SREng常用操作说明 （2.5 ）+常用的HijackThis的操作使用方法（V1.99.1）(7/25更新) HijackThis, SREng

hzqedison

经海色の月允许 特此转载!
使用 SREng 删除/编辑/注释注册表启动项目

使用 SREng 删除注册表启动项目

打开 SREng ，依次点击“启动项目”->“注册表”，列表中显示注册表中启动信息内容。点击选择需要删除的项目，然后点击“删除”按钮，弹出删除确认对话框，点击“是”删除，点击“否”取消。



注：删除注册表启动项目的操作支持 Ctrl / Shift 按键多选。


使用 SREng 编辑注册表启动项目

打开 SREng ，依次点击“启动项目”->“注册表”，列表中显示注册表中启动信息内容。点击选择需要编辑的项目，然后点击“编辑”按钮，弹出编辑对话框，可以编辑的内容有“名字”和“值”，编辑完成后点击“确定”，放弃编辑点击“取消”。




使用 SREng 注释注册表启动项目

打开 SREng ，依次点击“启动项目”->“注册表”，列表中显示注册表中启动信息内容。点击需要注释项目前的勾选框，去掉勾选即为注释，同时值数据内容前自动添加“; ”做标记，该启动项目将不起作用；加上勾选恢复原状，该启动项目恢复作用。



注：有些注册表位置下的项目不支持注释操作，比如：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify


说明1，SREng 会自动检查以下位置的值数据是否与系统默认相同，如果不同会提示该值被修改为非正常值：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"Load"
"Run"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"UIHost"

说明2，SREng 会自动检查以下位置的值数据是否与系统默认相同，如果不同会提示该值被修改为非正常值并询问是否使用 SREng 自动修复：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"
"Userinit"







[ 本帖最后由 effenberg 于 2007-7-23 14:27 编辑 ]

hzqedison

使用 SREng 编辑/删除服务

服务，分为“Win32 服务应用程序”和“驱动程序”两部分，对它们的编辑/删除操作类似。

打开 SREng ，依次点击“启动项目”->“服务”，点击“Win32 服务应用程序”或“驱动程序”，弹出新窗口中显示“Win32 服务应用程序”或“驱动程序”的内容。

如果勾选“隐藏已认证的微软项目”，列表中将隐藏认证的微软项目，只列出非微软项目和没有通过认证的微软项目。



使用 SREng 编辑服务

这里指修改服务的启动类型。点击选择需要编辑的服务，在下方下拉列表中选择需要调整到的启动类型：
Auto Start：自动
Manual Start：手动
Disabled：已禁用
驱动程序的启动类型还有：Boot Start 和 System Start 。

点选“修改启动类型”，再点击“设置”按钮，弹出修改确认对话框，点击“是”确认，点击“否”取消。




使用 SREng 删除服务

点击选择需要删除的服务，点选“删除服务”，再点击“设置”按钮，弹出删除确认对话框，点击“否”确认，点击“是”或“取消”取消。

注：删除服务的确认与常规认识不同，请仔细阅读确认对话框后再点击“是”、“否”、“取消”按钮以免误操作。



[ 本帖最后由 effenberg 于 2007-7-23 14:29 编辑 ]

hzqedison

使用 SREng 删除/禁用浏览器加载项

使用 SREng 删除浏览器加载项

打开 SREng ，依次点击“系统修复”->“浏览器加载项”，列表中显示浏览器加载项的内容。点击选择需要删除的浏览器加载项，点击“删除所选内容”，弹出删除确认对话框，点击“是”确认，点击“否”取消。

注：删除浏览器加载项的操作支持 Ctrl / Shift 按键多选。




使用 SREng 禁用浏览器加载项

打开 SREng ，依次点击“系统修复”->“浏览器加载项”，列表中显示浏览器加载项的内容。点击选择需要禁用的浏览器加载项，点击下方“已启用”勾选框，去掉勾选即为禁用该浏览器加载项，恢复勾选即为启用该浏览器加载项。




使用 SREng 修复 Winsock

打开 SREng ，依次点击“系统修复”->“Winsock 供应者”，列表中显示系统 Winsock 供应者的内容。

对于被添加的项目（如病毒添加）可以采取删除操作。点击选择需要删除的 Winsock 项目，点击“删除所选内容”，弹出删除确认对话框，点击“是”确认，点击“否”取消。

如果系统原 Winsock 供应者内容被覆盖，或者大部分被修改，可以尝试重置所有内容为默认值。点击“重置所有内容为默认值”，弹出重置操作的说明及继续操作确认对话框，点击“是”确认，点击“否”取消。



