網際論壇 - 寬頻使用 / 防毒防駭討論 - 用HijackThis幫你判讀、移除病毒,簡單動畫教學,易學易用
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: 用HijackThis幫你判讀、移除病毒,簡單動畫教學,易學易用 取消高亮 | 上一主題 | 下一主題
  davis
  一般會員 
 



  積分 495
  發文 29
  註冊 2007-1-8
  狀態 離線
#1  用HijackThis幫你判讀、移除病毒,簡單動畫教學,易學易用

[前言]

HijackThis是一個首頁綁架剋星的工具軟體,對於一些木馬、病毒、惡意程式等有其獨到的功能,眾所週知他是由荷蘭的一
位學生Merijn(http://www.spywareinfo.com/~merijn/index.php)所發明的。由於這個工具可以將電腦受到感染的狀況由日
誌的形式呈現簡易的報表,讓人來研判病毒的所在位置與受其影響的登錄檔。由於PC經過軟體掃描之後就可將電腦的大致情
況形成一個濃縮版的"健康報告",讓網上的電腦專家針對症狀有效的來診斷並開出"藥到病除"的藥方,來紓解電腦的病痛。


由於這種方式可以讓求救的網友解決"語焉不詳"或是"莫可名狀"的電腦現況,來讓網上專家解決資訊不足所造成的誤判或是
"藥到命除"的窘境。所以這個軟體就成為全世界所有解決病毒問題論壇中的首選,市場的佔有率超過80%以上。而且與這個軟
體所相關的衍生軟體也應運而生,形成水幫魚,魚幫水的情況。但畢竟個人的能力有限,隨著病毒的演進,這個軟體也急需
精進,並對其功能與不足做一調適,就如原著所言,目前就學中,加上"莫可名狀"的個人因素,所以將本軟體"移交"給台灣
病毒公司TrendMicro(http://www.trendsecure.com/portal/en-US/index.php),讓其全世界的病毒專家團隊來永續發展。可
以預期這個軟體會隨著專業團隊的照顧而更加茁壯,並成為網友"體檢"電腦的利器和專家"研判"電腦病情的診斷書。



**如何正確的來使用這個軟體**

經過"些"年的漫遊,在多看多學的主旨下,將這個軟體使用大致分成三個階段。當然每個論壇的使用、解決方式不一,我只
將我覺得"方式合理、使用得當"的方式與君共享之,如不合意者勿用罷了。在很多專業的解毒論壇,如果你不是它所屬的解
毒團隊成員,是不能發言並且"說三道四"的,甚至被它發現你這個問題(初始階段)在不同的論壇提出,也會被"退件",它的
理由是"不要浪費人力資源",萬一他也解決不了,他也會尋求專家中的專家來協助,這種情況比較不多見。但可見其專業性
與嚴謹的態度。因為這些"人客"皆是其未來的potential sponsor或是donator。當然你如果"天外飛鴻"來的不速之客,他也是
義不容辭來解決你的問題,當然你也稍要一些簡單的英文敘述與理解能力,否則儘管是"免費"但你如何來執行你要的"任務"呢?



第一階段 掃瞄報表的前置作業




很多解毒專家經過多年的診斷與摸索,得到一個結論,就是如何使報表越清楚,去掉一些旁枝末節,直指問題的核心,並拿出
有效的解決方案。結論如下:
※、HijackThis的資料夾必須放在C:\Program Files\HijackThis或是C:\HijackThis就是系統夾中,而非在暫存檔。為什麼要放在C磁碟呢?
     因為HijackThis會在根目錄來備份你刪除的檔案,如有需要,你可以重建誤刪的項目。※
※、掃瞄報表時,關掉所有的IE視窗、使用程式、Msn、ICQ、音樂、USB等,畫面只有Hijackthis在跑表的畫面。※
※、掃瞄報表前的操作必須先按下列順序與軟體來進行操作。※



    1.關閉系統還原(看圖操作)
    2.清理ie暫存檔、cookies、java、url link等(看圖操作),或是請參閱: http://www.centurys.net/viewthread.php?tid=216015&extra=page%3D1
    3.使用Ad-Aware清理隱藏的木馬、微小的隱患、惡意的Malware等。(看圖操作)
    4.使用Spybot search&destroy 來檢查問題的所在及免疫。(看圖操作)
    5.使用線上掃毒來移除病毒,並形成掃毒報告,來了解病毒的名稱或是位置。http://housecall.trendmicro.com/housecall/start_corp.asp

    請注意下列事項
    一、上面五個順序使用完後,請關掉Ad-Aware與Spybot的即時監視系統,以免再操作Hjackthis進行修護或是執行特殊
              軟體在刪除病毒時造成失效。至於其他軟體如何移除即時監控系統,請參閱下列鍵接:

        http://wiki.castlecops.com/Malware_Removal:_Temporarily_Disable_Real_Time_Monitoring_Programs

    二、Ad-Aware只是將右下角的Ad-Watch的icon右鍵關閉就可。

    三、Spybot的監控系統在工具>常駐>TeaTime去掉勾勾就可。(看圖操作)

  Quote:
    一、
     
        

    二、ATF-Cleaner 3下載:http://www.atribune.org/ccount/click.php?id=1
     
      

    三、Ad-Aware 下載:http://http://www.download.com/A ... 022_4-10045910.html

      
      

    四、SpyBot 下載:http://www.spybotupdates.com/files/spybotsd14.exe
      
      

   

第二階段 用HijackThis來跑表,並呈現日誌

      Hijackthis下載http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe


     請注意下列事項

     一、呈現日誌時請以"正常模式"掃瞄,記得關掉所有的應用程式與視窗。

     二、有時病毒會針對要移除它的軟體作出相對應的措施,就是不讓你使用像Hijackthis這樣的軟體,這時你只有將軟體改名,
          在軟體的執行檔的圖示上面按右鍵>重新命名,例如改為→→Test.exe或是Analyst.exe等就可執行該軟體了。還有一種情況就是
          報表出來之後,看似無大礙,但卻有問題,而且應該顯示的項目也沒有顯示出來時,就應該將HJT的執行檔改名重新跑過報表,例如
          改為abc.bat或是xyz.exe等的不同名稱。名字雖改,但不影響執行的功能。


     三、跑完報表之後,它會形成一個文字的hijackthis.log,請存放在程式的同一個資料夾。你可在沒有感染病毒之前就可先存檔一份,
          有問題時就可拿出來,自我比對一番。砍殺一陣之後,心中不亦樂乎?請你要小心這個動作,除非你非常的確定,否則勿隨便刪除檔案
        ,這個動作有可能會使你的系統變的不正常,甚至無法開啟。如無人幫助時,請善用你家的"苦狗",了解要刪除的檔案是病毒檔或是
         系統檔。或是使用系統本身就有"Analyze This"可直接連上官網來查詢相關的資訊。如果誤刪時,由於軟體本身會有備份的功能,你可
         按第五個圖所示,將誤刪的部份加以還原,等到系統確定無問題之後,再回HJT資料夾中的backups所備份的項目的資料夾將其刪除。


     四、基本上在移除病毒之前,除了關閉系統還原之外,也必須進入安全模式來移除病毒,現代的木馬、病毒也不是易與之輩,它會修改進入
         安全模式的鍵值,造成無法登入"SafeBoot",這時你可要來修復安全模式。修復方式請下載兩個登錄檔直接執行並修復:

按俺下載


     五、在正常模式時,打開HijackThis,並對要移除或是修復的項目在前面打勾,並且按下"Fix Checked"。並記得刪除對應的資料夾, 總結一般使用的順序如下:

CODE:  [Copy to clipboard]

      但有時頑固的檔案HijackThis也顯得心有餘而力不足也。畢竟他的主要功能是研判病情而非"開刀"工具。這時就要請出專屬的開刀
      工具,這些工具有Killbox,Unlocker,IceSword,費爾木馬移除工具或是好用的OTMoveIt。有關這些工具請參閱:

http://www.centurys.net/viewthread.php?tid=216015&extra=page%3D1

     六、在使用"Fix Checked"查殺當中,Hijackthis會出現一個備份對話窗口,提示你備份移除的項目,你可備份直到系統正常之後再移除。


     七、有關使用的FAQs,請參閱官網:http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=faq#

  Quote:
       一、啟動程式
      
       二、勾選備份還原等項目
      
       三、掃瞄報表
      
       四、將要修正的項目打勾,按"Fix Checked"
      
