hijackthis：处理浏览器劫持者和间谍软件的捣乱

时间：2020-03-19 来源：点击：

手机扫码继续观看

使用注册表文件删除服务。以下注册表文件是如何清除Angelex.exe Bargain好友变体的示例：使用HijackThis删除服务。您可以单击配置，然后单击其他工具，然后按删除NT服务..按钮。打开后，您应该输入服务名称，然后按OK。删除这些键中列出的项目时要小心，因为它们大部分是合法的。要研究O23条目，您可以使用Bleeping计算机启动数据库或SystemLookup.com。

　　O24部分

　　此部分对应于Windows活动桌面组件。

　　活动桌面组件是本地或远程html文件，它们作为背景直接嵌入到桌面上。感染使用此方法将消息，图片或网页直接嵌入用户桌面。使用此方法的常见感染实例是SmitFraud系列的恶意反间谍软件程序。这些感染使用活动桌面组件来显示伪安全警告作为用户桌面的背景。使用此方法的其他感染可以在以下链接中找到：

　　AVGold

　　Raze AntiSpyware

　　AlfaCleaner

　　TopAntiSpyware

　　与Active Desktop Components关联的注册表项是：

　　注册表项：HKEY_CURRENT_USER Software Microsoft Internet Explorer Desktop Components

　　然后将每个特定组件列为上述键的数字子键，以数字0开头。例如：

　　HKEY_CURRENT_USER Software Microsoft Internet Explorer Desktop Components 0

　　HKEY_CURRENT_USER Software Microsoft Internet Explorer Desktop Components 1

　　HKEY_CURRENT_USER Software Microsoft Internet Explorer Desktop Components

　　SmitFraud变体使用的Desktop Component条目的示例列表如下：

示例列表	O24 - 桌面组件0：（安全） - ％windir％ index.html O24 - 桌面组件1：（无名称） - ％Windir％ warnhp.html

有可能有人有意配置了活动桌面组件，如果您看到不熟悉的组件，建议您询问用户是否故意添加它。

　　修复这些条目时，HijackThis将仅删除注册表中的Desktop Component。但是，引用的实际HTML文件不会被删除。因此，如果组件与恶意软件相关，则应手动删除此文件。

　　结论

　　劫持这是一个非常强大的工具，用于了解您的浏览器的具体细节以及在Windows中运行的内容。不幸的是，诊断HijackThis的扫描结果可能很复杂。希望我的建议和解释将有所缓解。这个程序是谨慎使用的，因为错误地删除某些项目可能会导致合法程序出现问题。如果您有任何问题，请随时将它们发送到我们的间谍软件论坛。

　　另外，如果您想了解更多关于使用HijackThis和其他反间谍软件工具删除恶意软件的信息，您可以加入Bleeping Computer HijackThis Trainee程序。对于进口，请使用此链接发送消息。

　　Lawrence Abrams

　　Bleeping计算机互联网安全和间谍软件教程

　　BleepingComputer.com：初始计算机用户的计算机支持和教程。

　　修订信息：

　　03/30/04：将所有启动位置添加到O4部分。添加关于F2部分的信息。添加了本文档结尾处列出的命名锚标签，以便人们可以链接到我。

　　03/31/04：添加了更多关于F2和F3部分的完整信息。

　　04/01/04：对O10部分增加了更严格的警告，说明病毒扫描器没有正确链接LSP。

　　04/09/04：将有关CWShredder的信息添加到O13部分。

　　04/24/04：增加了关于R部分中哪些混淆方式的信息。

　　04/25/04：增加更尖锐的警告，并改变风格，以反映较新的教程。

　　05/21/04：添加关于R3条目的信息，以_

　　07/09/04

　　结尾：添加有关新的O20，O21，O22条目，新进程管理器和主机文件管理器的信息，以及修订版本1.98中的错误修复12/24/04：添加了关于版本1.99.0的新功能的信息O15条目的广泛更新。关于O23条目的信息。关于新功能的信息，如多进程杀手，adsspy和界面02/16/05：添加了有关1.99.1版本的新功能的信息。重点关注新的O15：Protocol Defaults，以及O20 Winlogon Notify键。05/29/06：更新O6条目以反映免疫功能的正确位置。03/16/07：购买HijackThis后，添加了趋势科技提供的有关O24部分的信息。03/20/07：修复了Hoster06/20/07的链接：O4条目的主要更新以及Trend如何删除O24条目。07年7月17日：重写了O4信息的混乱部分，并添加了有关各种O4条目的更多信息。11/14/07：修复各种错误，链接和打字错误。谢谢nickw!05/02/08：从Metallica的建议更新了F0，F1，F2，F3部分。谢谢!04/21/09：清除O16条目的一些混乱。05/28/09：更新了反映独立可执行文件和安装程序的指南。05/15/11：更新图像。