HijackThis , Pocket KillBox

การใช้โปรแกรม HijackThis และ Pocket KillBox

เครื่องคอมพิวเตอร์ของเราอาจถูกโจมตีจากโปรแกรมประเภทต่าง ๆ

เช่น โปรแกรมจารชน (Spyware) , โปรแกรมโฆษณา (Adware) ฯลฯ

ทำให้ระบบเกิดอาการผิดปกติขึ้นมาได้ ซึ่งการแก้ไขต้องปรึกษาผู้ชำนาญการ

และผู้ชำนาญการอาจจะแนะนำให้ตรวจและซ่อมแซมระบบ

โดยใช้โปรแกรมที่ชื่อ HijackThis

ให้ดาวน์โหลดโปรแกรมที่ชื่อ HijackThis มา

โดยคลิกขวาที่ลิ้งค์ข้างล่างนี้ แล้วเลือกเมนู Save Target As...

หรือดาวน์โหลดโดยใช้ Download Manager

ที่ท่านใช้http://80.237.140.193/downloads/hijackthis_199.zip

หรือดาวน์โหลดจากที่ที่ผู้ชำนาญการแนะนำ ซึ่งอาจเป็นรุ่นใหม่กว่า

ไฟล์ที่ได้มาเป็นไฟล์ที่ถูกบีบอัด (zip) ไว้

ให้สร้างโฟลเดอร์ ชื่อ hjt ไว้ในไดรว์ C: แล้วคลาย (unzip)

ไฟล์ hijackthis_199.zip ออกมา

จะได้ไฟล์ที่ชื่อ HijackThis.exe ออกมา ซึ่งเป็นไฟล์โปรแกรม

HijackThis เอาไฟล์ HijackThis.exe

ไปไว้ที่โฟลด์เดอร์ที่ชื่อ hjt ที่อยู่ในไดรว์ C: นั้น

จากนั้นก็รันโปรแกรม HijackThis

โดยการดับเบิ้ลคลิกที่ไฟล์ที่ชื่อ HijackThis.exe นั้น

ก็จะมีข้อความออกมาเตือนดังภาพนี้

ให้คลิกที่ปุ่ม OK

ก็จะเข้าสู่หน้าต่างโปรแกรมดังภาพนี้

ให้คลิกที่ปุ่มที่มีข้อความว่า Do a system scan and save a logfile

(ทำการตรวจดูระบบ และบันทึกผลการตรวจไว้เป็นแฟ้ม)

โปรแกรมก็จะทำการตรวจระบบ มีรายการต่าง ๆ ปรากฏดังตัวอย่างเช่นภาพนี้

เสร็จแล้วก็จะมีการบันทึกผลไว้ในแฟ้มที่ชื่อว่า hijackthis.log อยู่ใน C:\hjt นั้นเอง

พร้อมกันนั้นโปรแกรม HijackThis ก็จะทำการเปิดแฟ้ม hijackthis.log นั้น

โดยใช้โปรแกรม notepad ใน Windows สำหรับโปรแกรม HijackThis นั้น

ถ้าท่านไม่ใช่ผู้ชำนาญการ โปรดอย่าพยายามไปซ่อมระบบเองเป็นอันขาดอย่าเพิ่งไปสั่ง fix รายการใด ๆ

ตอนนี้ต้องปิดโปรแกรมไปก่อนโดยไม่ต้องไปทำอะไรอีกทั้งสิ้น โดยคลิกที่ปุ่มกากบาทที่มุมบนขวา

ต้องให้ผู้ชำนาญการดูสิ่งที่เกิดขึ้นในระบบ จากรายงานผลการตรวจระบบนั้นก่อน ผู้ชำนาญการก็จะนำข้อมูล

ไปวิเคราะห์ แล้วก็จะมาบอกว่าให้ทำอะไรบ้าง จะต้อง fix รายการไหน จะต้องไปดาวน์โหลดอะไร