       五、從備份中重建誤刪的項目
         
       六、產生啟動名單(可勾選右邊兩個空格)與停用進程
      
       七、編輯你的Host File
      

       八、刪除NT服務進程、掃瞄CWS木馬
         
      九、移除不要的軟體,呈現電腦目前安裝的軟體
         



            

**這個教學是以前的作品,如覺合適,加減使用,禁止盜連與轉帖**

[ Last edited by davis on 2008-5-19 at 06:27 PM ]


2007-11-11 11:06 AM
查看資料  發短消息   編輯文章  引用回覆
  davis
  一般會員 
 



  積分 495
  發文 29
  註冊 2007-1-8
  狀態 離線
#2  

前言


HijackThis出現時是針對首頁綁架與惡意程式的使用,隨著病毒的演進與進化,有時報表也會出現"判讀不足"的窘境加上中毒的網友有時是"身兼數毒"

也太難為了這個工具,加上感染形的病毒出現,有時報表也會呈現判讀不足或是"呆滯"的現像,所以就應運而生一些輔助的工具的報表判讀與針對性

的查殺工具。解毒的方法,各家不同,皆有妙招。那一種才是最佳的?簡單的說就是"直接有效、傷害最低"。所以這些工具也應該小心使用,因為它

也是兩面刃,一不小心也會讓你如同中毒般的"過癮。



一、移除工具IceSword

      官網:http://pjf.blogcn.com/index.shtml


      下載:http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip


    這個工具必須小心使用,由於篇幅的關係,就不詳細說明,你可以把"苦狗"抓出來,"Google it"就可得到相關的資訊,這裡只對基本操作做一演示。

     使用時,請進入安全模式,切換到你要刪除的目標,例如'File"模式下,就可直接對著檔案右鍵,選擇"Delete"就可,如還不能移除,就選擇"Force Deleted"。

  Quote:
一、



二、



三、


二、移除工具Killbox


      官網:http://www.killbox.net/


      下載:http://www.killbox.net/downloads/KillBox.exe

  Quote:
一、



二、



三、可以針對多個檔案利用記事本進行刪除

三、映像劫持分析工具


一、映像劫持簡單的說就是你想執行一個程式,但卻出現另一個程式,例如你想執行Flashget,卻跑出了 Super Rabbit。


       惡意程式就會利用這種方式,讓你想啟動任何程式皆不可得,這就叫"映像劫持"。


二、按俺下載

  Quote:
一、


四、針對性的防毒軟體


        Dr.Web cureit是一個免費的軟體,由於其對於新出的病毒總可以在第一時間提出解決的方案,加上每天會自動來更新病毒檔,變成全世界

        主流解毒論壇常用的解毒工具。執行軟體時它會自動連上官網檢查目前是否有新的更新,然後會出現一個對話框問你是否更新並取代存放資料夾

        內舊的執行檔,你按"確定"就可。它不會與你電腦己有的防毒發生衝突。當快速掃瞄完成之後,則先將軟體先行設定一下,按"選項","改變設定"

      掃瞄標示下的"Heuristic analysis "前的勾勾去掉。開始選擇磁碟進行掃瞄,掃瞄後如發現毒檔,它會出現詢問框是否移除感染的檔案,你就可按

        "Yes To All"。掃瞄完畢後,看是否在檔案旁邊有一個icon,並在icon按一下,就在這icon下面可選"Move Incurable" "(不能復原的檔案)移到Quarantine

      裡面,位置為C:\Documents and Settings\你的名稱\DoctorWeb\Quarantine。 請注意!!掃瞄時,請進入安全模式

        使用完畢之後,也記得將Quarantine的檔案移除。 這個軟體目前沒有繁體語系, 如要用中文簡版可下載AppLocale右鍵簡體執行就可。

        http://www.badongo.com/file/3831998
              

一、官網:http://download.drweb.com/drweb+cureit/history/?lng=en


二、軟體下載:ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

  Quote:
一、



二、



   

