Hướng dẫn sử dụng Hijackthis
Đây là một bài viết
rất hay về cách sử dụng Hijackthis của hoangcamapas,
một người bạn tôi quen biết. Trước tiên cảm
ơn hoangcamapas đã cung cấp cho tôi bài tut này, sau xin
chia sẻ cùng anh em UDS
Sử dụng Hijackthis
Việc sử dụng hijackthis cũng không quá khó cũng ko
dễ, điều quan trọng là bạn phải nhìn
nhận chính xác tập tin và đôi khi vẫn phải… ăn ốc
nói mò.
Trình Hijackthis nhỏ gọn(213Kb) do 1 sinh viên người
Mỹ viết, thoạt đầu anh coi đó là “đọan nháp”,
viết cho … vui. Về sau này sau khi trình Hijackthis
được “xuất xưởng” đã được rất nhiều
chuyên gia đánh giá cao. Cho đến nay Hijackthis có thể là
trình duy nhất có thể liệt kê chính xác thành
phần tác động trực tiếp đến Windows. Các
bạn chú ý là tác động trực tiếp nhé. Chỉ
vài dòng nữa thôi mình sẽ nói rõ hơn về
điều này
Thông thường khi máy
bị nhiễm spyware, malware… các bạn sẽ sử
dụng đến các trình quét chuyên dụng như: Ad-Aware,
Spybot search&destroy, couterspy hay Antispyware của Microsoft… Các
trình trên cũng khá nổi đình nổi đám, nếu
các bạn khéo léo sử dụng có thể bảo vệ máy
1 cách tốt nhất đấy. Tuy nhiên với tôi để cho
nhanh, đơn giản mộc mạc tôi dùng 1 Hijackthis thôi
Như các bạn biết các biến thể spyware thường tác
động trực tiếp mà “tai nghe mắt thấy” ví như thay
đổi mặc định trang Home của IE, tác động
đến màn hình desktop, treo máy, tự động bung Pop-up…
-> Sự tác động trên mình xếp vào tác động
trực tiêp.
Còn tác động gián tiếp hay tác động ngầm
thì thường do virus gây lên, bạn phải “điều
trị” bằng cách dùng các chương trình quét virus như McaFee,
Norton AntiVirus, Pccillin… Hijackthis ko làm đựơc việc này
hiệu quả
Tác động gián tiếp là gì? Là tác động mà người
dùng ít ngờ tới, thường gây phá hoại ngầm mà 1
thời gian sau mới có thấy tác hại. Điển
hình virus Npate.b lây lan khá nhanh, nó sẽ tác động
đến hầu hết các tập tin *.exe của bạn, gây
ra sự lệch lạc -> lỗi gây ra là các chương
trình không chạy được nữa.
Gần đây mình thắc mắc ko hiểu sao Adobe Pro 7.0,
Nero, Photoshop hoặc 1 trình *.exe tương tự ko chạy
được mặc dù đã setup đi lại khá nhiều.
Cuối cùng thủ phạm là do Npate.b đấy
Sử dụng Hijackthis: Bạn download trình Hijackthis
về(kèm theo bài viết này). Tiến hành chạy Scan, nó
sẽ xuất hiện file Log dạng Text(hình 1).
Trước khi scan hãy tắt tất cả trình đang
chạy trên thanh Taskbar nhé
Trình Hijackthis chia làm 2 phần rõ rệt – vâng bao
giờ cũng thế!
1. Các trình đang khởi chạy cùng Windows – Running
Process
Quote:
|
Running processes: |
Để hiểu rõ và để xác định tập tin lạ
bạn căn cứ vào kinh nghiệm và hãy chú ý
đến đường dẫn tập tin. Với các trình
bạn tự tay bạn setup thì ít nghi ngờ hơn, còn
các tập tin nằm trong %systemroot% (C:\windows) hay
%systemroot%\system32(C:\windows\system32) thì đáng chú ý hơn.
Vì trong này có hẳm bà lằng các loại files,
người dùng khó tìm thấy spyware hơn
Ví dụ nhé:
Các tập tin trong windows, system32 ở trên, bạn chú ý
xem có tập tin lạ ko? Mặc định Windows thường có
các tập tin này:
Quote:
|
C:\WINDOWS\System32\smss.exe |
Ngoài ra nếu có tập tin khác thì bạn nên kiểm
tra kĩ lưỡng nó là gì, vì rất có thể là
spyware hay virus đấy.
Kiểm tra bằng cách “thô thiển” là hãy ghi tên nó, lên www.google.com.vn
tìm kiếm. Cách này đơn giản và khá hiệu quả,
còn cách khác thì cho tôi xin khất, dài dòng
lắm
Nếu tìm được hãy xem chức năng nó là gì?
Là 1 tập tin hữu ích thì bạn ko phải lo
nhiều rồi
Nếu ko tìm đựơc rất có thể là Spyware mới
… xuất xưởng và bạn là số ít người may mắn
đã dính nó các trình quét chưa nhận ra được.
Bạn thấy ko? Khi mà các trình quét ko nhận ra
thì bằng kinh nghiệm mình và sử dụng
Hijackthis bạn vẫn có thể diệt được mà.
Chú ý 1 chút về tập tin *.exe trên:
C:\windows\system32\Explorer.exe C:\WINDOWS\Explorer.EXE
C:\windows\system32\svohost.exe C:\WINDOWS\System32\svchost.exe
C:\windows\spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
Explorer.exe lẽ ra phải nằm ở C:\windows
Svchost.exe chứ ko phải svohost.exe. Viết gần
giống để lừa … con nít ấy mà
Spoolsv.exe nằm ở C:\windows\system32. Còn nếu
nằm ở C:\windows thì chính là bác…. Take me to your heart
hay xuất hịên trong Chat Yahoo đấy nhé
Các tập tin tự tay bạn Setup. Trường hợp này ít
là spyware hơn, nhưng cũng nên sử dụng google.com.vn để
kiểm tra cho chắc ăn, nếu bạn cảm thấy nghi
ngờ
2. Các khóa, strings, tập tin host, tập tin tác động
trực tiếp tới Windows
• Nếu bạn nhận thấy
Quote:
|
1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search
Bar = http://thanhvan.org |
Nên đánh chọn -> để chuyển về mặc định
about:Blank – trang trắng. Tránh tình trạng bị
chiếm quyền điều khiển Home Page
• Tập tin hosts: Không có nhiều người rành về tập
tin này. Nói ra thì “lý thuyết” lắm, bạn
hiểu nôm na là những websites đựơc liệt kê trong
tập tin hosts(C:\WINDOWS\system32\drivers\etc) sẽ ko thể truy
cập đựoc nữa.
Ví dụ bạn nhìn thấy 1 danh sách dài, trong đó có
baovan.net, socolamusic.com… các websites này ko thể vào nghe nhạc
được khi bị tập tin hosts khống chế!
Đánh chọn và FIX CHECKED
Quote:
|
O1 - Hosts: 168.126.25.95 baovan.net |
Chú ý đến các khóa RUN, các trình này sẽ khởi
động cùng Windows, nó xuất hiện trong msconfig(system
configuration utility). Sử dụng Hijackthis sẽ triệt
để hơn nhiều
Quote:
|
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe |
Các khóa khác ko đáng ngại lắm. Mình chỉ viết
đến đây, bạn tự tìm hiểu thêm
hoangcamapas
**********************************
Có thể nói, Hijackthis là một trong những công cụ
cực kỳ hiệu quả trong việc tìm và
diệt triệt để Spyware, Malware... mà tôi từng
biết. Bạn chỉ cần lưu ý và nắm rõ
một chút những process, string hay khóa cơ bản của
Windows là bạn có thể dễ dàng tiêu diệt triệt
để. Bây giờ khi có biểu hiện bị dính spyware,
malware... mà Bitdefender (tôi cài đặt cái này trên máy của
mình) không diệt được trọn vẹn thì công
cụ đầu tiên mà tôi nghĩ đến chính là Hijackthis. Hy
vọng bài viết này sẽ giúp ích cho mọi người.
Attached Files
|
|
hijackthis.zip (207.9 KB, 285 views) |
