[提问贴最好附加本软件生成的分析报告]

      目前电脑安全问题随着网络的越来越普及也显得越来越重要，目前最常见的危害问题可以说反倒已不再是那些文件型的病毒了，而是诸如IE主页被修改、IE各种设置被篡改、IE设置项被禁用、打开IE即被连向恶意网页等等此类的“浏览器劫持”问题！
而目前对于此类“浏览器劫持”问题，各种杀毒软件并没有特别的侧重于这方面，对此类即常见又无解决方法定律的问题，正是目前广大上网用户最需要解决的，而 HijackThis 正是这方面的检测利器！相对于同类工具HijackThis功能非常全面，集各种实用功能于一身！它可以扫描检测出各种存在的浏览器等等方面的问题并给出各种提示解决方案，对于查找系统内的木马/蠕虫也有很好的辅助作用！
如果你遇到各种电脑安全方面的问题，可以用它扫描生成一个日志文件，发到论坛上各位高帮助分析解决问题。目前HijackThis已经成为了各大电脑安全论坛最常见、最有用的工具之一。

Hijackthis可以非常简便的生成一份关于你的电脑的系统环境、正在运行的进程、启动加载项、IE插件等信息的纯文本格式报告。很多新手需要别人帮助分析自己电脑的问题，却又不知道如何检测和说明自己的系统环境和故障现象，为别人提供必要的辅助分析信息。使用Hijackthis，新手可以把Hijackthis自动生成的分析报告直接粘贴到帖子中，便捷的让别人全面了解你的电脑出现故障时的系统环境并发现故障的原因。所以我们建议：所有关于系统安全与稳定性的问题，都附上用Hijackthis生成的分析报告！
Hijackthis 目前最新的版本是1.99.1版，从下面这些地方你可以下载到它：
官方主页（提供英文版下载）：
http://www.spywareinfo.com/~merijn/downloads.html
汉化版第二版：（天空软件站下载页面）
http://www5.skycn.com/soft/15753.html
汉化版：（天天软件下载站下载页面）
http://www.ttdown.com/SoftView/SoftView_29509.html
强烈建议你从上面几个链接地址下载Hijackthis，我们能确保这几个下载链接是安全可靠的。
下面，我们以 Hijackthis 1.99.1 汉化版第二版为例，为新手介绍最简洁的生成 Hijackthis 分析报告的步骤，很简单，你只需要点两次鼠标。

一、简明教程 (1)
      首先，下载 Hijackthis 1.99.1 汉化版第二版，这是一个自解压文件。把它解压到任何一个目录下，无须安装，就可以使用了。
在解压后的目录中找到 HijackThis1991zww.exe 这个文件，双击运行。第一次运行时会出现一个预先备份系统信息的警告，不用管它，直接到下一步，你将看到如上界面。直接点击第一个按钮“扫描系统并保存日志”——
注意：如果双击 HijackThis1991zww.exe 之后程序未能正常运行，而是出现一个缺少某些 dll 文件的错误信息，那是你的系统当中未安装VB运行库文件。你应当先运行目录中的“安装VB库文件.exe”这个文件，然后再执行 HijackThis1991zww.exe，就不会再有问题了。


一、简明教程 (2)

Hijackthis 出现如上界面，并开始自动扫描你的系统——

一、简明教程 (3)

扫描结束之后，Hijackthis 自动打开记事本，生成一个名为 hijackthis.log 的纯文本文件，你要做的，就是把这个文本文件中的所有内容，复制粘贴到你的求助贴的后面，和你的问题一起贴出来。如何，够简单吧？

[ 本帖最后由 阿顺 于 2007-2-23 13:00 编辑 ]

二、一般使用方法 (1)

对于新手而言，看完上面的帖子就可以顺利使用 Hijackthis 了。下面的内容涉及 Hijackthis 的更多功能。
在尝试下面的操作之前，你应当对注册表有一定了解。那样即时出现误操作，你也不会惊慌失措。
Hijackthis 的主界面如上——
点击“扫描”按钮，开始分析。

二、一般使用方法 (2)

扫描结果会在如上界面中显示出来——
直接钩选中有问题的注册表项，点击“修复选项”按钮，Hijackthis 会移除你所选中的注册表项。
很简单吧。问题并不在于如何移除，而在于你要知道什么该移除，什么不该移除。这是你有时需要别人来帮你分析的主要原因——如果你拿不准每一项都是什么东西、干什么用的的话。
下面，我们转贴两篇网上的技术资料，它将详细教你如何解读 Hijackthis 生成的分析报告。

