解釋日誌數據以幫助刪除間諜軟件和瀏覽器劫持程序
HijackThis是趨勢科技的免費工具。 它最初由荷蘭的學生Merijn Bellekom開發。 間諜軟件清除軟件 (如Adaware或Spybot S&D)在檢測和刪除大多數間諜軟件程序方面做得很好,但是即使是這些優秀的反間諜軟件公用程序,一些間諜軟件和瀏覽器劫持程序也太陰險。
HijackThis專門用於檢測和刪除瀏覽器劫持,或者接管您的Web瀏覽器的軟件,改變您的默認主頁和搜索引擎以及其他惡意內容。 與典型的反間諜軟件軟件不同,HijackThis不使用簽名或目標任何特定程序或URL來檢測和阻止。 相反,HijackThis會查找惡意軟件感染系統並重定向瀏覽器的技巧和方法。
並非所有顯示在HijackThis日誌中的東西都是不好的東西,它不應該全部被刪除。 事實上,完全相反。 幾乎可以保證,您的HijackThis日誌中的一些項目將是合法軟件,刪除這些項目可能會對您的系統造成不利影響或使其完全無法操作。 使用HijackThis就像編輯Windows註冊表一樣。 這不是火箭科學,但除非你真的知道你在做什麼,否則你絕對不應該在沒有專家指導的情況下做。
一旦您安裝HijackThis並運行它來生成日誌文件,就可以在各種論壇和網站上發布或上傳日誌數據。 知道要查找什麼的專家可以幫助您分析日誌數據,並告知您要刪除哪些項目以及哪些項目要單獨保留。
要下載當前版本的HijackThis,您可以訪問趨勢科技官方網站。
以下是HijackThis日誌條目的概述,您可以使用它來跳轉到您正在查找的信息:
- R0,R1,R2,R3 - Internet Explorer開始/搜索頁面URL
- F0,F1 - 自動加載程序
- N1,N2,N3,N4 - Netscape / Mozilla開始/搜索頁面的URL
- O1 - 主機文件重定向
- O2 - 瀏覽器助手對象
- O3 - Internet Explorer工具欄
- O4 - 從註冊表中自動加載程序
- O5 - IE選項圖標在控制面板中不可見
- O6 - IE訪問權限由管理員限制
- O7 - 受管理員限制的Regedit訪問
- O8 - IE右鍵菜單中的額外項目
- O9 - 主IE按鈕工具欄上的額外按鈕或IE'工具'菜單中的額外項目
- O10 - Winsock劫持者
- O11 - IE高級選項窗口中的額外組
- O12 - IE插件
- O13 - IE DefaultPrefix劫持
- O14 - '重置Web設置'劫持
- O15 - 信任區域中的垃圾站點
- O16 - ActiveX對象(又名下載的程序文件)
- O17 - Lop.com域名劫持者
- O18 - 額外的協議和協議劫持程序
- O19 - 用戶樣式表劫持
- O20 - AppInit_DLLs註冊表值自動運行
- O21 - ShellServiceObjectDelayLoad註冊表項的自動運行
- O22 - SharedTaskScheduler註冊表項自動運行
- O23 - Windows NT服務
R0,R1,R2,R3 - IE啟動和搜索頁面
它看起來像:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main,起始頁= http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main,Default_Page_URL = http://www.google.com/
R2 - (此類型尚未被HijackThis使用)
R3 - 缺省的URLSearchHook缺失
該怎麼辦:
如果您將最終的網址識別為您的主頁或搜索引擎,那就沒問題。 如果你不這樣做,檢查它並讓HijackThis修復它。 對於R3項目,除非它提及你認識的程序,比如Copernic,否則一定要修復它們。
F0,F1,F2,F3 - 從INI文件自動加載程序
它看起來像:
F0 - system.ini:Shell = Explorer.exe Openme.exe
F1 - win.ini:run = hpfsched
該怎麼辦:
F0項目總是很糟糕,所以修復它們。 F1項目通常是非常舊的程序,它們是安全的,所以你應該在文件名中找到更多的信息來判斷它的好壞。 Pacman的啟動列表可以幫助識別項目。
N1,N2,N3,N4 - Netscape / Mozilla Start& 搜索頁面
它看起來像:
