Tìm và diệt virus
1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd
* Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong
C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc
chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các
thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở
các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^
* Bây giờ virus thường chạy cùng một lúc nhiều tiến trình
Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là ừdng một tiến trình của nó
rồi tắt từng tiến trình một
a. sử dụng lệnh dir để xem file
lệnh dir /ah dùng để xem tất cả những file ẩn
b. sử dụng lệnh tasklist để xem tiến trình đang chạy
* Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy
* Còn nếu muốn xem chi tiết các ịdch vụ(services) chạy cùng tiến trình đó
Ta dùng lệnh tasklist /svc
Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những ịdch vụ j chạy cùng
ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình”
Vidu: tasklist /svc /fi “imagename eq svchost.exe”
64 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2109 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Tìm và diệt virus, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Tìm và di t virusệ
1. Cách tìm ti n trình ch y, virus s d ng câu l nh trong cmdế ạ ử ụ ệ
* T t c các file đuôi nấ ả ẩ *.exe, *.dll, *.bat, *.txt, *.vbs, *.js n m trongằ
C:\windows, c:\windows\system32, c:\windows\system đ u là virus ho cề ặ
ch ng trình đ c h i. Khi mu n ki m tra các thu c tính n nên ki m tra cácươ ộ ạ ố ể ộ ẩ ể ở
th m c windows, system32, system, drivers trong c:\ . Và tìm các file n ư ụ ổ ẩ ở
các D , E , F c bem th ng tay ko ph i s ^^ổ ứ ẳ ả ợ
* Bây gi virus th ng ch y cùng m t lúc nhi u ti n trìnhờ ườ ạ ộ ề ế
Ta có th t t cùng m t lúc nhi u ti n trình ho c là d ng m t ti n trình c a nóể ắ ộ ề ế ặ ừ ộ ế ủ
r i t t t ng ti n trình m tồ ắ ừ ế ộ
a. s d ng l nh dir đ xem file ử ụ ệ ể
l nh ệ dir /ah dùng đ xem t t c nh ng file n ể ấ ả ữ ẩ
b. s d ng l nh tasklist đ xem ti n trình đang ch yử ụ ệ ể ế ạ
* N u dùng nguyên l nh ế ệ tasklist thì đ xem ti n trình đang ch yể ế ạ
* Còn n u mu n xem chi ti t các d ch v (services) ch y cùng ti n trình đó ế ố ế ị ụ ạ ế
Ta dùng l nh ệ tasklist /svc
N u có m y ti n trình cùng tên nhau mu n xem rõ có nh ng d ch v j ch y cùngế ấ ế ố ữ ị ụ ạ
ta dùng l nh ệ tasklist /svc /fi “imagename eq tên ti n trình”ế
Vidu: tasklist /svc /fi “imagename eq svchost.exe”
c. s d ng l nh taskkill đ t t ti n trình đang ch yử ụ ệ ể ắ ế ạ
* l nh ệ taskkill /f /pid đ t t ti n trình khi bi t ch s PID c a nóể ắ ế ế ỉ ố ủ
vidu: nh bên trên tasklist PID c a explorer là 768, ta t t explorer.exeư ủ ắ
taskkill /f /pid 768
• mu n t t nhi u ti n trình cùng m t lúc ta ch vi c thêm pid, ho c thêm tênố ắ ề ế ộ ỉ ệ ặ
ti n trìnhế
taskkill /f /pid id1 /pid id2 /pid id3…..
taskkill /f /im tientrinh1 /im tientrinh2…..
