trungchanh

Sử dụng Hijackthis vào việc kiểm tra và phát hiện chương trình phá hoại !




Hijackthis là cái gì?
Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như coolwebsearch). Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống.
Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp.


Tải về và cài đặt :
Sau khi tải về hoặc tải về từ hoặc , bạn cần sử dụng winzip để giải nén tệp tin đã được nén lại dưới dạng file.zip vào một thư mục được tạo sẵn [1] cho nó để cho hijackthis có thể tạo backup cho những thay đổi của bạn đối với hệ thống.
Hiện đã có bản 2.02 của trendsecure với một số cải tiến ở đây :

đề nghị sử dụng bản này khi tạo log để có hỗ trợ tốt hơn.
Rất quan trọng: bạn nên tạo riêng một thư mục cho hijackthis để trong trường hợp cần thiết có thể chỉnh lại được những thay đổi của chương trình đối với hệ thống.
[1] có thể là c:\program files\hijackthis\

Lỗi có thể gặp phải khi cài hijackthis :
Thiếu MSVBVM60.DLL ---> cách giải quyết là vào để tải VBRun60.exe về và cài vào máy.
Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi cho chạy hijackthis.


Sử dụng hijathis- tạo log-file:
1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\
2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng).

3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”.


4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\

với file ---> save as ----> tên là hijathis1.log và ấn save wink.gif
Log file được tạo ra với 3 phần :
1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống.
2.Phần giữa là những chương trình đang được chạy trên hệ thống.
3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới).


Đánh giá về logfile :

a. Khả năng thứ nhất :
Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây :
(pacmans-startup list)
(answer that work)
( CLSID list)
(:-))
(virus list)
(Vgrep)
Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix).

b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau:



và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn. Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn sẽ nhận ra rất dễ dàng là có entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên.

Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis :
Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy:
-Tiến hành tắt system restore và reboot máy vào chế độ safe mode.
-Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó.
-Thí dụ: khi tớ phát hiện ra entry O4-.... igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau :

rồi ấn fixchecked. Như vậy là tớ đã loại bỏ cái entry cho khởi động igfxtray.exe ra khỏi registry ---> khởi động lại máy nó sẽ không thể chạy file này nữa.
Giả sử sau này tớ phát hiện ra nó là file hợp lệ ---> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup ---> tớ cho chạy lại hijackthis, chọn "none of the above, just start the program" ---> ấn vào config ---> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa :

đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry.

Lưu ý về những entries trong log-file:
R0, R1, R2, R3 – Những trang khởi động và tìm kiếm của Internet Explorer
F0, F1 – Những chương trình tự khởi động trong các tệp tin INI
N1, N2, N3, N4 – Những trang khởi động và tìm kiếm của Netscape/Mozilla
O1 – Những forwards trong tệp tin HOSTS
O2 – BHO-Phần mở rộng của IE (Browser Helper Objects)
O3 – Thanh dụng cụ của Internet Explorer (Toolbar)
O4 – Những chương trình được gọi khởi động từ Registry
O5 – Những phần lựa chọn cho IE không được thể hiện trong 'Extras'
O6 – Quyền truy cập vào lựa chọn của IE bị administrator loại bỏ
O7 – Quyền truy cập vào regedit bị administrator loại bỏ
O8 – Những entries thêm vào khi click chuột phải trong IE
O9 – Những nút được thêm vào trong IE-Toolbar hoặc những lựa chọn được thêm vào trong IE-Menu “Extras”
O10 – Thay đổi về Winsock
O11 – Nhóm được thêm vào trong cửa sổ IE Advanced Options
O12 - IE Plugins
O13 – Những thay đổi trong mặc định của IE
O14 – Những thay đổi trong web settings
O15 – Những trang bị chặn trong mục những restricted sites và trusted sites
O16 - ActiveX-Objects
O17 – Thay đổiLop.com-Domain
O18 – Những protocols phụ hoặc bị thay đổi
O19 – Thay đổi của 'User Style Sheet' (CSS)
Một số những entries mới từ sau bản 1.98:
O20 - AppInit_DLLs – Những autostart entries trong registry
O21 - ShellServiceObjectDelayLoad (SSODL) - Những autostart entries trong registry
O22 - SharedTaskScheduler -Những autostart entries trong registry
Một số những entries mới từ sau bản 1.99:
O23 - Windows NT Services – Những service của windows NT

