By Shadow@Thaiware

จากEntryก่อนๆที่สอนแบบมือสมัครเล่นไปแล้ว วันนี้เลยเอาวิธีแบบมืออาชีพมาฝาก เพราะคิดว่าหลายๆคนคงจะคุ้นเคยกับระบบในเครื่องกันบ้างแล้ว

หลายท่านคงเคยพบเจอปัญหาไวรัส หรือ มัลแวร์อื่นๆ ซึ่งมีบางครั้งที่ท่านพยายามลบมันออกไปเท่าไหร่ ไม่ว่าด้วยแอนตี้ไวรัสตัวไหนมันก็ไม่ยอมออกไปเสียที
แต่ถ้าหากท่านลองใช้ Hijackthis ดูบางครั้งจะพบว่ามันจะแสดงส่วนที่เป็นปัญหาต่างๆให้เราทราบได้ทันที ไม่ว่าจะเป็นค่าที่มัลแวร์ฝังไว้ในรีจิสทรี , ไฟล์ที่ยังเหลือตกค้างในเครื่อง , ค่า StartPage ที่ถูก Hijacking แก้ , ค่า BHOs ต่างๆ
ซึ่ง Hijackthis จะสามารถช่วยเราลบออกไปได้อย่างง่ายดาย
แต่ค่าซึ่ง Hijackthis แสดงขึ้นมาให้เราดูนั้น จะมีค่าดั้งเดิมของระบบ และโปรแกรมที่ใช้งานที่มีประโยชน์อื่นๆรวมอยู่ด้วย เพราะฉะนั้นอย่าเข้าใจผิดนะครับ

ข้อจำกัดของมันอยู่ที่ว่า คนที่จะใช้โปรแกรมนี้ได้ดีนั้นต้องมีความรู้ด้านไฟล์ของระบบปฏิบัติการ และความรู้พื้นฐานด้านคอมพิวเตอร์พอสมควร และต้องมีประสบการณ์ด้วยจึงจะสามารถใช้โปรแกรมนี้ได้ดี
เพราะบางครั้งที่เราใช้ Hijackthis สแกนแล้ว หากลบค่าไปแบบไม่คิด อาจจะทำให้ค่าที่จำเป็นต้องใช้สำหรับระบบสูญหายไปได้

ซึ่งผมขอแนะนำการใช้ไว้คร่าวๆดังนี้
ขั้นแรกให้ทำการโหลด Hijackthis จาก
http://download.hijackthis.eu/hijackthis_199.zip

ดาวน์โหลด Hijackthis 2 Beta

จากนั้นให้ทำการแตกไฟล์ออก ดับเบิ้ลคลิกเข้าโปรแกรม กดที่ Do a system scan and save a log files
หลังจากการสแกนจะมีหน้าต่าง Nodepad เด้งขึ้นมา
สำหรับคนที่มีความรู้อยุ่แล้วตอนนี้ก็จะสามารถ ดูค่าที่ผิดปกติแล้วใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด ทำการ Fix checked มันออกไปได้ทันที
แต่สำหรับมือใหม่ที่ยังไม่มีความรู้ ให้ทำการคัดลอกข้อความทั้งหมดที่อยู่ในNodepad

ตัวอย่าง

**************************************************

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 28/1/2550
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Shadow\Start Menu\Programs\Startup\LayoutFix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\Documents and Settings\Shadow\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ClocX] "C:\Program Files\ClocX\ClocX.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"-osboot
O4 - HKCU\..\Run: [RSD_HDDThermo] "C:\Program Files\HDD Thermometer\HDD Thermometer.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LayoutFix.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ค้นหา - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: ทำให้เด่นชัด - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: ระงับการแสดงผลภาพที่มาจากเครื่องผู้ให้บริการเดียวกัน - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: เปิดทุกหน้าเชื่อมโยงที่มีในหน้านี้... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: เปิดใน Avant Browser หน้าใหม่ - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: เพิ่มไปในรายการบัญชีดำตัวป้องกันการแสดงโฆษณา - C:\Program Files\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra 'Tools' menuitem: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129w.bay129.mail.live.com/mail/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O17 - HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset- C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

*************************************************