風之詠者曾經寫過HijackThis日誌細解,對日誌中的項目作了詳細的分析,我自己也從中受益匪淺!
但是有很多朋友在自己學習分析的過程中,很多項目拿不準是否應該修復,害怕誤刪除壹些正常的文件……
在這裏,我對如何分析日誌談壹下自己的壹些心得體會
HijackThis掃描的是註冊表項和硬盤上的特定文件,對於某壹個項目是否正常,最主要的壹點是我們要看它對應的是正常的程序文件還是惡意木馬……
比如:
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
在這壹項中,最後面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是這個ie模塊對應的文件,從對應文件目錄或者文件名上我們可以分辨這個模塊到底是幹什麽用的————NetTransport是下載工具“影音傳送帶”,再看文件名:NT IE HELPER 那麽我們就可以初步判斷這壹項應該是影音傳送帶在IE中的壹個幫助模塊
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
很明顯可以看出這是是騰訊QQ的壹個插件
而對於自己不熟悉的文件,可以利用google或百度搜索壹下,看看網上提供的搜索結果,以此來判斷該文件是否是正常的程序
比如
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
我們通過google搜索SBHOPlin.dll這個文件 從搜索結果中可以得知這是天網防火墻IE插件
下面,我對壹些常見的正常項目做壹些列舉,對需要註意的目錄或文件用藍色標出(壹眼能看出來的就不壹壹寫出了)
R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
搜狗直通車
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
搜狗直通車
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
網絡實名
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
天網防火墻IE模塊
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
百度搜索
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
迅雷的IE模塊
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL
中文上網
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
雅虎助手的IE模塊
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
騰訊QQ的模塊
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google搜索IE模塊
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
網際快車IE模塊
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT下載BitComet工具條
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
網際快車工具條
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Google工具條
以下列出的04項雖然都是正常、無害的項目,但並不壹定是必須的,可以根據自己的需求來決定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
後臺進程,用於顯示日期和時間信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微軟日語輸入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微軟智能輸入法2002A(動態)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微軟智能輸入法2002A(名稱)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套裝的壹部分。用於多語言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微軟拼音輸入法
O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微軟IME輸入法的組件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
聲卡管理優化軟件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板內置聲卡的驅動
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基於adi芯片的聲卡相關進程,會在系統托盤創建圖標
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
電源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel顯示卡相關程序,用於配置和診斷相關設備
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定時查殺程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星實時病毒監控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墻
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天網防火墻
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基實時監控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超級兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超級兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows內核檢查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows錯誤報告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上網助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
網絡實名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列顯卡的調節工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列顯卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 顯卡2D模式功能模塊
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相關程序,用於同步離線網頁
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上網
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
攝像頭驅動
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 啟動項HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪遊戲程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 啟動助手
以下列出的04項雖然都是正常、無害的項目,但並不壹定是必須的,可以根據自己的需求來決定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
後臺進程,用於顯示日期和時間信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微軟日語輸入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微軟智能輸入法2002A(動態)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微軟智能輸入法2002A(名稱)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套裝的壹部分。用於多語言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微軟拼音輸入法
O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微軟IME輸入法的組件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
聲卡管理優化軟件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板內置聲卡的驅動
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基於adi芯片的聲卡相關進程,會在系統托盤創建圖標
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
電源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel顯示卡相關程序,用於配置和診斷相關設備
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定時查殺程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星實時病毒監控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墻
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天網防火墻
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基實時監控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超級兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超級兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows內核檢查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows錯誤報告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上網助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