使用 SREng 进行常用系统修复

修复文件关联

打开 SREng ，依次点击“系统修复”->“文件关联”，SREng 自动检查文件关联正确性并显示结果，“状态”为“错误”的项目默认勾选，点击选择（同时勾选）需要修复的项目，点击“修复”按钮进行修复。




修复 Windows Shell / IE 相关内容

打开 SREng ，依次点击“系统修复”->“Windows Shell / IE”，点击选择（同时勾选）需要修复的项目，点击“修复”按钮进行修复。




编辑/重置 HOSTS 文件

打开 SREng ，依次点击“系统修复”->“HOSTS 文件”，下方框中显示当前 HOSTS 文件中的映射内容。
删除：点击选择需要删除的项目，点击“删除”按钮，弹出删除确认对话框，点击“是”确认，点击“否”取消。
编辑：点击选择需要编辑的项目，点击“编辑”按钮，弹出编辑对话框，可以编辑的有“IP 地址”和“主机名字”，如勾选“这是一个注释行”，该行映射前将被添加“#      ”，该行映射将不起作用；如去掉该勾选，该行映射恢复作用。
新建：点击“新建”按钮，弹出编辑对话框，需要填写的有“IP 地址”和“主机名字”，如勾选“这是一个注释行”，该行映射前将被添加“#      ”，该行映射将不起作用。
重置：点击“重置”，弹出重置确认对话框，点击“是”确认，点击“否”取消。

注：HOSTS 文件编辑完毕需要点击“保存”按钮保存结果，原 HOSTS 文件备份于原目录下，文件名格式为：
[原始名字]_SREBACK_[操作时间].[原始扩展名]




高级修复

打开 SREng ，依次点击“系统修复”->“高级修复”。

自动修复级别有两个：推荐修复级别 和 高强修复级别
游标移到下方为推荐修复级别，修复所有已知 Windows 注册表相关错误。
游标移到上方为高强修复级别，删除系统中所有的策略项。

移动游标选择一个修复级别，点击“自动修复”按钮进行修复。



高级手动修复有三个按钮：重置 Winsock 和 修复安全模式 和 API HOOK 检查
重置 Winsock，请见使用 SREng 修复 Winsock 相关内容。
修复安全模式，当安全模式被病毒破坏时，可以尝试使用此修复功能。
API HOOK 检查，请见使用 SREng 进行 API Hook 检查相关内容。

使用 SREng 进行 API Hook 检查

SREng 运行时会自动检查 API Hook ，如果检查到问题会以屏幕右下角气泡弹出方式显示。

手动打开 API Hook 检查：打开 SREng ，依次点击“系统修复”->“高级修复”，点击“高级手动修复”处的“API HOOK 检查”按钮，屏幕右下角将弹出气泡显示 API Hook 信息。点击弹出气泡窗口中的“查看详细”按钮，弹出“API Hook 检测详细信息”窗口，显示详细的 API Hook 信息，点击“修复入口点错误”按钮可以还原入口点错误类型的 API 。







注：API Hook 修复功能只修正当前 SREng 进程，如果修复以后再打开 SREng ，则还会看到 API Hook 的提示信息。

更多关于 API Hook 和 API Hook 检查的内容请见官方说明：http://www.kztechs.com/sreng/help2/apihook.htm

[ 本帖最后由 effenberg 于 2007-7-23 14:32 编辑 ]

hzqedison

使用 SREng 进行智能扫描

打开 SREng ，点击“智能扫描”，勾选需要扫描的项目（默认为全选），点击“扫描”按钮开始扫描。



扫描完成后出现“详细报告”对话框，点击“保存报告”按钮保存扫描报告为LOG文件，默认文件名：SREngLOG.LOG 。




[ 本帖最后由 effenberg 于 2007-7-23 14:33 编辑 ]

hzqedison

更多说明可见 System Repair Engineer（SREng） 作者 Smallfrogs 主页：http://www.kztechs.com/

System Repair Engineer（SREng）2.0 RC2 在线用户手册：http://www.kztechs.com/sreng/help2/

188062805

由于新版本的HijackThis不但功能更强大，而且与前面的版本也多了些不同之处，虽然以前也曾有人写过关于此软件的教程，不过只是介绍扫描和日志分析分析的，现在主要把新增的工具与附加工具并结合扫描功能一起，再结合实例来讲解新版的HijackThis的操作方法。

