Hijacklog this

Chào các bác.
Về vấn đề hijacker( những kẻ xâm nhập: virus, trojan,malware,worm,adware...), em thấy forum thiếu thiếu 1 cái gì đó. Em đã từng tham khảo một số Forum(pchelpforum,spywareinfo....) về vấn đề này thì hijack this là môt phần không thể thiếu được, vìnó là môt công cụ mạnh có khả năng phát hiện những gì không bình thường trong máy của các bác.
Đã nhiều lần em định post bài này, do em vẫn còn cảm thấy ngại nên chưa dám post. Nhưng em đã nghĩ kỹ, đây là một công cụ tuyệt vời để hiểu rõ hơn về hệ điều hành đồng thời phát hiện các hijacker ( những kẻ xâm nhập: virus, trojan...). Tính hữu ích của nó là ko thể phủ nhận, nó không hề đơn giản như nhiều bạn từng nghĩ :" cứ cho vào trang web phân tích, cái gì bảo xoá thì xoá, ko thì thôi" . Mình sẽ dẫn chứng cho các bác thấy điều này ở phần dưới.Bài viết dưới đây là việc tổng hợp từ nhiều nguồn : bleepingcomputerm geekstogo,Vnn.....

EM xin đi vào bài viết luôn. Bài viết sẽ chia ra làm 3 phần:
Phần1: giới thiệu chung về hijacklog this
Phần2: Kiến thức cơ bản phân tích log
Phần3:Điều kiện cần có trước khi phân tích

Phần1: Giới thiệu chung về Hijacklog this
Để tiết kiệm thời gian em xin lấy từ nguồn VNN của anh gtmfan
http://diendan.vietnamnet.vn/message_view.asp?forumid=15&msgid=20050623112545336353
Sau khi đã có cái nhìn khái quát em xin đi vào chi tiết

Phần 2: Kiến thức cơ bản phân tích log
sau khi đã đọc phần 1 ở trên, các bác có thể thấy rằng: một log có thể chưa rất nhiều dòng: R0,R1,R3,R4,F0,F1? O1,O2?O23( gọi là items). Vậy cái này có tác dụng gì trong việc phân tích log. Xin thưa, nó rất quan trọng đấy ạ, nó sẽ cho biết máy bác có vấn đề gì bất thường ko?. Em xin phân tích luôn

1. R0, R1, R2, R3 - IE Start & Search pages
Nó sẽ giống thế này các bác ạ :

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = www.google.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Nếu các bác nhận ra các URL , ở đây là www.google.com thì không sao, Nhưng nếu thực sự nhận ra thì các bác dùng hijack this fix đi. Nếu ko được phải dùng các phần mềm
Riêng cái R3 hijack luôn fix được trừ phi các bác nhận ra nếu ko thì thôi
Đây là các khoá registry của nó:

HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page HKCUSoftwareMicrosoftInternet ExplorerMain: Start Page HKLMSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL HKCUSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL HKLMSoftwareMicrosoftInternet ExplorerMain: Search Page HKCUSoftwareMicrosoftInternet ExplorerMain: Search Page HKCUSoftwareMicrosoftInternet ExplorerSearchURL: (Default) HKCUSoftwareMicrosoftInternet ExplorerMain: Window Title HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: ProxyOverride HKCUSoftwareMicrosoftInternet Connection Wizard: ShellNext HKCUSoftwareMicrosoftInternet ExplorerMain: Search Bar HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant

2.F0, F1, F2, F3 - Autoloading programs from INI files
Nó sẽ giống thế này:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

F0 là mục không hề tốt cho máy của các bác, các bác nên fix luôn đi
F1 là các chương trình cũ nhưng an toàn, để xác định cụ thể tính an toàn của nó các bác nên sử dụng Pacman''s Startup List

Khoá registry của nó
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMapping,

File được sử dụng
c:windowssystem.ini
c:windowswin.ini

3.N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Nó sẽ giống như thế này:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (Crogram FilesNetscapeUsersdefaultprefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (Cocuments and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)

Thông thường homepagesearch page của Mozilla và Netscape là an toàn. Nếu các bác cảm thấy homepage lạ, thì có thể sử dụng Hijacklog để fix. Và có một website đẻ nhận ra những thay đổi này, đó là trang lop.com

4.O1 - Hostsfile redirections
Nó sẽ giống như vậy:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:WindowsHelphosts

Hijacklog sẽ chỉ địa chỉ tương ứng với IP ở bên trái. Nếu IP Không phải là của địa chỉ trên, các bác sẽ vào nhầm site mỗi khi vào địa chỉ ở trên. Hijackthis có thể fix nó, hoặc sử dụng CWShredder.

