[shadow]

TrendMicro™ HijackThis™


----------------------------------------------------------------------------------

หลายท่านคงเคยพบเจอปัญหาไวรัส หรือ มัลแวร์อื่นๆ
ซึ่งมีบางครั้งที่ท่านพยายามลบมันออกไปเท่าไหร่ ไม่ว่าด้วยแอนตี้ไวรัสตัวไหนมันก็ไม่ยอมออกไปเสียที
แต่ถ้าหากท่านลองใช้ Hijackthis ดูบางครั้งจะพบว่ามันจะแสดงส่วนที่เป็นปัญหาต่างๆให้เราทราบได้ทันที
ไม่ว่าจะเป็นค่าที่มัลแวร์ฝังไว้ในรีจิสทรี , ไฟล์ที่ยังเหลือตกค้างในเครื่อง , ค่า StartPage ที่ถูก Hijacking แก้ , ค่า BHOs ต่างๆ
ซึ่ง Hijackthis จะสามารถช่วยเราลบออกไปได้อย่างง่ายดาย
แต่ค่าซึ่ง Hijackthis แสดงขึ้นมาให้เราดูนั้น จะมีค่าดั้งเดิมของระบบ และโปรแกรมที่ใช้งานที่มีประโยชน์อื่นๆรวมอยู่ด้วย เพราะฉะนั้นอย่าเข้าใจผิดนะครับ

ข้อจำกัดของมันอยู่ที่ว่า คนที่จะใช้โปรแกรมนี้ได้ดีนั้นต้องมีความรู้ด้านไฟล์ของระบบปฏิบัติการ และความรู้พื้นฐานด้านคอมพิวเตอร์พอสมควร และต้องมีประสบการณ์ด้วยจึงจะสามารถใช้โปรแกรมนี้ได้ดี
เพราะบางครั้งที่เราใช้ Hijackthis สแกนแล้ว หากลบค่าไปแบบไม่คิด อาจจะทำให้ค่าที่จำเป็นต้องใช้สำหรับระบบสูญหายไปได้

ซึ่งผมขอแนะนำการใช้ไว้คร่าวๆดังนี้
ขั้นแรกให้ทำการโหลด Hijackthis
(Version ปัจจุบัน จากเว็บไซต์อย่างเป็นทางการ)

จากนั้นให้ทำการแตกไฟล์ออก ดับเบิ้ลคลิกเข้าโปรแกรม กดที่ Do a system scan and save a log files
หลังจากการสแกนจะมีหน้าต่าง Nodepad เด้งขึ้นมา
สำหรับคนที่มีความรู้อยุ่แล้วตอนนี้ก็จะสามารถ ดูค่าที่ผิดปกติแล้วใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด ทำการ Fix checked มันออกไปได้ทันที
แต่สำหรับมือใหม่ที่ยังไม่มีความรู้ ให้ทำการคัดลอกข้อความทั้งหมดที่อยู่ใน Nodepad

ตัวอย่าง

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 28/1/2550
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

CODE

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Shadow\Start Menu\Programs\Startup\LayoutFix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\Documents and Settings\Shadow\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ClocX] "C:\Program Files\ClocX\ClocX.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [RSD_HDDThermo] "C:\Program Files\HDD Thermometer\HDD Thermometer.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LayoutFix.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ค้นหา - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: ทำให้เด่นชัด - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: ระงับการแสดงผลภาพที่มาจากเครื่องผู้ให้บริการเดียวกัน - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: เปิดทุกหน้าเชื่อมโยงที่มีในหน้านี้... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: เปิดใน Avant Browser หน้าใหม่ - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: เพิ่มไปในรายการบัญชีดำตัวป้องกันการแสดงโฆษณา - C:\Program Files\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra 'Tools' menuitem: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129w.bay129...es/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O17 - HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

ไปโพสต์ในช่องว่างที่เว็บ
http://hijackthis.de/
แล้วกดปุ่ม Analyze เพื่อให้เว็บไซต์วิเคราะห์ข้อมูลออกมาได้ทันที

วิธีการตรวจสอบ

- หากรายการนั้นมีเครื่องหมายถูก แสดงว่ารายการนั้นเป็นรายการที่ปลอดภัย

ระดับความปลอดภัยจะขึ้นอยู่กับ ตัวหนังสือที่แสดงคือ Very safe , Safe , Neutral และมีเครื่องหมายแต่ไม่มีข้อความ ตามลำดับ

- หากรายการนั้นมีเครื่องหมายกากบาทสีแดง ,กากบาทสีแดงพร้อมด้วยข้อความ Extremely nasty หรือ nasty หรือเป็นเครื่องหมายคำถาม แต่มีข้อความ Extremely nasty

แสดงว่ารายการนั้นเป็นรายการที่ไม่ปลอดภัย อาจเป็นค่าของไวรัส โทรจัน มัลแวร์ต่างๆ ที่เข้ามาฝังในเครื่อง
ให้ติ๊กเครื่องหมายหน้ารายการนั้นๆในโปรแกรม Hijackthis เพื่อ Fix checked ได้ทันที

- หากรายการนั้นมีเครื่องหมายกากบาทสีส้ม หรือเครื่องหมายกากบาทสีส้มพร้อมด้วยข้อความ Very safe , Safe , Neutral
และในรายการของค่ามี (no file) หรือ (file missing) ตามหลังหมายถึงว่าไฟล์เหล่านั้นไม่ได้มีอยู่แล้ว แต่ในเครื่องยังมีค่าส่วนนี้ตกค้างอยู่
สามารถทำการ Fix checked ได้ทันที

ตัวอย่าง



- หากรายการนั้นมีเครื่องหมายคำถาม ( unknown ) แสดงว่าทางเว็บไม่มีข้อมูลของรายการนั้นในฐาน
ข้อมูล

ซึ่งรายการนั้นจะเป็นค่าที่มีความปลอดภัย หรือ ไม่ปลอดภัยก็ได้
ในกรณีนี้ให้เราพิจารณาว่า ค่าตัวนั้นๆเป็นค่าของอะไรหรือโปรแกรมไหน และเราใดติดตั้งไว้เองหรือไม่
หากพิจารณาจนแน่ใจแล้วว่าไม่ใช่ค่าที่ถูกต้องก็สามารถ Fix checked ได้ทันที

ทางเว็บ Hijackthis นั้นยังมีระบบที่ให้ผู้เข้ามาใช้งานสามารถตรวจสอบ ค่าต่างๆและร่วมให้ข้อมูลกับทางเว็บได้ โดยหากเราต้องการดูรายละเอียดของค่าข้อมูลตัวไหนก็สามารถกดปุ่มที่ปรากฏอยู่หน้าค่าเหล่านั้นได้ทันที ก็จะปรากฏข้อมูลที่เคยมีผู้ให้ไว้แสดงขึ้นมา



และเราก็สามารถให้ข้อมูลแก่ทางเว็บได้เช่นกันในกรณีที่เรารู้จักค่าตัวนั้นอย่างแน่ช
ัด
โดยแสดงความคิดเห็นและระดับคะแนนลงไป




สำหรับผู้ใช้เริ่มต้นที่ไม่มีความชำนาญและไม่มีความรู้ในด้านระบบไฟล์
ให้ปฏิบัติดังนี้

เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe

ค่าๆนี้หากวิเคราะห์ด้วยเว็บไซต์ hijackthis.de จะบอกว่าเป็นค่าที่ไม่รู้จัก
แต่หากเป็นผู้ใช้ที่มีความรู้ด้านระบบไฟล์ก็จะรู้ได้ทันทีว่าไม่ถูกต้อง แต่หากเป็นผู้ใช้เบื้องต้นก็จะไม่ทราบดังนั้นวิธีการคือ ให้เข้าเว็บไซต์
www.google.com
จากนั้นก็ค้นหาด้วยคำว่า iexp1ore.exe ก็จะมีเว็บไซต์ที่แสดงรายละเอียดของไฟล์ตัวนี้ขึ้นมาทันที
ซึ่งก็้เพียงคลิกตามลิงค์เข้าไปดูก็จะทราบว่าเป็นค่าที่ปลอดภัยหรือๆไม่

เมื่อได้พิจารณาจากข้อมูลแล้วว่าตัวไหนเป็นค่าที่ไม่ปลอดภัยต้องการลบก็ให้ใส่เครื่อ
งหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด Fix checked ซึ่งในขั้นตอนนี้นั้นให้ท่านบันทึกหรือจำที่อยู่ของไฟล์ที่จะอยู่หลังค่าต่างๆที่ท่า
น Fix checked ไว้
เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
ที่อยู่ของไฟล์ที่ค่าๆนี้อ้างอิง คือ C:\WINDOWS\system32\iexp1ore.exe

จากนั้นให้ท่านรีบูตเครื่องคอมพิวเตอร์ใหม่เพื่อเข้าสู่ Safe Mode
วิธีการ คือ ตอนเครื่องได้เริ่มเปิดใหม่นั้นให้กดปุ่ม F8 บนคีย์บอร์ดหลายๆครั้ง
ก็จะมีหน้าต่างให้เลือกเข้าสู่ Safe Mode

หลังจากได้เข้าสู่ Safe Mode แล้วก็ให้เข้าไปลบไฟล์ต่างๆ ที่ได้จำไว้ตามไดเรคทอรี่ต่างๆให้หมด
เพื่อเป็นกำจัดให้สิ้นซาก จากนั้นก็รีบูตเครื่องอีกครั้งหนึ่ง
เท่านี้ปัญหาต่างๆที่ท่านพบก็จะถูกแก้ไขอย่างหมดจด


คำแนะนำเพิ่มเติม
การวิเคราะห์ด้วยเว็บนั้นได้ผลดีในระดับหนึ่งเท่านั้น บางครั้งหากต้องการคำแนะนำจากผุ้เชี่ยวชาญจริงๆ ในกรณีที่ท่านไม่มีความรู้ หรือไม่แน่ใจในเรื่องต่างๆ ท่านก็สามารถนำ Log file ข้อความที่ได้มาโพสต์ตามเว็บบอร์ดต่างๆ เพื่อให้ผู้เชี่ยวชาญวิเคราะห์ให้โดยตรงได้เช่นกัน

เช่น
http://community.thaiware.com/
หมวด Security forum

หรือ

http://board.thaidar...m/SMF/index.php
หมวด Virus Trojan & Spyware

หรือเว็บไซต์อื่นๆเพื่อขอคำแนะนำได้


(Version ปัจจุบัน จากเว็บไซต์อย่างเป็นทางการ)

This post has been edited by Dj'Aqua: 17 March 2008 - 07:34 PM

[~๐:KiHae:๐~]

ทำไมแตกซิปออกมาแล้วไม่มีอาไรอ่ะคับ

This post has been edited by shadow: 19 February 2007 - 09:01 PM

[shadow]

มีนะครับ ดูให้ดีมันจะมีอยู่ ( ดูตามรูป )

Attached File(s)

•  HJT.jpg (3.95K)
  Number of downloads: 24

[~๐:KiHae:๐~]

แบบว่า...พอแตกไฟล์แล้วตัว McAfee มันเด้งมาอ่ะคับ

This post has been edited by shadow: 19 February 2007 - 09:24 PM

[shadow]

[WTF]

จด log ที่น้องเค้าโพสไปด้วยนะครับ ไปเทียบกันเวลา แสกน

กด ส่งเดชลบหมด IE พังนะเออ

[Mr.Ben]

แล้วเนี่ยทำเพื่ออะไรเหรอ

[shadow]

ท่านไหนอยากศึกษาวิธีอ่านโค๊ดเองเพื่อความรอบรู้นะครับ
เชิญได้ที่เว็บนี้ครับ

http://forums.majorg...ead.php?t=38752

[Alane]

ถ้าวิเคราะห์จากเว็บแล้วเป็น เครื่องหมายผิด ก็ให้ลบหรอคะ??

[shadow]

[sixteen]

เจ๋งมากเลยครับ

[the_best_programmer]

ขอขอบพระคุณเป็นอย่างมากครับ

[noina]

ขอขอบพระคุณเป็นอย่างมากครับ

เคยลงไว้ใช้ ทำให้เข้าเนตเวิร์ค ไม่ได้ เกิดจากอะไรหรอ เลยต้อง uninstall จากนั้น ใช้ไปไมนาน เครื่องเจ๊ง

This post has been edited by noina: 17 February 2007 - 09:22 AM

[shadow]

เคยลงไว้ใช้ ทำให้เข้าเนตเวิร์ค ไม่ได้ เกิดจากอะไรหรอ เลยต้อง uninstall จากนั้น ใช้ไปไมนาน เครื่องเจ๊ง

ที่เข้าเน็ตไม่ได้เป็นเพราะคุณไปลบค่าที่มันอ้างอิง server ผู้ให้บริการ Internet ออกไปไงครับ
มันคือค่าประมาณนี้ครับ

HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

ส่วนทำให้เครื่องเจ๊งนั้นไม่น่าจะมาจาก Hijackthis ครับ

[toilet]

ขอบคุณมากครับ

แต่ทำไมเครื่องมันยังช้าอยู่อ่ะครับ

เวลารีบูตเครื่องรอไอคอนแสดงก็นานมากเลยครับ ประมาณเกือบ10นาที

แบล็คกราวน์ก็เปลี่ยนไม่ได้อ่ะครับ

[cheese_kate]

thAnk you so much

[tapaonoi]

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

2อันนี้ มันขึ้น กากบาท แต่มันบอกว่า safe
ช่วยดูให้หน่อยสิครับ ว่ามันคืออะไร

[shadow]

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

2อันนี้ มันขึ้น กากบาท แต่มันบอกว่า safe
ช่วยดูให้หน่อยสิครับ ว่ามันคืออะไร

เห็นด้านหลังไหมครับ วงเล็บไว้ว่า (file missing) หมายถึงไม่มีไฟล์นั้นอยู่แล้วครับ
ให้ทำการ fix ออกได้ทันที

[keichi]

ว้าว! เยี่ยมจริง ๆ เลย กำลังมีปัญหาเรื่องนี้พอดีเลย ขอบคุณท่านจอมยุทธ์ทั้งหลาย

[He||O_Za]

ขอบคุณมากคับ มันหายไปเลยทีนี้