มาทำอย่างไรอีก ก็ต้องทำตามคำแนะนำอย่างเคร่งครัด อย่าได้ทำผิดแปลกออกไปเป็นอันขาด

ไม่เข้าใจก็ถามผู้ชำนาญการ มิฉะนั้นระบบจะยิ่งเพี้ยนหนักเข้าไปอีก

การส่งผลการตรวจระบบไปให้ผู้ชำนาญการวิเคราะห์

กรณีที่ท่านขอคำแนะนำจากผู้ชำนาญการผ่านทางกระทู้ในเว็บบอร์ด เมื่อได้เปิดแฟ้ม hijackthis.log

โดยใช้โปรแกรม notepad ใน Windows แล้ว ให้ก็อปปี้ข้อความทั้งหมดในแฟ้ม

hijackthis.log นั้นมาโดยคลิกเมนู

Edit

Select All

จะมีแถบสีระบายข้อความทั้งหมดไว้

แล้วก็คลิกเมนู

Edit

Copy

แล้วนำไปวางลงในกระทู้

โดยคลิกลงในกรอบที่จะใส่ข้อความคิดเห็นในกระทู้

แล้วคลิกเมนู

Edit

Paste

เมื่อข้อความถูกนำมาวางไว้แล้วจึงคลิกปุ่มส่งข้อความเข้าไปในกระทู้แล้วก็ปิดโปรแกรม Notepad

ไปเสีย ถ้าเผลอไปปิดเสียก่อนที่จะคัดลอกข้อความมา หรือตอนนั้นยังไม่ได้ต่ออินเตอร์เน็ต

ภายหลังเมื่อพร้อมที่จะส่งข้อความแล้ว ก็ไปเปิดแฟ้มที่ชื่อ hijackthis.log ที่อยู่ใน C:\hjt นั้นขึ้นมา

โดยเปิดโปรแกรม Notepad แล้วคลิกเมนู File > Open... แล้วไปที่ C:\hjt

ซึ่งตอนนี้จะยังไม่เห็นไฟล์ใด ๆ เพราะ Notepad จะมองเฉพาะไฟล์ .txt ก่อน

ให้คลิกเลือก Files of Type เป็น All Files จึงจะเห็นไฟล์ ซึ่งมีไฟล์โปรแกรม HijackThis กับ

ไฟล์ที่โปรแกรมบันทึกผลการตรวจระบบไว้ ซึ่งจะมีไอคอนเป็นรูปสมุดบันทึก

ก็ให้คลิกที่ไฟล์บันทึกผลการตรวจระบบนั้น ถ้าไม่แน่ใจเพราะชื่อไฟล์คล้ายกัน

ก็คลิกเข้าไปในช่อง File name : คลิกท้ายขื่อ หรือกดปุ่ม End เพื่อไปยังท้ายข้อความที่เป็นชื่อไฟล์

แล้วพิมพ์นามสกุลไฟล์ต่อท้ายไปว่า .log

แล้วคลิกปุ่ม Open

แล้วก็คัดลอกข้อความทั้งหมดมาวางลงในกระทู้ แล้วส่งไป

กรณีที่ท่านขอคำแนะนำจากผู้ชำนาญการผ่านทางระบบจดหมายอิเล็กทรอนิคส์ (E-mail)

ท่านสามารถนำแฟ้ม hijackthis.log นั้นมาแนบไปกับจดหมายอิเล็กทรอนิคส์

เป็น Attachment ส่งไปให้ผู้ชำนาญการได้ทันที

กรณีที่ท่านใช้บริการการวิเคราะห์ HijackThis Log File จาก Web site ที่ให้บริการ

ท่านสามารถนำ HijackThis Log File นั้นไปขอใช้บริการการวิเคราะห์ ได้ที่ Web site ที่ให้บริการ

