请问Addrplus3是什么?现在用哪个IE浏览器比较好?我现在用SOSO的
风之歌手曾经写过一篇关于HijackThis日志的详解,对日志中的条目做了详细的分析,我也从中受益匪浅!
但是很多朋友在自己学习分析的过程中并不确定很多项目是否应该修复,害怕误删了一些正常的文件...
在这里,我就如何分析日志谈一些自己的经验。
HijackThis扫描硬盘上的注册表项和特定文件。一个物品是否正常,最重要的一点是对应的是正常的程序文件还是恶意的特洛伊马...
例如:
O2-BHO:ntie catcher Class-{ C 56 CB 6b 0-0d 96-11d 6-8c 65-b 2868 b 609932 }-C:\ Program Files \ Xi \ net transport 2 \ ntie helper . dll
在这一项中,最后的c:\ program files \ Xi \ nettransport 2 \ NT IE HELPER.dll就是这个IE模块对应的文件。从对应的文件目录或者文件名可以看出这个模块是做什么用的———NetTransport是下载工具“音视频传送带”,再看文件名:ntiehelper,那么就可以初步判断这个物品应该是IE中的音视频传送带之一。
O2-BHO:QQBrowserHelperObject Class-{ 54 EBD 53 a-9bc 1-480 b-966 a-843 a 333 ca 162 }-C:\ Program Files \ TENCENT \ QQ \ qqie helper . dll
很明显这是腾讯QQ的一个插件。
对于不熟悉的文件,可以使用google或者百度进行搜索,看到网上提供的搜索结果,从而判断该文件是否为正常程序。
例如
O2-BHO:IEMoni Class-{ f 236 cc5a-f6e 4-4011-9 eed-C 52 fdf 51ce 3d }-C:\ WINDOWS \ system32 \ sbhoplin . dll
我们通过谷歌搜索了SBHOPlin.dll的档案。从搜索结果可以知道这是天网防火墙IE的一个插件。
下面,我会列出一些常见的正常项目,用蓝色标出需要注意的目录或文件(一目了然就不一一写出来了)
R3-URLSearchHook:MyURLSearchHook Class-{ 982 CB 676-38f 0-4D9A-BB72-d 9371 Abe 876 e }-C:\ Program Files \ P4P \ toolbar . dll
搜狗直通车
O2-BHO:SohuDAIEHelper-{ 0ca 51d 02-7739-43EA-9A-1 E8 ad 4327 b03 }-C:\ Program Files \ P4P \ sodaie . dll
搜狗直通车
O2-BHO:IE-{ d 157330 a-9ef 3-49 F8-9a 67-4141ac 41 add 4 }-C:\ WINDOWS \ DOWNLO ~ 1 \ cnshock . dll
网络实名
O2-BHO:IEMoni Class-{ f 236 cc5a-f6e 4-4011-9 eed-C 52 fdf 51ce 3d }-C:\ WINDOWS \ system32 \ sbhoplin . dll
天网防火墙IE模块
O2-BHO:AcroIEHlprObj Class-{ 06849 e9f-C7-4d 59-B87D-784 b 7 D6 be 0 b 3 }-C:\ Program Files \ Adobe \ Acrobat 6.0 \ Reader \ ActiveX \ acroiehelper . dll
Adobe Acrobat Reader
O2 - BHO:(没有名字)-{ BC 207 f7d-3e 63-4 ACA-99 b5-fb5f 8428200 C }-C:\ WINDOWS \ DOWNLO ~ 1 \ BDSRHOOK。动态链接库
百度搜索
O2-BHO:thunderie helper Class-{ 0005 a87d-D626-4B3A-84 F9-1d 9571695 f55 }-C:\ WINDOWS \ system32 \ xunlei bho _ V8 . dll
迅雷的IE模块
O2-BHO:Cdn信息类-{ 5c 3853 cf-c7e 0-4946-B3FA-1 abdb 6 f 48108 }-C:\ PROGRA ~ 1 \ CNNIC \ Cdn \ Cdn信息. dll
