วันจันทร์ที่ 31 พฤษภาคม พ.ศ. 2553

HijackThis , Pocket KillBox

การใช้โปรแกรม HijackThis และ Pocket KillBox

เครื่องคอมพิวเตอร์ของเราอาจถูกโจมตีจากโปรแกรมประเภทต่าง ๆ
เช่น โปรแกรมจารชน (Spyware) , โปรแกรมโฆษณา (Adware) ฯลฯ
ทำให้ระบบเกิดอาการผิดปกติขึ้นมาได้ ซึ่งการแก้ไขต้องปรึกษาผู้ชำนาญการ
และผู้ชำนาญการอาจจะแนะนำให้ตรวจและซ่อมแซมระบบ
โดยใช้โปรแกรมที่ชื่อ HijackThis
ให้ดาวน์โหลดโปรแกรมที่ชื่อ HijackThis มา
โดยคลิกขวาที่ลิ้งค์ข้างล่างนี้ แล้วเลือกเมนู Save Target As...
หรือดาวน์โหลดโดยใช้ Download Manager
หรือดาวน์โหลดจากที่ที่ผู้ชำนาญการแนะนำ ซึ่งอาจเป็นรุ่นใหม่กว่า
ไฟล์ที่ได้มาเป็นไฟล์ที่ถูกบีบอัด (zip) ไว้
ให้สร้างโฟลเดอร์ ชื่อ hjt ไว้ในไดรว์ C: แล้วคลาย (unzip)
ไฟล์ hijackthis_199.zip ออกมา
จะได้ไฟล์ที่ชื่อ HijackThis.exe ออกมา ซึ่งเป็นไฟล์โปรแกรม
HijackThis เอาไฟล์ HijackThis.exe
ไปไว้ที่โฟลด์เดอร์ที่ชื่อ hjt ที่อยู่ในไดรว์ C: นั้น
จากนั้นก็รันโปรแกรม HijackThis
โดยการดับเบิ้ลคลิกที่ไฟล์ที่ชื่อ HijackThis.exe นั้น
ก็จะมีข้อความออกมาเตือนดังภาพนี้

ให้คลิกที่ปุ่ม OK
ก็จะเข้าสู่หน้าต่างโปรแกรมดังภาพนี้

ให้คลิกที่ปุ่มที่มีข้อความว่า Do a system scan and save a logfile
(ทำการตรวจดูระบบ และบันทึกผลการตรวจไว้เป็นแฟ้ม)
โปรแกรมก็จะทำการตรวจระบบ มีรายการต่าง ๆ ปรากฏดังตัวอย่างเช่นภาพนี้

เสร็จแล้วก็จะมีการบันทึกผลไว้ในแฟ้มที่ชื่อว่า hijackthis.log อยู่ใน C:\hjt นั้นเอง
พร้อมกันนั้นโปรแกรม HijackThis ก็จะทำการเปิดแฟ้ม hijackthis.log นั้น
โดยใช้โปรแกรม notepad ใน Windows สำหรับโปรแกรม HijackThis นั้น
ถ้าท่านไม่ใช่ผู้ชำนาญการ โปรดอย่าพยายามไปซ่อมระบบเองเป็นอันขาดอย่าเพิ่งไปสั่ง fix รายการใด ๆ
อนนี้ต้องปิดโปรแกรมไปก่อนโดยไม่ต้องไปทำอะไรอีกทั้งสิ้น โดยคลิกที่ปุ่มกากบาทที่มุมบนขวา
ต้องให้ผู้ชำนาญการดูสิ่งที่เกิดขึ้นในระบบ จากรายงานผลการตรวจระบบนั้นก่อน ผู้ชำนาญการก็จะนำข้อมูล
ไปวิเคราะห์ แล้วก็จะมาบอกว่าให้ทำอะไรบ้าง จะต้อง fix รายการไหน จะต้องไปดาวน์โหลดอะไร
มาทำอย่างไรอีก ก็ต้องทำตามคำแนะนำอย่างเคร่งครัด อย่าได้ทำผิดแปลกออกไปเป็นอันขาด
ไม่เข้าใจก็ถามผู้ชำนาญการ มิฉะนั้นระบบจะยิ่งเพี้ยนหนักเข้าไปอีก


การส่งผลการตรวจระบบไปให้ผู้ชำนาญการวิเคราะห์

กรณีที่ท่านขอคำแนะนำจากผู้ชำนาญการผ่านทางกระทู้ในเว็บบอร์ด เมื่อได้เปิดแฟ้ม hijackthis.log
โดยใช้โปรแกรม notepad ใน Windows แล้ว ให้ก็อปปี้ข้อความทั้งหมดในแฟ้ม
hijackthis.log นั้นมาโดยคลิกเมนู
Edit
Select All

