Tất cả các bài viết liên quan đến IT, Infrastructure: Sysadmin, Cloud & DevOps...chuyển qua https://infra.lecuong.info/

Sử dụng Hijackthis

Đây là một bài viết rất hay về cách sử dụng Hijackthis của hoangcamapas, một người bạn tôi quen biết. Trước tiên cảm ơn hoangcamapas đã cung cấp cho tôi bài tut này, sau xin chia sẻ cùng anh em UDS

Việc sử dụng hijackthis cũng không quá khó cũng ko dễ, điều quan trọng là bạn phải nhìn nhận chính xác tập tin và đôi khi vẫn phải… ăn ốc nói mò.
Trình Hijackthis nhỏ gọn(213Kb) do 1 sinh viên người Mỹ viết, thoạt đầu anh coi đó là “đọan nháp”, viết cho … vui. Về sau này sau khi trình Hijackthis được “xuất xưởng” đã được rất nhiều chuyên gia đánh giá cao. Cho đến nay Hijackthis có thể là trình duy nhất có thể liệt kê chính xác thành phần tác động trực tiếp đến Windows. Các bạn chú ý là tác động trực tiếp nhé. Chỉ vài dòng nữa thôi mình sẽ nói rõ hơn về điều này

Thông thường khi máy bị nhiễm spyware, malware… các bạn sẽ sử dụng đến các trình quét chuyên dụng như: Ad-Aware, Spybot search&destroy, couterspy hay Antispyware của Microsoft… Các trình trên cũng khá nổi đình nổi đám, nếu các bạn khéo léo sử dụng có thể bảo vệ máy 1 cách tốt nhất đấy. Tuy nhiên với tôi để cho nhanh, đơn giản mộc mạc tôi dùng 1 Hijackthis thôi

Như các bạn biết các biến thể spyware thường tác động
trực tiếp mà “tai nghe mắt thấy” ví như thay đổi mặc định trang Home của IE, tác động đến màn hình desktop, treo máy, tự động bung Pop-up… -> Sự tác động trên mình xếp vào tác động trực tiêp.
Còn tác động gián tiếp hay tác động ngầm thì thường do virus gây lên, bạn phải “điều trị” bằng cách dùng các chương trình quét virus như McaFee, Norton AntiVirus, Pccillin… Hijackthis ko làm đựơc việc này hiệu quả
Tác động gián tiếp là gì? Là tác động mà người dùng ít ngờ tới, thường gây phá hoại ngầm mà 1 thời gian sau mới có thấy tác hại. Điển hình virus Npate.b lây lan khá nhanh, nó sẽ tác động đến hầu hết các tập tin *.exe của bạn, gây ra sự lệch lạc -> lỗi gây ra là các chương trình không chạy được nữa.
Gần đây mình thắc mắc ko hiểu sao Adobe Pro 7.0, Nero, Photoshop hoặc 1 trình *.exe tương tự ko chạy được mặc dù đã setup đi lại khá nhiều. Cuối cùng thủ phạm là do Npate.b đấy

Sử dụng Hijackthis: Bạn download trình Hijackthis về(kèm theo bài viết này). Tiến hành chạy Scan, nó sẽ xuất hiện file Log dạng Text(hình 1). Trước khi scan hãy tắt tất cả trình đang chạy trên thanh Taskbar nhé

Trình Hijackthis chia làm 2 phần rõ rệt – vâng bao giờ cũng thế!

1. Các trình đang khởi chạy cùng Windows – Running Process

Quote:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
c:\program files\mcafee.com\agent\mcagent.exe
C:\Program Files\FarStone\GameDrive\gdtask.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\Program Files\Cleverlearn\Clicktionary\bin\Clicktionary.ex e
C:\Program Files\Windows Media Player\wmplayer.exe
H:\USB\soft cho cua hang\HijackThis.exe



Để hiểu rõ và để xác định tập tin lạ bạn căn cứ vào kinh nghiệm và hãy chú ý đến đường dẫn tập tin. Với các trình bạn tự tay bạn setup thì ít nghi ngờ hơn, còn các tập tin nằm trong %systemroot% (C:\windows) hay %systemroot%\system32(C:\windows\system32) thì đáng chú ý hơn. Vì trong này có hẳm bà lằng các loại files, người dùng khó tìm thấy spyware hơn

Ví dụ nhé:
Các tập tin trong windows, system32 ở trên, bạn chú ý xem có tập tin lạ ko? Mặc định Windows thường có các tập tin này:

Quote:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe



Ngoài ra nếu có tập tin khác thì bạn nên kiểm tra kĩ lưỡng nó là gì, vì rất có thể là spyware hay virus đấy.
Kiểm tra bằng cách “thô thiển” là hãy ghi tên nó, lên www.google.com.vn tìm kiếm. Cách này đơn giản và khá hiệu quả, còn cách khác thì cho tôi xin khất, dài dòng lắm
Nếu tìm được hãy xem chức năng nó là gì? Là 1 tập tin hữu ích thì bạn ko phải lo nhiều rồi
Nếu ko tìm đựơc rất có thể là Spyware mới … xuất xưởng và bạn là số ít người may mắn đã dính nó các trình quét chưa nhận ra được. Bạn thấy ko? Khi mà các trình quét ko nhận ra thì bằng kinh nghiệm mình và sử dụng Hijackthis bạn vẫn có thể diệt được mà.

Chú ý 1 chút về tập tin *.exe trên:

C:\windows\system32\Explorer.exe C:\WINDOWS\Explorer.EXE
C:\windows\system32\svohost.exe C:\WINDOWS\System32\svchost.exe
C:\windows\spoolsv.exe C:\WINDOWS\system32\spoolsv.exe

Explorer.exe lẽ ra phải nằm ở C:\windows
Svchost.exe chứ ko phải svohost.exe. Viết gần giống để lừa … con nít ấy mà
Spoolsv.exe nằm ở C:\windows\system32. Còn nếu nằm ở C:\windows thì chính là bác…. Take me to your heart hay xuất hịên trong Chat Yahoo đấy nhé

Các tập tin tự tay bạn Setup. Trường hợp này ít là spyware hơn, nhưng cũng nên sử dụng google.com.vn để kiểm tra cho chắc ăn, nếu bạn cảm thấy nghi ngờ

2. Các khóa, strings, tập tin host, tập tin tác động trực tiếp tới Windows

• Nếu bạn nhận thấy

Quote:

1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://thanhvan.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://thanhvan.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yaho...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://seek.3721.com/srcha...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://seek.3721.com/srchc...
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yaho...



Nên đánh chọn -> để chuyển về mặc định about:Blank – trang trắng. Tránh tình trạng bị chiếm quyền điều khiển Home Page

• Tập tin hosts: Không có nhiều người rành về tập tin này. Nói ra thì “lý thuyết” lắm, bạn hiểu nôm na là những websites đựơc liệt kê trong tập tin hosts(C:\WINDOWS\system32\drivers\etc) sẽ ko thể truy cập đựoc nữa.

Ví dụ bạn nhìn thấy 1 danh sách dài, trong đó có baovan.net, socolamusic.com… các websites này ko thể vào nghe nhạc được khi bị tập tin hosts khống chế!
Đánh chọn và FIX CHECKED

Quote:

O1 - Hosts: 168.126.25.95 baovan.net
O1 - Hosts: 168.126.25.95 www.baovan.net
O1 - Hosts: 168.126.25.95 socolamusic.com
O1 - Hosts: 168.126.25.95 www.socolamusic.com
O1 - Hosts: 168.126.25.95 thanhvan.org
O1 - Hosts: 168.126.25.95 www.thanhvan.org
O1 - Hosts: 168.126.25.95 nghenhac.us.ms
O1 - Hosts: 168.126.25.95 www.nghenhac.us.ms
O1 - Hosts: 168.126.25.95 nghenhac.dd.vu



Chú ý đến các khóa RUN, các trình này sẽ khởi động cùng Windows, nó xuất hiện trong msconfig(system configuration utility). Sử dụng Hijackthis sẽ triệt để hơn nhiều

Quote:

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\sysrem.js
O4 - HKCU\..\Run: [System32] C:\WINDOWS\system32\System.js
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\PIF\constants.js
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE http://vn-n.com
O4 - HKCU\..\Run: [zzzzoom] C:\WINDOWS\PIF\constants.js
O4 - HKCU\..\RunOnce: [WindowsUpdate] C:\WINDOWS\PIF\constants.js
O4 - HKCU\..\RunOnce: [Windows] C:\WINDOWS\system32\System.js
O4 - HKCU\..\RunOnce: [zzzzoom] C:\WINDOWS\PIF\constants.js
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present



Các khóa khác ko đáng ngại lắm. Mình chỉ viết đến đây, bạn tự tìm hiểu thêm


hoangcamapas

**********************************

Có thể nói, Hijackthis là một trong những công cụ cực kỳ hiệu quả trong việc tìm và diệt triệt để Spyware, Malware... mà tôi từng biết. Bạn chỉ cần lưu ý và nắm rõ một chút những process, string hay khóa cơ bản của Windows là bạn có thể dễ dàng tiêu diệt triệt để. Bây giờ khi có biểu hiện bị dính spyware, malware... mà Bitdefender (tôi cài đặt cái này trên máy của mình) không diệt được trọn vẹn thì công cụ đầu tiên mà tôi nghĩ đến chính là Hijackthis. Hy vọng bài viết này sẽ giúp ích cho mọi người.

Nguồn : it.moj.gov.vn





Để bắt đầu tham gia Giao dịch tài chính:


1 comment :

  1. Bài viết của bạn rất cụ thể, Cảm ơn bạn nhé! :)

    ReplyDelete

Các bạn có thể viết lời nhận xét cho bài viết, nhưng cần tuân thủ một số quy tắc sau:

» Các nhận xét/bình luận phải nghiêm túc, không dung tục, không spam.
» Nội dung phải liên quan tới chủ đề bài viết.
» Viết bằng tiếng việt có dấu hoặc tiếng Anh. Nội dung viết không dấu sẽ bị xóa.
» Hãy để lại tên của bạn khi nhận xét/bình luận, để tôi có thể dễ dàng trả lời bạn khi cần.

Chúc các bạn tìm được những kiến thức bổ ích khi tình cờ ghé thăm blog này.