hijackthis：处理浏览器劫持者和间谍软件的捣乱

看看上面的例子，我们看到5个不同的启动条目，其中2个用于在后台登录的用户。如果一个条目以一系列长的数字开始，并且包含一个由括号括在最后的用户名，那么这是在后台登录的用户的O4条目。我们逐个分解这些例子。

　　04 - HKLM .. 运行：[nwiz] nwiz.exe / install- 此条目对应于当前登录的用户从HKLM Software Microsoft Windows CurrentVersion Run启动启动。注册表值的名称是nwiz，当条目启动时，它将启动nwiz.exe / install命令。O4 - 全球启动：Adobe Reader Speed Launch.lnk = D： Program Files Adobe Acrobat 7.0 Reader reader_sl.exe -此条目对应于位于C： Documents and Settings的所有用户启动文件夹启动的程序 All Users Start Menu Programs Startup。O4 - HKLM .. Policies Explorer 运行：[user32.dll] C： Program Files Video ActiveX Access iesmn.exe- 此条目对应于HKLM Software Microsoft Windows CurrentVersion下的值 Policies Explorer Run键。注册表值的名称为user32.dll，其数据为C： Program Files Video ActiveX Access iesmn.exe。这个特定的例子恰好是与恶意软件相关的。O4 - S-1-5-21-1222272861-2000431354-1005启动：numlock.vbs(用户'BleepingComputer.com') -这个特定的条目有所不同。正如你可以看到，以前有一系列长的数字，它在条目结束时声明其所属的用户。这些开头的数字是用户的SID或安全标识符，是您计算机上每个用户唯一的数字。此SID转换为BleepingComputer.com Windows用户，如条目末尾所示。条目的其余部分与正常条目相同，程序从用户的“开始菜单启动”文件夹启动，正在启动的程序是numlock.vbs。O4 - HKUS S-1-5-21-1222272861-2000431354-1005 .. 运行：[Windows Defender]“C： Program Files Windows Defender MSASCui.exe”-hide(User'BleepingComputer.com' )- 此类型的条目类似于第一个示例，但它属于BleepingComputer.com用户。这只是HijackThis列出其他登录用户的自动启动条目的另一个例子。现在我们知道如何解释条目，我们来学习如何解决这些条目。修复O4条目时，Hijackthis不会删除与该条目关联的文件。相反，您必须手动删除这些，通常是让用户首次重新启动进入安全模式。全局启动和启动条目的工作方式略有不同。劫持这将删除在这些条目中找到的快捷方式，但不删除他们指向的文件。如果实际的可执行文件驻留在全局启动或启动目录中，那么违规文件将被删除。

　　在检查O4条目并尝试确定它们是什么时，您应该参考以下列表之一：

　　Bleeping计算机启动数据库

　　工作的答案工作

　　Greatis启动应用

　　程序数据库Pacman的启动程序列表

　　Pacman的启动列表用于离线阅读

　　Kephyr文件数据库

　　Wintasks进程库

　　O5部分

　　此部分对应于您的Internet Explorer控件显示在控制面板中。

　　通过将一个条目添加到名为control.ini的文件中，可以禁止在控制面板中查看控件，该文件至少存储在c： windows control.ini中，用于Windows XP。从该文件中可以指定哪些特定控制面板不可见。

　　文件用户：control.ini

如果你看到上面的一行，那可能是一个软件的一个迹象，试图让你很难改变你的设置。除非有特定的已知原因，如管理员设置该策略或Spybot - S&D将限制条件放在适当位置，您可以将HijackThis修复它。

　　O6节

　　此部分对应于通过更改注册表中的某些设置来更改Internet Explorer中的选项或主页的“管理锁定”。

　　注册表项：HKCU Software Policies Microsoft Internet Explorer 限制