Hijackthis浏览器劫持日志精解
作者:网络安全日志( ) 日期:2006/9/29 ( 转载请保留此申明)
一、简介
HijackThis是荷兰的一个学生出品的非常优秀的辅助杀毒小软件,对于恶意网页代码尤其有效。对于查找系统内的木马/蠕虫/流氓软件也有很好的辅助作用。它提供的扫描Log很全面,还提供了修复的功能,对于一般的流氓软件、流氓器劫持可以直接修复。对于一些顽固的,新手可以将日志放在杀毒论坛上,供别人分析以提供解决方案。它可以全部提示目前系统的进程状态,包括自启动项、浏览器辅助控件,当前运行的进程、系统服务等。是杀流氓软件必备的软件。二、软件的基本信息
软件名称:HijackThis 最新版本:1.99版 软件语言:英文 软件性质:免费软件 运行环境:Win9x/Me/NT/2000/XP 软件主页: 下载地址: 三、日志精解 Hijackthis的日志非常详细,一共有: R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变 F0,F1,F2,F3 ini文件中的自动加载程序 N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变 01 Hosts文件重定向 02 Browser Helper Objects(BHO,浏览器辅助模块) 03 IE浏览器的工具条 04 自启动项 05 控制面板中被屏蔽的IE选项 06 IE选项被管理员禁用 07 注册表编辑器(regedit)被管理员禁用 08 IE的右键菜单中的新增项目 09 额外的IE“工具”菜单项目及工具栏按钮 010 Winsock LSP“浏览器绑架” 011 IE的高级选项中的新项目 012 IE插件 013 对IE默认的URL前缀的修改 014 对“重置WEB设置”的修改 015 IE“受信任的站点” 016 Downloaded Program Files目录下的那些ActiveX对象 017 域“劫持” 018 额外的协议和协议“劫持” 019 用户样式表(stylesheet)“劫持” 020 注册表键值AppInit_DLLs处的自启动项 021 注册表键ShellServiceObjectDelayLoad处的自启动项 022 注册表键SharedTaskScheduler处的自启动项上面20多项,即使对于专业人员来说都是比较复杂的,我不准备事无巨细一一详细介绍。瑞星网站做了一个详细的专题,可以参考那里。说见附录。这里主要是针对一般用户用到的最主要的部分做一个说明,通常情况下,可以解决80%的问题,花最少的精力,做最多的事,呵呵(80-20原则)。
R0,R1,R2,R3 ★★★
被修改浏览器默认起启页,一般中了木马或者流氓软件,都会修改这个的,有时还会自动保护,使用户不能更改。一般情况下,我们先不管这个,而是等清除木马,病毒之后,最后再用Hijackthis来修复。02,浏览器辅助对象 ★★★★★
这个是最需要关注的重点之一。浏览器辅助对象(BHO),本来是IE提供其它程序扩展浏览器的功能所开放的接口,在浏览器启动的时候,自动加载。这个是几乎所有流氓广告软件的“兵家必争之地”。一般情况下,它可能有很多个,如: O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll 在这一项中,我们一般看最后面一行,那个.dll文件的位置,这里是C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的--NetTransport是下载工具影音传送带,那么这一项就应该没问题。 如果你看到这个目录不认识,那就需要注意了。尤其注意这个.dll是位于temp目录或者windows/system32目录下,那就基本可以肯定是有问题的了,如下面这个: O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll (网络实名)03,IE浏览器的工具条 ★★★
这个比较容易理解,就是IE浏览器的工具条。一般看这个.dll所对应的目录就可以认出来了。它是比BHO稍微良性一点的,一般都是和BHO对应的。与浏览器一启动的时候BHO就加载相比,浏览器工具条只有在用户点击或者选用的时候才会起作用。04,自启动项 ★★★★★
历来自启动项是所有木马/病毒/流氓软件的“兵家必争之地”。当一个流氓软件入侵和被安装到用户机器之后,必然要想办法让用户下次启动计算机的时候,自身还可以运行。方法有多种,放到自启动是最常用最根本的一招。Windows的自启动有十多个地方,常用的如注册表、INI文件,启动组等。Hijackthis会把所有的自启动列出来。包括名称和运行的文件名。 对于一般用户,我给出的建议是除了C:\windows\system32\ctfmon.exe这个输入法指示器,其它的除非你知道是自己安装的程序如(C:\program files\tencent\qq\oicq.exe),其它的一律删除。如果你通过Hijackthis的fixed功能之后,它又偷偷出现了,那么基本就肯定有问题(一般流氓软件都会有这种自我修复、保护的功能)。 08 ,IE的右键菜单中的新增项目 ★★ 这一项比较简单,就是在WEB页面中点右键,出现的菜单项增加的部分。我一般处理方式也很简单:全部干掉。我的建议是除非那个菜单项是你需要的,不然就删除吧。(当然,如果你喜欢看那么多花花哨哨的,就忽略这个步骤,呵呵。010,Winsock LSP“浏览器绑架”
这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,会造成用户计算机无法访问网络!强烈谴责这种最流氓的恶意形径!!LSP全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以针对性地投放广告,获取用户访问习惯----想一想,当你访问一个网络的时候,所有数据都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会造成用户不能访问网络。 目前有Lsp-fix()这个软件可以修得LSP的损坏或者参考我的《WinXP/2000/2003下如何重装TCP/IP协议》一文来重装一个TCP/IP协议。016,Downloaded Program Files目录下的ActiveX对象 ★★
一般是位于 C:\windows\Downloaded Program Files目录下的相关目录对象。现在的流氓软件基本已经不关注这个地方了。不过网络实名(3721)还能见到。一般以cns开头023,系统服务 ★★★★
系统服务是另外一个流氓软件越来越重视的地方。一般Windows系统的服务在这里不会显示出来。只有第三方安装的服务才会显示出来。所以所有显示的,都需要留心。 如果知道是自己安装的如MySQL,Apahce这类可以不管,其它的服务一般会冒充,起一个类似于很象正常的名字,如Windows updatas, NTServices,等。我的建议是所有你不清楚的,全部删掉。尤其.exe的可执行路径位于windows,System32目录下的。 可能在CMD窗口下输入: sc delete 服务名来删除一个服务。 四、其它目前有一些在线的网站提供在线日志分析功能(我考虑近期也来做一个),如,不过是英文的。使用也很简单,就是把你的日志贴进去,点那个“Parse“(分析),它就会自动分析你的日志,然后显示出分析结果:
红色的项目---异常/危险项目, 几乎都要移除 绿色的项目---正常项目, 不用理会 橙色的项目---无效项目, 请安全移除 蓝色的项目---通常无害的项目, 第三方应用程序 紫色的项目---如果你不知道这是什么, 可以认为是危险项目 黑色的项目---未知项, 需要进一步分析 橙色双下划线的项目---有广告链接 上面简单介绍了一下各个主要组件项的功能,对于不熟悉的地方,可以按照我的建议去做,如果多删了,也就是某些程序不能启动(如杀毒之类),但是机器会变得正常。而对于那些Hijackthis不能正常Fix的BHO和自动运行项,尤其要加以注意。可以在安全模式下去Fix,这样成功的机率比较大一点。安全模式下,除了比较少的一些驱动保护和内核的流氓软件,一般都可以轻易杀掉。 看懂这些其实不难,动手试一下,你也可以成为高手。了解你的系统,知道要做什么,知道怎么做,我的机器我做主。流氓横行的时候,你必须要掌握一定的技巧,求人不如求已,何况也不并没有多难呢。五 附录: 《瑞星浏览器劫持专题》 《清除流氓软件的第一利器(IceSword)》 《如何删除顽固文件之流氓软件篇》 Hijackthis下载 在线日志分析I 在线日志分析II