vidu:
d. s d ng l nh del đ xóa các fileử ụ ệ ể
Mu n xóa 1 file có thu c tính n, siêu n ta dùng l nh ố ộ ẩ ẩ ệ del /a /f
Vid : d i ta th y có file ụ ở ướ ấ he.txt là n ta dùng l nh ẩ ệ del /a /f he.txt đ xóaể
2. Ngăn ch n file ch y s d ng gpedit.mscặ ạ ử ụ
khi đã nhi m virus ta ch có th ngăn ch n vi c kh i ch y c a chúng b ng cáchễ ỉ ể ặ ệ ở ạ ủ ằ
ch y gpedit.msc đ ngăn c n không cho ti n trình đó ch y là okạ ể ả ế ạ
vào Run gõ Gpedit.msc computer configuration windows settings
security settings software restrictions policies
chu t ph i vào ộ ả software restrictions policies ch n ọ creat new policies ch nọ
additional rules chu t ph i ch n ộ ả ọ new hash rules -> r i browse đ n ch ng trìnhồ ế ươ
mình c n ch n ko cho kh i ch yầ ặ ở ạ
vid : đây tôi ch n ch ng trình ụ ở ặ ươ regedit.exe(not virus). N u là virus b n ph iế ạ ả
tìm t i t n g c c a nó, t c n i mà ch ng trình đang th c thiớ ậ ố ủ ứ ơ ươ ự
Bây gi th m regedit ko th đ oc n a r i..:>ờ ử ở ể ự ữ ồ
3. S d ng auturuns + APT + Gmer + Iceswordử ụ
* Autoruns process: ch ng trình autoruns dùng đ xem nh ng file kh iươ ể ữ ở
ch y, nh ng file th vi n đ ng (dll) ch y trong regeditạ ữ ư ệ ộ ạ
Ch ng trình có th đ c download t i ươ ế ượ ạ
us/sysinternals/bb963902.aspx
Hi n m i n i trong h th ng mà có th đ c c u hình đ ch y lúc kh i đ ng vàệ ọ ơ ệ ố ể ượ ấ ể ạ ở ộ
lúc đăng nh pậ
Nh ng khoá ch y Run và ữ ạ ở folders Startup
- ch y Shell, và userinitạ ở
- các d ch v (services) và ch y driversị ụ ạ ở
- ch y tác v (tasks)ạ ở ụ
- nh ng thay đ i trong winlogonữ ổ
- nh ng ph n đính vào (addins) trong IE và trong Explorer.ữ ầ
- m t s ph n khác ph thêm….ộ ố ầ ụ
Autoruns dùng xem đ bi t đ ng d n c a các file nh đ c h i v n n mể ế ườ ẫ ủ ư ộ ạ ẫ ằ
trong h th ng, t đó ta có th bi t n i virus đang n m đ xóa.ok. ch trongệ ố ừ ể ế ơ ằ ể ứ ở
autoruns này ch th hi n các khóa n m trong regedit.ỉ ể ệ ằ
• Advanced Process Termin ation (APT 4.0) :
s d ng APT đ d ng và t t ti n trình c ng đ u, c ng c cử ụ ể ừ ắ ế ứ ầ ứ ả ổ
N u có nhi u ti n trình c a virus ch y cùng m t lúc.ta dùng ch ng trình nàyế ề ế ủ ạ ộ ươ
đ d ng(suspend) ti n trình đó r i t t t ng “chú” m tể ừ ế ồ ắ ừ ộ
Đây là m t ch ng trình khá m nh dùng đ d ng m t ti n trình ho c t t m tộ ươ ạ ể ừ ộ ế ặ ắ ộ
ti n trình theo nhi u cáchế ề
Ch đ kernel kill c a ch ng trình này khá m nh.có th t t đ c nhi uế ộ ủ ươ ạ ể ắ ượ ề
ch ng trình c ng đ u, có đăth password nh pcsecurity,…ươ ứ ầ ư
Download t i đây ạ
• GMER:
Công c này dùng đ xoá nh ng file không th xoá, và đ tìm nh ng file nụ ể ữ ể ể ữ ẩ
b ng các hàm API trong windows, đ tìm nh ng file .sys ch y trong c:\ằ ể ữ ạ
window\system32\drivrers.
• Icesword:
Công c này có th dùng th c thi trong regedit khi mà regedit b khoá hay bụ ể ự ị ị
ngăn ch n không cho th c thi. Và công c này cũng đ tìm và xoá nh ng fileặ ự ụ ể ữ
không th xoá, nhìn th y nh ng file siêu n, nh ng file n b ng hàm APIể ấ ữ ẩ ữ ẩ ằ
t ng t nh gmer. Icesword cũng có nhi u ch c năng gi ng gmer(nh ng tôiươ ự ư ề ứ ố ư
khoái gmer h n :D)ơ
4. s d ng sand boxie control đ phân tích virus, các b n có th t i ch ng ử ụ ể ạ ể ả ươ
*. trình sand boxie control(dung l ng 244 kb)các b n có th ph n m mượ ạ ể ầ ề
sendboxie t i đ a ch sau: ạ ị ỉ www. sandboxie.com .
