HijackThis日志细解正文（三）

如果您在HijackThis的扫描日志中发现了F2项并进行了修复，一旦因为某些原因想要反悔，请“不要”使用HijackThis的恢复功能来取消对F2项目的修改（我指的是config菜单——Backups菜单——Restore功能），因为据报告HijackThis在恢复对F2项的修改时，可能会错误地修改注 册表中另一个键值。此bug已被反映给HijackThis的作者。此bug涉及的注册表键值是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLOGOn:UserInit一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改，可能会错误修改另一个键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLOGOn:Shell 所以，如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复，一旦因为某些原因想要反悔，请手动修改上面提到的UserInit键值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLOGOn:UserInit）F2-REG:-System.ini:UserInit=C:\WINDOWS\System32\Userinit.exeF2-REG:-System.ini:UserInit=C:\Windows\System32\wsaupdater.exe,不过，说实话，在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志。 1.项目说明F-ini文件中的自动运行程序或者注册表中的等价项目F0-ini文件中改变的值，system.ini中启动的自动运行程序F1-ini文件中新建的值，win.ini中启动的自动运行程序F2-注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序F3-注册表中win.ini文件映射区中启动的自动运行程序 F0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。F0对应在System.ini文件中“Shell=”这一项（没有引号）后面启动的额外程序。在Windows9X中，System.ini里面这一项应该是Shell=explorer.exe这一项指明使用explorer.exe作为整个操作系统的“壳”，来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名，该程序在启动Windows时也会被执行，这是木马启动的方式之一（比较传统的启动方式之一）。比如Shell=explorer.exetrojan.exe这样就可以使得trojan.exe在启动Windows时也被自动执行。F1对应在win.ini文件中“Run=”或“Load=”项（均没有引号）后面启动的程序。这些程序也会在启动Windows时自动执行。通常，“Run=”用来启动一些老的程序以保持兼容性，而“Load=”用来加载某些硬件驱动。F2和F3项分别对应F0和F1项在注册表中的“映像”。在WindowsNT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它们使用一种称作IniFileMapping（ini文件映射）的方式，把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时，Windows会先到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping这里查找需要的内容，而不是去找那些ini文件。F2/F3其实和F0/F1相类似，只不过它们指向注册表里的ini映像。另外有一点不同的是，F2项中还报告下面键值处额外启动的程序HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinLOGOn\Userinit此处默认的键值是(注意后面有个逗号)C:\WINDOWS\system32\userinit.exe,（根据您的Windows版本和安装目录的不同，路径里的“C”和“windows”可能不尽相同，总之这里默认指向%System%\userinit.exe%System%指的是系统文件目录对于NT、2000，该键值默认为X:\WINNT\system32\userinit.exe对于XP，该键值默认为X:\WINDOWS\system32\userinit.exe这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。）这个键值是WindowsNT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序（在该键值中userinit.exe后的逗号后面可以添加其它程序），这些程序在用户登录后也会被执行。比如将其键值改为C:\windows\system32\userinit.exe,c:\windows\trojan.exe则c:\windows\trojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。 总之，F项相关的文件包括c:\windows\system.inic:\windows\win.ini（根据您的Windows版本和安装目录的不同，路径里的“C”和“windows”可能不尽相同，总之这里指的是%windows%目录下的这两个ini文件%Windows%目录指的是Windows安装目录对于NT、2000，Windows安装目录为X:\WINNT\对于XP，Windows安装目录为X:\WINDOWS\这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。）F项相关的注册表项目包括HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinLOGOn\UserinitHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping 2.举例F0-system.ini:Shell=Explorer.exetrojan.exe上面的例子中，在system.ini文件中，默认的Shell=Explorer.exe后面又启动了一个trojan.exe，这个trojan.exe十分可疑。F1-win.ini:run=hpfsched上面的例子中，在win.i

相关热词：HijackThis 日志 正文