網絡實名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列顯卡的調節工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列顯卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 顯卡2D模式功能模塊
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相關程序,用於同步離線網頁
O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上網
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
攝像頭驅動
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 啟動項HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪遊戲程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 啟動助手
日誌項縱覽
R0,R1,R2,R3 Internet Explorer(IE)的默認起始主頁和默認搜索頁的改變
F0,F1,F2,F3 ini文件中的自動加載程序
N1,N2,N3,N4 Netscape/Mozilla 的默認起始主頁和默認搜索頁的改變
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,瀏覽器輔助模塊)
O3 IE瀏覽器的工具條
O4 自啟動項
O5 控制面板中被屏蔽的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器(regedit)被管理員禁用
O8 IE的右鍵菜單中的新增項目
O9 額外的IE“工具”菜單項目及工具欄按鈕
O10 Winsock LSP“瀏覽器綁架”
O11 IE的高級選項中的新項目
O12 IE插件
O13 對IE默認的URL前綴的修改
O14 對“重置WEB設置”的修改
O15 “受信任的站點”中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX對象
O17 域“劫持”
O18 額外的協議和協議“劫持”
O19 用戶樣式表(stylesheet)“劫持”
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項
O23 加載的系統服務
組別——O2
1. 項目說明
O2項列舉現有的IE瀏覽器的BHO模塊。BHO,即Browser Helper Objects,指的是瀏覽器的輔助模塊(或稱輔助對象),這是壹些擴充瀏覽器功能的小插件。這裏面魚龍混雜,諾頓殺毒、goolge等都可能出現在這裏,而這裏也是壹些間諜軟件常出沒的地方。
2. 舉例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
這是影音傳送帶(Net Transport)的模塊。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
這是網際快車(FlashGet)的模塊。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
這是百度搜索的模塊。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
這是3721上網助手的模塊。
O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
這是Adobe Acrobat Reader(用來處理PDF文件)的模塊。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
這是Google工具條的模塊。
3. 壹般建議
可能的O2項實在太多了,此處無法壹壹列舉。網上有壹些很好的BHO列表,大家可以在裏面查詢相關的項目信息。
相關資料查詢地址舉例:
/bhos/
putercops.biz/CLSID.html
建議使用CLSID(就是“{ }”之間的數字 )來查找相關項。通常,在以上網址的查詢結果中,標記為L的是合法的模塊,標記為X的是間諜/廣告模塊,標記為O的為暫時無結論的。
修復前請仔細分析,看看是否認得這個東西的名字,看看它所在的路徑,不能壹概而論。最好進壹步查詢相關資料,千萬不要隨意修復。對於標記為X的惡意模塊,壹般建議修復。
4. 疑難解析
HijackThis修復O2項時,會刪除相關文件。但對於某些O2項,雖然選擇了讓HijackThis修復,下次掃描時卻還在。出現此情況時,請先確保使用HijackThis修復時已經關閉了所有瀏覽器窗口和文件夾窗口。如果還不行,建議重新啟動到安全模式直接刪除該文件。有時,會遇到壹個如下的項目(後面沒內容)
O2 - BHO:
總是刪不掉,懷疑這是3721的項目,如果您安裝了3721,則會出現這樣壹個O2項。使用HijackThis無法修復這壹項。是否使用3721決定權在用戶自己。
組別——O3
1. 項目說明
O3項列舉現有的IE瀏覽器的工具條(ToolBar,簡寫為TB)。註意,這裏列出的是工具條,壹般是包含多個項目的那種。除了IE自帶的壹些工具條外,其它軟件也會安裝壹些工具條,這些工具條通常出現在IE自己的工具條和地址欄的下面。HijackThis在O3項中把它們列出來。其相關註冊表項目為
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. 舉例
O3 - Toolbar: ? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
這是Windows Media Player 2 ActiveX Control,媒體播放器的ActiveX控制項。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
這是網際快車(FlashGet)的IE工具條。
O3 - Toolbar: ? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三個是金山毒霸的IE工具條。
O3 - Toolbar: ? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
這個是金山快譯的IE工具條。
O3 - Toolbar: ? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上網助手的IE工具條。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
這個是google的IE工具條。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
這個是諾頓殺毒軟件的工具條。
3. 壹般建議
同O2,這個也必須仔細分析,看看是否認得這個東西的名字,看看它在IE的工具欄是什麽(有壹些可能安裝了但沒有顯示,在IE的工具欄點右鍵可以看到壹些),看看它所在的路徑,不能壹概而論。可以進壹步查詢相關資料,千萬不要隨意修復。這裏推薦壹些好的查詢地址
/toolbars/
putercops.biz/CLSID.html
建議使用CLSID(就是“{ }”之間的數字 )來查找相關項。通常,在以上網址的查詢結果中,標記為L的是合法的模塊,標記為X的是間諜/廣告模塊,標記為O的為暫時無結論的。對於標記為X的,壹般建議修復。
4. 疑難解析
如果在資料查詢列表中找不到,其名稱又似乎是隨機的,而路徑則在“Application Data”下,壹般是感染了著名的Lop.com,建議修復。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
關於Lop.com的詳細信息及手工修復方法,請參閱
/parasite/lop.html
YoCheng 2004-12-17 12:03
組別——O4
1. 項目說明
這裏列出的就是平常大家提到的壹般意義上的自啟動程序。確切地說,這裏列出的是註冊表下面諸鍵啟動的程序。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
註意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit這壹項雖然也可以啟動程序,但已經在F2項報告過了。
另外,O4項還報告兩種情況,即“Startup:”和“Global Startup:”,在我的印象裏
Startup: 相當於文件夾c:\documents and settings\USERNAME\ 下的內容(USERNAME指您的用戶名)
Global Startup: 相當於文件夾c:\documents and settings\All Users\ 下的內容
註意,其它存放在這兩個文件夾的文件也會被報告。
我覺得,其實,“啟動”文件夾應該被報告,就是
Startup: 報告c:\documents and settings\USERNAME\start menu\programs\startup 下的內容
Global Startup: 報告c:\documents and settings\All Users\start menu\programs\startup 下的內容
但這兩項在中文版分別為
Startup: C:\Documents and Settings\USERNAME\「開始」菜單\程序\啟動
Global Startup: C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
恐怕HijackThis不能識別中文版的這兩個目錄,以至不報告其內容。不是是否如此?望達人告知。
2. 舉例
註:中括號前面是註冊表主鍵位置
中括號中是鍵值
中括號後是數據
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
註冊表自檢
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任務優化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows電源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三個均是瑞星的自啟動程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面兩個是3721和百度的自啟動程序。(不是經常有朋友問進程裏的Rundll32.exe是怎麽來的嗎?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows計劃任務
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe