hkc9809_hkc手机908

2024-08-13 12:35:34

hkc9809_hkc手机908

hijackthis是一款很方便的分析工具，大部分浏览器被劫持时都可以通过hijackthis进行分析修复

风之咏者曾经写过HijackThis日志细解，对日志中的项目作了详细的分析，我自己也从中受益匪浅！

但是有很多朋友在自己学习分析的过程中，很多项目拿不准是否应该修复，害怕误删除一些正常的文件……

在这里，我对如何分析日志谈一下自己的一些心得体会

HijackThis扫描的是注册表项和硬盘上的特定文件，对于某一个项目是否正常，最主要的一点是我们要看它对应的是正常的程序文件还是恶意木马……

比如：

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

在这一项中，最后面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件，从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的————NetTransport是下载工具“影音传送带”，再看文件名：NT IE HELPER 那么我们就可以初步判断这一项应该是影音传送带在IE中的一个帮助模块

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll

很明显可以看出这是是腾讯QQ的一个插件

而对于自己不熟悉的文件，可以利用google或百度搜索一下，看看网上提供的搜索结果，以此来判断该文件是否是正常的程序

比如

O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll

我们通过google搜索SBHOPlin.dll这个文件从搜索结果中可以得知这是天网防火墙IE插件

下面，我对一些常见的正常项目做一些列举，对需要注意的目录或文件用蓝色标出（一眼能看出来的就不一一写出了）

R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll

搜狗直通车

O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll

搜狗直通车

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll

网络实名

O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll

天网防火墙IE模块

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Adobe Acrobat Reader

O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL

百度搜索

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll

迅雷的IE模块

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL

中文上网

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll

O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRS~1.DLL

雅虎助手的IE模块

O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll

腾讯QQ的模块

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

Google搜索IE模块

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

网际快车IE模块

O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll

BT下载BitComet工具条

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

网际快车工具条

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

Google工具条

以下列出的04项虽然都是正常、无害的项目，但并不一定是必须的，可以根据自己的需求来决定是否保留

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

后台进程，用于显示日期和时间信息

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

微软日语输入法

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

微软智能输入法2002A(动态)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

微软智能输入法2002A(名称)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

Microsoft Office套装的一部分。用于多语言支持。

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

微软拼音输入法

O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

微软IME输入法的组件

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

声卡管理优化软件

O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

主板内置声卡的驱动

O4 - HKLM\..\Run: [Sm] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

基于adi芯片的声卡相关进程，会在系统托盘创建图标

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

电源管理配置

O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe

intel显示卡相关程序，用于配置和诊断相关设备

O4 - HKLM\..\Run: [RTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE

瑞星定时查杀程序

O4 - HKLM\..\Run: [RMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM

瑞星实时监控

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe

瑞星防火墙

O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe

天网防火墙

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\k.exe" /minimize

卡巴斯基实时监控

O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autose

超级兔子

O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD

超级兔子

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

RealPlayer的版本更新程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Windows内核检查程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u

Windows错误报告程序

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

上网助手

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3

网络实名

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

NVIDIA系列显卡的调节工具

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

NVIDIA系列显卡的控制面板

O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe

ATI 显卡2D模式功能模块

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon

internetexplorer相关程序，用于同步离线网页

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo

中文域名

O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe

O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"

雅虎助手

O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe

中文上网

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

摄像头驱动

O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32

QQ小助手的插件

O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa

新浪游戏程序

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Office 启动助手

以下列出的04项虽然都是正常、无害的项目，但并不一定是必须的，可以根据自己的需求来决定是否保留

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

后台进程，用于显示日期和时间信息

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

微软日语输入法

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

微软智能输入法2002A(动态)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

微软智能输入法2002A(名称)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

Microsoft Office套装的一部分。用于多语言支持。

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

微软拼音输入法

O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload

微软IME输入法的组件

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

声卡管理优化软件

O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

主板内置声卡的驱动

O4 - HKLM\..\Run: [Sm] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

基于adi芯片的声卡相关进程，会在系统托盘创建图标

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

电源管理配置

O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe

intel显示卡相关程序，用于配置和诊断相关设备

O4 - HKLM\..\Run: [RTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE

瑞星定时查杀程序

O4 - HKLM\..\Run: [RMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM

瑞星实时监控

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe

瑞星防火墙

O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe

天网防火墙

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\k.exe" /minimize

卡巴斯基实时监控

O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autose

超级兔子

O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD

超级兔子

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

RealPlayer的版本更新程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Windows内核检查程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u

Windows错误报告程序

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

上网助手

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3

网络实名

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

NVIDIA系列显卡的调节工具

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

NVIDIA系列显卡的控制面板

O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe

ATI 显卡2D模式功能模块

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon

internetexplorer相关程序，用于同步离线网页

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo

中文域名

O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe

O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"

雅虎助手

O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe

中文上网

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

摄像头驱动

O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32

QQ小助手的插件

O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa

新浪游戏程序

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Office 启动助手

日志项纵览

R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变

F0，F1，F2，F3 ini文件中的自动加载程序

N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变

O1 Hosts文件重定向

O2 Browser Helper Objects（BHO，浏览器模块）

O3 IE浏览器的工具条

O4 自启动项

O5 控制面板中被屏蔽的IE选项

O6 IE选项被管理员禁用

O7 注册表编辑器（regedit）被管理员禁用

O8 IE的右键菜单中的新增项目

O9 额外的IE“工具”菜单项目及工具栏按钮

O10 Winsock LSP“浏览器”

O11 IE的高级选项中的新项目

O12 IE插件

O13 对IE默认的URL前缀的修改

O14 对“重置WEB设置”的修改

O15 “受信任的站点”中的不速之客

O16 Downloaded Program Files目录下的那些ActiveX对象

O17 域“劫持”

O18 额外的协议和协议“劫持”

O19 用户样式表（stylesheet）“劫持”

O20 注册表键值AppInit_DLLs处的自启动项

O21 注册表键ShellServiceObjectDelayLoad处的自启动项

O22 注册表键SharedTaskScheduler处的自启动项

O23 加载的系统服务

组别——O2

1. 项目说明

O2项列举现有的IE浏览器的BHO模块。BHO，即Browser Helper Objects，指的是浏览器的模块（或称对象），这是一些扩充浏览器功能的小插件。这里面鱼龙混杂，诺顿杀毒、goolge等都可能出现在这里，而这里也是一些间谍软件常出没的地方。

2. 举例：

O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll

这是影音传送带（Net Transport）的模块。

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL

这是网际快车（FlashGet）的模块。

O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL

这是百度搜索的模块。

O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL

这是3721上网助手的模块。

O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

这是Adobe Acrobat Reader（用来处理PDF文件）的模块。

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

这是Google工具条的模块。

3. 一般建议

可能的O2项实在太多了，此处无法一一列举。网上有一些很好的BHO列表，大家可以在里面查询相关的项目信息。

hkc9809_hkc手机908

相关文章

热门

推荐

随机

hkc9809_hkc手机908

相关文章

热门

推荐

随机

微信扫一扫打赏