O2-BHO:WMHlprObj Class-{ f 5824 efb-728 a-4726-a5 a5-85 a 68 b 20 ed C3 }-C:\ PROGRAM FILES \ CNNIC \ CDN \ WMHLPR。动态链接库
中文互联网接入
O2-BHO:yPhtb-{ 33 bbe 430-0e 42-4f 12-B075-21 ACB 10 dcb }-C:\ PROGRA ~ 1 \ Yahoo!\ ASSIST ~ 1 \ ASSIST \ yphtb . dll
O2 - BHO:反鱼-{ 389250-8a 48-44 C2-945 f-d2f 23 f 771410 }-C:\ PROGRA ~ 1 \ Yahoo!\ ASSIST ~ 1 \ ASSIST \ Yangling . dll
O2-BHO:YDragSearch-{ 62 eed7c 6-9f 02-42 F9-B634-98e 2899 e 147 b }-C:\ PROGRA ~ 1 \ Yahoo!\ ASSIST ~ 1 \ ASSIST \ YDRAGS ~ 1。动态链接库
雅虎助手的IE模块
O2 - BHO:腾讯浏览器助手-{ 0 C 7 C 23 ef-A848-485 b-873 C-0ed 954731014 }-C:\ Program Files \ Tencent \ addr plus \ iehelp 1 . dll
O2-BHO:QQIEHelper-{ 54 EBD 53 a-9bc 1-480 b-966 a-843 a 333 ca 162 }-C:\ Program Files \ Tencent \ QQ \ QQIEHelper . dll
腾讯QQ的模块
O2 - BHO:谷歌工具栏助手-{ aa58ed 58-01DD-4d 91-8333-cf 10577473 f 7 }-c:\ program files \ Google \ Google Toolbar 1 . dll
谷歌搜索IE模块
O2-BHO:I catch 2 Class-{ a 5366673-E8CA-11 D3-9cd 9-0090271 d075b }-C:\ PROGRA ~ 1 \ flash get \ JC catch . dll
Flashget IE模块
O3-Toolbar:BitCometBar-{ 3f 1 abcdb-A875-46c 1-8345-b72a 4567 e 486 }-C:\ Program Files \ BitComet \ BitCometBar \ BitCometBar 0.2 . dll
BT下载BitComet工具栏
O3-Toolbar:flash get Bar-{ e0e 899 ab-F487-11 D5-29-0050 ba 6940 E3 }-C:\ PROGRA ~ 1 \ flash get \ fgiebar . dll
Flashget工具栏
O3 -工具栏:& ampGoogle-{ 2318c2b 1-4965-1d 4-9b 18-009027 a5 cd4f }-c:\ program files \ Google \ Google toolbar 1 . dll
谷歌工具栏
下面列举的04条虽然正常无害,但不一定是必须的。可以根据自己的需求决定是否保留。
O4 HKLM \..\ Run:[系统托盘]SysTray.Exe
显示日期和时间信息的后台进程
O4 HKLM \..\ Run:[IMJPMIG 8.1]" C:\ WINDOWS \ IME \ imjp 8 _ 1 \ IMJPMIG。EXE "/Spoil/RemAdvDef/migration 32
微软日语输入法
O4 HKLM \..\ Run:[phime 2002 async]C:\ WINDOWS \ System32 \ IME \ TINTLGNT \ tintset p。EXE /SYNC
Microsoft智能输入法2002A(动态)
O4 HKLM \..\ Run:[phime 2002 a]C:\ WINDOWS \ System32 \ IME \ TINTLGNT \ tintset p。EXE /IMEName
Microsoft智能输入法2002A(名称)
O4 HKLM \..\ Run:[IMEKRMIG 6.1]C:\ WINDOWS \ ime \ imkr 6 _ 1 \ IMEKRMIG。可执行程序的扩展名
Microsoft Office套件的一部分。用于多语言支持。
O4 HKLM \..\ Run:[mspy 2002]C:\ WINDOWS \ System32 \ IME \ PINTLGNT \ imscinst . exe/SYNC
微软拼音输入法