จะมีแถบสีระบายข้อความทั้งหมดไว้
แล้วก็คลิกเมนู
Edit
Copy
แล้วนำไปวางลงในกระทู้
โดยคลิกลงในกรอบที่จะใส่ข้อความคิดเห็นในกระทู้
แล้วคลิกเมนู
Edit
Paste
เมื่อข้อความถูกนำมาวางไว้แล้วจึงคลิกปุ่มส่งข้อความเข้าไปในกระทู้แล้วก็ปิดโปรแกรม Notepad
ไปเสีย ถ้าเผลอไปปิดเสียก่อนที่จะคัดลอกข้อความมา หรือตอนนั้นยังไม่ได้ต่ออินเตอร์เน็ต
ภายหลังเมื่อพร้อมที่จะส่งข้อความแล้ว ก็ไปเปิดแฟ้มที่ชื่อ hijackthis.log ที่อยู่ใน C:\hjt นั้นขึ้นมา
โดยเปิดโปรแกรม Notepad แล้วคลิกเมนู File > Open... แล้วไปที่ C:\hjt
ซึ่งตอนนี้จะยังไม่เห็นไฟล์ใด ๆ เพราะ Notepad จะมองเฉพาะไฟล์ .txt ก่อน
ให้คลิกเลือก Files of Type เป็น All Files จึงจะเห็นไฟล์ ซึ่งมีไฟล์โปรแกรม HijackThis กับ
ไฟล์ที่โปรแกรมบันทึกผลการตรวจระบบไว้ ซึ่งจะมีไอคอนเป็นรูปสมุดบันทึก
ก็ให้คลิกที่ไฟล์บันทึกผลการตรวจระบบนั้น ถ้าไม่แน่ใจเพราะชื่อไฟล์คล้ายกัน
ก็คลิกเข้าไปในช่อง File name : คลิกท้ายขื่อ หรือกดปุ่ม End เพื่อไปยังท้ายข้อความที่เป็นชื่อไฟล์
แล้วพิมพ์นามสกุลไฟล์ต่อท้ายไปว่า .log


แล้วคลิกปุ่ม Open

แล้วก็คัดลอกข้อความทั้งหมดมาวางลงในกระทู้ แล้วส่งไป

กรณีที่ท่านขอคำแนะนำจากผู้ชำนาญการผ่านทางระบบจดหมายอิเล็กทรอนิคส์ (E-mail)
ท่านสามารถนำแฟ้ม hijackthis.log นั้นมาแนบไปกับจดหมายอิเล็กทรอนิคส์
เป็น Attachment ส่งไปให้ผู้ชำนาญการได้ทันที


กรณีที่ท่านใช้บริการการวิเคราะห์ HijackThis Log File จาก Web site ที่ให้บริการ

ท่านสามารถนำ HijackThis Log File นั้นไปขอใช้บริการการวิเคราะห์ ได้ที่ Web site ที่ให้บริการ

เช่น http://hijackthis.de/en

โดยนำข้อความทั้งหมดในแฟ้ม hijackthis.log นั้น
ไปวางลงในกรอบ textbox ในหน้า Web page ดังกล่าว

หรือส่งไฟล์ไปโดยคลิกที่ปุ่ม Browse ที่อยู่ข้างขวา

ของช่องใส่ชื่อไฟล์ ที่อยู่ใต้กรอบ textbox เมื่อทำอย่างใดอย่างหนึ่ง

(คือวางข้อความ หรือใส่ไฟล์) แล้วก็ให้คลิกที่ปุ่ม Analyse ที่อยู่ข้างใต้ เพื่อส่งข้อมูลไปวิเคราะห์

รอสักพักหนึ่งจะได้ผลการวิเคราะห์กลับมา

ท่านสามารถ save ผลการวิเคราะห์นี้เก็บไว้ใน hard disk ได้

โดยคลิกขวาที่ link ที่มีข้อความว่า Save analysis แล้วคลิกเมนู Save Target As...

(กรณีที่ใช้ Internet Exlporer) (หรือเมนู Save Link As... กรณีที่ใช้ Mozilla)

แล้วเลือก folder ที่จะเก็บไฟล์ที่จะบันทึก และอาจตั้งชื่อไฟล์เสียใหม่ให้สื่อความหมายได้ดีขึ้น

