【贴贴】学看hijackthis日志hijackthis是

一款很方便的分析工具，大部分浏览器被劫持时都可以通过hijackthis进行分析修复风之

咏者曾经写过HijackThis日志细解，对日志中的项目作了详细的分析，我自己也从中受益

匪浅！但是有很多朋友在自己学习分析的过程中，很多项目拿不准是否应该修复，害怕误

删除一些正常的文件……在这里，我把它贴出来供各位互相学习.....个人愚见啊,不要向

我仍砖头就可以了呵呵学习吗HijackThis扫描的是注册表项和硬盘上的特定文件，对于某

一个项目是否正常，    最主要的一点是我们要看它对应的是正常的程序文件还是恶意木

马……

比如：

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

在这一项中，最后面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件，从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的————NetTransport是下载工具“影音传送带”，再看文件名：NT IE HELPER 那么我们就可以初步判断这一项应该是影音传送带在IE中的一个帮助模块

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
很明显可以看出这是是腾讯QQ的一个插件

而对于自己不熟悉的文件，可以利用google或百度搜索一下，看看网上提供的搜索结果，以此来判断该文件是否是正常的程序

比如
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
我们通过google搜索SBHOPlin.dll这个文件 从搜索结果中可以得知这是天网防火墙IE插件

下面，我对一些常见的正常项目做一些列举，对需要注意的目录或文件用蓝色标出（一眼能看出来的就不一一写出了）

R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
搜狗直通车

O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
搜狗直通车

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
网络实名

O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
天网防火墙IE模块

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader

O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
百度搜索

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
迅雷的IE模块

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL
中文上网

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
雅虎助手的IE模块

O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
腾讯QQ的模块

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google搜索IE模块

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
网际快车IE模块



*以下列出的04项虽然都是正常、无害的项目，但并不一定是必须的，可以根据自己的需求来决定是否保留

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
后台进程，用于显示日期和时间信息

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微软日语输入法

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微软智能输入法2002A(动态)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微软智能输入法2002A(名称)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套装的一部分。用于多语言支持。

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微软拼音输入法

O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微软IME输入法的组件

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
声卡管理优化软件

O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板内置声卡的驱动

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基于adi芯片的声卡相关进程，会在系统托盘创建图标

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理配置

O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel显示卡相关程序，用于配置和诊断相关设备

O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定时查杀程序

O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星实时病毒监控

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墙

O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天网防火墙

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基实时监控

O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超级兔子

O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超级兔子

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows内核检查程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows错误报告程序

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上网助手

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
网络实名

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列显卡的调节工具

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列显卡的控制面板

O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 显卡2D模式功能模块

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相关程序，用于同步离线网页

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名

O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手

O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上网

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
摄像头驱动

O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件

O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪游戏程序

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 启动助手



日志项纵览
R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变
F0，F1，F2，F3 ini文件中的自动加载程序
N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，浏览器辅助模块）
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器（regedit）被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表（stylesheet）“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项
O23 加载的系统服务


组别——O2

1. 项目说明

O2项列举现有的IE浏览器的BHO模块。BHO，即Browser Helper Objects，指的是浏览器的辅助模块（或称辅助对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂，诺顿杀毒、goolge等都可能出现在这里，而这里也是一些间谍软件常出没的地方。

2. 举例：

O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带（Net Transport）的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车（FlashGet）的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader（用来处理PDF文件）的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。

3. 一般建议

可能的O2项实在太多了，此处无法一一列举。网上有一些很好的BHO列表，大家可以在里面查询相关的项目信息。
相关资料查询地址举例：
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。
修复前请仔细分析，看看是否认得这个东西的名字，看看它所在的路径，不能一概而论。最好进一步查询相关资料，千万不要随意修复。对于标记为X的恶意模块，一般建议修复。

4. 疑难解析

HijackThis修复O2项时，会删除相关文件。但对于某些O2项，虽然选择了让HijackThis修复，下次扫描时却还在。出现此情况时，请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行，建议重新启动到安全模式直接删除该文件。有时，会遇到一个如下的项目（后面没内容）
O2 - BHO:
总是删不掉，怀疑这是3721的项目，如果您安装了3721，则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。

组别——O3

1. 项目说明

O3项列举现有的IE浏览器的工具条（ToolBar，简写为TB）。注意，这里列出的是工具条，一般是包含多个项目的那种。除了IE自带的一些工具条外，其它软件也会安装一些工具条，这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

2. 举例

O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control，媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
这是网际快车（FlashGet）的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
这个是诺顿杀毒软件的工具条。

3. 一般建议

同O2，这个也必须仔细分析，看看是否认得这个东西的名字，看看它在IE的工具栏是什么（有一些可能安装了但没有显示，在IE的工具栏点右键可以看到一些），看看它所在的路径，不能一概而论。可以进一步查询相关资料，千万不要随意修复。这里推荐一些好的查询地址
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/toolbars/
http://computercops.biz/CLSID.html
建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。对于标记为X的，一般建议修复。

4. 疑难解析

如果在资料查询列表中找不到，其名称又似乎是随机的，而路径则在“Application Data”下，一般是感染了著名的Lop.com，建议修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
关于Lop.com的详细信息及手工修复方法，请参阅
http://www.doxdesk.com/parasite/lop.html


YoCheng 2004-12-17 12:03
组别——O4

1. 项目说明

这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说，这里列出的是注册表下面诸键启动的程序。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序，但已经在F2项报告过了。
另外，O4项还报告两种情况，即“Startup:”和“Global Startup:”，在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容（USERNAME指您的用户名）
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意，其它存放在这两个文件夹的文件也会被报告。
我觉得，其实，“启动”文件夹应该被报告，就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录，以至不报告其内容。不是是否如此？望达人告知。

2. 举例

注：中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器（Windows Task Optimizer）
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。（不是经常有朋友问进程里的Rundll32.exe是怎么来的吗？）
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。

3. 一般建议

查表吧！可能的项目太多了，请进一步查询相关资料，千万不要随意修复。推荐一些好的查询地址
http://www.oixiaomi.net/systemprocess.html
这是中文的，一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的，很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序，可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的，一般是病毒、间谍软件、广告等。
? - 暂时未知
还有，有时候直接使用进程的名字在www.google.com上查找，会有意想不到的收获（特别对于新出现的病毒、木马等）。

4. 疑难解析

请注意，有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件）的名字，或者干脆直接使用那些进程的名字，所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着，这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。（终止进程的一般方法：关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）



组别——O5

1. 项目说明

O5项与控制面板中被屏蔽的一些IE选项相关，一些恶意程序会隐藏控制面板中关于IE的一些选项，这可以通过在control.ini文件中添加相关命令实现。

2. 举例

O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项

3. 一般建议

除非您知道隐藏了某些选项（比如公司网管特意设置的），或者是您自己如此设置的，否则应该用HijackThis修复。


YoCheng 2004-12-17 12:05

组别——O6

1. 项目说明

O6提示Internet选项（打开IE——工具——Internet选项）被禁用。管理员可以对Internet选项的使用进行限制，一些恶意程序也会这样阻挠修复。这里用到的注册表项目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

2. 举例

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
这里禁用了internet选项

3. 一般建议

除非您知道禁用了internet选项（比如网吧使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。


组别——O7
1. 项目说明

O7提示注册表编辑器（regedit）被禁用。管理员可以对注册表编辑器的使用进行限制，一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

2. 举例

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
这里禁用了注册表编辑器。

3. 一般建议

除非您知道禁用了注册表编辑器（比如公司使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。


组别——O8

1. 项目说明

O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外，一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

2. 举例

O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
这是网际快车（FlashGet）添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁（NetAnts）添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带（Net Transport）添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。

3. 一般建议

如果不认得新添加的项目，其所在路径也可疑，可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。


组别——O9
1. 项目说明

O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条，这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key

2. 举例

O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车（FlashGet）按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车（FlashGet）项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁（NetAnts）按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁（NetAnts）项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。

3. 一般建议

如果不认得新添加的项目或按钮，可以用HijackThis修复。

4. 疑难解析

组别——O10

1. 项目说明

O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例

O10 - Hijacked Internet access by New.Net
这是被广告程序New.Net劫持的症状（可以通过“控制面板——添加删除”来卸载）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时，网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
这是被广告程序newtonknows劫持的症状，相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议

一定要注意，由于LSP的特殊性，单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络！如果您使用杀毒软件清除间谍程序，可能遇到如上面第二个例子的情况，此时可能无法上网。有时HijackThis在O10项报告网络连接破坏，但其实仍旧可以连通，不过无论如何，修复O10项时一定要小心。

遇到O10项需要修复时，建议使用专门工具修复。

（1）LSPFix http://www.cexx.org/lspfix.htm

（2）Spybot-Search&Destroy（上面提到过，但一定要使用最新版）

这两个工具都可以修复此问题，请进一步参考相关教程。

4. 疑难解析

某些正常合法程序（特别是一些杀毒软件）也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll

这一项就属于国产杀毒软件KV。所以，在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下，不要一概修复。


组别——O11

1. 项目说明

O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

2. 举例

O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是国内论坛上的HijackThis扫描日志里最常见的O11项，分属3721和百度，去留您自己决定。如果想清除，请先尝试使用“控制面板——添加删除”来卸载相关程序。

3. 一般建议

遇到CommonName应该清除，遇到其它项目请先在网上查询一下。

4. 疑难解析

（暂无）


组别——O12

1. 项目说明

O12列举IE插件（就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件）。相关注册表项目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

2. 举例

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
这两个都属于Acrobat软件。

3. 一般建议

绝大部分这类插件是安全的。已知仅有一个插件（OnFlow，用以支持文件类型.ofb）是恶意的，需要修复。遇到不认得的项目，建议先在网上查询一下。

4. 疑难解析

（暂无）


组别——O13
1. 项目说明

O13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀（比如http://或ftp://）时，浏览器会试图使用默认的前缀（默认为http://）。相关注册表项目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
当此项被修改，比如改为http://www.AA.BB/?那么当输入一个网址如www.rising.com.cn时，实际打开的网址变成了——http://www.AA.BB/?www.rising.com.cn

2. 举例

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻译过来就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建议

著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）来修复，本帖前部已提到过此软件，并给出了相关小教程的链接。

如果使用CWShredder.exe发现了问题但却无法修复（Fix），请在安全模式使用CWShredder.exe再次修复（Fix）。

如果使用CWShredder.exe后仍然无法修复或者根本未发现异常，再使用HijackThis来扫描修复。

4. 疑难解析

简单说，就是——“对于searchpage.html这个问题，上面提到的CWShredder.exe可以修复（Fix），普通模式不能修复的话，请在安全模式使用CWShredder.exe修复（Fix），修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，可以把“删除所有脱机内容”选上)，重新启动。”

组别——O14
1. 项目说明

O14提示IERESET.INF文件中的改变，也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF文件保存着IE的默认设置信息，如果其内容被恶意程序改变，那么一旦您使用“重置WEB设置”功能，就会再次激活那些恶意修改。

2. 举例

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建议

如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者（ISP），可以使用HijackThis修复。

4. 疑难解析

（暂无）



组别——O15
1. 项目说明

O15项目提示“受信任的站点”中的不速之客，也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制，可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 举例

O15 - Trusted Zone: http://free.aol.com

3. 一般建议

如果不认得该网站，建议使用HijackThis来修复。

4. 疑难解析


组别——O16

1. 项目说明

O16 - 下载的程序文件，就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络，存放在Downloaded Program Files目录下，其CLSID记录在注册表中。

2. 举例

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab
用来看flash的东东，相信很多朋友都安装了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C62} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在线查毒。

3. 一般建议

如果不认得这些ActiveX对象的名字，或者不知道其相关的下载URL，建议使用搜索引擎查询一下，然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样， 一般应该修复。HijackThis修复O16项时，会删除相关文件。但对于某些O16项，虽然选择了让HijackThis修复，却没能够删除相关文件。若遇到此情况，建议启动到安全模式来修复、删除该文件。

4. 疑难解析

（暂无）


组别——O17
1. 项目说明

O17提示“域劫持”，这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过，当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您去哪儿啦！

2. 举例

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建议

如果这个DNS服务器不是您的ISP或您所在的局域网提供的，请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复，似乎已知的需要修复的O17项也就此一个。

4. 疑难解析

（暂无）


组别——O18
1. 项目说明

O18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。

通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。

HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。

2. 举例

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建议

已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。

4. 疑难解析



组别——O19
1. 项目说明

O19提示用户样式表（stylesheet）“劫持”，样式表是一个扩展名为.CSS的文件，它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

此外，此项中也可能出现.ini、.bmp文件等。

2. 举例

O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建议

已知，datanotary.com会修改样式表。该样式表名为my.css或者system.css，具体信息可参考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
该“浏览器劫持”也属于CoolWebSearch家族，别忘了上面多次提到的专杀。

当浏览器浏览速度变慢、经常出现来历不明的弹出窗口，而HijackThis又报告此项时，建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项，建议使用HijackThis修复。


组别——O20

1. 项目说明

O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。

相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

键值为AppInit_DLLs

此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。

2. 举例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建议

仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防木马或者其它恶意程序。

4. 疑难解析

有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。


组别——O21
1. 项目说明

O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式，通常只有少数Windows系统组件用到它。Windows启动时，该处注册的组件会由Explorer加载。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 举例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建议

HijackThis会自动识别在该处启动的常见Windows系统组件，不会报告它们。所以如果HijackThis报告这一项，则有可能存在恶意程序，需要仔细分析。

4. 疑难解析



组别——O22

1. 项目说明

O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式，极少用到。


2. 举例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建议

已知，CoolWebSearch变种Smartfinder用到这一项，请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机），简介见http://community.rising.com.cn/F ... =3926810&page=1


4. 疑难解析

（暂无）

组别——O23
1. 项目说明

O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务)

2. 举例

O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

3. 一般建议

很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache，MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如"NOD32 Kernel Service"很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是病毒了.

4. 疑难解析

只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略.


cyberarmy 2005-03-30 02:20
1.99.1版新加入的O20 此回复内容原创

O20除了能检测AppInit_DLLs之外，在1.99.1版还新加入了WINLOGON NOTIFY注册表键值的检测。

1. 项目说明：
此注册表键能在系统引导时将DLL文件加载到内存中，并且让该DLL加载于内存中直到关机。除了WINDOWS系统自身的几个组件外，一些如VX2，ABETTERINTERNET和LOOK2ME等恶意程序也会使用此键值。

2. 举例：O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此为STARDOCK公司出品的WINDOWBLINDS系统主题替换软件的正常加载DLL

3. 一般建议：已知如VX2，ABETTERINTERNET和LOOK2ME等恶意程序会修改此注册表值调用自身的DLL，一般用户如果见到不熟悉的DLL，请小心处理。已知WINDOWBLINDS和新版的INTEL板载显卡驱动会调用此键值(文件为IGFXSRVC.DLL），INTEL无线网卡程序（LgNotify.dll）。

zai m