imscmig.exe/preload-启动项hklm \ \ run:[imsc MIG]c:\ progra ~ 1 \ common ~ 1 \ micros ~ 1 \ ime \ imsc 40 a
微软IME输入法的组件
O4 HKLM \..SOUNDMAN.EXE
声卡管理优化软件
O4-HKLM \ \ Run:[cm audio]rundll 32 cmicnfg . CPL,CMICtrlWnd
主板上内置声卡的驱动程序
O4 HKLM \..\ Run:[Smapp]C:\ Program Files \ Analog Devices \ SoundMAX \ sm tray . exe
基于adi芯片的声卡相关工艺,会在系统托盘中创建图标。
Rundll32.exe powrprof . dll,LoadCurrentPwrScheme
电源管理配置
O4-HKLM \ \ Run:[hotkey scmds]C:\ WINDOWS \ SYSTEM32 \ hk cmd . exe
英特尔显卡相关程序,用于配置和诊断相关设备。
O4 HKLM \..\ Run:[RAV timer]C:\ Program Files \ RISING \ RAV \ RAV timer。可执行程序的扩展名
上升定时杀死程序
O4 HKLM \..\ Run:[RAV mon]C:\ Program Files \ RISING \ RAV \ RAV mon。EXE-系统
瑞星实时病毒监控
O4 HKLM \..\ Run:[Rfw main]C:\ Program Files \ Rising \ Rfw \ Rfw main . exe
瑞星防火墙
O4 HKLM \..\ Run:[天网个人防火墙]C:\ Program Files \ SKYNET \ FireWall \ pfw . exe
天网防火墙
O4 HKLM \..\ Run:[kavpersonal 50]" C:\ Program Files \ Kaspersky Lab \ Kaspersky Anti-Virus Personal \ kav . exe "/minimize
卡巴斯基实时监控
O4 HKLM \..\ Run:[超级兔子Sr restore]C:\ Program Files \超级兔子\MagicSet\srrest.exe /autosave
超级兔子
O4 HKCU \..\ Run:[超级兔子ie pro]C:\ Program Files \超级兔子\MagicSet\SRIECLI。EXE /LOAD
超级兔子
O4 HKLM \..\ Run:[TkBellExe]" C:\ Program Files \ Common Files \ Real \ Update _ OB \ Real sched . exe "-OS boot
RealPlayer的版本更新程序
O4 HKLM \..\ Run:[kernelfaulttcheck]% systemroot % \ system32 \ dump rep 0-k
Windows内核检查器
O4 HKLM \..\ Run:[KernelFaultCheck]% systemroot % \ system32 \ dump rep 0-u
Windows错误报告程序
O4 HKLM \..\ Run:[helper.dll]C:\ WINDOWS \ system32 \ rundll32 . exe C:\ PROGRA ~ 1 \ 3721 \ helper . dll,Rundll32
互联网助手
O4 HKLM \..\ RunOnce:[CnsHook.dll]regsvr 32/s C:\ WINDOWS \ DOWNLO ~ 1 \ cnshock . dll
Rundll32.exe C:\ WINDOWS \ DOWNLO ~ 1 \ cns min . dll,Rundll3
网络实名
O4 HKLM \..\ Run:[NvCplDaemon]RUNDLL32.EXE C:\ WINDOWS \ System32 \ NV CPL . dll,NvStartup
NVIDIA系列显卡的调整工具
O4 HKLM \..\ Run:[nwiz]nwiz.exe/安装
NVIDIA系列显卡的控制面板
Ati2mdxx.exe O4-HKLM
ATI显卡2D模式功能模块
O4 HKCU \..\ Run:[ctfmon.exe]C:\ WINDOWS \ System32 \ ctfmon . exe
为语音识别、手写识别、键盘、翻译和其他用户输入技术提供支持。