รายการที่มีชนิด (Kind) เป็น Nasty เป็นรายการที่เป็นปัญหา

ชนิด Unnecessarily เป็นรายการที่ไม่จำเป็น สองชนิดดังกล่าว

อาจจะต้อง fix แต่ท่านต้องพิจารณาให้ถูกต้องตามความเป็นจริงในระบบของท่านเสียก่อน

ส่วนชนิด Safe เป็นรายการที่ปลอดภัย , Unknown เป็นรายการที่ไม่ทราบแน่ชัด

ชนิด Possibly nasty เป็นรายการที่อาจจะเป็นปัญหา ต้องพิจารณาอีกที

ให้ท่านดูผลการวิเคราะห์ดัวยความระมัดระวังก่อนที่จะทำการ fix รายการใด

เพราะบางรายการมันอาจเป็นสิ่งที่จำเป็นต่อระบบของท่าน แต่โปรแกรมวิเคราะห์เขาไม่ทราบแน่ชัด

ก็อาจรายงานมาว่ามันอาจเป็นตัวปัญหาก็ได้ ถ้าท่านไม่แน่ใจ

โปรดปรึกษาผู้ชำนาญการเสียก่อนที่จะตัดสินใจ fix รายการใด


การ Fix

ทีนี้สมมุติว่าผู้ชำนาญการได้วิเคราะห์แล้ว และให้คำแนะนำมาว่า

ให้ใช้โปรแกรม HijackThis ทำการ fix รายการต่อไปนี้

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} -

(no file) O23 - Service: SquidNT - Unknown owner -

c:\squid\sbin\squid.exe (file missing) รวม 2 รายการ เราก็ต้องมาดำเนินการดังต่อไปนี้

ปิดโปรแกรมใช้งานต่าง ๆ บนวินโดวส์เสียทั้งหมด แล้วรันโปรแกรม HijackThis ขึ้นมา

แล้วคลิกปุ่มที่มีข้อความว่า Do a system scan only

เมื่อโปรแกรมทำการ scan เสร็จแล้ว ก็หาดูรายการที่ผู้ชำนาญการบอกให้ fix นั้น

กาเครื่องหมายถูกในช่องสี่เหลี่ยมหน้ารายการที่ให้ fix เท่านั้น อย่าการายการอื่น

โดยต้องดูให้ละเอียดรอบคอบ อย่าดูแต่หมายเลขข้างหน้า เพราะอาจมีรายการอื่นที่มีหมายเลขเดียวกัน

ต้องดูข้อความทั้งหมด ควร Maximize หน้าต่างโปรแกรม เพื่อให้เห็นข้อความในทัศนวิสัยที่กว้างที่สุด

เสร็จแล้วคลิกปุ่ม Fix checked
จากนั้นรอให้โปรแกรมดำเนินการ fix จนเสร็จ แล้วเราก็ปิดโปรแกรม HijackThis ไปได้เลย

นอกจากนั้นผู้ชำนาญการยังอาจแนะนำกระบวนการแก้ปัญหาขั้นตอนอื่น ๆ มา

ให้ดำเนินการอีก ก็ให้ดำเนินการขั้นตอนอื่น ๆ ที่ผู้ชำนาญการแนะนำนั้นต่อไป

การใช้โปรแกรม Pocket KillBox ลบแฟ้มที่ไม่ยอมให้เราลบ

บางครั้ง คอมพิวเตอร์ที่ถูกโจมตีอาจถูกติดตั้งแฟ้มที่ไม่ยอมให้เราลบ

ผู้ชำนาญการจะแนะนำให้ใช้โปรแกรม Pocket KillBox ลบแฟ้มนั้นออกไป

กรณีที่ผู้ชำนาญการให้รายชื่อไฟล์ที่ต้องลบทิ้งด้วยโปรแกรม Pocket KillBox มา

ให้เราทางเว็บบอร์ดที่เราตั้งกระทู้ขอคำแนะนำ ให้ก็อปปี้รายชื่อไฟล์เหล่านั้นมาลงใน Notepad

แล้วบันทึกไว้ในฮาร์ดดิสก์ในเครื่องคอมพิวเตอร์ของเราเสียก่อน

เพราะในตอนที่จะดำเนินการลบไฟล์ อาจต้องมีการปิดโปรแกรมใช้งานต่าง ๆ

และรีสตาร์ทเครื่องคอมพิวเตอร์ ซึ่งจะต้องตัดการติดต่อทางอินเทอร์เน็ต

กรณีที่ผู้ชำนาญการให้รายชื่อไฟล์ที่ต้องลบทิ้งด้วยโปรแกรม Pocket KillBox มา

ให้เราทางระบบจดหมายอิเล็กทรอนิคส์ (E-mail) ถ้ารายชื่อไฟล์อยู่ในเนื้อจดหมาย

ก็ให้คัดลอกมาลงใน Notepad แล้วบันทึกเป็นไฟล์ข้อความไว้

ถ้ารายชื่อไฟล์เป็นแฟ้มข้อความที่แนบมา (Attachment) กับจดหมายอิเล็กทรอนิคส์

ก็ให้บันทึก Attachment นั้นออกมาไว้ต่างหากจากตัวจดหมาย เพื่อให้ใช้ Notepad เปิดได้

