Hijackthis เครื่องมือมืออาชีพสำหรับแก้ปัญหาไวรัส
LSVคลังสมองออนไลน์ "ปีที่14"
พฤศจิกายน 24, 2024, 07:31:33 pm *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
 
   หน้าแรก   ช่วยเหลือ เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: Hijackthis เครื่องมือมืออาชีพสำหรับแก้ปัญหาไวรัส  (อ่าน 6733 ครั้ง)
winai4u-LSV team
.กลุ่มผู้มีน้ำใจงาม.
member
*

คะแนน673
ออฟไลน์ ออฟไลน์

กระทู้: 3025



« เมื่อ: มีนาคม 31, 2007, 09:40:33 am »

หลายท่านคงเคยพบเจอปัญหาไวรัส หรือ มัลแวร์อื่นๆ
ซึ่งมีบางครั้งที่ท่านพยายามลบมันออกไปเท่าไหร่ ไม่ว่าด้วยแอนตี้ไวรัสตัวไหนมันก็ไม่ยอมออกไปเสียที
แต่ถ้าหากท่านลองใช้ Hijackthis ดูบางครั้งจะพบว่ามันจะแสดงส่วนที่เป็นปัญหาต่างๆให้เราทราบได้ทันที
ไม่ว่าจะเป็นค่าที่มัลแวร์ฝังไว้ในรีจิสทรี , ไฟล์ที่ยังเหลือตกค้างในเครื่อง , ค่า StartPage ที่ถูก Hijacking แก้ , ค่า BHOs ต่างๆ
ซึ่ง Hijackthis จะสามารถช่วยเราลบออกไปได้อย่างง่ายดาย
แต่ค่าซึ่ง Hijackthis แสดงขึ้นมาให้เราดูนั้น จะมีค่าดั้งเดิมของระบบ และโปรแกรมที่ใช้งานที่มีประโยชน์อื่นๆรวมอยู่ด้วย เพราะฉะนั้นอย่าเข้าใจผิดนะครับ

ข้อจำกัดของมันอยู่ที่ว่า คนที่จะใช้โปรแกรมนี้ได้ดีนั้นต้องมีความรู้ด้านไฟล์ของระบบปฏิบัติการ และความรู้พื้นฐานด้านคอมพิวเตอร์พอสมควร และต้องมีประสบการณ์ด้วยจึงจะสามารถใช้โปรแกรมนี้ได้ดี
เพราะบางครั้งที่เราใช้ Hijackthis สแกนแล้ว หากลบค่าไปแบบไม่คิด อาจจะทำให้ค่าที่จำเป็นต้องใช้สำหรับระบบสูญหายไปได้

ซึ่งผมขอแนะนำการใช้ไว้คร่าวๆดังนี้
ขั้นแรกให้ทำการโหลด Hijackthis จาก
http://download.hijackthis.eu/hijackthis_199.zip

จากนั้นให้ทำการแตกไฟล์ออก ดับเบิ้ลคลิกเข้าโปรแกรม กดที่ Do a system scan and save a log files
หลังจากการสแกนจะมีหน้าต่าง Nodepad เด้งขึ้นมา
สำหรับคนที่มีความรู้อยุ่แล้วตอนนี้ก็จะสามารถ ดูค่าที่ผิดปกติแล้วใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด ทำการ Fix checked มันออกไปได้ทันที
แต่สำหรับมือใหม่ที่ยังไม่มีความรู้ ให้ทำการคัดลอกข้อความทั้งหมดที่อยู่ใน Nodepad

ตัวอย่าง

CODE

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 28/1/2550
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Shadow\Start Menu\Programs\Startup\LayoutFix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\Documents and Settings\Shadow\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ClocX] "C:\Program Files\ClocX\ClocX.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [RSD_HDDThermo] "C:\Program Files\HDD Thermometer\HDD Thermometer.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LayoutFix.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ค้นหา - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: ทำให้เด่นชัด - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: ระงับการแสดงผลภาพที่มาจากเครื่องผู้ให้บริการเดียวกัน - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: เปิดทุกหน้าเชื่อมโยงที่มีในหน้านี้... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: เปิดใน Avant Browser หน้าใหม่ - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: เพิ่มไปในรายการบัญชีดำตัวป้องกันการแสดงโฆษณา - C:\Program Files\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra 'Tools' menuitem: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129w.bay129.mail.live.com/mail/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O17 - HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperSe rvice) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

ไปโพสต์ในช่องว่างที่เว็บ
http://hijackthis.de/
แล้วกดปุ่ม Analyze เพื่อให้เว็บไซต์วิเคราะห์ข้อมูลออกมาได้ทันที

