1、1.在使用一些商业软件或免费软件工具进行检查之前,尽可能清洁机器。运行防病毒软件或反间谍软件扫描,一旦发现任何异常项目,立即将其删除。网上有很多个话题的内容。应该注意的是,
2、在进入下一步之前,专家强烈建议使用并运行多次防病毒和反间谍软件扫描,以实现彻底清除。
(资料图片仅供参考)
3、2.建立一个检查点或对系统进行备份。如果你用的是Windows XP,非常方便,让你可以快速建立系统恢复点(依次打开:开始菜单-帮助和支持-使用系统还原恢复对系统的更改,
4、然后单击按钮创建还原点)。当然,还有其他方法(Windows家族中使用其他操作系统的人的唯一方法)来创建整个系统的备份,包括系统状态信息(如果其他方法不可行,
5、你可以使用NTBackup.exe文件;它包含有关Windows新版本的所有信息)。这样,如果下一步出了问题,系统可以恢复到之前正确的状态。
6、3.关闭所有不必要的应用程序。一些反间谍软件会从计算机上运行的所有线程和注册表中寻找异常迹象,因此在启动反间谍软件运行检查之前退出所有应用程序可以节省大量时间。
7、4.运行反间谍程序。在这一步,使用劫持这个软件。将下载的Zip文件解压缩到您想要的目录,然后双击HijackThis.exe可执行文件。
8、提示“进行系统扫描并保存日志文件”的窗口会弹出来。默认情况下,日志文件保存在“我的文档”中,在保存的日志文件名中添加日期和时间信息非常有用。
9、在这种情况下,名为hijackthis.log的文件将被重命名为Hijackthis-yymmdd:hh . mm . log(hh . mm是24小时制的时间)。在这种情况下,
10、以后随时再运行劫持这个(一旦启动,会自动清除之前的日志),就不用担心会丢失之前的日志了。所以时间戳是一个很好的方法,对以后的日志文件分析非常有用。
11、5.查看劫持此结果窗口中显示的扫描结果。这个结果与日志文件中写入的信息相同,您会发现每个项目的左边都有一个复选框。如果选中了某些项目,请按“修复选中的项目”按钮。
12、劫持这个可以彻底消灭它。你会发现那里有很多看似秘密的文件,你可以快速浏览一下,决定这个时候做什么。事实上,真正的问题是识别哪些文件具有潜在威胁,哪些文件是必要的。
13、和什么无关。这个时候分析工具可以帮我们很大的忙。记住,现在不要关闭劫持本的搜索结果窗口,也不需要勾选,因为下一步你会回到这个窗口。
14、6.用劫持这个的日志分析器运行日志文件。您可以使用两种分析工具中的一种,帮助2检测或劫持此分析。在劫持日志中,
15、我们会找到每一次入侵(线程)的特殊信息和相关处理建议,包括哪些可以保留,哪些可以删除(但无害),哪些是可疑文件(可能应该删除,但需要进一步分析),哪些必须删除(因为确定是恶意病毒)。
16、这时,可疑检查所有被确认为恶意病毒的选项,或者与已知的间谍软件和广告软件有关的选项。
17、7.检查可疑项目(包括可选的激活项目)。有时可以查看注册表名称或者相关文件和目录信息,来检查即使通过分析程序(使用Hijack This很明显发现的)也没有识别出的项目,
18、这是可能是故意安装或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和人为的都没有发现这些项目,安全选项就会将备份然后删除(然而如果采取了这个步骤,
19、那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果想知道在查看的是什么文件,就进入下一个附加步骤,用google或其他搜索工具搜索项目的名称。
20、在99%的情况下都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目,最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。
21、8.在Hijack This结果窗口核选有害文件和不确定的可疑项目,然后按下“Fix checked”按钮。也可以在结果窗口中滚动查看项目,并通过单击来高亮选择单独的项目,
22、接着通过点击"Info on selected item…."(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适,因为这时分析工具的速度更快而且面向对象更友好。
23、9.重启系统查看运行情况。如果系有统运行不正常现象,如应用程序不工作或变得异常,或者系统看上去不太对劲时,需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动,
24、在系统启动之初按下F8键,直到启动进入安全启动菜单,选择最后一次正确的配置。这样启动就没有问题了,系统启动之后还需要退回到恢复点,或者恢复到在第二步备份的状态。如果接收这个选项的话,
25、就不需要保存改动了,可以直接越过第10步。
26、10.最后再运行依次Hijack This扫描:重复步骤4,但是需要注意更改保存日志文件的日期标签。可以扫描结果来确定移动的项目已经被彻底清除,或者只需保存电脑状态的快照,
27、快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。
本文到此结束,希望对大家有所帮助。
| ||||
