hijackthis log 簡易判斷方法

看板AntiVirus (防毒)作者 (只想遺忘一切)時間18年前 (2006/03/12 10:31), 編輯推噓5(502)
留言7則, 4人參與, 最新討論串1/1
好像有不少人不知道怎麼判斷 log 所以寫個簡易的教學 希望對大家有幫助 當緊急的時候可以先自己處理 不過我不是這方面專業的人 僅僅只是憑自己的興趣學的 所以下面寫的可能會有不少錯誤 如果有錯請指正 謝謝 --------- 先將 log 檔傳到或貼到下面這個網址 http://hijackthis.de/index.php?langselect=english 那是 hijackthis 官網提供的 log檔分析工具 以 14648篇 Emithrandir網友波的log為例 按下 analyze 該網站會列出log裡的分析 我將分析列為下面幾種(kind那一欄 Safety、Nasty、Unknow) 1.Nasty (符號為驚嘆號) 不要一看到 Nasty 就很緊張 放輕鬆 C:\WINDOWS\system32\nvctrl.exe O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -C:\WINDOWS\system32\hp8E74.tmp 兩個項目被標為 Nasty 最後面的Tip提示為 Must be Fixed! 這個東西大約有九成的機率是病毒或木馬之類的程式 但是還是要看一下路徑 免得他誤判了~! 如果你不認識他 不是你安裝的 那不用考慮這項是需要修正的 在這 nvctl.exe 是木馬程式~!!! 然後按照 Jack0大師寫的步驟處理 刪除檔案及修正機碼 2. Unknow及Possibly Nasty(符號為問號) 這項就必須靠自己了 a. O4 - HKLM\..\Run: [dla] ; C:\WINDOWS\system32\dla\tfswctrl.exe b. O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\magicset\srrest.exe /autosave c. O9 - Extra button: Make a 0rz.. - {00000000-1111-2222-3333-2D4CE7F773C8} -file://C:\WINDOWS\url2.html d. O9 - Extra 'Tools' menuitem: Make a 0rz.. - {00000000-1111-2222-3333-2D4 CE7F773C8} -file://C:\WINDOWS\url2.html e. O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 怎麼靠自己? 一樣檢查路徑看那個程式是不是自己認識的 是不是自己安裝的程式 如果不是 砍了吧~! a 我想應該不是你裝的吧?! 自己裝的程式通常在 program files底下 b 超級兔子 c d 短連結縮址 e ActiveX控制項 那個網址是你去過的網站嗎? 你知道那是甚麼嗎? 不是的話就移掉 通常 c:\windows\system c:\windows\system32 是系統檔程式 不要亂刪 但也因為那是windows的系統檔路徑 所以有很多木馬跟病毒會隱藏在那裡 04 可以到這網站來查 http://castlecops.com/StartupList.html 輸入 a項的 tfswctrl 出現下列結果 Drive letter access to HP's and Veritas' version of DirectCD. Does the same thing as DirectCD. From HP - "This is a needed file as it controles the readability of the Combo drives. Without this file loading the end user will be able to burn CD's but wont be able to read them. The drive itself will be able to read store bought master Cd's without the file but not burnt ones" 這樣應該就看懂了吧!? Combo機 driver 不能刪除~! 其他類的查詢網站請看精華區 或直接從 google 找吧 3. Safe 這應該沒什麼好解釋的 就是 Safe 除非你想進階修改windows系統內的選項 增加windows執行速度 不然不建議更改 列表中後面的 tip 都有說明怎麼處理 比如說Not dangerous, but unnecessary. 這不是危險程式 但是不執行他也沒差 通常這類型的都是一些程式的升級檢查檔 或一些服務 dkservice : diskeeper 硬碟重組時需要的服務 我是都重組時才打開 平常關掉 基本上這項目的你不理他 也沒什麼問題 ---- To Emithrandir 因為你的 log 我是用複製貼上的 有些地方斷行可能出錯 建議你自己把他傳上該網站 檢查一下 另外....喜歡逛奇怪的網站的話 要不要換 firefox啊?? 比 IE安全多了 也比較不會中毒~! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.34.32.163

03/12 14:59, , 1F
好詳盡的教學!!非常感謝啊!! 其實很諷刺的是我是在找
03/12 14:59, 1F

03/12 15:00, , 2F
掃毒軟體時中的毒...orz 下次懂得自己看就不會急病亂
03/12 15:00, 2F

03/12 15:01, , 3F
投醫了!!!真的是超感謝的啊!!\ >D<!!
03/12 15:01, 3F

03/12 15:31, , 4F
推!
03/12 15:31, 4F

03/12 18:32, , 5F
推一個:)
03/12 18:32, 5F

03/12 19:28, , 6F
推 :D
03/12 19:28, 6F

03/12 19:54, , 7F
補充一下 z-20-4裡面也有很多log的相關教學喔:)
03/12 19:54, 7F
文章代碼(AID): #144uV_Ah (AntiVirus)
文章代碼(AID): #144uV_Ah (AntiVirus)