HijcakThis日志中的每一行以一个分类名称开始。（要查看这一主题的技术信息，单击主窗口中的"Info"按钮，并向下滚动窗口，突出显示某一行并单击"More info on this item"按钮即可。） :Y  KI3*r  
7z1oH  
要查看实用信息，单击需要获得帮助的分类名称： EtCw^^+,B  
* R0, R1, R2, R3 - IE起始页/搜索页 URL T|2FKO@  
* F0, F1 - 自动加载程序 ~ m D5T2X  
* N1, N2, N3, N4 - Netscape/Mozilla 起始页/搜索页 URL l*9RI/I  
* O1 - 主机文件重定向 q#'L5_7  
* O2 - 浏览器辅助对象 .@u~Z|!!sD  
* O3 - IE工具栏 }TDp('^  
* O4 - 从注册表自动加载程序 oek_\7V w  
* O5 - 使IE选项的图标在控制面板中不可见 qM'~Gnh7*  
* O6 -由管理员限制的对IE选项的访问 g[(l#  
* O7 -由管理员限制的对注册表编辑器的访问 |5
52y_[ \  
* O8 - IE右键菜单中的额外项 dx`JGYOk#  
* O9 - 主IE按钮工具栏上的额外按钮，或IE"工具"菜单中的额外项 w13XJuWp7'  
* O10 - Winsock绑架程序 b!BppfS'v  
* O11 - IE"高级选项"窗口中的额外组 @a. N#GBOw  
* O12 - IE插件 pfs Le  
* O13 - IE DefaultPrefix绑架 6]lXrjz:p  
* O14 - "重置Web设置"绑架 d h[;IBA  
* O15 - 受信任区域中的有害站点 Q\slI>R  
* O16 - ActiveX对象（aka 下载的程序文件） MFVN%.Er  
* O17 - Lop.com域绑架程序（DNS服务器） 8j`Ur^\E  
* O18 - 额外协议和协议绑架程序 1x,SGs\  
* O19 - 用户样式表绑架 CP% #zI  
3*cX!dL]  
,pd:`{vC,  
PT#5bgs$  
●症状及治疗方案： ZOF={
j9  
^C[>T  
________________________________________ M/W|d(S  
R0、R1、R2、R3－IE起始页和搜索页  
症状： *Cq.I@5  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ A )wkcW@  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ } :&Z&Y%WV  
R3 -Default URLSearchHook is missing *o4ovl!
  
Vf{
"3<  
治疗方案：
7 HEL4c3  
如果结尾的URL是您的主页或搜索引擎，那就不用管它。如果您不认可，请检查一下并用HijcakThis修复。 Yn<i5.K  
对于R3项，始终修复它们，直到它提及一个您认可的程序为止，比如Copernic。 0d\]4G[P  
________________________________________ {ya$^]IY

F0、F1－自动加载程序 M>a=,"^it  
症状： (uKiU{
Wr  
F0 - system.ini: Shell=Explorer.exe Openme.exe \bT2 @g  
F1 - win.ini: run=hpfsched hbQ_">5+Z  
qv/`juU  
治疗方案： .~b_JoW  
F0项始终是有害的，因此要修复它们。 af\+nKJu  
F1项通常是存在很长时间的安全程序，因此您应该根据其文件名查找与该文件有关的更多信息，以确定它是无害的还是有害的。 L_q(DCd`  
________________________________________ TML3!^~QV  
N1、N2、N3、N4－Netscape/Mozilla起始页和搜索页 zM^D7),  
症状： /N-MT)41k  
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) G)(=G,  
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) pR
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) $+o^`4  
" Y]9vuc  
治疗方案： "q>;b?! '  
通常情况下，Netacape和Mozilla的主页及搜索页是安全的。它们极少被绑架。主页和搜索页的URL不是您认可的，请用HilackThis修复它。 "Nkm?4R|X  
________________________________________ pA8aCP

