作者bluedrop (只想遺忘一切)
看板AntiVirus
標題hijackthis log 簡易判斷方法
時間Sun Mar 12 11:43:08 2006
好像有不少人不知道怎麼判斷 log
所以寫個簡易的教學 希望對大家有幫助 當緊急的時候可以先自己處理
不過我不是這方面專業的人 僅僅只是憑自己的興趣學的
所以下面寫的可能會有不少錯誤 如果有錯請指正 謝謝
---------
先將 log 檔傳到或貼到下面這個網址
http://hijackthis.de/index.php?langselect=english
那是 hijackthis 官網提供的 log檔分析工具
以 14648篇 Emithrandir網友波的log為例
按下 analyze 該網站會列出log裡的分析
我將分析列為下面幾種(kind那一欄 Safety、Nasty、Unknow)
1.Nasty (符號為驚嘆號)
不要一看到 Nasty 就很緊張 放輕鬆
C:\WINDOWS\system32\nvctrl.exe
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
-C:\WINDOWS\system32\hp8E74.tmp
兩個項目被標為 Nasty 最後面的Tip提示為 Must be Fixed!
這個東西大約有九成的機率是病毒或木馬之類的程式
但是還是要看一下路徑 免得他誤判了~!
如果你不認識他 不是你安裝的 那不用考慮這項是需要修正的
在這 nvctl.exe 是木馬程式~!!!
然後按照 Jack0大師寫的步驟處理 刪除檔案及修正機碼
2. Unknow及Possibly Nasty(符號為問號)
這項就必須靠自己了
a. O4 - HKLM\..\Run: [dla] ; C:\WINDOWS\system32\dla\tfswctrl.exe
b. O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super
Rabbit\magicset\srrest.exe /autosave
c. O9 - Extra button: Make a 0rz.. - {00000000-1111-2222-3333-2D4CE7F773C8}
-file://C:\WINDOWS\url2.html
d. O9 - Extra 'Tools' menuitem: Make a 0rz.. - {00000000-1111-2222-3333-2D4
CE7F773C8} -file://C:\WINDOWS\url2.html
e. O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) -
http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
怎麼靠自己? 一樣檢查路徑看那個程式是不是自己認識的
是不是自己安裝的程式 如果不是 砍了吧~!
a 我想應該不是你裝的吧?! 自己裝的程式通常在 program files底下
b 超級兔子
c d 短連結縮址
e ActiveX控制項 那個網址是你去過的網站嗎? 你知道那是甚麼嗎? 不是的話就移掉
通常 c:\windows\system c:\windows\system32 是系統檔程式
不要亂刪 但也因為那是windows的系統檔路徑 所以有很多木馬跟病毒會隱藏在那裡
04 可以到這網站來查
http://castlecops.com/StartupList.html
輸入 a項的 tfswctrl 出現下列結果
Drive letter access to HP's and Veritas' version of DirectCD. Does the same
thing as DirectCD. From HP - "This is a needed file as it controles the
readability of the Combo drives. Without this file loading the end user will
be able to burn CD's but wont be able to read them. The drive itself will be
able to read store bought master Cd's without the file but not burnt ones"
這樣應該就看懂了吧!? Combo機 driver 不能刪除~!
其他類的查詢網站請看 或直接從 google 找吧
3. Safe
這應該沒什麼好解釋的 就是 Safe
除非你想進階修改windows系統內的選項 增加windows執行速度 不然不建議更改
列表中後面的 tip 都有說明怎麼處理
比如說Not dangerous, but unnecessary. 這不是危險程式 但是不執行他也沒差
通常這類型的都是一些程式的升級檢查檔 或一些服務
dkservice : diskeeper 硬碟重組時需要的服務 我是都重組時才打開 平常關掉
基本上這項目的你不理他 也沒什麼問題
----
To Emithrandir
因為你的 log 我是用複製貼上的
有些地方斷行可能出錯 建議你自己把他傳上該網站 檢查一下
另外....喜歡逛奇怪的網站的話 要不要換 firefox啊??
比 IE安全多了 也比較不會中毒~!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.34.32.163
1F:推 Emithrandir:好詳盡的教學!!非常感謝啊!! 其實很諷刺的是我是在找 03/12 14:59
2F:→ Emithrandir:掃毒軟體時中的毒...orz 下次懂得自己看就不會急病亂 03/12 15:00
3F:→ Emithrandir:投醫了!!!真的是超感謝的啊!!\ >D<!! 03/12 15:01
4F:推 hoku:推! 03/12 15:31
5F:推 lostname:推一個:) 03/12 18:32
6F:推 Jack0:推 :D 03/12 19:28
7F:推 lostname:補充一下 z-20-4裡面也有很多log的相關教學喔:) 03/12 19:54