什麼是Hijackthis?
掃瞄目前電腦中幕前幕後所在執行的程式及核心機碼並產生報告,針對產生的清單來手動移除某些有問題的機碼。
選用Hijackthis的原因
Hijackthis對於只使用防毒軟體來保護自己或解毒的使用者來說,應該非常陌生,但是這個小程式卻能找出許多防毒軟體找不到的問題。剛接觸ptt的病毒板時,那裡充斥著許多發表Log的文章,一開始筆者還以為自己走錯地方嘞,怎麼不是在討論病毒嗎?這裡更像是分析Log的地方。ptt的病毒版非常重視Combofix、Hijackthis、SRENG這三套系統分析報告軟體所產生的報告,這些報告即前面所提到的Log,使用者們可以安裝這三套程式並執行產生Log後發布到ptt的病毒版上,以藉此詢問自己電腦問題的解決方法,雖然板上高手眾多,但是總有人無法得到解答(也可能你不是正妹這類的),此時該怎麼辦呢?回家吃自己嗎?這裡提供只利用Hijackthis這套程式來找出電腦內的毛病。筆者會選Hijackthis的原因是因為Hijackthis有線上分析資料庫網站,可提供使用者上傳自己的Log,並產生建議報告,除了一些需要自己判斷的類型以外,使用者仍然可以靠自己手動移除一些常見的惡意程式。
使用方法
1. 掃瞄前作業:
- 把自己的Windows Service Pack更新到最新版。
- IE也要上網更新一下。
- 無特別狀況,不要在安全模式中執行以下掃瞄工作,因為這樣可能找不到某些惡意程式。
3. 執行HiJackThis.exe,選擇【Do a system scan and save a logfile】掃瞄電腦並產生Log。
4. 將產生的Log全文複製,然後使用線上分析來看看哪些程式或機碼有問題。(http://hijackthis.de/index.php?langselect=english)
5.分析結果產生後…
(I)Kind欄位的各圖示代表如下:
- 系統符號:系統程式。
- 綠色 V記號:安全。
- 紅色 X記號:建議刪除。
- 黃色 X記號:可安全刪除。
- 黃色 ?記號:無法判斷,需人工解讀。(如果為不明檔案路徑或機碼,可將檔案路徑或機碼使用Google搜索查詢。)
- 白色盾牌:掃毒/防木馬程式。
- 防火牆圖:防火牆。
(II)接下來於Vistor's assessment 欄位上,尋找nasty表示有危險的項目,這裡要特別注意的是或許在Kind欄位上它是顯示安全的或是防火牆等類型,但如果在此顯示為nasty,那麼可能是偽裝程式,例如c:\windows\avp.exe,這就是讓你以為是卡巴X基防毒程式的惡意程式。
6. 從以上簡單的分析,我們可以找出一些常見需要修改的機碼,回到Hijackthis程式主界面,我們選擇【Do a system scan only】,並在有問題的項目上勾選,使用以下的【Fix checked】來修復不正常的機碼。
P.s. 特別注意修復開頭為O10的機碼,將會有無法上網的問題,解決方法如下:
● For Windows XP,修復完後執行WinSockXPFix便可解決無法上網的問題。
(http://www.pchell.com/downloads/WinsockXPFix.exe,先下載起來,免的不能上網時也無法下載。)
● For Windows 2000 以前版本,修復完後再執行WinSockFix便可解決無法上網的問題。
(http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml,先下載起來,免的不能上網時也無法下載。)
參考文獻
ptt.cc, AntiVirus看板,
標題: [教學] 解毒學習手冊 - (1)HijackThis
時間: Sat Nov 3 19:22:21 2007
作者: blman (我愛亦潔我愛亦潔)
(線上網頁版點此閱讀)
你好 ,請問你的這篇文章可借我貼在我的部落格嗎?我會說明出於那裡的
回覆刪除To Steward:
回覆刪除OK.
但是下次可以告訴我你Blog的網址嗎?3Q.
http://tw.myblog.yahoo.com/jw!mdOQruidRkDKJeyKWR0-
回覆刪除你好阿!我用我男友的帳號留給你的,謝謝你唷
To Steward:
回覆刪除不客氣!
只是我的圖在你的Blog好像很不搭~
因為我背景都是白的~白底。
不會呀!我喜歡你的軟體教學。
回覆刪除To Steward:
回覆刪除多謝支持囉 ~ 感恩。
感恩~幫我解決大問題!!
回覆刪除To 澪:
回覆刪除Ur Welcome~
^^請讓我€貼在我ㄉ地圖日記讓大家分享一下!
回覆刪除OK 啊~
回覆刪除只是如果可以,也要告訴原PO要轉貼過去的網址。
(一種網路禮貌~ XD)
非常非常感謝你!!幫了我一個大忙~~
回覆刪除:)
刪除