admin_boreas 2005-6-22 12:02
[推荐]优秀的辅助杀毒软件HijackThis
[b] 这个工具不错,很实用,所以就转过来了,好文共享之!
以后不定期将所发现的好文章(不限类别)转过来,一是与会员共同分享,二是不定就省了自己以后再到处找的麻烦。
今天推荐的这个工具目前最新的应该是HijackThis V1.99.1 汉化版,有需要的请自行搜索一下,注意,要找些个正规的大站去下载,也免得“前门驱虎,后门进狼”!
另外,因为这个工具对使用者水平有所要求,所以如果您不太会用或看不太懂,建议找身边的高手或是发到如瑞星社区反浏览器劫持版寻求较专业人士指点,就别把HijackThis生成的log日志文件帖过来了——这儿应该缺乏对之颇有研究的较专业人士![/b]
浏览器劫持已经成为十分常见、不容忽视的威胁:主页、搜索页被改,不请自来的受信任站点,收藏夹里自动反复添加恶意网站,浏览正常网站时弹出恶意网站的广告……其恼人程度甚至不次于真正的病毒。更严重的是,有些具有浏览器劫持行为的间谍软件是被我们不小心“放”进来的,这些程序还没有被广大反病毒软件普遍接纳入病毒库。但要对付它们,我们也并不是束手无策。(摘自瑞星信息安全资讯网网络安全频道专题)
首页绑架克星——HijackThis,它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,再让您判断哪个程序是肇祸者!把它给杀了!(摘自该软件某版汉化作者的介绍)
admin_boreas 2005-6-22 12:27
优秀的辅助杀毒软件HijackThis
作者:Q77(源发站点不详,据称,以下内容是根据《电脑爱好者》2004.4中的《教你看懂“解放者”的“语言”》一文改写而成,版权所有为北京的epub、小菲)
HijackThis是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!软件作者是荷兰的一位学生,软件已经从1.0版升级到现在的1.97版。HijackThis对于清除恶意网页代码的确很强大,好用,提供的Log很全面;对于系统内的木马/蠕虫的查找,也有很好的辅助功能,当然也有它的局限所在,如对于一些多个线程/比较新的木马可能就无能为力了。
(如果自己不会分析,请到[url]http://www.hijackthis.de/index.php[/url]将Scan后的log文件的内容粘贴在里面分析一下,即可看到一个对你log的分析报告,很不错的!)
HijackThis它能对系统进行全面扫描,查找出藏在系统各个角落的自启动程序、IE插件和控件、间谍软件、被恶意网页或程序修改的项目等,同时还提供相应修复功能,而这些扫描结果对于排除系统故障非常有帮助,因为Windows中常见的启动或关机故障、系统运行速度慢、网页浏览不正常等问题,其实很多源于上述扫描项目。
那么你想不想也能读懂HijackThis的扫描报告,从而获得有用信息呢?理解哪些内容是无害的,哪些内容是有害的呢?让你也能像高手那样解决自己或朋友的电脑故障呢?
HijackThis其实使用非常简单,进入软件后先点击“查找”按钮,软件就会找到系统中可能存在的一些漏洞,然后通过软件的提示加上人为的判断来勾选出可能有问题的选项,最后点击“立即修复”按钮进行修复。
HijcakThis日志中的每一行以一个分类名称开始(要查看这一主题的技术信息,单击主窗口中的“Info”按钮,并向下滚动窗口,突出显示某一行并单击“More info on this item”按钮即可)。
要查看实用信息,单击需要获得帮助的分类名称:
R0, R1, R2, R3 – IE起始页/搜索页 URL
F0, F1 – 自动加载程序
N1, N2, N3, N4 – Netscape/Mozilla 起始页/搜索页 URL
O1 – 主机文件重定向
O2 – 浏览器辅助对象
O3 – IE工具栏
O4 – 从注册表自动加载程序
O5 – 使IE选项的图标在控制面板中不可见
O6 –由管理员限制的对IE选项的访问
O7 –由管理员限制的对注册表编辑器的访问
O8 – IE右键菜单中的额外项
O9 – 主IE按钮工具栏上的额外按钮,或IE“工具”菜单中的额外项
O10 – Winsock绑架程序
O11 – IE“高级选项”窗口中的额外组
O12 – IE插件
O13 – IE DefaultPrefix绑架
O14 – “重置Web设置”绑架
O15 – 受信任区域中的有害站点
O16 – ActiveX对象(aka 下载的程序文件)
O17 – Lop.com域绑架程序
O18 – 额外协议和协议绑架程序
O19 – 用户样式表绑架
R0、R1、R2、R3-IE起始页和搜索页
症状:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 –Default URLSearchHook is missing
治疗方案:
如果结尾的URL是您的主页或搜索引擎,那就不用管它。如果您不认可,请检查一下并用HijcakThis修复。
对于R3项,始终修复它们,直到它提及一个您认可的程序为止,比如Copernic。
F0、F1-自动加载程序