mobsync.exe O4 HKLM \ \运行:[同步管理器]登录
Internetexplorer相关程序,用于同步脱机网页。
O4-HKLM \ \运行:[ex filter];Rundll32.exe C:\ WINNT \ system32 \ hook dll . dll,ExecFilter solo
中文域名
YLive.exe O4-HKLM \ \运行:[C:\ PROGRA ~ 1 \ Yahoo!\ASSIST~1\YLive.exe
O4-HKLM \ \ Run:[yassisse]" C:\ PROGRA ~ 1 \ Yahoo!\Assistant\yassistse.exe "
雅虎助手
O4-HKLM \ \ Run:[Cdn CTR]C:\ Program Files \ CNNIC \ Cdn \ Cdn up . exe
中文互联网接入
O4 HKLM \..\ Run:[BigDogPath]C:\ WINDOWS \ VM _ STI。EXE USB PC摄像头301P
相机驱动程序
O4 HKLM \..\ Run:[addr plus 3]C:\ PROGRA ~ 1 \ TENCENT \ addr plus \ runner . exe C:\ PROGRA ~ 1 \ TENCENT \ addr plus \ QA hook 1 . dll rundll 32
QQ助手插件
启动项hklm \ \ run:[nmgamex _ autorun]c:\ Windows \ rundll32.exe nmgamex.dll,liveprocess/aa
新浪游戏程序
O4 -全球启动:Microsoft Office . lnk = C:\ Program Files \ Microsoft Office \ Office \ OSA 9。可执行程序的扩展名
Office启动助手
下面列举的04条虽然正常无害,但不一定是必须的。可以根据自己的需求决定是否保留。
O4 HKLM \..\ Run:[系统托盘]SysTray.Exe
显示日期和时间信息的后台进程
O4 HKLM \..\ Run:[IMJPMIG 8.1]" C:\ WINDOWS \ IME \ imjp 8 _ 1 \ IMJPMIG。EXE "/Spoil/RemAdvDef/migration 32
微软日语输入法
O4 HKLM \..\ Run:[phime 2002 async]C:\ WINDOWS \ System32 \ IME \ TINTLGNT \ tintset p。EXE /SYNC
Microsoft智能输入法2002A(动态)
O4 HKLM \..\ Run:[phime 2002 a]C:\ WINDOWS \ System32 \ IME \ TINTLGNT \ tintset p。EXE /IMEName
Microsoft智能输入法2002A(名称)
O4 HKLM \..\ Run:[IMEKRMIG 6.1]C:\ WINDOWS \ ime \ imkr 6 _ 1 \ IMEKRMIG。可执行程序的扩展名
Microsoft Office套件的一部分。用于多语言支持。
O4 HKLM \..\ Run:[mspy 2002]C:\ WINDOWS \ System32 \ IME \ PINTLGNT \ imscinst . exe/SYNC
微软拼音输入法
imscmig.exe/preload-启动项hklm \ \ run:[imsc MIG]c:\ progra ~ 1 \ common ~ 1 \ micros ~ 1 \ ime \ imsc 40 a
微软IME输入法的组件
O4 HKLM \..SOUNDMAN.EXE
声卡管理优化软件
O4-HKLM \ \ Run:[cm audio]rundll 32 cmicnfg . CPL,CMICtrlWnd
主板上内置声卡的驱动程序
O4 HKLM \..\ Run:[Smapp]C:\ Program Files \ Analog Devices \ SoundMAX \ sm tray . exe
基于adi芯片的声卡相关工艺,会在系统托盘中创建图标。
Rundll32.exe powrprof . dll,LoadCurrentPwrScheme
电源管理配置
O4-HKLM \ \ Run:[hotkey scmds]C:\ WINDOWS \ SYSTEM32 \ hk cmd . exe
英特尔显卡相关程序,用于配置和诊断相关设备。
O4 HKLM \..\ Run:[RAV timer]C:\ Program Files \ RISING \ RAV \ RAV timer。可执行程序的扩展名
