【原创】HijackThis日志自动分析服务存在的问题汇总 bbs.ikaka.com

天使之剑 - 2005-9-29 21:45:00

朋友们：
　　大家好。对于HijackThis这个反病毒利器，或许诸位都是不陌生的，它产生的日志能够帮助分析计算机可能存在一些问题。
　　鉴于对于初识HijackThis的朋友来说，分析它的日志会有稍许的困难，所以一般推荐新朋友使用HijackThis的日志自动分析服务，服务链接是http://www.hijackthis.de/，只需将记事本中的日志贴到分析的区域，然后按“Analyze”按钮，就能自动地对日志项进行判别：“Nasty”，有害项目；“Unknown”，未知项目；“Safe”，可靠项目。您可以参考分析结果进行修复。
　　虽然如此，这项服务还是有些漏洞的，具体表现为：
　　1、进程丢失：C:\Windows\Explorer.com明显是个病毒进程，但是在自动分析的过程中，该C:\Windows\Explorer.com进程会被分析器忽略，具体表现为进程丢失；
　　2、服务项丢失：日志尾端的服务项会被忽略，情况同1；
　　3、进程判别错误：常见的进程C:\Windows\System32\Conime.exe（输入法编辑器进程）会被自动分析服务判别为“Nasty”，原因是它和一个远程控制木马同名；
　　4、缺失版本情况下的进程判别错误：如果在自动分析时日志缺少版本号，自动分析服务将会把有些正常的，路径为C:\Windows\Rundll32.exe的文件（16进制和32进制混用的操作系统会有这个文件）判别为“Nasty”，而事实上它是一个正常的文件；
　　5、恶意进程判别模棱两可（这个不是严重的问题，只是需要您注意相关信息）：在判别一些与正常进程同名的进程时（即使路径有很明显的问题），也会被误判为“Safe”，但是如果您仔细检查文件信息，自动分析服务会提醒您该文件的正常路径。
　　以上问题会通过电邮反映给相关网站的负责人。
　　综上所述，虽然HijackThis日志自动分析服务方便实用，但是鉴于它存在的一些问题，我们需要进行甄别它所给出的一些分析结果是否正确。另外，如果能在分析时给出版本号，那么其精度也会相应地提高些。

天使之剑祝您在反浏览器劫持论坛取得收获。

qing* - 2005-9-29 22:04:00

不错!顶

魔法学徒 - 2005-9-29 23:33:00

感谢分享，置顶一周

从头爱你 - 2005-9-30 6:34:00

.....学习```哈哈``
慢慢分析`
`

从头爱你 - 2005-9-30 6:35:00

他会告诉你怎么修复

应该删除那项么？

流星雨217 - 2005-9-30 22:53:00

感谢分享

天使之剑 - 2005-9-30 23:27:00

【回复“从头爱你”的帖子】
根据自动分析服务的提示，加之您自己的分析判断，找出需要修复的项目应该是没问题的。

从头爱你 - 2005-10-1 23:36:00

引用:

【天使之剑的贴子】【回复“从头爱你”的帖子】
根据自动分析服务的提示，加之您自己的分析判断，找出需要修复的项目应该是没问题的。
...........................

我也是刚学``
可是看那个分析的还是不懂

郁闷```
````

从头爱你 - 2005-10-2 9:36:00

如果视中文的就好了`
```

淡兰色 - 2005-10-4 11:55:00

楼主，请问以下两项需要删除修复么？

O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

飞跃迷离 - 2005-10-4 12:19:00

O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

修复这项已经没有文件了。

淡兰色 - 2005-10-4 13:00:00

把下面这项修复之后，为什么再次扫描依然出现在日志里？
是木马么？

O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

--------------------------------------------
PS

搞定了，多谢各位大人！！！！！

心言 - 2005-10-4 13:12:00

呵呵，楼主又出经典了。

飞跃迷离 - 2005-10-4 13:14:00

【回复“淡兰色”的帖子】
不是木马，你可以关闭相应的服务。

开始→控制面板→性能和维护→管理工具→服务→查找Remote Packet Capture Protocol v.0→右击→属性→启动类型→禁止→应用→停止→确定。

天使之剑 - 2005-10-4 13:16:00

【回复“淡兰色”的帖子】
首先停用服务Remote Packet Capture Protocol v.0，请参考：
【原创】图说本版的一些基本操作第9、10楼
http://forum.ikaka.com/topic.asp?board=67&artid=6789825。
搜索注册表，删除Remote Packet Capture Protocol v.0服务项。

00507306 - 2005-10-6 8:51:00

要是中文的就好了

病毒观察员 - 2005-10-6 9:55:00

谢谢分享，帮助很大。

梦想成为高手 - 2005-10-6 11:36:00

它说我的 C:\WINDOWS\system32\conime.exe 有问题，我在日志里也看到这一项了，但我在扫描系统出来的结果里却怎么也找不着这项。。。请问我能不能直接去我的电脑里，打到它，把它删了？？

梦想成为高手 - 2005-10-6 11:40:00

还有出来Possibly nasty提示的，该怎么做呢

飞跃迷离 - 2005-10-6 11:42:00

引用:

【梦想成为高手的贴子】它说我的 C:\WINDOWS\system32\conime.exe 有问题，我在日志里也看到这一项了，但我在扫描系统出来的结果里却怎么也找不着这项。。。请问我能不能直接去我的电脑里，打到它，把它删了？？
...........................

