据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“哈希信息窃取器（Hack.Win32.HashDump.a）”病毒。该病毒可对主机用户密码进行暴力破解。

本日热门病毒：

“哈希信息窃取器（Hack.Win32.HashDump.a）”病毒：警惕程度★★★，通过网络传播，依赖系统：WINNNT/2000/XP/2003。

这是一个C/C++编写的黑客工具，可以获取用户主机的LM/NTM散列，黑客可通过获取的散列信息破解用户计算机的账号、密码。病毒通过遍历列表查找LSASS.EXE,获取该进程ID，进行内存操作和线程操作。病毒可以创建通信线程，根据当前进程ID创建命名管道，在创建的事件上等待，与之前创建的管道通信线程同步，通过加载.DLL文件和调用大量函数将获取的信息写入通信管道，以此来获得用户信息。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

    在频频恶意攻击用户、系统漏洞层出不穷的今天，作为网络管理员、系统管理员虽然在服务器的安全上都下了不少功夫，诸如及时打上系统安全补丁、进行一些常规的安全配置，但有时仍不安全。因此必须恶意用户入侵之前，通过一些系列安全设置，来将入侵者们挡在“安全门”之外，下面就将最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享。

　　一、如何防止溢出类攻击

　　1、尽最大的可能性将系统的漏洞补丁都打完，最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见 禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

　　2、停掉一切不需要的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出，就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到MSDTC服务时，您大可以把MSDTC服务停掉，这样MSDTC溢出就对您的服务器不构成任何威胁了。

　　3、启动TCP/IP端口的过滤，仅打开常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中"只允许"TCP协议(协议号为：6)、UDP协议(协议号为：17)以及RDP协议(协议号为：27)等必需用协议即可;其它无用均不开放。

　　4、启用IPSec策略:为服务器的连接进行安全认证，给服务器加上双保险。如③所说，可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续，可以到服安讨论Search "IPSec"，就 会有N多关于IPSec的应用资料..)

　　5、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹：

　　（1）.黑客通常在溢出得到shell后，来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了，克隆管理员了等等;这里可以将这些命令程序删除或者改名。(注意:在删除与改名时先停掉文件复制服务(FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。)
　　（2）.也或者将这些.exe文件移动到指定的文件夹,这样也方便以后管理员自己使用。
　　（3）.访问控制表列ACLS控制：找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe ftp.exe这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用，那么只需要将system用户在ACLs中进行拒绝访问即可。
　　（4）.如果觉得在GUI下面太麻烦的话，也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行，由于这里的命令太多就不一一列举写成批处理代码给各位了!!)
　　（5）.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外特别是win2k，对Winnt、Winnt\System、Document and Setting等文件夹。

　　6、进行注册表的修改禁用命令解释器: (如果您觉得用⑤的方法太烦琐的话，那么您不防试试下面一劳永逸的办法来禁止CMD的运行，通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWORD)执行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD，修改其值为1，命令解释器和批处理文件都不能被运行。修改其值为2，则只是禁止命令解释器的运行,反之将值改为0，则是打开CMS命令解释器。如果您赚手动太麻烦的话,请将下面的代码保存为*.reg文件，然后导入。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001

　　7、对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )

　　其实，关于防止如Overflow溢出类攻击的办法除了用上述的几点以外，还有N多种办法:诸如用组策略进行限制，写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了，以及对Shellcode较有研究;由于此文仅仅是讨论简单的解决办法，因此其它办法就不在这里详述了。

　　二、如何防止溢出获取Shell后对系统的进一步入侵

　　1、 在做好1中上述的工作之后，基本上可以防目骇客在溢出之后得到shell了;因为即使Overflow溢出成功，但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢，因为:1.溢出后程序无法再调用到CMDSHLL已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以，基本上要能过system权限来反弹shell就较困难的了…)

　　2、 当然世界上是不存在绝对的安全的，假设入侵者在得到了用户的shell之后，做些什么呢?一般入侵者在在得到shell之后，就会诸如利用系统命令加账号了 通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里通过1上述的办法对命令进行了限制，入侵者是没有办法通过tftp、ftp来传文件了，但他们仍然可以能过echo写批处理，用批处理通过脚本BAT/VBS/VBA等从WEB上下载文件，以及修改其它盘类的文件等潜在破坏行为。所以用户需要 将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了;以及本地提权反弹Shell了。

