Thủ thuật máy tính Số 98

[baotrung]

[baotrung]

Download

[baotrung]

Sử dụng Hijackthis

Việc
sử dụng hijackthis cũng không quá khó cũng ko dễ, điều quan trọng là
bạn phải nhìn nhận chính xác tập tin và đôi khi vẫn phải… ăn ốc nói mò.
Trình
Hijackthis

nhỏ gọn(213Kb) do 1 sinh viên người Mỹ viết, thoạt đầu anh
coi đó là “đọan nháp”, viết cho … vui. Về sau này sau khi trình
Hijackthis được “xuất xưởng” đã được rất nhiều chuyên gia đánh giá cao.
Cho đến nay Hijackthis có thể là trình duy nhất có thể liệt kê chính
xác thành phần tác động trực tiếp đến Windows. Các bạn chú ý là tác
động trực tiếp nhé. Chỉ vài dòng nữa thôi mình sẽ nói rõ hơn về điều này



Thông
thường khi máy bị nhiễm spyware, malware… các bạn sẽ sử dụng đến các
trình quét chuyên dụng như: Ad-Aware, Spybot search&destroy,
couterspy hay Antispyware của Microsoft… Các trình trên cũng khá nổi
đình nổi đám, nếu các bạn khéo léo sử dụng có thể bảo vệ máy 1 cách tốt
nhất đấy. Tuy nhiên với tôi để cho nhanh, đơn giản mộc mạc tôi dùng 1
Hijackthis thôi

Như các bạn biết các biến thể spyware thường tác
động trực tiếp mà “tai nghe mắt thấy” ví như thay đổi mặc định trang
Home của IE, tác động đến màn hình desktop, treo máy, tự động bung
Pop-up… -> Sự tác động trên mình xếp vào tác động trực tiêp.
Còn
tác động gián tiếp hay tác động ngầm thì thường do virus gây lên, bạn
phải “điều trị” bằng cách dùng các chương trình quét virus như McaFee,
Norton AntiVirus, Pccillin… Hijackthis ko làm đựơc việc này hiệu quả
Tác
động

gián tiếp là gì? Là tác động mà người dùng ít ngờ tới, thường gây
phá hoại ngầm mà 1 thời gian sau mới có thấy tác hại. Điển hình virus
Npate.b lây lan khá nhanh, nó sẽ tác động đến hầu hết các tập tin *.exe
của bạn, gây ra sự lệch lạc -> lỗi gây ra là các chương trình không
chạy được nữa.
Gần đây mình thắc mắc ko hiểu sao Adobe Pro 7.0,
Nero, Photoshop hoặc 1 trình *.exe tương tự ko chạy được mặc dù đã
setup đi lại khá nhiều. Cuối cùng thủ phạm là do Npate.b đấy

Sử
dụng

Hijackthis: Bạn download trình Hijackthis về(kèm theo bài viết
này). Tiến hành chạy Scan, nó sẽ xuất hiện file Log dạng Text(hình 1),
sau đó các bạn có thể vào trang http://www.hijackthis.de,
tại trang web này, bạn nhấn nút Browser > Tìm đến file báo
cáo hijackthis.txt do chương trình vừa tạo ra (nó thường nằm ở Crogram FilesTrend
MicroHijackThis), ấn Open rồi ấn Analyze để bắt đầu phân tích,
sau 1 lúc thì trang web sẽ đánh giá những chương trình đó, nếu
nó là safe hay very safe thì bạn có thể yên tâm sử dụng.
Trước khi scan hãy tắt tất cả trình đang chạy trên thanh Taskbar nhé

Trình

Hijackthis chia làm 2 phần rõ rệt – vâng bao giờ cũng thế!

1.

Các trình đang khởi chạy cùng Windows – Running Process
Quote:

Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe Crogram FilesCommon FilesSymantec SharedccSetMgr.exe C:WINDOWSExplorer.EXE Crogram FilesCommon FilesSymantec SharedccEvtMgr.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSSystem32GEARSec.exe crogram filesmcafee.comagentmcdetect.exe cROGRA~1mcafee.comvsomcshield.exe cROGRA~1mcafee.comagentmctskshd.exe Crogram FilesNorton GhostAgentVProSvc.exe cROGRA~1mcafee.comvsoOasClnt.exe crogram filesmcafee.comvsomcvsshld.exe Crogram FilesAnalog DevicesSoundMAXSMAgent.exe Crogram FilesCommon FilesSymantec SharedCCPD-LCsymlcsvc.exe CROGRA~1mcafee.comvsomcvsescn.exe crogram filesmcafee.comagentmcagent.exe Crogram FilesFarStoneGameDrivegdtask.exe CROGRA~1McAfee.comAgentmcregwiz.exe Crogram FilesCleverlearnClicktionaryinClicktionary.ex e Crogram FilesWindows Media Playerwmplayer.exe H:USBsoft cho cua hangHijackThis.exe

Để
hiểu rõ và để xác định tập tin lạ bạn căn cứ vào kinh nghiệm và hãy chú
ý đến đường dẫn tập tin. Với các trình bạn tự tay bạn setup thì ít nghi
ngờ hơn, còn các tập tin nằm trong %systemroot% (C:windows) hay
%systemroot%system32(C:windowssystem32) thì đáng chú ý hơn. Vì trong
này có hẳm bà lằng các loại files, người dùng khó tìm thấy spyware hơn