(diendantinhoc.com)

__________________
Vịnh Hạ Long niềm tự hào của người Việt đang đứng trước cơ hội trở thành một trong bảy kì quan thiên nhiên thế giới. Vì vậy, hãy bình chọn cho Vịnh Hạ Long.
Click www.vtv.vn để xem hướng dẫn bình chọn
Click www.new7wonders.com để bình chọn
Nhanh tay lên nào !

trungchanh

Mở rộng thêm: trong trường hợp không hẳn là phá hoại do virus mà do rác của các file .dll được đăng ký vào hệ thống, bạn không thể tìm thấy chúng trong Service Viewer (services.msc) hoặc ngay cả khi chạy Hijackthis, chọn chức năng fix mà ta không thể loại bỏ process đã được đăng ký thì làm thế nào:

(1) Cách 1: Khởi động lại máy ở chế độ Safemode rồi tìm vào folder chứa file .dll đó mà xóa đi --> phải khởi động lại máy, có thể gặp thông báo lỗi?

(2) Cách 2: Sử dụng chương trình LSP-Fix để loại bỏ phiền toái này. Có điều chọn cho đúng process mà kill, và nếu bạn chọn sai, thì chắc phải cài lại máy biggrin.gif (hãy đọc kỹ hướng dẫn trước khi sử dụng). Sau khi khởi động lại máy, process này sẽ được loại bỏ (nhưng file .dll vẫn nằm trên đĩa đó). Bạn xóa đi là xong.


Trường hợp của tôi muốn loại bỏ process mdnsnsp.dll, chọn Fix trong Hijackthis mà không được. Rất may là Hijackthis hướng dẫn cho ta tìm tới trang có chứa LSP-Fix để xử lý

Bật LSP-Fix xử lý là Ok:

(diendantinhoc.com)

PS: nhờ mod chuyển hộ bài này vào đúng vị trí nếu thấy để ở đây không thích hợp.

__________________
Vịnh Hạ Long niềm tự hào của người Việt đang đứng trước cơ hội trở thành một trong bảy kì quan thiên nhiên thế giới. Vì vậy, hãy bình chọn cho Vịnh Hạ Long.
Click www.vtv.vn để xem hướng dẫn bình chọn
Click www.new7wonders.com để bình chọn
Nhanh tay lên nào !

trungchanh

Xin lôi lúc đó mạng bị lỗi lỡ tay post 2 lần đúng như các bạn đã góp ý tôi thấy bài viết này hay nên post cho anh em đọc tích lũy kinh nghiệm chứ có gì đâu.
Lí do chính đáng mà!!!

__________________
Vịnh Hạ Long niềm tự hào của người Việt đang đứng trước cơ hội trở thành một trong bảy kì quan thiên nhiên thế giới. Vì vậy, hãy bình chọn cho Vịnh Hạ Long.
Click www.vtv.vn để xem hướng dẫn bình chọn
Click www.new7wonders.com để bình chọn
Nhanh tay lên nào !

kienden8x

đc, đánh giá là công phu

tại hạ xin bái phục

__________________

Lãng khách

Bài viết này đúng là công phu, nhưng nguồn không được nói cho rõ. Chính xác thì bài viết này giống hệt bài viết ở DDTH:

còn nội dung gốc của nó được viết tại 3c.com.vn:



Nhưng Lãng khách cũng không dùng cái này, vì xét thấy không cần thiết đối với Lãng khách . Có những công cụ trực quan hơn nhiều để chúng ta đánh giá, tuy nhiên cơ bản phụ thuộc khả năng tự đánh giá của các bạn.

kienden8x

sặc, công nghệ copy and paste, thế này mỗi ngày mình cũng xuất bản đc vài chục phát

__________________

Lãng khách

Thật ra thì link upload ảnh có khác nhau .

thienthan

Cảm ơn bạn đã chia sẻ kiến thức nhé!