上升定时杀死程序
O4 HKLM \..\ Run:[RAV mon]C:\ Program Files \ RISING \ RAV \ RAV mon。EXE-系统
瑞星实时病毒监控
O4 HKLM \..\ Run:[Rfw main]C:\ Program Files \ Rising \ Rfw \ Rfw main . exe
瑞星防火墙
O4 HKLM \..\ Run:[天网个人防火墙]C:\ Program Files \ SKYNET \ FireWall \ pfw . exe
天网防火墙
O4 HKLM \..\ Run:[kavpersonal 50]" C:\ Program Files \ Kaspersky Lab \ Kaspersky Anti-Virus Personal \ kav . exe "/minimize
卡巴斯基实时监控
O4 HKLM \..\ Run:[超级兔子Sr restore]C:\ Program Files \超级兔子\MagicSet\srrest.exe /autosave
超级兔子
O4 HKCU \..\ Run:[超级兔子ie pro]C:\ Program Files \超级兔子\MagicSet\SRIECLI。EXE /LOAD
超级兔子
O4 HKLM \..\ Run:[TkBellExe]" C:\ Program Files \ Common Files \ Real \ Update _ OB \ Real sched . exe "-OS boot
RealPlayer的版本更新程序
O4 HKLM \..\ Run:[kernelfaulttcheck]% systemroot % \ system32 \ dump rep 0-k
Windows内核检查器
O4 HKLM \..\ Run:[KernelFaultCheck]% systemroot % \ system32 \ dump rep 0-u
Windows错误报告程序
O4 HKLM \..\ Run:[helper.dll]C:\ WINDOWS \ system32 \ rundll32 . exe C:\ PROGRA ~ 1 \ 3721 \ helper . dll,Rundll32
互联网助手
O4 HKLM \..\ RunOnce:[CnsHook.dll]regsvr 32/s C:\ WINDOWS \ DOWNLO ~ 1 \ cnshock . dll
Rundll32.exe C:\ WINDOWS \ DOWNLO ~ 1 \ cns min . dll,Rundll3
网络实名
O4 HKLM \..\ Run:[NvCplDaemon]RUNDLL32.EXE C:\ WINDOWS \ System32 \ NV CPL . dll,NvStartup
NVIDIA系列显卡的调整工具
O4 HKLM \..\ Run:[nwiz]nwiz.exe/安装
NVIDIA系列显卡的控制面板
Ati2mdxx.exe O4-HKLM
ATI显卡2D模式功能模块
O4 HKCU \..\ Run:[ctfmon.exe]C:\ WINDOWS \ System32 \ ctfmon . exe
为语音识别、手写识别、键盘、翻译和其他用户输入技术提供支持。
mobsync.exe O4 HKLM \ \运行:[同步管理器]登录
Internetexplorer相关程序,用于同步脱机网页。
O4-HKLM \ \运行:[ex filter];Rundll32.exe C:\ WINNT \ system32 \ hook dll . dll,ExecFilter solo
中文域名
YLive.exe O4-HKLM \ \运行:[C:\ PROGRA ~ 1 \ Yahoo!\ASSIST~1\YLive.exe
O4-HKLM \ \ Run:[yassisse]" C:\ PROGRA ~ 1 \ Yahoo!\Assistant\yassistse.exe "
雅虎助手
O4-HKLM \ \ Run:[Cdn CTR]C:\ Program Files \ CNNIC \ Cdn \ Cdn up . exe
中文互联网接入
O4 HKLM \..\ Run:[BigDogPath]C:\ WINDOWS \ VM _ STI。EXE USB PC摄像头301P
相机驱动程序
O4 HKLM \..\ Run:[addr plus 3]C:\ PROGRA ~ 1 \ TENCENT \ addr plus \ runner . exe C:\ PROGRA ~ 1 \ TENCENT \ addr plus \ QA hook 1 . dll rundll 32