Registry key:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters: DatabasePath

5. O2 - Browser Helper Objects:
Nó sẽ giống như vậy:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - CROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - CROGRAM FILESPOPUP ELIMINATORAUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - CROGRAM FILESMEDIALOADS ENHANCEDME1.DLL

Nếu bạn ko nhận ra tên của Browser Helper Object, thì các bác nên sử dụng TonyK''s BHO & Toolbar thông qua các class ID (CLSID), để xem nó tốt hay ko. Nếu là ?oX? thì nên diệt nó đi.?L? có nghĩa là ok

Registry Keys:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

6. O3 - IE toolbars:
Nó sẽ như thế này:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - CROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - CROGRAM FILESPOPUP ELIMINATORPETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL

Nếu các bác không nhận ra toolbar name thì các bác sử dụng TonyK''s BHO & Toolbar nghiên cứu qua các CLSID
Nếu nó không nằm trong lish của TonyK''s BHO & Toolbar với một chuỗi các ký tự liên tục , và file đó nằm trong Application Data như cái 03 ở trển, Thì các bác sử dụng hijack this Fix nó đi
Registry Keys :HKLMSOFTWAREMicrosoftInternet ExplorerToolbar

7.O4 - Autoloading programs from Registry or Startup group
Nó sẽ giống như thế này:
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccApp] "Crogram FilesCommon FilesSymantec SharedccApp.exe"
O4 - Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: winlogon.exe

Sử dụng PacMan''s Startup List để xem nó có an toàn hay không???
Nếu Items chỉ ra một chương trình nằm trong nhóm Startup Group, thì Hijack this không thể fix được
Nếu chương trìh nằm trong memory,các bác sử dụng taskmanager đóng chương trình lại trước khi tiến hành fix

Registry Keys
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

Hôm nay, em dừng tạm ở đây, mai post tiếp

8.O5 - IE Options not visible in Control Panel
Nó sẽ có dạng như thế này:
O5 - control.ini: inetcpl.cpl=no
Tương ứng với việc khả năng kiểm soát IE trong ControlPanel
Nếu các bác ko nhận ra các hiden icon trong Control Panel, các bácnên fix nó.
9.O6 - IE Options access restricted by Administrator
Nó sẽ có dạng như thế này:
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
Tức là các tính năng thêm vào thanh công cụ toolbar của IE. Nếu các bác ko thích các bác có thể gỡ đi
Registry Key
HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions
10.O7 - Rege*** access restricted by Administrator
Nó sẽ có dạng thế này:
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRege***=1
Các bác ko cần quan tâm nó là cái gì, nếu log xuất hiện item này các bác cứ fix luôn đi, sử dụng hijacklog
Registry key
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
11.O8 - Extra items in IE right-click menu
Dạng như thế này:
O8 - Extra context menu item: &Google Search - C:WINDOWSDOWNLOADED PROGRAM FILESGOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///Crogram FilesYahoo!Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:WINDOWSWEBzoomout.htm
Nếu các bác ko biết tên của cái item thông qua click chuột phải ở IE, các bác nên bỏ nó đi
Registry key
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
12.O9 - Extra buttons on main IE toolbar, or extra items in IE ''Tools'' menu
Dạng sau:
O9 - Extra button: Messenger (HKLM)
O9 - Extra ''Tools'' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Nếu các bác ko nhận ra button hay các menu item thì các bác nên xoá nó đi
Registry key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions registry key.
13.O10 - Winsock hijackers
Dạng của nó như sau:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider ''crogra~1common~2 oolbarcnmib.dll'' missing
O10 - Unknown file in Winsock LSP: crogram files
ewton knowsvmain.dll
Cách tốt nhất để fix lỗi này là sử dụng LSPFix hoặc Spybot S&D .
Các bác lưu ý rằng các file trong Winsock LSP (Layered Service Provider) sẽ không thể được fix bởi hijackthis, để fix nó các bác cần xem cụ thể tại đây :bleepingcomputer.com/f...ial59.html
14.O11 - Extra group in IE ''Advanced Options'' window
Dạng của nó như sau:
O11 - Options group: [CommonName] CommonName
Chỉ có các hijacker mới add vào lựa chọn riêng biệt trên cửa sổ IE Advanced Options. Lỗi này hijack this fix được
Registry key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions
15.O12 - IE plugins
Dạng của nó như sau:
O12 - Plugin for .spop: Crogram FilesInternet ExplorerPluginsNPDocBox.dll
O12 - Plugin for .PDF: Crogram FilesInternet ExplorerPLUGINS
ppdf32.dll
Hầu hết các plugins add vào đêu không sao cả ngoại trừ Onflow (.ofb)
Registry Key:
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins
16.O13 - IE DefaultPrefix hijack
Dạng của nó như sau:
O13 - DefaultPrefix: www.pixpox.com/cgi-bin...ck.pl?url=
O13 - WWW Prefix: prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: ehttp.cc/?
Những item này luôn không tốt cho máy các bác, cho nên các bác sử dụng Hijack fix nó đi

Registry Key:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
17.O14 - ''Reset Web Settings'' hijack
Dạng của nó như sau:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Nếu nhận ra địa chỉ không phải là nhà cung cấp máy tính hay ISP của các bác, các bác fix luôn qua sử dụng Hijackthis
18.O15 - Unwanted sites in Trusted Zone
Dạng của nó như sau:
O15 - Trusted Zone: free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Ở tại Trusted Zone hầu như chỉ có AOL và CoolWebsearch là được add thêm. Ngoài ra, Nếu không phải các bác tự add hoặc không nhận ra đó là site nào, thì các bác sử dụng hijack fix nó
Registry Key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsoneMapRanges HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsoneMapRanges
19.ActiveX Objects (aka Downloaded Program Files)
Dạng của nó như sau:
O16 - DPF: Yahoo! Chat - us.chat1.yimg.com/us.y...1/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.co...wflash.cab
Nếu các bác không biết các URL và tên các objects được download, thì nên sử dụng hijackthis để Fix nó. Nếu trong địa chỉ mà gồm có : ''dialer'', ''casino'', ''free_plugin.... thì các bác cũng fix nó đi
Javacool''s SpywareBlaster là một cơ sở dữ liệu không lồ, trong đó có các ActiveX objects, các bác có thể đem so sánh thông qua việc sử dụng các CLSID
20.Lop.com domain hijacks
Dạng của nó như sau :
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLMSystemCS1ServicesTcpipParameters: SearchList = gla.ac.uk
O17 - HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175
Nếu domain không thuộc ISP hay công ty mạng, thì các bác cư tự nhiên mà fix nó
21.O18 - Extra protocols and protocol hijackers
Dạng của nó như sau:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - CROGRA~1COMMON~1MSIETSmsielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Chỉ có 1 vài hijacker sẽ được xác định tại đây, những gì xấu xa nhất là ?~cn?T (cômmon name),''ayb'' (Lop.com),''relatedlinks'' (Huntbar).Sử dụng hijack fix nó các bác nhé
Registry key
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS HKEY_LOCAL_MACHINESOFTWAREClassesCLSID HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSFilter
22.O19 - User style sheet hijack
Dạng của nó như sau:
O19 - User style sheet: c:WINDOWSJavamy.css
Việc browser chậm , hay một chuỗi các popups , các bác nên sử dụng CWShredder để fix
Registry Key
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: User Stylesheets
23.O20 - AppInit_DLLs Registry value autorun
Giống như vậy:
O20 - AppInit_DLLs: msconfd.dll
Giá trị của registry sẽ nằm tại HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows. sẽ tải một DLL vào memory khi người sử dụng login và nó sẽ ra khỏi memory khi user logoff. Một số chương trình trong win có sử dụng AppInit_DLLs, nhưng thông thường là các trojan và các browser hijacker.
Trong trường hợp các DLL hiden thì sẽ xuất hiện thêm một gạch dọc l ở trứoc trong log
REgistry key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\AppInit_DLLs
24.O21 - ShellServiceObjectDelayLoad
Nó sẽ có dạng như sau
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:WINDOWSSystemauhook.dll
Đây là a method autorun unđocumented, thường được sử dụng ở một số cômponents trong một số Wins. Khi Win được mở, thì nó sẽ load từ khoá registry sau:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ShellServiceObjectDelayLoad
Để fix cái này , cần có một công cụ hỗ trợ, chỉ ra các SSODL. Cho nên các bác đừng tự ý fix.
Registry key
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ShellServiceObjectDelayLoad
25.O22 - SharedTaskScheduler
Nó sẽ có dạng như sau
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:windowssystem32mtwirl32.dll
Đây là một undocumented autorun chỉ với win NT/2000/xp, và rất hiếm khi đươợ sử dụng, Tới này chỉ có CWS.Smartfinder sử dụng nó , và fix
Registry key
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
26.O23 - NT Services
Dạng của nó như sau
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - Crogram FilesKerioPersonal Firewallpersfw.exe
Đây là list các services không phải của Microsoft. List này tương tự cái bạn thấy trong Msconfig đối với Winxp. Một số trojan sử dụng dịch vụ homemade và tự reinstall. PHần đầu là service thông dụng Network Security Service'', ''Workstation Logon Service'' or ''Remote Procedure Call Helper'', còn phần thứ 2 là phần vị trí service nằm trong máy.
Các bác chỉ có thể dừng nó lại, hoặc xoá hẳn nó đi qua hijack hoặc qua các công cụ khác
Như vậy, em đã giới thiệu cho các bác cái nhìn sơ lược về một log. Để có cách nhìn nhận rõ ràng các bác có thể xem thêm tại địa chỉ sau?
http://www.bleepingcomputer.com/tutorials/tutorial42.html
Lúc đầu, em thấy hijack this chẳng có gí hay ho cả. Nhưng sau khi tham gia vào diễn đàn, em thấy nó thực sự hiệu quả trong việc phát hiện các bệnh thường gặp của WIn cũng như fix các lỗi do các hijacker gây ra. Các bác có thể thấy tính hữu dụng của nó qua địa chỉ em đưa cho các bác dưới đây:
http://forums.spywareinfo.com/index.php?showforum=18
Còn phần 3, mai em post tiếp, đi tắm đã

Chóng mặt
YM: tranhoanges

Phần 3: Điều kiện cần có trước khi post log
Đây là phần yêu cầu đối với các victim, các bác cần thực hiện những điều sau trước khi post log, bởi vì, những con các bác dính đã có thể fix bởi các phần mềm rồi cho nên việc nhờ trợ giúp sẽ không cần thiết. Do đó, các bác nên tham khảo những yêu cầu sau:
1.Scan spyware/adware
Các bác nên sử dụng phần mềm
+Ad-aware SE
Các bác down tại địa chỉ sau: http://lavasoft.element5.com/support/download/
+CWShreder
Các bác down tại địa chỉ sau
http://www.majorgeeks.com/download4086.html
+Spybot S&D
Các bác down tại địa chỉ sau
http://www.geekstogo.com/forum/index.php?act=dscript&CODE=showdetails&f_id=5
2.Đối với Virus và trojan
Các bác nên sử dụng các phần mềm sau:
+Ewido Anti-Malware
Các bác down tại địa chỉ sau:
http://www.ewido.net/en/download/
+Trend Housecall
Các bác down tại địa chỉ sau:
http://www.trendmicro.com.au/download/
+AVG
Các bác down tại địa chỉ sau:
http://www.majorgeeks.com/download886.html
+TrojanHunter
Các bác down tại địa chỉ sau:
http://www.softpedia.com/get/Antivirus/TrojanHunter.shtml
Ngoài ra, các chương trình virus có hỗ trợ SCAN ONLINE, điểm mạnh của cái này là khả năng cập nhật virus liên tục. Các bác có thể chọn một trong các địa chỉ sau
http://www.google.com.vn/search?q=antivirus+scan+online&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:en-USfficial
3Windows update
Nếu bác nào sử dụng các bản cũ thì các bác nên update trước khi chúng ta trao đổi với nhau
Nếu bác nào cập nhật liên tục thì quá ổn rồi còn gì
4. Test:
Sau khi đã tiến hành quét các bác nên reboot lại máy để kiểm tra xem máy đã ổn định chưa.
Nếu máy các bác đã ok thi không sao
Nếu không thì các bác thực hiện bước thứ 5
5. post log :

+ các bác sử dụng phiên bản mới nhất của hijackthis
+Tiến hành cài đặt, các bác không nên để ở folder tạm thời (temp). Nên để trong ổ C: .... ( chẳng hạn vậy)
+Để chế độ show hiden option
+turn offbỏ system restore
+Disable các protection programs ( cái này còn phụ thuộc vào từng chương trình, có chương trình ko cần , cái này em sẽ nói sau)
Oài, xong rồi. Như vậy, em đã giới thiệu cho các bác sơ lược về hijackthis. Em hy vọng sẽ có ích cho ttvnol.
Thân ái
Ps: có gì sai sót, không phải, mong các bác lượng thứ

Đọc xong chóng mặt lăn quay ra chết.

hix,

phù, đọc phát hiểu ngay đưọc, chết liền

Đây là cả 1 công trình đề nghị các bác nên tôn trọng. Hách rít ( em dịch ra tiếng mẹ đẻ) là một công cụ mạnh, các bác nên save nó vào 1 file .Doc mà tìm hiểu. Nhiều khi các bạn rất cần đến nó đấy.
Cảm ơn bác chém ngang chém dọc (em không biết đánh cái ký tự của bác đên đành gọi vậy) đã post bài này. Em ủng hộ bác. Em đã Save về để nghiên cứu.

Mình cũng hay dùng Hijack để scan và fix lỗi cho máy nhưng ít khi để ý đến mấy cái log mà sau khi scan nó tạo ra. Phần mềm này để fix lỗi cho hệ thống rất hiệu quả. Cảm ơn bạn đã post lên cho anh em tham khảo. Sau bài viết này của bạn mình đã hiểu nhiều hơn về Hijack.