　　编者按：其它服务器、系统的安全是个整体的概念，有可能其它一小点的疏忽就可以让用户的网站、甚至服务器沦陷。因此安全策略必需走防患未然的道路，任何一个小地方都不能马虎、今天关于防Overflow的安全小技巧就为大家介绍到这里。

　　不管是出于什么目的被别人监控msn的信息毕竟不是什么好的事情.下面总结一下如何在windows 和linux下面防止这个事情的发生.

　　1.安装gaim for linux or windows .

　　2.安装Gaim-Encryption

　　3.gaim-encryption 这样别人就没有办法监控了.监控的东西都是被加密的信息.

　　http://gaim-encryption.sou…

　　http://gaim.sourceforge.ne…

　　4.关于gaim for windows的字体难看的问题:

　　系统缺省在C:\Program Files\Common Files\GTK.0\etc\gtk-2.0\gtkrc文件中有一个缺省的配置是:

　　gtk-font-name="sans 8"

　　这个对于咱们来说样子和大小实在是太难看了.

　　所以可以讲这个更改成:

　　gtk-font-name="simsun 10"

　　存盘退出.再次运行gaim.

　　这样就好看多了:)

　　实时通讯软件的安全性一向就受人质疑，多数的软件开发商也不敢保证使用自己的产品在在线交谈是绝对安全的，面对网络上有越来越多的“黑客工具”是针对实时通讯软件的交谈内容安全性缺陷而设，你会不会担心办公室、学校的实验室，有人随时在暗地里窃听你的谈话内容呢?用 SimpLite-MSN 为 MSN 为交谈内容加密，避免有心人士窃听。

　　SimpLite-MSN 采用的相当于美国军事等级要求的 RSA 2048 bit 实时字符串加密功能，对所有 MSN 受发讯息加密。

　　RSA 指的是一种加密运算加密方式，而 2048 bit 是将原本正常的字符以 2048 bit 长度的字符串，以随机编排的方式置换，如此一来窃听者想要以一般的窃听工具(Sniffer)察看你的交谈讯息内容可没那么简单。

　　比起大名鼎鼎的 PGP (Pretty Good Privacy)金钥加密工具，SimpLite-MSN 的使用要简单多了，只要完成初次的安装设置，SimpLite-MSN 便可随时做好加密保护的工作。凡是从 MSN 上传送的讯息、档案信息，都会受到程序保护，而程序也对随机产生的加密金钥妥善保存，无丢失之虞。

　　在 SimpLite-MSN 加密保护交谈状况启动前，交谈的双方都需要事先安装这套软件，程序启动时会在开始工作列上以最小化的图示常驻，当状态呈“红色”时，代表加密保护已经生效，而程序会在交谈同时自动辨识收发的讯息是否有经过加密处理，同时在 Windows 桌面上显示相关警示讯息，确实掌握交谈内容的安全性。

　　如果担心 SimpLite-MSN 先前设置的密码容易遭破解，SimpLite-MSN 也允许你随时更换密码，比起多数的加密软件来讲，SimpLite-MSN 的操作使用更加灵活。

　　随着网络实时通讯软件的运用逐渐普及，若你担心自己在网络上的重要谈话内容容易遭人窃听，想要保有个人隐私的话，现在就来装套 SimpLite-MSN 吧!

　　③对于附件中别人发来的看起来是TXT的文件，可以将它下载后用鼠标右键选择“用记事本打开”，这样看会很安全。

　　二。 恶意碎片文件

　　另一类可怕的TXT文件是一种在Windows中被称作“碎片对象”(扩展名为“嘘”)的文件，它一般被伪装成文本文件通过电子邮件附件来传播，比方说，这个样子:QQ号码放送.txt.shs，由于真正地后缀名“嘘”不会显示出来，如果在该文件中含有诸如“形式”之类的命令将非常可怕!不仅如此，以下四点原因也是其有一定危害性的原因:

