6.在 Hijack This分析程序中运行我们的日志。我们可以使用Help2Go Detective或 Hijack This Analysis工具。在多次使用这两个工具之后，我个人更倾向于使用Help2Go Detective，但是这两个工具在此都是可以应用的。我们将在Hijack This日志中查找到关于最近每项的具体信息和建议，包括应该保留什么，可以执行什么（良性的），哪些是有疑问的（哪些可以执行，但是我们将要求做进一步的研究）以及那些必须执行（因为它是恶意的）。这里，我们可以选中所有项的复选框中所有已知的恶意项目或与已知间谍软件或恶意软件相关的项。

7.检查可疑项（包括可选活动）。有时，我们可以检查Registry Key名称或相关文件和文件夹信息，这时我们会发现即使是分析程序（这里指Hijack This）也无法识别这些项，因为它是我们自己安装和使用的程序。诸如这样的项通常都可以不理会。如果我们自己和这些程序都无法识别它，那么最安全的做法是将它备份，然后删除。（但是，如果我们完成了这个步骤，唯一可以恢复它的方法就是恢复备份或回到先前的Restore Point。）如果我们想实际理解所看到的是什么，那么我们可以继续在Google或其它搜索引擎上根据名称进行搜索。对于我遇到99%的情况下，我都能够在2分钟内判断所找到的东西是对或错。仅有少数的项——大多数是DLL，不是按照名称就能马上识别和弄明白它的。

8.选中有错的和不可识别的可疑项目上的复选框，然后点击Hijack This 结果窗口中的“Fix checked”按钮。我们也可以在滚动结果窗口上点击而高亮显示某一项，然后点击“Info on selected item….”来查看它们的附加信息。最好在现做这个操作，而不要在前面进行的步骤中操作，因为这样分析工具会更快些且更用户友好些。

9.重启系统来查看运作状况。如果运行不正常、应用停止工作、不稳定或状况看来不是特别的正常，那么我们就必须回到之前的Restore Point或恢复备份。如果Windows无法正常启动，那么在开始启动时，按下F8键，进入“安全启动”菜单，然后点击“上一次正确配置”选项。这样启动就OK了，之后我们应该就回滚到之前的Restore Point或恢复第2步所作的备份。如果我们进行了这个操作，那么我们就可以跳过第10步，因为没有任何修改被保留。

10.运行最后的Hijack This扫描：重复第4个步骤，但是记住修改日志文件上的时间戳。我们可以浏览扫描结果以便确保已删除的项已经成功清除，或者我们可以将它保存为PC状态快照，保留清理（它会是你下一次做这个练习时有趣的比较点）。

我建议将这个过程作为常规系统维护的一部分，并且它至少一个月执行一次或两次，而且每三个月至少应不少于一次。

反间谍软件工具：

Majorgeek.com的Hijack This

Uniblue的WinTasks 5 Professional

Neuber的Security Task Manager

免费日志分析工具：

Help2Go Detective

Hijack This Analysis

作者简介

Ed Tittel是一个全职自由作家、培训师和咨询师，他的专业是与信息安全性、标记语言和网络技术相关。他是TechTarget Web网站的定期撰稿人以及 Certification Magazine的技术编辑，同时他还为CramSession撰写命名为"Must Know News"的电子邮件时事通信。

用户对本文的回馈

我建议在运行所有间谍软件程序之前先清理所有Temporary Internet Files。使用msconfig.exe也有助于协助用户终止看起来“可疑的”程序。——Julie Rowe