ให้ดาวน์โหลดโปรแกรมที่ชื่อ Pocket KillBox มาโดยคลิกที่ลิ้งค์ข้างล่างนี้ http://www.majorgeeks.com/downloadget.php?id=4709&file=9&evp=10342ee8e76b55b9513bd3c55dea7583

หรือดาวน์โหลดจากที่ที่ผู้ชำนาญการแนะนำ ซึ่งอาจเป็นรุ่นใหม่กว่า

คำอธิบายเกี่ยวกับไฟล์นี้ : Pocket KillBox เป็นโปรแกรมที่ใช้ในการขจัดไฟล์ที่ดื้อด้าน

ไม่ยอมให้เราลบมันได้ ไฟล์ที่ได้มาเป็นไฟล์ที่ถูกบีบอัด (zip) ไว้

ให้คลาย (unzip) ไฟล์ killbox.zip ออกมา จะได้ไฟล์ที่ชื่อ KillBox.exe ออกมา

ซึ่งเป็นไฟล์โปรแกรม Pocket KillBox จากนั้นก็รันโปรแกรม Pocket KillBox

โดยการดับเบิ้ลคลิกที่ไฟล์ที่ชื่อ KillBox.exe นั้น จะปรากฏหน้าต่างโปรแกรม

ถ้าผู้ชำนาญการแนะนำให้ใช้วิธีการลบแบบ Delete on Reboot

ให้คลิกเลือกตัวเลือก Delete on Reboot ดังในภาพข้างล่างนี้

แต่ถ้าผู้ชำนาญการแนะนำเป็นอย่างอื่น ก็ให้ทำตามคำแนะนำนั้น

ใช้ Notepad เปิดไฟล์ที่บันทึกรายชื่อไฟล์ที่ต้องลบทิ้ง ขึ้นมา ก็อปปี้ชื่อไฟล์ทุกไฟล์

ตามที่ผู้ชำนาญการระบุให้ลบด้วยโปรแกรม Pocket KillBox ขึ้นไว้ในคลิปบอร์ด

โดยการใช้เม้าส์ลากระบายแถบสีให้ครอบคลุมชื่อไฟล์ทุกรายการ

แล้วกดปุ่ม Ctrl-C หรือคลิกเมนู Edit Copy ไปที่หน้าต่างโปรแกรม Pocket KillBox

คลิกเมนู File Paste from Clipboard

รายชื่อไฟล์เหล่านั้นจะลงไปอยู่ในช่อง Full Path of File to Delete และ

ที่ Title bar จะปรากฏจำนวน file แสดงให้เห็น file ที่จะให้ลบ

จะต้องมีอยู่จริงในระบบของเรา KillBox จึงจะรับเข้ามา

ถ้ารายการใดไม่มีอยู่จริงก็จะไม่ปรากฏใน KillBox


คลิกปุ่ม Delete (กากบาทขาวในวงกลมแดง)
จะมีกรอบสนทนาขึ้นมาถามว่า จะเริ่มต้นเดินเครื่องคอมพิวเตอร์ของคุณใหม่
อีกครั้งเดี๋ยวนี้หรือไม่? (Do you want to restart your computer now?) ให้คลิกปุ่ม No

เสร็จแล้ว สังเกตดูจำนวนไฟล์ที่ Title bar ของหน้าต่างโปรแกรม
และรายการไฟล์ที่อยู่ในช่อง Full Path of File to Delete

ถ้ายังมีไฟล์ที่ต้องการลบอยู่ใน KillBox อีก ก็คลิกปุ่ม Delete อีก
จะมีกรอบสนทนาขึ้นมาถามอีกว่า จะเริ่มต้นเดินเครื่องคอมพิวเตอร์ของคุณใหม่อีกครั้งเดี๋ยวนี้หรือไม่?
(Do you want to restart your computer now?) ให้คลิกปุ่ม No


วนไปอย่างนี้ทีละไฟล์จนครบทุกไฟล์ โดยสังเกตที่ Title bar ของหน้าต่างโปรแกรม
ถ้าไม่มีไฟล์อีกแล้ว จำนวนไฟล์จะเป็น 0 และในช่อง Full Path of File to Delete จะ
ไม่ปรากฏรายการไฟล์ จึงคลิกปุ่ม Exit เพื่อปิดโปรแกรม


หากใช้วิธีการลบแบบ Delete on Reboot การดำเนินการของโปรแกรม Pocket KillBox
ในการลบไฟล์ตามที่เรากำหนดไว้ จะกระทำในตอนที่มีการบู๊ตเครื่องคอมพิวเตอร์ในครั้งต่อไป







































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































ไม่มีความคิดเห็น:

แสดงความคิดเห็น