QQ助手插件
启动项hklm \ \ run:[nmgamex _ autorun]c:\ Windows \ rundll32.exe nmgamex.dll,liveprocess/aa
新浪游戏程序
O4 -全球启动:Microsoft Office . lnk = C:\ Program Files \ Microsoft Office \ Office \ OSA 9。可执行程序的扩展名
Office启动助手
日志条目概述
更改R0、R1、R2和R3的Internet Explorer (IE)默认主页和默认搜索页面
F0、F1、F2和F3 ini文件中的自动加载程序
更改N1、N2、N3、N4 Netscape/Mozilla的默认主页和默认搜索页面
O1主机文件重定向
O2浏览器辅助对象(BHO)。
O3 IE浏览器的工具栏
O4自启动项目
O5控制面板中的IE选项被阻止
O6 IE选项被管理员禁用。
O7注册表编辑器(regedit)已被管理员禁用。
O8 IE右键菜单中的新项目
O9附加IE“工具”菜单项和工具栏按钮
O10 Winsock LSP“浏览器绑架”
o 11 IE高级选项中的新项目
O12 IE插件
O13修改IE的默认URL前缀
O14修改“重置网络设置”
O15可信站点中的不速之客
O16下载的程序文件目录中的ActiveX对象。
O17域名“劫持”
O18附加议定书和议定书“劫持”
O19用户样式表“劫持”
O20注册表键值AppInit _ DLLs处的自启动条目
O21注册表项ShellServiceObjectDelayLoad处的自启动条目
O22位于注册表项SharedTaskScheduler的自启动条目
O23加载的系统服务
O2组
1.项目描述
O2项列出了现有IE浏览器的BHO模块。BHO,即浏览器辅助对象,指浏览器的辅助模块(或辅助对象),是一些扩展浏览器功能的小插件。里面鱼龙混杂,诺顿杀毒,goolge等等。可能都出现在这里,这里也是一些间谍软件经常出现的地方。
2.例如:
O2 - BHO:(没有名字)-{ C 56 CB 6b 0-0d 96-11d 6-8c 65-b 2868 b 609932 }-C:\ Program Files \ Xi \ Net Transport \ ntie helper . dll
这是网络传输模块。
O2 - BHO:(没有名字)-{ a 5366673-E8CA-11 D3-9cd 9-0090271 d075b }-C:\ PROGRAM FILES \ flash get \ JC catch。动态链接库
这是FlashGet的模块。
O2 - BHO:(没有名字)-{ BC 207 f7d-3e 63-4 ACA-99 b5-fb5f 8428200 C }-C:\ WINDOWS \ DOWNLO ~ 1 \ BDSRHOOK。动态链接库
这是百度搜索的模块。
O2 - BHO:(没有名字)-{ 1b0e 7716-898 e-48cc-9690-4e 338 ee 1 D3 }-C:\ PROGRAM FILES \ 3721 \ ASSIST \ ASSIST。动态链接库
这是3721上网助手的模块。
O2 - BHO:(没有名字)-{ 06849 e9f-C7-4d 59-B87D-784 b 7 D6 be 0 b 3 }-D:\ Adobe \ Acrobat 5.0 \ Reader \ ActiveX \ acroiehelper . ocx
这是Adobe Acrobat Reader的模块(用于处理PDF文件)。
O2 - BHO:(没有名字)-{ aa58ed 58-01DD-4d 91-8333-cf 10577473 f 7 }-c:\ program \ Google \ Google toolbar 1 . dll
这是谷歌工具栏的模块。
3.一般性建议
可能的O2项目太多,无法在此列出。网上有一些不错的BHO列表,你可以在那里查询相关的项目信息。
相关信息查询地址示例:
/bhos/
putercops.biz/CLSID.html
建议使用CLSID(“{ }”之间的数字)查找相关项目。通常在上述网站的查询结果中,标有L的为合法模块,标有X的为间谍/广告模块,标有O的暂无定论。
修之前请仔细分析一下,看看你认不认得这个东西的名字和它所在的路径。不能一概而论。最好进一步查询相关信息,千万不要随意维修。对于标有X的恶意模块,一般建议修复。
4.困难的分析