应该是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号，不是什么病毒程序。

梦想成为高手 - 2005-10-6 12:05:00

噢，知道了。谢谢哈
这卡卡社区是我见过最棒的上网知识论坛了。
大家加油啊

xinyu9608 - 2005-10-6 19:18:00

偶想学习023组别的知识,从哪能找到啊.

飞跃迷离 - 2005-10-6 19:48:00

【回复“xinyu9608”的帖子】
HijackThis日志细解【附反劫持一般建议】
http://forum.ikaka.com/topic.asp?board=67&artid=3926957

中第5楼

从头爱你 - 2005-10-7 7:13:00

..学习中```

bskvt214 - 2005-10-9 15:22:00

HijackThis_815汉化版扫描日志 V1.99.1
保存于 15:13:35, 日期 2005-10-9
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\program files\ninetowns corp\icsp_sm\icsp.remoteservice.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\FalconStor\WORMLock\wormservice.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\xz\桌面\4842302005817230232\HijackThis1991zww.exe

O3 - IE工具栏增项: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - E:\金山快译\IEBand.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [IgfxTray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [vptray] ; C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - 启动项HKLM\\Run: [IMSCMig] ; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [\\W\EPSON ME 1] ; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P14 "\\W\EPSON ME 1" /O6 "USB002" /M "ME 1"
O4 - 启动项HKLM\\Run: [InCD] ; C:\Program Files\Ahead\InCD\InCD.exe
O4 - 启动项HKLM\\Run: [NeroFilterCheck] ; C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [popo2004] E:\Program Files\Netease\popo2004\Start.exe
O4 - 启动项HKLM\\Run: [\\Xz\EPSON ME 1] ; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P15 "\\Xz\EPSON ME 1" /O6 "USB001" /M "ME 1"
O4 - 启动项HKLM\\Run: [EPSON ME 1] ; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P10 "EPSON ME 1" /O6 "USB001" /M "ME 1"
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] ; E:\MAGICSET\SRRest.exe /autosave
O4 - 启动项HKLM\\Run: [KsgUpdateRun] ; C:\Program Files\Common Files\kingsoft\KSG\client.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] ; "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Lan.lnk = ?
O4 - Startup: 迅雷4.lnk = C:\Program Files\Sandai Technologies Inc\Thunder\Thunder.exe
O4 - Global Startup: EPSON Online Register.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - G:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - G:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - G:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://5151c.wz16300.com/plugin/PowerPlr3200.ocx
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81D17D43-E837-4901-9E3C-02C22BF7CDD3}: NameServer = 61.153.177.199 61.153.177.198
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - NT 服务: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - NT 服务: MSSQLSERVER - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)
O23 - NT 服务: ninetowns_iCSP_sm - 九城口岸软件科技有限公司 - c:\program files\ninetowns corp\icsp_sm\icsp.remoteservice.exe
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - NT 服务: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
O23 - NT 服务: SQLSERVERAGENT - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE" -i MSSQLSERVER (file missing)
O23 - NT 服务: WORMLock Service (WORMService) - Unknown owner - C:\Program Files\FalconStor\WORMLock\wormservice.exe

bskvt214 - 2005-10-9 15:26:00

版主，帮小弟看看，是否中标哪，谢谢＾＿＾

飞跃迷离 - 2005-10-9 15:58:00

【回复“bskvt214”的帖子】
您的问题已经在下面的帖子回复拉；
http://forum.ikaka.com/topic.asp?board=67&artid=7277445

有问题请另开新贴！

天使之剑 - 2005-10-11 13:49:00

修正了本文第4点中的一个谬误，向大家表示抱歉。

萧冰冰 - 2005-10-11 17:48:00

【回复“天使之剑”的帖子】
高手，帮忙指点一下怎样看日志？怎样能更好地分析自己机子上出现的一些问题？看日志最基本的看什么呢？

天使之剑 - 2005-10-11 23:10:00

【回复“萧冰冰”的帖子】

首先感谢萧冰冰朋友的关注。由于我也是个新手，所以可能回答得不完整，下面提供一个链接以供参考：
HijackThis专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm。

瑞星卡卡安全论坛