仅仅HIJACKTHIS已经很不够，现在很多病毒轻松就可以绕过它的服务列表，HIJACKTHIS 的04 -启动项目也不完整，也缺少exe 内嵌.dll的列表功能，所以推荐下面的SRENG、I CESWORD，二者配合，HIJACKTHIS可以休矣！尤其是ICESWORD，无论是隐藏行程，隐藏服务，或者隐藏档，都无所遁形，手工查毒利器。 如果你GOOGLE irjit.dll，你可以了解到一个，HIJACKTHIS无法列出的023 -service项目病毒 HIJACKTHIS.LOG一般情况下也不提供EXE DLL的关联劫持。 另，如果是c:\windows\system32\drivers处.sys启动的病毒，HIJACKTHIS有何法？且看icesword 这个帖子包括了 软件简介及修复方法等 如果只下载工具软件 直接按“end”键 1、Hijackthis 2、SREng 3、KillBox 4、IceSword 5、Winsock XP Fix 和 LSPFix 6、FileMon和RegMon 1、Hijackthis 版本:1.99.1 简介:作者Merijn，是一个非常有用的检测扫描工具，主要用于扫描显示系统当前进程、 启 动项信息、BHO（Browser Helper Object）、ToolBar（浏览器工具栏）、DPF（ Downloaded Program Files）等信息，并且具有修复功能，对于发现病毒等有害程序有 很大帮助，尤其是在发现/修复浏览器劫持方面有很大作用。 使用方法: [如何发log] 附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的 hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。 [如何修复] (1)在HijackThis扫描的结果中，选中需要修复的项目，按下修复（Fix checked）按钮 进行修复。修复前请关闭所有浏览器窗口和文件夹窗口。 (2)修复后手动删除对应文件(可以使用删除工具killbox,注意hijackthis修复的只是注 册表信息)。 (3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程)。 (4)对于023项，如果修复不掉，可以用SREng操作 对应的 服务项 下载:附件 2、SREng 版本:2.0.12.350(2.0 RC1) 简介:作者Smallfrogs，System Repair Engineer(SREng) 是一款全新的、强有力的、可 扩充的用于调整和修复你系统的免费工具，在这个工具的帮助下，你可以察觉你的系统故 障并能够很容易的修复他们。 使用方法: [如何发log] 附件 下载 解压后 运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的 SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。 [如何修复] 按下列方法操作,修复后手动删除文件(可以使用删除工具killbox),对于"注册表"项对应 的进程先在任务管理器里结束(注意有的"注册表"项没有运行的进程) (1)注册表 在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除" 注意如果以下3项需要修复 恢复如下的默认值 (在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"编辑" 修改对应"值" 如下即可) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINNT\system32\Userinit.exe,> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> (2)启动文件夹 在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除" (3)服务 在SREng中 "启动项目" "服务" 先勾选左下角的 "隐藏微软服务" 鼠标左键在对应要修 复的项上单击 然后点击"删除所选服务" (4)浏览器加载项 在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击 然后点击" 删除所选内容" (5)文件关联 在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选 然后点击"修复 " 下载:附件 3、KillBox 版本:2.0.0.17(2.0.0.648英文版,附件内为汉化版) 简介:作者Option Explicit,删除文件和文件夹的工具软件 使用方法: (1)普通删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删 除dll前先反注销此文件 (2)删除后重起电脑:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和" 删除dll前先反注销此文件 (3)替换后重起电脑：选择此项后，浏览选上要删除的文件，然后勾选"替换文件",kill box，自动提供替换文件,然后操作即可 下载:附件 4、IceSword 版本:1.12 简介:作者pjf，IceSword是一斩断黑手的利刃(所以取这土名，有点搞e，呵呵)。它适用 于 Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理， 当然使用它需要用户有一些操作系统的知识。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工 具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口 、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖 的内核技术，使得这些后门躲无所躲。 使用方法: 下载:附件 5、Winsock XP Fix 和 LSPFix 版本:1.2; 简介:Winsock 修复工具 使用方法: (1)Winsock XP Fix 运行 点击 修复 后,重起电脑 (2)LSPFix(辅助修复HijackThis扫描发现的O10项) 使用时，请关闭所有IE界面和文件夹界面后运行LSPFix，运行后，把要修复的那项从左 边转到右边，点“Finish”即可。（不过这之前，需要在“I know what I`m doing”前面打 勾。） 下载:附件 6、FileMon和RegMon 在病毒文件、注册表项删除但立刻重复出现的情况下 使用这两个工具，监视病毒文件和注册表项由哪些进程 或线程再次生成。有助发现问题。 -- 2005年12月7日7点 侄子出生 ※ 修改:‧sihecun 于 Apr 3 11:26:53 修改本文‧[FROM: 221.221.30.*] ※ 来源:‧水木社区 newsmth.net‧[FROM: 221.221.30.*] 附件: hijackthis1.99.1.rar (245 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.4387.rar 附件: SREng_2.0_RC1.rar (300 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.255491.rar 附件: KillBox.rar (244 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.563217.rar 附件: IceSword1.12.rar (2019 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.813260.rar 附件: WinSock_XP_Fix.rar (604 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.2881392.rar 附件: LSPFix.rar (178 KB) 链接: http://www.newsmth.net/att.php?p.78.227853.11.0.3500412.rar --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 222.136.104.139 ※ 编辑: itrose 来自: 222.136.104.140 (05/11 11:57)