僅僅HIJACKTHIS已經很不夠，現在很多病毒輕松就可以繞過它的服務列表，HIJACKTHIS 的04 -啟動項目也不完整，也缺少exe 內嵌.dll的列表功能，所以推荐下面的SRENG、I CESWORD，二者配合，HIJACKTHIS可以休矣！尤其是ICESWORD，無論是隱藏行程，隱藏服務，或者隱藏檔，都無所遁形，手工查毒利器。 如果你GOOGLE irjit.dll，你可以了解到一個，HIJACKTHIS無法列出的023 -service項目病毒 HIJACKTHIS.LOG一般情況下也不提供EXE DLL的關聯劫持。 另，如果是c:\windows\system32\drivers處.sys啟動的病毒，HIJACKTHIS有何法？且看icesword 這個帖子包括了 軟件簡介及修复方法等 如果只下載工具軟件 直接按“end”鍵 1、Hijackthis 2、SREng 3、KillBox 4、IceSword 5、Winsock XP Fix 和 LSPFix 6、FileMon和RegMon 1、Hijackthis 版本:1.99.1 簡介:作者Merijn，是一個非常有用的檢測掃描工具，主要用于掃描顯示系統當前進程、 啟 動項信息、BHO（Browser Helper Object）、ToolBar（瀏覽器工具欄）、DPF（ Downloaded Program Files）等信息，并且具有修复功能，對于發現病毒等有害程序有 很大幫助，尤其是在發現/修复瀏覽器劫持方面有很大作用。 使用方法: [如何發log] 附件 下載 解壓后 運行 hijackthis,選擇 "掃描系統并保存日志",然后把掃描后的 hijackthis.log這個文件以附件發上來或者把其中的內容 复制 粘貼上來。 [如何修复] (1)在HijackThis掃描的結果中，選中需要修复的項目，按下修复（Fix checked）按鈕 進行修复。修复前請關閉所有瀏覽器窗口和文件夾窗口。 (2)修复后手動刪除對應文件(可以使用刪除工具killbox,注意hijackthis修复的只是注 冊表信息)。 (3)對于04項,修复前先在任務管理器里結束對應進程(注意有的04項沒有運行的進程)。 (4)對于023項，如果修复不掉，可以用SREng操作 對應的 服務項 下載:附件 2、SREng 版本:2.0.12.350(2.0 RC1) 簡介:作者Smallfrogs，System Repair Engineer(SREng) 是一款全新的、強有力的、可 擴充的用于調整和修复你系統的免費工具，在這個工具的幫助下，你可以察覺你的系統故 障并能夠很容易的修复他們。 使用方法: [如何發log] 附件 下載 解壓后 運行 SREng,選擇 "智能掃描","掃描","保存報告",然后把掃描后的 SREng.log這個文件以附件發上來或者把其中的內容 复制 粘貼上來。 [如何修复] 按下列方法操作,修复后手動刪除文件(可以使用刪除工具killbox),對于"注冊表"項對應 的進程先在任務管理器里結束(注意有的"注冊表"項沒有運行的進程) (1)注冊表 在SREng中 "啟動項目" "注冊表" 鼠標左鍵在對應要修复的項上單擊 然后點擊"刪除" 注意如果以下3項需要修复 恢复如下的默認值 (在SREng中 "啟動項目" "注冊表" 鼠標左鍵在對應要修复的項上單擊 然后點擊"編輯" 修改對應"值" 如下即可) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINNT\system32\Userinit.exe,> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> (2)啟動文件夾 在SREng中 "啟動項目" "注冊表" 鼠標左鍵在對應要修复的項上單擊 然后點擊"刪除" (3)服務 在SREng中 "啟動項目" "服務" 先勾選左下角的 "隱藏微軟服務" 鼠標左鍵在對應要修 复的項上單擊 然后點擊"刪除所選服務" (4)瀏覽器加載項 在SREng中 "系統修复" "瀏覽器加載項" 鼠標左鍵在對應要修复的項上單擊 然后點擊" 刪除所選內容" (5)文件關聯 在SREng中 "系統修复" "文件關聯" 鼠標左鍵在對應要修复的項前勾選 然后點擊"修复 " 下載:附件 3、KillBox 版本:2.0.0.17(2.0.0.648英文版,附件內為漢化版) 簡介:作者Option Explicit,刪除文件和文件夾的工具軟件 使用方法: (1)普通刪除模式:選擇此項后,可以輔助選擇 "刪除前先結束"Explorer.exe進程"和"刪 除dll前先反注銷此文件 (2)刪除后重起電腦:選擇此項后,可以輔助選擇 "刪除前先結束"Explorer.exe進程"和" 刪除dll前先反注銷此文件 (3)替換后重起電腦：選擇此項后，瀏覽選上要刪除的文件，然后勾選"替換文件",kill box，自動提供替換文件,然后操作即可 下載:附件 4、IceSword 版本:1.12 簡介:作者pjf，IceSword是一斬斷黑手的利刃(所以取這土名，有點搞e，呵呵)。它适用 于 Windows 2000/XP/2003操作系統，用于查探系統中的幕后黑手(木馬后門)并作出處理， 當然使用它需要用戶有一些操作系統的知識。 IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件，比如一些進程工 具、端口工具，但是現在的系統級后門功能越來越強，一般都可輕而易舉地隱藏進程、端口 、注冊表、文件信息，一般的工具根本無法發現這些“幕后黑手”。IceSword使用大量新穎 的內核技術，使得這些后門躲無所躲。 使用方法: 下載:附件 5、Winsock XP Fix 和 LSPFix 版本:1.2; 簡介:Winsock 修复工具 使用方法: (1)Winsock XP Fix 運行 點擊 修复 后,重起電腦 (2)LSPFix(輔助修复HijackThis掃描發現的O10項) 使用時，請關閉所有IE界面和文件夾界面后運行LSPFix，運行后，把要修复的那項從左 邊轉到右邊，點“Finish”即可。（不過這之前，需要在“I know what I`m doing”前面打 勾。） 下載:附件 6、FileMon和RegMon 在病毒文件、注冊表項刪除但立刻重复出現的情況下 使用這兩個工具，監視病毒文件和注冊表項由哪些進程 或線程再次生成。有助發現問題。 -- 2005年12月7日7點 侄子出生 ※ 修改:‧sihecun 于 Apr 3 11:26:53 修改本文‧[FROM: 221.221.30.*] ※ 來源:‧水木社區 newsmth.net‧[FROM: 221.221.30.*] 附件: hijackthis1.99.1.rar (245 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.4387.rar 附件: SREng_2.0_RC1.rar (300 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.255491.rar 附件: KillBox.rar (244 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.563217.rar 附件: IceSword1.12.rar (2019 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.813260.rar 附件: WinSock_XP_Fix.rar (604 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.2881392.rar 附件: LSPFix.rar (178 KB) 鏈接: http://www.newsmth.net/att.php?p.78.227853.11.0.3500412.rar --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 222.136.104.139 ※ 編輯: itrose 來自: 222.136.104.140 (05/11 11:57)