[ 本帖最后由 阿顺 于 2007-2-23 13:03 编辑 ]

三、首页绑架者克星HijackThis 日志分析
----------------------------------
首页绑架者克星HijackThis 日志分析
许多不熟悉浏览器绑架的人发表文章，询问如何通过分析HijackThis的日志来获得帮助，因为他们不理解哪些内容是无害的，而哪些内容是有害的。
本文是一个关于日志含义的基本指南，并包含一些有助于独立阅读本文的提示。本文决不能代替在请求帮助的解答，而只是在某种程度上帮助您自己理解日志的含义。
HijackThis 日志分析
--如何识别有害信息
________________________________________
●分类简表
HijcakThis日志中的每一行以一个分类名称开始。（要查看这一主题的技术信息，单击主窗口中的"Info"按钮，并向下滚动窗口，突出显示某一行并单击"More info on this item"按钮即可。）
要查看实用信息，单击需要获得帮助的分类名称：
* R0, R1, R2, R3 - IE起始页/搜索页 URL
* F0, F1 - 自动加载程序
* N1, N2, N3, N4 - Netscape/Mozilla 起始页/搜索页 URL
* O1 - 主机文件重定向
* O2 - 浏览器辅助对象
* O3 - IE工具栏
* O4 - 从注册表自动加载程序
* O5 - 使IE选项的图标在控制面板中不可见
* O6 -由管理员限制的对IE选项的访问
* O7 -由管理员限制的对注册表编辑器的访问
* O8 - IE右键菜单中的额外项
* O9 - 主IE按钮工具栏上的额外按钮，或IE"工具"菜单中的额外项
* O10 - Winsock绑架程序
* O11 - IE"高级选项"窗口中的额外组
* O12 - IE插件
* O13 - IE DefaultPrefix绑架
* O14 - "重置Web设置"绑架
* O15 - 受信任区域中的有害站点
* O16 - ActiveX对象（aka 下载的程序文件）
* O17 - Lop.com域绑架程序（DNS服务器）
* O18 - 额外协议和协议绑架程序
* O19 - 用户样式表绑架
●症状及治疗方案：
________________________________________
R0、R1、R2、R3－IE起始页和搜索页
症状：
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 -Default URLSearchHook is missing
治疗方案：
如果结尾的URL是您的主页或搜索引擎，那就不用管它。如果您不认可，请检查一下并用HijcakThis修复。
对于R3项，始终修复它们，直到它提及一个您认可的程序为止，比如Copernic。
________________________________________
F0、F1－自动加载程序
症状：
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
治疗方案：
F0项始终是有害的，因此要修复它们。
F1项通常是存在很长时间的安全程序，因此您应该根据其文件名查找与该文件有关的更多信息，以确定它是无害的还是有害的。
________________________________________
N1、N2、N3、N4－Netscape/Mozilla起始页和搜索页
症状：
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
治疗方案：
通常情况下，Netacape和Mozilla的主页及搜索页是安全的。它们极少被绑架。主页和搜索页的URL不是您认可的，请用HilackThis修复它。
________________________________________
O1－主机文件重定向
症状：
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
治疗方案：
这种绑架将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址，那么在您每次键入该地址时，您将被重定向到一个错误的站点。始终用HilackThis修复它们，除非您故意将这些行放到主机文件中。
________________________________________
O2－浏览器辅助对象
症状：
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
治疗方案：
如果您无法直接识别某个浏览器辅助对象的名称，可以使用TonyK的 BHO 列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在BHO列表中，'X'代表侦探软件，'L'代表安全。
________________________________________
O3－IE工具栏
症状：
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
治疗方案：
如果您不能直接识别工具栏的名称，可以使用TonyK的 工具栏列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在工具栏列表中，'X'代表侦探软件，'L'代表安全。
如果它不在列表中，而且其名称似乎是一个随机的字符串，并且该文件位于一个名为'Application Data'的文件夹中的某处（比如上述例子中的最后一个），那么它肯定是有害的，应该用HilackThis修复它。
________________________________________
O4－从注册表自动加载程序
症状：
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
治疗方案：
使用PacMan的 启动列表 来查找这些条目，以确定它们是无害的还是有害的。
________________________________________
O5－使IE选项在控制面板中不可见
症状：
O5 - control.ini: inetcpl.cpl=no
治疗方案：
除非故意隐藏控制面板中的图标，否则用HijackThis修复它。
________________________________________
O6－由管理员限制的对IE选项的访问
症状：
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
治疗方案：
除非激活了 Spybot S&D 选项"Lock homepage from changes"，否则用HijackThis修复这一项。
________________________________________
O7－由管理员限制的对注册表编辑器的访问
症状：
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
治疗方案：
始终用HijackThis修复这一项。
________________________________________
O8－IE右键菜单中的额外项
症状：
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
治疗方案：
如果不能识别IE右键菜单中的项目名称，用HijackThis修复它。
________________________________________
O9－主IE工具栏上的额外按钮，或IE"工具"菜单中的额外项
症状：
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
治疗方案：
如果不能识别按钮或菜单项的名称，用hijackThis修复它。
________________________________________
O10－Wincock绑架程序
症状：
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
治疗方案：
最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
________________________________________
O11－IE"高级选项"窗口中的额外组
症状：
O11 - Options group: [CommonName] CommonName
治疗方案：
现在，惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。