เช่น http://hijackthis.de/en

โดยนำข้อความทั้งหมดในแฟ้ม hijackthis.log นั้น

ไปวางลงในกรอบ textbox ในหน้า Web page ดังกล่าว

หรือส่งไฟล์ไปโดยคลิกที่ปุ่ม Browse ที่อยู่ข้างขวา

ของช่องใส่ชื่อไฟล์ ที่อยู่ใต้กรอบ textbox เมื่อทำอย่างใดอย่างหนึ่ง

(คือวางข้อความ หรือใส่ไฟล์) แล้วก็ให้คลิกที่ปุ่ม Analyse ที่อยู่ข้างใต้ เพื่อส่งข้อมูลไปวิเคราะห์

รอสักพักหนึ่งจะได้ผลการวิเคราะห์กลับมา

ท่านสามารถ save ผลการวิเคราะห์นี้เก็บไว้ใน hard disk ได้

โดยคลิกขวาที่ link ที่มีข้อความว่า Save analysis แล้วคลิกเมนู Save Target As...

(กรณีที่ใช้ Internet Exlporer) (หรือเมนู Save Link As... กรณีที่ใช้ Mozilla)

แล้วเลือก folder ที่จะเก็บไฟล์ที่จะบันทึก และอาจตั้งชื่อไฟล์เสียใหม่ให้สื่อความหมายได้ดีขึ้น

รายการที่มีชนิด (Kind) เป็น Nasty เป็นรายการที่เป็นปัญหา

ชนิด Unnecessarily เป็นรายการที่ไม่จำเป็น สองชนิดดังกล่าว

อาจจะต้อง fix แต่ท่านต้องพิจารณาให้ถูกต้องตามความเป็นจริงในระบบของท่านเสียก่อน

ส่วนชนิด Safe เป็นรายการที่ปลอดภัย , Unknown เป็นรายการที่ไม่ทราบแน่ชัด

ชนิด Possibly nasty เป็นรายการที่อาจจะเป็นปัญหา ต้องพิจารณาอีกที

ให้ท่านดูผลการวิเคราะห์ดัวยความระมัดระวังก่อนที่จะทำการ fix รายการใด

เพราะบางรายการมันอาจเป็นสิ่งที่จำเป็นต่อระบบของท่าน แต่โปรแกรมวิเคราะห์เขาไม่ทราบแน่ชัด

ก็อาจรายงานมาว่ามันอาจเป็นตัวปัญหาก็ได้ ถ้าท่านไม่แน่ใจ

โปรดปรึกษาผู้ชำนาญการเสียก่อนที่จะตัดสินใจ fix รายการใด

การ Fix

ทีนี้สมมุติว่าผู้ชำนาญการได้วิเคราะห์แล้ว และให้คำแนะนำมาว่า

ให้ใช้โปรแกรม HijackThis ทำการ fix รายการต่อไปนี้

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} -

(no file) O23 - Service: SquidNT - Unknown owner -

c:\squid\sbin\squid.exe (file missing) รวม 2 รายการ เราก็ต้องมาดำเนินการดังต่อไปนี้

ปิดโปรแกรมใช้งานต่าง ๆ บนวินโดวส์เสียทั้งหมด แล้วรันโปรแกรม HijackThis ขึ้นมา

แล้วคลิกปุ่มที่มีข้อความว่า Do a system scan only

เมื่อโปรแกรมทำการ scan เสร็จแล้ว ก็หาดูรายการที่ผู้ชำนาญการบอกให้ fix นั้น

กาเครื่องหมายถูกในช่องสี่เหลี่ยมหน้ารายการที่ให้ fix เท่านั้น อย่าการายการอื่น

โดยต้องดูให้ละเอียดรอบคอบ อย่าดูแต่หมายเลขข้างหน้า เพราะอาจมีรายการอื่นที่มีหมายเลขเดียวกัน

ต้องดูข้อความทั้งหมด ควร Maximize หน้าต่างโปรแกรม เพื่อให้เห็นข้อความในทัศนวิสัยที่กว้างที่สุด