　　①碎片对象文件的缺省图标是一个和记事本文件图标相类似的图标，很容易会被误认为是一些文本的文档，用户对它的警惕心理准备不足。

　　②在Windows的默认状态下，“碎片对象”文件的扩展名(“.嘘”)是隐藏的，即使你在“资源管理器”→“工具”→“文件夹选项”→“查看”中，把“隐藏已知文件类型的扩展名”前面的“√”去掉，“.嘘”也还是隐藏的，这是因为Windows支持双重扩展名，如“QQ号码放送.txt.shs”显示出来的名称永远是“QQ号码放送.txt”。

　　③即使有疑心，你用任何杀毒软件都不会找到这个文件的一点问题，因为这个文件本身就没有病毒，也不是可执行的，而且还是系统文件。你会怀疑这样的文件吗?

　　④这种嘘附件病毒制造起来非常容易，5分钟就可以学会，也不需要编程知识(格式化C盘的命令:“形式c:”大家都知道吧^ _ ^)。

　　1、 具体实例

　　那么，碎片对象到底对用户的计算机会造成什么威胁呢?我们一起来作个测试就明白了。以下测试环境是在Windows 2000服务器中文版上进行的。我们先在硬盘上创建一个测试用的文件test.txt(我创建的位置是D:\test.txt)，然后我们来制作一个能删除这个测试文件的碎片对象文件。

 　　①先运行一个对象包装程序(packager.exe)，我的Win2000服务者安装在/winnt/system32下。

　　②新建一个文件后，打开菜单“文件”→“导入”，这时会弹出一个文件对话框，让你选择一个文件。不用考虑，随便选择一个文件就可以了。

　　③然后打开“编辑”→“命令行”，在弹出的命令行输入对话框中输入“cmd.exe /c del d:\test.txt”，点“确定”。

　　④然后，在菜单中选择“编辑”→“复制数据包”。

　　⑤接着，随便在硬盘上找个地方，我就直接在桌面上了。在桌面上点击鼠标右键，在弹出菜单中选择“粘贴”，这时我们可以看到在桌面创建了一个碎片对象文件。

　　现在我们可以双击一下这个文件，CMD窗口一闪而过后，再到D盘看看，测试文件D:\test.txt已经被删除了!现在你该知道了，当时在对象包装中输入地命令被执行了。好危险啊，如果这条命令是要删除系统中的一个重要文件，或者是格式化命令形式之类的危险命令，那该有多么的可怕!

　　下面让我们一起来看看这个“隐身杀手”的真正面目吧!

　　2、 技术原理

　　依照微软的解释，嘘文件是一类特殊的对象链接与嵌入(对象链接与嵌入，对象连接和嵌入)对象，可以由词文档或优秀电子表格创建。通过选择文档中文本或图像的一块区域，然后拖放该区域到桌面上的某处，就可以创建一个Windows碎片对象，或称为嘘文件(此文件是不可读文件)。但是你可以用任何其它你想要的文件名重新命名嘘文件，或者拖放嘘对象到另一个文档(同样地，你可以剪切和粘贴)。

　　也就是说，我们所输入的命令作为对象链接与嵌入对象嵌入到对象包装程序新建的文件中了， 而微软为了能方便的将嵌入到文件的对象进行复制，使用了一种技术壳废料宾语(简称嘘)，就是说，当你在不同文件间复制对象时，Windows是将对象包装成一个碎片对象来进行复制的。因此，一旦我们不是在文件间进行复制粘贴，而是直接将碎片对象粘贴到硬盘上，就会产生一个.嘘文件。这个碎片对象文件保存了原来对象的所具备的功能，原来对象包含的命令同样会被解析执行，这正是其可怕这处!3、防范方法

　　(1)“野蛮”法

　　嘘文件既然不是可执行文件，当然需要其他的程序来解析执行了，我们去掉解析执行的关联就可以简单防止这种文件中潜伏的威胁了。 运行注册表编辑器regedit.exe，在HKEY_CLASSES_ROOT\.shs主键下，将默认值ShellScrap删除，现在双击.嘘文件，看，不会执行了吧?弹出了一个对话框，让我们选择打开.嘘文件需要的程序，此时你选择“记事本”程序看就非常安全了。 更彻底一点的办法是将HKEY_CLASSES_ROOT\ShellScrap\shell\open\command下的打开.嘘文件的关联完全去掉，现在双击.嘘文件，连选择运行程序的对话框也不出现了，它会直接要求在控制面板重建文件关联。

