hijackthis：处理浏览器劫持者和间谍软件的捣乱

　　注册表项：HKEY_LOCAL_MACHINE software microsoft internet explorer plugins

大多数插件是合法的，所以您绝对应该将Google删除之前不认识的插件。您应该删除的一个已知插件是扩展名为.OFB的Onflow插件。

　　当您使用HijackThis修复这些类型的条目时，HijackThis将尝试删除列出的违规文件。有时候即使Internet Explorer关闭，该文件也可能正在使用。如果在使用HijackThis进行修复后文件仍然存在，建议您重新启动进入安全模式并删除违规文件。

　　O13部分

　　此部分对应于IE DefaultPrefix劫持。

　　默认前缀是Windows上的一种设置，指定如何处理您之前输入的URL，http：//，ftp：//等。默认情况下，Windows将附加一个http：//到开头，因为这是默认的Windows Prefix。可以通过编辑注册表将其更改为您选择的默认前缀。被称为CoolWebSearch的劫机者通过将默认前缀更改为http://ehttp.cc/?。这意味着当您连接到www.google.com的网址时，您实际上将访问http://ehttp.cc/?www.google.com，这实际上是CoolWebSearch的网站。

　　注册表项：HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion URL DefaultPrefix

如果您遇到与上述示例类似的问题，则应运行CWShredder。此程序用于删除可能在您的机器上的所有已知品种的CoolWebSearch。您可以在这里阅读有关如何使用CWShredder的教程：

　　如何使用CoolWeb粉碎机清除CoolWebSearch

　　如果CWShredder没有找到并解决问题，您应该始终让HijackThis在找到该条目时修复此条目。

　　O14部分

　　此部分对应于“重置网页设置”劫持。

　　您的计算机上有一个文件，当您将选项重置为Windows默认值时，Internet Explorer将使用该文件。该文件存储在c： windows inf iereset.inf中，并包含将要使用的所有默认设置。当您重置设置时，它会读取该文件，并将特定设置更改为文件中所述。如果劫持者更改该文件中的信息，那么当您重置该设置时，您将被重新感染，因为它会从iereset.inf文件读取不正确的信息。