Download Hijackthis ở đây
Sử dụng hijathis- tạo log-file
1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\
2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok.
3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”.
4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notepad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\
với file —> save as —-> tên là hijathis1.log và ấn save
Log file được tạo ra với 3 phần :
1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống.
2.Phần giữa là những chương trình đang được chạy trên hệ thống.
3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới).
Kiểm tra logfile của Hijackthis
Có 2 cách để bạn thực hiện điều này:
1. Cách thứ nhất
Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây :
http://www.sysinfo.org/startuplist.php (pacmans-startup list)
http://www.answersthatwork.com/ (answer that work)
http://computercops.biz/CLSID.html ( CLSID list)
http://www.google.com (:-))
https://www.virusbtn.com/login (Vgrep)
Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix).
Cách này bạn chỉ nên thực hiện khi nắm rõ hệ thống của mình. Còn nếu như không, bạn có thể thực hiện theo cách thứ 2
2. Cách thứ hai
Sử dụng website tự động kiểm tra logfile. Bạn truy cập vào địa chỉ: http://www.hijackthis.de/en
và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn
Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn sẽ nhận ra rất dễ dàng là có entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên.
Sửa chữa những entries không hợp lệ trong bảng log của hijackthis
Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy:
- Tiến hành tắt system restore và reboot máy vào chế độ safe mode.
- Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó.
- Thí dụ: khi tớ phát hiện ra entry O4-…. igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau :
rồi ấn fixchecked. Như vậy là tớ đã loại bỏ cái entry cho khởi động igfxtray.exe ra khỏi registry —> khởi động lại máy nó sẽ không thể chạy file này nữa.
Giả sử sau này tớ phát hiện ra nó là file hợp lệ —> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup —> tớ cho chạy lại hijackthis, chọn “none of the above, just start the program” —> ấn vào config —> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa :
đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry.
Lưu ý về những entries trong log-file:
1. Mục R0,R1,R2,R3:
Những entries của các mục này liệt kê trang khởi động của IE, trang nhà (Home Page), và phần tìm kiếm URL.
* R0 cung cấp thông tin của trang khởi động của IE và phần trợ giúp tìm kiếm.
* R1 cung cấp thông tin của chức năng tìm kiếm và một vài đặc tính khác.
* R2 hiện tại chưa được sử dụng đến.
* R3 Dùng cho phần tìm kiếm URL. Phần tìm kiếm URL hoạt động khi bạn gõ vào thanh địa chỉ của trình duyệt nhưng không nêu rõ protocol mà trình duyệt cần sử dụng như http:// hay ftp://. Khi bạn nhập vào thanh địa chỉ một địa chỉ như www.dietvirus.info thì trình duyệt sẽ tìm cách thử để tự tìm ra protocol để liên lạc với địa chỉ trên, nếu trình duyệt không thể tìm ra được thì nó sẽ sử dụng phần tìm kiếm URL để tìm cách định ra địa chỉ mà bạn gõ vào.
* Một vài khoá trong registry:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Ví dụ: R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
Các câu hỏi thường được đặt ra khi trong phần thông tin của các mục này hiện ra những ký tự khó hiểu. Khi có sự xuất hiện của các ký tự khó hiểu này thì tức là nội dung của key trên đã được thay đổi để người sử dụng khó có thể hiểu và phát hiện ra đó là cái gì. Trong việc phát hiện và diệt phần mềm phá hoại thì người ta coi việc thay đổi nội dung bằng cách chuyển nó thành ký tự đặc biệt để chương trình đó dễ dàng đọc nhưng lại làm trở ngại cho người dùng trong việc đọc và hiểu nó ví dụ như thêm vào khoá nào đó trong registry với ký tự hệ 16 là một cách che dấu bản thân của một số phần mềm phá hoại. Cách trên cũng là một cách làm trở ngại trong việc vô hiệu hoá hoàn toàn các phần mềm này.
