当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > HijackThis日志细解正文(八):组别—O4

杀毒防毒
大蜘蛛杀毒软件是如何扫描系统病毒
完全卸载大蜘蛛杀毒软件的操作方法
如何安装Dr.Web(大蜘蛛杀毒软件)
俄罗斯国防部颁发给Dr.Web大蜘蛛杀毒软件的证书
大蜘蛛杀毒软件隔离区路径设置技巧
大蜘蛛杀毒软件无法启动怎么办?
ESET NOD32防病毒软件取消收发邮件扫描功能
大蜘蛛杀毒软件扫描系统病毒三种方式
Dr.Web无法启动,我们应该怎么办呢?
虚拟机下恢复杀毒软件隔离区的文件
诺顿网络安全特警软件防护功能设置技巧
Kernel32.exe特洛伊木马清除一例
ESET NOD32安全套装非常强大的移动磁盘防护功能
国外媒体:Avira(小红伞)发现Win7漏洞
2009年度中国互联网电脑病毒疫情报告
金山网盾的核心技术:如何实现成功拦截挂马网页
免费PK收费:免费版360杀毒非未逊色
ESET NOD32软件防U盘病毒的设置技巧
卡巴斯基发布2010年网络威胁6项预测
德国小红伞系列防病毒软件Avira V10 Beta

杀毒防毒 中的 HijackThis日志细解正文(八):组别—O4


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 78 ::
收藏到网摘: n/a

1. 项目说明

这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。
另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意,其它存放在这两个文件夹的文件也会被报告。
我觉得,其实,“启动”文件夹应该被报告,就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。

2. 举例

注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。

3. 一般建议

查表吧!可能的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地址
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php

http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的,很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
还有,有时候直接使用进程的名字在www.google.com上查找,会有意想不到的收获(特别对于新出现的病毒、木马等)。

4. 疑难解析

请注意,有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字,或者干脆直接使用那些进程的名字,所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着,这就需要先终止