① 软件简介：HijackThis V1.99.1
HijackThis是一个非常优秀的辅助杀毒小软件，对于恶意网页代码尤其有效！对于查找系统内的木马/蠕虫也有很好的辅助作用！软件作者是荷兰的一位学生， HijaclThis对于清除恶意网页代码的确实很强大，好用，提供的Log很全面；对于系统内的木马/蠕虫的查找，也有很好的辅助功能。新手可以将 Log放在杀毒论坛上，在高手的帮助下，清除恶意程序！
———————————————————————————————————————————————
② 运行环境：Win95/98/NT/Me/2000/XP/2003
———————————————————————————————————————————————
③ 下载地址：

官方网站：
http://www.spywareinfo.com/~merijn/index.html



汉化版下载：
pchome下载
————————————————————————————————————————————————
④使用方法简介：

◎ 使用该软件前需要注意的事项：
  请一定要将下载得到的HijackThis放到一个单独的文件夹中，如果下载得到的是压缩包，还要把它解压出来。希望您不要在临时目录中运行HijackThis，也不要直接在压缩包中运行HijackThis。因为使用HijackThis作修复时，它会自动给修改的项目做备份，保留这些备份文件是个好习惯，一旦修复错了，可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空，而在压缩包中直接运行HijackThis的话，是无法生成备份文件的。
  还有，使用HijackThis进行修复前请关闭所有浏览器窗口和文件夹窗口。
◎ 下面是使用方法：
1、   HijackThis不需要安装即可使用。如图一，这是HijackThis.exe的图标，双击鼠标左键运行HijackThis.exe，初次运行会有一个提示（如图二），点击即可。



2、   与1.98以前的版本不同，1.99版后的HijackThis在程序开始运行时多了一个向导（如图三）。

图 三
  ①　点击扫描系统并保存日志，就会开始扫描，这时HijackThis会自动对系统进行全方位的安全检测，检测内容包括搜寻所有强行"捆绑"在IE浏览器上的各种恶意程序，以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等等。扫描完成后会自动弹出保存日志的窗口让你保存日志（本文所使用的为zww3008所汉化的汉化修正版，能自动保存日志，在太平洋下载）。日志会自动在记事本中打开，如果没有自动打开，请找到日志文件，并且用记事本打开。
  ② 点击仅执行扫描系统，HijackThis就会只是对系统进行扫描，这时你必需手动保存日志。左下方有个保存日志的按钮，点击可选择保存日志的位置。如图四。

图 四
③ 单击显示备份列表，可以打开以前用HijackThis修复过并备份下来的信息，在这里你可以选择恢复以前错误修复的项目，也可以把这些备份删除，以节省空间。如图五。请一定要备份和不要随便删除这些备份信息，除非你能确定这个信息确实没有任何用处。在1.99版以上，Hijackthis都能把扫描出来的信息与相关文件都删除了，所以建议各位应该保留备份，以备不时之需。

图 五
④ 单击打开混合工具箱，如图六。在工具箱的界面我们可以看到该版本比以前版本又多了两个项目——“删除一个NT服务”和“打开程序卸载管理器”。让我来逐项介绍：

图 六
  A、生成启动项列表：单击该按钮会扫描系统的启动项目，旁边的两个选项都不选，此时HijackThis会按照默认选项进行扫描，所扫描的包括当前运行的进程、文件夹中的启动项、Windows NT UserInit、注册表中的启动项、WIN.INI、SYSTEM.INI、列举IE浏览器辅助对象(BHO模块)、列举“计划任务”服务、列举下载的程序文件、Windows NT logon/logoff scripts和列举 ShellServiceObjectDelayLoad 项目等。里面所列出的内容非常多，有的可能是我们未曾发现的。
    简单说说旁边的两个选项。
    列出主要的部分（标准）：选这个时HijackThis除了扫描默认的项目外，还会列举出Enumerating Active Setup stub paths、Checking for EXPLORER.EXE instances、Checking for superhidden extensions和Enumerating Windows NT/2000/XP services。
    列出全部（全面）：选中这个选项，HijackThis除了扫描默认的项目外，还列举出了（不包括上面标准选项的项目）文件打开方式关联（包括EXE、COM、BAT、PIF、SCR、HTA、TXT）、Enumerating ICQ Agent Autostart apps和Winsock LSP 文件。
    说明：这里提供的扫描系统启动项目的功能很全面，如果说你在注册表里找不到的恶意代码、木马、病毒等是如何启动的，那你可以使用这个功能来扫描分析。

  B、打开简易进程管理器：单击该按钮会出现一个简单的进程管理器（如图七），在这里你可以查看或终止系统正在运行的进程。

图 七
  C、打开hosts文件管理器：Host 域名解析文件，相信大家都知道了吧，网上也有很多关于此文件的介绍，它的作用是包含IP地址和Host name(主机名)的映射关系，是一个映射IP地址和Host name(主机名)的规定，规定要求每段只能包括一个映射关系，IP地址要放在每段的最前面，空格后再写上映射的Host name(主机名)，一些病毒或恶意代码会写进此文件里，以达到让你访问恶意网站的目的。如图八。

图 八
  D、删除文件（重启后生效）：单击这个按钮，在弹出的窗口中选择你要删除的文件，它不会立即删除，仅给指定的文件作删除标记，待下次重启系统时执行删除。这个可以进行多次不同文件的删除，对于一些难以删除的病毒文件来说，十分有效。
  E、删除一个NT服务：该项可以删除Windows NT/2000/XP 里服务项，只要用“生成启动项列表”扫描到系统的服务名称，把它复制到“删除NT服务”的窗口里，就可能终止和禁用后作删除标记，重启系统后删除该服务项。注意：该项十分危险，如非必要，不建议使用。
F、ADS流扫描器：该项对NTFS格式有效，由于我的硬盘不是NTFS格式，不能试用，所以无法向大家说明。其说明请看图九和图十。

图 九

图 十
   G、打开程序卸载管理器：单击该按钮出来管理器，如图十一。在这里，你可以选择“清除该卸载项目”——对于一些已删除但还是留在添加/删除里的信息十分有效；或者“编辑卸载命令”——这一项要慎用，可能会导致你的程序不能正常卸载。
  H、高级设置项（这两项只在当次扫描有效）：
⑴. 如果可能，计算MD5值校验文件。例，O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (filesize 48668 bytes, MD5 C441ADF91BD183EF6847C6B07D2599D2) ，红色部分为AcroIEHelper.dll的文件大小和MD5值。
有些病毒会把自身添加进如图片等文件中，而有些病毒或恶意代码会注册为如rundll.exe等系统进程，这时只要用MD5来校验比较，这样就可以分析出哪个是可疑文件。
⑵ .添加环境变量到扫描日志中。所谓的环境变量如下：
Windows文件夹位于： C:\WINDOWS
系统文件夹位于：   C:\WINDOWS\SYSTEM32
Host 域名解析文件： C:\WINDOWS\System32\drivers\etc\hosts
  I、在线检查升级。这个不用多说了。
  J、卸载HijackThis并退出。
⑤ 访问HijackThis网页。上面有！
⑥ 什么都不干，仅进入主界面。如图十一。在这里你可点击扫描并保存日志进行分析，如果你对其扫描的结果不了解，你可以选中其中一项，并点击“关于该项目的信息…”，以得更多的帮助。如图十二

图 十一

图 十二
3、   在主界面里还有几个按钮，在这里也简单的说说。
  ① 扫描修复项目：在“扫描（保存日志）”旁边有一个“修复该项”按钮，只要把扫描到的可疑项目打上勾（可以多选），然后点击该按钮，即可把可疑项目删除了。
  ② 其他项目：
    A、信息项目，这个其实是HijackThis的帮助，包含了帮助信息和一些版本更新信息。
    B、配置项目，包含有主要、忽略列表、备份和混合工具箱四个项目。备份和混合工具箱在前面已说过，这里简单介绍“主要”部分，“忽略列表”将在下面说明。看看“主要”项目的图片，如图十三。