五、查殺隱藏木馬及產生報表的好工具

       一、Combofix是一個輕、薄、短、小的查殺工具,對於HijackThis而言是一個填補空白的好幫手,它也可產生報表來讓人研判其查殺的結果。

               這個工具就成為目前檢視電腦不可或缺的工具,病毒專家喜歡將查殺的報表來檢閱HijackThis"Fix Checked"的結果。這個軟體不用下載保

              留,當要用時再下載就可,因為它會自動更新病毒檔,只要確保下載時是最新的版本就可。查殺之時請關掉所有的視窗,並且不可隨便

              點擊滑鼠,以免造成電腦短路與"hang"機。掃瞄完後,它會出現一個txt檔的報表,預設位置是根目錄C磁碟下名為:Combofix.txt。

             這個工具的最大特點就是專掃隱藏的進程、登錄檔、資料夾等,並直接刪除受到感染的檔案,並將可疑目標形成一個txt檔放在C磁碟下

             Qoobox的資料夾裡面。如果為了要刪除毒檔要重新開機,你就讓其開機唄!!等病毒清理完畢之後,再將這個檔案與程式刪除就可。

              最新的Combofix己經可以支援中文版了,以下顯示執行所出現的畫面與報表的形式。請注意,執行 Combofix時,務必關閉網路連線與鍵接

             關閉路連線只要在右下角的連線icon按右鍵,按"停用"就可。

  Quote:
一、


二、


三、

CODE:  [Copy to clipboard]
二、下載:http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

  Quote:
一、


六、查殺木馬隱藏的服務項並修復被纂改的登錄檔


       一、SDFix是一款專門解除木馬或是惡意程式的服務項 (Service),並可以來修復被纂改的登錄檔,使木馬

              竊佔的登錄值可以還原其預設值,而使掃毒軟體或是專門的移除工具可以刪除木馬,並還原正常使用的服務項。

             使用的時侯必須進入安全模式,按"Y"開始執行掃描,完畢時可按任意鍵重新啟動,重新啟動到回到桌面可能需要

             一點較長的時間,這是正常的現像。按任意鍵回到桌面時可看到一個SDFix的資料夾,裡面有一個Report.txt,這是

             整個刪除、修復的報告,你可參閱。下載,解壓縮後,它會自動在系統的根目錄(一般為C磁碟)創建執行檔的資料夾。


      二、下載:http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

  Quote:

七、修復wininet.dll受感染的檔案,並移除感染的登錄檔。

        一、SmitfraudFix 是一個清理登錄檔受感染的好工具,它可以輸出報表顯示清理與相關登錄檔的資訊讓你來研判電腦目前的情況

               ,由其可以來清理wininet.dll受到感染的檔案並更換登錄檔。使用時必須進入安全模式,所有的過程操作,請參閱動畫的演示。

                清理的報告會在根目錄下的C:\rapport.txt,必須注意的是如果在沒有受到感染的電腦操作#2的選項,它會移除你的桌面背景。

                這些檔案(四、五、六、七)皆不用下載保存,因為會經常的更新,只要在使用時再下載最新的程式就可)。使用完後,將連程式與

                報表皆可全部移除。(**請注意:如果在一個沒有受到感染的電腦使用這個工具,它會移除你桌面的背景,就是會移除桌布。)

       二、下載:http://siri.urz.free.fr/Fix/SmitfraudFix.exe (下載之後,執行程式會出現一個Smitfraudfix的資料夾,直接執行Smitfraudfix.cmd就可)。

  Quote:

[ Last edited by davis on 2008-5-19 at 06:28 PM ]


2007-11-11 11:20 AM
查看資料  發短消息   編輯文章  引用回覆
  homepary
  中級會員 
 



  積分 1136
  發文 340
  註冊 2006-7-4
  狀態 離線
#3  

精彩精彩真精采
解說清晰
製作用心
簡報能力應該很有水準
真是"情歌還是老的好"


2009-8-17 08:20 PM
查看資料  發短消息   編輯文章  引用回覆
  lu123
  高級會員 
 



  積分 10605
  發文 1837
  註冊 2008-11-2
  狀態 離線
#4  

真的感謝你的分享,這些真的太珍貴能幫助我了解病毒及如何刪除病毒。

2009-12-26 12:57 AM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: