常用的HijackThis的操作方法
软件简介:HijackThis V1.99.1
HijackThis是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!软件作者是荷兰的一位学生, HijaclThis对于清除恶意网页代码的确实很强大,好用,提供的Log很全面;对于系统内的木马/蠕虫的查找,也有很好的辅助功能。新手可以将 Log放在杀毒论坛上,在高手的帮助下,清除恶意程序!
———————————————————————————————————————————————
② 运行环境:Win95/98/NT/Me/2000/XP/2003
———————————————————————————————————————————————
③ 下载地址:
官方网站:
http://www.spywareinfo.com/~merijn/index.html
汉化版下载:
pchome下载
————————————————————————————————————————————————
④使用方法简介:
◎ 使用该软件前需要注意的事项:
请一定要将下载得到的HijackThis放到一个单独的文件夹中,如果下载得到的是压缩包,还要把它解压出来。希望您不要在临时目录中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时,它会自动给修改的项目做备份,保留这些备份文件是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。
还有,使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。
◎ 下面是使用方法:
1、 HijackThis不需要安装即可使用。如图一,这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会有一个提示(如图二),点击即可。
2、 与1.98以前的版本不同,1.99版后的HijackThis在程序开始运行时多了一个向导(如图三)。
图 三
① 点击扫描系统并保存日志,就会开始扫描,这时HijackThis会自动对系统进行全方位的安全检测,检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序,以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等等。扫描完成后会自动弹出保存日志的窗口让你保存日志(本文所使用的为zww3008所汉化的汉化修正版,能自动保存日志,在太平洋下载)。日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记事本打开。
② 点击仅执行扫描系统,HijackThis就会只是对系统进行扫描,这时你必需手动保存日志。左下方有个保存日志的按钮,点击可选择保存日志的位置。如图四。
图 四
③ 单击显示备份列表,可以打开以前用HijackThis修复过并备份下来的信息,在这里你可以选择恢复以前错误修复的项目,也可以把这些备份删除,以节省空间。如图五。请一定要备份和不要随便删除这些备份信息,除非你能确定这个信息确实没有任何用处。在1.99版以上,Hijackthis都能把扫描出来的信息与相关文件都删除了,所以建议各位应该保留备份,以备不时之需。
图 五
④ 单击打开混合工具箱,如图六。在工具箱的界面我们可以看到该版本比以前版本又多了两个项目——“删除一个NT服务”和“打开程序卸载管理器”。让我来逐项介绍:
图 六
A、生成启动项列表:单击该按钮会扫描系统的启动项目,旁边的两个选项都不选,此时HijackThis会按照默认选项进行扫描,所扫描的包括当前运行的进程、文件夹中的启动项、Windows NT UserInit、注册表中的启动项、WIN.INI、SYSTEM.INI、列举IE浏览器辅助对象(BHO模块)、列举“计划任务”服务、列举下载的程序文件、Windows NT logon/logoff scripts和列举 ShellServiceObjectDelayLoad 项目等。里面所列出的内容非常多,有的可能是我们未曾发现的。
简单说说旁边的两个选项。
列出主要的部分(标准):选这个时HijackThis除了扫描默认的项目外,还会列举出Enumerating Active Setup stub paths、Checking for EXPLORER.EXE instances、Checking for superhidden extensions和Enumerating Windows NT/2000/XP services。
列出全部(全面):选中这个选项,HijackThis除了扫描默认的项目外,还列举出了(不包括上面标准选项的项目)文件打开方式关联(包括EXE、COM、BAT、PIF、SCR、HTA、TXT)、Enumerating ICQ Agent Autostart apps和Winsock LSP 文件。
说明:这里提供的扫描系统启动项目的功能很全面,如果说你在注册表里找不到的恶意代码、木马、病毒等是如何启动的,那你可以使用这个功能来扫描分析。
B、打开简易进程管理器:单击该按钮会出现一个简单的进程管理器(如图七),在这里你可以查看或终止系统正在运行的进程。
图 七
C、打开hosts文件管理器:Host 域名解析文件,相信大家都知道了吧,网上也有很多关于此文件的介绍,它的作用是包含IP地址和Host name(主机名)的映射关系,是一个映射IP地址和Host name(主机名)的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name(主机名),一些病毒或恶意代码会写进此文件里,以达到让你访问恶意网站的目的。如图八。
