当前位置: 首页 > 图文教程 > 工具软件 > 其它软件 > HijackThis日志细解正文(三)

其它软件
什么是绿色软件?
轻松玩转Skype 了解Skype五大功能技巧
如何搜索rapidshare上面的资源
大文件传输完美解决方案(几款软件)
Koomail只读邮件设置保护重要邮件
文件恢复工具UndeleteMyFiles助你保护资料
Windows Installer数据库表编辑器定制MSI安装文件
让老师教学更简单的教学辅助软件
RegSeeker注册表清理介绍
手机炒股软件评测
WinRAR压缩软件技巧十三则
迅雷下载软件破解微软的黑屏
BUE DirectX卸载精灵轻松卸载DirectX
测试自己未来的宝宝是什么摸样
百变火星文使用技巧
WinZip 12.0 Beta新功能介绍
winhex 使用教程
winhex数据恢复使用教程
PS Tray Factory管理系统状态栏图标
火星文输入法让你体验火星文

其它软件 中的 HijackThis日志细解正文(三)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-31   浏览: 32 ::
收藏到网摘: n/a

如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请“不要”使用HijackThis的恢复功能来取消对F2项目的修改(我指的是config菜单——Backups菜单——Restore功能),因为据报告HijackThis在恢复对F2项的修改时,可能会错误地修改注

册表中另一个键值。此bug已被反映给HijackThis的作者。
此bug涉及的注册表键值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改,可能会错误修改另一个键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以,如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复,一旦因为某些原因想要反悔,请手动修改上面提到的UserInit键值(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit)
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不过,说实话,在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志。

1. 项目说明

F - ini文件中的自动运行程序或者注册表中的等价项目
F0 - ini文件中改变的值,system.ini中启动的自动运行程序
F1 - ini文件中新建的值,win.ini中启动的自动运行程序
F2 - 注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序
F3 - 注册表中win.ini文件映射区中启动的自动运行程序

F0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。
F0对应在System.ini文件中“Shell=”这一项(没有引号)后面启动的额外程序。在Windows 9X中,System.ini里面这一项应该是
Shell=explorer.exe
这一项指明使用explorer.exe作为整个操作系统的“壳”,来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名,该程序在启动Windows时也会被执行,这是木马启动的方式之一(比较传统的启动方式之一)。比如
Shell=explorer.exe trojan.exe
这样就可以使得trojan.exe在启动Windows时也被自动执行。
F1对应在win.ini文件中“Run=”或“Load=”项(均没有引号)后面启动的程序。这些程序也会在启动Windows时自动执行。通常,“Run=”用来启动一些老的程序以保持兼容性,而“Load=”用来加载某些硬件驱动。
F2和F3项分别对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中,通常不使用上面提到的system.ini和win.ini文件,它们使用一种称作IniFileMapping(ini文件映射)的方式,把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时,Windows会先到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping这里查找需要的内容,而不是去找那些ini文件。F2/F3其实和F0/F1相类似,只不过它们指向注册表里的ini映像。另外有一点不同的是,F2项中还报告下面键值处额外启动的程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此处默认的键值是(注意后面有个逗号)
C:\WINDOWS\system32\userinit.exe,
(根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里默认指向%System%\userinit.exe
%System%指的是系统文件目录
对于NT、2000,该键值默认为X:\WINNT\system32\userinit.exe
对于XP,该键值默认为X:\WINDOWS\system32\userinit.exe
这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)
这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序(在该键值中userinit.exe后的逗号后面可以添加其它程序),这些程序在用户登录后也会被执行。比如将其键值改为
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
则c:\windows\trojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。

总之,F项相关的文件包括
c:\windows\system.ini
c:\windows\win.ini
(根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里指的是%windows%目录下的这两个ini文件
%Windows%目录指的是Windows安装目录
对于NT、2000,Windows安装目录为X:\WINNT\
对于XP,Windows安装目录为X:\WINDOWS\
这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)
F项相关的注册表项目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\S