Nếu bạn không nhận ra được là các mục R0 và R1 trỏ đến địa chỉ của trang nào và bạn muốn thay đổi các thông số để trỏ sang một trang nào khác thì bạn có thể dùng hijackthis để sửa lỗi các mục này mà không **ng chạm gì đến phần cài đặt của internet explorer. Nếu bạn muốn kiểm tra xem các mục này trỏ đến trang web nào thì bạn có thể nhập trang web này vào thanh địa chỉ, nếu đây là một trang hiện lên nhiều popups và links thì bạn có thể yên tâm dùng hijackthis để sửa các trang này. Một điều quan trọng là nếu các mục này trỏ đến một tệp tin nào đó thì hijackthis không tự động xoá tệp tin đó mà bạn phải tự tay xoá nó.
Ví dụ: mục R3 với một dấu gạch ngang ở dưới nằm phía cuối (dấu “_”) có dạng như sau:
R3 – URLSearchHook: (no name) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ – (no file)
chú ý đến CLSID, các chữ và số nằm giữa {}, có một dấu _ nằm ở cuối tạo ra sự khó khăn cho hijackthis khi xoá khoá này trong registry, bạn phải tự tay xoá nó bằng cách vào đường dẫn sau trong registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
và xoá CLSID nằm dưới đó mà bạn cần xoá, và nhớ để lại CLSID: CFBFAE00-17A6-11D0-99CB-00C04FD64497 như nó là một mặc định.
Trừ khi bạn nhận biết được chương trình sử dụng khoá này, bạn có thể qua google để tìm hiểu về chương trình đó và quyết định liệu hijackthis có nên sửa khoá này hay không.
2. Mục F0, F1, F2, F3, F4:
Trong mục này, những phần mềm được khởi động cùng windows nằm trong các tệp tin .INI như system.ini hay win.ini trong windows ME hoặc với các khoá trong registry tương tự trong một số các hệ điều hành Windows NT. Một số hệ điều hành dựa trên windows NT : XP, 2000, 2003 và vista.
* Mục F0 tương đương với phần Shell= và nằm trong phần [Boot] của tệp tin system.ini. Phần Shell= trong system.ini có nhiệm vụ chỉ định chương trình nào được chạy như Shell của hệ điều hành.
Ví dụ :
F0 – System.ini: Shell=Explorer.exe badprogram.exe
File được sử dụng là c:\windows\system.ini
Shell là chương trình khởi động desktop, nó có nhiệm vụ quản lý windows và cho phép người sử dụng tương tác với hệ thống. Tất cả các chương trình được liệt kê trong phần Shell sẽ được khởi động ngay khi hệ thống được khởi động và đóng vai trò là Shell mặc định. Đã có một vài chương trình được sử dụng thay cho Shell một cách chính thống nhưng chúng từ lâu đã không được sử dụng. Windows 96,98, và ME sử dụng Explorer.exe là Shell mặc định. Windows 3.X sử dụng Progman.exe làm Shell mặc định. Có nhiều chương trình có thể được liệt kê trên cùng một dòng Shell= như là Shell=Explorer.exe badprogram.exe dòng này sẽ làm cho hai chương trình cùng được khởi động khi windows khởi động.
* Mục F1 tương đương với Run= và Load= trong tệp tin win.ini. Giống như system.ini, tệp tin win.ini thường được sử dụng trong Windows ME và các hệ điều hành trước đó.
Ví dụ:
F1 – win.ini: load=bad.pif
F1 – win.ini: run=evil.pif
Tệp tin được sử dụng : c:\windows\win.ini
Tất cả các chương trình được liệt kê với run= và load= đều được khởi động cùng windows. Mục run= được sử dụng cho Windows 3.1, 95, 98 nhằm phù hợp cho một số chương trình đã cũ trước đây. Các chương trình hiện đại bây giờ không sử dụng điều chỉnh INI và nếu bạn không sử dụng một chương trình nào quá cũ thì thường các giá trị nằm trong mục này rất khả nghi. Phần load= được sử dụng để khởi động trình điều khiển thiết bị. Trong hệ thống Windows NT (Windows 2000, XP, etc…) thì hijackthis vẫn liệt kê các chương trình có trong các tệp tin win.ini và system.ini nhưng các hệ thống Windows NT sẽ không khởi động các chương trình này cùng windows.
