前言
你應該有過這樣的遭遇,就是電腦感染上了間諜軟件或廣告軟件。在這種情況下,解決問題的關鍵就是要在你的硬盤、內存或Windows注冊表中找出間諜軟件的所在。我最近研究了我的主要網絡內的幾台機器,以找到間諜軟件和廣告軟件的感染信息。我個人建議,最好能利用一些有效的商業軟件和免費軟件經常進行這樣的檢查。
下面介紹一下步驟:
1.在使用某種商業軟件或免費軟件的工具檢查之前,盡可能的將機器清理干淨。運行防病毒軟件或反間諜軟件掃描,一旦發現一些異常的項目立即清除。有關這一主題的內容在網絡上有許多。需要注意的是,在進入下一步之前,專家們強烈建議使用並運行一種以上的殺毒、反間諜軟件掃描以便達到徹底清理。
2.建立一個檢查點或者對系統作備份。如果你使用的是Windows XP,那再方便不過了,這樣很快就能建立一個系統恢復點(依次打開:開始菜單――幫助和支持――使用系統還原恢復你對系統的改變,然後點擊創建一個還原點的按鈕)。當然還有其他的方法(對於那些使用Windows家族其他操作系統的人來說是唯一的方法)就是創建一整套系統的備份,包括系統狀態信息(如果其他辦法都不可行的話,你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。這樣的話,萬一在接下來的步驟中出了差錯,還可以將您的系統恢復到前一個正確的狀態。
3.關閉所有不必要的應用程序。一些反間諜軟件從電腦運行的所有線程和注冊表中查找不正常跡象,因此先退出所有應用程序再啟動反間諜程序運行檢查,可以節省大量時間。
4.運行反間諜程序。在這一步,我使用了Hijack This這個軟件。將下載回來的Zip文件解壓到你想要的目錄,然後雙擊HijackThis.exe這個執行文件,會跳出一個帶有提示“Do a system scan and save a logfile.”的窗口。默認狀態下,日志文件會保存在“我的文檔”中,我發現在保存的日志文件名稱中加入日期和時間信息很有用,這樣的話,一個名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話,以後你任何時候再次運行Hijack This(一旦開始運行,它會自動清空以前的日志),都不必擔心丟失以前的日志。因此,時間標記不愧是個很好的方法,這對將來你的日志文件分析非常有用。
5.查看Hijack This結果窗口中顯示的掃描結果。這個結果與寫入日志文件的信息是相同的,並且你會發現在每一個項目的左邊都有一個復選框。如果你核選了某些項目,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。你會發現在那裡有很多看上去秘密的文件,你可以對其進行快速掃描,以決定在這時采取何種操作。實際上,真正存在的問題是識別出哪些文件具有潛在的威脅,哪些是必須的,而哪些是無關緊要的。此時分析工具能夠幫上我們的大忙。記住,現在不要關閉Hijack This的查找結果窗口,也不需要進行核選操作,因為在接下來的步驟中我們還會返回這個窗口。
具體方法
6.用Hijack This的日志分析程序運行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 這兩個分析工具中的一個。如果兩個軟件都有的話,我個人傾向於Help2Go Detective,但這兩個都值得一試。在Hijack This日志裡,你會發現每一個入侵(線程)的特殊信息和相關處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑文件(或許應該刪除,但是還需要進一步分析研究),以及哪些必須刪除(因為確定是惡意病毒)。這時,你可疑檢查所有被確認為惡意病毒的選項,或者與已知的間諜軟件和廣告軟件有關的選項。
7.檢查可疑項目(包括可選的激活項目)。有時你可以查看注冊表名稱或者相關文件和目錄信息,來檢查即使通過分析程序(使用Hijack This很明顯發現的)也沒有識別出的項目,這是可能是你故意安裝或使用的程序的一部分。這些項目經常會被單獨的遺留下來。如果檢查程序和你人為的都沒有發現這些項目,安全選項就會將它們備份然後刪除(然而如果你采取了這個步驟,那麼要挽救這種狀況只有存儲一份備份文件或者返回到前一個恢復狀態。)如果你想知道你在查看的是什麼文件,就進入下一個附加步驟,用google或其他搜索工具搜索項目的名稱。在99%的情況下我都可以在兩分鐘或更少時間內作出批准與否的決定。只有一少部分項目,最顯著的是dll文件不僅僅需要通過文件名的搜索驗證來裁留。
8.在Hijack This結果窗口核選有害文件和不確定的可疑項目,然後按下“Fix checked”按鈕。你也可以在結果窗口中滾動查看項目,並通過單擊來高亮選擇單獨的項目,接著通過點擊"Info on selected item…."(選中項目的信息……)來獲取這些項目的額外信息。這時來查看這些信息比在上一步驟查看更合適,因為這時分析工具的速度更快而且面向對象更友好。
9.重啟系統查看運行情況。如果系有統運行不正常現象,如應用程序不工作或變得異常,或者系統看上去不太對勁時,你需要決定是否需要返回到恢復狀態或備份狀態。如果Windows不能完成啟動,在系統啟動之初按下F8鍵,直到啟動進入安全啟動菜單,選擇最後一次正確的配置。這樣啟動就沒有問題了,系統啟動之後你還需要退回到恢復點,或者恢復到在第二步備份的狀態。如果你接收這個選項的話,就不需要保存改動了,可以直接越過第10步。
10.最後再運行依次Hijack This掃描:重復步驟4,但是需要注意更改保存日志文件的日期標簽。你可以掃描結果來確定移動的項目已經被徹底清除,或者只需保存你電腦狀態的快照,快速清除就可以了(這樣會對下一次進行同樣的操作產生一個有意義的參照狀態)。