Board logo

标题: [病毒查杀] HijackThis简明教程 [打印本页]

作者: shillan    时间: 2006-6-21 11:29     标题: HijackThis简明教程

按照方法把自己的系统信息发表在论坛里,热心的网友会帮助解答。
hijackthis是一款英文免费软件,由荷兰的一名学生merijn开发。其个人主页上有merijn自己的简介(http://merijn.org/index.html),并提供其利用业余时间开发的软件供大家下载。hijackthis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。
hijackthis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,hijackthis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心人帮助解决问题。
本文简单介绍hijackthis软件的使用方法,并提供hijackthis日志文件的初步分析方法供大家参考。

使用方法简介:
请注意,hijackthis只有一个文件,如果您下载的hijackthis是一个zip压缩包,需要先把它解压缩然后再运行hijackthis.exe,不要在压缩包内直接运行。
1
这是hijackthis.exe的图标,双击鼠标左键运行hijackthis.exe,初次运行会有一个提示,点击即可。



2
这是主界面。点击“扫描系统并保存日志”就开始扫描。





3
扫描结束后,结果会在界面中显示出来

并自动提示你保存,保存到您选定的地方,您也可以给这个文件改名字,但建议不要改动扩展名.log。





4.请找到日志文件,并且用记事本打开。




5.您现在可以将日志中的内容完全复制到您的帖子里,以便其他会员能更好地帮助您。




它的log文件也比较复杂(谁让windows那么复杂呢),所以给大家解读带来一定困难,下面,我们就来看看log文件到底说了些什么。
logfile
of hijackthis v1.99.0——这里表明这是hijackthis的1.99.0版本生成的log文件
scan saved at
19:12:54, on 2005-4-24——扫描并存档的时间
platform: windows xp sp2 (winnt
5.01.2600)——操作系统版本
msie: internet explorer v6.00 sp2
(6.00.2900.2180)——微软ie浏览器版本
running
processes:——扫描时正在运行的进程
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program
files\executive
software\diskeeper\dkservice.exe
c:\kv2004\kvsrvxp.exe
c:\kv2004\kvwsc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\program
files\d-tools\daemon.exe
c:\windows\system32\rundll32.exe
c:\program
files\topro\tppoll.exe
可能的进程很多,在此无法一一列举,推荐两个网站,可以查找这些进程的资料。
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.answersthatwork.com/tasklist_pages/tasklist.htm
英文的,很丰富。



(下面部分,所有可能出现在log文件中的项已经分组排列,方便大家参考。)
组别——r
r ╟
注册表中的默认起始主页和默认搜索页的改变
r0 - 默认页改变
r1 - 新建的注册表值(v),或称为键值
r2 -
新建的注册表项(k),或称为键
r3 - 在本来应该只有一个键值的地方新建的额外键值
说明:
r0、r1、r2、r3
都是ie的默认起始主页和默认搜索页的改变
举例:
r0 - hkcu\software\microsoft\internet
explorer\main,start page=http://www.google.com/
r1 -
hklm\software\microsoft\internet
explorer\main,default_page_url=http://www.google.com/
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/
r3 -
urlsearchhook: bdsrchhook class - {2c5aa40e-8814-4eb6-876e-7efb8b3f9662} -
c:\windows\downloaded program files\bdsrhook.dll
这是百度搜索
r3 -
urlsearchhook: cnshook class - {d157330a-9ef3-49f8-9a67-4141ac41add4} -
c:\windows\downlo~1\cnshook.dll
这是3721网络实名
r3 - default urlsearchhook is
missing
这是报告发现一个错误。此错误可以用hijackthis修复。
处理方法:
如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“fix
checked”,让hijackthis修复它。对于r3,一般总是要选修复,除非它指向一个你认识的程序(比如百度搜索和3721网络实名)。
组别——f
f
- ini文件中的自动运行程序。
f0 - ini文件中改变的值
f1 - ini文件中新建的值
说明:
f0, f1 -
这都是ini文件(system.ini、win.ini)中启动的自动运行程序。
举例:
f0 - system.ini:
shell=explorer.exe openme.exe
f1 - win.ini:
run=hpfsched
上面的例子中,在system.ini文件中,默认的shell=explorer.exe后面又启动了一个openme.exe,这个openme.exe十分可疑。在win.ini中,启动了hpfsched这个程序,需要分析。
处理方法:
基本上,f0提示的explorer.exe后面的程序总是有问题的,一般应该修复。
f1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查找一下,具体问题具体分析。



