乐学 为什么吃了5csoso二十天还没瘦
超实用饮食减肥计划,一个月瘦下来。
1、第一周:戒油戒荤戒辛辣
第一周是需要清理肠毒改善口味的一周,在这段时间里要戒除油腻、高热和辛辣重口味的食物,因此尽量所有的菜肴都选择清蒸、水煮的烹饪方式,荤腥类的食物在这一周内禁止食用,但是你可以吃鸡蛋来补充动物蛋白。喜欢又辣又咸的重口味食物的女生,这一周要避免吃这些食物,尽量清淡为好。
推荐:水蒸蛋、海带汤、烫青菜、豆浆牛奶、全麦包
早餐可以一杯豆浆或牛奶搭配少许全麦包,也可以是粗粮小馒头,吃到6分饱就可以了。在中餐开始之前不要吃其他食物,温开水和柠檬水可以随时饮用补充水分。中餐一个水蒸蛋搭配烫青菜和麦包,晚餐则是素的海带汤和青菜,蔬菜的品种可以随意换,尽量选择叶绿素和纤维质丰富的为最佳。
2、第二周:均衡营养促代谢
通过第一周的排毒清肠,你会发现自己身体轻松了许多,排便次数逐渐正常后第二周要开始补充营养。因此这一周可以吃一些不油腻的荤类食物,同时除了青菜,你还需要吃一些维生素更丰富的胡萝卜和水果,但是从这一周开始主食就需要被这些食材完全取代了,控制饥饿感将成为成败关键。
推荐:水煮鸡丝、蔬果杂烩、烫青菜、水煮蛋
早餐可以吃一个水煮蛋搭配柠檬水,因为热量低所以可能在中午你会感觉比较饥饿,所以中餐需要准备水煮鸡丝,把鸡肉用盐水煮熟后撕成条食用,搭配烫青菜吃到7分饱即可;晚餐用番茄、生菜、苹果和煮熟的胡萝卜做成蔬果杂烩,不要加炼乳和沙拉酱,原味直接食用即可。全天不要忘记随时饮用温水或柠檬水哦,坚持一周体重可以减少5-7斤。
3、第三周:控热燃脂加速瘦
通过半个月的魔鬼瘦身计划,如果你还能坚持表示你已经成功了一半。前两周的燃脂比较慢,因此体重变化也比较小,但大部分人会有身体变轻松的状况,而腰腹部的瘦身情况最明显。第三周就是最严格的控热周,对饮食的控制会变得很严格,但也是体重下降最快的7天。
推荐:苹果餐+柠檬水+香蕉牛奶
苹果和香蕉这两种水果是这周的主打食材,苹果可以在主食时间吃,但香蕉一定要在饱腹之后才可以食用。牛奶一般放在早餐时间食用,柠檬水或温开水要坚持每天至少8杯,不能吃主食、油腻食物和荤类食物,可以在中餐时间吃一些烫青菜但不可以加油。如果你能坚持7天结束,体重可以再次下降8-10斤。
4、第四周:巩固代谢成功瘦身
魔鬼一般的第三周结束之后,迎来了最后一周的减肥计划。这一周要逐渐开始恢复饮食,因此从最后一周的第一天到第七天,饮食量要呈现阶梯状。前三天可以加入鸡蛋和蔬菜,后两天再逐渐添加荤类食物,到了最后两天再加入主食,记得加入主食的那一餐不要再吃荤类食物。
推荐食谱:水煮蛋、烫青菜、水煮鸡丝、全麦包
同样是前两周的主打食物,但在最后一周需要有层次的递进增加。在经历了控热周之后,体重开始急剧下降但体内的营养物质也出现缺少空洞。逐步增加饮食的品种和量,是为了让身体开始适应恢复的饮食同时增加营养。每一餐吃到6分饱即可,千万不要一口气恢复饮食,如果这一周结束发现自己体重还没有达到瘦身目标,可以再用第一周的饮食重复一周,相信巩固效果会更好。
hijackthis是一款很方便的分析工具,大部分浏览器被劫持时都可以通过hijackthis进行分析修复风之咏者曾经写过HijackThis日志细解,对日志中的项目作了详细的分析,我自己也从中受益匪浅!
但是有很多朋友在自己学习分析的过程中,很多项目拿不准是否应该修复,害怕误删除一些正常的文件……
在这里,我对如何分析日志谈一下自己的一些心得体会
HijackThis扫描的是注册表项和硬盘上的特定文件,对于某一个项目是否正常,最主要的一点是我们要看它对应的是正常的程序文件还是恶意木马……
比如:
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
在这一项中,最后面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的————NetTransport是下载工具“影音传送带”,再看文件名:NT IE HELPER 那么我们就可以初步判断这一项应该是影音传送带在IE中的一个帮助模块
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
很明显可以看出这是是腾讯QQ的一个插件
而对于自己不熟悉的文件,可以利用google或百度搜索一下,看看网上提供的搜索结果,以此来判断该文件是否是正常的程序
比如
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
我们通过google搜索SBHOPlin.dll这个文件 从搜索结果中可以得知这是天网防火墙IE插件
下面,我对一些常见的正常项目做一些列举,对需要注意的目录或文件用蓝色标出(一眼能看出来的就不一一写出了)
R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
搜狗直通车
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
搜狗直通车
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
网络实名
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
天网防火墙IE模块
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
百度搜索
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
迅雷的IE模块
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL
中文上网
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {389250-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
雅虎助手的IE模块
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
腾讯QQ的模块
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google搜索IE模块
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
网际快车IE模块
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT下载BitComet工具条
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
网际快车工具条
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Google工具条
以下列出的04项虽然都是正常、无害的项目,但并不一定是必须的,可以根据自己的需求来决定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
后台进程,用于显示日期和时间信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微软智能输入法2002A(动态)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微软智能输入法2002A(名称)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套装的一部分。用于多语言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微软拼音输入法
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微软IME输入法的组件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
声卡管理优化软件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板内置声卡的驱动
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基于adi芯片的声卡相关进程,会在系统托盘创建图标
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel显示卡相关程序,用于配置和诊断相关设备
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定时查杀程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星实时病毒监控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墙
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天网防火墙
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基实时监控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超级兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超级兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows内核检查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows错误报告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上网助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
网络实名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列显卡的调节工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列显卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 显卡2D模式功能模块
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相关程序,用于同步离线网页
O4 - HKLM\\Run: [ExFilter] Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上网
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
摄像头驱动
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪游戏程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 启动助手
以下列出的04项虽然都是正常、无害的项目,但并不一定是必须的,可以根据自己的需求来决定是否保留
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
后台进程,用于显示日期和时间信息
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微软智能输入法2002A(动态)
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微软智能输入法2002A(名称)
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套装的一部分。用于多语言支持。
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微软拼音输入法
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微软IME输入法的组件
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
声卡管理优化软件
O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主板内置声卡的驱动
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
基于adi芯片的声卡相关进程,会在系统托盘创建图标
O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
电源管理配置
O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel显示卡相关程序,用于配置和诊断相关设备
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定时查杀程序
O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星实时病毒监控
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火墙
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天网防火墙
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基实时监控
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超级兔子
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超级兔子
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows内核检查程序
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows错误报告程序
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上网助手
O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
网络实名
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列显卡的调节工具
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列显卡的控制面板
O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 显卡2D模式功能模块
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持
O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相关程序,用于同步离线网页
O4 - HKLM\\Run: [ExFilter] Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名
O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手
O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上网
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
摄像头驱动
O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪游戏程序
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 启动助手
日志项纵览
R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变
F0,F1,F2,F3 ini文件中的自动加载程序
N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,浏览器辅助模块)
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器(regedit)被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表(stylesheet)“劫持”
O20 注册表键值AppInit_DLLs处的自启动项
O21 注册表键ShellServiceObjectDelayLoad处的自启动项
O22 注册表键SharedTaskScheduler处的自启动项
O23 加载的系统服务
组别——O2
1. 项目说明
O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。
2. 举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
这是Google工具条的模块。
3. 一般建议
可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。
相关资料查询地址举例:
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/bhos/
http://computercops.biz/CLSID.html
建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。
修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。
4. 疑难解析
HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容)
O2 - BHO:
总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。
组别——O3
1. 项目说明
O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB)。注意,这里列出的是工具条,一般是包含多个项目的那种。除了IE自带的一些工具条外,其它软件也会安装一些工具条,这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
2. 举例
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
这是网际快车(FlashGet)的IE工具条。
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL
O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL
O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL
上面三个是金山毒霸的IE工具条。
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL
这个是金山快译的IE工具条。
O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338EE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
3721上网助手的IE工具条。
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
这个是google的IE工具条。
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
这个是诺顿杀毒软件的工具条。
3. 一般建议
同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地址
http://www.sysinfo.org/bholist.php
http://www.spywareinfo.com/toolbars/
http://computercops.biz/CLSID.html
建议使用CLSID(就是“{ }”之间的数字 )来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。对于标记为X的,一般建议修复。
4. 疑难解析
如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“Application Data”下,一般是感染了著名的Lop.com,建议修复。如
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
关于Lop.com的详细信息及手工修复方法,请参阅
http://www.doxdesk.com/parasite/lop.html
YoCheng 2004-12-17 12:03
组别——O4
1. 项目说明
这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。
另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里
Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名)
Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容
注意,其它存放在这两个文件夹的文件也会被报告。
我觉得,其实,“启动”文件夹应该被报告,就是
Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容
Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容
但这两项在中文版分别为
Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动
Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。
2. 举例
注:中括号前面是注册表主键位置
中括号中是键值
中括号后是数据
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
注册表自检
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
windows任务优化器(Windows Task Optimizer)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Windows电源管理程序
O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe
O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
上面三个均是瑞星的自启动程序。
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32
上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?)
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Windows计划任务
O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO
O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe
0条评论