解释日志数据以帮助删除间谍软件和浏览器劫持程序
HijackThis是趋势科技的免费工具。 它最初由荷兰的学生Merijn Bellekom开发。 间谍软件清除软件 (如Adaware或Spybot S&D)在检测和删除大多数间谍软件程序方面做得很好,但是即使是这些优秀的反间谍软件公用程序,一些间谍软件和浏览器劫持程序也太阴险。
HijackThis专门用于检测和删除浏览器劫持,或者接管您的Web浏览器的软件,改变您的默认主页和搜索引擎以及其他恶意内容。 与典型的反间谍软件软件不同,HijackThis不使用签名或目标任何特定程序或URL来检测和阻止。 相反,HijackThis会查找恶意软件感染系统并重定向浏览器的技巧和方法。
并非所有显示在HijackThis日志中的东西都是不好的东西,它不应该全部被删除。 事实上,完全相反。 几乎可以保证,您的HijackThis日志中的一些项目将是合法软件,删除这些项目可能会对您的系统造成不利影响或使其完全无法操作。 使用HijackThis就像编辑Windows注册表一样。 这不是火箭科学,但除非你真的知道你在做什么,否则你绝对不应该在没有专家指导的情况下做。
一旦您安装HijackThis并运行它来生成日志文件,就可以在各种论坛和网站上发布或上传日志数据。 知道要查找什么的专家可以帮助您分析日志数据,并告知您要删除哪些项目以及哪些项目要单独保留。
要下载当前版本的HijackThis,您可以访问趋势科技官方网站。
以下是HijackThis日志条目的概述,您可以使用它来跳转到您正在查找的信息:
- R0,R1,R2,R3 - Internet Explorer开始/搜索页面URL
- F0,F1 - 自动加载程序
- N1,N2,N3,N4 - Netscape / Mozilla开始/搜索页面的URL
- O1 - 主机文件重定向
- O2 - 浏览器助手对象
- O3 - Internet Explorer工具栏
- O4 - 从注册表中自动加载程序
- O5 - IE选项图标在控制面板中不可见
- O6 - IE访问权限由管理员限制
- O7 - 受管理员限制的Regedit访问
- O8 - IE右键菜单中的额外项目
- O9 - 主IE按钮工具栏上的额外按钮或IE'工具'菜单中的额外项目
- O10 - Winsock劫持者
- O11 - IE高级选项窗口中的额外组
- O12 - IE插件
- O13 - IE DefaultPrefix劫持
- O14 - '重置Web设置'劫持
- O15 - 信任区域中的垃圾站点
- O16 - ActiveX对象(又名下载的程序文件)
- O17 - Lop.com域名劫持者
- O18 - 额外的协议和协议劫持程序
- O19 - 用户样式表劫持
- O20 - AppInit_DLLs注册表值自动运行
- O21 - ShellServiceObjectDelayLoad注册表项的自动运行
- O22 - SharedTaskScheduler注册表项自动运行
- O23 - Windows NT服务
R0,R1,R2,R3 - IE启动和搜索页面
它看起来像:
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main,起始页= http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main,Default_Page_URL = http://www.google.com/
R2 - (此类型尚未被HijackThis使用)
R3 - 缺省的URLSearchHook缺失
该怎么办:
如果您将最终的网址识别为您的主页或搜索引擎,那就没问题。 如果你不这样做,检查它并让HijackThis修复它。 对于R3项目,除非它提及你认识的程序,比如Copernic,否则一定要修复它们。
F0,F1,F2,F3 - 从INI文件自动加载程序
它看起来像:
F0 - system.ini:Shell = Explorer.exe Openme.exe
F1 - win.ini:run = hpfsched
该怎么办:
F0项目总是很糟糕,所以修复它们。 F1项目通常是非常旧的程序,它们是安全的,所以你应该在文件名中找到更多的信息来判断它的好坏。 Pacman的启动列表可以帮助识别项目。
N1,N2,N3,N4 - Netscape / Mozilla Start& 搜索页面
它看起来像:
N1 - Netscape 4:user_pref“browser.startup.homepage”,“www.google.com”); (C:\ Program Files \ Netscape \ Users \ default \ prefs.js)
