HijackThis日志细解正文（五）

1. 项目说明

O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时，浏览器会先检查hosts文件中是否存在该网址的映射，如果有，则直接连接到相应IP地址，不再请求DNS域名解析。这个方法可以用来加快浏览速度，也可能被木马等恶

该文件的一般格式类似

219.238.233.202 www.rising.com.cn

注意，IP地址在前，空格后为网址，下一个映射另起一行。（若有#，则#后的部分作为注释，不起作用。）
上面的例子中，瑞星的主页www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来，一旦用户要访问www.rising.com.cn，浏览器根据hosts文件中的内容，会直接连接219.238.233.202。在这个例子中，这个219.238.233.202实际上正是瑞星主页的IP地址，所以这样做加快了访问速度（省掉了DNS域名解析这一步），在好几年前，这是一个比较常用的加快浏览的方法（那时上网费用高、小猫跑得又慢），现在这个方法用得少了。而且，这个方法有个缺陷，那就是，一旦想要浏览的网站的IP地址变动了，就不能正常浏览该网站了，必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用，它们修改hosts文件，建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1（127.0.0.1就是指您自己的电脑），那么您就打不开那些反病毒软件的网站，清除木马等恶意程序就更加困难，甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站（比如google等）指向其它一些网站的IP地址，增加后者的访问量。当然，也可以直接用此方法重定向浏览器的搜索页。

2. 举例

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中，默认搜索页（auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页）被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能，都被带到216.177.73.139这个地方。

下面是XP的原始Hosts文件的内容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#开始的行都是注释内容，不起作用。最后一行指明本地主机（localhost）的IP地址为127.0.0.1（这是默认的）。

3. 一般建议

HijackThis报告O1项时，一般建议修复它，除非是您自己在Hosts文件中如此设置的。

4. 疑难解析

O1 - Hosts file is located at C:\Windows\Help\hosts
如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中，那么很可能感染了CoolWebSearch（跟上面提到的Lop.com一样著名的恶意网站家族），应该使用HijackThis修复相关项。当然，别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder （CWShredder.exe）。