HijackThis将在修复O2项目时删除相关文件。然而,对于一些O2项目,尽管HijackThis被选择进行修复,但它仍将在下一次扫描中存在。出现这种情况时,请确保在使用HijackThis进行修复时,所有浏览器窗口和文件夹窗口都已关闭。如果不行,建议重启到安全模式,直接删除文件。有时候,你会遇到下面这个项目(后面没有内容)
氧气- BHO:
我不能删除它。我怀疑这是一个3721的项目。如果安装3721,会出现这样的O2项。您无法使用HijackThis修复此项目。是否使用3721由用户决定。
组-O3
1.项目描述
O3项列出了IE浏览器现有的工具栏(缩写为TB)。请注意,这里列出的是工具栏,它通常包含多个项目。除了IE自带的一些工具栏,其他软件也会安装一些工具栏,通常出现在IE自带的工具栏和地址栏下面。HijackThis在O3中列出了它们。相关的注册表项有
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar
举个例子
O3 -工具栏:?-{ 8e 718888-423 f-11 D2-876 e-00 a0c 9082467 }-C:\ WINDOWS \ SYSTEM \ MSD XM。OCX
这是Windows Media Player 2 ActiveX控件,媒体播放器的ActiveX控件。
O3 -工具栏:flash get Bar-{ e0e 899 ab-F487-11 D5-29-0050 ba 6940 e 3 }-C:\ PROGRAM FILES \ flash get \ FGIEBAR。动态链接库
这是FlashGet的IE工具栏。
O3 -工具栏:?-{ a9be 2902-C447-420 a-BB7F-a5de 921e 6138 }-C:\ Program Files \ ka V5 \ kai eplus。动态链接库
O3 -工具栏:?-{ a9be 2902-C447-420 a-BB7F-a5de 921e 6138 }-C:\ kav 2003 \ kai eplus。动态链接库
O3 -工具栏:?-{ 1 df 2 E6 C 2-21e 1-4cb 7-b0c 0-a 0121b 539 C 2d }-C:\ kav 2003 \ KIETOOL。动态链接库
以上三个是金山毒霸的IE工具栏。
O3 -工具栏:?-{ 6c 3797d 2-3 fef-4c D4-B654-d3a e55b 4128 C }-C:\ PROGRA ~ 1 \ KINGSOFT \ FASTAIT \ ie band。动态链接库
这是金山快盘翻译的IE工具栏。
O3 -工具栏:?-{ 1b0e 7716-898 e-48cc-9690-4e 338 ee 1 D3 }-C:\ PROGRAM FILES \ 3721 \ ASSIST \ ASSIST。动态链接库
3721互联网助手的IE工具栏。
O3 -工具栏:& ampGoogle-{ 2318c2b 1-4965-11d 4-9b 18-009027 a5 cd4f }-C:\ WINDOWS \ Downloaded Program Files \ Google nav . dll
这是谷歌的IE工具栏。
O3 -工具栏:Norton anti virus-{ 42 cdd 1BF-3 FFB-4238-8ad 1-7859 df 00 b 1 D6 }-C:\ Program Files \ Norton anti virus \ navshext . dll
这是诺顿防病毒软件的工具栏。
3.一般性建议
用O2的话,这个也要仔细分析,看你认不认得这个东西的名字,看它在IE的工具栏里是什么(有的可能安装了但没有显示,右击IE的工具栏就能看到一些),看它的路径,不能一概而论。可以进一步查询相关信息,不要随意维修。这里有一些好的咨询地址。
/工具栏/
putercops.biz/CLSID.html
建议使用CLSID(“{ }”之间的数字)查找相关项目。通常在上述网站的查询结果中,标有L的为合法模块,标有X的为间谍/广告模块,标有O的暂无定论。对于标有X的,一般建议修复。
4.困难的分析
如果在数据查询列表中找不到,那么它的名字好像是随机的,路径在“应用数据”下,一般感染了著名的Lop.com。建议修复一下。诸如
O3-Toolbar:rzillcgthjx-{ 5996 AAF 3-5c 08-44 a9-AC 12-1843 FD 03 df0a }-C:\ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL。动态链接库
有关Lop.com和手动修复方法的详细信息,请参考。
/寄生虫/lop.html