症状:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
治疗方案:
F0项始终是有害的,因此要修复它们。
F1项通常是存在很长时间的安全程序,因此您应该根据其文件名查找与该文件有关的更多信息,以确定它是无害的还是有害的。
N1、N2、N3、N4-Netscape/Mozilla起始页和搜索页
症状:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
治疗方案:
通常情况下,Netacape和Mozilla的主页及搜索页是安全的。它们极少被绑架。主页和搜索页的URL不是您认可的,请用HilackThis修复它。
O1-主机文件重定向
症状:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
治疗方案:
这种绑架将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址,那么在您每次键入该地址时,您将被重定向到一个错误的站点。始终用HilackThis修复它们,除非您故意将这些行放到主机文件中。
O2-浏览器辅助对象
症状:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
治疗方案:
如果您无法直接识别某个浏览器辅助对象的名称,可以使用TonyK的 BHO 列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在BHO列表中,‘X’代表侦探软件,‘L’代表安全。
O3-IE工具栏
症状:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
治疗方案:
如果您不能直接识别工具栏的名称,可以使用TonyK的 工具栏列表 通过类ID(CLSID,位于大括号中的编号)进行查找,以确定它是无害的还是有害的。在工具栏列表中,‘X’代表侦探软件,‘L’代表安全。
如果它不在列表中,而且其名称似乎是一个随机的字符串,并且该文件位于一个名为‘Application Data’的文件夹中的某处(比如上述例子中的最后一个),那么它肯定是有害的,应该用HilackThis修复它。
O4-从注册表自动加载程序
症状:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
治疗方案:
使用PacMan的 启动列表 来查找这些条目,以确定它们是无害的还是有害的。
O5-使IE选项在控制面板中不可见
症状:
O5 - control.ini: inetcpl.cpl=no
治疗方案:
除非故意隐藏控制面板中的图标,否则用HijackThis修复它。
O6-由管理员限制的对IE选项的访问
症状:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
治疗方案:
除非激活了 Spybot S&D 选项“Lock homepage from changes”,否则用HijackThis修复这一项。
O7-由管理员限制的对注册表编辑器的访问
症状:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
治疗方案:
始终用HijackThis修复这一项。
O8-IE右键菜单中的额外项
症状:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
治疗方案:
如果不能识别IE右键菜单中的项目名称,用HijackThis修复它。
O9-主IE工具栏上的额外按钮,或IE“工具”菜单中的额外项
症状:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
治疗方案:
如果不能识别按钮或菜单项的名称,用hijackThis修复它。
O10-Wincock绑架程序
症状:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
治疗方案:
最好使用Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
O11-IE“高级选项”窗口中的额外组
症状:
O11 - Options group: [CommonName] CommonName
治疗方案:
现在,惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。
O12-IE插件
症状:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
治疗方案:
大部分时间内,这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。
O13-IE DefaultPrefix绑架
症状:
O13 - DefaultPrefix: [url]http://www.pixpox.com/cgi-bin/click.pl?url=[/url]
O13 - WWW Prefix: [url]http://prolivation.com/cgi-bin/r.cgi?[/url]
治疗方案:
这些项始终是有害的。用HijackThis修复它们。
O14-‘重置Web设置’绑架
症状:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
治疗方案:
如果该URL不是您计算机的厂商或您的ISP,用HijackThis修复它。
O15-受信任区域中的有害站点
症状:
O15 - Trusted Zone: [url]http://free.aol.com[/url]
治疗方案:
迄今为止,只有AOL倾向于将自身添加到您的受信任区域,从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。
O16-Active对象(aka 下载的程序文件)
症状:
O16 - DPF: Yahoo! Chat - [url]http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://download.macromedia.com/pub/...ash/swflash.cab[/url]
治疗方案:
如果您你不能识别对象名称,或它下载文件的URL,用HijackThis修复它。如果名称或URL中包含下列单词,比如‘dialer’、‘casino’、‘free-pludin’等等,那么一定要修复它。
O17-Lop.com域绑架
症状:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
治疗方案:
如果域不是来自您的ISP或公司的网络,用HijackThis修复它。
O18-额外协议和协议绑架程序
症状:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
治疗方案:
这里只显示了少数绑架程序。恶名昭著的还有‘cn’(CommonName),‘ayb’(Lop.com)和‘relatedlinks’(Huntbar),您应该用Hijackthis修复这些项。
显示的其他情况要么是未被确认为安全的,要么是被侦探软件绑架的。如果是后一种情况,用HijackThis修复它。
O19-用户样式表绑架
症状:
O19 - User style sheet: c:\WINDOWS\Java\my.css
治疗方案:
在浏览器速度变慢并频繁弹出各种消息的情况下,如果这一项显示在日志中,用HijackThis修复它。
如果您在阅读这份简短指南之后,仍然对日志中的某些问题感到迷惑,请您在SpywareInfo 论坛上发表这些问题。
实战一:我的IE首页被修改了
解决方案:如果遇到这种情况,HijackThis会出现编号RO或R1,并且该项后面的内容不是你需要的首页,修复过程如下:
勾选编号R0或R1的项目,使用HijackThis进行修复即可。
从编号为04的项目中找到一些出问题的加载程序,如QQ等,然后打开“任务管理器”,根据找到的文件名,把相应进程关闭。最后勾选上对应的04项目,点击“修复”进行修复。
编号04会列出所有启动程序,一定不要全部勾选,只找到其中有问题的进行勾选即可。由于HijackThis有修复功能,在你不知道如何判断哪些04项目有问题时,可以全部删除,然后一个一个进行测试,直至找到确定有问题的项目再进行删除,但这样非常麻烦,因为每一次操作都要重启一次。
查看是否有F0及F1出现,这两项是用于system.ini及win.ini两个INl文件的启动项。如果有F0出现,那就一定要进行修复;如果出现F1则可以根据“run=”后面的文件名进行判断是否删除。
如果你用的是Netacape或Mozilla浏览器,那么当其设置了首页(或搜索页)后,就可能会出现编号为N1、N2、N5、N4的项目,你可以根据情况进行判断,进行修复。
实战二:我在浏览器地址栏中输入的是'www.sina.com.cn'却连到了一个个人主页,这怎么办?
解决方案:这是由于HOST文件出现问题所致,该文件的作用就是重定向lP与域名的对应关系。一般情况下HOST是没有问题,但有些木马或软件对其进行了修改,这样可以让你从原本要去的网址转到一个木马指定的网页。如果是这种情况,软件会出现编号为01的项目,只要勾选全部为01项目修复即可。
以前有一种屏蔽广告的方法就是修改HOST文件,把广告页面同址对应的IP改为127.O.O.1,如果你进行过这种修改,就要注意只选择错误的01项目。
实战三:我的IE工具栏中出现了一个没用的按钮,我应该怎么删除它?
解决方案:对于这种情况,只要进入IE,把鼠标停留在该按钮上.就会出现该按钮的名称。然后进入HijackThis并扫描,从所有编号为09的项目中查找,根据前面得到的按钮名称,勾选相应项目并修复即可。
★ 如果只想保留lE原本默认的按钮,那么只要勾选所有编号为09的项目,然后进行修复。
★ 如果是lE中增加一个菜单项,同样可以查找09项目进行修复。
★ 如果是IE右键菜单中增加了新项目,则可通过编号为08的项目进行修复。
实战四:我在浏览网页时经常会弹出一些莫明其妙的广告窗口,由于当时并没有浏览网页,所以一定不是网站中弹出的广告窗口,这是怎么回事?
