优秀的辅助杀毒软件HijackThis作者:q77 转贴自:winzheng.com 点击数: 7175HijackThis是一个非常优秀的辅助杀毒小 软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!软件作者是荷兰的一位 学生,软件已经从1.0版升级到现在的1.97版。HijackThis对于清除恶意网页代码的确很强大,好用,提供的 Log很全面;对于系统内的木马/蠕虫的查找,也有很好的辅助功能,当然也有它的局限所在。如对于一些多个 线程/比较新的木马可能就无能为力了。[如果自己不会分析,请到http://www.hijackthis.de/index.php将scan后的log文件的内容粘贴在里面分析 一下即可看到一个对你log的分析报告,很不错的!HijackThis它能对系统进行全面扫描,查找出藏在系统各个角落的自启动程序、IE插件和控件、间谍软件、 被恶意网页或程序修改的项目等,同时还提供相应修复功能,而这些扫描结果对于排除系统故障非常有帮助, 因为Windows中常见的启动或关机故障、系统运行速度慢、网页浏览不正常等问题,其实很多源于上述扫描项目 。 那么你想不想也能读懂HijackThis的扫描报告.从而获得有用信息呢?理解哪些内容是无害的, 哪些内容是有害的呢?让你也能像高手那样解决自己或朋友的电脑故障。 HijackThis使用非常简 单,进入软件后先点击“查找”按钮,软件就会找到系统中可能存在的一些漏洞,然后通过软件的提示加上人 为的判断来勾选出可能有问题的选项,最后点击“立即修复”按钮进行修复。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击查看全图';} border=0> [NextPage]HijcakThis日志中的每一行以一个分类名称开始。(要查看这一主题的技术信息,单击主窗口中的“Info” 按钮,并向下滚动窗口,突出显示某一行并单击“More info on this item”按钮即可。)要查看实用信息,单击需要获得帮助的分类名称:R0, R1, R2, R3 – IE起始页/搜索页 URLF0, F1 – 自动加载程序N1, N2, N3, N4 – Netscape/Mozilla 起始页/搜索页 URLO1 – 主机文件重定 向O2 – 浏览器辅助对象O3 – IE工具栏O4 – 从注册表自动加载程序O5 – 使IE选项的图 标在控制面板中不可见O6 –由管理员限制的对IE选项的访问O7 –由管理员限制的对注册表编辑器的 访问O8 – IE右键菜单中的额外项O9 – 主IE按钮工具栏上的额外按钮,或IE“工具”菜单中的额外 项O10 – Winsock绑架程序O11 – IE“高级选项”窗口中的额外组O12 – IE插件O13 – IE DefaultPrefix绑架O14 – “重置Web设置”绑架O15 – 受信任区域中的有害站点O16 – ActiveX对象(aka 下载的程序文件)O17 – Lop.com域绑架程序O18 – 额外协议和协议绑架程序 O19 – 用户样式表绑架R0、R1、R2、R3-IE起始页和搜索页症状:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/R3 – Default URLSearchHook is missing 治疗方案:如果结尾的URL是您的主页或搜索 引擎,那就不用管它。如果您不认可,请检查一下并用HijcakThis修复。对于R3项,始终修复它们, 直到它提及一个您认可的程序为止,比如Copernic。F0、F1-自动加载程序症状: F0 - system.ini: Shell=Explorer.exe Openme.exeF1 - win.ini: run=hpfsched治疗方案:F0项始终是有害的,因此要修复它们。F1项通常 是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是无害的还是 有害的。N1、N2、N3、N4-Netscape/Mozilla起始页和搜索页症状:N1 - Netscape 4: user_pref(browser.startup.homepage, www.google.com); (C:\Program Files\Netscape\Users\default\prefs.js)N2 - Netscape 6: user_pref(browser.startup.homepage, http://www.google.com); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)N2 - Netscape 6: user_pref (browser.search.defaultengine, engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins% 5CSBWeb_02.src); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 治疗方案:通常情况下, Netacape和Mozilla的主页及搜索页是安全的。它们极少被绑架。主页和搜索页的URL不是您认可的,请用 HilackThis修复它。O1-主机文件重定向症状:O1 - Hosts: 216.177.73.139 auto.search.msn.comO1 - Hosts: 216.177.73.139 search.netscape.comO1 - Hosts: 216.177.73.139 ieautosearch 治疗方案:这种绑架将通向正确IP地址的地址重定 向到错误的IP地址。如果IP不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始 终用HilackThis修复它们,除非您故意将这些行放到主机文件中。O2-浏览器辅助对象症状:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLLO2 - BHO: (no name) - {1A214F62-47A7-4CA3- 9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 治疗方案:如果您无法直接识别某个浏览器辅助对象的名称,可 以使用TonyK的 BHO 列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的 。在BHO列表中,‘X’代表侦探软件,‘L’代表安全。O3-IE工具栏症状:O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLLO3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054- AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 治疗方案:如果您不能直接识别工具栏的名称,可以使用 TonyK的 工具栏列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在 工具栏列表中,‘X’代表侦探软件,‘L’代表安全。如果它不在列表中,而且其名称似乎是一个随 机的字符串,并且该文件位于一个名为‘Application Data’的文件夹中的某处(比如上述例子中的最后一个 ),那么它肯定是有害的,应该用HilackThis修复它。O4-从注册表自动加载程序症状 :O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorunO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exeO4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 治疗方案:使用PacMan的 启动列表 来查找这些条目,以确定它们 是无害的还是有害的。O5-使IE选项在控制面板中不可见症状:O5 - control.ini: inetcpl.cpl=no 治疗方案:除非故意隐藏控制面板中的图标,否则 用HijackThis修复它。O6-由管理员限制的对IE选项的访问症状:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 治疗方案 :除非激活了 Spybot S&D 选项“Lock homepage from changes”,否则用HijackThis修复这一 项。O7-由管理员限制的对注册表编辑器的访问症状:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 治疗方案:始终用HijackThis修复这一项。O8-IE右键菜单中的额外项症状: O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.htmlO8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htmO8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm 治疗方案:如果不能识别IE右键菜单中的项目名称, 用HijackThis修复它。O9-主IE工具栏上的额外按钮,或IE“工具”菜单中的额外项症 状:O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AIM (HKLM) 治疗方案:如果不能识别按钮或菜单项的名 称,用hijackThis修复它。O10-Wincock绑架程序症状:O10 - Hijacked Internet access by New.NetO10 - Broken Internet access because of LSP provider 'c:\progra~1 \common~2\toolbar\cnmib.dll' missingO10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 治疗方案:最好使用Cexx.org的LSPFix或Kolla.de 的Spybot S&D修复这些项。O11-IE“高级选项”窗口中的额外组症状: O11 - Options group: [CommonName] CommonName 治疗方案:现在,惟一 将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一 项。O12-IE插件症状:O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 治疗方案:大部分时间内,这些项是安全的。只有 OnFlow在这里添加了一个您不想要的插件(.ofb)。O13-IE DefaultPrefix绑架症状: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 治疗方案:这些项始终是有害的。用HijackThis修复它们。O14-‘重置Web设置’绑架症状: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 治疗方案: 如果该URL不是您计算机的厂商或您的ISP,用HijackThis修复它。O15-受信任区域中的 有害站点症状:O15 - Trusted Zone: http://free.aol.com 治疗方案: 迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX 。始终用HijackThis修复这一项。O16-Active对象(aka 下载的程序文件)症状: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab 治 疗方案:如果您你不能识别对象名称,或它下载文件的URL,用HijackThis修复它。如果名称或URL中 包含下列单词,比如‘dialer’、‘casino’、‘free-pludin’等等,那么一定要修复它。O17 -Lop.com域绑架症状:O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.netO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find- quick.comO17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.comO17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find- quick.com 治疗方案:如果域不是来自您的ISP或公司的网络,用HijackThis修复它 。O18-额外协议和协议绑架程序症状:O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dllO18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 治疗方案:这里只显示了少数绑架程序 。恶名昭著的还有‘cn’(CommonName),‘ayb’(Lop.com)和‘relatedlinks’(Huntbar),您应该用 Hijackthis修复这些项。显示的其他情况要么是未被确认为安全的,要么是被侦探软件绑架的。如果 是后一种情况,用HijackThis修复它。O19-用户样式表绑架症状:O19 - User style sheet: c:\WINDOWS\Java\my.css 治疗方案:在浏览器速度变慢并频繁弹出 各种消息的情况下,如果这一项显示在日志中,用HijackThis修复它。
