真没想到阿，一个反流氓插件的软件，居然在国内自己被捆绑上了流氓插件……
在这里提醒大家，下载这种软件的时候尽量从软件的官方网站下载，对于HijackThis，我相信近期内大小也不会变化太多，1M以上大小的版本一定有问题。

天空和华军两大下载站的版本居然都是有问题的 sigh....

更新：那个所谓的1.99.2版本的HijackThis似乎就是捆绑上流氓软件的，因为官方最新的版本才到1.99.1（至少截至2005年11月2日没有更新的版本），那个1.99.2可能是捆绑的人更改了1.99.1的版本信息制作的

==================================华丽di分割线=========================================

我用Maxthon上的网，居然弹出的都是独立于Maxthon的IE窗口(也就是在任务栏上有一个Maxthon，一个IE，IE是广告)。心想一定是浏览器被劫持了……

早就听说HijackThis好用，就去某下载站下载了一个

  http://www.onlinedown.net/soft/16091.htm

下载下来是1.41兆的rar压缩包




当然，解压缩，运行，果然发现了可疑的东西
O2 - BHO: BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} - H:\Program Files\HBClient\hapast.dll
O4 - HKLM\..\Run: [hbpassport] H:\PROGRA~1\HBClient\hbast.exe
henbang那个经典的流氓软件
删之
关掉HijackThis之后，桌面上又冒出来了这个



打开HijackThis扫描了一下，没发现Vika的东西，但是，莫名其妙di，HBClient又出来了。。。
只好祭出杀手锏，进入安全模式，打开HBClient文件夹，把里面的文件的访问权限全部去掉……这下他是想执行都执行不了了

接下来，启动Hijack清理注册表，令人震惊的事情发生了




难道说，是Hijack启动的HBClient？
打开Filemon（一个可以跟踪应用程序对文件的访问的好东东），对关键字Hijack进行跟踪，果然发现有蹊跷








于是打开temp文件夹，发现了3个同一个时间创建的文件




果然，这个版本的HijackThis被捆绑了……这里面200K多的HijackThis才是真正的HijackThis，至于另外两个文件么……大家可以尝试运行一下
为了查证，我去HijackThis软件里面提供的官方网站下载了一份，果然只有200K多点。那个国内下载的1.41M版本多出来的东西自然就是那两个安装文件了

附图：
官方版HijackThis，200K多，版本，公司信息比较全




捆绑插件板HijackThis，1.41M，版本，公司等信息空缺








在这里提醒大家，下载这种软件的时候尽量从软件的官方网站下载，对于HijackThis，我相信近期内大小也不会变化太多，1M以上大小的版本一定有问题。