HijackThis日志细解正文(八):组别——O4
作者:风之咏者 来源:瑞星社区 时间:2004-08-05 16:08:00
1. 项目说明
这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
注意HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit这一项虽然也可以启动程序,但已经在F2项报告过了。
另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:documents and settingsUSERNAME 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:documents and settingsAll Users 下的内容
注意,其它存放在这两个文件夹的文件也会被报告。
我觉得,其实,“启动”文件夹应该被报告,就是
Startup: 报告c:documents and settingsUSERNAMEstart menuprogramsstartup 下的内容
Global Startup: 报告c:documents and settingsAll Usersstart menuprogramsstartup 下的内容
但这两项在中文版分别为
Startup: C:Documents and SettingsUSERNAME「开始」菜单程序启动
Global Startup: C:Documents and SettingsAll Users「开始」菜单程序启动
恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。
2. 举例
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
注册表自检
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS askmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM..Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM..Run: [RavTimer] C:PROGRAM FILESRISINGRAVRavTimer.exe
O4 - HKLM..Run: [RavMon] C:PROGRAM FILESRISINGRAVRavMon.exe
O4 - HKLM..Run: [ccenter] C:Program Files isingRavCCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM..Run: [helper.dll] C:WINDOWS undll32.exe C:PROGRA~13721helper.dll,Rundll32
O4 - HKLM..Run: [BIE] Rundll32.exe C:WINDOWSDOWNLO~1BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM..RunServices: [RavMon] C:PROGRAM FILESRISINGRAVRavMon.exe /AUTO
O4 - HKLM..RunServices: [ccenter] C:Program Files isingRavCCenter.exe
上面两个也是瑞星的自启动程序。
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
这是微软Office在“开始——程序——启动”中的启动项。
3. 一般建议
查表吧!可能的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地址
http://www.oixiaomi.net/systemprocess.html
这是中文的,一些常见的项目均可查到。
http://www.sysinfo.org/startuplist.php
http://www.windowsstartup.com/wso/browse.php
http://www.windowsstartup.com/wso/search.php
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/
英文的,很全面。其中一些标记的含义——
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
还有,有时候直接使用进程的名字在www.google.com上查找,会有意想不到的收获(特别对于新出现的病毒、木马等)。
4. 疑难解析
请注意,有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字,或者干脆直接使用那些进程的名字,所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着,这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。(终止进程的一般方法:关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)