解决方案:这多半是因为你安装的一些软件里面带有浏览器辅助对象程序(BHO),你可以从国外网站下载一个BHO列表的软件,通过它来判断程序是害还是无害。软件使用很简单,下载并解压运行后,单击菜单中的“List-update BHOs from SWI”从网上下载浏览器辅助对象的列表,然后点击菜单中的“search、Find next”项查找需要的项目。如果确定有害,则使用HIjackThIs进行修复。
〖浏览器辅助对象程序,Browse Helper Object,一般简称BHO,其实它就是一个程序。只是在你每次上网时,都会自动运行。通常是在安装软件时“偷偷”安装到系统中的,比如著名的下载软件Go! Zilla就会安装一些广告的BHO。那么BHO是干什么的呢?它通常为了帮助我们浏览网页或进行其他针对网络的操作(比如FlashGet的IE监视、Snagit的IE插件等),但BHO更多的是用来做广告,所以很多人也叫BHO为“ad—ware”或“spyware”(广告软件或问谍软件)。〗
实战五:IE中增加了一个工具条,这是怎么回事?
解决方案:如果你安装了一些1E工具栏软件,HljackThis的扫描结果中就会有编号为03的项目出现,如果出现了不是你主动安装的,而又不知道它是否安全时,可以从上面的BHO List软件中查找一下,确定是否有害(X代表间谍软件;L代表安全;O代表有待验证的)。如果它不在列表中,它的名字又是一串随机的字符串,且该文件是保存在一个名为“Application Date”的文件夹中,那么肯定是有害的,应该修复。
〖PS:我刚才发的那副图中,有两个编号为03的,第二个明显可以看出是我的抓图软件的的扩展工具条,第一个是什么呢?通过HijackThis中我们可以看到一个msdxm.ocx关联其中,这时把这个文件名称到BHO List软件中一搜索,就得到第二副图的结果,双击后显示:
Toolbar:
CLSID: {8E718888-423F-11D2-876E-00A0C9082467}
Status: L - Legitimate
Filename(s): msdxm.ocx
Description: Internet Explorer Radio Bar
Link:
一下子就看出这是IE的Radio工具条了。〗
实战六:我的控制面板中少了一些图标,怎么办?
解决方案:查找编号为05的项目,只要勾选,选择修复即可。
实战七:我的浏览器速度突然变慢,而且总是弹出错误消息,这时应怎样处理?
解决方案:一般情况下,这种情况是由于用户样式表损坏,这时你可以勾选编号为019的项目,然后进行修复。
〖提示:
★ 如果经过HijackThis扫描后,出现了编号为R3、FO、06、07、010、O11、015的项目,则必须进行修复。
★ 对于以上实战,你除了要检查对应的项目编号外,还要检查一下是否有编号016的项目,如出现表示你安装了ActiveX对象,如果你在这项中发现了名称或网址中包含如dialer、Casino、free-pludin等单词,那么一定要修复它。
★ 对于编号为O18的项目,如果出现了cn(CommonName)、ayb(Lop.com)和relatedlinks(Huntbar)、relatedlinks、mctp、hijack等项目,则应该修复。
注:程序运行需要VB的运行库文件MSVBVM60.DLL,如果是98系统可能会缺少这个文件,在2000和XP中是系统已经包括的了。请把附件中的dll文件解压缩后复制到系统目录,9x下是System,2000或XP请复制到System32目录下。(附件:msvbvm60.rar,略)
admin_boreas 2005-6-22 12:32
HijackThis使用的一些小提示
作者:风之咏者 来自:瑞星社区 发表时间: 2004-8-5 13:58:00
如果您遇到的那些恶意网页可尝试使用HijackThis扫描并修复。您也可以把HijackThis生成的log日志文件的内容发到瑞星社区反浏览器劫持版(请贴文本内容而不要直接抓图贴图),方便大家分析。如果您对HijackThis扫描日志中某些项目不清楚,请不要贸然自行修复,不妨使用搜索引擎在互联网上查找一下。如果您决定将HijackThis扫描日志发到论坛上寻求帮助,请在发布HijackThis扫描日志的同时说明您遇到的具体问题。另外,分析HijackThis扫描日志需要一定的时间,所以请稍稍等待一下。
使用HijackThis前的步骤
请一定将下载得到的HijackThis放到一个单独的文件夹中,如果下载得到的是压缩包,还要把它解压出来。希望您不要在临时目录中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时,它会自动给修改的项目做备份,保留这些备份文件是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。
还有,使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。
使用HijackThis修复时的步骤
1. 有恶意进程正在运行的,请先终止其进程
(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)
2. 使用HijackThis修复
3. 重启动到安全模式,显示隐藏文件和系统文件,删除那些被修复项目相关的文件。(为保险起见,可以先压缩保存。)
4. 重新启动到正常模式,再次运行HijackThis检查一下。