Logfile of HijackThis v1.97.7——這裡表明這是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——掃瞄並存檔的時間
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系統版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微軟IE瀏覽器版本
組別——R
R – 註冊表中的默認起始主頁和默認搜索頁的改變
R0 - 默認頁改變
R1 - 新建的註冊表值(V),或稱為鍵值
R2 - 新建的註冊表項(K),或稱為鍵
R3 - 在本來應該只有一個鍵值的地方新建的額外鍵值
說明:
R0、R1、R2、R3 都是IE的默認起始主頁和默認搜索頁的改變
舉例:
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page=http://www.google.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL=http://www.google.com/
上面的例子中,默認主頁被改變,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:WINDOWSDOWNLOADED PROGRAM FILESBDSRHOOK.DLL
這是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:WINDOWSDOWNLO~1CNSHOOK.DLL
這是3721網絡實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤。此錯誤可以用HijackThis修復。
處理方法:
如果你認得後面的網址,知道它是安全的,甚至那就是你自己這樣設置的,當然不用去修復。否則的話,在那一行前面打勾,然後按「Fix checked」,讓HijackThis修復它。對於R3,一般總是要選修復,除非它指向一個你認識的程序(比如百度搜索和3721網絡實名)。
組別——F
F - ini文件中的自動運行程序。
F0 - ini文件中改變的值
F1 - ini文件中新建的值
說明:
F0, F1 - 這都是ini文件(system.ini、win.ini)中啟動的自動運行程序。
舉例:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
上面的例子中,在system.ini文件中,默認的Shell=Explorer.exe後面又啟動了一個Openme.exe,這個Openme.exe十分可疑。在win.ini中,啟動了hpfsched這個程序,需要分析。
處理方法:
基本上,F0提示的Explorer.exe後面的程序總是有問題的,一般應該修復。
F1後面的需要慎重對待,一些老的程序的確要在這裡加載。所以應該仔細看看加載的程序的名字,在電腦上查找一下,具體問題具體分析。
組別——N
N - Netscape、Mozilla瀏覽器的默認起始主頁和默認搜索頁的改變
N1 - Netscape 4.x中,prefs.js的改變。
N2 - Netscape 6中,prefs.js的改變。
N3 - Netscape 7中,prefs.js的改變。
N4 - Mozilla中,prefs.js的改變。
說明:
N1、N2、N3、N4 - 這都是Netscape、Mozilla瀏覽器的默認起始主頁和默認搜索頁的改變。
舉例:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:Program FilesNetscapeUsersdefaultprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
上面的例子列出了現在的默認頁和相關配置文件的位置。
處理方法:
一般來說,Netscape和Mozilla的默認起始主頁和默認搜索頁是比較安全的,很少被修改。如果你在默認起始主頁或默認搜索頁看到了一個陌生的地址,可以修復它。
組別——O(這是字母O哦!)
O - 其它類,包含很多方面,下面一一詳述。
O1 - 在Hosts文件中將默認搜索頁重新定向。
說明:O1出現,表明在Hosts文件中,默認搜索頁可能被重新定向了。這裡出現的其實不僅是搜索頁,通過Hosts文件,可以把各種網頁和不屬於它的IP地址聯繫起來。
舉例:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默認搜索頁(auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的默認搜索頁)被指向了216.177.73.139這個IP地址。造成每次使用瀏覽器的搜索功能,都被帶到216.177.73.139這個地方。
處理方法:
一般你應該修復它,除非是你自己在Hosts文件中如此設置的。
O2 - 列舉現有的IE瀏覽器的BHO模塊。
說明:BHO,即Browser Helper Objects,指的是瀏覽器的輔助模塊。
常見項舉例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:Program FilesXiNet TransportNTIEHelper.dll
這是影音傳送帶(Net Transport)的模塊。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:PROGRAM FILESFLASHGETJCCATCH.DLL
這是網際快車(FlashGet)的模塊。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:WINDOWSDOWNLO~1BDSRHOOK.DLL
這是百度搜索的模塊。
O2 - BHO: (no name) - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:PROGRAM FILES3721CESCESWEB.DLL
這是3721的中文郵(我沒用過,這個不確定)。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:PROGRAM FILES3721ASSISTASSIST.DLL
這是3721上網助手的模塊。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:AdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
這是Adobe Acrobat Reader(用來處理PDF文件)的模塊。
相關資料查詢地址舉例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
(通常,在以上網址的查詢結果中,標記為L的是合法的模塊,標記為X的是間諜/廣告模塊,標記為O的為暫時無結論的。)
處理方法:
這個必須仔細分析,看看是否認得這個東西的名字,看看它所在的路徑,不能一概而論。可以進一步查詢相關資料,千萬不要隨意修復。
O3 - 列舉現有的IE瀏覽器的工具條。(注意,這裡列出的是工具條,一般是包含多個項目的那種。)
說明:除了IE自帶的一些工具條外,其它軟件也會安裝一些工具條,HijackThis在O3項中把它們列出來。
常見項舉例:
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
這是Windows Media Player 2 ActiveX Control,媒體播放器的ActiveX控制項。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRAM FILESFLASHGETFGIEBAR.DLL
這是網際快車(FlashGet)的IE工具條。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:Program FilesKAV5KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:KAV2003KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:KAV2003KIETOOL.DLL
上面三個是金山毒霸的IE工具條。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:PROGRA~1KINGSOFTFASTAITIEBAND.DLL
這個是金山快譯的IE工具條。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:PROGRAM FILES3721ASSISTASSIST.DLL
3721上網助手的IE工具條。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:WINDOWSDownloaded Program Filesgooglenav.dll
這個是google的IE工具條。
相關資料查詢地址舉例:
http://www.spywareinfo.com/toolbars/
(通常,標記為L的是合法的模塊,標記為X的是間諜/廣告模塊,標記為O的為暫時無結論的。)
處理方法:
同O2,這個也必須仔細分析,看看是否認得這個東西的名字,看看它在IE的工具欄是什麼(有一些可能安裝了但沒有顯示,在IE的工具欄點右鍵可以看到一些),看看它所在的路徑,不能一概而論。可以進一步查詢相關資料,千萬不要隨意修復。
如果在資料查詢列表中找不到,其名稱又似乎是隨機的,而路徑則在「APPLICATION DATA」下,一般是有問題的,建議修復。如O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL
O4 - 列舉自啟動項。
說明:就是平常大家最關心的自啟動程序。
常見項舉例:
註:中括號前面是註冊表主鍵位置
中括號中是鍵值
中括號後是數據
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
註冊表自檢
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS askmon.exe
windows任務優化器(Windows Task Optimizer)
O4 - HKLM..Run: [SystemTray] SysTray.Exe
Windows電源管理程序
O4 - HKLM..Run: [RavTimer] C:PROGRAM FILESRISINGRAVRavTimer.exe
O4 - HKLM..Run: [RavMon] C:PROGRAM FILESRISINGRAVRavMon.exe
O4 - HKLM..Run: [ccenter] C:Program Files isingRavCCenter.exe
上面三個均是瑞星的自啟動程序。
O4 - HKLM..Run: [helper.dll] C:WINDOWS undll32.exe C:PROGRA~13721helper.dll,Rundll32
O4 - HKLM..Run: [BIE] Rundll32.exe C:WINDOWSDOWNLO~1BDSRHOOK.DLL,Rundll32
上面兩個是3721和百度的自啟動程序。(不是經常有朋友問進程裡的Rundll32.exe是怎麼來的嗎?)
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
Windows計劃任務
O4 - HKLM..RunServices: [RavMon] C:PROGRAM FILESRISINGRAVRavMon.exe /AUTO
O4 - HKLM..RunServices: [ccenter] C:Program Files isingRavCCenter.exe
上面兩個也是瑞星的自啟動程序。
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
這是微軟Office在「開始——程序——啟動」中的啟動項。
這裡僅僅舉幾個例子,因為這樣的項目太多,不勝枚舉。請您進一步查詢相關網頁。
相關資料查詢地址舉例:
http://www.oixiaomi.net/systemprocess.html
這是中文的,一些常見的項目均可查到。
http://www.sysinfo.org/startuplist.php
這是英文的,很全面。其中一些標記的含義——
Y - 一般應該允許運行。
N - 非必須程序,可以留待需要時手動啟動。
U - 由用戶根據具體情況決定是否需要 。
X - 明確不需要的,一般是病毒、間諜軟件、廣告等。
? - 暫時未知
處理方法:
建議對照上面的相關網址的信息,來決定取捨。
O5 - 控制面板中被屏蔽的一些IE選項
說明:一些惡意程序會隱藏控制面板中關於IE的一些選項,這裡就顯示被隱藏項。
舉例:
O5 - control.ini: inetcpl.cpl=no
這裡隱藏了控制面板中的internet選項
處理方法:
除非你知道隱藏了某些選項,否則應該用HijackThis修復。
O6 - Internet選項被禁用
說明:管理員可以對Internet選項的使用進行限制,一些惡意程序也會這樣阻撓修復。
舉例:
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
這裡禁用了internet選項
處理方法:
除非你知道禁用了internet選項(比如使用一些管理軟件),否則應該用HijackThis修復。
O7 - 註冊表編輯器(regedit)被禁用
說明:管理員可以對註冊表編輯器的使用進行限制,一些惡意程序也會這樣阻撓修復。
舉例:
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
這裡禁用了註冊表編輯器
處理方法:
一般來說,應該用HijackThis修復。
O8 - IE的右鍵菜單中的新增項目
說明:除了IE本身的右鍵菜單之外,一些程序也能向其中添加項目。
舉例:
O8 - Extra context menu item: 使用網際快車下載 - C:PROGRAM FILESFLASHGETjc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - C:PROGRAM FILESFLASHGETjc_all.htm
這是網際快車(FlashGet)添加的。
O8 - Extra context menu item: &Download by NetAnts - C:PROGRA~1NETANTSNAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:PROGRA~1NETANTSNAGetAll.htm
這是網絡螞蟻(NetAnts)添加的。
O8 - Extra context menu item: 使用影音傳送帶下載 - C:PROGRA~1XiNETTRA~1NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部鏈接 - C:PROGRA~1XiNETTRA~1NTAddList.html
這是影音傳送帶(Net Transport)添加的。
O8 - Extra context menu item: 導出到 Microsoft Excel(&x) - res://F:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
這是Office添加的。
處理方法:
如果不認得新添加的項目,其所在路徑也可疑,可以用HijackThis修復。
說明:O3是工具條,這裡是新增的單個工具欄按鈕和IE「工具」菜單項目。
舉例:
O9 - Extra button: QQ (HKLM)
就是IE工具欄上的QQ按鈕。
O9 - Extra button: UC (HKLM)
IE工具欄上的UC按鈕。
O9 - Extra button: FlashGet (HKLM)
IE工具欄上的網際快車(FlashGet)按鈕。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE「工具」菜單中的網際快車(FlashGet)項。
O9 - Extra button: NetAnts (HKLM)
IE工具欄上的網絡螞蟻(NetAnts)按鈕。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE「工具」菜單中的網絡螞蟻(NetAnts)項。
O9 - Extra button: Related (HKLM)
IE工具欄上的「顯示相關站點」按鈕。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE「工具」菜單中的「顯示相關站點」項。
O9 - Extra button: Messenger (HKLM)
IE工具欄上的Messenger按鈕。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE「工具」菜單中的「Windows Messenger」項。
處理方法:
如果不認得新添加的項目或按鈕,可以用HijackThis修復。
O10 - Winsock LSP瀏覽器「劫持」。
說明:修改Winsock 2的設置,進行Winsock Layered Service Provider (LSP)的瀏覽器「劫持」。最著名的如New.Net插件或WebHancer組件,它們是安裝一些軟件時帶來的你不想要的東西。相關的中文信息可參考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
舉例:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider `c:progra~1common~2 oolbarcnmib.dll` missing
O10 - Unknown file in Winsock LSP: c:program files ewton knowsvmain.dll
處理方法:
建議使用專門工具修復。
LSPFix
http://www.cexx.org/lspfix.htm
Spybot S&D(這也是一個著名的查間諜軟件的免費工具。)
http://www.safer-networking.org/
O11 - IE的高級選項中的新項目。
說明:現在已知只有一個惡意程序在IE的高級選項中添加新項目。
舉例:
O11 - Options group: [CommonName] CommonName
處理方法:
現在已知只有一個惡意程序在IE的高級選項中添加新項目,這個程序叫「CommonName」。建議使用HijackThis來修復。
O12 - IE插件。
說明:擴展IE功能,讓它支持更多擴展名類型文件的插件。
舉例:
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O12 - Plugin for .PDF: C:Program FilesInternet ExplorerPLUGINS ppdf32.dll
處理方法:
絕大部分這類插件是安全的。已知僅有一個插件(OnFlow,用以支持文件類型.ofb)是惡意的,需要修復。
O13 - 對IE默認的URL前綴的修改
說明:對IE默認的URL前綴的修改
舉例:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
處理方法:
使用HijackThis來修復。
O14 - IERESET.INF文件中的改變。
說明:對internet選項中「程序」選項卡內的「重置WEB設置」的修改。
舉例:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
處理方法:
如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者(ISP),可以使用HijackThis修復。
O15 - 「受信任的站點」中的不速之客。
說明:這裡列出自動添加的「受信任的站點」。
舉例:
O15 - Trusted Zone: http://free.aol.com
處理方法:
使用HijackThis來修復。
O16 - 下載的程序文件。
說明:Downloaded Program Files目錄下的那些ActiveX對象。
舉例:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
用來看flash的東東,相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
瑞星在線查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在線查毒。
處理方法:
如果不認得這些ActiveX對象的名字,或者不知道其相關的下載URL,可以使用HijackThis來修復該項。如果名字或者下載URL中帶有「dialer」、「casino」、「free_plugin」字樣, 一般應該修復。
O17 - 域「劫持」
說明:與域相關的改變。
舉例:
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
處理方法:
如果這個域不是你的ISP或你所在的局域網提供的,使用HijackThis來修復。已知Lop.com應該修復。
O18 - 列舉現有的協議(protocols)
說明:用以發現額外的協議和協議「劫持」。
舉例:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:PROGRA~1COMMON~1MSIETSmsielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
處理方法:
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜,可能(只是可能)有一些間諜軟件存在,需要綜合分析。
O19 - 用戶樣式表(stylesheet)「劫持」
說明:樣式表(stylesheet)是一個擴展名為.CSS的文件。
舉例:
O19 - User style sheet: c:WINDOWSJavamy.css
處理方法:
當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出窗口,而HijackThis又報告此項時,建議使用HijackThis修復。
提醒一下,在HijackThis主界面中,您隨時可以選中一個掃瞄到的項目,然後按下「Info on selected item」來獲取相關信息。
最後,用我自己的掃瞄日誌做個複習。
Logfile of HijackThis v1.97.7——這裡表明這是HijackThis的1.97.7版本生成的log文件
Scan saved at 0:36:25, on 2003-12-24——掃瞄並存檔的時間
Platform: Windows XP SP1 (WinNT 5.01.2600)——操作系統版本
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)——微軟IE瀏覽器版本
Running processes:——掃瞄時正在運行的進程
C:WINDOWSSystem32smss.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSsystem32winlogon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSsystem32services.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSsystem32lsass.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSsystem32svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSSystem32svchost.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSsystem32spoolsv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSExplorer.EXE——在http://www.oixiaomi.net/systemprocess.html可以查到
F:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe——卡巴斯基殺毒
F:Program FilesSkyNetFireWallPFWMain.exe——天網防火牆
F:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe——卡巴斯基殺毒
C:WINDOWSSystem32ctfmon.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:Program FilesMSN MessengerMsnMsgr.Exe——MSN
F:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpm.exe——卡巴斯基殺毒
C:WINDOWSSystem32 vsvc32.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSSystem32MsPMSPSv.exe——在http://www.oixiaomi.net/systemprocess.html可以查到
C:WINDOWSSystem32conime.exe——Console IME IME控制台(在google上查到)
C:Program FilesInternet ExplorerIEXPLORE.EXE——IE瀏覽器
C:Program FilesInternet ExplorerIEXPLORE.EXE——IE瀏覽器
E:SOFTLIBTOOLS安全啟動項HijackThis.exe——HijackThis.exe本身