图 八
D、删除文件(重启后生效):单击这个按钮,在弹出的窗口中选择你要删除的文件,它不会立即删除,仅给指定的文件作删除标记,待下次重启系统时执行删除。这个可以进行多次不同文件的删除,对于一些难以删除的病毒文件来说,十分有效。
E、删除一个NT服务:该项可以删除Windows NT/2000/XP 里服务项,只要用“生成启动项列表”扫描到系统的服务名称,把它复制到“删除NT服务”的窗口里,就可能终止和禁用后作删除标记,重启系统后删除该服务项。注意:该项十分危险,如非必要,不建议使用。
F、ADS流扫描器:该项对NTFS格式有效,由于我的硬盘不是NTFS格式,不能试用,所以无法向大家说明。其说明请看图九和图十。
图 九
图 十
G、打开程序卸载管理器:单击该按钮出来管理器,如图十一。在这里,你可以选择“清除该卸载项目”——对于一些已删除但还是留在添加/删除里的信息十分有效;或者“编辑卸载命令”——这一项要慎用,可能会导致你的程序不能正常卸载。
H、高级设置项(这两项只在当次扫描有效):
⑴. 如果可能,计算MD5值校验文件。例,O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (filesize 48668 bytes, MD5 C441ADF91BD183EF6847C6B07D2599D2) ,红色部分为AcroIEHelper.dll的文件大小和MD5值。
有些病毒会把自身添加进如图片等文件中,而有些病毒或恶意代码会注册为如rundll.exe等系统进程,这时只要用MD5来校验比较,这样就可以分析出哪个是可疑文件。
⑵ .添加环境变量到扫描日志中。所谓的环境变量如下:
Windows文件夹位于: C:\WINDOWS
系统文件夹位于: C:\WINDOWS\SYSTEM32
Host 域名解析文件: C:\WINDOWS\System32\drivers\etc\hosts
I、在线检查升级。这个不用多说了。
J、卸载HijackThis并退出。
⑤ 访问HijackThis网页。上面有!
⑥ 什么都不干,仅进入主界面。如图十一。在这里你可点击扫描并保存日志进行分析,如果你对其扫描的结果不了解,你可以选中其中一项,并点击“关于该项目的信息…”,以得更多的帮助。如图十二
图 十一
图 十二
3、 在主界面里还有几个按钮,在这里也简单的说说。
① 扫描修复项目:在“扫描(保存日志)”旁边有一个“修复该项”按钮,只要把扫描到的可疑项目打上勾(可以多选),然后点击该按钮,即可把可疑项目删除了。
② 其他项目:
A、信息项目,这个其实是HijackThis的帮助,包含了帮助信息和一些版本更新信息。
B、配置项目,包含有主要、忽略列表、备份和混合工具箱四个项目。备份和混合工具箱在前面已说过,这里简单介绍“主要”部分,“忽略列表”将在下面说明。看看“主要”项目的图片,如图十三。
图 十三
建议使用默认的设置,不必改变。
C、添加该项到忽略列表,只要把扫描到信息中你认为可靠的项目打上勾,点击该按钮就可以把它添加到忽略列表中去,这样可以避免误删除。在上面B项的配置项目里的忽略列表里,你可以把已添加的项目删除或全部删除。
4、 下面以我的电脑所中的一个广告程序作为实例,说说HijackThis的日志分析和使用附加工具对此程序进行清除。
用HijackThis扫描得到日志如下(红色部分为可疑项,蓝色部分为我所作的分析注释):
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 1:24:24, 日期 2005-3-31
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ieup\inetsvr.exe
D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\WinRoll\winroll.exe
C:\Program Files\ieup\ieup.exe
D:\Program Files\Foxmail\Foxmail.exe
C:\WINDOWS\explorer.exe
D:\Program Files\HijackThis\HijackThis V1.98.2汉化版.exe
C:\WINDOWS\regedit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC 网络工具 - {19780818-4B85-4D8E-B7AF-0D6C182B1515} - C:\Program Files\ieup\ieupaad.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
//看到这一项了吗?就是这个文件在作怪。它把自己注册成IE的模块了。
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\System32\winhtp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [inetsvr] C:\Program Files\ieup\inetsvr.exe
O4 - HKLM\..\Run: [Ad-watch] D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [PFW.EXE] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo
//接着注册到Rundll32.exe里并调用hookdll.dll,随Windows启动,真厉害,隐藏虽不深,但是注册到系统服务里去就不容易被发现和删除.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WinRoll] "D:\Program Files\WinRoll\winroll.exe"