O1－主机文件重定向 o23O71fNh]  
症状： PBX6W4{#*  
O1 - Hosts: 216.177.73.139 auto.search.msn.com aUL)"kDn  
O1 - Hosts: 216.177.73.139 search.netscape.com tknn{fy  
O1 - Hosts: 216.177.73.139 ieautosearch Y`38
[]&Z? u_  
治疗方案： _=:/T0Af  
这种绑架将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址，那么在您每次键入该地址时，您将被重定向到一个错误的站点。始终用HilackThis修复它们，除非您故意将这些行放到主机文件中。 )
~u]  
________________________________________ SRBtf? ^f  
O2－浏览器辅助对象 }9?O1GqB=  
症状： Wg h:]f  
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL kmAZ$N+Dw  
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) N@Sozs  
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 8fRSkh6  
>)8
K8bj  
治疗方案： n~8)%\92W  
如果您无法直接识别某个浏览器辅助对象的名称，可以使用TonyK的 BHO 列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在BHO列表中，'X'代表侦探软件，'L'代表安全。 G} 'keW"e+  
________________________________________ 3Y M1N'qh  
O3－IE工具栏 877'B~l  
症状： l|-b.n  
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL g' [VtG`  
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) 3-!yDA  
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL :5\-:P(!D  
e(oRK

治疗方案： -S[OS1<  
如果您不能直接识别工具栏的名称，可以使用TonyK的 工具栏列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在工具栏列表中，'X'代表侦探软件，'L'代表安全。 DcZ=9U  
如果它不在列表中，而且其名称似乎是一个随机的字符串，并且该文件位于一个名为'Application Data'的文件夹中的某处（比如上述例子中的最后一个），那么它肯定是有害的，应该用HilackThis修复它。 !k]xB]^]-  
________________________________________ lI0Opm(  
O4－从注册表自动加载程序 Pge:4 &  
症状： o`wT\j_]  
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun tZO!_@H(d0  
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe sOMhFp(I(  
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" :%cwTq*2;  
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE V.2%a#G  
治疗方案： *A:U|c4  
使用PacMan的 启动列表 来查找这些条目，以确定它们是无害的还是有害的。 u<S^P29  
________________________________________ Z<gOi-\I

O5－使IE选项在控制面板中不可见 LODB]]_V  
症状： );P`J  
O5 - control.ini: inetcpl.cpl=no Z4er $  
*QaFZSn  
治疗方案： J#f1K  
除非故意隐藏控制面板中的图标，否则用HijackThis修复它。 4!') uy  
________________________________________ |G*~
Qpx  
O6－由管理员限制的对IE选项的访问 jbO!Qy
症状： h,0U-R9  
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Ix}6=5
u,y  
f65 ?``h  
治疗方案： +[X\!
除非激活了 Spybot S&D 选项"Lock homepage from changes"，否则用HijackThis修复这一项。 EzT8Wl

O7－由管理员限制的对注册表编辑器的访问 @ BF  
症状： `N5#T,MU!  
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 x'gT,,]  
tr=%&>OB  
治疗方案： =,X+?Am  
始终用HijackThis修复这一项。 lKAlfbzfA  
________________________________________ F
O8－IE右键菜单中的额外项 FDbYU  
症状： SZHxy 0m4A  
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html e\6MZ"u  
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm qZq+ =4fp  
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm _
O@BDk4  
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm S
cc_n
G[j 6,  
治疗方案： zMz
   
如果不能识别IE右键菜单中的项目名称，用HijackThis修复它。 wE*> $p  
________________________________________ V@~,Lu-a]

O9－主IE工具栏上的额外按钮，或IE"工具"菜单中的额外项 I !P.8u  
症状：  
O9 - Extra button: Messenger (HKLM)  
O9 - Extra 'Tools' menuitem: Messenger (HKLM) n2<ZX i:J  
O9 - Extra button: AIM (HKLM) &dgTh(D]  
IH5ksmnf
治疗方案： ,MGEOo  
如果不能识别按钮或菜单项的名称，用hijackThis修复它。 Y*v][Yw
I  
________________________________________ .kyCp-f*7  
O10－Wincock绑架程序 tR rC|0  
症状： A"7OIVRa  
O10 - Hijacked Internet access by New.Net M@NVE
uJ  
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing Lb..P3 * Q  
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll Wa|;+O>  
DM<Jwd"  
治疗方案： a{^>LNAwKQ  
最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。
WCNU+Kd]  
________________________________________ m}dsRk][[y  
O11－IE"高级选项"窗口中的额外组 <&uJUFT  
症状： F^>j v9V  
O11 - Options group: [CommonName] CommonName mK51tx  
a15= g
h  
治疗方案： v;Rf*Us,  
现在，惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。  OX
S