เสร็จแล้วคลิกปุ่ม Fix checked

จากนั้นรอให้โปรแกรมดำเนินการ fix จนเสร็จ แล้วเราก็ปิดโปรแกรม HijackThis ไปได้เลย

นอกจากนั้นผู้ชำนาญการยังอาจแนะนำกระบวนการแก้ปัญหาขั้นตอนอื่น ๆ มา

ให้ดำเนินการอีก ก็ให้ดำเนินการขั้นตอนอื่น ๆ ที่ผู้ชำนาญการแนะนำนั้นต่อไป

การใช้โปรแกรม Pocket KillBox ลบแฟ้มที่ไม่ยอมให้เราลบ

บางครั้ง คอมพิวเตอร์ที่ถูกโจมตีอาจถูกติดตั้งแฟ้มที่ไม่ยอมให้เราลบ

ผู้ชำนาญการจะแนะนำให้ใช้โปรแกรม Pocket KillBox ลบแฟ้มนั้นออกไป

กรณีที่ผู้ชำนาญการให้รายชื่อไฟล์ที่ต้องลบทิ้งด้วยโปรแกรม Pocket KillBox มา

ให้เราทางเว็บบอร์ดที่เราตั้งกระทู้ขอคำแนะนำ ให้ก็อปปี้รายชื่อไฟล์เหล่านั้นมาลงใน Notepad

แล้วบันทึกไว้ในฮาร์ดดิสก์ในเครื่องคอมพิวเตอร์ของเราเสียก่อน

เพราะในตอนที่จะดำเนินการลบไฟล์ อาจต้องมีการปิดโปรแกรมใช้งานต่าง ๆ

และรีสตาร์ทเครื่องคอมพิวเตอร์ ซึ่งจะต้องตัดการติดต่อทางอินเทอร์เน็ต

กรณีที่ผู้ชำนาญการให้รายชื่อไฟล์ที่ต้องลบทิ้งด้วยโปรแกรม Pocket KillBox มา

ให้เราทางระบบจดหมายอิเล็กทรอนิคส์ (E-mail) ถ้ารายชื่อไฟล์อยู่ในเนื้อจดหมาย

ก็ให้คัดลอกมาลงใน Notepad แล้วบันทึกเป็นไฟล์ข้อความไว้

ถ้ารายชื่อไฟล์เป็นแฟ้มข้อความที่แนบมา (Attachment) กับจดหมายอิเล็กทรอนิคส์

ก็ให้บันทึก Attachment นั้นออกมาไว้ต่างหากจากตัวจดหมาย เพื่อให้ใช้ Notepad เปิดได้

ให้ดาวน์โหลดโปรแกรมที่ชื่อ Pocket KillBox มาโดยคลิกที่ลิ้งค์ข้างล่างนี้ http://www.majorgeeks.com/downloadget.php?id=4709&file=9&evp=10342ee8e76b55b9513bd3c55dea7583

หรือดาวน์โหลดจากที่ที่ผู้ชำนาญการแนะนำ ซึ่งอาจเป็นรุ่นใหม่กว่า

คำอธิบายเกี่ยวกับไฟล์นี้ : Pocket KillBox เป็นโปรแกรมที่ใช้ในการขจัดไฟล์ที่ดื้อด้าน

