Hijackthis là cái gì?

Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như coolwebsearch).

Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống. Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp.

Tải về và cài đặt :

Home page:
Code:

Code:

http://www.trendsecure.com/portal/en...ols/hijackthis

Download Hijackthis tại:
Code:

Code:

http://www.trendsecure.com/portal/en...HiJackThis.zip

hoặc:
Code:

Code:

http://www.trendsecure.com/portal/en...HiJackThis.exe

Sau khi download, bạn cần sử dụng winzip để giải nén. Bạn nên cất Hijackthis tại một thư mục dành riêng vì khi sử dụng hijackthis sẽ tạo ra một thư mục Backup lưu trữ những thay đổi của bạn với hệ thống.


Lỗi có thể gặp phải khi cài hijackthis :

Thiếu MSVBVM60.DLL ---> cách giải quyết là vào: Microsoft để tải VBRun60.exe về và cài vào máy.
Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi cho chạy hijackthis.


Sử dụng hijathis- tạo log-file:

1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\

2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng).
[You must be registered and logged in to see this image.]

3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”.
[You must be registered and logged in to see this image.]

4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\
[You must be registered and logged in to see this image.]

với file ---> save as ----> tên là hijathis1.log và ấn save
Log file được tạo ra với 3 phần:
1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống.
2.Phần giữa là những chương trình đang được chạy trên hệ thống.

Trích dẫn :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
c:\program files\mcafee.com\agent\mcagent.exe
C:\Program Files\FarStone\GameDrive\gdtask.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\Program Files\Cleverlearn\Clicktionary\bin\Clicktionary.ex e
C:\Program Files\Windows Media Player\wmplayer.exe
H:\USB\soft cho cua hang\HijackThis.exe

3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới).
[COLOR="Yellow"][SIZE="4"]


Đánh giá về logfile :

a. Khả năng thứ nhất :

Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây :

[You must be registered and logged in to see this link.] (pacmans-startup list)

[You must be registered and logged in to see this link.] (answer that work)

[You must be registered and logged in to see this link.] ( CLSID list)

[You must be registered and logged in to see this link.] (:-))

[You must be registered and logged in to see this link.] (virus list)

[You must be registered and logged in to see this link.] (Vgrep)

Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix).

b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau:

[You must be registered and logged in to see this link.]

[You must be registered and logged in to see this image.]
và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn. Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn sẽ nhận ra rất dễ dàng là có entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên.

Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis :

Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy:

-Tiến hành tắt system restore và reboot máy vào chế độ safe mode.

-Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó.

-Thí dụ: khi tớ phát hiện ra entry O4-.... igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau :
[You must be registered and logged in to see this image.]

rồi ấn fixchecked. Như vậy là tớ đã loại bỏ cái entry cho khởi động igfxtray.exe ra khỏi registry ---> khởi động lại máy nó sẽ không thể chạy file này nữa.
Giả sử sau này tớ phát hiện ra nó là file hợp lệ ---> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup ---> tớ cho chạy lại hijackthis, chọn "none of the above, just start the program" ---> ấn vào config ---> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa :
[You must be registered and logged in to see this image.]

đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry.

Lưu ý về những entries trong log-file:

Code:

R0, R1, R2, R3 – Những trang khởi động và tìm kiếm của Internet Explorer
F0, F1 – Những chương trình tự khởi động trong các tệp tin INI
N1, N2, N3, N4 – Những trang khởi động và tìm kiếm của Netscape/Mozilla
O1 – Những forwards trong tệp tin HOSTS
O2 – BHO-Phần mở rộng của IE (Browser Helper Objects)
O3 – Thanh dụng cụ của Internet Explorer (Toolbar)
O4 – Những chương trình được gọi khởi động từ Registry
O5 – Những phần lựa chọn cho IE không được thể hiện trong 'Extras'
O6 – Quyền truy cập vào lựa chọn của IE bị administrator loại bỏ
O7 – Quyền truy cập vào regedit bị administrator loại bỏ
O8 – Những entries thêm vào khi click chuột phải trong IE
O9 – Những nút được thêm vào trong IE-Toolbar hoặc những lựa chọn được thêm vào trong IE-Menu “Extras”
O10 – Thay đổi về Winsock
O11 – Nhóm được thêm vào trong cửa sổ IE Advanced Options
O12 - IE Plugins
O13 – Những thay đổi trong mặc định của IE
O14 – Những thay đổi Veränderungen unter 'Webeinstellungen zurücksetzen'
O15 – Những trang bị chặn trong Unerwünschte Seiten in 'Vertrauenswürdige Seiten'
O16 - ActiveX-Objects
O17 – Thay đổiLop.com-Domain
O18 – Những protocols phụ hoặc bị thay đổi
O19 – Thay đổi của 'User Style Sheet' (CSS)
Neu hinzugekommene Einträge ab der Version HijackThis 1.98:
O20 - AppInit_DLLs – Những autostart entries trong registry
O21 - ShellServiceObjectDelayLoad (SSODL) - Những autostart entries trong registry
O22 - SharedTaskScheduler -Những autostart entries trong registry
Neu hinzugekommene Einträge ab der Version HijackThis 1.99:
O23 - Windows NT Services – Những service của windows NT

Trích dẫn :

Virusvn - 3c