วิธีการตรวจสอบ

- หากรายการนั้นมีเครื่องหมายถูก แสดงว่ารายการนั้นเป็นรายการที่ปลอดภัย



ระดับความปลอดภัยจะขึ้นอยู่กับ ตัวหนังสือที่แสดงคือ Very safe , Safe , Neutral และมีเครื่องหมายแต่ไม่มีข้อความ ตามลำดับ

- หากรายการนั้นมีเครื่องหมายกากบาทสีแดง ,กากบาทสีแดงพร้อมด้วยข้อความ Extremely nasty หรือ nasty หรือเป็นเครื่องหมายคำถาม แต่มีข้อความ Extremely nasty



แสดงว่ารายการนั้นเป็นรายการที่ไม่ปลอดภัย อาจเป็นค่าของไวรัส โทรจัน มัลแวร์ต่างๆ ที่เข้ามาฝังในเครื่อง
ให้ติ๊กเครื่องหมายหน้ารายการนั้นๆในโปรแกรม Hijackthis เพื่อ Fix checked ได้ทันที

- หากรายการนั้นมีเครื่องหมายกากบาทสีส้ม หรือเครื่องหมายกากบาทสีส้มพร้อมด้วยข้อความ Very safe , Safe , Neutral
และในรายการของค่ามี (no file) หรือ (file missing) ตามหลังหมายถึงว่าไฟล์เหล่านั้นไม่ได้มีอยู่แล้ว แต่ในเครื่องยังมีค่าส่วนนี้ตกค้างอยู่
สามารถทำการ Fix checked ได้ทันที

ตัวอย่าง



- หากรายการนั้นมีเครื่องหมายคำถาม ( unknown ) แสดงว่าทางเว็บไม่มีข้อมูลของรายการนั้นในฐาน
ข้อมูล



ซึ่งรายการนั้นจะเป็นค่าที่มีความปลอดภัย หรือ ไม่ปลอดภัยก็ได้
ในกรณีนี้ให้เราพิจารณาว่า ค่าตัวนั้นๆเป็นค่าของอะไรหรือโปรแกรมไหน และเราใดติดตั้งไว้เองหรือไม่
หากพิจารณาจนแน่ใจแล้วว่าไม่ใช่ค่าที่ถูกต้องก็สามารถ Fix checked ได้ทันที

ทางเว็บ Hijackthis นั้นยังมีระบบที่ให้ผู้เข้ามาใช้งานสามารถตรวจสอบ ค่าต่างๆและร่วมให้ข้อมูลกับทางเว็บได้ โดยหากเราต้องการดูรายละเอียดของค่าข้อมูลตัวไหนก็สามารถกดปุ่ม ที่ปรากฏอยู่หน้าค่าเหล่านั้นได้ทันที ก็จะปรากฏข้อมูลที่เคยมีผู้ให้ไว้แสดงขึ้นมา



และเราก็สามารถให้ข้อมูลแก่ทางเว็บได้เช่นกันในกรณีที่เรารู้จักค่าตัวนั้นอย่างแน่ชัด
โดยแสดงความคิดเห็นและระดับคะแนนลงไป



สำหรับผู้ใช้เริ่มต้นที่ไม่มีความชำนาญและไม่มีความรู้ในด้านระบบไฟล์
ให้ปฏิบัติดังนี้

เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe

ค่าๆนี้หากวิเคราะห์ด้วยเว็บไซต์ hijackthis.de จะบอกว่าเป็นค่าที่ไม่รู้จัก
แต่หากเป็นผู้ใช้ที่มีความรู้ด้านระบบไฟล์ก็จะรู้ได้ทันทีว่าไม่ถูกต้อง แต่หากเป็นผู้ใช้เบื้องต้นก็จะไม่ทราบดังนั้นวิธีการคือ ให้เข้าเว็บไซต์
www.google.com
จากนั้นก็ค้นหาด้วยคำว่า iexp1ore.exe ก็จะมีเว็บไซต์ที่แสดงรายละเอียดของไฟล์ตัวนี้ขึ้นมาทันที
ซึ่งก็้เพียงคลิกตามลิงค์เข้าไปดูก็จะทราบว่าเป็นค่าที่ปลอดภัยหรือๆไม่

เมื่อได้พิจารณาจากข้อมูลแล้วว่าตัวไหนเป็นค่าที่ไม่ปลอดภัยต้องการลบก็ให้ใส่เครื่อ
งหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด Fix checked ซึ่งในขั้นตอนนี้นั้นให้ท่านบันทึกหรือจำที่อยู่ของไฟล์ที่จะอยู่หลังค่าต่างๆที่ท่า
น Fix checked ไว้
เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
ที่อยู่ของไฟล์ที่ค่าๆนี้อ้างอิง คือ C:\WINDOWS\system32\iexp1ore.exe

