“HijackThis” loại bỏ adware hiệu quả

Posted: September 29, 2007 in Anti Virus - Spyware
Tags: , , ,

Đôi khi, mặc những nỗ lực cố gắng hết sức của bạn, các phần mềm quảng cáo quỷ quyệt vẫn được cách thâm nhập được vào máy tính của bạn. Nó chiếm quyền điều khiển trang chủ, tự thêm một thanh toolbar không mong đợi, đính kèm quảng cáo pop-up, hay dò tìm mọi bước chuẩn bị nhằm nâng cao lợi nhuận kinh doanh trong kế hoạch sắp tới của bạn.

Để đối phó với chúng, trước hết bạn nên thường xuyên sử dụng các chương trình loại bỏ adware tiêu chuẩn như Ad-aware và Spybot-Search & Destroy. Nhưng khi cần chuyên sâu hơn, HijackThis sẽ có ích cho bạn. Tuy vậy HijackThis không phải là toàn năng. Bạn cũng nên cẩn thận khi dùng nó. Mặc dù phần mềm này có thể xác định được phương thức khai thác, chỉnh sửa hệ thống nói chung nhưng đôi khi nó loại bỏ cả các phương thức hữu ích, có thể còn rất quan trọng. May mắn là hiện nay cộng đồng mạng Internet đã cung cấp một số cách phân tách phần mềm gián điệp spyware từ các bộ phận quan trọng của hệ thống, bổ sung cái còn thiếu ở HijackThis cũ.

Dưới đây là một số bước hướng dẫn giúp bạn làm việc với HijackThis có hiệu quả.

Bước 1: Cài đặt

File download của HijackThis được để dưới dạng Zip nén, gồm một chương trình tự chạy, không cần phải cài đặt. Khi giải nén, bạn phải tạo thư mục cho chương trình chẳng hạn: C:\Program Files\HijackThis\. Đơn giản hơn bạn cũng có thể giải nén theo kiểu mặc định. Muốn khởi động dễ dàng, kích phải chuột vào biểu tượng chương trình và tạo một shortcut trên desktop. Hầu hết mọi phiên bản Windows đều cho phép kéo thư mục (hoặc biểu tượng chương trình) vào menu Start và xoá nó khi cần thiết. Windows XP cho phép bạn kích phải chuột rồi chọn “gắn” nó vào Start menu. Nếu bạn dùng Quick Start toolbar, bạn có thể kéo và thả biểu tượng ở đó.

Bước 2: Thực hiện quét

Cho dù bạn khởi động theo kiểu nào thì HijackThis có thể vẫn mang đến nhầm lẫn cho bạn. Tất cả điều bạn cần làm là kích vào nút Scan để tiến hành quét máy. Chương trình sẽ kiểm tra và đưa ra danh sách tất cả các điểm vào đáng ngờ trên thanh ghi hay trên máy tính của bạn. Với một máy hoàn toàn khoẻ mạnh thì riêng việc thiết lập trang chủ mới cho Internet Explorer cũng có cả tá điểm vào. Chúng tôi đã thử và nhận được kết quả từ một lần quét máy là có tới là 44 điểm vào. Điều đáng chú ý là tất cả đều là vô hại. (Nếu bạn muốn có nhiều thông tin, hãy chọn hộp check box, kích vào phần Info trên nút Selected Item hoặc tra cứu từ các bản ghi hướng dẫn log của nhà sản xuất). Tốt nhất là ghi lại các bản log ở thư mục HijackThis folder và tìm câu trả lời trên Internet.

Bước 3: Xác định vấn đề

Rất tiện là sau khi chương trình quét xong, thay thế nút Scan là nút Save Log để bạn ghi lại danh sách chương trình đáng ngờ. Bản ghi dùng ở Nopepad. Trong thời gian đó chương trình sẽ kiểm tra các điểm vào trên Web để xem liệu chúng có vô hại hay không. Ví như chương trình “Isass.exe” thuộc kiểu Microsoft Windows có chức năng giúp thẩm định thông tin đăng nhập người dùng. Rõ ràng chúng ta không muốn xoá nó. Ngược lại, “rundll16.exe” nghe có vẻ như vô hại nhưng lại kèm theo phần mềm quảng cáo BrowserAid.

Thực tế bạn không phải đối mặt với vấn đề làm sạch máy tính một mình. Nhiều diễn đàn anti-adware và hỗ trợ công nghệ trực tuyến sẽ tặng bạn các phần mềm miễn phí hiệu quả. Những người giàu kinh nghiệm sẽ kiểm tra file log HijackThis và nói cho bạn biết điểm vào nào cần xoá. SpywareInfo, ComputerCops và TweakXP là ba diễn đàn đáng tin cậy. Cả ba diễn đàn này đều phải đăng ký thành viên khi tham gia, nhưng miễn phí và thời gian trả lời nhanh. Hãy đọc kỹ nguyên tắc tham gia diễn đàn trước khi đăng bài và kiên nhẫn một chút để nhận được câu trả lời từ phía họ.

Bước 4: Làm sạch “ngôi nhà” của bạn

Sau khi tìm kiếm, đánh dấu vào ô bên cạnh chương trình đã được xác định và chọn Fix Checked. Khởi động lại máy, chạy chương trình loại bỏ adware. Nếu vẫn còn vấn đề, hoặc là lặp lại quá trình trên, hoặc là quay lại diễn đàn để hỏi. Những người có trách nhiệm giúp bạn sẽ nói cho bạn biết file nào nên loại bỏ và khởi động lại máy, quét lại, tìm ra danh sách mới như thế nào. Quá trình này sẽ tiếp tục đến khi nào máy tính cho là đủ. Bạn có thể kiểm tra lại các chương trình biết là vô hại (như chương trình thiết lập lại trang chủ trình duyệt theo ý bạn) và loại chúng ra khỏi quá trình đánh trong tương lai bằng cách chọn nút “Add Selected to Ignorelist”.

Phần mềm miễn phí bạn có thể download 1 trong các địa chỉ sau:
Download Link 1
Download Link 2

Advertisements
Comments
 1. huy says:

  Logfile of HijackThis v1.99.1
  Scan saved at 11:56:15 PM, on 3/19/2008
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\PROGRA~1\AVG\AVG8\avgtray.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
  C:\WINDOWS\system32\drivers\CDAC11BA.EXE
  C:\Program Files\Symantec AntiVirus\DefWatch.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\Program Files\Symantec AntiVirus\Rtvscan.exe
  C:\PROGRA~1\AVG\AVG8\avgam.exe
  C:\PROGRA~1\AVG\AVG8\avgrsx.exe
  C:\Program Files\AVG\AVG8\avgui.exe
  C:\Program Files\AVG\AVG8\avgscanx.exe
  C:\PROGRA~1\AVG\AVG8\avgnsx.exe
  C:\Program Files\WinRAR\WinRAR.exe
  M:\jet\UniKey.exe
  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX1\UniKeyNT.exe
  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.562\HijackThis.exe

  R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
  R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securityresponse.symantec.com/avcenter/fix_homepage/
  F2 – REG:system.ini: UserInit=userinit.exe,
  O1 – Hosts: 69.50.220.105 iasvn.org
  O1 – Hosts: 69.50.220.105 http://www.iasvn.org
  O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  O2 – BHO: Seekmo /fleok=1D8A83A5C5E019769AA475760EA83FA5EF80752B9499803B2A2303766A – {07AA283A-43D7-4CBE-A064-32A21112D94D} – C:\Program Files\Seekmo\bin\10.0.370.0\HostIE.dll (file missing)
  O2 – BHO: WormRadar.com IESiteBlocker.NavFilter – {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} – C:\Program Files\AVG\AVG8\avgssie.dll
  O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
  O2 – BHO: AVGTOOLBAR – {A057A204-BACC-4D26-9990-79A187E2698E} – C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
  O3 – Toolbar: Seekmo – {07AA283A-43D7-4CBE-A064-32A21112D94D} – C:\Program Files\Seekmo\bin\10.0.370.0\HostIE.dll (file missing)
  O3 – Toolbar: AVGTOOLBAR – {A057A204-BACC-4D26-9990-79A187E2698E} – C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
  O4 – HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
  O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
  O9 – Extra ‘Tools’ menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
  O9 – Extra button: Research – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
  O9 – Extra ‘Tools’ menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
  O16 – DPF: {35A9D2C9-B3FF-472D-AF68-FA63AD28A7DD} (OnGameDownLoader Control) – http://ongame.com.vn/activeX/OnGameDownLoader.cab
  O17 – HKLM\System\CCS\Services\Tcpip\Parameters: Domain = iasvn.org
  O17 – HKLM\Software\..\Telephony: DomainName = iasvn.org
  O17 – HKLM\System\CCS\Services\Tcpip\..\{023FB9EF-70C2-4D2F-BD46-6734348C0250}: NameServer = 203.162.4.190,203.162.4.191
  O17 – HKLM\System\CS1\Services\Tcpip\Parameters: Domain = iasvn.org
  O17 – HKLM\System\CS1\Services\Tcpip\..\{023FB9EF-70C2-4D2F-BD46-6734348C0250}: NameServer = 203.162.4.190,203.162.4.191
  O18 – Protocol: linkscanner – {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} – C:\Program Files\AVG\AVG8\avgpp.dll
  O20 – AppInit_DLLs: avgrsstx.dll
  O20 – Winlogon Notify: igfxcui – C:\WINDOWS\SYSTEM32\igfxsrvc.dll
  O20 – Winlogon Notify: NavLogon – C:\WINDOWS\system32\NavLogon.dll
  O23 – Service: Adobe LM Service – Unknown owner – C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
  O23 – Service: AVG8 WatchDog (avg8wd) – AVG Technologies CZ, s.r.o. – C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
  O23 – Service: C-DillaCdaC11BA – Macrovision – C:\WINDOWS\system32\drivers\CDAC11BA.EXE
  O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
  O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
  O23 – Service: Symantec AntiVirus Definition Watcher (DefWatch) – Symantec Corporation – C:\Program Files\Symantec AntiVirus\DefWatch.exe
  O23 – Service: SAVRoam (SavRoam) – symantec – C:\Program Files\Symantec AntiVirus\SavRoam.exe
  O23 – Service: Smart Card (SCardSvr) – Unknown owner – C:\WINDOWS\System32\SCardSvr.exe (file missing)
  O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
  O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
  O23 – Service: Symantec AntiVirus – Symantec Corporation – C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s