________________________________________
O12－IE插件
症状：
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
治疗方案：
大部分时间内，这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件（.ofb）。
________________________________________
O13－IE DefaultPrefix绑架
症状：
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
治疗方案：
这些项始终是有害的。用HijackThis修复它们。
________________________________________
O14－'重置Web设置'绑架
症状：
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
治疗方案：
如果该URL不是您计算机的厂商或您的ISP，用HijackThis修复它。
________________________________________
O15－受信任区域中的有害站点
症状：
O15 - Trusted Zone: http://free.aol.com
治疗方案：
迄今为止，只有AOL倾向于将自身添加到您的受信任区域，从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。
________________________________________
O16－Active对象（aka 下载的程序文件）
症状：
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab
治疗方案：
如果您你不能识别对象名称，或它下载文件的URL，用HijackThis修复它。如果名称或URL中包含下列单词，比如'dialer'、'casino'、'free-pludin'等等，那么一定要修复它。
________________________________________
O17－Lop.com域绑架（DNS服务器）
症状：
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
治疗方案：
如果域不是来自您的ISP或公司的网络，用HijackThis修复它。
________________________________________
O18－额外协议和协议绑架程序
症状：
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
治疗方案：
这里只显示了少数绑架程序。恶名昭著的还有'cn'（CommonName），'ayb'（Lop.com）和'relatedlinks'（Huntbar），您应该用Hijackthis修复这些项。
显示的其他情况要么是未被确认为安全的，要么是被侦探软件绑架的。如果是后一种情况，用HijackThis修复它。
________________________________________
O19－用户样式表绑架
症状：
O19 - User style sheet: c:\WINDOWS\Java\my.css
治疗方案：
在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在日志中，用HijackThis修复它。
●软件详解        
　　浏览器绑架克星 - HijackThis是一款专门对付恶意网页及木马的程序，它能够将绑架您浏览器的全部恶意程序揪出来！只要你有了它，就相当于请到了一位免费的安全护卫，这个安全护卫会尽心尽责地找出启动项中所有可疑的项目，包括自启动程序和共享软件中的广告发送程序，捆绑在IE中的木马等恶意程序。另外它还提供了对恶意代码的修复功能，如果你遇到利用3721上网助手、超级兔子IE保护器等无法修复的恶意网页，你不妨请出HijackThis来帮帮忙。
　　一、软件的基本信息
　　软件名称：HijackThis
　　最新版本：1.98版
　　软件大小：177KB
　　软件语言：英文
　　软件性质：免费软件
　　运行环境：Win9x/Me/NT/2000/XP
　　软件主页：http://www.spywareinfo.com/
　　二、软件的使用
　　HijackThis不需要安装即可使用，我们只要双击压缩包中的HijackThis.exe，就能直接打开程序的主界面了（如图1所示）。软件的使用非常简单，点击"Scan"按钮后，它会自动对系统进行全方位的安全检测，检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序，以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等。
　检测完成后HijackThis就会将系统中所有可疑的项目列出来（如图2所示）。最后只要我们选中你认为确实属于可疑的项目后，点击"Fix checked"按钮即可对其进行自动修复。
图2
　　提示：在每个可疑项目的前面都会提供一个编号，这些编号代表了不同的类别，如果想了解每个选项的详细信息，我们只要选中某个项目后点击下面的"Info on selected item"按钮即可出现该项的详细说明窗口（如图3所示）。
图3
　　注意：如果修复系统后出现错误，我们可以点击"Config"按钮，切换到"Backups"标签页，在这里选择"Restore"按钮进行恢复；假如修复并重新启动计算机后一切正常，那么就可以选择"Delete"或"Delete all"将此项目彻底清除了。
  三、识别有害信息
　　当然，要想识别有害信息也不是一件容易的事情，刚才提到，每个可疑项目的前面都有一个编号，事实上这些编号分别代表了不同的含义（如图4），下面笔者就结合实例给大家详细说明一下各编号的含义：
图4
　　编号：R0、 R1、 R2、 R3 －－ 代表IE起始页/搜索页 URL
　　例：
　　R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
　　R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
　　R3 ?Default URLSearchHook is missing
　　含义：
　　对于R0、R1、R2中末尾出现的URL地址，如果是您的主页或搜索引擎，那就不用管它。如果不是，请用HijcakThis修复。
　　对于列出的R3项，我们必须始终修复它们，直到它提及一个您认可的程序为止。
　　编号：F0、 F1－－ 代表自动加载的程序
　　例：
　　F0 - system.ini: Shell=Explorer.exe Openme.exe
　　F1 - win.ini: run=hpfsched
　　含义：
　　对于F0中的选项始终是有害的，因此我们必须要修复它们。对于F1项通常是存在很长时间的安全程序，因此您应该根据其文件名查找与该文件有关的更多信息，以确定它是否有害。
　　编号：N1、N2、N3、N4－－代表Netscape/Mozilla起始页和搜索页
　　例：
　　N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
　　N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　含义：
　　通常情况下，Netacape和Mozilla的主页及搜索页很少被绑架。如果这两个URL不是您认可的，请用HilackThis修复它。
编号：O1－－代表主机文件重定向
　　例：
　　O1 - Hosts: 216.177.73.139 auto.search.msn.com
　　O1 - Hosts: 216.177.73.139 search.netscape.com
　　O1 - Hosts: 216.177.73.139 ieautosearch
　　含义：
　　这些绑架程序将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址，那么在您每次键入该地址时，您将被重定向到一个错误的站点。始终用HilackThis修复它们，除非您故意将这些行放到主机文件中。
　　编号：O2－－代表浏览器辅助对象
　　例：
　　O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
　　O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
　　含义：