O12－IE插件 /gg*Orn  
症状： <e4b4
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll JU%60K:  
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll {h|/M$  
' V&`0
治疗方案： Cw@/F6 X  
大部分时间内，这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件（.ofb）。 \hw_Q?Yw9  
________________________________________ <,3N~1W  
O13－IE DefaultPrefix绑架 )aJ  eq<+  
症状： sK_#)(  
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= qt4yz=B6l  
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? )B!L^x  
$s_r<L5?j  
治疗方案： 5Y3-z.l  
这些项始终是有害的。用HijackThis修复它们。 8(%
jJ`sfg  
________________________________________ U rDAt+  
O14－'重置Web设置'绑架 }icavWOX  
症状： nvZFXWzNx1  
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com MzwSKZ  
p^]a_dd  
治疗方案： FCW5?#"~  
如果该URL不是您计算机的厂商或您的ISP，用HijackThis修复它。 )X'B[la~"  
________________________________________ 8,nuvF

O15－受信任区域中的有害站点 swwD2I  
症状： \cW$4}  
O15 - Trusted Zone: http://free.aol.com  
6 9S*C?A^  
治疗方案： tenif_  
迄今为止，只有AOL倾向于将自身添加到您的受信任区域，从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。 @$8'4<%DO5  
________________________________________ N7v{ J9V  
O16－Active对象（aka 下载的程序文件） `D k iw  
症状： Fp*ti~(99  
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab Fv`-Bk>  
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab 3E&ko.>@$  
6q n`Tw'  
治疗方案： F1 &z;,'h  
如果您你不能识别对象名称，或它下载文件的URL，用HijackThis修复它。如果名称或URL中包含下列单词，比如'dialer'、'casino'、'free-pludin'等等，那么一定要修复它。 @qV VXvZ  
________________________________________ 87 JIbz'  
O17－Lop.com域绑架（DNS服务器） ]@Da)Z^  
症状： Sq#rm+  
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net !Y6#mXE  
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com qp,AA
s  
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com m
$zo2{ a  
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 33uQ=jHL  
G 1gG%i  
治疗方案： AqcX(H&  
如果域不是来自您的ISP或公司的网络，用HijackThis修复它。 qF}SO`UXb  
________________________________________ 0Z086c

O18－额外协议和协议绑架程序 Nh@OQp A  
症状： \,G0#  
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll ^FF^4QVjP  
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} 15}a
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 7P${C3P&  
(AN-}8:
VM  
治疗方案： (f6Gtly9  
这里只显示了少数绑架程序。恶名昭著的还有'cn'（CommonName），'ayb'（Lop.com）和'relatedlinks'（Huntbar），您应该用Hijackthis修复这些项。 c9E2b4xz  
显示的其他情况要么是未被确认为安全的，要么是被侦探软件绑架的。如果是后一种情况，用HijackThis修复它。 Z=mh|R  
________________________________________ )',gOs< WW  
O19－用户样式表绑架 B]E~\u4P  
症状： y#@i)5nt`-  
O19 - User style sheet: c:\WINDOWS\Java\my.css Fe[xzm:0  
p"vp,  
治疗方案： R)zw(e iT  
在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在日志中，用HijackThis修复它。 8NH87}u  
24_$gG  
<~n"-  
FGXf>:4  
●软件详解       >qU*X @c  
8^\7qm7g  
　　浏览器绑架克星 - HijackThis是一款专门对付恶意网页及木马的程序，它能够将绑架您浏览器的全部恶意程序揪出来！只要你有了它，就相当于请到了一位免费的安全护卫，这个安全护卫会尽心尽责地找出启动项中所有可疑的项目，包括自启动程序和共享软件中的广告发送程序，捆绑在IE中的木马等恶意程序。另外它还提供了对恶意代码的修复功能，如果你遇到利用3721上网助手、超级兔子IE保护器等无法修复的恶意网页，你不妨请出HijackThis来帮帮忙。 L:f5 4;2  
<]4r  
　　一、软件的基本信息 jH9M4 e1_  
　　软件名称：HijackThis <_Nb Y9Bjk  
　　最新版本：1.98版 Wyi1_n"S  
　　软件大小：177KB * o?4jiu  
　　软件语言：英文 zuYoLF  
　　软件性质：免费软件 
　　运行环境：Win9x/Me/NT/2000/XP aA&s'c'{W  
　　软件主页：http://www.spywareinfo.com/ REuZ u %&