* Mục F2 và F3 cũng tương tự như F0 và F1 nhưng những mục này là liệt kê những thông tin lưu trong registry được sử dụng bởi các bản Windows 2000, XP và NT. Những bản windows này không sử dụng system.ini và win.ini để khởi động một số chương trình cùng windows. Thay vào đó để phù hợp với các bản windows cũ thì các bản windows này sử dụng hàm IniFileMapping. IniFileMapping đọc và lưu tất cả các giá trị nằm trong tệp tin .ini vào registry. Khi bạn khởi động một chương trình, chương trình đó bình thường sẽ tìm tuỳ biến của nó trong một tệp tin .ini, đầu tiên no sẽ tìm kiếm trong khoá : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping về tệp tin .ini mà nó cần tìm, nếu tìm thấy thông tin thì nó sẽ đọc từ trong registry.
Mục F2 sẽ được liệt kếu giá trị nằm trong khóa đó không được đánh giá là mặc định hoặc an toàn, trong khoá HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon và dưới giá trị Shell và Userinit.
Ví dụ :
F2 – REG:system.ini: UserInit=userinit,nddeagnt.exe
F2 – REG:system.ini: Shell=explorer.exe beta.exe
với khoá trong registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Giá trị Shell trong registry tương đương với Shell= trong tệp tin system.ini được nói đến ở trên. Giá trị nằm trong khoá Userinit sẽ được khởi động ngay sau khi người dùng đăng nhập vào hệ thống. Giá trị mặc định là C:\windows\system32\userinit.exe. Userinit.exe là chương trình có nhiệm vụ thiết lập lại các mặc định của người dùng đăng nhập vào hệ thống. Bạn có thể chỉ định windows chạy một chương trình khi người dùng đăng nhập vào hệ thống bằng cách thêm vào giá trị với một địa chỉ một chương trình khác cách nhau bằng dấu phẩy. Ví dụ :HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\badprogram.exe. Hai chương trình được liệt kê sẽ cùng được khởi động khi người dùng đăng nhập vào hệ thống và các chương trình phá hoại thường dùng khoá này để tự khởi động trong phiên làm việc lần sau của người dùng tại hệ thống.
Mục F3 sẽ liệt kê tất cả các giá trị không hợp lệ dưới khoá HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows trong load và run. Các mục này giống với phần F1 được mô tả ở trên.
Ví dụ:
F3 – REG:win.ini: load=chocolate.exe
F3 – REG:win.ini: run=beer.exe
khoá trong registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
* -Với F0, nếu bạn thấy giá trị như: Shell=Explorer.exe something.exe, bạn hoàn toàn có thể sử dụng hijackthis để sửa khoá đó, nếu muốn tìm hiểu thêm thì … google.
-Với F1, bạn nên sử dụng google để tìm hiểu về các chương trình được chạy để quyết định có sửa khoá đó không.
-Với F2, nếu bạn thấy giá trị là UserInit=userinit.exe, có hoặc không có nddeagnt.exe, bạn có thể không cần sửa mục này. Nếu bạn thấy một gía trị khác nằm trong này thì thường nó là do chương trình phá hoại gây nên. Tương tự với F2 Shell=, nếu bạn thấy giá trị explorer.exe thì không có vấn đề gì còn nếu có giá trị khác nằm trong đó thì rất có khả năng là một trình phá hoại nào đó gây nên, bạn nên sử dụng google để tìm hiểu thông tin về chương trình đó.
3. Mục N1,N2,N3,N4:
Những giá trị trong mục này thể hiện nội dung của trang khởi động và trang mặc định của các trình duyệt Netscape và Mozilla.
Những mục này được lưu lại trong tệp tin prefs.js tại những nơi khác nhau trong thư mục C:\Documents and Settings\YourUserName\Application Data . Những mục của Netscape 4 được lưu lại tại thư mục của chương trình thường là Driverletter:\Program Files\Netscape\Users\default\prefs.js
* N1 hiển thị nội dung của trang khởi động và trang mặc định của Netscape 4
* N2 hiển thị nội dung của trang khởi động và trang mặc định của Netscape 6
* N3 hiển thị nội dung của trang khởi động và trang mặc định của Netscape 7
* N4 hiển thị nội dung của trang khởi động và trang mặc định của Mozilla
Tệp tin được sử dụng : prefs.js
Nhiều chương trình phá hoại luôn tìm cách hướng người sử dụng duyệt trang web chúng cài sẵn các chương trình phá hoại khác bằng cách thay đổi trang khởi động và trang mặc định trên máy người dùng.
