电脑软硬件应用网
当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文
HijackThis详解
HijackThis详解
2006-9-23 8:20:20  文/网络转载   出处:电脑软硬件应用网   
lobal Startup和Startup项目的工作稍微有些不同。HijackThis 将会删除这些项目中找到的快捷方式,而不是他们所指向的文件。
如果是一个可执行程序驻留在Global Sartup或者Startup目录中那么有问题的项目将被删除。
虽然许多合法的程序也已这种方式启动,一个项目可能看起来像正常的但仍然可能是一个恶意程序。
你应该为 O4 项目查询下面的列表:

Bleeping Computer Startup Database


Answers that work


Greatis Startup Application Database


Pacman's Startup Programs List


Pacman's Startup Lists for Offline Reading


Kephyr File Database


Wintasks Process Library


Windows Startup Online Database

O5 区段
这个区段对应于控制板中的Internet选项显示控制。
至少在Windows XP中你可以藉由在 c:\windows\control.ini 中增加条目来制定哪些特定的控制板不可见的。
使用的文件: control.ini
例子列表         O5 - control.ini: inetcpl.cpl=no
如果你见到类似上面那行,那么那可能是一个信号:某个软件正在尝试使你难以改变你的设定。
除非它这么做是出于某个特定的已知理由,比如系统管理员设定的策略或者 Spybot- S&D 所做的限制,否则你可以让HijackThis修复它。
O6 区段
这个区段对应于通过变更注册表的特定设置对在Internet Explorer的选项或主页进行一个管理性的锁定。
注册表键: HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions
例子列表         O6 - HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions
这些项应该只在系统管理员故意如此设定或者使用了Spybots的Mode->Advanced Mode->Tools->IE Tweaks中的首页和选择项锁定时出现。
O7 区段
这个区段对应于通过变更注册表的一个项目从而不允许运行注册表编辑器。
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System
例子列表         O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System: DisableRegedit=1
请注意,许多系统管理员在办公室环境下故意将此项锁定,这时让 HijackThis 修复它可能会违背的企业的政策。
如果你是系统管理员而它在没有经你许可下就被启用了,那么让 HijackThis 修复它。
O8 区段
这一个区段对应于在Internet Explorer的上下文菜单中发现的额外的项目。
这意谓当你在你当前浏览的网页上右击的时候,你将会见到这些选项。
注册表键: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
例子列表         O8 - Extra content menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
这些列出的项目表示当你右击一下的时候,将会在菜单中出现的物件,以及当你实际按下某个选项时会调用的程序。
特定例子,类似 "Browser Pal" 总是应该被移除,而且其余的应该使用Google研究下。在这里你可能找的一个合法程序的例子是Google Toolbar。
当你修复这些类型的项目的时候,HijackThis 不会删除列出的有问题的文件。建议你重新启动进入安全模式删除有问题的文件。
O9 区段
这个区段对应于在Internet Explorer工具栏上的按钮或者在Internet Explorer的‘工具’菜单中非默认安装的项目。
注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extension registry key。
例子列表         O9 - Extra Button: AIM (HKLM)
如果你不需要这些按钮和菜单项或者知道他们是恶意程序,你可以安全地移除他们。
当你修复这些类型的项目的时候,HijackThis 不会删除列出的有问题的文件。建议你重新启动进入安全模式删除有问题的文件。
O10 区段
这个区段对应于 Winsock 劫持程序或者其它已知的LSP.(Layered Service Provider)
LSPs 是一种将其它程序链接到你的计算机的 Winsock 2 设备一种方法。因为LSPs彼此链接在一起,当使用 Winsock 的时候,
数据也会在链中的每个LSPs间传输。间谍软件和劫持程序能够使用 LSPs 监视在你的因特网连接之上传输的所有的流量。
当删除这些对象的时候,你应该极度的小心,如果它在没有适当地修复链中的断点之前就被移除,你有可能会失去因特网连接。
例子列表         O10 - Broken Internet access beacuse of LSP Provider 'spsublsp.dll' missing
许多病毒扫描软件开始在Winsock层扫描病毒、特洛伊木马等。问题是它们大多数在删除有问题的 LSP 之后没有以正确的顺序重建LSPs。
这可能导致 HijackThis 发现一个类似于上面例子的问题并发出警告,即使因特网仍然能够工作。
在修复这些错误的时候,你应该因此寻求来自一个富有经验的使用者的建议。同时也建议你使用在下面链接的 LSPFix 来修复它们。

