在這篇文章中所有列出的程式和機碼都是正常的。
你的log檔中可能沒有下列的檔案;不必擔心,因為每台電腦都不太一樣
另外,很多介紹的資料我翻譯自:
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
礙於英文不好 + 中文詞不達意;翻的不好請見諒,有錯請指正!
----以下是一些基本資訊----
Logfile of HijackThis v1.98.2
Scan saved at 上午 01:15:20, on 2004/9/13
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
----以下為電腦正在執行的程式----
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Documents and Settings\使用者名稱\桌面\hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\csrss.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\MsgSys.EXE
----02的項目----
這個部分相當於"瀏覽器輔助物件"(Browser Helper Objects)。"瀏覽器輔助物件"是一些
為了延伸瀏覽器功能而插入的元件。他們可以被間諜軟體或是一些合法的程式像是
Google Toolbar 和 Adobe Acrobat Reader 所用。當你決定要移除這些元件之前,一定
要先確認是否為合法的。
當你用Hijackthis修復這些項目時,Hijackthis會試圖刪除這些列出來有害的檔案。有時
候,即使Internet Explorer已經被關閉,但這些檔案仍可能在使用中。假如你用
Hijackthis修復它後而這些檔案仍然存在,建議你重開機到安全模式下刪除這些有害的檔
案。
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
----03的項目----
這個部分相當於Internet Explorer的工具列。
這些是位於Internet Explorer中在你的"navigation bar和表單"之下的工具列。
O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
----04的項目----
這個部分相當於:當Windows啟動時會自動載入的系統登錄值以及作業開始所需的資料夾
們。當你修復04的項目時,Hijackthis並不會刪除和這些項目有關的檔案。你一定要在
稍後用手動刪除,通常是進入安全模式下進行此動作。
雖然有很多合法的程式從這項目開始,也有一些幾可亂真的可疑程式混雜其中。
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAd
vDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EX
E/SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /I
MEName
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.e
xe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRe
g
Vfy.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL
,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backg
round
----08的項目----
這個部分相當於在Internet Explorer的Context Menu中的額外項目。
那代表著:當你用瀏覽器開啟網頁時,按滑鼠右鍵將會看到的選項。
當你按滑鼠右鍵,這裡所列出的項目將會出現在選單中,以及一些當你點選選項會執行的
程式。有一些名稱像是"Browser Pal",應該將它移除掉;至於剩下來的部分則要用Google
來探查。
當你修復這類型的項目時,Hijackthis並不會刪除這些列出來的有害檔案。建議你重開機
到安全模式下把這些有害檔案刪除。
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MI
CROS~2\Office10\EXCEL.EXE/3000
----09的項目----
這個部分相當於主Internet Explorer的工具列上的按鈕以及未履行的Internet Explorer
的工具表單中的項目。
如果你不需要這些按鈕或表單或是認定它們是惡意程式,你可以安全地將它們移除。
當你修復這類型的項目時,Hijackthis並不會刪除這些列出來的有害檔案。建議你重開機
到安全模式下把這些有害檔案刪除。
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00a
a003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:\Program Files\Messenger\MSMSGS.EXE
----016的項目----
這個部分相當於ActiveX物件,也就是Downloaded Program Files。
ActiveX物件是從網站被下載下來並儲存到你的電腦。
這些物件被存在C:\windows\Downloaded Program Files.
如果你有看到你不認識的名稱或網址,你應該利用Google來查看他們是否為合法的。假如
你認為它們不是合法的,應該要將它們修復。一般說來,若從你的電腦刪除大部分的
ActiveX物件,當你要再次下載它們並不會發生問題。但要注意有些公司的應用(applications)會
使用ActiveX 物件。你應該要把含有sex,porn,dialer,free,casino,adult等字眼的
016項目刪除。
當你修復016的項目時,Hijackthis會試圖將它們從你的電腦中刪除。正常來說,這些並不
是程式,但有時候Hijackthis沒辦法刪除這些有害的檔案。假如這情況發生,重開機到安
全模式下將它們刪除。
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http:/
/v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.c
ab?1095000151396
----017的項目----
017的項目可以不用管
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0ED4B1D-5B18-4D99-8CD1-4AF0EB898780}:
NameServer = 140.113.6.2,140.113.1.1
----018的項目----
若只有一兩個可疑的項目,確認之後將它修復。
有的人的log檔裡可能會有類似以下一堆的項目;那是正常的,不必管他。
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} -
C:\POWERW~1\XDictExB.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} -
C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
C:\WINDOWS\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} -
%SystemRoot%\System32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} -
C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
C:\WINDOWS\System32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} -
C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: OWC11.mso-offdap - {32505114-5902-49B2-880A-1F7738E5A384} -
C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} -
C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -
C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} -
C:\WINDOWS\System32\wiascr.dll
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.31.176.9
※ 編輯: Jason11982 來自: 61.31.176.9 (09/16 00:41)
這是一篇介紹xp的log檔的範本,
適用於XP/NT/2000,
執行程式所屬的資料夾會因為系統版本不同而異,以%System%代表
注意:%System% 代表變數。病蟲會找到 System 資料夾並將自己複製
過去。預設的位置是
C:\Winnt\System32 (Windows NT/2000),
or C:\Windows\System32 (Windows XP).