w%m$y  
　　二、软件的使用 ;{:]lr+F  
};mOI!el  
　　HijackThis不需要安装即可使用，我们只要双击压缩包中的HijackThis.exe，就能直接打开程序的主界面了（如图1所示）。软件的使用非常简单，点击"Scan"按钮后，它会自动对系统进行全方位的安全检测，检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序，以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等。 `.8f(F|i$  
U/ `@RV{Df  
　检测完成后HijackThis就会将系统中所有可疑的项目列出来（如图2所示）。最后只要我们选中你认为确实属于可疑的项目后，点击"Fix checked"按钮即可对其进行自动修复。 RW&7T&RO_  
MW}.GhHo  
图2 @ew71EU  
　　提示：在每个可疑项目的前面都会提供一个编号，这些编号代表了不同的类别，如果想了解每个选项的详细信息，我们只要选中某个项目后点击下面的"Info on selected item"按钮即可出现该项的详细说明窗口（如图3所示）。 Yi :=#  
W|t}nZ  
图3 Izpwee\h  
　　注意：如果修复系统后出现错误，我们可以点击"Config"按钮，切换到"Backups"标签页，在这里选择"Restore"按钮进行恢复；假如修复并重新启动计算机后一切正常，那么就可以选择"Delete"或"Delete all"将此项目彻底清除了。 Y91zHE8[O  
vczWu/\g=  
  三、识别有害信息 kVOdrY0^  
7
　　当然，要想识别有害信息也不是一件容易的事情，刚才提到，每个可疑项目的前面都有一个编号，事实上这些编号分别代表了不同的含义（如图4），下面笔者就结合实例给大家详细说明一下各编号的含义： D1|is  
OKvS9;ay{  
图4 Jp ' 'rfj  
　　编号：R0、 R1、 R2、 R3 －－ 代表IE起始页/搜索页 URL %'>Zz4G0  
　　例： s4?& e~  
　　R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ CMKR5gu  
　　R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ $ew|5@2F  
　　R3 ?Default URLSearchHook is missing %s4jU%[_Z  
　　含义： @SJA@(iz  
　　对于R0、R1、R2中末尾出现的URL地址，如果是您的主页或搜索引擎，那就不用管它。如果不是，请用HijcakThis修复。 |.L] +]  
　　对于列出的R3项，我们必须始终修复它们，直到它提及一个您认可的程序为止。 ;,P/iA:  
　　编号：F0、 F1－－ 代表自动加载的程序 m`> Gtdn%u  
　　例： E;Fwn  
　　F0 - system.ini: Shell=Explorer.exe Openme.exe c3q#K&U%  
　　F1 - win.ini: run=hpfsched U8eGnC<k  
　　含义： 
　　对于F0中的选项始终是有害的，因此我们必须要修复它们。对于F1项通常是存在很长时间的安全程序，因此您应该根据其文件名查找与该文件有关的更多信息，以确定它是否有害。 
5tKo|  
　　编号：N1、N2、N3、N4－－代表Netscape/Mozilla起始页和搜索页 }?]ku(  
　　例： &e~
O`  
　　N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) 9@=^8?!Q  
　　N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) BgWRMYS  
　　N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) nH<jJqF{X  
　　含义： p`t)fJ?"z  
　　通常情况下，Netacape和Mozilla的主页及搜索页很少被绑架。如果这两个URL不是您认可的，请用HilackThis修复它。 WxQ}N7|h  
编号：O1－－代表主机文件重定向 TrZL_n'r  
　　例： QqGJaVAuP1  
