HijackThis是趋势科技的免费工具。它最初由荷兰的学生Merijn Bellekom开发。诸如Adaware或Spybot S&D之类的间谍软件清除软件可以很好地检测和删除大多数间谍软件程序,但是一些间谍软件和浏览器劫持程序对于这些优秀的反间谍软件实用程序来说太过于阴险。
HijackThis专门用于检测和删除浏览器劫持或接管Web浏览器的软件,改变您的默认主页和搜索引擎以及其他恶意内容。与典型的反间谍软件不同,HijackThis不使用签名或针对任何特定程序或URL来检测和阻止。相反,HijackThis会查找恶意软件感染系统和重定向浏览器的技巧和方法。
并非HijackThis日志中显示的所有内容都是不好的东西,不应该全部删除。事实上,恰恰相反。几乎可以肯定,HijackThis日志中的某些项目将是合法软件,删除这些项目可能会对您的系统产生负面影响或使其完全无法运行。使用HijackThis就像自己编辑Windows注册表一样。这不是火箭科学,但如果没有专家的指导,你绝对不应该这样做,除非你真的知道你在做什么。
一旦安装了HijackThis并运行它来生成日志文件,就有各种各样的论坛和站点可以发布或上传日志数据。知道要查找的内容的专家可以帮助您分析日志数据,并建议您删除哪些项目以及单独留下哪些项目。
要下载当前版本的HijackThis,您可以访问趋势科技的官方网站。
以下是HijackThis日志条目的概述,您可以使用它来跳转到您要查找的信息:
- R0,R1,R2,R3 - Internet Explorer开始/搜索页面URL
- F0,F1 - 自动加载程序
- N1,N2,N3,N4 - Netscape / Mozilla开始/搜索页面URL
- O1 - 主机文件重定向
- O2 - 浏览器助手对象
- O3 - Internet Explorer工具栏
- O4 - 来自Registry的自动加载程序
- O5 - IE选项图标在控制面板中不可见
- O6 - 由管理员限制的IE选项访问
- O7 - 管理员限制的Regedit访问权限
- O8 - IE右键菜单中的额外项目
- O9 - 主IE按钮工具栏上的额外按钮,或IE'工具'菜单中的额外项目
- O10 - Winsock劫机者
- O11 - IE“高级选项”窗口中的额外组
- O12 - IE插件
- O13 - IE DefaultPrefix劫持
- O14 - '重置网页设置'劫持
- O15 - 受信任区域中不需要的站点
- O16 - ActiveX对象(又名下载的程序文件)
- O17 - Lop.com域名劫机者
- O18 - 额外协议和协议劫持者
- O19 - 用户样式表劫持
- O20 - AppInit_DLLs注册表值自动运行
- O21 - ShellServiceObjectDelayLoad注册表项自动运行
- O22 - SharedTaskScheduler注册表项自动运行
- O23 - Windows NT服务
R0,R1,R2,R3 - IE开始和搜索页面
它看起来像什么:R0 - HKCU Software Microsoft Internet Explorer Main,Start Page = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main,Default_Page_URL = http://www.google.com/R2 - (HijackThis尚未使用此类型)R3 - 缺少默认的URLSearchHook 该怎么办:如果您将最后的网址识别为主页或搜索引擎,则可以。如果你不这样做,检查它并让HijackThis修复它。对于R3项目,除非提及您认可的程序,例如Copernic,否则请务必修复它们。 它看起来像什么:F0 - system.ini:Shell = Explorer.exe Openme.exeF1 - win.ini:run = hpfsched 该怎么办:F0项目总是很糟糕,所以要修复它们。 F1项目通常是非常古老的程序,所以你应该找到更多关于文件名的信息,看它是好还是坏。 Pacman的启动列表可以帮助识别物品。 它看起来像什么:N1 - Netscape 4:user_pref“browser.startup.homepage”,“www.google.com”); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6:user_pref(“browser.startup.homepage”,“http://www.google.com”); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6:user_pref(“browser.search.defaultengine”,“engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js) 该怎么办:通常Netscape和Mozilla主页和搜索页面都是安全的。他们很少被劫持,只有Lop.com知道这样做。如果您看到一个您无法识别为主页或搜索页面的网址,请让HijackThis修复此问题。 它看起来像什么:O1 - 主机:216.177.73.139 auto.search.msn.comO1 - 主机:216.177.73.139 search.netscape.comO1 - 主持人:216.177.73.139 ieautosearchO1 - 主机文件位于C: Windows Help hosts 该怎么办:此劫持将地址重定向到右侧的IP地址。如果IP不属于该地址,则每次输入地址时都会将您重定向到错误的站点。您可以随时使用HijackThis修复这些,除非您故意将这些行放在Hosts文件中。 最后一项有时会出现在具有Coolwebsearch感染的Windows 2000 / XP上。始终修复此项目,或让CWShredder自动修复它。 它看起来像什么:O2 - BHO:雅虎!同伴BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO :(无名称) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL(文件丢失)O2 - BHO:MediaLoads已增强 - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL 该怎么办:如果您不直接识别浏览器助手对象的名称,请使用TonyK的BHO和工具栏列表按类ID(CLSID,大括号之间的数字)查找它,看看它是好还是坏。