HijackThis日志细解【简明教程增强版】(五)
(九)组别——O5
1. 项目说明
O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现。
2. 举例
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
3. 一般建议
除非您知道隐藏了某些选项(比如公司网管特意设置的),或者是您自己如此设置的,否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十)组别——O6
1. 项目说明
O6提示Internet选项(打开IE——工具——Internet选项)被禁用。管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。这里用到的注册表项目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
2. 举例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
这里禁用了internet选项
3. 一般建议
除非您知道禁用了internet选项(比如网吧使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十一)组别——O7
1. 项目说明
O7提示注册表编辑器(regedit)被禁用。管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
2. 举例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
这里禁用了注册表编辑器。
3. 一般建议
除非您知道禁用了注册表编辑器(比如公司使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十二)组别——O8
1. 项目说明
O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外,一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
2. 举例
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。
3. 一般建议
如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。
4. 疑难解析
(暂无)
(十三)组别——O9
1. 项目说明
O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key
2. 举例
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
3. 一般建议
如果不认得新添加的项目或按钮,可以用HijackThis修复。
4. 疑难解析
(暂无)
(十四)组别——O10
1. 项目说明
O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
2. 举例
O10 - Hijacked Internet access by New.Net
这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
这是被广告程序newtonknows劫持的症状,相关信息可参考
http://www.pestpatrol.com/PestInfo/n/newtonknows.asp
3. 一般建议
一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。
遇到O10项需要修复时,建议使用专门工具修复。
(1)LSPFix
http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)
这两个工具都可以修复此问题,请进一步参考相关教程。
4. 疑难解析
某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。
(十五)组别——O11
1. 项目说明
O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
2. 举例
O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是国内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您自己决定。如果想清除,请先尝试使用“控制面板——添加删除”来卸载相关程序。
3. 一般建议
遇到CommonName应该清除,遇到其它项目请先在网上查询一下。
4. 疑难解析
(暂无)
1. 项目说明
O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现。
2. 举例
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
3. 一般建议
除非您知道隐藏了某些选项(比如公司网管特意设置的),或者是您自己如此设置的,否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十)组别——O6
1. 项目说明
O6提示Internet选项(打开IE——工具——Internet选项)被禁用。管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。这里用到的注册表项目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
2. 举例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
这里禁用了internet选项
3. 一般建议
除非您知道禁用了internet选项(比如网吧使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十一)组别——O7
1. 项目说明
O7提示注册表编辑器(regedit)被禁用。管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
2. 举例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
这里禁用了注册表编辑器。
3. 一般建议
除非您知道禁用了注册表编辑器(比如公司使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。
4. 疑难解析
(暂无)
(十二)组别——O8
1. 项目说明
O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外,一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
2. 举例
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
这是网际快车(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁(NetAnts)添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带(Net Transport)添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。
3. 一般建议
如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。
4. 疑难解析
(暂无)
(十三)组别——O9
1. 项目说明
O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key
2. 举例
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车(FlashGet)按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车(FlashGet)项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁(NetAnts)按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁(NetAnts)项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
3. 一般建议
如果不认得新添加的项目或按钮,可以用HijackThis修复。
4. 疑难解析
(暂无)
(十四)组别——O10
1. 项目说明
O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
2. 举例
O10 - Hijacked Internet access by New.Net
这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
这是被广告程序newtonknows劫持的症状,相关信息可参考
http://www.pestpatrol.com/PestInfo/n/newtonknows.asp
3. 一般建议
一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。
遇到O10项需要修复时,建议使用专门工具修复。
(1)LSPFix
http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)
这两个工具都可以修复此问题,请进一步参考相关教程。
4. 疑难解析
某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。
(十五)组别——O11
1. 项目说明
O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
2. 举例
O11 - Options group: [CommonName] CommonName
这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
这2个是国内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您自己决定。如果想清除,请先尝试使用“控制面板——添加删除”来卸载相关程序。
3. 一般建议
遇到CommonName应该清除,遇到其它项目请先在网上查询一下。
4. 疑难解析
(暂无)
