针对“看日志”问题说两句
中招后,来论坛求助,高手们一般会要求中招者提供系统日志。
扫日志的工具不止一个,性能也有些许差别。以前,我比较喜欢用HijackThis1.99.1。因为其日志简洁明了。
然而,随着HijackThis应用日趋普遍,病毒/木马的作者也在研究HijackThis,目的当然是不让自己做的木马/病毒被HijackThis扫到。现在流行的“灰鸽子”2006版就是个例子。
因此,现在我改用autoruns扫日志了。这个工具有一个compare(比较)功能,即:用户在系统干净时扫个autoruns的日志保存起来,作为今后的“对照标准”。
当你发现系统中招时,用autoruns扫个日志,并与原来保存的那个“干净日志”比较一下,立即可以发现异常项目。据此,你自己就可以动手解决问题;而不必再苦苦等待别人帮助。
具体过程见下面7个附图。
注意:自己新安装软件或对系统做更改后,应及时更新一下那个“干净日志”。否则,随着更改增多,比较结果会是“一片绿色”。
图1