　　(2)“文明”法

　　①在注册表编辑器HEY_CLASSES_ROOT\ShellScrap键下，有一个键值“NeverShowExt
”，它是导致“.嘘”文件扩展名无法显示的罪魁祸首。删除这个键值，你就可以看到“.嘘”扩展名了。

　　②更换“碎片对象”文件的默认图标。由于碎片对象文件的默认图标与文本文件图标非常相似，容易麻痹人，所以我们要更换它的图标。打开资源管理器，选中“查看”菜单下的“文件夹选框”，在弹出的对话框中选择“文件类型”标签，在“已注册的文件类型”下找到“碎片对象”。单击右上角“编辑”按钮，在打开的“编辑文件类型” 对话框中单击上边的“更改图标”按钮。打开C:\WINDOWS\SYSTEM\Pifmgr.dll，从出现的图标中选一个作为“.嘘”文件的新图标即可。

　　(3)更多防治手段

　　①如果是病毒文件隐藏了其真实扩展名“嘘”，而你在反病毒软件中设置成扫描指定程序文件、而不是扫描所有文件(如只扫描可执行文件)，那么反病毒软件是无法发现病毒的，所以请在反病毒软件的指定程序文件中加入“.嘘”文件的扫描。各种防病毒软件的设置大同小异，比较简单，请大家自己进行设置。

　　②禁止“碎片对象”文件及“指向文档的快捷方式”文件。

 　　三。改头换面的视野邮件附件

　　除了上面所说的两类危险的“TXT”文件，还存在另一种危险的“TXT”文件——改头换面的视野邮件附件!即一个看起来是TXT的文件其实是个EXE文件!下面我以OutLook2000简体中文版为例进行详细说明。

　　1. 开启OutLook2000，新建一个邮件，选择菜单栏中的“格式”→“带格式文本”，在邮件正文点击一下鼠标左键，选择菜单“插入”→“对象”，点击“由文件创建”→“浏览”，选择Windows目录下的notepad.exe，点击“确定”，在新邮件的主体部分出现notepad.exe及其图标。

　　2. 在刚出现的notepad.exe及其图标上点击鼠标右键，选择“编辑包”，打开对象包装程序，选择“插入图标”按钮，选择“浏览”，选择WINDOWS\SYSTEM\SHELL32.DLL，在当前图标框中选择一个你想要的图标，比方说选择一个文本文件的图标，然后按“确定”。然后选择菜单“编辑”→“卷标”，任意定义一个名字，比方说hello.txt，点击“确定”。

　　3. 退出对象包装程序，在提示是否更新时选择“是”。

　　4. 好，现在出现在面前的是hello.txt，一般人会认为它是一个地地道道的文本文件附件，相信没有人怀疑它是别的东西。请你双击这个图表，看看会发生什么?是不是发现它打开的是notepad.exe!如果它是一个病毒文件，结果可想而知!

　　事实上，当你用OutLook2000收到这样一个邮件时，它会显示这是一个带附件的邮件，当你以为它是一个文本文件附件双击打开时，视野会提示:部分对象携带病毒，可能对你的计算机造成危害，因此，请确保该对象来源可*。是否相信该嵌入对象?安全观念强的人一般会选择“不”(这就对了)，一般的人可能会选择是(你惨了!)。

　　识别方法:不要怕，尽管它的迷惑性极大，但是仍然会露出一些马脚:

　　1. 它其实是一个对象链接与嵌入对象，并不是附件，选择它时，选择框会不同于选择附件的选择框。点鼠标右键出现的菜单不同。

　　2. 双击打开它时，安全提示与附件的安全提示不同，这点非常重要。这时，应该选择“不”，然后点击鼠标右键，选择“编辑包”，提示是否信任该对象时选择“是”，在对象包装程序的右边内容框中，将现出原形。在本例中，会显示“NOTEPAD.EXE的备份”，文件是否可执行，关键在这里。

