（十五）组别——O11

1. 项目说明
O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

2. 举例
O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是国内论坛上的HijackThis扫描日志里最常见的O11项，分属3721和百度，去留您自己决定。如果想清除，请先尝试使用“控制面板——添加删除”来卸载相关程序。

3. 一般建议
遇到CommonName应该清除，遇到其它项目请先在网上查询一下。

4. 疑难解析
（暂无）

（十六）组别——O12

1. 项目说明
O12列举IE插件（就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件）。相关注册表项目是
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

2. 举例
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
这两个都属于Acrobat软件。

3. 一般建议
绝大部分这类插件是安全的。已知仅有一个插件（OnFlow，用以支持文件类型.ofb）是恶意的，需要修复。遇到不认得的项目，建议先在网上查询一下。

4. 疑难解析
（暂无）

（十七）组别——O13

1. 项目说明
O13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀（比如http://或ftp://）时，浏览器会试图使用默认的前缀（默认为http://）。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
当此项被修改，比如改为http://www.AA.BB/?那么当输入一个网址如www.rising.com.cn时，实际打开的网址变成了——http://www.AA.BB/?www.rising.com.cn

2. 举例
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建议
著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）来修复，本帖前部已提到过此软件，并给出了相关小教程的链接。
如果使用CWShredder.exe发现了问题但却无法修复（Fix），请在安全模式使用CWShredder.exe再次修复（Fix）。
如果使用CWShredder.exe后仍然无法修复或者根本未发现异常，再使用HijackThis来扫描修复。

4. 疑难解析
对于searchpage.html这个“浏览器劫持”（上面例子中最后4个就是它的现象），请参考
【原创】近期论坛中2个较常被提到的恶意网页的解决方法(searchpage.html和http://aifind.info/)
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3556320&page=1
简单说，就是——“对于searchpage.html这个问题，上面提到的CWShredder.exe可以修复（Fix），普通模式不能修复的话，请在安全模式使用CWShredder.exe修复（Fix），修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，可以把“删除所有脱机内容”选上)，重新启动。”

（十八）组别——O14

1. 项目说明
O14提示IERESET.INF文件中的改变，也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF文件保存着IE的默认设置信息，如果其内容被恶意程序改变，那么一旦您使用“重置WEB设置”功能，就会再次激活那些恶意修改。

2. 举例
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建议
如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者（ISP），可以使用HijackThis修复。

4. 疑难解析
（暂无）

（十九）组别——O15

1. 项目说明
O15项目提示“受信任的站点”中的不速之客，也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制，可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 举例
O15 - Trusted Zone: http://free.aol.com

3. 一般建议
如果不认得该网站，建议使用HijackThis来修复。

4. 疑难解析
（暂无）

（二十）组别——O16

1. 项目说明
O16 - 下载的程序文件，就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络，存放在Downloaded Program Files目录下，其CLSID记录在注册表中。

2. 举例
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
用来看flash的东东，相信很多朋友都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在线查毒。

3. 一般建议
如果不认得这些ActiveX对象的名字，或者不知道其相关的下载URL，建议使用搜索引擎查询一下，然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样， 一般应该修复。HijackThis修复O16项时，会删除相关文件。但对于某些O16项，虽然选择了让HijackThis修复，却没能够删除相关文件。若遇到此情况，建议启动到安全模式来修复、删除该文件。

4. 疑难解析
（暂无）

（二十一）组别——O17

1. 项目说明
O17提示“域劫持”，这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过，当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您去哪儿啦！

2. 举例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建议
如果这个DNS服务器不是您的ISP或您所在的局域网提供的，请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复，似乎已知的需要修复的O17项也就此一个。

4. 疑难解析
（暂无）

（二十二）组别——O18

1. 项目说明
O18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
等等。
通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。
HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。

2. 举例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建议
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。

4. 疑难解析
（暂无）

（二十三）组别——O19

1. 项目说明
O19提示用户样式表（stylesheet）“劫持”，样式表是一个扩展名为.CSS的文件，它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外，此项中也可能出现.ini、.bmp文件等。

2. 举例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建议
已知，datanotary.com会修改样式表。该样式表名为my.css或者system.css，具体信息可参考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
该“浏览器劫持”也属于CoolWebSearch家族，别忘了上面多次提到的专杀。
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口，而HijackThis又报告此项时，建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项，建议使用HijackThis修复。

（二十四）组别——O20

1. 项目说明
O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。
相关注册表键为
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值为
AppInit_DLLs
此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。

2. 举例
O20 - AppInit_DLLs: msconfd.dll

3. 一般建议
仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防木马或者其它恶意程序。

4. 疑难解析
(1) O20 - AppInit_DLLs: apihookdll.dll
木马克星有这个文件，一般不用修复。

(2) 有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。

（二十五）组别——O21

1. 项目说明
O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式，通常只有少数Windows系统组件用到它。Windows启动时，该处注册的组件会由Explorer加载。
相关注册表键为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 举例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建议
HijackThis会自动识别在该处启动的常见Windows系统组件，不会报告它们。所以如果HijackThis报告这一项，则有可能存在恶意程序，需要仔细分析。

4. 疑难解析
（暂无）

（二十六）组别——O22

1. 项目说明
O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式，极少用到。


2. 举例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建议
已知，CoolWebSearch变种Smartfinder用到这一项，请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机），简介见
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1


4. 疑难解析
（暂无）

兄弟：《国际歌》中唱的好“从来就没有什么救示主，也没有神仙皇帝，要创造人类的幸福，全靠我们自已”。你想修什么，放手干吧！！

.........怎么跟....

修复
O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F55}? - (no file)

http://forum.ikaka.com/topic.asp?board=28&artid=6979213第4楼下载System Repair Engineer导出全部日志