sendboxie control là m t ch ng trình t o lên m t b nh t m , và m i tácộ ươ ạ ộ ộ ớ ạ ọ
v đ c/ghi đ u thông qua b nh đ m này nên sau đó có th xoá s chụ ọ ề ộ ớ ệ ể ạ
không đ l i d u v t gì trên c ng, không nh h ng gì đ n h th ngể ạ ấ ế ổ ứ ả ưở ế ệ ố
c a b n. nh v y b n có th yên tâm ch y th ch ng trình m i khi ch aủ ạ ư ậ ạ ể ạ ử ươ ớ ư
bi t tác d ng c a nó nh th nào, có an toan hay nh h ng gì không ….ế ụ ủ ư ế ả ưở
*.cách s d ng ch ng trình sendboxie controlử ụ ươ
Sau khi cài đ t xong các b n x th y bi u t ng c a sendboxie d iặ ạ ẽ ấ ể ượ ủ ướ
thanh taskbar nh hình d i đây.ư ướ
Các b n vào menu -> sandbox ->create newạ
sandbox(t o ra m t user)ạ ộ
Sau khi các b n t o user xong b c ti p theo là:ạ ạ ướ ế
ch n start ->programs ->Sandboxie -> Run any program sandboxed.ọ
ti p đó x hi n ra c a s run sandboxed các b n chon vào user (virus) mà các b nế ẽ ệ ử ổ ạ ạ
m i kh i t o và ch n OKớ ở ạ ọ
ti p theo đó ch ng trình x đ a ra m t c a s đ ng d n b n ch n Browse…ế ươ ẽ ư ộ ử ổ ườ ẫ ạ ọ
Sau đó tìm đ n th m c b n c n ch y th .ế ư ụ ạ ầ ạ ử
Đó là t t c các b c kh i t o và ch y th . ấ ả ướ ở ạ ạ ử
cu i cùng chúng ta s ki m tra ti n trình ch y và các file đ c sinh ra do conố ẽ ể ế ạ ượ
virus mà chúng ta vua ch y th . Các b n ki m tra b ng cách sau:ạ ử ạ ể ằ
vào C:\Sandbox\Administrator\virus, trong user virus x hi n th t t cẽ ể ị ấ ả
các file mà đã đ c kích ho t ượ ạ
Trong tr ng h p máy c a chúng ta b virus thì chúng ta có th tìm file lây nhi mườ ợ ủ ị ể ễ
sau đó dùng ch ng trình sandboxed đ tìm ra các file lây nhi m và di t theoươ ể ễ ệ
đ ng d n mà ch ng trình sandboxed đã hi n th nh bài h óng d n trên.ườ ẫ ươ ể ị ư ưư ẫ
5. cách s d ng hijackthisử ụ
Tác gi Merijn Bellekom đã phát tri n m t ch ng trình mi n phí v i tên làả ể ộ ươ ễ ớ
Hijackthis đ có th xoá các browser hijacker (nói nôm na là nh ng ch ng trìnhể ể ữ ươ
thay đ i nh ng tinh ch nh, tuỳ ch n trong browser c a m i ng i ví d nhổ ữ ỉ ọ ủ ọ ườ ụ ư
coolwebsearch). Ti n ích này còn có th làm đ c nhi u h n th n a đó là ki mệ ể ượ ề ơ ế ữ ể
tra và phát hi n các trình phá ho i khác đ c cài vào h th ng.ệ ạ ượ ệ ố
V i s giúp ích c a hijackthis thì công vi c phân tích, tìm và đ a ra h ng gi iớ ự ủ ệ ư ướ ả
quy t đ i v i malware s d dàng h n nhi u cho c ng i b nhi m v i ng iế ố ớ ẽ ễ ơ ề ả ườ ị ễ ớ ườ
giúp.
T i v và cài đ t : ả ề ặ
Sau khi t i v ho c t i v t ả ề ặ ả ề ừ ho cặ
b n c n s d ng winzip đ gi iạ ầ ử ụ ể ả
nén t p tin đã đ c nén l i d i d ng file.zip vào m t th m c đ c t o s n [1]ệ ượ ạ ướ ạ ộ ư ụ ượ ạ ẵ
cho nó đ cho hijackthis có th t o backup cho nh ng thay đ i c a b n đ i v iể ể ạ ữ ổ ủ ạ ố ớ
h th ng.ệ ố
Hi n đã có b n 2.02 c a trendsecure v i m t s c i ti n đây :ệ ả ủ ớ ộ ố ả ế ở
đ ngh s d ng b n này khi t o log đ có h tr t t h nề ị ử ụ ả ạ ể ỗ ợ ố ơ .
R t quan tr ng: b n nên t o riêng m t th m c cho hijackthis đ trong tr ngấ ọ ạ ạ ộ ư ụ ể ườ
h p c n thi t có th ch nh l i đ c nh ng thay đ i c a ch ng trình đ i v i hợ ầ ế ể ỉ ạ ượ ữ ổ ủ ươ ố ớ ệ
th ng.ố
[1] có th là c:\program files\hijackthis\ể
L i có th g p ph i khi cài hijackthis : ỗ ể ặ ả
Thi u MSVBVM60.DLL ---> cách gi i quy t là vàoế ả ế
đ t i VBRun60.exeể ả
v và cài vào máy.ề
N u không th ch y đ c ch ng trình hijackthis và có nghi ng là ch ng trìnhế ể ạ ượ ươ ờ ươ
phá ho i đã làm vi c ngăn ch n máy b n cho ch y ti n trình c a hijackthis thìạ ệ ặ ạ ạ ế ủ
b n có th đ i tên c a hijackthis thành m t file .com ch ng h n nh kiemtra.comạ ể ổ ủ ộ ẳ ạ ư
r i cho ch y hijackthis.ồ ạ
S d ng hijackthis t o log-file:ử ụ ạ
1.S d ng Windows Explorer đ chuy n vào th m c mà b n đã cài đ tử ụ ể ể ư ụ ạ ặ
hijackthis (ví d nh trong bài này là c:\program files\hijackthis\ụ ư ở
2.L n đ u tiên s d ng hijackthis thì b n s nh n đ c m t l i c nh báo tầ ầ ử ụ ạ ẽ ậ ượ ộ ờ ả ừ
ch ng trình, b n có th b qua vi c đ c h ng d n khá dài này b ng vi cươ ạ ể ỏ ệ ọ ướ ẫ ằ ệ
nh n ok (nh ng tôi v n khuyên b n nên đ c đ hi u thêm m t chút v ch ngấ ư ẫ ạ ọ ể ể ộ ề ươ
trình b n s d ng).ạ ử ụ
3.Sau khi b n n ok đ xác nh n thì ch ng trình s hi n lên c a s “new userạ ấ ể ậ ươ ẽ ệ ử ổ
quickstart”, b n nh n vào nút đ c tô màu đ v i tên “Do a system scan and saveạ ấ ượ ỏ ớ
a log file”.
4.Sau khi th c hi n quét trong máy thì b n s th y xu t hi n khung c a s c aự ệ ạ ẽ ấ ấ ệ ử ổ ủ
notdpad mà trong đó là n i dung c a log file đ c t o b i hijackthis, log file nàyộ ủ ượ ạ ở
b n có th l u l i d i đ ng d n c:\program files\hijackthis\ ạ ể ư ạ ướ ườ ẫ
v i file ---> save as ----> tên là hijathis1.log và n save ;)ớ ấ
Log file đ c t o ra v i 3 ph n :ượ ạ ớ ầ
1.Ph n đ u tiên là nh ng thông tin v h th ng (systeminformation), tình tr ng váầ ầ ữ ề ệ ố ạ
l i c a h th ng.ỗ ủ ệ ố
2.Ph n gi a là nh ng ch ng trình đang đ c ch y trên h th ng.ầ ữ ữ ươ ượ ạ ệ ố
3.Ph n cu i là nh ng m c t R0 đ n R23 (s đ c mô t d i).ầ ố ữ ụ ừ ế ẽ ượ ả ở ướ
Đánh giá v logfile : ề
a. Kh năng th nh t : ả ứ ấ
B n có th t đánh giá logfile do hijackthis t o ra b ng cách ki m tra nh ngạ ể ự ạ ằ ể ữ
processes ho c nh ng m c c a registry có kh năng là do malware t o ra trongặ ữ ụ ủ ả ạ ở
các trang sau đây :
(pacmans-startup list)
(answer that work)
( CLSID list)
www.google.com (:-))
(virus list)
https://www.virusbtn.com/login (Vgrep)
T t nhiên, b n ph i bi t đ c chính xác là b n đang tìm ki m v con virus, ti nấ ạ ả ế ượ ạ ế ề ế
trình hay chu i nào trong registry và không nên ghi đè hay xoá đi logfile đã thuỗ
đ c b ng hijackthis phòng cho tr ng h p b n g p sai sót khi s d ng s aượ ằ ườ ợ ạ ặ ử ụ ử
ch a c a hijackthis (fix).ữ ủ
b.Tr ng h p th 2 thì b n có th t o log-file và sau đó vào trang sau: ườ ợ ứ ạ ể ạ
và dán n i dung c a log-file vào ô textbox r i n vào Analyze d i đ cho trangộ ủ ồ ấ ở ướ ể
web phân tích n i dung log-file c a b n. Trên trang này là m t trang t p h pộ ủ ạ ộ ậ ợ
đ c r t nhi u các ghi chú c a các thành viên v các process, entries c a registryượ ấ ề ủ ề ủ
nên qua đó b n cũng có th có cái nhìn t ng đ i v n i dung c a log-file c aạ ể ươ ố ề ộ ủ ủ
máy mình, b n s nh n ra r t d dàng là có entries nào đó kh nghi và có th tìmạ ẽ ậ ấ ễ ả ể
hi u thêm v nó các trang web đ c li t kê trên.ể ề ở ượ ệ ở
Ti n hành s a ch a nh ng entries không h p l trong b ng log c aế ử ữ ữ ợ ệ ả ủ
hijackthis :
Sau khi đã ki m tra và phát hi n ra nh ng entries kh nghi trong log-file, b n cóể ệ ữ ả ạ
th ti n hành fix nh ng entries đ y:ể ế ữ ấ
-Ti n hành t t system restore và reboot máy vào ch đ safe mode.ế ắ ế ộ
-Cho ch y l i hijackthis và đánh d u vào nh ng entries đ c đánh giá là kh nghiạ ạ ấ ữ ượ ả
và sau đó n vào “fix checked” đ ch ng trình có th ti n hành lo i b nh ngấ ể ươ ể ế ạ ỏ ữ
entries kh nghi đó.ả
-Thí d : khi t phát hi n ra entry O4-.... igfxtray.exe c a t có kh nghi (gi sụ ớ ệ ủ ớ ả ả ử
thôi nha), t vào safe mode, b t hijackthis lên, sau đó cho nó scan r i đánh d uớ ậ ồ ấ
ch n entry này nh hình sau :ọ ư
r i n fixchecked. Nh v y là t đã lo i b cái entry cho kh i đ ng igfxtray.exeồ ấ ư ậ ớ ạ ỏ ở ộ
ra kh i registry ---> kh i đ ng l i máy nó s không th ch y file này n a.ỏ ở ộ ạ ẽ ể ạ ữ
Gi s sau này t phát hi n ra nó là file h p l ---> t ph i restore cái entry này,ả ử ớ ệ ợ ệ ớ ả
r t may là hijackthis có kh năng restore nh ng cái nó làm b ng cách t o backupấ ả ữ ằ ạ
---> t cho ch y l i hijackthis, ch n "none of the above, just start the program" --->ớ ạ ạ ọ
n vào config ---> ch n tab backup và nó s hi n ra entry t đã xóa : ấ ọ ẽ ệ ớ
đánh d u vào entry đó và ch n restore, nó s tr l i v v trí cũ c a entry đó trongấ ọ ẽ ả ạ ề ị ủ
registry
Ho c có th phân tích log nh sauặ ể ư
R0, R1, R2, R3 Internet Explorer
Start/Search pages URLs
R0, R1, R2, R3 – những trang bắt đầu chạy và search khi chạy IE
F0, F1 Tự động load các chương trình
N1, N2, N3, N4 những trang bắt đầu chạy và search khi chạy Netscape/Mozilla
O1 Những file chạy trên Hosts
O2 Những đối tượng trợ giúp trình duyệt(khá nguy hiểm)
O3 – Toolbar trên IE
O4 Tự động load các chương trình từ registry
O5 Những tuỳ chọn trong IE không hiển thị biểu tượng trong Cổntl Panel
O6 Những tuỳ chọn IE truy cập bị ngăn cản bởi Administrator
O7 những truy cập vào Regedit bị ngăn cản bởi Administrator
O8 những chỉ mục lớn trong menu khi kích chuột phải trong IE
O9 Những nút mở rộng trên thanh công cụ chính của
O10 về Winsock
O11 tuỳ chọn nâng cao trong nhóm IE mở rộng
O12 Những đính thêm vào IE
O13 IE DefaultPrefix hijack
O14 'Reset Web Settings' hijack
O15 Những site không mong muốn trong Trusted Zone
O16 Những đối tượng ActiveX(ActiveX Objects) (khá nguy hiểm)
O17 Lop.com domain hijackers
O18 Extra protocols and protocol hijackers
O19 Những tờ mẫu người sử dụng hijack(User style sheet hijack )
6. Dùng System Explorer đ Quan sát - Di t Malware tri t đ h n.ể ệ ệ ể ơ
System Explorer (Download)
Quan Sát và Di t Malware tri t đ h n.ệ ệ ể ơ
--------
Các tính năng:
_ Qu n lý Process t ng t Task Manager ả ươ ự
_ “Hide All Microsoft Entries” ( n các process “an toàn” c a Windows) giúp ki m traẩ ủ ể
Process l d dàng h n.ạ ễ ơ
Autorun – StartUp : giúp ki m tra các ng d ng kh i đ ng cùng ể ứ ụ ở ộ
Windows.
_ Monitoring - Modules : xem nh ng file *.dll đã đang đ c Load. T đây mình có thữ ượ ừ ể
"nghi ng " nh ng file dll l , ho c đôi khi có th d a vào n i dung c a 2 c t (Productờ ữ ạ ặ ể ự ộ ủ ộ
Name & Company Name) (th ng nên nghi ng nh ng dll nào tr ng 2 c t này).ườ ờ ữ ố ộ
_ Monitoring - Connections : li t kê các c ng k t n i internet.ệ ổ ế ố
*** Monitoring - SnapShot : Ch c năng quan tr ng nh t c a System Explorer trongứ ọ ấ ủ
vi c quan sát Malware.ệ
--------------
Các b c quan sát Malware b ng SnapShot c a System Explorer:ướ ằ ủ
B c chu n b :ướ ẩ ị Nên t t h t các ch ng trình khác nh m tăng t c đ quan sát vàắ ế ươ ằ ố ộ
gi m b t k t qu , s ti n h n khi đ c Log file.ả ớ ế ả ẽ ệ ơ ọ
T t h t nh th này càng t t.ắ ế ư ế ố
Trong quá trình quan sát, nên h n ch m thêm b t kì ch ng trình ng d ng nào, đi uạ ế ở ấ ươ ứ ụ ề
này cũng nh m m c đích nêu trên.ằ ụ
Đ ng nhiên là ph i ti n hành trên máy s ch r i. (hãy cân nh c tr c khi cho dínhươ ả ế ạ ồ ắ ướ
Malware vào máy nhé)
B c 1) ướ Ch p t m nh th 1 v thông tin File & Registry toàn máy tính:ụ ấ ả ứ ề
B c 2) ướ Ti n hành cho dính Malware vào máy tính.ế
Malware khi đ c kích ho t, s t o - xóa - s a các Files - Folders - Registry.ượ ạ ẽ ạ ử
Tùy vào m i lo i Malware mà chúng s t o - xóa - s a nh ng gì trong nh ng kho ngỗ ạ ẽ ạ ử ữ ữ ả
th i gian nào.ờ
B c 3)ướ Ti p t c ch p t m nh th 2 v thông tin File & Registry toàn máy tính:ế ụ ụ ấ ả ứ ề
L u ýư : Vì m i Malware có m i ki u t o - xóa - s a các Files - Folders - Registry khácỗ ỗ ể ạ ử
nhau trong nh ng kho ng th i gian khác nhau, nên ta s không rõ đ c Malware có làmữ ả ờ ẽ ượ
li n h t công vi c c a nó ngay khi dính vào máy ta. B i th c n có m t kho ng th iề ế ệ ủ ở ế ầ ộ ả ờ
gian ch đ Malware có th làm hoàn t t các công vi c t o - xóa - s a r i m i ti nờ ể ể ấ ệ ạ ử ồ ớ ế
hành ch p ti p t m nh th 2 này.ụ ế ấ ả ứ
