hijackthis是一款很方便的分析工具,大部分浏览器被劫持时都可以通过hijackthis进行分析修复
风之咏者曾经写过HijackThis日志细解,对日志中的项目作了详细的分析,我自己也从中受益匪浅!
但是有很多朋友在自己学习分析的过程中,很多项目拿不准是否应该修复,害怕误删除一些正常的文件……
在这里,我对如何分析日志谈一下自己的一些心得体会
HijackThis扫描的是注册表项和硬盘上的特定文件,对于某一个项目是否正常,最主要的一点是我们要看它对应的是正常的程序文件还是恶意木马……
比如:
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
在这一项中,最后面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的————NetTransport是下载工具“影音传送带”,再看文件名:NT IE HELPER 那么我们就可以初步判断这一项应该是影音传送带在IE中的一个帮助模块
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
很明显可以看出这是是腾讯QQ的一个插件
而对于自己不熟悉的文件,可以利用google或百度搜索一下,看看网上提供的搜索结果,以此来判断该文件是否是正常的程序
比如
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
我们通过google搜索SBHOPlin.dll这个文件 从搜索结果中可以得知这是天网防火墙IE插件
下面,我对一些常见的正常项目做一些列举,对需要注意的目录或文件用蓝色标出(一眼能看出来的就不一一写出了)
R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
搜狗直通车
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
搜狗直通车
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
网络实名
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
天网防火墙IE模块
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
百度搜索
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
迅雷的IE模块
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL
中文上网
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
雅虎助手的IE模块
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
腾讯QQ的模块
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google搜索IE模块
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
网际快车IE模块
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT下载BitComet工具条
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
网际快车工具条
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Google工具条
以下列出的04项虽然都是正常、无害的项目,但并不一定是必须的,可以根据自己的需求来决定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
后台进程,用于显示日期和时间信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微软智能输入法2002A(动态)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微软智能输入法2002A(名称)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套装的一部分。用于多语言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微软拼音输入法
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微软IME输入法的组件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
声卡管理优化软件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板内置声卡的驱动
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基于adi芯片的声卡相关进程,会在系统托盘创建图标
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel显示卡相关程序,用于配置和诊断相关设备
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定时查杀程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星实时病毒监控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墙
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天网防火墙
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基实时监控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超级兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超级兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows内核检查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows错误报告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上网助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
网络实名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列显卡的调节工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列显卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 显卡2D模式功能模块
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相关程序,用于同步离线网页
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上网
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
摄像头驱动
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪游戏程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 启动助手
以下列出的04项虽然都是正常、无害的项目,但并不一定是必须的,可以根据自己的需求来决定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
后台进程,用于显示日期和时间信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微软智能输入法2002A(动态)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微软智能输入法2002A(名称)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套装的一部分。用于多语言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微软拼音输入法
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微软IME输入法的组件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
声卡管理优化软件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板内置声卡的驱动
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基于adi芯片的声卡相关进程,会在系统托盘创建图标
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel显示卡相关程序,用于配置和诊断相关设备
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定时查杀程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星实时病毒监控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墙
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天网防火墙
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基实时监控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超级兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超级兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows内核检查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows错误报告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上网助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
网络实名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列显卡的调节工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列显卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 显卡2D模式功能模块
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相关程序,用于同步离线网页
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上网
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
摄像头驱动
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪游戏程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 启动助手
日志项纵览
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载程序
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,浏览器辅助模块)
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器(regedit)被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表(stylesheet)“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项
O23 加载的系统服务
组别——O2
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。
2. 举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。
3. 一般建议
可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.phphttp://www.spywareinfo.com/bhos/http://computercops.biz/CLSID.html建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。
修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。
4. 疑难解析
HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容)
O2 - BHO:
总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。
组别——O3
1. 项目说明
O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB)。注意,这里列出的是工具条,一般是包含多个项目的那种。除了IE自带的一些工具条外,其它软件也会安装一些工具条,这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. 举例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
这是网际快车(FlashGet)的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
这个是诺顿杀毒软件的工具条。
3. 一般建议
同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地址
http://www.sysinfo.org/bholist.phphttp://www.spywareinfo.com/toolbars/http://computercops.biz/CLSID.html建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。对于标记为X的,一般建议修复。
4. 疑难解析
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“Application Data”下,一般是感染了著名的Lop.com,建议修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
关于Lop.com的详细信息及手工修复方法,请参阅
http://www.doxdesk.com/parasite/lop.html YoCheng 2004-12-17 12:03
组别——O4
1. 项目说明
这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。
另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意,其它存放在这两个文件夹的文件也会被报告。
我觉得,其实,“启动”文件夹应该被报告,就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。
2. 举例
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe