HijackThis日志细解【简明教程增强版】（三）

（五）组别——O1（字母O，代表Other即“其它”类，以下各组同属O类）

1. 项目说明
O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时，浏览器会先检查hosts文件中是否存在该网址的映射，如果有，则直接连接到相应IP地址，不再请求DNS域名解析。这个方法可以用来加快浏览速度，也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。
这个hosts文件在系统中的通常位置为
C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）
注意，没有扩展名。

该文件的一般格式类似

219.238.233.202 www.rising.com.cn

注意，IP地址在前，空格后为网址，下一个映射另起一行。（若有#，则#后的部分作为注释，不起作用。）
上面的例子中，瑞星的主页 www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来，一旦用户要访问 www.rising.com.cn，浏览器根据hosts文件中的内容，会直接连接219.238.233.202。在这个例子中，这个219.238.233.202实际上正是瑞星主页的IP地址，所以这样做加快了访问速度（省掉了DNS域名解析这一步），在好几年前，这是一个比较常用的加快浏览的方法（那时上网费用高、小猫跑得又慢），现在这个方法用得少了。而且，这个方法有个缺陷，那就是，一旦想要浏览的网站的IP地址变动了，就不能正常浏览该网站了，必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用，它们修改hosts文件，建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1（127.0.0.1就是指您自己的电脑），那么您就打不开那些反病毒软件的网站，清除木马等恶意程序就更加困难，甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站（比如google等）指向其它一些网站的IP地址，增加后者的访问量。当然，也可以直接用此方法重定向浏览器的搜索页。

2. 举例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，默认搜索页（auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页）被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能，都被带到216.177.73.139这个地方。

下面是XP的原始Hosts文件的内容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#开始的行都是注释内容，不起作用。最后一行指明本地主机（localhost）的IP地址为127.0.0.1（这是默认的）。

3. 一般建议
HijackThis报告O1项时，一般建议修复它，除非是您自己在Hosts文件中如此设置的。

4. 疑难解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中，那么很可能感染了CoolWebSearch（跟上面提到的Lop.com一样著名的恶意网站家族），应该使用HijackThis修复相关项。当然，别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）。

（六）组别——O2
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO，即Browser Helper Objects，指的是浏览器的辅助模块（或称辅助对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂，诺顿杀毒、goolge等都可能出现在这里，而这里也是一些间谍软件常出没的地方。

2. 举例：
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带（Net Transport）的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车（FlashGet）的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader（用来处理PDF文件）的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。

3. 一般建议
可能的O2项实在太多了，此处无法一一列举。网上有一些很好的BHO列表，大家可以在里面查询相关的项目信息。
相关资料查询地址举例：
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。
修复前请仔细分析，看看是否认得这个东西的名字，看看它所在的路径，不能一概而论。最好进一步查询相关资料，千万不要随意修复。对于标记为X的恶意模块，一般建议修复。

4. 疑难解析
HijackThis修复O2项时，会删除相关文件。但对于某些O2项，虽然选择了让HijackThis修复，下次扫描时却还在。出现此情况时，请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行，建议重新启动到安全模式直接删除该文件。有时，会遇到一个如下的项目（后面没内容）
O2 - BHO:
总是删不掉，怀疑这是3721的项目，如果您安装了3721，则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。