当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文 |
|
|||
HijackThis详解 | |||
2006-9-23 8:20:20 文/网络转载 出处:电脑软硬件应用网 | |||
如果是一个可执行程序驻留在Global Sartup或者Startup目录中那么有问题的项目将被删除。 虽然许多合法的程序也已这种方式启动,一个项目可能看起来像正常的但仍然可能是一个恶意程序。 你应该为 O4 项目查询下面的列表: Bleeping Computer Startup Database Answers that work Greatis Startup Application Database Pacman's Startup Programs List Pacman's Startup Lists for Offline Reading Kephyr File Database Wintasks Process Library Windows Startup Online Database O5 区段 这个区段对应于控制板中的Internet选项显示控制。 至少在Windows XP中你可以藉由在 c:\windows\control.ini 中增加条目来制定哪些特定的控制板不可见的。 使用的文件: control.ini 例子列表 O5 - control.ini: inetcpl.cpl=no 如果你见到类似上面那行,那么那可能是一个信号:某个软件正在尝试使你难以改变你的设定。 除非它这么做是出于某个特定的已知理由,比如系统管理员设定的策略或者 Spybot- S&D 所做的限制,否则你可以让HijackThis修复它。 O6 区段 这个区段对应于通过变更注册表的特定设置对在Internet Explorer的选项或主页进行一个管理性的锁定。 注册表键: HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions 例子列表 O6 - HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions 这些项应该只在系统管理员故意如此设定或者使用了Spybots的Mode->Advanced Mode->Tools->IE Tweaks中的首页和选择项锁定时出现。 O7 区段 这个区段对应于通过变更注册表的一个项目从而不允许运行注册表编辑器。 注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System 例子列表 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System: DisableRegedit=1 请注意,许多系统管理员在办公室环境下故意将此项锁定,这时让 HijackThis 修复它可能会违背的企业的政策。 如果你是系统管理员而它在没有经你许可下就被启用了,那么让 HijackThis 修复它。 O8 区段 这一个区段对应于在Internet Explorer的上下文菜单中发现的额外的项目。 这意谓当你在你当前浏览的网页上右击的时候,你将会见到这些选项。 注册表键: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 例子列表 O8 - Extra content menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html 这些列出的项目表示当你右击一下的时候,将会在菜单中出现的物件,以及当你实际按下某个选项时会调用的程序。 特定例子,类似 "Browser Pal" 总是应该被移除,而且其余的应该使用Google研究下。在这里你可能找的一个合法程序的例子是Google Toolbar。 当你修复这些类型的项目的时候,HijackThis 不会删除列出的有问题的文件。建议你重新启动进入安全模式删除有问题的文件。 O9 区段 这个区段对应于在Internet Explorer工具栏上的按钮或者在Internet Explorer的‘工具’菜单中非默认安装的项目。 注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extension registry key。 例子列表 O9 - Extra Button: AIM (HKLM) 如果你不需要这些按钮和菜单项或者知道他们是恶意程序,你可以安全地移除他们。 当你修复这些类型的项目的时候,HijackThis 不会删除列出的有问题的文件。建议你重新启动进入安全模式删除有问题的文件。 O10 区段 这个区段对应于 Winsock 劫持程序或者其它已知的LSP.(Layered Service Provider) LSPs 是一种将其它程序链接到你的计算机的 Winsock 2 设备一种方法。因为LSPs彼此链接在一起,当使用 Winsock 的时候, 数据也会在链中的每个LSPs间传输。间谍软件和劫持程序能够使用 LSPs 监视在你的因特网连接之上传输的所有的流量。 当删除这些对象的时候,你应该极度的小心,如果它在没有适当地修复链中的断点之前就被移除,你有可能会失去因特网连接。 例子列表 O10 - Broken Internet access beacuse of LSP Provider 'spsublsp.dll' missing 许多病毒扫描软件开始在Winsock层扫描病毒、特洛伊木马等。问题是它们大多数在删除有问题的 LSP 之后没有以正确的顺序重建LSPs。 这可能导致 HijackThis 发现一个类似于上面例子的问题并发出警告,即使因特网仍然能够工作。 在修复这些错误的时候,你应该因此寻求来自一个富有经验的使用者的建议。同时也建议你使用在下面链接的 LSPFix 来修复它们。 Spybot 通常能够修复它们但请确认你拥有最新的版本。 或许你可以使用专门为这类型的问题题设计的一个工具,叫做 LSPFix 。你也可以访问 Zupe's LSP List Page 的列表来查看它们是否合法。 O11 区段 |
|||
最新热点 | 最新推荐 | 相关文章 | ||
HijackThis 日志分析——如何识别有… |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |