HijackThis日志细解【简明教程增强版】（一）

转的贴(偶是怕以后看不到了，所以保存下来的)，原文章(By 风之咏者)地址：http://bbs.kingsoft.com/viewthread.php?tid=407983&sid=8miHzP


HijackThis日志细解【简明教程增强版】

一、说在前面的提示（请原谅我啰嗦）

提示一：本文目的
本文的目的是帮助您进一步解读HijackThis扫描日志。如果您只是想知道HijackThis的使用方法，下面列出的2篇文章可以满足您的要求：
1. 图解HijackThis的使用说明
http://community.rising.com.cn/F ... =3095567&page=1
2. HijackThis简明教程（编译+部分原创）
http://community.rising.com.cn/F ... =2525930&page=1
( 后面这一篇点击、回复较多，现在经常出现“无法显示网页”的情况，如果您坚持要参考它，请多尝试几次。:-) 下面的内容本来准备添加到这个帖子里的，只是实在不好浏览，所以最终决定单开一帖了。)

提示二：处理“浏览器绑架”
常见的“浏览器绑架”症状可能有以下一些：
*被重定向到恶意网页
*当输入错误的网址时被重定向
*输入字符时IE速度严重减慢
*重启动后IE主页/搜索页被更改
*不请自来的受信任站点
*收藏夹里自动反复添加恶意网站
*在使用Google和Yahoo搜索时出现某些弹出窗口
*IE 选项卡中出现不能更改或被隐藏的项目
*不能打开 IE 选项卡
等等
如果您遇到了“浏览器绑架”，请首先使用最新版杀毒软件在安全模式查杀病毒、木马，其次，提醒您一下，某些广告程序（尤其是一些没有被杀毒软件列入查杀名单的）会在控制面板的“添加删除”中留下卸载项目，在进行下一步之前您不妨找找看。再次，建议您不妨先尝试一些现成的对付“浏览器绑架”、间谍软件、广告程序的免费工具。比如——
1. Spybot-Search&Destroy

2. Ad-aware

3. CoolWebSearch Shredder （CWShredder.exe）
相关教程：
CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机）简介[原创]
http://community.rising.com.cn/F ... =3926810&page=1

如果您遇到的那些恶意网页是英文的，这些软件常常能帮上您的忙。如果这些软件不起作用，您再尝试使用HijackThis扫描并修复。您也可以把HijackThis生成的log日志文件的内容发到论坛（请贴内容而不要直接抓图贴图），方便大家分析。如果您对HijackThis扫描日志中某些项目不清楚，请不要贸然自行修复，不妨使用搜索引擎在互联网上查找一下。如果您决定将HijackThis扫描日志发到论坛上寻求帮助，请在发布HijackThis扫描日志的同时说明您遇到的具体问题。另外，分析HijackThis扫描日志需要一定的时间，所以请稍稍等待一下。

提示三：使用HijackThis前的步骤
请一定将下载得到的HijackThis放到一个单独的文件夹中，如果下载得到的是压缩包，还要把它解压出来。希望您不要在临时目录中运行HijackThis，也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时，它会自动给修改的项目做备份，保留这些备份文件是个好习惯，一旦修复错了，可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空，而在压缩包中直接运行HijackThis的话，是无法生成备份文件的。
还有，使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。

提示四：使用HijackThis修复时的步骤
1. 有恶意进程正在运行的，请先终止其进程
（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）
2. 使用HijackThis修复
3. 重启动到安全模式，显示隐藏文件和系统文件，删除那些被修复项目相关的文件。（为保险起见，可以先压缩保存。）
4. 重新启动到正常模式，再次运行HijackThis检查一下。

二、HijackThis日志细解正文

（一）HijackThis日志纵览
R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变
F0，F1，F2，F3 ini文件中的自动加载程序
N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，浏览器辅助模块）
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器（regedit）被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表（stylesheet）“劫持”

（二）组别——R

1. 项目说明
R – 注册表中Internet Explorer（IE）的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值（V），或称为键值，可能导致IE主页/搜索页的改变
R2 - 新建的注册表项（K），或称为键，可能导致IE主页/搜索页的改变
R3 - 在本来应该只有一个键值的地方新建的额外键值，可能导致IE搜索页的改变

R3主要出现在URLSearchHooks这一项目上，当我们在IE中输入错误的网址后，浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下，当我们在IE中输入错误的网址后，浏览器会使用默认的搜索引擎（如 http://search.msn.com/、网络实名等）来查找匹配项目。如果HijackThis报告R3项，相关的“浏览器绑架”现象可能是：当在IE中输入错误的网址后，被带到某个莫名其妙的搜索网站甚至其它网页。

2. 举例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）
上面的例子中，默认主页被改变，指向了新的地址 http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误（默认的URLSearchHook丢失）。此错误可以用HijackThis修复。

3. 一般建议
对于R0、R1，如果您认得后面的网址，知道它是安全的，甚至那就是您自己这样设置的，当然不用去修复。否则的话，在那一行前面打勾，然后按“Fix checked”，让HijackThis修复它。
对于R2项，据HijackThis的作者说，实际上现在还没有用到。
对于R3，一般总是要选修复，除非它指向一个您认识的程序（比如百度搜索和3721网络实名）。

4. 疑难解析
(1) 偶尔，在这一组的某些项目后面会出现一个特殊的词——(obfuscated)，例如下面几个
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@ www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@ www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@ www.e-finder.cc/search/ (obfuscated)

obfuscated，中文大意为“使混乱，使糊涂迷惑，使过于混乱或模糊，使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时，还利用各种方法把自己变得不易理解，以躲避人们对注册表内容的查找辨识（比如直接在注册表特定位置添加十六进制字符键值，电脑认得它，一般人可就不认得了）。

(2) 有些R3项目{ }号后面，会跟上一个下划线（ _ ），比如下面几个：

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

这些{ }后面多一个下划线的R3项目，实际上无法使用HijackThis修复（这是HijackThis本身的一个bug）。如果要修复这样的项目，需要打开注册表编辑器（开始——运行——输入 regedit——按“确定”），找到下面的键

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目，但要注意不要误删以下一项
CFBFAE00-17A6-11D0-99CB-00C04FD64497
这一项是默认的。

请注意，如果是在{ }号前面有一个下划线，这些项目HijackThis可以正常清除。比如下面的：
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

（3）最近见到不少后面没有内容的R3项。比如
R3 - URLSearchHook:
怀疑这是3721的项目，如果您安装了3721，则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。