当前位置: 首页 > 图文教程 > 工具软件 > 其它软件 > HijackThis日志细解正文(二)

其它软件
如何巧用Outlook 2003打印通讯簿手册
有了Outlook进行投票 你们还开会吗
帮您搞定Outlook Express大邮件的发送
收发邮件更轻松 Foxmail 5.0突破附件限制
Outlook Express中巧存邮件的背景音乐
Google的Gmail秘技三招
细解Outlook 2003中邮件标志的妙用
探寻电子邮件退信原因及解决办法
日志文件惹麻烦 Outlook不能收发邮件
Gmail邮箱使用技巧集萃
Outlook + Google Desktop = Gmail?
PGtGM:让Gmail也玩转POP3
安全升级SP2之完整备份OE中的邮件篇
探明Outlook无法发邮件的问题
开启雅虎替身邮 免受垃圾邮件骚扰
Cookies捣乱,邮箱被冻
如何让Outlook替你分拣电子邮件
Outlook 和 Outlook Express:比较与选择
轻松交换Foxmail和Outlook的邮件
九招让你轻松驾驭Outlook

其它软件 中的 HijackThis日志细解正文(二)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-31   浏览: 41 ::
收藏到网摘: n/a

1. 项目说明

R – 注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值(V),或称为键值,可能导致IE主页/搜索页的改变
R2 - 新建的注册表项(K),或称为键,可能导致IE主页/搜索页的改变

R3 - 在本来应该只有一个键值的地方新建的额外键值,可能导致IE搜索页的改变

R3主要出现在URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下,当我们在IE中输入错误的网址后,浏览器会使用默认的搜索引擎(如http://search.msn.com/、网络实名等)来查找匹配项目。如果HijackThis报告R3项,相关的“浏览器绑架”现象可能是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。

2. 举例

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
(HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。

3. 一般建议

对于R0、R1,如果您认得后面的网址,知道它是安全的,甚至那就是您自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。
对于R2项,据HijackThis的作者说,实际上现在还没有用到。
对于R3,一般总是要选修复,除非它指向一个您认识的程序(比如百度搜索和3721网络实名)。

4. 疑难解析

(1) 偶尔,在这一组的某些项目后面会出现一个特殊的词——(obfuscated),例如下面几个
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%[email protected]/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%[email protected]/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%[email protected]/search/ (obfuscated)

obfuscated,中文大意为“使混乱,使糊涂迷惑,使过于混乱或模糊,使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时,还利用各种方法把自己变得不易理解,以躲避人