shixinyu's Blog

hijack vt. 抢劫，劫持。

众所周知的，hijackthis是一款著名的用于修复被劫持的Internet Explorer（下文简称IE）浏览器的，现今的网络环境错综复杂，任何访问的网络都有可能中招，而IE浏览器便是这个通道。

当我们用hijackthis分析的时候习惯单击“Do a system scan only”按钮来扫描并显示列表或者单击“Do a system scan and save a logfile”按钮来扫描后生成扫描日志文件来分析。实际上这种扫描存在着两个盲区：
在注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
下的启动项并不会出现在这两种扫描的结果中，所以以至于我们的HelpOnline论坛中存在的这么一类问题没有得到及时的解决：

开机提示“加载 C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\DTSERV~1.DLL时出错，找不到指定的模块。”的对话框。

其实这个启动项是在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
这个注册表项下的，所以我们需要进入注册表编辑器来在这个注册表项下删除“DTService”的启动项即可消除每次开机的那个提示。

虽然Hijackthis的这两种扫描存在这么两个盲区，但是Hijackthis是不是就对这两个盲区就束手无策了呢？答案是否定的，Hijackthis其实还有个更全面的启动项扫描，如下面动画所示：

单击“Generate StartupList Log”按钮后弹出提示对话框询问是否继续，单击“Yes”按钮即可在扫描完成后自动弹出记事本或log关联的程序来打开Hijackthis扫描的所有 启动项的扫描日志。在这个日志里就不存在上文中所提到的两个盲区的问题了。

下面给出常见的启动项注册表位置：

Registry Local Machine Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Registry Current User Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Registry Local Machine RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Registry Current User RunOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Registry Local Machine RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Registry Current User RunOnceEx

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Registry Local Machine RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Registry Local Machine RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Registry Current User RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Registry Local Machine Policies\Explorer\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Registry Current User Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Load Key and Run Key

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
+load
+run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
+load
+run

至于“服务”的那些注册表项就无需再列了，因为Hijackthis会自动扫描非Microsoft自带服务的。

PS：微软MVP SmallFrogs编写的System Repair Engineer不存在上文提到的两个盲区，值得推荐！

标签： Hijackthis, 注册表