常在论坛见到很多朋友,常说电脑装着某个杀软,然后用一段时间后,用另一个杀软扫描出N个木马病毒这些事情,其实任何杀软毕竟都只能对付有限的一部分病毒。如果平时自己做好手工检查,就不会出现这些情况。
工欲成其事,必先利其器。今天写一下hijackthis这个手工杀毒利器的一些使用方法。hijackthis是国外的一个小工具,短小精悍,对电脑能有比较全面的分析。用起来也不难。好了。废话少说,先来看下hijackthis的界面。
hijackthis打开后的界面如图,比较简单的一个界面。一般用的就是上二项,扫描系统并保存日志,当你系统出毛病时候可以保存分完整的日志让朋友帮你分析第二项开始扫描系统就是对系统进行扫描但不输出日志。
第二个图是我选择开始扫描系统后的图看是第二个图扫描后的界面,里面每一项都有特别的意义。HijackThis 是检查浏览器的细节以及Windows 正在运行什么的一个非常有力的工具。现在介绍一下每一项的意思:
R0, R1, R2, R3 Internet Explorer 起始/搜索页 URLs
F0, F1, F2,F3 自动启动程序
N1, N2, N3, N4 Netscape/Mozilla 起始/搜索页 URLs
O1 主机文件重定向
O2 浏览器辅助程序对象
O3 Internet Explorer 工具栏
O4 注册表自动启动程序
O5 IE 选项图标在控制面板中不可见
O6 IE 选项受管理员限制访问
O7 注册表编辑器受管理员限制访问
O8 IE右键菜单的额外项
O9 IE按钮工具栏中的额外按钮,或IE‘工具’菜单的额外项
O10 Winsock 劫持程序
O11 IE ‘高级’菜单窗口的额外分组
O12 IE 浏览器扩展
O13 IE 默认前缀劫持
O14 ‘重置Web设置’劫持
O15 受信区域中的有害站点
O16 ActiveX 对象 (又叫做 Downloaded Program Files)
O17 Lop.com/域名 劫持程序
O18 额外的协议及协议劫持程序
O19 用户式样表劫持
O20 AppInit_DLLs 注册表值自动运行
O21 ShellServiceObjectDelayLoad
O22 SharedTaskScheduler
O23 Windows XP/NT/2000 服务
下面是仔细的每一项的分析:
R0,R1,R2,R3 区段
这一个区段包括Internet Explorer起始页、主页以及Url搜索钩子。
R0 对应于Internet Explorer起始页和搜索助手。
R1 对应于Internet Explorer搜寻功能和其他特性。
R2 目前没被使用。
R3 对应于 Url 搜索钩子。Url搜寻钩子用于当你在浏览器的地址栏中键入一个http:// 或者ftp:// 等协议的地址的时候。当你输入这种地址时,浏览器将会尝试靠它自己理解选择正确的协议,如果失败了它将会使用在 R3 区段中列出的 UrlSearchHook 试着找到你输入的地址。
F0,F1,F2,F3 区段
这些区段包括从你的.ini文件,system.ini,win.ini以及注册表中等效的位置加载的应用程序。
F0 对应于 system.ini中的 Shell= 语句。在 system.ini 的 shell= 语句在 Windows 9X 及以下(ME也有使用?)的操作系统中被用于指定哪个程序会为作为操作系统的外壳。外壳是负责加载你的桌面,处理窗囗管理,而且让使用者与系统互动的程序。当Windows启动时,在shell语句之后列出的任何的程序都会被载入,并且充当默认的外壳。有一些程序可以被做为合法的外壳替代品,但是他们通常已经不再被使用。对于 F0 ,如果你见到一个类似 Shell=Explorer.exe something.exe 的描述,那么你应该确实的删除它。你通常可以删除这些项目,但是你应该查询 Google 和在下面列出的网站。对于 F1 项目你应该google下在这里找到的项目以确定他们是否合法的程序。你也可以在下面的网站搜寻这些项目看看它是什么。对于 F2, 如果你见到 “UserInit=userinit.exe,” 有或者没有 “nddeagnt.exe”,就像上述的例子中那样,那么你可以不理会它。如果你见到 UserInit=userinit.exe(注意没有逗点) 那仍然没有问题,因此你应该不需要理会它。如果你在 userinit.exe 后面发现其它的项目,那很可能是特洛伊木马或其他的恶意程序。F2 Shell=也是一样:如果你单独见到 “explorer.exe”,它应该没有问题,否则,如果类似上面的例子,那么它可能是潜在的特洛伊木马或恶意程序。你通常可以删除这些项目,但是你应该查询 Google 和在下面列出的站点。请注意当修复这些项目的时候 HijackThis 不会删除除与它关连的文件。你一定要手动删除这些文件。
N1,N2,N3,N4 区段
这些区段对应于Netscape和 Mozilla 浏览器的起始页和默认搜索页。
这些项目被储存在C:\Documents and Settings\YourUserName\Application Data 文件夹下不同的位置的 prefs.js 文件中
O1 区段这个区段对应主机(Host)文件重定向。
O2 区段这个区段对应于浏览器辅助程序对象(Browser Helper Object)。
浏览器辅助程序对象是为你的浏览器扩充功能的插件。他们可能被用于间谍程序和合法的程序,像是 Google 工具栏和 Adobe Acrobat Reader。当你要决定是否移除它们的时候,你最好先研究下它们是否可能是合法的。
O3 区段这个区段对应于Internet Explorer 工具栏。这些是在Internet Explorer的导航栏的下面的工具栏以及菜单。
O4 区段
这个区段对应在确定的注册表键处和启动文件夹中列出的将自动在Windows 启动时被加载的应用程序。
在这里被列出的注册表键适用于 Windows XP,NT,和 2000。如果它们也适用于其他的操作系统,请告诉我:如果它看起来像一个注册表键,它应该在下面列出注册表键列表之中。
Startup: 这些项目提及的应用程序藉由把它们放入已登录的使用者的启动组中来加载。
Global Startup: 这些项目提及的应用程序藉由把他们放入所有的使用者的启动组中来加载。
启动注册表键:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
注意: HKLM 代表 HKEY_LOCAL_MACHINE,而 HKCU 代表 HKEY_CURRENT_USER。
启动位置的完整列表和它们的作用可以在这里找到:Windows Program Automatic Startup Locations
使用的目录:
Startup: c:\documents and setting\username\start menu\program\startup
Global: c:\documents and setting\all user\start menu\program\startup
当你修复 O4 项目的时候,HijackThis不会删除与项目关连的文件。你通常必须重新启动进入安全模式手动删除它们,
清除Global Startup和Startup项目的工作稍微有些不同。HijackThis 将会删除这些项目中找到的快捷方式,而不是他们所指向的文件。
如果是一个可执行程序驻留在Global Sartup或者Startup目录中那么有问题的项目将被删除。
O5 区段这个区段对应于控制板中的Internet选项显示控制。
O6 区段这个区段对应于通过变更注册表的特定设置对在Internet Explorer的选项或主页进行一个管理性的锁定。
O7 区段这个区段对应于通过变更注册表的一个项目从而不允许运行注册表编辑器。
O8 区段这一个区段对应于在Internet Explorer的上下文菜单中发现的额外的项目。
O9 区段这个区段对应于在Internet Explorer工具栏上的按钮或者在Internet Explorer的‘工具’菜单中非默认安装的项目。
O10 区段这个区段对应于 Winsock 劫持程序或者其它已知的LSP.(Layered Service Provider)
O11 区段这个区段对应于已经被添加到 IE 的Internet选项的高级选项卡的一个非默认的选项组。
O12 区段这个区段对应于IE浏览器扩展。
O13 区段这个区段对应于一个 IE 默认前缀(DefaultPrefix) 劫持。
O14 区段这个区段对应于 ‘重置 Web 设置’ 劫持。
O15 区段这个区段对应于在IE受信区域和默认协议中的站点或 IP 地址。
O16 区段这个区段对应于 ActiveX 对象也被称为Downloaded Program Files。
O17 区段这个区段对应于 Lop.com 域名入侵。
O18 区段这个区段对应于额外的协议和协议劫持。
O19 区段这个区段对应于用户式样表劫持。
O20 区段AppInit_DLLs
这个区段对应于通过 AppInit_DLLs 的注册表值和 Winlogon Notify 子键载入文件
AppInit_DLLs 注册表值包含了当 user32.dll被载入时将会载入的一连串的动态链接库。而大多数的 Windows 可执行程序都会使用user32.dll,这意谓着任何在 AppInit_DLLs 注册表键列出的DLL也会被载入。当它被多个进程里面载入的时候,要移除 DLL 将会变得非常困难,其中一些很难在不引起系统不稳定的情况下被终止。user32.dll文件也被很多当你登录时系统自动启动的进程使用。这意谓着 AppInit_DLLs 中的文件将会非常早在我们可以访问系统之前就被载入,Windows 启动程序可以允许DLL隐藏自身或保护自身。
O21 区段这个区段对应于通过 ShellServiceObjectDelayLoad 注册表键载入的文件。
O22 区段这个区段对应于通过 SharedTaskScheduler 注册表值载入的文件。当你启动Windows的时候,这一个注册表项目会自动地运行
O23 区段这个区段对应于XP,NT和2003的系统服务。
服务是在Windows启动时自动载入的程序。这些服务无论是否有使用者登陆到计算机都会被载入,而且经常被广泛用处理系统任务,
像是Windows操作系统功能,防病毒软件或应用程序服务器。近来恶意软件利用服务来感染计算机呈增加趋势。
因此仔细调查列出的看起来不正确的每一个服务是很重要的。你可能找到的常见的恶意软件服务是Home Search Assistant和Bargain Buddy的新变种。你可以在下面找到一些相关的例子。多数的微软服务已经被加到白名单,因此他们将不会被列出。如果你想同时查看它们你可以使用 /ihatewhitelists 参数启动 HijackThis。
当你发现可疑项时候,可以对可疑项前面打上对勾,点下面的修复。注意。HijackThis 并不会删除对应的文件。
总结,值得我们特别注意的项是F0 F1 F2 F3的自启动项,如果你的电脑不是特别旧的话,这些项通常是应该被修复的。还有o4开头的全部是自启动项。也就是木马病毒加载最多的地方。还有就是o20 o21 o23这些自启动项。
好了。大家用附件下载了对自己电脑做个体检吧~ |