在BHO列表中,“X”表示间谍软件,“L”表示安全。 它看起来像什么: O3 - 工具栏:和雅虎!伴侣 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - 工具栏:弹出消除器 - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL(文件丢失)O3 - 工具栏:rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL 该怎么办:如果您没有直接识别工具栏的名称,请使用TonyK的BHO和工具栏列表按类ID(CLSID,大括号之间的数字)查找它,看看它是好还是坏。在工具栏列表中,“X”表示间谍软件,“L”表示安全。如果它不在列表中,并且名称似乎是随机字符串,并且文件位于“应用程序数据”文件夹中(就像上面示例中的最后一个),它可能是Lop.com,你肯定应该有HijackThis修复它。 它看起来像什么:O4 - HKLM .. 运行:ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. 运行:SystemTray SysTray.ExeO4 - HKLM .. 运行:ccApp“C: Program Files Common Files Symantec Shared ccApp.exe”O4 - 启动:Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - 全球启动:winlogon.exe 该怎么办:使用PacMan的启动列表查找条目,看它是好还是坏。 如果项目显示位于启动组中的程序(如上面的最后一项),如果此程序仍在内存中,则HijackThis无法修复该项目。使用Windows任务管理器(TASKMGR.EXE)在修复之前关闭进程。 它看起来像什么: O5 - control.ini:inetcpl.cpl = no 该怎么办:除非您或您的系统管理员故意隐藏控制面板中的图标,否则请让HijackThis修复它。 它看起来像什么:O6 - HKCU Software Policies Microsoft Internet Explorer 限制存在 该怎么办:除非你有Spybot S&D选项“锁定主页来自更改”,或者你的系统管理员把它放到位,否则让HijackThis解决这个问题。 它看起来像什么:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System,DisableRegedit = 1 该怎么办:总是有HijackThis解决此问题,除非您的系统管理员已将此限制纳入其中。 它看起来像什么: O8 - 额外的上下文菜单项:&Google搜索 - res:// C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - 额外的上下文菜单项:Yahoo!搜索 - file:/// C: Program Files Yahoo! Common / ycsrch.htmO8 - 额外的上下文菜单项:Zoom&In - C: WINDOWS WEB zoomin.htmO8 - 额外的上下文菜单项:缩放O&ut - C: WINDOWS WEB zoomout.htm 该怎么办:如果您在IE中的右键菜单中无法识别该项目的名称,请让HijackThis修复它。 它看起来像什么: O9 - 额外按钮:Messenger(HKLM)O9 - 额外'工具'menuitem:Messenger(HKLM)O9 - 额外按钮:AIM(HKLM) 该怎么办:如果您无法识别按钮或菜单项的名称,请让HijackThis修复它。 它看起来像什么: O10 - New.Net劫持互联网访问O10 - 由于LSP提供商'c: progra~1 common~2 toolbar cnmib.dll'丢失而导致Internet访问中断O10 - Winsock LSP中的未知文件:c: program files newton knows vmain.dll 该怎么办:最好使用Cexx.org的LSPFix或Kolla.de的Spybot S&D来解决这些问题。 请注意,出于安全问题,HijackThis不会修复LSP堆栈中的“未知”文件。 它看起来像什么: O11 - 选项组:CommonName CommonName 该怎么办:截至目前,唯一一个将自己的选项组添加到IE高级选项窗口的劫持者是CommonName。所以你总能拥有HijackThis解决这个问题。 它看起来像什么: O12 - .spop的插件:C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - .PDF的插件:C: Program Files Internet Explorer PLUGINS nppdf32.dll 该怎么办:大多数时候这些都是安全的。只有OnFlow在这里添加了一个你不想要的插件(.ofb)。 它看起来像什么: O13 - DefaultPrefix:http://www.pixpox.com/cgi-bin/click.pl?url =O13 - WWW前缀:http://prolivation.com/cgi-bin/r.cgi?O13 - WWW。前缀:http://ehttp.cc/? 该怎么办:这些总是很糟糕。有HijackThis修复它们。 它看起来像什么: O14 - IERESET.INF:START_PAGE_URL = http://www.searchalot.com 该怎么办:如果URL不是您的计算机或ISP的提供商,请让HijackThis修复它。 它看起来像什么: O15 - 可信区域:http://free.aol.comO15 - 可信区域:* .coolwebsearch.comO15 - 可信区域:* .msn.com 该怎么办:大多数情况下,只有AOL和Coolwebsearch会默默地将网站添加到受信任区域。如果您没有自己将列出的域添加到受信任区域,请让HijackThis修复它。 它看起来像什么: O16 - DPF:雅虎!聊天 - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash对象) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab 该怎么办:如果您无法识别对象的名称或从中下载的URL,请使用HijackThis修复它。如果名称或网址包含'dialer','casino','free_plugin'等字样,请务必修复。 Javacool的SpywareBlaster有一个庞大的恶意ActiveX对象数据库,可用于查找CLSID。 (右键单击列表以使用“查找”功能。) 它看起来像什么: O17 - HKLM System CCS Services VxD MSTCP:Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters:Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony:DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}:Domain = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters:SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP:NameServer = 69.57.146.14,69.57.147.175 该怎么办:如果域不是来自您的ISP或公司网络,请让HijackThis修复它。 “SearchList”条目也是如此。对于'NameServer'(DNS服务器)条目,谷歌的IP或IP,很容易看出它们是好还是坏。 它看起来像什么: O18 - 协议:相关链接 - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA~1 COMMON~1 MSIETS msielink.dllO18 - 协议:mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - 协议劫持:http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 该怎么办:只有少数劫机者出现在这里。已知的坏人是'cn'(CommonName),'ayb'(Lop.com)和'relatedlinks'(Huntbar),你应该有HijackThis修复那些。显示的其他内容要么尚未确认安全,要么被间谍软件劫持(即CLSID已被更改)。在最后一种情况下,让HijackThis修复它。 它看起来像什么: O19 - 用户样式表:c: WINDOWS Java my.css 该怎么办:在浏览器减速和频繁弹出的情况下,如果HijackThis显示在日志中,请将此项修复。但是,由于只有Coolwebsearch这样做,所以最好使用CWShredder来修复它。 它看起来像什么: O20 - AppInit_DLLs:msconfd.dll 该怎么办:位于HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows的此注册表值在用户登录时将DLL加载到内存中,之后它将保留在内存中直到注销。很少有合法程序使用它(Norton CleanSweep使用APITRAP.DLL),大多数情况下它被特洛伊木马或侵略性浏览器劫持者使用。 如果从此注册表值加载“隐藏”DLL(仅在Regedit中使用“编辑二进制数据”选项时可见),则dll名称可能以管道“|”为前缀使其在日志中可见。 它看起来像什么: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll 该怎么办:这是一种未记录的自动运行方法,通常由少数Windows系统组件使用。 Windows启动时,Explorer会加载HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad中列出的项目。 HijackThis使用几个非常常见的SSODL项目的白名单,因此每当项目显示在日志中时,它都是未知的并且可能是恶意的。小心对待。 它看起来像什么: O22 - SharedTaskScheduler :(无名称) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll 该怎么办:这是仅用于Windows NT / 2000 / XP的未记录的自动运行,很少使用。到目前为止只有CWS.Smartfinder使用它。小心对待。 它看起来像什么: O23 - 服务:Kerio个人防火墙(PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe 该怎么办:这是非Microsoft服务的列表。该列表应与您在Windows XP的Msconfig实用程序中看到的列表相同。一些木马劫机者使用自制服务来吸引其他创业公司重新安装。全名通常很重要,如“网络安全服务”,“工作站登录服务”或“远程过程调用助手”,但内部名称(括号之间)是一串垃圾,如“Ort”。该行的第二部分是文件末尾的文件所有者,如文件属性中所示。 请注意,修复O23项目只会停止服务并禁用它。需要手动或使用其他工具从注册表中删除该服务。在HijackThis 1.99.1或更高版本中,可以使用“其他工具”部分中的“删除NT服务”按钮。 F0,F1,F2,F3 - 来自INI文件的自动加载程序
N1,N2,N3,N4 - Netscape / Mozilla开始和搜索页面
O1 - Hostsfile重定向
O2 - 浏览器助手对象
O3 - IE工具栏
O4 - 来自Registry或Startup组的自动加载程序
O5 - IE选项在控制面板中不可见
O6 - 由管理员限制的IE选项访问
O7 - 管理员限制的Regedit访问权限
O8 - IE右键菜单中的额外项目
O9 - 主IE工具栏上的额外按钮,或IE'工具'菜单中的额外项目
O10 - Winsock劫机者
O11 - IE“高级选项”窗口中的额外组
O12 - IE插件
O13 - IE DefaultPrefix劫持
O14 - '重置网页设置'劫持
O15 - 受信任区域中的不需要的站点
O16 - ActiveX对象(又名下载的程序文件)
O17 - Lop.com域名劫持
O18 - 额外协议和协议劫持者
O19 - 用户样式表劫持
O20 - AppInit_DLLs注册表值自动运行
O21 - ShellServiceObjectDelayLoad
O22 - SharedTaskScheduler
O23 - NT服务