R3 - Default URLSearchHook is missing——上面說過。這裡我修復了。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:Program FilesAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
Acrobat的輔助模塊。
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:PROGRA~1COMMON~1RealToolbar ealbar.dll
real播放器的輔助模塊。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:PROGRA~1FLASHGETjccatch.dll
這是網際快車(FlashGet)的模塊。
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
這是Windows Media Player 2 ActiveX Control,媒體播放器的ActiveX控制項。
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:PROGRA~1COMMON~1RealToolbar ealbar.dll
real播放器的IE工具條。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:PROGRA~1FLASHGETfgiebar.dll
這是網際快車(FlashGet)的IE工具條。
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32——日文輸入法。
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /IMEName
上面兩項是用來提供對中文/日文支持的。在http://www.sysinfo.org/startuplist.php可以查到。
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
Nero刻錄軟件
O4 - HKLM..Run: [SKYNET Personal FireWall] F:Program FilesSkyNetFireWallPFWMain.exe
天網防火牆
O4 - HKLM..Run: [nwiz] nwiz.exe /install——在http://www.oixiaomi.net/systemprocess.html可以查到。
O4 - HKLM..Run: [QuickTime Task] "F:Program FilesQuickTimeqttask.exe" -atboottime
QuickTime播放器
O4 - HKLM..Run: [OfficeGuard RegChecker] "F:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proogrc.exe"
卡巴斯基殺毒軟件
O4 - HKLM..Run: [AVPCC] "F:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe" /wait
卡巴斯基殺毒軟件
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
在http://www.oixiaomi.net/systemprocess.html可以查到
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
就是MSN
O4 - Startup: NTUSER.DAT
O4 - Startup: NTUSER.DAT.LOG
O4 - Startup: ntuser.ini
正常的配置文件。
O8 - Extra context menu item: &Download by NetAnts - F:PROGRA~1NETANTSNAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - F:PROGRA~1NETANTSNAGetAll.htm
O8 - Extra context menu item: 使用網際快車下載 - F:Program FilesFlashGetjc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - F:Program FilesFlashGetjc_all.htm
O8 - Extra context menu item: 導出到 Microsoft Excel(&x) - res://F:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O9 - Extra button: NetAnts (HKLM)
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
以上這些,在前面相關部分都已有介紹,不再重複。
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
到微軟下載時留下的。
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
Office升級時留下的。
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://www.5liao.com/talk.cab
很早以前到過的一個語音聊天室留下的。今天看到才想起來。
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
MSN的。
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
在諾頓作安全檢測留下的。
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
播放Flash需要的。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://211.101.232.4/ravkill/rsonline.cab
瑞星在線查毒。
O16 - DPF: {EC487EBE-3DFA-405E-ADF6-56BE518691F2} (DialogOcx Control) - http://online.jiangmin.com/search/DialogOcx.cab
KV在線查毒。
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
MSN的。
O17 - HKLMSystemCCSServicesTcpip..{1034EF9B-7427-4536-BF38-44E05687ADBF}: NameServer = 202.99.96.68 202.99.64.69
DNS:202.99.96.68. 202.99.64.69
O17 - HKLMSystemCCSServicesTcpip..{6FA0606E-A9CC-487A-BBD9-3D513B517459}: NameServer = 192.168.1.1
我給自己設置的。
好了,到此告一段落,希望能給大家幫上點忙。祝大家新年快樂。
參考文獻
http://mjc1.com/mirror/hjt/
http://merijn.org/htlogtutorial.html
留言列表