Spybot

通常能够修复它们但请确认你拥有最新的版本。
或许你可以使用专门为这类型的问题题设计的一个工具,叫做 

LSPFix

。你也可以访问

Zupe's LSP List Page

的列表来查看它们是否合法。 

O11 区段

这个区段对应于已经被添加到 IE 的Internet选项的高级选项卡的一个非默认的选项组。

如果你打开IE的Internet选项,你将会见到一个高级选项卡。通过在一个注册表键下面增加一个项目可以在那里显示一个新的组。

注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions


例子列表         O11 - Options group: [CommonName] CommonName

据 HijackThis 的作者Merijn的表示,目前只有一个已知的劫持程序使用这个项目,它就是 CommonName。
如果你在列表中见到 CommonName,你可以安全地移除它。如果它是另外的一个项目,你应该 Google 一下。


O12 区段

这个区段对应于IE浏览器扩展。

IE浏览器扩展是当IE启动时加载的,为IE提供功能扩展的一些程序。有许多浏览器扩展是合法的,比如PDF查看器和非标准图像查看器。

注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins


例子列表         Plugin for .PDF: C:\ Program Files\Internet explorer\plugin\nppdf32.dll

大多数的浏览器扩展是合法的,在你删除它们之前因此你应该先Google一下你不认识的项目。
一个已知的你应该删除的浏览器扩展是以OFB为扩展名的Onflow plugin。

当你用 HijackThis 修复这些类型的项目的时候,HijackThis 将会尝试删除列出的有问题的文件。有时候即使IE已经关闭,文件可能仍被使用。
如果在你用 HijackThis 修复它之后,文件仍然存在,建议你重新启动进入安全模式删除有问题的文件。

O13 区段

这个区段对应于一个 IE 默认前缀(DefaultPrefix) 劫持。

默认前缀是一个Windows设置,指定如何处理没有在前面输入http://、ftp:// 等的网址。
默认情况下 Windows 将会在开头附加 http://做为默认的 Windows 前缀。你可以通过编辑注册表将这换成一个你选择的默认前缀。
CoolWebSearch 这种劫持程序正是通过将其改为 http://ehttp.cc/? 来作恶。这意谓当你想连接一个网址比如说 www.google.com,
你将会访问 http://ehttp.cc/?www.google.com ,这实际上是 CoolWebSearch 的网站。

注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

例子列表         O13 - WWW. Prefix: http:// ehttp.cc/?

如果你遇到类似上面那个例子的问题,你应该运行 CWShredder。这个程序可以移除在你的机器上的 CoolWebSearch 的所有的已知变种。
你可以该在这里阅读如何使用 CWShredder 的指导:

How to remove CoolWebSearch with CoolWeb Shredder

如果 CWShredder 没找到和修复问题,你应该总是让 HijackThis 来修复这个项目。


O14 区段

这个区段对应于 ‘重置 Web 设置’ 劫持。

在你的计算机上有一个文件用于将IE的选项重置回他们的 Windows 默认值。
这个文件储存在 c:\windows\inf\iereset.inf 中而且包含需要使用的所有的默认设定。当你重置一个设定的时候,
它将会读取该文件并且将指定的设定改为在文件中描述的值。如果一个劫持程序改变了在那一个文件中的信息,
那么当你重置那一个设定的时候,你将再次被感染,因为它将会读取来自 iereset.inf 文件的不正确的信息。


例子列表         O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

请注意这个设定有可能已经合法地被一个计算机制造商或机器的系统管理员改变。如果你不认识那些地址你应该修复它。

O15 区段

这个区段对应于在IE受信区域和默认协议中的站点或 IP 地址。

受信区域

IE的安全性以一组区域为基础。每个区域有不同的安全措施来确定在此区域中的站点可以运行什么脚本和应用程序。
这里有被称为受信区域的一个安全区域。这一个区域有最低的安全措施而且允许其中的站点在不需要你确认的情况下运行脚本和应用程序。
它因此成为恶意站点使用的一个常见伎俩,以便以后能很容易地通过在受信区域中的站点感染你的计算机。

注册表键:
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Set

上一页  [1] [2] [3] [4] [5] 下一页

  • 上一篇文章:

  • 下一篇文章:
    • 最新热点 最新推荐 相关文章
    HijackThis 日志分析——如何识别有…
    关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

    Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号