N2 - Netscape 6:user_pref(“browser.startup.homepage”,“http://www.google.com”); (C:\ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
N2 - Netscape 6:user_pref(“browser.search.defaultengine”,“engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C:\ Documents and Settings \ User \ Application Data \ Mozilla \ Profiles \ defaulto9t1tfl.slt \ prefs.js)
该怎么办:
通常Netscape和Mozilla主页和搜索页面都是安全的。 他们很少被劫持,只有Lop.com已知这样做。 如果您看到一个您不认为是您的主页或搜索页面的URL,请让HijackThis修复它。
O1 - 主机文件重定向
它看起来像:
O1 - 主机:216.177.73.139 auto.search.msn.com
O1 - 主机:216.177.73.139 search.netscape.com
O1 - 主持人:216.177.73.139 ieautosearch
O1 - 主机文件位于C:\ Windows \ Help \ hosts
该怎么办:
这个劫持将把地址重定向到左边的IP地址。 如果IP不属于该地址,则每次输入地址时都会重定向到错误的站点。 您可以随时让HijackThis修复这些问题,除非您知道将这些行放在主机文件中。
最后一个项目有时会出现在Windows 2000 / XP上,并伴有Coolwebsearch感染。 始终修复此项目,或者让CWShredder自动修复它。
O2 - 浏览器助手对象
它看起来像:
O2 - BHO:Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\ PROGRAM FILES \ YAHOO!\ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO :(无名) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL(文件丢失)
O2 - BHO:MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL
该怎么办:
如果您不直接识别浏览器帮助对象的名称,请使用TonyK的BHO和工具栏列表通过类ID(CLSID,大括号内的数字)查找它,并查看它是好还是坏。 在BHO列表中,'X'表示间谍软件,'L'表示安全。
O3 - IE工具栏
它看起来像:
O3 - 工具栏:&Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ PROGRAM FILES \ YAHOO!\ COMPANION \ YCOMP5_0_2_4.DLL
O3 - 工具栏:弹出消除器 - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL(文件丢失)
O3 - 工具栏:rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL
该怎么办:
如果您不直接识别工具栏的名称,请使用TonyK的BHO和工具栏列表通过类ID(CLSID,大括号内的数字)查找它,并查看它是好还是坏。 在工具栏列表中,'X'表示间谍软件,'L'表示安全。 如果它不在列表中,并且名称看起来像是随机字符串,并且该文件位于“应用程序数据”文件夹中(如上面示例中的最后一个),则可能是Lop.com,并且您肯定应该有HijackThis修补程序它。
O4 - 从注册表或启动组自动加载程序
它看起来像:
O4 - HKLM \ .. \ Run:[ScanRegistry] C:\ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run:[SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run:[ccApp]“C:\ Program Files \ Common Files \ Symantec Shared \ ccApp.exe”
O4 - 启动:Microsoft Office.lnk = C:\ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - 全局启动:winlogon.exe
该怎么办:
使用PacMan的启动列表来查找条目并查看它是好还是坏。
如果该项目显示了一个坐在Startup组中的程序(如上面的最后一个项目),如果该程序仍在内存中,HijackThis无法修复该项目。 使用Windows任务管理器(TASKMGR.EXE)在修复之前关闭该进程。
O5 - IE选项在控制面板中不可见
它看起来像:
O5 - control.ini:inetcpl.cpl = no
该怎么办:
除非您或您的系统管理员有意将控制面板中的图标隐藏起来,否则请让HijackThis修复它。
O6 - IE访问权限由管理员限制
它看起来像:
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \限制存在
该怎么办:
除非您有Spybot S&D选项“锁定主页来自更改”或者您的系统管理员将其置于有效位置,否则HijackThis将修复此问题。
O7 - 受管理员限制的Regedit访问
它看起来像:
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System,DisableRegedit = 1
该怎么办:
总是让HijackThis修复这个问题,除非你的系统管理员已经设置了这个限制。
O8 - IE右键菜单中的额外项目
它看起来像:
O8 - 额外的上下文菜单项:&Google搜索 - res:// C:\ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - 额外的上下文菜单项:Yahoo! 搜索 - file:/// C:\ Program Files \ Yahoo!\ Common / ycsrch.htm
O8 - 额外的上下文菜单项:缩放和在 - C:\ WINDOWS \ WEB \ zoomin.htm
O8 - 额外的上下文菜单项:缩放操作 - C:\ WINDOWS \ WEB \ zoomout.htm
该怎么办:
如果您在IE中的右键菜单中没有识别该项目的名称,那么让HijackThis修复它。
O9 - IE主工具栏上的额外按钮,或者IE工具栏中的额外项目。 菜单
它看起来像:
O9 - 额外按钮:Messenger(HKLM)
O9 - 额外'工具'菜单项:Messenger(HKLM)
O9 - 额外按钮:AIM(HKLM)
该怎么办:
如果您不知道按钮或菜单项的名称,请让HijackThis修复它。
O10 - Winsock劫持者
它看起来像:
O10 - 被New.Net劫持的互联网访问
O10 - 由于LSP提供程序'c:\ progra〜1 \ common〜2 \ toolbar \ cnmib.dll'丢失导致Internet访问断开
O10 - Winsock LSP中的未知文件:c:\ program files \ newton知道\ vmain.dll
该怎么办:
最好使用Cexx.org的LSPFix或Kolla.de的Spybot S&D来修复这些问题。
请注意,对于安全问题,HijackThis将不会修复LSP堆栈中的“未知”文件。
O11 - IE中的额外群组“高级选项” 窗口
它看起来像:
O11 - 选项组:[CommonName] CommonName
该怎么办:
截至目前为止,唯一一个将其自己的选项组添加到IE高级选项窗口的劫持程序是CommonName。 所以你可以随时让HijackThis解决这个问题。
O12 - IE插件
它看起来像:
O12 - .spop的插件:C:\ Program Files \ Internet Explorer \ Plugins \ NPDocBox.dll
O12 - 用于.PDF的插件:C:\ Program Files \ Internet Explorer \ PLUGINS \ nppdf32.dll
该怎么办:
大多数时候这些都是安全的。 只有OnFlow在这里添加一个你不想要的插件(.ofb)。
O13 - IE DefaultPrefix劫持
它看起来像:
O13 - DefaultPrefix:http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW前缀:http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW。 前缀:http://ehttp.cc/?