Ví

dụ nhé:
Các tập tin trong windows, system32 ở trên, bạn chú ý xem có
tập tin lạ ko? Mặc định Windows thường có các tập tin này:
Quote:

C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe

Ngoài ra nếu có tập tin
khác thì bạn nên kiểm tra kĩ lưỡng nó là gì, vì rất có thể là spyware
hay virus đấy.
Kiểm tra bằng cách “thô thiển” là hãy ghi tên nó, lên www.google.com.vn tìm kiếm. Cách này đơn
giản và khá hiệu quả, còn cách khác thì cho tôi xin khất, dài dòng lắm
Nếu

tìm được hãy xem chức năng nó là gì? Là 1 tập tin hữu ích thì bạn ko
phải lo nhiều rồi
Nếu
ko tìm đựơc rất có thể là Spyware mới … xuất xưởng và bạn là số ít
người may mắn đã dính nó các trình quét chưa nhận ra được. Bạn thấy ko?
Khi mà các trình quét ko nhận ra thì bằng kinh nghiệm mình và sử dụng
Hijackthis bạn vẫn có thể diệt được mà.

Chú ý 1 chút về tập
tin *.exe trên:

C:windowssystem32Explorer.exe
C:WINDOWSExplorer.EXE
C:windowssystem32svohost.exe
C:WINDOWSSystem32svchost.exe
C:windowsspoolsv.exe
C:WINDOWSsystem32spoolsv.exe

Explorer.exe lẽ ra phải nằm ở
C:windows
Svchost.exe chứ ko phải svohost.exe. Viết gần giống để lừa …
con nít ấy mà
Spoolsv.exe
nằm ở C:windowssystem32. Còn nếu nằm ở C:windows thì chính là bác….
Take me to your heart hay xuất hịên trong Chat Yahoo đấy nhé

Các
tập tin tự tay bạn Setup. Trường hợp này ít là spyware hơn, nhưng cũng
nên sử dụng google.com.vn để kiểm tra cho chắc ăn, nếu bạn cảm thấy
nghi ngờ

2. Các khóa, strings, tập tin host, tập tin tác động
trực tiếp tới Windows

• Nếu bạn nhận thấy
Quote:

1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://thanhvan.org R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://thanhvan.org R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://seek.3721.com/srchasst.htm R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://seek.3721.com/srchcust.htm R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com

Nên đánh chọn -> để
chuyển về mặc định about:Blank – trang trắng. Tránh tình trạng bị chiếm
quyền điều khiển Home Page

•
Tập tin hosts: Không có nhiều người rành về tập tin này. Nói ra thì “lý
thuyết” lắm, bạn hiểu nôm na là những websites đựơc liệt kê trong tập
tin hosts(C:WINDOWSsystem32driversetc) sẽ ko thể truy cập đựoc nữa.

Ví
dụ

bạn nhìn thấy 1 danh sách dài, trong đó có baovan.net,
socolamusic.com… các websites này ko thể vào nghe nhạc được khi bị tập
tin hosts khống chế!
Đánh chọn và FIX CHECKED
Quote:

O1 - Hosts: 168.126.25.95 baovan.net O1 - Hosts: 168.126.25.95 www.baovan.net O1 - Hosts: 168.126.25.95 socolamusic.com O1 - Hosts: 168.126.25.95 www.socolamusic.com O1 - Hosts: 168.126.25.95 thanhvan.org O1 - Hosts: 168.126.25.95 www.thanhvan.org O1 - Hosts: 168.126.25.95 nghenhac.us.ms O1 - Hosts: 168.126.25.95 www.nghenhac.us.ms O1 - Hosts: 168.126.25.95 nghenhac.dd.vu

Chú
ý đến các khóa RUN, các trình này sẽ khởi động cùng Windows, nó xuất
hiện trong msconfig(system configuration utility). Sử dụng Hijackthis
sẽ triệt để hơn nhiều
Quote:

O4 - HKLM..Run: [vptray] CROGRA~1SYMANT~1VPTray.exe O4 - HKLM..Run: [IST Service] Crogram FilesISTsvcistsvc.exe O4 - HKLM..RunOnce: [tlc] C:WINDOWSsysrem.js O4 - HKCU..Run: [System32] C:WINDOWSsystem32System.js O4 - HKCU..Run: [Yahoo! Pager] "Crogram FilesYahoo!Messengerypager.exe" -quiet O4 - HKCU..Run: [WindowsUpdate] C:WINDOWSPIFconstants.js O4 - HKCU..Run: [IEXPLORE.EXE] IEXPLORE.EXE http://vn-n.com O4 - HKCU..Run: [zzzzoom] C:WINDOWSPIFconstants.js O4 - HKCU..RunOnce: [WindowsUpdate] C:WINDOWSPIFconstants.js O4 - HKCU..RunOnce: [Windows] C:WINDOWSsystem32System.js O4 - HKCU..RunOnce: [zzzzoom] C:WINDOWSPIFconstants.js O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

Các khóa khác ko đáng ngại lắm.
Mình chỉ viết đến đây, bạn tự tìm hiểu thêm







Download

[Sponsored content]