YoCheng 2004-65438
集团-O4
1.项目描述
这里列举的是大家所说的一般意义上的自启动程序。具体来说,这里列出的是由注册表下面的键启动的程序。
HKLM \软件\微软\ Windows \当前版本\运行
HKCU \软件\微软\ Windows \当前版本\运行
HKLM \软件\微软\ Windows \当前版本\运行一次
HKCU \软件\微软\ Windows \当前版本\运行一次
HKLM \软件\微软\ Windows \当前版本\运行服务
HKCU \软件\微软\ Windows \当前版本\运行服务
HKLM \软件\微软\ Windows \当前版本\运行服务
HKCU \软件\微软\ Windows \当前版本\运行服务
HKLM \软件\微软\ Windows \当前版本\RunOnceEx
HKLM \软件\微软\ Windows \当前版本\策略\资源管理器\运行
HKCU \软件\微软\ Windows \当前版本\策略\资源管理器\运行
注意,虽然HKLM \软件\微软\ Windows NT \当前版本\ Winlogon \ Userinit也可以启动程序,但在F2中已有报道。
此外,item O4还报道了两种情况,即我印象中的“Startup:”和“Global Startup:”两种情况。
启动:相当于文件夹C:\ documents and settings \ USERNAME \(USERNAME指你的用户名)下的内容。
全局启动:相当于文件夹c:\ documents and settings \ all users \
请注意,存储在这两个文件夹中的其他文件也将被报告。
我觉得,其实应该报“启动”文件夹,也就是。
启动:报告c:\ documents and settings \ username \ start menu \ programs \ startup下的内容。
全局启动:报告c:\ documents and settings \ all users \ start menu \ programs \ Startup下的内容。
不过这两项分别是中文版。
启动:c: \文档和设置\用户名\开始菜单\程序\开始。
全局启动:c: \文档和设置\所有用户\开始菜单\程序\开始。
恐怕HijackThis在中文版无法识别这两个目录,所以不报内容。不,不是吗?王大仁告诉我的。
举个例子
注意:括号前是注册表主键的位置。
关键值在括号中。
括号后面是数据。
O4 HKLM \..\ Run:[scan registry]C:\ WINDOWS \ scanregw . exe/autorun
注册表自检
O4 HKLM \..\ Run:[TaskMonitor]C:\ WINDOWS \ taskmon . exe
Windows任务优化器(windows任务优化器)
O4 HKLM \..\ Run:[系统托盘]SysTray.Exe
Windows电源管理器
O4 HKLM \..\ Run:[RAV timer]C:\ PROGRAM FILES \ RISING \ RAV \ RAV timer . exe
O4 HKLM \..\ Run:[RAV mon]C:\ PROGRAM FILES \ RISING \ RAV \ RAV mon . exe
O4 HKLM \..\ Run:[ccenter]C:\ Program Files \ rising \ Rav \ ccenter . exe
以上三个都是瑞星的自启动程序。
O4 HKLM \..\ Run:[helper.dll]C:\ WINDOWS \ rundll32 . exe C:\ PROGRA ~ 1 \ 3721 \ helper . dll,rundll 32
O4 HKLM \..\ Run:[BIE]Rundll32.exe C:\ WINDOWS \ DOWNLO ~ 1 \ BDSRHOOK。DLL,Rundll32
以上两个是3721和百度的自启动程序。(不是经常有朋友问Rundll32.exe是怎么在这个过程中走到这一步的吗?)
O4 HKLM \..\ run services:[scheduling agent]mstask.exe
Windows计划任务
O4 HKLM \..\ run services:[RAV mon]C:\ PROGRAM FILES \ RISING \ RAV \ RAV mon . exe/AUTO
O4 HKLM \..\ run services:[ccenter]C:\ Program Files \ rising \ Rav \ ccenter . exe