N1 - Netscape 4:user_pref“browser.startup.homepage”,“www.google.com”); (C:\ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6:user_pref(“browser.startup.homepage”,“http://www.google.com”); (C:\ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6:user_pref(“browser.search.defaultengine”,“engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C:\ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
該怎麼辦:
通常Netscape和Mozilla主頁和搜索頁面都是安全的。 他們很少被劫持,只有Lop.com已知這樣做。 如果您看到一個您不認為是您的主頁或搜索頁面的URL,請讓HijackThis修復它。
O1 - 主機文件重定向
它看起來像:
O1 - 主機:216.177.73.139 auto.search.msn.com
O1 - 主機:216.177.73.139 search.netscape.com
O1 - 主持人:216.177.73.139 ieautosearch
O1 - 主機文件位於C:\ Windows \ Help \ hosts
該怎麼辦:
這個劫持將把地址重定向到左邊的IP地址。 如果IP不屬於該地址,則每次輸入地址時都會重定向到錯誤的站點。 您可以隨時讓HijackThis修復這些問題,除非您知道將這些行放在主機文件中。
最後一個項目有時會出現在Windows 2000 / XP上,並伴有Coolwebsearch感染。 始終修復此項目,或者讓CWShredder自動修復它。
O2 - 瀏覽器助手對象
它看起來像:
O2 - BHO:Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\ PROGRAM FILES \ YAHOO!\ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO :(無名) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL(文件丟失)
O2 - BHO:MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
該怎麼辦:
如果您不直接識別瀏覽器幫助對象的名稱,請使用TonyK的BHO和工具欄列表通過類ID(CLSID,大括號內的數字)查找它,並查看它是好還是壞。 在BHO列表中,'X'表示間諜軟件,'L'表示安全。
O3 - IE工具欄
它看起來像:
O3 - 工具欄:&Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ PROGRAM FILES \ YAHOO!\ COMPANION \ YCOMP5_0_2_4.DLL
O3 - 工具欄:彈出消除器 - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL(文件丟失)
O3 - 工具欄:rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
該怎麼辦:
如果您不直接識別工具欄的名稱,請使用TonyK的BHO和工具欄列表通過類ID(CLSID,大括號內的數字)查找它,並查看它是好還是壞。 在工具欄列表中,'X'表示間諜軟件,'L'表示安全。 如果它不在列表中,並且名稱看起來像是隨機字符串,並且該文件位於“應用程序數據”文件夾中(如上面示例中的最後一個),則可能是Lop.com,並且您肯定應該有HijackThis修補程序它。
O4 - 從註冊表或啟動組自動加載程序
它看起來像:
O4 - HKLM \ .. \ Run:[ScanRegistry] C:\ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run:[SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run:[ccApp]“C:\ Program Files \ Common Files \ Symantec Shared \ ccApp.exe”
O4 - 啟動:Microsoft Office.lnk = C:\ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - 全局啟動:winlogon.exe
該怎麼辦:
使用PacMan的啟動列表來查找條目並查看它是好還是壞。
如果該項目顯示了一個坐在Startup組中的程序(如上面的最後一個項目),如果該程序仍在內存中,HijackThis無法修復該項目。 使用Windows任務管理器(TASKMGR.EXE)在修復之前關閉該進程。
O5 - IE選項在控制面板中不可見
它看起來像:
O5 - control.ini:inetcpl.cpl = no
該怎麼辦:
除非您或您的系統管理員有意將控制面板中的圖標隱藏起來,否則請讓HijackThis修復它。
O6 - IE訪問權限由管理員限制
它看起來像:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \限制存在
該怎麼辦:
除非您有Spybot S&D選項“鎖定主頁來自更改”或者您的系統管理員將其置於有效位置,否則HijackThis將修復此問題。
O7 - 受管理員限制的Regedit訪問
它看起來像:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System,DisableRegedit = 1
該怎麼辦:
總是讓HijackThis修復這個問題,除非你的系統管理員已經設置了這個限制。
O8 - IE右鍵菜單中的額外項目
它看起來像:
O8 - 額外的上下文菜單項:&Google搜索 - res:// C:\ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - 額外的上下文菜單項:Yahoo! 搜索 - file:/// C:\ Program Files \ Yahoo!\ Common / ycsrch.htm
O8 - 額外的上下文菜單項:縮放和在 - C:\ WINDOWS \ WEB \ zoomin.htm
O8 - 額外的上下文菜單項:縮放操作 - C:\ WINDOWS \ WEB \ zoomout.htm
該怎麼辦:
如果您在IE中的右鍵菜單中沒有識別該項目的名稱,那麼讓HijackThis修復它。
O9 - IE主工具欄上的額外按鈕,或者IE工具欄中的額外項目。 菜單
它看起來像:
O9 - 額外按鈕:Messenger(HKLM)
O9 - 額外'工具'菜單項:Messenger(HKLM)
O9 - 額外按鈕:AIM(HKLM)
該怎麼辦:
如果您不知道按鈕或菜單項的名稱,請讓HijackThis修復它。
O10 - Winsock劫持者
它看起來像:
O10 - 被New.Net劫持的互聯網訪問
O10 - 由於LSP提供程序'c:\ progra〜1 \ common〜2 \ toolbar \ cnmib.dll'丟失導致Internet訪問斷開
O10 - Winsock LSP中的未知文件:c:\ program files \ newton知道\ vmain.dll
該怎麼辦:
最好使用Cexx.org的LSPFix或Kolla.de的Spybot S&D來修復這些問題。
請注意,對於安全問題,HijackThis將不會修復LSP堆棧中的“未知”文件。
O11 - IE中的額外群組“高級選項” 窗口
它看起來像:
O11 - 選項組:[CommonName] CommonName
該怎麼辦:
截至目前為止,唯一一個將其自己的選項組添加到IE高級選項窗口的劫持程序是CommonName。 所以你可以隨時讓HijackThis解決這個問題。
O12 - IE插件
它看起來像:
O12 - .spop的插件:C:\ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - 用於.PDF的插件:C:\ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
該怎麼辦:
大多數時候這些都是安全的。 只有OnFlow在這裡添加一個你不想要的插件(.ofb)。
O13 - IE DefaultPrefix劫持
它看起來像:
O13 - DefaultPrefix:http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW前綴:http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW。 前綴:http://ehttp.cc/?
該怎麼辦:
這些總是不好的。 讓HijackThis解決它們。
O14 - '重設網頁設定' 劫持
它看起來像:
O14 - IERESET.INF:START_PAGE_URL = http://www.searchalot.com
該怎麼辦:
如果該URL不是您的計算機或ISP的提供者,請讓HijackThis修復它。
O15 - 信任區域中的垃圾站點
它看起來像:
O15 - 信任區域:http://free.aol.com
O15 - 信任區域:* .coolwebsearch.com
O15 - 信任區:* .msn.com
該怎麼辦:
大多數時候,只有AOL和Coolwebsearch默默地將網站添加到受信任區域。 如果您沒有將列出的域自己添加到受信任的區域,請讓HijackThis修復它。
O16 - ActiveX對象(又名下載的程序文件)
它看起來像:
O16 - DPF:Yahoo! 聊天 - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
該怎麼辦:
如果您不知道對象的名稱或從中下載的URL,請讓HijackThis修復它。 如果名稱或網址中包含“撥號程序”,“賭場”,“free_plugin”等詞語,則必須修正它。 Javacool的SpywareBlaster有一個巨大的惡意ActiveX對像數據庫,可用於查找CLSID。 (右鍵單擊列表以使用查找功能。)
O17 - Lop.com域名劫持
它看起來像:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP:Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters:Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony:DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}:Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters:SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP:NameServer = 69.57.146.14,69.57.147.175
該怎麼辦:
如果該域不是來自您的ISP或公司網絡,請讓HijackThis修復它。 'SearchList'條目也是一樣。 對於' 名稱服務器 '( DNS服務器 )條目,谷歌的IP或IP,它將很容易看出它們是好還是壞。
O18 - 額外的協議和協議劫持程序
它看起來像:
O18 - 協議:相關鏈接 - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ PROGRA〜1 \ COMMON〜1 \ MSIETS \ msielink.dll
O18 - 協議:mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - 協議劫持:http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
該怎麼辦:
這裡只有少數劫機者出現。 已知的壞蛋是'cn'(CommonName),'ayb'(Lop.com)和'relatedlinks'(亨特巴),你應該讓HijackThis解決這些問題。 顯示的其他內容或者未被安全確認,或者被間諜軟件劫持(即CLSID已被更改)。 在最後一種情況下,讓HijackThis修復它。
O19 - 用戶樣式表劫持
它看起來像:
O19 - 用戶樣式表:c:\ WINDOWS \ Java \ my.css
該怎麼辦:
在瀏覽器速度減慢和頻繁彈出的情況下,如果HijackThis顯示在日誌中,請修復此項。 但是,由於只有Coolwebsearch會這樣做,所以最好使用CWShredder來修復它。
O20 - AppInit_DLLs註冊表值自動運行
它看起來像:
O20 - AppInit_DLLs:msconfd.dll
該怎麼辦:
位於HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows中的此註冊表值在用戶登錄時將一個DLL加載到內存中,之後它將一直保留在內存中,直到註銷。 很少有合法的程序使用它(Norton CleanSweep使用APITRAP.DLL),它通常被特洛伊木馬或攻擊性瀏覽器劫持程序使用。
如果從此註冊表值加載“隱藏的”DLL(僅在使用“編輯二進制數據”選項時可見),dll名稱可能會以管道“|”作為前綴。 使其在日誌中可見。
O21 - ShellServiceObjectDelayLoad
它看起來像:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\ WINDOWS \ System \ auhook.dll
該怎麼辦:
這是一個未公開的自動運行方法,通常由少數Windows系統組件使用。 在Windows啟動時,資源管理器會加載HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad中列出的項目。 HijackThis使用了幾個非常常見的SSODL項目的白名單,因此無論何時在日誌中顯示項目,它都是未知的,並且可能是惡意的。 謹慎對待。
O22 - SharedTaskScheduler
它看起來像:
O22 - SharedTaskScheduler :(無名字) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\ windows \ system32 \ mtwirl32.dll
該怎麼辦:
這是僅適用於Windows NT / 2000 / XP的未公開的自動運行,很少使用。 到目前為止,只有CWS.Smartfinder使用它。 小心處理。
O23 - NT服務
它看起來像:
O23 - 服務:Kerio個人防火牆(PersFw) - Kerio技術 - C:\ Program Files文件\ Kerio \個人防火牆\ persfw.exe
該怎麼辦:
這是非Microsoft服務的列表。 該列表應該與您在Windows XP的Msconfig實用程序中看到的相同。 一些特洛伊劫機者利用自製服務讓其他初創公司自行重新安裝。 全名通常很重要,例如'網絡安全服務','工作站登錄服務'或'遠程過程調用助手',但內部名稱(括號內)是一串垃圾,如'Ort'。 該行的第二部分是文件末尾的所有者,如文件屬性中所示。
請注意,修復O23項目只會停止服務並將其禁用。 該服務需要手動或使用其他工具從註冊表中刪除。 在HijackThis 1.99.1或更高版本中,可以使用Misc Tools部分中的“刪除NT服務”按鈕。