O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 加入网址精灵(&Z) - D:\Program Files\URLAngel\ef_link.htm
O8 - Extra context menu item: 本页加入网址精灵(&X) - D:\Program Files\URLAngel\ef_this.htm
O8 - Extra context menu item: 火狐Flash保存 - d:\Program Files\FoxFlashplayer\PlugIns\GetFlash.htm
O10 - Broken Internet access because of LSP provider ';c:\windows\system32\ws2_64.dll'; missing
O16 - DPF: {169B0044-1CD6-4EFE-A5D8-AEC69797A953} (AvlPing Control) - http://benchmark.avl.com.cn/cab/avlPing.cab
O16 - DPF: {6BB0C189-3676-4711-AA75-E2801D6B0E27} (AvlFTP Control) - http://benchmark.avl.com.cn/cab/avlFtp.cab
O16 - DPF: {C5D0DFF5-6D39-4F98-88CD-12E8430A6300} (clienttime.client) - http://www.time.ac.cn/times/client.CAB
上面蓝色部分为我分析的注释,既然已找到罪魁祸首,那我们就可以用HijackThis来修复(清除)了。
首先进入HijackThis的混合工具箱里用“删除文件”工具找到hap.dll——在system32文件夹里——为它作删除标记,这样重启后可以删除。
接着用HijackThis再扫描一次,修复O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll 和O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo这两项,备份就不用了,可以进入配置?备份里把备份信息删除。
重启,完成。
这样,只需简单的三步就可以完成,比用杀毒软件进行扫描或用手工查找要快要好。可见HijackThis无愧是反劫持的王牌。
说明:O2 - IE浏览器辅助对象(BHO模块);O4 - 随系统加载的自启动顶,这是注册表的启动项。
5、 由于风之咏者之前已有一篇文章对HijackThis的日志有十分详细的解说,所我在这里只对日志里的信息的作简单介绍——HijackThis的帮助里也有介绍。
R - 默认起始主页或默认搜索页注册表键值的改变,或新建的可能导致其改变的注册表键值
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表键值(V)
R1 - 新建的注册表键值(K)
R3 - 在本应只有一个键值的地方新建的额外键值
F - ini文件中的启动项或映射到注册表中的键值
F0 - System.ini中的启动项改变值
F1 - Win.ini中的启动项新建值
F2 - 注册表中System.ini映射区中的启动项或UserInit项后面启动的其他程序
F3 - 注册表中Win.ini文件映射区中的启动项
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。
N1 - Netscape 4.x中,prefs.js的改变
N2 - Netscape 6中,prefs.js的改变
N3 - Netscape 7中,prefs.js的改变
N4 - Mozilla中,prefs.js的改变
O - 其它类,包含很多方面,下面一一详述
O1 - 在Host文件中添加的IP地址域名解析映射
O2 - IE浏览器辅助对象(BHO模块)
O3 - IE工具栏
O4 - 随系统加载的自启动顶
O5 - 使控制面板中隐去Internet选项
O6 - 禁用Internet选项
O7 - 禁用注册表编辑器
O8 - IE的右键菜单中的新增项目
O9 - 额外的IE“工具”菜单项目及工具栏按钮
O10 - Winsock LSP浏览器劫持
O11 - IE“高级选项”中的新项目
O12 - IE插件
O13 - 对IE默认的URL前缀的修改
O14 - IERESET.INF文件中的改变
O15 - “受信任的站点”中的不速之客
O16 - 下载的程序文件,即下载程序目录下的ActiveX对象
O17 - 域劫持/DNS服务器
O18 - 额外协议和协议劫持程序
O19 - 用户样式表劫持
O20 - 注册表键值AppInit_DLLs处的自启动项
O21 - 注册表键 ShellServiceObjectDelayLoad (SSODL)处的自启动项
O22 - 注册表键 SharedTaskScheduler 处的自启动项
O23 - 列举 NT 服务
HijackThis是一个非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效!对于查找系统内的木马/蠕虫也有很好的辅助作用!软件作者是荷兰的一位学生, HijaclThis对于清除恶意网页代码的确实很强大,好用,提供的Log很全面;对于系统内的木马/蠕虫的查找,也有很好的辅助功能。新手可以将 Log放在杀毒论坛上,在高手的帮助下,清除恶意程序!