组别——n
n - netscape、mozilla浏览器的默认起始主页和默认搜索页的改变
n1 - netscape
4.x中,prefs.js的改变。
n2 - netscape 6中,prefs.js的改变。
n3 - netscape
7中,prefs.js的改变。
n4 - mozilla中,prefs.js的改变。
说明:
n1、n2、n3、n4 -
这都是netscape、mozilla浏览器的默认起始主页和默认搜索页的改变。
举例:
n1 - netscape 4:
user_pref("browser.startup.homepage", "www.google.com"); (c:\program
files\netscape\users\default\prefs.js)
n2 - netscape 6:
user_pref("browser.startup.homepage", "http://www.google.com"); (c:\documents
and settings\user\application
data\mozilla\profiles\defaulto9t1tfl.slt\prefs.js)
n2 - netscape 6:
user_pref("browser.search.defaultengine",
"engine://c%3a%5cprogram%20files%5cnetscape%206%5csearchplugins%5csbweb_02.src");
(c:\documents and settings\user\application
data\mozilla\profiles\defaulto9t1tfl.slt\prefs.js)
上面的例子列出了现在的默认页和相关配置文件的位置。
处理方法:
一般来说,netscape和mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。
组别——o(这是字母o哦!)
o
- 其它类,包含很多方面,下面一一详述。
o1 -
在hosts文件中将默认搜索页重新定向。
说明:o1出现,表明在hosts文件中,默认搜索页可能被重新定向了。这里出现的其实不仅是搜索页,通过hosts文件,可以把各种网页和不属于它的ip地址联系起来。
举例:
o1
- hosts: 216.177.73.139 auto.search.msn.com
o1 - hosts: 216.177.73.139
search.netscape.com
o1 - hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个ip地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。
处理方法:
一般你应该修复它,除非是你自己在hosts文件中如此设置的。

o2 - 列举现有的ie浏览器的bho模块。
说明:bho,即browser helper
objects,指的是浏览器的辅助模块。
常见项举例:
o2 - bho: (no name) -
{c56cb6b0-0d96-11d6-8c65-b2868b609932} - c:\program files\xi\net
transport\ntiehelper.dll
这是影音传送带(net transport)的模块。
o2 - bho: (no name) -
{a5366673-e8ca-11d3-9cd9-0090271d075b} - c:\program
files\flashget\jccatch.dll
这是网际快车(flashget)的模块。
o2 - bho: (no name) -
{bc207f7d-3e63-4aca-99b5-fb5f8428200c} -
c:\windows\downlo~1\bdsrhook.dll
这是百度搜索的模块。
o2 - bho: (no name) -
{6231d512-e4a4-4df2-be62-5b8f0ee348ef} - c:\program
files\3721\ces\cesweb.dll
这是3721的中文邮(我没用过,这个不确定)。
o2 - bho: (no name) -
{1b0e7716-898e-48cc-9690-4e338e8de1d3} - c:\program
files\3721\assist\assist.dll
这是3721上网助手的模块。
o2 - bho: (no name) -
{06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - d:\adobe\acrobat
5.0\reader\activex\acroiehelper.ocx
这是adobe acrobat
reader(用来处理pdf文件)的模块。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
(通常,在以上网址的查询结果中,标记为l的是合法的模块,标记为x的是间谍/广告模块,标记为o的为暂时无结论的。)
处理方法:
这个必须仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。o3
-
列举现有的ie浏览器的工具条。(注意,这里列出的是工具条,一般是包含多个项目的那种。)
说明:除了ie自带的一些工具条外,其它软件也会安装一些工具条,hijackthis在o3项中把它们列出来。
常见项举例:
o3
- toolbar: ????? - {8e718888-423f-11d2-876e-00a0c9082467} -
c:\windows\system\msdxm.ocx
这是windows media player 2 activex
control,媒体播放器的activex控制项。
o3 - toolbar: flashget bar -
{e0e899ab-f487-11d5-8d29-0050ba6940e3} - c:\program
files\flashget\fgiebar.dll
这是网际快车(flashget)的ie工具条。
o3 - toolbar: ????? -
{a9be2902-c447-420a-bb7f-a5de921e6138} - c:\program
files\kav5\kaieplus.dll
o3 - toolbar: ????? -
{a9be2902-c447-420a-bb7f-a5de921e6138} - c:\kav2003\kaieplus.dll
o3 -
toolbar: ????? - {1df2e6c2-21e1-4cb7-b0c0-a0121b539c2d} -
c:\kav2003\kietool.dll
上面三个是金山毒霸的ie工具条。
o3 - toolbar: ????? -
{6c3797d2-3fef-4cd4-b654-d3ae55b4128c} -
c:\progra~1\kingsoft\fastait\ieband.dll
这个是金山快译的ie工具条。
o3 - toolbar: ?????
- {1b0e7716-898e-48cc-9690-4e338e8de1d3} - c:\program
files\3721\assist\assist.dll
3721上网助手的ie工具条。
o3 - toolbar: &google -
{2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\windows\downloaded program
files\googlenav.dll
这个是google的ie工具条。
相关资料查询地址举例:
http://www.spywareinfo.com/toolbars/
(通常,标记为l的是合法的模块,标记为x的是间谍/广告模块,标记为o的为暂时无结论的。)
处理方法:
同o2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在ie的工具栏是什么(有一些可能安装了但没有显示,在ie的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“application
data”下,一般是有问题的,建议修复。如o3 - toolbar: rzillcgthjx -
{5996aaf3-5c08-44a9-ac12-1843fd03df0a} - c:\windows\application
data\ckstprllnqul.dll



