D 选项“Lock homepage from changes”,否则用 HijackThis 修复这一项。
O7 – 由管理员限制的对注册表编辑器的访问
症状:
O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
治疗方案:
始终用 HijackThis 修复这一项。
O8 – Internet Explorer 右键菜单中的额外项
症状:
O8 – Extra context menu item: &Google Search – res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 – Extra context menu item: Yahoo! Search – file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 – Extra context menu item: Zoom &In – C:\WINDOWS\WEB\zoomin.htm
O8 – Extra context menu item: Zoom O&ut – C:\WINDOWS\WEB\zoomout.htm
治疗方案:
如果不能识别 Internet Explorer 右键菜单中的项目名称,用 HijackThis 修复它。
O9 – 主 Internet Explorer 工具栏上的额外按钮,或 Internet Explorer “工具”菜单中的额外项
症状:
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Messenger (HKLM)
O9 – Extra button: AIM (HKLM)
治疗方案:
如果不能识别按钮或菜单项的名称,用 HijackThis 修复它。
O10 – Wincock 篡改程序
症状:
O10 – Hijacked Internet access by New.Net
O10 – Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 – Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
治疗方案:
最好使用 Cexx.org 的 LSPFix 或 Kolla.de 的 Spybot S&D 修复这些项。
O11 – Internet Explorer “高级选项”窗口中的额外组
症状:
O11 – Options group: [CommonName] CommonName
治疗方案:
现在,惟一将其自身的选项组添加到 Internet Explorer 高级选项窗口中的篡改程序是CommonName。因此您始终可以用 HijackThis 修复这一项。
O12 – Internet Explorer 插件
症状:
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 – Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
治疗方案:
大部分时间内,这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。
O13 – Internet Explorer DefaultPrefix篡改
症状:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
治疗方案:
这些项始终是有害的。用 HijackThis 修复它们。
O14 -‘重置Web设置’篡改
症状:
O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com
治疗方案:
如果该URL不是您计算机的厂商或您的ISP,用 HijackThis 修复它。
O15 – 受信任区域中的有害站点
症状:
O15 – Trusted Zone: http://free.aol.com
治疗方案:
迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX。始终用 HijackThis 修复这一项。
O16 – Active 对象(aka 下载的程序文件)
症状:
O16 – DPF: Yahoo! Chat – http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
治疗方案:
如果您你不能识别对象名称,或它下载文件的URL,用 HijackThis 修复它。如果名称或URL中包含下列单词,比如‘dialer’、‘casino’、‘free-pludin’等等,那么一定要修复它。
O17 – Lop.com 域篡改
症状:
O17 – HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 – HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 – HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
治疗方案:
如果域不是来自您的ISP或公司的网络,用 HijackThis 修复它。
O18 – 额外协议和协议篡改程序
症状:
O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 – Protocol: mctp – {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 – Protocol hijack: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}
治疗方案:
这里只显示了少数篡改程序。恶名昭著的还有‘cn’?ommonName),‘ayb’(Lop.com)和‘relatedlinks’(Huntbar),您应该用 HijackThis 修复这些项。显示的其他情况要么是未被确认为安全的,要么是被侦探软件篡改的。如果是后一种情况,用 HijackThis 修复它。
O19 – 用户样式表篡改
症状:
O19 – User style sheet: c:\WINDOWS\Java\my.css
治疗方案:
在浏览器速度变慢并频繁弹出各种消息的情况下,如果这一项显示在日志中,用 HijackThis 修复它。
新功能说明(轻松翻译):
F – IniFiles, autoloading entries
F – *.ini 文件,自动载入篡改
F2 – Changed inifile value, mapped to Registry
改变的 .ini 文件值,映射到注册表
F3 – Created inifile value, mapped to Registry
创建的 .ini 文件值,映射到注册表
O – Other, several sections which represent:
O – 其他的,个别节的表现
O20 – AppInit_DLLs autorun Registry value
应用程序配置动态连接库自动运行注册值
O21 – ShellServiceObjectDelayLoad (SSODL) autorun Registry key
公共服务对象延迟加载自动运行注册键
O22 – SharedTaskScheduler autorun Registry key
共享计划任务自动运行注册键
O23 – Enumeration of NT Services
额外的 NT 服务组件
* 版本历史 *
[v1.99.1](轻松 译)
* Added Winlogon Notify keys to O20 listing
增加启动时提示到O20列
* Fixed crashing bug on certain Win2000 and WinXP systems at O23 listing
修理了某些 Windows 2000 和 Windows XP 内列出 O23 时的错误
* Fixed lots and lots of 'unexpected error' bugs
修理了许多“排除错误”的小问题
* Fixed lots of improper functioning bugs (i.e. stuff that didn't work)
修理了许多不合适的函数小问题(比如stuff不工作)
* Added 'Delete NT Service' function in Misc Tools section
增加了个“删除NT服务”功能(在[Config…]的[Misc Tools]节的[Delete an NT Service…])
* Added Protocol Defaults to O15 listing
增加了默认协议到 O15
* Fixed MD5 hashing not working
修理了 MD5 不工作
* Fixed 'ISTSVC' autorun entries with garbage data not being fixed
修理了 ISTSVC 自动运行条目带有垃圾数据时不修复的小问题
* Fixed HijackThis uninstall entry not being updated/created on new versions
修理了 HijackThis 下载条目不在新版本的更新或建立时显示
* Added Uninstall Manager in Misc Tools to manage 'Add/Remove Software' list
增加了个卸载管理器(在[Config…]的[Misc Tools]节的[Open Uninstall Manager…])
* Added option to scan the system at startup, then show results or quit if nothing found
增加了个在启动时扫描系统的选项,之后如果没有任何发现就显示返回或者退出
[v1.99](轻松 译)
* Added O23 (NT Services) in light of newer trojans
增加 O23 (NT 服务),因为新木马使用该技术
* Integrated ADS Spy into Misc Tools section
将 ADS 监视功能整合入[Misc Tools]节
* Added 'Action taken' to info in 'More info on this item'
增加了当点击“更多信息”按钮后,“钩选表示…”的注释
[v1.98](轻松 译)
* Definitive support for Japanese/Chinese/Korean systems
真正支持日、中、韩语亚洲语言操作系统
* Added O20 (AppInit_DLLs) in light of newer trojans
增加了 O20(AppInit_DLLs),因为新木马使用该技术
* Added O21 (ShellServiceObjectDelayLoad, SSODL) in light of newer trojans
增加了 O21(ShellServiceObjectDelayLoad,SSODL),因为新木马使用该技术
* Added O22 (SharedTaskScheduler) in light of newer trojans
增加了 O22(SharedTaskScheduler),因为新木马使用该技术
* Backups of fixed items are now saved in separate folder
备份的修复组件现在将保存于单独的文件夹中
* HijackThis now checks if it was started from a temp folder
HijackThis 现在检查她自己是否是从临时文件夹被打开的
* Added a small process manager (Misc Tools section)
增加了个小的进程管理器(在[Config…]的[Misc Tools]节的[Open process manager])