———————————————————————————————————————————————
② 运行环境:Win95/98/NT/Me/2000/XP/2003
———————————————————————————————————————————————
③ 下载地址:
官方网站:
http://www.spywareinfo.com/~merijn/index.html
汉化版下载:
pchome下载
————————————————————————————————————————————————
④使用方法简介:
◎ 使用该软件前需要注意的事项:
请一定要将下载得到的HijackThis放到一个单独的文件夹中,如果下载得到的是压缩包,还要把它解压出来。希望您不要在临时目录中运行HijackThis,也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时,它会自动给修改的项目做备份,保留这些备份文件是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而在压缩包中直接运行HijackThis的话,是无法生成备份文件的。
还有,使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。
◎ 下面是使用方法:
1、 HijackThis不需要安装即可使用。如图一,这是HijackThis.exe的图标,双击鼠标左键运行HijackThis.exe,初次运行会有一个提示(如图二),点击即可。
2、 与1.98以前的版本不同,1.99版后的HijackThis在程序开始运行时多了一个向导(如图三)。
图 三
① 点击扫描系统并保存日志,就会开始扫描,这时HijackThis会自动对系统进行全方位的安全检测,检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序,以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等等。扫描完成后会自动弹出保存日志的窗口让你保存日志(本文所使用的为zww3008所汉化的汉化修正版,能自动保存日志,在太平洋下载)。日志会自动在记事本中打开,如果没有自动打开,请找到日志文件,并且用记事本打开。
② 点击仅执行扫描系统,HijackThis就会只是对系统进行扫描,这时你必需手动保存日志。左下方有个保存日志的按钮,点击可选择保存日志的位置。如图四。
图 四
③ 单击显示备份列表,可以打开以前用HijackThis修复过并备份下来的信息,在这里你可以选择恢复以前错误修复的项目,也可以把这些备份删除,以节省空间。如图五。请一定要备份和不要随便删除这些备份信息,除非你能确定这个信息确实没有任何用处。在1.99版以上,Hijackthis都能把扫描出来的信息与相关文件都删除了,所以建议各位应该保留备份,以备不时之需。
图 五
④ 单击打开混合工具箱,如图六。在工具箱的界面我们可以看到该版本比以前版本又多了两个项目——“删除一个NT服务”和“打开程序卸载管理器”。让我来逐项介绍:
图 六
A、生成启动项列表:单击该按钮会扫描系统的启动项目,旁边的两个选项都不选,此时HijackThis会按照默认选项进行扫描,所扫描的包括当前运行的进程、文件夹中的启动项、Windows NT UserInit、注册表中的启动项、WIN.INI、SYSTEM.INI、列举IE浏览器辅助对象(BHO模块)、列举“计划任务”服务、列举下载的程序文件、Windows NT logon/logoff scripts和列举 ShellServiceObjectDelayLoad 项目等。里面所列出的内容非常多,有的可能是我们未曾发现的。
简单说说旁边的两个选项。
列出主要的部分(标准):选这个时HijackThis除了扫描默认的项目外,还会列举出Enumerating Active Setup stub paths、Checking for EXPLORER.EXE instances、Checking for superhidden extensions和Enumerating Windows NT/2000/XP services。
列出全部(全面):选中这个选项,HijackThis除了扫描默认的项目外,还列举出了(不包括上面标准选项的项目)文件打开方式关联(包括EXE、COM、BAT、PIF、SCR、HTA、TXT)、Enumerating ICQ Agent Autostart apps和Winsock LSP 文件。
说明:这里提供的扫描系统启动项目的功能很全面,如果说你在注册表里找不到的恶意代码、木马、病毒等是如何启动的,那你可以使用这个功能来扫描分析。
B、打开简易进程管理器:单击该按钮会出现一个简单的进程管理器(如图七),在这里你可以查看或终止系统正在运行的进程。
图 七
C、打开hosts文件管理器:Host 域名解析文件,相信大家都知道了吧,网上也有很多关于此文件的介绍,它的作用是包含IP地址和Host name(主机名)的映射关系,是一个映射IP地址和Host name(主机名)的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name(主机名),一些病毒或恶意代码会写进此文件里,以达到让你访问恶意网站的目的。如图八。
图 八