o4 -
列举自启动项。
说明:就是平常大家最关心的自启动程序。
常见项举例:
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
o4
- hklm\..\run: [scanregistry] c:\windows\scanregw.exe /autorun
注册表自检
o4 -
hklm\..\run: [taskmonitor] c:\windows\taskmon.exe
windows任务优化器(windows task
optimizer)
o4 - hklm\..\run: [systemtray] systray.exe
windows电源管理程序
o4
- hklm\..\run: [ravtimer] c:\program files\rising\rav\ravtimer.exe
o4 -
hklm\..\run: [ravmon] c:\program files\rising\rav\ravmon.exe
o4 -
hklm\..\run: [ccenter] c:\program
files\rising\rav\ccenter.exe
上面三个均是瑞星的自启动程序。
o4 - hklm\..\run:
[helper.dll] c:\windows\rundll32.exe c:\progra~1\3721\helper.dll,rundll32
o4
- hklm\..\run: [bie] rundll32.exe
c:\windows\downlo~1\bdsrhook.dll,rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的rundll32.exe是怎么来的吗?)
o4
- hklm\..\runservices: [schedulingagent] mstask.exe
windows计划任务
o4 -
hklm\..\runservices: [ravmon] c:\program files\rising\rav\ravmon.exe /auto
o4
- hklm\..\runservices: [ccenter] c:\program
files\rising\rav\ccenter.exe
上面两个也是瑞星的自启动程序。
o4 - startup: microsoft
office.lnk = c:\program files\microsoft office\office\osa9.exe
这是微软office在“开始——程序——启动”中的启动项。
这里仅仅举几个例子,因为这样的项目太多,不胜枚举。请您进一步查询相关网页。
相关资料查询地址举例:
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
这是英文的,很全面。其中一些标记的含义——
y
- 一般应该允许运行。
n - 非必须程序,可以留待需要时手动启动。
u - 由用户根据具体情况决定是否需要 。
x -
明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知



o5 -
控制面板中被屏蔽的一些ie选项
说明:一些恶意程序会隐藏控制面板中关于ie的一些选项,这里就显示被隐藏项。
举例:
o5
- control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
处理方法:
除非你知道隐藏了某些选项,否则应该用hijackthis修复。
o6
-
internet选项被禁用

说明:管理员可以对internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
o6
- hkcu\software\policies\microsoft\internet explorer\restrictions present
这里禁用了internet选项
处理方法:
除非你知道禁用了internet选项(比如使用一些管理软件),否则应该用hijackthis修复。
o7
-
注册表编辑器(regedit)被禁用

说明:管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。
举例:
o7 - hkcu\software\microsoft\windows\currentversion\policies\system,
disableregedit=1
这里禁用了注册表编辑器
处理方法:
一般来说,应该用hijackthis修复。



o8 -
ie的右键菜单中的新增项目
说明:除了ie本身的右键菜单之外,一些程序也能向其中添加项目。
举例:
o8 -
extra context menu item: 使用网际快车下载 - c:\program files\flashget\jc_link.htm
o8
- extra context menu item: 使用网际快车下载全部链接 - c:\program
files\flashget\jc_all.htm
这是网际快车(flashget)添加的。
o8 - extra context menu
item: &download by netants - c:\progra~1\netants\naget.htm
o8 - extra
context menu item: download &all by netants -
c:\progra~1\netants\nagetall.htm
这是网络蚂蚁(netants)添加的。
o8 - extra context
menu item: 使用影音传送带下载 - c:\progra~1\xi\nettra~1\ntaddlink.html
o8 - extra
context menu item: 使用影音传送带下载全部链接 -
c:\progra~1\xi\nettra~1\ntaddlist.html
这是影音传送带(net transport)添加的。
o8 -
extra context menu item: 导出到 microsoft excel(&x) -
res://f:\progra~1\micros~1\office10\excel.exe/3000
这是office添加的。
处理方法:
如果不认得新添加的项目,其所在路径也可疑,可以用hijackthis修复。
o9
-
额外的ie“工具”菜单项目及工具栏按钮。

说明:o3是工具条,这里是新增的单个工具栏按钮和ie“工具”菜单项目。
举例:
o9
- extra button: qq (hklm)
就是ie工具栏上的qq按钮。
o9 - extra button: uc
(hklm)
ie工具栏上的uc按钮。
o9 - extra button: flashget
(hklm)
ie工具栏上的网际快车(flashget)按钮。
o9 - extra `tools` menuitem: &flashget
(hklm)
ie“工具”菜单中的网际快车(flashget)项。
o9 - extra button: netants
(hklm)
ie工具栏上的网络蚂蚁(netants)按钮。
o9 - extra `tools` menuitem: &netants
(hklm)
ie“工具”菜单中的网络蚂蚁(netants)项。
o9 - extra button: related
(hklm)
ie工具栏上的“显示相关站点”按钮。
o9 - extra `tools` menuitem: show &related
links (hklm)
ie“工具”菜单中的“显示相关站点”项。
o9 - extra button: messenger
(hklm)
ie工具栏上的messenger按钮。
o9 - extra `tools` menuitem: windows messenger
(hklm)
ie“工具”菜单中的“windows
messenger”项。
处理方法:
如果不认得新添加的项目或按钮,可以用hijackthis修复。



o10 - winsock lsp浏览器“劫持”。
说明:修改winsock 2的设置,进行winsock layered
service provider
(lsp)的浏览器“劫持”。最著名的如new.net插件或webhancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
举例:
o10
- hijacked internet access by new.net
o10 - broken internet access because of
lsp provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
o10 - unknown
file in winsock lsp: c:\program files\newton knows\vmain.dll
处理方法:
建议使用专门工具修复。
lspfix
http://www.cexx.org/lspfix.htm
spybot
s&d(这也是一个著名的查间谍软件的免费工具。)
http://www.safer-networking.org/
o11 -
ie的高级选项中的新项目。

说明:现在已知只有一个恶意程序在ie的高级选项中添加新项目。
举例:
o11 -
options group: [commonname]
commonname
处理方法:
现在已知只有一个恶意程序在ie的高级选项中添加新项目,这个程序叫“commonname”。建议使用hijackthis来修复
o12
- ie插件。

