2008年1月20日 星期日

使用Hijackthis移除惡意程式 完整教學

什麼是Hijackthis?
掃瞄目前電腦中幕前幕後所在執行的程式及核心機碼並產生報告,針對產生的清單來手動移除某些有問題的機碼。

選用Hijackthis的原因
Hijackthis對於只使用防毒軟體來保護自己或解毒的使用者來說,應該非常陌生,但是這個小程式卻能找出許多防毒軟體找不到的問題。剛接觸ptt的病毒板時,那裡充斥著許多發表Log的文章,一開始筆者還以為自己走錯地方嘞,怎麼不是在討論病毒嗎?這裡更像是分析Log的地方。ptt的病毒版非常重視Combofix、Hijackthis、SRENG這三套系統分析報告軟體所產生的報告,這些報告即前面所提到的Log,使用者們可以安裝這三套程式並執行產生Log後發布到ptt的病毒版上,以藉此詢問自己電腦問題的解決方法,雖然板上高手眾多,但是總有人無法得到解答(也可能你不是正妹這類的),此時該怎麼辦呢?回家吃自己嗎?這裡提供只利用Hijackthis這套程式來找出電腦內的毛病。筆者會選Hijackthis的原因是因為Hijackthis有線上分析資料庫網站,可提供使用者上傳自己的Log,並產生建議報告,除了一些需要自己判斷的類型以外,使用者仍然可以靠自己手動移除一些常見的惡意程式。

使用方法

1. 掃瞄前作業:
  • 把自己的Windows Service Pack更新到最新版。
  • IE也要上網更新一下。
  • 無特別狀況,不要在安全模式中執行以下掃瞄工作,因為這樣可能找不到某些惡意程式。
2. 首先到官方網站下載Hijackthis最新版本,本文使用2.0.0.2版來做說明。(http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)

Photobucket

3. 執行HiJackThis.exe,選擇【Do a system scan and save a logfile】掃瞄電腦並產生Log。

Photobucket
Photobucket

4. 將產生的Log全文複製,然後使用線上分析來看看哪些程式或機碼有問題。(http://hijackthis.de/index.php?langselect=english)

Photobucket

5.分析結果產生後…
(I)Kind欄位的各圖示代表如下:
  • 系統符號:系統程式。
  • 綠色 V記號:安全。
  • 紅色 X記號:建議刪除。
  • 黃色 X記號:可安全刪除。
  • 黃色 ?記號:無法判斷,需人工解讀。(如果為不明檔案路徑或機碼,可將檔案路徑或機碼使用Google搜索查詢。)
  • 白色盾牌:掃毒/防木馬程式。
  • 防火牆圖:防火牆。

Photobucket

(II)接下來於Vistor's assessment 欄位上,尋找nasty表示有危險的項目,這裡要特別注意的是或許在Kind欄位上它是顯示安全的或是防火牆等類型,但如果在此顯示為nasty,那麼可能是偽裝程式,例如c:\windows\avp.exe,這就是讓你以為是卡巴X基防毒程式的惡意程式。

Photobucket

6. 從以上簡單的分析,我們可以找出一些常見需要修改的機碼,回到Hijackthis程式主界面,我們選擇【Do a system scan only】,並在有問題的項目上勾選,使用以下的【Fix checked】來修復不正常的機碼。

Photobucket

P.s. 特別注意修復開頭為O10的機碼,將會有無法上網的問題,解決方法如下:

● For Windows XP,修復完後執行WinSockXPFix便可解決無法上網的問題。
http://www.pchell.com/downloads/WinsockXPFix.exe,先下載起來,免的不能上網時也無法下載。)

For Windows 2000 以前版本,修復完後再執行WinSockFix便可解決無法上網的問題。
http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml,先下載起來,免的不能上網時也無法下載。)


參考文獻

ptt.cc, AntiVirus看板,
標題: [教學] 解毒學習手冊 - (1)HijackThis
時間: Sat Nov 3 19:22:21 2007
作者: blman (我愛亦潔我愛亦潔)
(線上網頁版點此閱讀)

12 則留言:

  1. 你好 ,請問你的這篇文章可借我貼在我的部落格嗎?我會說明出於那裡的

    回覆刪除
  2. To Steward:

    OK.
    但是下次可以告訴我你Blog的網址嗎?3Q.

    回覆刪除
  3. http://tw.myblog.yahoo.com/jw!mdOQruidRkDKJeyKWR0-
    你好阿!我用我男友的帳號留給你的,謝謝你唷

    回覆刪除
  4. To Steward:

    不客氣!
    只是我的圖在你的Blog好像很不搭~
    因為我背景都是白的~白底。

    回覆刪除
  5. 不會呀!我喜歡你的軟體教學。

    回覆刪除
  6. To Steward:
    多謝支持囉 ~ 感恩。

    回覆刪除
  7. 感恩~幫我解決大問題!!

    回覆刪除
  8. ^^請讓我€貼在我ㄉ地圖日記讓大家分享一下!

    回覆刪除
  9. OK 啊~
    只是如果可以,也要告訴原PO要轉貼過去的網址。
    (一種網路禮貌~ XD)

    回覆刪除
  10. 非常非常感謝你!!幫了我一個大忙~~

    回覆刪除