该怎么办:
这些总是不好的。 让HijackThis解决它们。
O14 - '重设网页设定' 劫持
它看起来像:
O14 - IERESET.INF:START_PAGE_URL = http://www.searchalot.com
该怎么办:
如果该URL不是您的计算机或ISP的提供者,请让HijackThis修复它。
O15 - 信任区域中的垃圾站点
它看起来像:
O15 - 信任区域:http://free.aol.com
O15 - 信任区域:* .coolwebsearch.com
O15 - 信任区:* .msn.com
该怎么办:
大多数时候,只有AOL和Coolwebsearch默默地将网站添加到受信任区域。 如果您没有将列出的域自己添加到受信任的区域,请让HijackThis修复它。
O16 - ActiveX对象(又名下载的程序文件)
它看起来像:
O16 - DPF:Yahoo! 聊天 - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
该怎么办:
如果您不知道对象的名称或从中下载的URL,请让HijackThis修复它。 如果名称或网址中包含“拨号程序”,“赌场”,“free_plugin”等词语,则必须修正它。 Javacool的SpywareBlaster有一个巨大的恶意ActiveX对象数据库,可用于查找CLSID。 (右键单击列表以使用查找功能。)
O17 - Lop.com域名劫持
它看起来像:
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP:Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters:Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony:DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7E}:Domain = W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters:SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP:NameServer = 69.57.146.14,69.57.147.175
该怎么办:
如果该域不是来自您的ISP或公司网络,请让HijackThis修复它。 'SearchList'条目也是一样。 对于' 名称服务器 '( DNS服务器 )条目,谷歌的IP或IP,它将很容易看出它们是好还是坏。
O18 - 额外的协议和协议劫持程序
它看起来像:
O18 - 协议:相关链接 - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ PROGRA〜1 \ COMMON〜1 \ MSIETS \ msielink.dll
O18 - 协议:mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - 协议劫持:http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
该怎么办:
这里只有少数劫机者出现。 已知的坏蛋是'cn'(CommonName),'ayb'(Lop.com)和'relatedlinks'(亨特巴),你应该让HijackThis解决这些问题。 显示的其他内容或者未被安全确认,或者被间谍软件劫持(即CLSID已被更改)。 在最后一种情况下,让HijackThis修复它。
O19 - 用户样式表劫持
它看起来像:
O19 - 用户样式表:c:\ WINDOWS \ Java \ my.css
该怎么办:
在浏览器速度减慢和频繁弹出的情况下,如果HijackThis显示在日志中,请修复此项。 但是,由于只有Coolwebsearch会这样做,所以最好使用CWShredder来修复它。
O20 - AppInit_DLLs注册表值自动运行
它看起来像:
O20 - AppInit_DLLs:msconfd.dll
该怎么办:
位于HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows中的此注册表值在用户登录时将一个DLL加载到内存中,之后它将一直保留在内存中,直到注销。 很少有合法的程序使用它(Norton CleanSweep使用APITRAP.DLL),它通常被特洛伊木马或攻击性浏览器劫持程序使用。
如果从此注册表值加载“隐藏的”DLL(仅在使用“编辑二进制数据”选项时可见),dll名称可能会以管道“|”作为前缀。 使其在日志中可见。
O21 - ShellServiceObjectDelayLoad
它看起来像:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\ WINDOWS \ System \ auhook.dll
该怎么办:
这是一个未公开的自动运行方法,通常由少数Windows系统组件使用。 在Windows启动时,资源管理器会加载HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad中列出的项目。 HijackThis使用了几个非常常见的SSODL项目的白名单,因此无论何时在日志中显示项目,它都是未知的,并且可能是恶意的。 谨慎对待。
O22 - SharedTaskScheduler
它看起来像:
O22 - SharedTaskScheduler :(无名字) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\ windows \ system32 \ mtwirl32.dll
该怎么办:
这是仅适用于Windows NT / 2000 / XP的未公开的自动运行,很少使用。 到目前为止,只有CWS.Smartfinder使用它。 小心处理。
O23 - NT服务
它看起来像:
O23 - 服务:Kerio个人防火墙(PersFw) - Kerio技术 - C:\ Program Files文件\ Kerio \个人防火墙\ persfw.exe
该怎么办:
这是非Microsoft服务的列表。 该列表应该与您在Windows XP的Msconfig实用程序中看到的相同。 一些特洛伊劫机者利用自制服务让其他初创公司自行重新安装。 全名通常很重要,例如'网络安全服务','工作站登录服务'或'远程过程调用助手',但内部名称(括号内)是一串垃圾,如'Ort'。 该行的第二部分是文件末尾的所有者,如文件属性中所示。
请注意,修复O23项目只会停止服务并将其禁用。 该服务需要手动或使用其他工具从注册表中删除。 在HijackThis 1.99.1或更高版本中,可以使用Misc Tools部分中的“删除NT服务”按钮。