图 十三
    建议使用默认的设置，不必改变。
    C、添加该项到忽略列表，只要把扫描到信息中你认为可靠的项目打上勾，点击该按钮就可以把它添加到忽略列表中去，这样可以避免误删除。在上面B项的配置项目里的忽略列表里，你可以把已添加的项目删除或全部删除。
4、   下面以我的电脑所中的一个广告程序作为实例，说说HijackThis的日志分析和使用附加工具对此程序进行清除。
用HijackThis扫描得到日志如下（红色部分为可疑项，蓝色部分为我所作的分析注释）：
HijackThis_zww汉化版扫描日志 V1.99.1
保存于     1:24:24, 日期 2005-3-31
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器：   Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程：      
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ieup\inetsvr.exe
D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\WinRoll\winroll.exe
C:\Program Files\ieup\ieup.exe
D:\Program Files\Foxmail\Foxmail.exe
C:\WINDOWS\explorer.exe
D:\Program Files\HijackThis\HijackThis V1.98.2汉化版.exe
C:\WINDOWS\regedit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC 网络工具 - {19780818-4B85-4D8E-B7AF-0D6C182B1515} - C:\Program Files\ieup\ieupaad.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll   
//看到这一项了吗？就是这个文件在作怪。它把自己注册成IE的模块了。
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\System32\winhtp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [inetsvr] C:\Program Files\ieup\inetsvr.exe
O4 - HKLM\..\Run: [Ad-watch] D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [PFW.EXE] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo
//接着注册到Rundll32.exe里并调用hookdll.dll，随Windows启动，真厉害，隐藏虽不深，但是注册到系统服务里去就不容易被发现和删除.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WinRoll] "D:\Program Files\WinRoll\winroll.exe"
O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 加入网址精灵(&Z) - D:\Program Files\URLAngel\ef_link.htm
O8 - Extra context menu item: 本页加入网址精灵(&X) - D:\Program Files\URLAngel\ef_this.htm
O8 - Extra context menu item: 火狐Flash保存 - d:\Program Files\FoxFlashplayer\PlugIns\GetFlash.htm
O10 - Broken Internet access because of LSP provider ';c:\windows\system32\ws2_64.dll'; missing
O16 - DPF: {169B0044-1CD6-4EFE-A5D8-AEC69797A953} (AvlPing Control) - http://benchmark.avl.com.cn/cab/avlPing.cab
O16 - DPF: {6BB0C189-3676-4711-AA75-E2801D6B0E27} (AvlFTP Control) - http://benchmark.avl.com.cn/cab/avlFtp.cab
O16 - DPF: {C5D0DFF5-6D39-4F98-88CD-12E8430A6300} (clienttime.client) - http://www.time.ac.cn/times/client.CAB
  上面蓝色部分为我分析的注释，既然已找到罪魁祸首，那我们就可以用HijackThis来修复（清除）了。
  首先进入HijackThis的混合工具箱里用“删除文件”工具找到hap.dll——在system32文件夹里——为它作删除标记，这样重启后可以删除。
接着用HijackThis再扫描一次，修复O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll 和O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo这两项，备份就不用了，可以进入配置?备份里把备份信息删除。
重启，完成。
  这样，只需简单的三步就可以完成，比用杀毒软件进行扫描或用手工查找要快要好。可见HijackThis无愧是反劫持的王牌。
说明：O2 - IE浏览器辅助对象(BHO模块)；O4 - 随系统加载的自启动顶，这是注册表的启动项。
5、   由于风之咏者之前已有一篇文章对HijackThis的日志有十分详细的解说，所我在这里只对日志里的信息的作简单介绍——HijackThis的帮助里也有介绍。
R - 默认起始主页或默认搜索页注册表键值的改变，或新建的可能导致其改变的注册表键值
  R0 - 注册表中IE主页/搜索页默认键值的改变  
  R1 - 新建的注册表键值（V）      
  R1 - 新建的注册表键值（K）      
  R3 - 在本应只有一个键值的地方新建的额外键值  
F - ini文件中的启动项或映射到注册表中的键值      
  F0 - System.ini中的启动项改变值  
  F1 - Win.ini中的启动项新建值   
  F2 - 注册表中System.ini映射区中的启动项或UserInit项后面启动的其他程序
  F3 - 注册表中Win.ini文件映射区中的启动项              
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。      
  N1 - Netscape 4.x中，prefs.js的改变      
  N2 - Netscape 6中，prefs.js的改变      
  N3 - Netscape 7中，prefs.js的改变      
  N4 - Mozilla中，prefs.js的改变      
O - 其它类，包含很多方面，下面一一详述              
  O1 - 在Host文件中添加的IP地址域名解析映射
  O2 - IE浏览器辅助对象(BHO模块)            
  O3 - IE工具栏                     
  O4 - 随系统加载的自启动顶      
  O5 - 使控制面板中隐去Internet选项  
  O6 - 禁用Internet选项   
  O7 - 禁用注册表编辑器                  
  O8 - IE的右键菜单中的新增项目         
  O9 - 额外的IE“工具”菜单项目及工具栏按钮         
  O10 - Winsock LSP浏览器劫持   
  O11 - IE“高级选项”中的新项目      
  O12 - IE插件   
  O13 - 对IE默认的URL前缀的修改         
  O14 - IERESET.INF文件中的改变   
  O15 - “受信任的站点”中的不速之客   
  O16 - 下载的程序文件，即下载程序目录下的ActiveX对象
  O17 - 域劫持/DNS服务器  
  O18 - 额外协议和协议劫持程序   
  O19 - 用户样式表劫持         
  O20 - 注册表键值AppInit_DLLs处的自启动项         
  O21 - 注册表键 ShellServiceObjectDelayLoad (SSODL)处的自启动项      
  O22 - 注册表键 SharedTaskScheduler 处的自启动项      
  O23 - 列举 NT 服务









附加：系统日志自动分析（只限hijackthis扫出的日志）