Nhưng kiểu làm này gần như là tay bo rồi. Em không giám làm bằng cách này đâu. Máy em cài nhiều thằng quyét thì nó ra kéo nhừ tay vẫn chưa hết. Mà toàn đồ nghề lập trình đâu phải trojan, spyware nên tự viết lấy cái để lọc bỏ qua luôn còn nhanh hơn chứ làm như vậy thì em chẳng giám. Có mấy quyển ASM virut đem ra dùng còn hơn cách này. Em không có ý chỉ chích đâu nhé! Mà chỉ góp ý phương pháp này không khả thi tí nào. Như em nhìn thì biết chương trình nào lạ chứ người mới thì chỉ có chịu thôi.

tuantub

Xin lỗi, tớ không định vào nói nhưng bài này do tự tớ dịch, link ảnh là link của tớ, tớ tự chụp và thêm vào bài viết, không lẽ lại thành bài của w3c ?
Bài viết của tớ bên diễn đàn tin học, kể ra thì tớ chẳng ý kiến gì nếu đưa đúng nguồn là ở đấy nhưng do bài viết tự "dưng đổi chủ" nên tớ phải kiến nghị.
Mong mọi người giữ cộng đông IT trong sạch và lớn mạnh.

chúc cả nhà vui khỏe.

ngocmoc

Á, bài này là mình dịch khúc đầu rồi cho tuantub đăng trên diễn đàn tin học chấm com. Hix, văn phong không sai chữ nào.

Mà bài này viết bằng tiếng Đức mà. Đâu dễ mấy ai dịch hay vậy.

dinhsinhanh

Mịa, bài này của mình dịch đoạn giữa cho lão Tuấn bên diendantinhoc. cơm , còn phần sau lão dịch mà. Mịa văn phong đoạn giữa y hệt của mìn luôn.

Thế này không ổn rồi !

pokemon17007

Nếu bài viết này bên diendantinhoc.com thì đã thêm vào rồi.

__________________

dinhsinhanh

Tớ thấy cung cách làm ăn thế này thì chết. Tớ và tác giả bài viết ( Tuantub ) không tức gì cái vụ " coppy and paste " này nhưng tức ở cái chỗ là nếu có lấy ở đâu thì cũng nên ghi rõ cái nguồn hoặc chí ít là có chữ " sưu tầm " an ủi tác giả là được rồi.

Còn 3c ăn cắp bản quyền trắng trợn mà cũng post lên được. Mịa !

Bài của Tuantub bên diendantinhoc chấm cơm thì post vào tháng 5 năm 2007 còn 3c thì post vào tháng 1 năm 2008 thì thằng nào lấy của thằng nào.

Và nên nhớ là bài này là bản quyền diendantinhoc chấm cơm nên không có chiện là " Nếu bài viết này là..." nghe cái từ nếu lộn ruột.

Mịa !

tuantub

Đính chính lại là bài tớ post vào mùng 5 tháng 12 năm 2007 chắc @dinhsinhanh nhìn nhầm rồi
@Lãng khách phát biểu cái câu gì là "nội dung gốc bên 3c ..." tớ thấy buồn cười thôi
Nếu không rõ ràng thì nên kiệm lời một chút sẽ tốt hơn

pokemon17007

Nếu là bài của các bạn viết thì đưa link trực tiếp lên đây, BQT sẽ sửa bài ghi rõ nguồn.
Nếu có thêm bài viết về việc nguồn gốc thì xóa bài.

__________________