ไม่ยอมให้เราลบมันได้ ไฟล์ที่ได้มาเป็นไฟล์ที่ถูกบีบอัด (zip) ไว้

ให้คลาย (unzip) ไฟล์ killbox.zip ออกมา จะได้ไฟล์ที่ชื่อ KillBox.exe ออกมา

ซึ่งเป็นไฟล์โปรแกรม Pocket KillBox จากนั้นก็รันโปรแกรม Pocket KillBox

โดยการดับเบิ้ลคลิกที่ไฟล์ที่ชื่อ KillBox.exe นั้น จะปรากฏหน้าต่างโปรแกรม

ถ้าผู้ชำนาญการแนะนำให้ใช้วิธีการลบแบบ Delete on Reboot

ให้คลิกเลือกตัวเลือก Delete on Reboot ดังในภาพข้างล่างนี้

แต่ถ้าผู้ชำนาญการแนะนำเป็นอย่างอื่น ก็ให้ทำตามคำแนะนำนั้น

ใช้ Notepad เปิดไฟล์ที่บันทึกรายชื่อไฟล์ที่ต้องลบทิ้ง ขึ้นมา ก็อปปี้ชื่อไฟล์ทุกไฟล์

ตามที่ผู้ชำนาญการระบุให้ลบด้วยโปรแกรม Pocket KillBox ขึ้นไว้ในคลิปบอร์ด

โดยการใช้เม้าส์ลากระบายแถบสีให้ครอบคลุมชื่อไฟล์ทุกรายการ

แล้วกดปุ่ม Ctrl-C หรือคลิกเมนู Edit Copy ไปที่หน้าต่างโปรแกรม Pocket KillBox

คลิกเมนู File Paste from Clipboard

รายชื่อไฟล์เหล่านั้นจะลงไปอยู่ในช่อง Full Path of File to Delete และ

ที่ Title bar จะปรากฏจำนวน file แสดงให้เห็น file ที่จะให้ลบ

จะต้องมีอยู่จริงในระบบของเรา KillBox จึงจะรับเข้ามา

ถ้ารายการใดไม่มีอยู่จริงก็จะไม่ปรากฏใน KillBox

คลิกปุ่ม Delete (กากบาทขาวในวงกลมแดง)

จะมีกรอบสนทนาขึ้นมาถามว่า จะเริ่มต้นเดินเครื่องคอมพิวเตอร์ของคุณใหม่

อีกครั้งเดี๋ยวนี้หรือไม่? (Do you want to restart your computer now?) ให้คลิกปุ่ม No

เสร็จแล้ว สังเกตดูจำนวนไฟล์ที่ Title bar ของหน้าต่างโปรแกรม

และรายการไฟล์ที่อยู่ในช่อง Full Path of File to Delete

ถ้ายังมีไฟล์ที่ต้องการลบอยู่ใน KillBox อีก ก็คลิกปุ่ม Delete อีก

จะมีกรอบสนทนาขึ้นมาถามอีกว่า จะเริ่มต้นเดินเครื่องคอมพิวเตอร์ของคุณใหม่อีกครั้งเดี๋ยวนี้หรือไม่?

(Do you want to restart your computer now?) ให้คลิกปุ่ม No

วนไปอย่างนี้ทีละไฟล์จนครบทุกไฟล์ โดยสังเกตที่ Title bar ของหน้าต่างโปรแกรม

ถ้าไม่มีไฟล์อีกแล้ว จำนวนไฟล์จะเป็น 0 และในช่อง Full Path of File to Delete จะ

ไม่ปรากฏรายการไฟล์ จึงคลิกปุ่ม Exit เพื่อปิดโปรแกรม

หากใช้วิธีการลบแบบ Delete on Reboot การดำเนินการของโปรแกรม Pocket KillBox

ในการลบไฟล์ตามที่เรากำหนดไว้ จะกระทำในตอนที่มีการบู๊ตเครื่องคอมพิวเตอร์ในครั้งต่อไป

แนะนำ website


บริการวิเคราะห์ HijackThis Log File ที่ http://hijackthis.de/en
SpywareInfo
Sophos - Virus Info
Download HijackThis at http://hijackthis.de/en
Download HijackThis at Softpedia
อะแวส-แนะนำวิธีกำจัดมัลแวร์ทั่วไปแบบเบื้องต้น
ewido security suite
a-squared Free
Ad-Aware Personal
Spybot - Search & Destroy
CCleaner
avast! antivirus
McAfee
Symantec (Norton)
Kaspersky
Trend Micro
R&D ผู้ผลิต Antivirus Card ของไทย
ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย ThaiCERT
CERT