说明:扩展ie功能,让它支持更多扩展名类型文件的插件。
举例:
o12 - plugin for
.spop: c:\program files\internet explorer\plugins\npdocbox.dll
o12 - plugin
for .pdf: c:\program files\internet explorer\plugins\nppdf32.dll
处理方法:
绝大部分这类插件是安全的。已知仅有一个插件(onflow,用以支持文件类型.ofb)是恶意的,需要修复。
o13
- 对ie默认的url前缀的修改

说明:对ie默认的url前缀的修改
举例:
o13 - defaultprefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
o13 - www
prefix: http://prolivation.com/cgi-bin/r.cgi?
处理方法:
使用hijackthis来修复。



o14 -
iereset.inf文件中的改变。
说明:对internet选项中“程序”选项卡内的“重置web设置”的修改。
举例:
o14
- iereset.inf:
start_page_url=http://www.searchalot.com
处理方法:
如果这里列出的url不是指向你的电脑提供者或internet服务提供者(isp),可以使用hijackthis修复。
o15
- “受信任的站点”中的不速之客。

说明:这里列出自动添加的“受信任的站点”。
举例:
o15 - trusted
zone: http://free.aol.com
处理方法:
使用hijackthis来修复。
o16 - 下载的程序文件。
说明:downloaded
program files目录下的那些activex对象。
举例:
o16 - dpf:
{d27cdb6e-ae6d-11cf-96b8-444553540000} (shockwave flash object) - http://download.macromedia.com/p ... s/flash/swflash.cab
用来看flash的东东,相信很多朋友都安装了。
o16 - dpf: {da984a6d-508e-11d6-aa49-0050ff3c628d}
(ravonline) - http://211.101.232.4/ravkill/rsonline.cab
瑞星在线查毒。
o16 -
dpf: {ec487ebe-3dfa-405e-adf6-56be518691f2} (dialogocx control) - http://online.jiangmin.com/search/dialogocx.cab
kv在线查毒。
处理方法:
如果不认得这些activex对象的名字,或者不知道其相关的下载url,可以使用hijackthis来修复该项。如果名字或者下载url中带有“dialer”、“casino”、“free_plugin”字样,
一般应该修复。
o17 - 域“劫持”
说明:与域相关的改变。
举例:
o17 -
hklm\system\ccs\services\vxd\mstcp: domain = aoldsl.net
o17 -
hklm\system\ccs\services\tcpip\parameters: domain = w21944.find-quick.com
o17
- hklm\software\..\telephony: domainname = w21944.find-quick.com
o17 -
hklm\system\ccs\services\tcpip\..\{d196ab38-4d1f-45c1-9108-46d367f19f7e}: domain
= w21944.find-quick.com
处理方法:
如果这个域不是你的isp或你所在的局域网提供的,使用hijackthis来修复。已知lop.com应该修复。



18 - 列举现有的协议(protocols)
说明:用以发现额外的协议和协议“劫持”。
举例:
o18 -
protocol: relatedlinks - {5ab65dd4-01fb-44d5-9537-3767ab80f790} -
c:\progra~1\common~1\msiets\msielink.dll
o18 - protocol: mctp -
{d7b95390-b1c5-11d0-b111-0080c712fe82}
o18 - protocol hijack: http -
{66993893-61b8-47dc-b10d-21e0c86dd9c8}
处理方法:
已知`cn`
(commonname)、`ayb` (lop.com)和`relatedlinks`
(huntbar)是需要用hijackthis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要综合分析。
o19 -
用户样式表(stylesheet)“劫持”

说明:样式表(stylesheet)是一个扩展名为.css的文件。
举例:
o19
- user style sheet: c:\windows\java\my.css
处理方法:
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而hijackthis又报告此项时,建议使用hijackthis修复。
o20 - 注册表键值appinit_dlls处的自启动项      
   
  o21 - 注册表键
shellserviceobjectdelayload (ssodl)处的自启动项     
  
  o22 - 注册表键 sharedtaskscheduler 处的自启动项
   
  o23 - 列举 nt 服务
  写在最后:
   
hijackthis的功能并不仅是我上面的一个实例能说得清楚的,而当他与其他工具结合起来一起使用时,将发挥出更强大的功效,希望各位能真正的熟悉他,把他变为自己手中保护系统和反病毒的一个利器!

















欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2