瑞星卡卡安全论坛

我本来不想写的，因为前面其实已经有无数的前辈一次又一次的重复这个内容了，而我的原则是别人已经有的，可以让大家分享的，我为什么不去呢？
你可以看这个http://www.baidu.com/s?ct=0&ie=gb2312&bs=hJ+%BD%CC%B3%CC&sr=&z=&cl=3&f=8&wd=hijackthis+%BD%CC%B3%CC（在baidu里面搜索HijackThis教程，是一堆的），可是还是有人不知道，我也只好再炒冷饭，再说。但愿你可以学到点东西。
声明，我这里只是一个方法！

首先拿出HJ（小鸟问，什么是HJ？大家别笑，我在卡卡时间不多，这个问题倒是见了不少，H J是HijackThis,的简称，是一个小工具！下载请看http://forum.ikaka.com/topic.asp?board=28&artid=6979213，简介用法请看其帮助，或者http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm推荐认真学习）

下面以告诉大家怎样查看HJ日志，比如我找个日志来!

HijackThis_815汉化版扫描日志 V1.99.1 (这个可以看出来是用HijackThis1.99.1扫描的)
保存于 23:48:58, 日期 2006-2-11        （时间日期）
操作系统： Windows XP SP2 (WinNT 5.01.2600)  （你的系统）
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)  （你的浏览器）这里的都是之前的一些基本信息

当前运行的进程：
C:\WINDOWS\System32\smss.exe

这个是什么呢？小鸟不知道了，好！看着！打开新的浏览器窗口，键入www.baidu.com（切，这个啊！有人要说，对，就是这个，然后搜索smss.exe，看看出来了什么？呵呵，知道了是什么东西了吧！网上好心人多啊，都收集了这些东西供给我们这些小鸟用啊，哈哈哈）但是在这里我要提醒下，C:\WINDOWS\System32\smss.exe是正常的但是C:\WINDOWS\\smss.exe就是病毒了，所以要注意文件的路径，这个目前只能你自己摸索了，看多点就知道了！谁对此有什么好建议，欢迎指出！

C:\WINDOWS\system32\winlogon.exe 依上方法
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Program Files\浩方对战平台\GameClient.exe
C:\Documents and Settings\biwei\桌面\HijackThis1991zww.exe


好，进程分析完毕！大家除了搜索外，还可以看下其前面的文件夹名字有助于你的分析！比如E:\Program Files\浩方对战平台就知道是浩方的东西了！

注：下面的你不一定都有。
R3项选择修复


O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时，浏览器会先检查hosts文件中是否存在该网址的映射，如果有，则直接连接到相应IP地址，不再请求DNS域名解析。这个hosts文件在系统中的通常位置为C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）或  C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）注意，没有扩展名。请用记事本程序打开。
修改HOSTS文件也是浏览器劫持的一种方法。一般除非你自己特意为屏蔽一些网站，推荐修复！


O2-BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll

02项是什么？不知道哎！好，跟着来，再次打开HJ，选择什么都不干，仅进入主界面，然后点击信息，看到了什么？对了！以后用软件都要注意学习里面的帮助哦。现在知道了02 是IE浏览器辅助对象(BHO模块) BHO，即Browser Helper Objects，更具体说呢，它是一些扩充浏览器功能的小插件。这里面鱼龙混杂，杀毒软件也可能出现在这里，同时也是一些间谍软件出没的地方。怎样分析呢？看路径！比如此例，很容易看出来是迅雷的BHO，用于监视你IE的点击，当你需要下载时直接拦截！好，放行！不清楚的话可以祭出法宝，呵呵，我们相视一笑，搜索，这里推荐个专门的http://www.sysinfo.org/bholist.php，输入CLSID（就是“{ }”之间的数字 ）来查找相关项。在以查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。当然你自己可以再分析下！这个毕竟只是一个工具！别人不喜欢的说不定对你很有作用！也可以在baidu里面搜。

O2 - BHO:(no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)        看到这个no name和no file我的建议是使用HJ修复！


O3 - IE工具栏增项: 金山毒霸安全助手 - {EF72500A-C234-46C4-BF0A-9AA6913DDF34} - C:\Program Files\KOS\KOSIEBar.dll

这个是什么呢？它叫IE浏览器的工具条（toolbar）！就是一般你装的卡卡助手类的，象此位仁兄是金山的！另外还有很多叉叉助手，我就不举例了！其在注册表里面的地方是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar！当然编辑这里有很多方法，超级兔子，卡卡等外界软件或者直接进入注册表编辑。


O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

（这个又是什么呢？是你的开机自启动项，这也是病毒喜欢呆的地方之一。具体位置是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\run这里顺便说下，在这里以run开头的注册表项都有可能被病毒占领，所以我们要挖地三尺，小心查询，如果不会的话，不用我说了吧！如果再不会的话，欢迎你贴上日志让大家一起分析）
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE

O4 - Startup: cdnie.lnk = C:\Program Files\cnnic\cdn\cdnie.exe

此项具体到 C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动，请自行分析文件名，熟悉的知道是安全的保留，反之修复。

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

此项具体到C:\Documents and Settings\All Users\「开始」菜单\程序\启动，也请自行分析。


O5项与控制面板中被屏蔽的一些IE选项相关，一些恶意程序会隐藏控制面板中关于IE的一些选项
O6提示Internet选项（打开IE——工具——Internet选项）被禁用。
O7提示注册表编辑器（regedit）被禁用。管理员可以对注册表编辑器的使用进行限制，一些恶意程序也会这样阻挠修复
这个我就懒了点，没找例子。大家见到直接修复即可，反正有好处的。


O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm 

这个你看文字就应该知道了吧，就是你在浏览器里面右击鼠标时出来的，除了IE本身的右键菜单之外，一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，如果不认得新添加的项目，其所在路径也可疑，可以用HijackThis修复。不知道的建议先搜索！（提及好多遍了，再不知道我真没办法了）


O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\Program Files\浩方对战平台\GameClient.exe

此项提示额外的IE“工具”菜单项目及工具栏按钮。这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为HKLM\SOFTWARE\Microsoft\Internet Explorer\Ext
ensions也可以从IE的自定义工具栏中删除，然后再进行修复

O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll

最近在卡卡里面看到不少被“很棒”搞到的！这个就是一例。
它是Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。遇到O10项需要修复时，建议使用专门工具修复。例如LSPFix，天天泡泡斑竹的个人空间http://free5.ys168.com/?aqfrs有下载，还有个很棒小秘书的专用卸载工具，有兴趣的试试！


O11 - Options group: [!CNS] 网络实名
此项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions，自己先选择下，不喜欢的就修复，喜欢就留下！个人喜好了


O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

此项列举IE插件（就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件）。相关注册表项目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
可以上例看出是Acrobat软件的IE插件这个又要你自己分析了，当然还有baidu和google帮助你，嘿嘿！


013项，是对IE默认的URL前缀的修改。出现就修复。这个我见的不多，也不是很懂，但是出现就修复是肯定对的。
O14项，是IERESET.INF文件中的改变，这个我也没怎么见过，但是你如果有了，肯定是观察其URL地址，熟悉的就保留，不知道的就修复。

O15 - Trusted Zone: http://free.aol.com

此乃受信任的站点”中的不速之客，也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制，可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains，自己知道安全的就可以保留，不清楚的就修复，我的建议是见到就修复！


O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
此乃下载的程序文件，就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络，存放在Downloaded Program Files目录下，其CLSID记录在注册表中。上例容易看出此为小盖的东西！好，保留！如果不认得这些ActiveX对象的名字，或者不知道其相关的下载URL，再次建议搜索引一下，然后决定是否使用HijackThis来修复该项。但对于某些O16项，虽然选择了让HijackThis修复，却没能够删除相关文件。若遇到此情况，可以启动到安全模式来修复、删除该文件。

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (趋势科技在线扫毒程序) - http://www.trendmicro.com.cn/housecall/xscan53.cab此乃趋势在线杀毒（顺便作个广告，趋势在线杀可是免费的，有兴趣的去试试！呵呵）


017-HKLM\System\CCS\Services\Tcpip\..\{F5A6119F-F8C6-4206-831E-0D51B186CD8C}: NameServer = 219.150.150.150 219.150.32.132 

此项是“域劫持”，这是一些与DNS解析相关的改变。当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您就不得去哪儿咯！具体可以分析后面的IP地址是否为你知道的！

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

此项是列举了现有的协议（protocols）用以发现额外的协议和协议“劫持”。通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。
HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。
提示：用HJ连续扫描两次的话，会多出很多018来，你关闭后再扫描就没有了，算是一个小BUG吧！这项需要进一步查询资料，分析。第一次就有的话，一般就修复吧！

O19 - User stylesheet: c:\WINDOWS\Java\my.css

此项是提示用户样式表（stylesheet）“劫持”，样式表是一个扩展名为.CSS的文件，它是关于网页格式、颜色、字体、外观等的一个模板。此外，此项中也可能出现.ini、.bmp文件等。
如果您根本没使用过样式表而HijackThis又报告此项，就用HijackThis修复咯。


20 - 注册表键值AppInit_DLLs处的自启动项               
21 - 注册表键 ShellServiceObjectDelayLoad (SSODL)处的自启动项         
22 - 注册表键 SharedTaskScheduler 处的自启动
这是在HJ里面的说明，大家知道方法吗？老方法了，对于其键值，熟悉的，知道安全就保留，反之就修复或者进入注册表了。


O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
这个是系统的服务项，也是灰鸽子的老家，具体可以开始输入services.msc或者开始运行regedit，进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项，在那个里面编辑。此例看出来了吧，瑞星的。

基本上的HJ分析就到这里，其实还有一个简单的，当然前提是你要有安全意识，可以在你安全时，确定无病毒时，保存一个日志，然后以后就只要对比两者的不同就很容易的发现悄悄进去的病毒木马流氓软件的了！或者添加到忽略表里面！

好习惯

1，保留备份文件，一旦修复错了，可以利用这些备份文件恢复原先的状态。普通文件可以用winrar压缩到一目录，注册表请选择文件导出。当以后一段时间系统没有异常时就可以删除这些文件释放磁盘空间。
2，进入一个论坛，先看看它的精华，就会受益非浅的。还可以搜索强人的帖子，谁是强人，不用说了吧。
3，记住两个主要的搜索网站:www.baidu.com和www.google.com，记住这种方法！干脆设成主页吧，呵呵！

清除病毒别人可能会让你做的一些工作！其实看多了，也知道了！我这里大概说下！
1，进入注册表：开始，运行，输入regedit！这样就打开了注册表编辑器！
注意一下HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，其实就是开头的字母，是一种简写！其余请类推！

2，显示隐藏文件和系统保护文件：打开资源管理器（什么东东，不知道？那么请双击“我的电脑”，你不会就是那个传说中的笑话主人公吧？呵呵！相信你不是的）然后在最上方的蓝色小条下面的白色小条（即工具栏）里面单击工具，然后选择文件夹选项，再选择查看，这下你肯定看到了吧！想显示隐藏文件和系统保护文件的话就把隐藏系统保护文件前面的小钩去掉，再那个选择显示隐藏文件就是了！中间会有提示你，不用理它！

3，进入安全模式：在开机时按F8（不停的按，出现LOGO后就按一下，按着不放，这三种方法大家各有个的理，我的建议是你随便选一种，只要能进去就行了！小鸟掌握不住的话，就在开机时不停的按吧！），还有就是开机时按shift直接就进去了！在安全模式下杀毒比较干净！

4，带毒文件在\Temporary Internet Files目录下
请打开IE，选择IE工具栏中的"工具"\"Internet选项"，选择"删除文件"删除即可，并勾选"删除所有脱机内容"。

5，带毒文件在\_Restore目录下，或者System Volume Information目录下
这是系统还原存放还原文件的目录。（熟悉英文的话知道吧！）对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。XP关闭系统还原的方法：右键单击“我的电脑”，选“属性”——“系统还原”——在“在所有驱动器上关闭系统还原”前面打勾——按“确定”退出。

6，使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口

7，请注意，有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字，或者干脆直接使用那些进程的名字，所以一定要注意仔细分辨例如O和0，1和l。

8，终止进程的一般方法：关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。

关于病毒命名规则，我看也有不少人疑惑正好在学校时看过相关方面的书籍，打出来咯：计算机病毒的命名一般格式为：前缀．病毒名．后缀。前缀有：Script（脚本病毒）、Trojan（木马病毒，在病毒名中有PSW表示这个病毒有盗取密码的功能），Worm（蠕虫病毒），Boot（引导区病毒），Harm（破坏性程序）、Macro（宏病毒，后面一般有word,excel一类的代表其感染文档类型），Win32、PE、Win95、W32、W95（系统病毒，例如W32代表在32位操作系统上运行的，W95代表在95系统上），joke（玩笑病毒，一般没什么危害，记得在网络休闲居里面有个人就 写了个JOKE病毒专门教训菜鸟，呵呵），Binder（捆绑机病毒，使用特定的捆绑程序把病毒一些应用程序捆绑起来，表面上看去是个正常的文件，但当用户运行这些应用程序时，也同时运行了被捆绑在一起的病毒文件，从而给用户造成危害），Backdoor（后门病毒），DOS类型的病毒没有前缀的或者是DOS，DOSCom，也有同时使用几个前缀的。病毒名一般在各个杀软厂商间可能不一样，一般根据时间，特性命名等，这个我们就没有必要太大关注了，呵呵！后缀是代表了病毒的家族特征，一般为a、b之类的，例如：Nimda病毒命名为：Worm.Nimd.a，病毒变种2命名为：Worm.Nimda.b如果病毒的变种太多了，那也会采用数字和字母混合的方法来表示病毒的变种。
当然你也可以查询，
http://it.rising.com.cn/antivirus/antivirus7.asp，还记得有个英文的好站点，忘了，找出来再贴！




最后说下，请不要在标题里面输入强烈求助，等高人，斑竹请进的一类标语，这里是技术论坛，所以直接输入你的问题关键绝对对你的问题的解答有相当大的帮助，毕竟即使是强人也有其不会的地方（牛人们不算，呵呵），一个热心的网友进去一看正是他的弱项，没办法，只好飘过呗，一次两次没事，时间长了你说他烦不烦，而你还在那喊着高人来啊！知道也不告诉你，有什么用！所以再次提示说问题请直接写上问题关键！还有就是问问题前先想想，这个问题有必要吗？自己真的不能解决吗？