　　O1 - Hosts: 216.177.73.139 auto.search.msn.com q5zMt fJo  
　　O1 - Hosts: 216.177.73.139 search.netscape.com AtS8ffc  
　　O1 - Hosts: 216.177.73.139 ieautosearch EHWjdsd? 1  
　　含义： L!
D2dsKf^  
　　这些绑架程序将通向正确IP地址的地址重定向到错误的IP地址。如果IP不属于该地址，那么在您每次键入该地址时，您将被重定向到一个错误的站点。始终用HilackThis修复它们，除非您故意将这些行放到主机文件中。 @~[c3/hr  
　　编号：O2－－代表浏览器辅助对象 o;s lmB0Y  
　　例： !f9R4OT  
　　O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL (c
~  
　　O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) 2LB?Cjg@  
　　O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL \ 6p [it7  
　　含义： XXP< ls  
　　如果您无法直接识别某个浏览器辅助对象的名称，可以使用TonyK的 BHO 列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在BHO列表中，'X'代表侦探软件，'L'代表安全。 d=p?I ZE  
　　编号O3－－代表IE工具栏项 e_*>FU[u)X  
　　例： 1~\#YU60F  
　　O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL Vm!,YRN   
　　O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) %{Iny YS[  
　　O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL YLq(r':qG|  
　　含义： _TB2&$tZ  
　　如果您不能直接识别工具栏的名称，可以使用TonyK的 工具栏列表 通过类ID（CLSID，位于大括号中的编号）进行查找，以确定它是无害的还是有害的。在工具栏列表中，'X'代表侦探软件，'L'代表安全。 V;53hZUD  
　　如果它不在列表中，而且其名称似乎是一个随机的字符串，并且该文件位于一个名为'Application Data'的文件夹中的某处（比如上述例子中的最后一个），那么它肯定是有害的，应该用HilackThis修复它。 olk:ksrY8  
　　编号：O4－－代表从注册表自动加载的程序 s-,(]^KN  
　　例： 8l)
\|]  
　　O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun L!EdL\wp
　　O4 - HKLM\..\Run: [SystemTray] SysTray.Exe cGyuU x  
　　O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" 1J-b"yxQY  
　　O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Ae!]@h  
　　含义： a(g;B9MK  
　　04代表启机时自动加载的程序，你要对系统有一定的了解，以确定它们是无害的还是有害的。 qOY=T3SQ  
　　编号：O5－－使IE选项在控制面板中不可见 u7"uz"vJ\  
　　例： ^#is:g  
　　O5 - control.ini: inetcpl.cpl=no 82#
*.0c  
　　含义： ^kMZ#VM  
　　除非故意隐藏控制面板中的图标，否则用HijackThis修复它。 uOZ/@A:M   
　　编号：O6－－由管理员限制的对IE选项的访问 N
182?<  
　　例： @M9{
　　O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present zLdnn|Sn  
　　含义： YiSU2u<e.  
　　限制了对IE选项的访问，请用HijackThis修复这一项。 w[?Z<#h  
编号：O7－－由管理员限制的对注册表编辑器的访问 RQLQ6@Z

例： (u@0TQ.5  
　　O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 b [@?<weP  
　　含义： CAuVEAKE  
　　注册表编辑被禁用，始终用HijackThis修复这一项。 SFh%B.H$VJ  
　　编号：O8－－IE右键菜单中的额外项 F9cENuh  
　　例： rM*x,/@  
　　O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html 4r"2h0R  
　　O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm ?ezWk>v^  
　　O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm Oa$a?
  
　　O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm ^P(f7Pf)  
　　含义： bA]M(WDk  
　　如果不能识别IE右键菜单中的项目名称，用HijackThis修复它。 ffe! ;*/  
　　编号：O9－－主IE工具栏上的额外按钮，或IE"工具"菜单中的额外项 axd5M&mz  
　　例： zWM#P g  
　　O9 - Extra button: Messenger (HKLM) +ED 1 [lS  
　　O9 - Extra 'Tools' menuitem: Messenger (HKLM) (p -8  
　　O9 - Extra button: AIM (HKLM) hV`b?DF'p  
　　含义： fCvUB^=  
　　如果不能识别按钮或菜单项的名称，用hijackThis修复它。 JJ6 ;
　　编号：O10－－Wincock绑架程序 apUj;giq1  
　　例： ,S<+Q)j  
　　O10 - Hijacked Internet access by New.Net wvO"1KM  
　　O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing ?s_;obg8  
　　O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll  
　　含义： `
　　最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修复这些项。 #g_J,64
  
　　编号：O11－－IE"高级选项"窗口中的额外组 y,%!tk  
　　例： !;[pW:
　　O11 - Options group: [CommonName] CommonName d"^}M{%  
　　含义： K z+Ia  
　　现在，惟一将其自身的选项组添加到IE 高级选项窗口中的绑架程序是CommonName。因此您始终可以用HijackThis修复这一项。 y=C)W V g8  
　　编号：O12－－IE插件 &^><Nso   
　　例： *({"Y.$h$R  
　　O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll D|-=d|\m  
　　O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll aDBW(!8E|  
　　含义： M
　　大部分时间内，这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件（.ofb）。 $6jd^p5g  
编号：O13－－IE DefaultPrefix绑架 *6bV8>_K  
　　例： \49 3N":A  
　　O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= l+tI^'Lc]i  
　　O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? f UYu K9  
　　含义： };2T2 (  
　　这些项始终是有害的。用HijackThis修复它们。 5;&k>))#_0  
　　编号：O14－－'重置Web设置'绑架 j(n$-2W  
　　例： VB$Tt5e  
　　O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com AfCxIe20%K  
　　含义： +E1hDn!E  
　　如果该URL不是您计算机的厂商或您的ISP，用HijackThis修复它。 X.=D 8  
　　编号：O15－－受信任区域中的有害站点 dh4s.j  
　　例： @R'^\+yw  
　　O15 - Trusted Zone: http://free.aol.com gew5
HjIF  
　　含义： _`AutQJ  
　　迄今为止，只有AOL倾向于将自身添加到您的受信任区域，从而允许它运行任何它想要运行的ActiveX。始终用HijackThis修复这一项。 zhDn,{6Pp  
　　编号：016－－Active对象（aka 下载的程序文件） ' zvacL  
　　例： 8*x(_=}i_N  
　　O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab d ac"^tNX  
　　O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab -AA~&kOdJ  
　　含义： P>;~Yj-+#O  
　　如果您你不能识别对象名称，或它下载文件的URL，用HijackThis修复它。如果名称或URL中包含下列单词，比如'dialer'、'casino'、'free-pludin'等等，那么一定要修复它。 8)Wni1Y  
　　编号：017－－Lop.com域绑架（DNS服务器） 3P0:A:Y  
　　例： ,)q49D  
　　O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net 5_<!Vjm  
　　O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com 5$u1AQ  
　　O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com |?Ozo )&  
　　O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 1Dv8P  
　　含义： Fq@|!J^+N  
　　如果域不是来自您的ISP或公司的网络，用HijackThis修复它。 O @n#~!*{  
　　编号：O18－－额外协议和协议绑架程序 @I=V*XF*{  
　　例： hStG^VfS<  
　　O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll avw7]t.\  
　　O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} Ck_: M>/  
　　O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} E+"KB(  
　　含义： 87cv>Yn  
　　这里只显示了少数绑架程序。恶名昭著的还有'cn'（CommonName），'ayb'（Lop.com）和'relatedlinks'（Huntbar），您应该用Hijackthis修复这些项。 +E 7v&?JS  
　　显示的其他情况要么是未被确认为安全的，要么是被侦探软件绑架的。如果是后一种情况，用HijackThis修复它。 /2 %h/!  
　　编号：O19－－用户样式表绑架 C6-Qu  
　　例： x,k;6q^  
　　O19 - User style sheet: c:\WINDOWS\Java\my.css (,gOSgj  
　　含义： ,Z`K#- 23w  
　　在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在日志中，用HijackThis修复它。 S_dspr<xs  
文字太长请版主不要生气只有用这种方法发了，只是为了大家学习