　　如果您无法直接识别某个浏览器辅助对象的名称，可以使用TonyK的 BHO 列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在BHO列表中，'X'代表侦探软件，'L'代表安全。
　　编号O3－－代表IE工具栏项
　　例：
　　O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
　　O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
　　含义：
　　如果您不能直接识别工具栏的名称，可以使用TonyK的 工具栏列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在工具栏列表中，'X'代表侦探软件，'L'代表安全。
　　如果它不在列表中，而且其名称似乎是一个随机的字符串，并且该文件位于一个名为'Application Data'的文件夹中的某处（比如上述例子中的最后一个），那么它肯定是有害的，应该用HilackThis修复它。
　　编号：O4－－代表从注册表自动加载的程序
　　例：
　　O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
　　O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
　　O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
　　O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
　　含义：
　　04代表启机时自动加载的程序，你要对系统有一定的了解，以确定它们是无害的还是有害的。
　　编号：O5－－使IE选项在控制面板中不可见
　　例：
　　O5 - control.ini: inetcpl.cpl=no
　　含义：
　　除非故意隐藏控制面板中的图标，否则用HijackThis修复它。
　　编号：O6－－由管理员限制的对IE选项的访问
　　例：
　　O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
　　含义：
　　限制了对IE选项的访问，请用HijackThis修复这一项。
编号：O7－－由管理员限制的对注册表编辑器的访问
　　例：
　　O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
　　含义：
　　注册表编辑被禁用，始终用HijackThis修复这一项。
　　编号：O8－－IE右键菜单中的额外项
　　例：
　　O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
　　O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
　　O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
　　O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
　　含义：
　　如果不能识别IE右键菜单中的项目名称，用HijackThis修复它。
　　编号：O9－－主IE工具栏上的额外按钮，或IE"工具"菜单中的额外项
　　例：
　　O9 - Extra button: Messenger (HKLM)
　　O9 - Extra 'Tools' menuitem: Messenger (HKLM)
　　O9 - Extra button: AIM (HKLM)
　　含义：
　　如果不能识别按钮或菜单项的名称，用hijackThis修复它。
　　编号：O10－－Wincock绑架程序
　　例：
　　O10 - Hijacked Internet access by New.Net
　　O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
　　O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
　　含义：
　　最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
　　编号：O11－－IE"高级选项"窗口中的额外组
　　例：
　　O11 - Options group: [CommonName] CommonName
　　含义：
　　现在，惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。
　　编号：O12－－IE插件
　　例：
　　O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
　　O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
　　含义：
　　大部分时间内，这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件（.ofb）。
编号：O13－－IE DefaultPrefix绑架
　　例：
　　O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
　　O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
　　含义：
　　这些项始终是有害的。用HijackThis修复它们。
　　编号：O14－－'重置Web设置'绑架
　　例：
　　O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
　　含义：
　　如果该URL不是您计算机的厂商或您的ISP，用HijackThis修复它。
　　编号：O15－－受信任区域中的有害站点
　　例：
　　O15 - Trusted Zone: http://free.aol.com
　　含义：
　　迄今为止，只有AOL倾向于将自身添加到您的受信任区域，从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。
　　编号：016－－Active对象（aka 下载的程序文件）
　　例：
　　O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
　　O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
　　含义：
　　如果您你不能识别对象名称，或它下载文件的URL，用HijackThis修复它。如果名称或URL中包含下列单词，比如'dialer'、'casino'、'free-pludin'等等，那么一定要修复它。
　　编号：017－－Lop.com域绑架（DNS服务器）
　　例：
　　O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
　　O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
　　O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
　　O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
　　含义：
　　如果域不是来自您的ISP或公司的网络，用HijackThis修复它。
　　编号：O18－－额外协议和协议绑架程序
　　例：
　　O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
　　O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
　　O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
　　含义：
　　这里只显示了少数绑架程序。恶名昭著的还有'cn'（CommonName），'ayb'（Lop.com）和'relatedlinks'（Huntbar），您应该用Hijackthis修复这些项。
　　显示的其他情况要么是未被确认为安全的，要么是被侦探软件绑架的。如果是后一种情况，用HijackThis修复它。
　　编号：O19－－用户样式表绑架
　　例：
　　O19 - User style sheet: c:\WINDOWS\Java\my.css
　　含义：
　　在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在日志中，用HijackThis修复它。

四、HijackThis日志细解正文（一）：日志项纵览
HijackThis日志细解正文（一）：日志项纵览
信息源:瑞星社区 作者:风之咏者
HijackThis日志纵览
R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变
F0，F1，F2，F3 ini文件中的自动加载程序
N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，浏览器辅助模块）
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器（regedit）被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表（stylesheet）“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项

四、HijackThis日志细解正文（二）：组别——R
HijackThis日志细解正文（二）：组别——R
信息源:瑞星社区 作者:风之咏者
1. 项目说明
R – 注册表中Internet Explorer（IE）的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值（V），或称为键值，可能导致IE主页/搜索页的改变
R2 - 新建的注册表项（K），或称为键，可能导致IE主页/搜索页的改变
R3 - 在本来应该只有一个键值的地方新建的额外键值，可能导致IE搜索页的改变
R3主要出现在URLSearchHooks这一项目上，当我们在IE中输入错误的网址后，浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下，当我们在IE中输入错误的网址后，浏览器会使用默认的搜索引擎（如http://search.msn.com/、网络实名等）来查找匹配项目。如果HijackThis报告R3项，相关的“浏览器绑架”现象可能是：当在IE中输入错误的网址后，被带到某个莫名其妙的搜索网站甚至其它网页。
2. 举例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
（HKCU就是HKEY_CURRENT_USER，HKLM就是HKEY_LOCAL_MACHINE，下同）
上面的例子中，默认主页被改变，指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误（默认的URLSearchHook丢失）。此错误可以用HijackThis修复。
3. 一般建议
对于R0、R1，如果您认得后面的网址，知道它是安全的，甚至那就是您自己这样设置的，当然不用去修复。否则的话，在那一行前面打勾，然后按“Fix checked”，让HijackThis修复它。
对于R2项，据HijackThis的作者说，实际上现在还没有用到。
对于R3，一般总是要选修复，除非它指向一个您认识的程序（比如百度搜索和3721网络实名）。
4. 疑难解析
(1) 偶尔，在这一组的某些项目后面会出现一个特殊的词——(obfuscated)，例如下面几个
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
obfuscated，中文大意为“使混乱，使糊涂迷惑，使过于混乱或模糊，使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时，还利用各种方法把自己变得不易理解，以躲避人们对注册表内容的查找辨识（比如直接在注册表特定位置添加十六进制字符键值，电脑认得它，一般人可就不认得了）。
(2) 有些R3项目{ }号后面，会跟上一个下划线（ _ ），比如下面几个：
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
这些{ }后面多一个下划线的R3项目，实际上无法使用HijackThis修复（这是HijackThis本身的一个bug）。如果要修复这样的项目，需要打开注册表编辑器（开始——运行——输入 regedit——按“确定”），找到下面的键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目，但要注意不要误删以下一项
CFBFAE00-17A6-11D0-99CB-00C04FD64497
这一项是默认的。
请注意，如果是在{ }号前面有一个下划线，这些项目HijackThis可以正常清除。比如下面的：
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)
（3）最近见到不少后面没有内容的R3项。比如
R3 - URLSearchHook:
怀疑这是3721的项目，如果您安装了3721，则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。

四、HijackThis日志细解正文（四）：组别——N
HijackThis日志细解正文（四）：组别——N
www.rising.com.cn 2004-8-5 15:08:00 信息源:瑞星社区 作者:风之咏者
  
1. 项目说明
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中，浏览器的默认起始主页和默认搜索页的改变
N2 - Netscape 6中，浏览器的默认起始主页和默认搜索页的改变
N3 - Netscape 7中，浏览器的默认起始主页和默认搜索页的改变
N4 - Mozilla中，浏览器的默认起始主页和默认搜索页的改变
与这些改变相关的文件为prefs.js。
2. 举例
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
3. 一般建议
一般来说，Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的，很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址，可以修复它。
已知，Lop.com（Live Online Portal）这个网站会修改上述N类项。有兴趣者请参考此链接提供的详细信息
http://www.doxdesk.com/parasite/lop.html

四、HijackThis日志细解正文（五）：组别——O1
HijackThis日志细解正文（五）：组别——O1
信息源:瑞星社区 作者:风之咏者

（字母O，代表Other即“其它”类，以下各组同属O类）
1. 项目说明
O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时，浏览器会先检查hosts文件中是否存在该网址的映射，如果有，则直接连接到相应IP地址，不再请求DNS域名解析。这个方法可以用来加快浏览速度，也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。
这个hosts文件在系统中的通常位置为
C:\WINDOWS\HOSTS （Windows 3.1、95、98、Me）
或
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS （Windows NT、2000）
或
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS （XP、2003）
注意，没有扩展名。
该文件的一般格式类似
219.238.233.202
注意，IP地址在前，空格后为网址，下一个映射另起一行。（若有#，则#后的部分作为注释，不起作用。）
上面的例子中，瑞星的主页和IP地址219.238.233.202在hosts文件中互相关联起来，一旦用户要访问，浏览器根据hosts文件中的内容，会直接连接219.238.233.202。在这个例子中，这个219.238.233.202实际上正是瑞星主页的IP地址，所以这样做加快了访问速度（省掉了DNS域名解析这一步），在好几年前，这是一个比较常用的加快浏览的方法（那时上网费用高、小猫跑得又慢），现在这个方法用得少了。而且，这个方法有个缺陷，那就是，一旦想要浏览的网站的IP地址变动了，就不能正常浏览该网站了，必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用，它们修改hosts文件，建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1（127.0.0.1就是指您自己的电脑），那么您就打不开那些反病毒软件的网站，清除木马等恶意程序就更加困难，甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站（比如google等）指向其它一些网站的IP地址，增加后者的访问量。当然，也可以直接用此方法重定向浏览器的搜索页。
2. 举例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，默认搜索页（auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页）被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能，都被带到216.177.73.139这个地方。
下面是XP的原始Hosts文件的内容
# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
所有以#开始的行都是注释内容，不起作用。最后一行指明本地主机（localhost）的IP地址为127.0.0.1（这是默认的）。
3. 一般建议
HijackThis报告O1项时，一般建议修复它，除非是您自己在Hosts文件中如此设置的。
4. 疑难解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中，那么很可能感染了CoolWebSearch（跟上面提到的Lop.com一样著名的恶意网站家族），应该使用HijackThis修复相关项。当然，别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）。
四、HijackThis日志细解正文（六）：组别——O2
HijackThis日志细解正文（六）：组别——O2
www.rising.com.cn 2004-8-5 15:15:00 信息源:不详
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO，即Browser Helper Objects，指的是浏览器的辅助模块（或称辅助对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂，诺顿杀毒、goolge等都可能出现在这里，而这里也是一些间谍软件常出没的地方。
2. 举例：
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带（Net Transport）的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车（FlashGet）的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader（用来处理PDF文件）的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。
3. 一般建议
可能的O2项实在太多了，此处无法一一列举。网上有一些很好的BHO列表，大家可以在里面查询相关的项目信息。
相关资料查询地址举例：
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。
修复前请仔细分析，看看是否认得这个东西的名字，看看它所在的路径，不能一概而论。最好进一步查询相关资料，千万不要随意修复。对于标记为X的恶意模块，一般建议修复。
4. 疑难解析
HijackThis修复O2项时，会删除相关文件。但对于某些O2项，虽然选择了让HijackThis修复，下次扫描时却还在。出现此情况时，请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行，建议重新启动到安全模式直接删除该文件。有时，会遇到一个如下的项目（后面没内容）
O2 - BHO:
总是删不掉，怀疑这是3721的项目，如果您安装了3721，则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。

四、HijackThis日志细解正文（七）：组别——O3
HijackThis日志细解正文（七）：组别——O3
信息源:瑞星社区 作者:风之咏者
  
1. 项目说明
O3项列举现有的IE浏览器的工具条（ToolBar，简写为TB）。注意，这里列出的是工具条，一般是包含多个项目的那种。除了IE自带的一些工具条外，其它软件也会安装一些工具条，这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. 举例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control，媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
这是网际快车（FlashGet）的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
这个是诺顿杀毒软件的工具条。
3. 一般建议
同O2，这个也必须仔细分析，看看是否认得这个东西的名字，看看它在IE的工具栏是什么（有一些可能安装了但没有显示，在IE的工具栏点右键可以看到一些），看看它所在的路径，不能一概而论。可以进一步查询相关资料，千万不要随意修复。这里推荐一些好的查询地址
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/toolbars/
http://computercops.biz/CLSID.html
建议使用CLSID（就是“{ }”之间的数字 ）来查找相关项。通常，在以上网址的查询结果中，标记为L的是合法的模块，标记为X的是间谍/广告模块，标记为O的为暂时无结论的。对于标记为X的，一般建议修复。
4. 疑难解析
如果在资料查询列表中找不到，其名称又似乎是随机的，而路径则在“Application Data”下，一般是感染了著名的Lop.com，建议修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
关于Lop.com的详细信息及手工修复方法，请参阅
http://www.doxdesk.com/parasite/lop.html


四、HijackThis日志细解正文（八）：组别——O4
HijackThis日志细解正文（八）：组别——O4
www.rising.com.cn 2004-8-5 16:32:00 信息源:瑞星社区 作者:风之咏者
1. 项目说明
这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说，这里列出的是注册表下面诸键启动的程序。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序，但已经在F2项报告过了。
另外，O4项还报告两种情况，即“Startup:”和“Global Startup:”，在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容（USERNAME指您的用户名）
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意，其它存放在这两个文件夹的文件也会被报告。
我觉得，其实，“启动”文件夹应该被报告，就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录，以至不报告其内容。不是是否如此？望达人告知。
2. 举例
注：中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器（Windows Task Optimizer）
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。（不是经常有朋友问进程里的Rundll32.exe是怎么来的吗？）
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。
3. 一般建议
查表吧！可能的项目太多了，请进一步查询相关资料，千万不要随意修复。推荐一些好的查询地址
http://www.oixiaomi.net/systemprocess.html
这是中文的，一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的，很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序，可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的，一般是病毒、间谍软件、广告等。
? - 暂时未知
还有，有时候直接使用进程的名字在www.google.com上查找，会有意想不到的收获（特别对于新出现的病毒、木马等）。
4. 疑难解析
请注意，有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件）的名字，或者干脆直接使用那些进程的名字，所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着，这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。（终止进程的一般方法：关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）

四、HijackThis日志细解正文（九）：组别——O5
HijackThis日志细解正文（九）：组别——O5
信息源:瑞星社区 作者:风之咏者
1. 项目说明
O5项与控制面板中被屏蔽的一些IE选项相关，一些恶意程序会隐藏控制面板中关于IE的一些选项，这可以通过在control.ini文件中添加相关命令实现。
2. 举例
O5 - control.ini: inetcpl.cpl=no
这里隐藏了控制面板中的internet选项
3. 一般建议
除非您知道隐藏了某些选项（比如公司网管特意设置的），或者是您自己如此设置的，否则应该用HijackThis修复。

四、HijackThis日志细解正文（十）：组别——O6
HijackThis日志细解正文（十）：组别——O6
www.rising.com.cn 2004-8-5 16:39:00 信息源:瑞星社区 作者:风之咏者
1. 项目说明
O6提示Internet选项（打开IE——工具——Internet选项）被禁用。管理员可以对Internet选项的使用进行限制，一些恶意程序也会这样阻挠修复。这里用到的注册表项目是
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
2. 举例
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
这里禁用了internet选项
3. 一般建议
除非您知道禁用了internet选项（比如网吧使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。


四、HijackThis日志细解正文（十一）：组别——O7
HijackThis日志细解正文（十一）：组别——O7
信息源:瑞星社区 作者:风之咏者
1. 项目说明
O7提示注册表编辑器（regedit）被禁用。管理员可以对注册表编辑器的使用进行限制，一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
2. 举例
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
这里禁用了注册表编辑器。
3. 一般建议
除非您知道禁用了注册表编辑器（比如公司使用了一些管理软件），或者是您自己有意设置的（通过改注册表或者使用一些安全软件），否则应该用HijackThis修复。

四、HijackThis日志细解正文（十二）：组别——O8
HijackThis日志细解正文（十二）：组别——O8
信息源:瑞星公司 作者:风之咏者
  
1. 项目说明
O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外，一些程序也能向其中添加项目。相关注册表项目为
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
2. 举例
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm
这是网际快车（FlashGet）添加的。
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
这是网络蚂蚁（NetAnts）添加的。
O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
这是影音传送带（Net Transport）添加的。
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
这是Office添加的。
3. 一般建议
如果不认得新添加的项目，其所在路径也可疑，可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项。  

四、HijackThis日志细解正文（十三）：组别——O9
HijackThis日志细解正文（十三）：组别——O9
www.rising.com.cn 2004-8-5 15:01:00 信息源:瑞星社区 作者:风之咏者
1. 项目说明
  O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条，这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key
2. 举例
O9 - Extra button: QQ (HKLM)
就是IE工具栏上的QQ按钮。
O9 - Extra button: UC (HKLM)
IE工具栏上的UC按钮。
O9 - Extra button: FlashGet (HKLM)
IE工具栏上的网际快车（FlashGet）按钮。
O9 - Extra `Tools` menuitem: &FlashGet (HKLM)
IE“工具”菜单中的网际快车（FlashGet）项。
O9 - Extra button: NetAnts (HKLM)
IE工具栏上的网络蚂蚁（NetAnts）按钮。
O9 - Extra `Tools` menuitem: &NetAnts (HKLM)
IE“工具”菜单中的网络蚂蚁（NetAnts）项。
O9 - Extra button: Related (HKLM)
IE工具栏上的“显示相关站点”按钮。
O9 - Extra `Tools` menuitem: Show &Related Links (HKLM)
IE“工具”菜单中的“显示相关站点”项。
O9 - Extra button: Messenger (HKLM)
IE工具栏上的Messenger按钮。
O9 - Extra `Tools` menuitem: Windows Messenger (HKLM)
IE“工具”菜单中的“Windows Messenger”项。
3. 一般建议
  如果不认得新添加的项目或按钮，可以用HijackThis修复。

四、HijackThis日志细解正文（十四）：组别——O10
HijackThis日志细解正文（十四）：组别——O10
www.rising.com.cn 2004-8-5 15:09:00 信息源:瑞星社区 作者:风之咏者
1. 项目说明
  O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html
2. 举例
O10 - Hijacked Internet access by New.Net
  这是被广告程序New.Net劫持的症状（可以通过“控制面板——添加删除”来卸载）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
  这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时，网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
  这是被广告程序newtonknows劫持的症状，相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp
3. 一般建议
  一定要注意，由于LSP的特殊性，单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络！如果您使用杀毒软件清除间谍程序，可能遇到如上面第二个例子的情况，此时可能无法上网。有时HijackThis在O10项报告网络连接破坏，但其实仍旧可以连通，不过无论如何，修复O10项时一定要小心。
  遇到O10项需要修复时，建议使用专门工具修复。
（1）LSPFix http://www.cexx.org/lspfix.htm
（2）Spybot-Search&Destroy（上面提到过，但一定要使用最新版）
  这两个工具都可以修复此问题，请进一步参考相关教程。
4. 疑难解析
  某些正常合法程序（特别是一些杀毒软件）也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
  这一项就属于国产杀毒软件KV。所以，在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下，不要一概修复。

四、HijackThis日志细解正文（十五）：组别——O11
HijackThis日志细解正文（十五）：组别——O11
www.rising.com.cn 2004-8-5 15:12:00 信息源:瑞星社区 作者:风之咏者
1. 项目说明
O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
2. 举例
O11 - Options group: [CommonName] CommonName
  这个是已知需要修复的一项。
O11 - Options group: [!CNS]
O11 - Options group: [!IESearch] !IESearch
  这2个是国内论坛上的HijackThis扫描日志里最常见的O11项，分属3721和百度，去留您自己决定。如果想清除，请先尝试使用“控制面板——添加删除”来卸载相关程序。
3. 一般建议
  遇到CommonName应该清除，遇到其它项目请先在网上查询一下。