จากนั้นให้ท่านรีบูตเครื่องคอมพิวเตอร์ใหม่เพื่อเข้าสู่ Safe Mode
วิธีการ คือ ตอนเครื่องได้เริ่มเปิดใหม่นั้นให้กดปุ่ม F8 บนคีย์บอร์ดหลายๆครั้ง
ก็จะมีหน้าต่างให้เลือกเข้าสู่ Safe Mode

หลังจากได้เข้าสู่ Safe Mode แล้วก็ให้เข้าไปลบไฟล์ต่างๆ ที่ได้จำไว้ตามไดเรคทอรี่ต่างๆให้หมด
เพื่อเป็นกำจัดให้สิ้นซาก จากนั้นก็รีบูตเครื่องอีกครั้งหนึ่ง
เท่านี้ปัญหาต่างๆที่ท่านพบก็จะถูกแก้ไขอย่างหมดจด

คำแนะนำเพิ่มเติม
การวิเคราะห์ด้วยเว็บนั้นได้ผลดีในระดับหนึ่งเท่านั้น บางครั้งหากต้องการคำแนะนำจากผุ้เชี่ยวชาญจริงๆ ในกรณีที่ท่านไม่มีความรู้ หรือไม่แน่ใจในเรื่องต่างๆ ท่านก็สามารถนำ Log file ข้อความที่ได้มาโพสต์ตามเว็บบอร์ดต่างๆ เพื่อให้ผู้เชี่ยวชาญวิเคราะห์ให้โดยตรงได้เช่นกัน

เช่น
http://community.thaiware.com/
หมวด Security forum

หรือ

http://board.thaidarkside.com/SMF/index.php
หมวด Virus Trojan & Spyware

หรือเว็บไซต์อื่นๆเพื่อขอคำแนะนำได้

เครดิต : คุณ shadow ไทยแวร์ดอทคอม  Smiley


บันทึกการเข้า

ถาวร-LSVteam
.กลุ่มผู้มีน้ำใจงาม.
member
*

คะแนน955
ออฟไลน์ ออฟไลน์

กระทู้: 7987



อีเมล์
« ตอบ #1 เมื่อ: มีนาคม 31, 2007, 11:26:18 am »

ลองแล้วมีเครื่องหมาคำถาม2ตัว
บันทึกการเข้า

ยังสร้างความฉิบหายให้ประเทศไทยไมพอกันอีกหรือ 
 ผู้ใดคิดร้ายให้ร้ายพระองค์ มันจงพินาจฉิบหายในเวลาอันใกล้
พรเทพ-LSV team♥
รับติดตั้งจานดาวเทียม ลาดพร้าว บางกะปิ
Senior Member
member
*

คะแนน1453
ออฟไลน์ ออฟไลน์

กระทู้: 12125

091-091-9196 ID LINE : tv59


เว็บไซต์
« ตอบ #2 เมื่อ: มีนาคม 31, 2007, 11:37:51 am »

อ้างถึง
ลองแล้วมีเครื่องหมาคำถาม2ตัว

 Tongue Cool Grin Smiley
บันทึกการเข้า

mbsamart
บุคคลทั่วไป
« ตอบ #3 เมื่อ: มีนาคม 31, 2007, 01:00:49 pm »

อ้างถึง
ลองแล้วมีเครื่องหมาคำถาม2ตัว

 Tongue Cool Grin Smiley

ต้องอาศัยความเคยชิน เพื่อให้คุ้นเคย Tongue
บันทึกการเข้า
ถาวร-LSVteam
.กลุ่มผู้มีน้ำใจงาม.
member
*

คะแนน955
ออฟไลน์ ออฟไลน์

กระทู้: 7987



อีเมล์
« ตอบ #4 เมื่อ: มีนาคม 31, 2007, 01:11:14 pm »

ขออภัยพิมพ์ไม่ครบตกไปหนึ่งตัว เครื่องหมายคำถาม
บันทึกการเข้า

ยังสร้างความฉิบหายให้ประเทศไทยไมพอกันอีกหรือ 
 ผู้ใดคิดร้ายให้ร้ายพระองค์ มันจงพินาจฉิบหายในเวลาอันใกล้
saksith
member
*

คะแนน5
ออฟไลน์ ออฟไลน์

กระทู้: 374


Tom_3027@hotmail.com
อีเมล์
« ตอบ #5 เมื่อ: มีนาคม 31, 2007, 03:41:21 pm »

พอได้ๆ
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1 RC2 | SMF © 2001-2006, Lewis Media

lsv2555Please follow the new website at https://www.pohchae.com

Valid CSS!