　　3. 因为它不是附件，在选择“文件”→“保存附件”时并无对话框出现。

　　4. 由于并不是所有的邮件收发软件都支持对象嵌入，所以这类邮件的格式不一定被某些软件识别，如OutLook Express。但是视野的使用面很广，尤其是在比较大的、有自己邮件服务器的公司，所以还是有必要提醒大家小心嵌入对象，不光是视野，其实词、优秀等支持嵌入对象的软件可以让嵌入对象改头换面以迷惑人。

QQ 放送.txt，您是不是认为它肯定是纯文本文件?我要告诉您，不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并 不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ 放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:

 　　你应该有过这样的遭遇，就是电脑感染上了间谍软件或广告软件。在这种情况下，解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。建议最好能利用一些有效的商业软件和免费软件经常进行这样的检查。

　　下面介绍一下步骤:

　　1.在使用某种商业软件或免费软件的工具检查之前，尽可能的将机器清理干净。运行防病毒软件或反间谍软件扫描，一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是，在进入下一步之前，专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。

　　2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP，那再方便不过了，这样很快就能建立一个系统恢复点(依次打开:开始菜单――帮助和支持――使用系统还原恢复你对系统的改变，然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法)就是创建一整套系统的备份，包括系统状态信息(如果其他办法都不可行的话，你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。这样的话，万一在接下来的步骤中出了差错，还可以将您的系统恢复到前一个正确的状态。

　　3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象，因此先退出所有应用程序再启动反间谍程序运行检查，可以节省大量时间。

　　4.运行反间谍程序。在这一步，我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录，然后双击HijackThis.exe这个执行文件，会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下，日志文件会保存在“我的文档”中，我发现在保存的日志文件名称中加入日期和时间信息很有用，这样的话，一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话，以后你任何时候再次运行Hijack This(一旦开始运行，它会自动清空以前的日志)，都不必担心丢失以前的日志。因此，时间标记不愧是个很好的方法，这对将来你的日志文件分析非常有用。

　　5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的，并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目，按下“Fix Checked“按钮， Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件，你可以对其进行快速扫描，以决定在这时采取何种操作。实际上，真正存在的问题是识别出哪些文件具有潜在的威胁，哪些是必须的，而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住，现在不要关闭Hijack This的查找结果窗口，也不需要进行核选操作，因为在接下来的步骤中我们还会返回这个窗口。

　　6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话，我个人倾向于Help2Go Detective，但这两个都值得一试。在Hijack This日志里，你会发现每一个入侵(线程)的特殊信息和相关处理建议，包括哪些可以保留，哪些可以删除(但却是无害的)，哪些是可疑文件(或许应该删除，但是还需要进一步分析研究)，以及哪些必须删除(因为确定是恶意病毒)。这时，你可疑检查所有被确认为恶意病毒的选项，或者与已知的间谍软件和广告软件有关的选项。

　　7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息，来检查即使通过分析程序(使用Hijack This很明显发现的)也没有识别出的项目，这是可能是你故意安装或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和你人为的都没有发现这些项目，安全选项就会将它们备份然后删除(然而如果你采取了这个步骤，那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件，就进入下一个附加步骤，用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目，最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。

　　8.在Hijack This结果窗口核选有害文件和不确定的可疑项目，然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目，并通过单击来高亮选择单独的项目，接着通过点击"Info on selected item…."(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适，因为这时分析工具的速度更快而且面向对象更友好。

　　9.重启系统查看运行情况。如果系有统运行不正常现象，如应用程序不工作或变得异常，或者系统看上去不太对劲时，你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动，在系统启动之初按下F8键，直到启动进入安全启动菜单，选择最后一次正确的配置。这样启动就没有问题了，系统启动之后你还需要退回到恢复点，或者恢复到在第二步备份的状态。如果你接收这个选项的话，就不需要保存改动了，可以直接越过第10步。

　　10.最后再运行依次Hijack This扫描:重复步骤4，但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除，或者只需保存你电脑状态的快照，快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。

　　建议将以上检测过程列入系统正常维护之中，可以经常性的执行操作，如每个月一到两次，至少每三周进行一次。