Error Access is denied วิธีแก้ folder is not accessible

วันนี้ ลองลงโปรแกรมบน Windows เล่นครับอยู่ๆ ก็ logon สู่ Account หลักอย่าง Administrator ไม่ได้ใจหายแว๊ป นึกว่าหายหมดซะแล้วครับพอเข้าไปดูในC: Documents and Settings \ Administrator พบว่ายังมีโฟลเดอร์ ของ admin อยู่ครับ แต่เปิดไม่ได้ และมีข้อความว่า Access is deniedจึงไปสำรวจที่ Control Panel > Account พบว่า User administrator หายไป โอวแม้เจ้า งานอยู่บน desktop เยอะเลยนั่งหาตั้งนานไปเจอทางสว่าง ณ iqraforum.com/forum2/index.php?topic=7.0และข้อมูลที่ผู้เขียนเดิมอ้างอิงจาก ข้อมูลจาก pantip.comขอขอบคุณบทความแบ่งปันดีดี มา ณ ที่นี้ด้วยครับ

ผมขออนุญาติ นำข้อความบางส่วน นำมาเขียนใหม่ และเขียนเพิ่ม นะครับ
*************************************************
1. เปิด My computer ขึ้นมาครับ เลือกเมนูด้านบน
> Tools
> Folder Options
> tab View บรรทัดสุดท้ายให้ยกเลิกการติ๊กหน้าUse simple file sharing(Recommended)
> กด OKเสร็จแล้วเมื่อคลิกขวาที่โฟลเดอร์ที่เกิดปัญหา เลือก Propertiesจะมี tab Securityเพิ่มมา (ปกติจะไม่มี)
2.คลิก Advanced แล้วคลิก tab Owner
3.ในช่องรายการชื่อ (Name) คลิกAdministrator หรือ Administrators หรือ อันที่เป็นชื่อ User ที่เราใช้อยู่ปัจจุบันครับติ๊กเครื่องหมายในช่อง Replace owner on subcontainers and objects
4.คลิก OK ตอบ Yes เมื่อมีข้อความเตือน
5.คลิก OK เป็นอันเสร็จ เราจะเข้าโฟลเดอร์นั้นได้ครับ

*************************************************
กรณีที่เข้า Username อื่น ที่ไม่ใช่ Administrator หลังจากแก้ไขปัญหาข้างต้นแล้วพบว่า ยังพบข้อความ Access is denied จากข้อ 4 ข้างบนหลังจากกด Advanced แล้ว ให้คลิก tab Permissions > Add > Advanced > Find Now > เลือกชื่อผู้ใช้ที่เรา login เข้าดำเนินการแก้ไขขณะนี้ กด OK กด OK เป็นอันเสร็จจริงๆ ครับ ที่นี้เราก็จะเข้าโฟลเดอร์ นั้นๆ ได้จาก User อื่นๆ ด้วยบทความ http://www.ireallyhost.com

Disabling CTRL-ALT-DEL Requirement Before Logon

Windows XP may require you to press CTRL-ALT-DEL before you can log on to your computer.

You can disable this requirement by changing your security settings in the Group Policy Object Editor editor snap-in for the Microsoft Management Console.


1. Go the the Start menu and click on Run.
2. The Run dialog box will appear.


Enter gpedit.msc and click OK.

3. The Group Policy editor will appear.


4. On the left, go to Local Computer Policy Computer Configuration Windows Settings Security Settings Local Policies and then select Security Options.
5. On the right side, double-click on Interactive logon: Do not require CTRL+ALT+DEL.
6. A Properties screen will appear.



Select Enabled and click OK.
7. Close the Group Policy editor.
8. You should no longer be prompted to press CTRL-ALT-DEL before logging in.