D、删除文件(重启后生效):单击这个按钮,在弹出的窗口中选择你要删除的文件,它不会立即删除,仅给指定的文件作删除标记,待下次重启系统时执行删除。这个可以进行多次不同文件的删除,对于一些难以删除的病毒文件来说,十分有效。
E、删除一个NT服务:该项可以删除Windows NT/2000/XP 里服务项,只要用“生成启动项列表”扫描到系统的服务名称,把它复制到“删除NT服务”的窗口里,就可能终止和禁用后作删除标记,重启系统后删除该服务项。注意:该项十分危险,如非必要,不建议使用。
F、ADS流扫描器:该项对NTFS格式有效,由于我的硬盘不是NTFS格式,不能试用,所以无法向大家说明。其说明请看图九和图十。
图 九
图 十
G、打开程序卸载管理器:单击该按钮出来管理器,如图十一。在这里,你可以选择“清除该卸载项目”——对于一些已删除但还是留在添加/删除里的信息十分有效;或者“编辑卸载命令”——这一项要慎用,可能会导致你的程序不能正常卸载。
H、高级设置项(这两项只在当次扫描有效):
⑴. 如果可能,计算MD5值校验文件。例,O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (filesize 48668 bytes, MD5 C441ADF91BD183EF6847C6B07D2599D2) ,红色部分为AcroIEHelper.dll的文件大小和MD5值。
有些病毒会把自身添加进如图片等文件中,而有些病毒或恶意代码会注册为如rundll.exe等系统进程,这时只要用MD5来校验比较,这样就可以分析出哪个是可疑文件。
⑵ .添加环境变量到扫描日志中。所谓的环境变量如下:
Windows文件夹位于: C:\WINDOWS
系统文件夹位于: C:\WINDOWS\SYSTEM32
Host 域名解析文件: C:\WINDOWS\System32\drivers\etc\hosts
I、在线检查升级。这个不用多说了。
J、卸载HijackThis并退出。
⑤ 访问HijackThis网页。上面有!
⑥ 什么都不干,仅进入主界面。如图十一。在这里你可点击扫描并保存日志进行分析,如果你对其扫描的结果不了解,你可以选中其中一项,并点击“关于该项目的信息…”,以得更多的帮助。如图十二
图 十一
图 十二
3、 在主界面里还有几个按钮,在这里也简单的说说。
① 扫描修复项目:在“扫描(保存日志)”旁边有一个“修复该项”按钮,只要把扫描到的可疑项目打上勾(可以多选),然后点击该按钮,即可把可疑项目删除了。
② 其他项目:
A、信息项目,这个其实是HijackThis的帮助,包含了帮助信息和一些版本更新信息。
B、配置项目,包含有主要、忽略列表、备份和混合工具箱四个项目。备份和混合工具箱在前面已说过,这里简单介绍“主要”部分,“忽略列表”将在下面说明。看看“主要”项目的图片,如图十三。
图 十三
建议使用默认的设置,不必改变。
C、添加该项到忽略列表,只要把扫描到信息中你认为可靠的项目打上勾,点击该按钮就可以把它添加到忽略列表中去,这样可以避免误删除。在上面B项的配置项目里的忽略列表里,你可以把已添加的项目删除或全部删除。
4、 下面以我的电脑所中的一个广告程序作为实例,说说HijackThis的日志分析和使用附加工具对此程序进行清除。
用HijackThis扫描得到日志如下(红色部分为可疑项,蓝色部分为我所作的分析注释):
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 1:24:24, 日期 2005-3-31
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ieup\inetsvr.exe
D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\WinRoll\winroll.exe
C:\Program Files\ieup\ieup.exe
D:\Program Files\Foxmail\Foxmail.exe
C:\WINDOWS\explorer.exe
D:\Program Files\HijackThis\HijackThis V1.98.2汉化版.exe
C:\WINDOWS\regedit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC 网络工具 - {19780818-4B85-4D8E-B7AF-0D6C182B1515} - C:\Program Files\ieup\ieupaad.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
//看到这一项了吗?就是这个文件在作怪。它把自己注册成IE的模块了。
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\System32\winhtp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [inetsvr] C:\Program Files\ieup\inetsvr.exe
O4 - HKLM\..\Run: [Ad-watch] D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [PFW.EXE] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo
//接着注册到Rundll32.exe里并调用hookdll.dll,随Windows启动,真厉害,隐藏虽不深,但是注册到系统服务里去就不容易被发现和删除.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WinRoll] "D:\Program Files\WinRoll\winroll.exe"
O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 加入网址精灵(&Z) - D:\Program Files\URLAngel\ef_link.htm
O8 - Extra context menu item: 本页加入网址精灵(&X) - D:\Program Files\URLAngel\ef_this.htm
O8 - Extra context menu item: 火狐Flash保存 - d:\Program Files\FoxFlashplayer\PlugIns\GetFlash.htm
O10 - Broken Internet access because of LSP provider ';c:\windows\system32\ws2_64.dll'; missing
O16 - DPF: {169B0044-1CD6-4EFE-A5D8-AEC69797A953} (AvlPing Control) - http://benchmark.avl.com.cn/cab/avlPing.cab
O16 - DPF: {6BB0C189-3676-4711-AA75-E2801D6B0E27} (AvlFTP Control) - http://benchmark.avl.com.cn/cab/avlFtp.cab
O16 - DPF: {C5D0DFF5-6D39-4F98-88CD-12E8430A6300} (clienttime.client) - http://www.time.ac.cn/times/client.CAB
上面蓝色部分为我分析的注释,既然已找到罪魁祸首,那我们就可以用HijackThis来修复(清除)了。
首先进入HijackThis的混合工具箱里用“删除文件”工具找到hap.dll——在system32文件夹里——为它作删除标记,这样重启后可以删除。
接着用HijackThis再扫描一次,修复O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll 和O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo这两项,备份就不用了,可以进入配置?备份里把备份信息删除。
重启,完成。
这样,只需简单的三步就可以完成,比用杀毒软件进行扫描或用手工查找要快要好。可见HijackThis无愧是反劫持的王牌。
说明:O2 - IE浏览器辅助对象(BHO模块);O4 - 随系统加载的自启动顶,这是注册表的启动项。
5、 由于风之咏者之前已有一篇文章对HijackThis的日志有十分详细的解说,所我在这里只对日志里的信息的作简单介绍——HijackThis的帮助里也有介绍。
R - 默认起始主页或默认搜索页注册表键值的改变,或新建的可能导致其改变的注册表键值
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表键值(V)
R1 - 新建的注册表键值(K)
R3 - 在本应只有一个键值的地方新建的额外键值
F - ini文件中的启动项或映射到注册表中的键值
F0 - System.ini中的启动项改变值
F1 - Win.ini中的启动项新建值
F2 - 注册表中System.ini映射区中的启动项或UserInit项后面启动的其他程序
F3 - 注册表中Win.ini文件映射区中的启动项
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。
N1 - Netscape 4.x中,prefs.js的改变
N2 - Netscape 6中,prefs.js的改变
N3 - Netscape 7中,prefs.js的改变
N4 - Mozilla中,prefs.js的改变
O - 其它类,包含很多方面,下面一一详述
O1 - 在Host文件中添加的IP地址域名解析映射
O2 - IE浏览器辅助对象(BHO模块)
O3 - IE工具栏
O4 - 随系统加载的自启动顶
O5 - 使控制面板中隐去Internet选项
O6 - 禁用Internet选项
O7 - 禁用注册表编辑器
O8 - IE的右键菜单中的新增项目
O9 - 额外的IE“工具”菜单项目及工具栏按钮
O10 - Winsock LSP浏览器劫持
O11 - IE“高级选项”中的新项目
O12 - IE插件
O13 - 对IE默认的URL前缀的修改
O14 - IERESET.INF文件中的改变
O15 - “受信任的站点”中的不速之客
O16 - 下载的程序文件,即下载程序目录下的ActiveX对象
O17 - 域劫持/DNS服务器
O18 - 额外协议和协议劫持程序
O19 - 用户样式表劫持
O20 - 注册表键值AppInit_DLLs处的自启动项
O21 - 注册表键 ShellServiceObjectDelayLoad (SSODL)处的自启动项
O22 - 注册表键 SharedTaskScheduler 处的自启动项
O23 - 列举 NT 服务
苍天若无垂怜意,我愿一剑开天门。