hijackthis：处理浏览器劫持者和间谍软件的捣乱

时间：2020-03-19 来源：点击：

手机扫码继续观看

对于F0，如果您看到一个诸如Shell = Explorer.exe something.exe的声明，那么您通常可以将其删除，但您应该先咨询Google和下面列出的网站。

　　对于F1条目，您应该google在这里找到的条目来确定它们是否是合法的程序。您也可以在下面的网站搜索该条目以查看它的作用。

　　对于F2，如果您看到UserInit = userinit.exe，有或没有nddeagnt.exe，如上例所示，那么您可以单独留下该条目。如果您看到UserInit = userinit.exe(通知没有逗号)仍然可以，所以你应该离开它。如果您看到另一个带有userinit.exe的条目，那么这可能是一个木马或其他恶意软件。F2 Shell =;如果您看到explorer.exe本身，它应该是罚款，如果你没有，如上面的例子列表，那么它可能是一个潜在的木马或恶意软件。您通常可以删除这些条目，但您应该咨询Google和下面列出的网站。

　　请注意，当这些条目是固定的HijackThis不会删除与它相关联的文件。您必须手动删除这些文件。

　　用于研究这些条目的网站：

　　Bleeping计算机启动数据库

　　工作的答案工作

　　Greatis启动应用

　　程序数据库Pacman的启动程序列表

　　Pacman的启动列表用于离线阅读

　　Kephyr文件数据库

　　Wintasks进程库

　　N1，N2，N3，N4部分

　　这些部分用于Netscape和Mozilla浏览器启动和默认搜索页面。

　　这些条目存储在存储在C： Documents and Settings YourUserName Application Data文件夹下不同位置的prefs.js文件中。Netscape 4的条目存储在程序目录中的prefs.js文件中，通常为DriveLetter： Program Files Netscape Users default prefs.js。

　　N1对应于Netscape 4的启动页面和默认搜索页面。

　　N2对应于Netscape 6的启动页面和默认搜索页面。

　　N3对应于Netscape 7'启动页面和默认搜索页面。

　　N4对应于Mozilla的启动页面和默认搜索页面。

　　使用的文件：prefs.js

　　由于大多数间谍软件和劫机者都倾向于使用Internet Explorer，因此这些通常是安全的。如果您在这里看到尚未设置的网站，则可以使用HijackThis进行修复。有一个已知的网站会改变这些设置，那就是这里讨论的Lop.com。

　　O1部分

　　此部分对应于主机文件重定向。

　　主机文件包含主机名到IP地址的映射。例如，如果我输入我的主机文件：

　　127.0.0.1 www.bleepingcomputer.com

　　您尝试访问www.bleepingcomputer.com，它将检查主机文件，查看条目并将其转换为IP地址127.0.0.1而不是其正确的地址。

　　主机文件重定向是当劫持者更改您的主机文件以重定向到达某个网站到另一个站点的尝试时。所以如果有人添加了一个条目：