作者bluedrop (只想遗忘一切)
看板AntiVirus
标题hijackthis log 简易判断方法
时间Sun Mar 12 11:43:08 2006
好像有不少人不知道怎麽判断 log
所以写个简易的教学 希望对大家有帮助 当紧急的时候可以先自己处理
不过我不是这方面专业的人 仅仅只是凭自己的兴趣学的
所以下面写的可能会有不少错误 如果有错请指正 谢谢
---------
先将 log 档传到或贴到下面这个网址
http://hijackthis.de/index.php?langselect=english
那是 hijackthis 官网提供的 log档分析工具
以 14648篇 Emithrandir网友波的log为例
按下 analyze 该网站会列出log里的分析
我将分析列为下面几种(kind那一栏 Safety、Nasty、Unknow)
1.Nasty (符号为惊叹号)
不要一看到 Nasty 就很紧张 放轻松
C:\WINDOWS\system32\nvctrl.exe
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
-C:\WINDOWS\system32\hp8E74.tmp
两个项目被标为 Nasty 最後面的Tip提示为 Must be Fixed!
这个东西大约有九成的机率是病毒或木马之类的程式
但是还是要看一下路径 免得他误判了~!
如果你不认识他 不是你安装的 那不用考虑这项是需要修正的
在这 nvctl.exe 是木马程式~!!!
然後按照 Jack0大师写的步骤处理 删除档案及修正机码
2. Unknow及Possibly Nasty(符号为问号)
这项就必须靠自己了
a. O4 - HKLM\..\Run: [dla] ; C:\WINDOWS\system32\dla\tfswctrl.exe
b. O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super
Rabbit\magicset\srrest.exe /autosave
c. O9 - Extra button: Make a 0rz.. - {00000000-1111-2222-3333-2D4CE7F773C8}
-file://C:\WINDOWS\url2.html
d. O9 - Extra 'Tools' menuitem: Make a 0rz.. - {00000000-1111-2222-3333-2D4
CE7F773C8} -file://C:\WINDOWS\url2.html
e. O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) -
http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
怎麽靠自己? 一样检查路径看那个程式是不是自己认识的
是不是自己安装的程式 如果不是 砍了吧~!
a 我想应该不是你装的吧?! 自己装的程式通常在 program files底下
b 超级兔子
c d 短连结缩址
e ActiveX控制项 那个网址是你去过的网站吗? 你知道那是甚麽吗? 不是的话就移掉
通常 c:\windows\system c:\windows\system32 是系统档程式
不要乱删 但也因为那是windows的系统档路径 所以有很多木马跟病毒会隐藏在那里
04 可以到这网站来查
http://castlecops.com/StartupList.html
输入 a项的 tfswctrl 出现下列结果
Drive letter access to HP's and Veritas' version of DirectCD. Does the same
thing as DirectCD. From HP - "This is a needed file as it controles the
readability of the Combo drives. Without this file loading the end user will
be able to burn CD's but wont be able to read them. The drive itself will be
able to read store bought master Cd's without the file but not burnt ones"
这样应该就看懂了吧!? Combo机 driver 不能删除~!
其他类的查询网站请看 或直接从 google 找吧
3. Safe
这应该没什麽好解释的 就是 Safe
除非你想进阶修改windows系统内的选项 增加windows执行速度 不然不建议更改
列表中後面的 tip 都有说明怎麽处理
比如说Not dangerous, but unnecessary. 这不是危险程式 但是不执行他也没差
通常这类型的都是一些程式的升级检查档 或一些服务
dkservice : diskeeper 硬碟重组时需要的服务 我是都重组时才打开 平常关掉
基本上这项目的你不理他 也没什麽问题
----
To Emithrandir
因为你的 log 我是用复制贴上的
有些地方断行可能出错 建议你自己把他传上该网站 检查一下
另外....喜欢逛奇怪的网站的话 要不要换 firefox啊??
比 IE安全多了 也比较不会中毒~!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.34.32.163
1F:推 Emithrandir:好详尽的教学!!非常感谢啊!! 其实很讽刺的是我是在找 03/12 14:59
2F:→ Emithrandir:扫毒软体时中的毒...orz 下次懂得自己看就不会急病乱 03/12 15:00
3F:→ Emithrandir:投医了!!!真的是超感谢的啊!!\ >D<!! 03/12 15:01
4F:推 hoku:推! 03/12 15:31
5F:推 lostname:推一个:) 03/12 18:32
6F:推 Jack0:推 :D 03/12 19:28
7F:推 lostname:补充一下 z-20-4里面也有很多log的相关教学喔:) 03/12 19:54