4. Mục O1-Những forwards trong tệp tin HOSTS :
Phần này sẽ hiển thị nội dung của phần chuyển hướng thông qua tệp tin hosts
Tệp tin hosts chứa thông tin định tuyến của các host, có dạng :
127.0.0.1 www.dietvirus.info
nếu theo như thông tin định tuyến trên, khi bạn định vào diễn đàn tin học thì máy sẽ kiểm tra tệp tin hosts và sẽ định hướng bạn về địa chỉ 127.0.0.1 thay bằng địa chỉ của diễn đàn tin học.
* Với việc thay đổi têp tin hosts thì một số chương trình phá hoại có thể ngăn bạn không thể vào một số trang nhất định ví dụ việc cấm bạn vào trang google.com bằng cách thêm vào tệp tin hosts một dòng với nội dung sau:
127.0.0.1 www.google.com
với thay đổi trên thì cứ mỗi khi bạn định vào www.google.com thì trình duyệt sẽ bị chuyển hướng về máy nhà chứ không giao tiếp với www.google.com
* Các file:
CODE
Operating System Location
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
* Nơi chứa tệp tin hosts có thể bị thay đổi bằng việc thay đổi tuỳ trọn trong registry ở các hệ điều hành Windows NT/XP/2000:
Khoá: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath
* Nếu bạn thấy một trong các giá trị trên trong hijackthis log thì bạn có thể xoá nó mà không cần suy nghĩ.
* Nếu bạn thấy mục nào đó ghi là tệp tin hosts đang được sử dụng với đường dẫn là C:\Windows\Help\hosts thì bạn chắc chắn đã bị nhiễm CoolWebSearch. Nếu tệp tin hosts không nằm đúng nơi mặc định (bảng trên) thì bạn có thể dùng hijackthis để sửa lỗi đó (thường do phần mêm phá hoại gây nên).
* Bạn có thể sử dụng cả chương trình HostXpert với khả năng phục hồi giá trị mặc định của tệp tin hosts trên máy bạn bằng cách download chương trình về, nhấn chạy và nhấn chọn Restore Original Hosts và thoát khỏi chương trình.
5. O2 – BHO-Phần mở rộng của IE (Browser Helper Objects)
6. O3 – Thanh dụng cụ của Internet Explorer (Toolbar)
7. O4 – Những chương trình được gọi khởi động từ Registry
8. O5 – Những phần lựa chọn cho IE không được thể hiện trong ‘Extras’
9. O6 – Quyền truy cập vào lựa chọn của IE bị administrator loại bỏ
10. O7 – Quyền truy cập vào regedit bị administrator loại bỏ
11. O8 – Những entries thêm vào khi click chuột phải trong IE
12. O9 – Những nút được thêm vào trong IE-Toolbar hoặc những lựa chọn được thêm vào trong IE-Menu “Extras”
13. O10 – Thay đổi về Winsock
14. O11 – Nhóm được thêm vào trong cửa sổ IE Advanced Options
15. O12 – IE Plugins
16. O13 – Những thay đổi trong mặc định của IE
17. O14 – Những thay đổi trong web settings
18. O15 – Những trang bị chặn trong mục những restricted sites và trusted sites
19. O16 – ActiveX-Objects
20. O17 – Thay đổiLop.com-Domain
21. O18 – Những protocols phụ hoặc bị thay đổi
22. O19 – Thay đổi của ‘User Style Sheet’ (CSS)
Một số những entries mới từ sau bản 1.98:
23. O20 – AppInit_DLLs – Những autostart entries trong registry
24. O21 – ShellServiceObjectDelayLoad (SSODL) – Những autostart entries trong registry
25. O22 – SharedTaskScheduler -Những autostart entries trong registry
Một số những entries mới từ sau bản 1.99:
26. O23 – Windows NT Services – Những service của windows NT
Đăng nhận xét