N u th c s mu n ch c ch n h n v vi c Malware có làm gì thêm sau đó hay không.ế ự ự ố ắ ắ ơ ề ệ
Ta l i ti n hành ch p t m nh th 3 ....ạ ế ụ ấ ả ứ
B c 4)ướ So sánh 2 t m nh đã ch p v i nhau: (d i đây mình cho dính th malwareấ ả ụ ớ ướ ử
Phimnguoilon.exe)
B c 5) ướ Đã n m thông tin Malware t o - xóa - s a các Files - Folders - ắ ạ ử
Registry ch nào, ta b t đ u:ỗ ắ ầ
_ Ti n hành t t ti n trình (process) c a Malware.ế ắ ế ủ
_ Xóa các File - Folder - Registry Key do Malware t o.ạ
_ H i ph c l i các File - Folder - Registry Key b Malware xóa (ho c thay đ i).ồ ụ ạ ị ặ ổ
*** Chú ý: N u g p lo i Malware nào khó có th xóa trong Windows. Ta ti n hànhế ặ ạ ể ế
Boot vào Dos ho c NC đ xóa (d a trên các thông tin l y đ c t Snapshots).ặ ể ự ấ ượ ừ
Đây ch là công c h tr di t Malware b ng tay. Và nên nh r ng, Malware nào lâyỉ ụ ỗ ợ ệ ằ ớ ằ
file thì khó có th gi i quy t b ng tay đ c.ể ả ế ằ ượ
--------------
+ Đ nh nghĩa thêm v 2 tị ề ừ "Malware":
Đó là t g i chung, là ừ ọ "Ph n m m đ c h i".ầ ề ộ ạ
Nó bao g m : Virus (PE lây file), Worm, Troồ jan, g p luôn Spyware, Adware ...ộ
7. M t s kinh nghi m “th c chi n”:ộ ố ệ ự ế
* Cách di t con kavo và m t s bi n th c a nóệ ộ ố ế ể ủ
B.1- Run => msconfig, th startup,b n đành d u b ch n m c ckvo đi=>ok=>logở ẻ ạ ấ ỏ ọ ở ụ
off l i máy ạ
B.2- Run=>regedit,tìm key HKEY_LOCAL_MACHINE=> SOFTWARE =>
MICROSOFT => WINDOWS => Currentversion=> Explorer => Advance => Folder=>
Hidden=> SHOWALL=> delete key CheckedValue r i t o key m i tên CheckedValueồ ạ ớ
(ki u DWORD) set value là 1(tr c đó 100% key này mang giá tr là 0) ể ướ ị
B.3-My Computer => Tools => Folder Options -> View => T i m c Hidden files andạ ụ
folders => đánh ch n Show hidden files and folders => OK ọ
B.4-Ph i chu t vào t ng phân vùng ch n explorer r i xóa b file autorun.inf,ả ộ ừ ọ ồ ỏ
ntdelect.com,chú ý nha ko ph i là ntdetect.com,nói chung là di t tát c nh ng file nả ệ ả ữ ẩ
không ph i c a Windows,đa s chúng đ u là virus c ả ủ ố ề ả
B.7-Trong Windows=>system32,xóa file kavo.exe và kavo0.dll=>restart=>ok
Cách 2
1. Ch y Task Manager ạ
T t b WScript.exe & Explorer.exe n u 2 ch ng trình này đang ch y ắ ỏ ế ươ ạ
2. Xóa b các file Autorun.inf ỏ
Đ c đi m c a con Kavo này là sinh ra các file Autorun n m trong các th m c g c c aặ ể ủ ằ ư ụ ố ủ
các đĩa c ng. Các file này giúp cho virus đ c kích ho t khi n n nhân nháy đúp chu tổ ứ ượ ạ ạ ộ
vào c ng. Đ tránh vi c tái kích ho t virus, m t trong nh ng đi u đ u tiên là b nổ ứ ể ệ ạ ộ ữ ề ầ ạ
ph i xóa b các file Autorun và các file .exe không xác đ nh trong th m c g c c a cácả ỏ ị ư ụ ố ủ
( máy c a tôi là C, D, E) ổ Ở ủ ổ
Trong c a s Task Manager b n ch n File > New Task (Run...) ử ổ ạ ọ
Ch y l nh CMD ạ ệ
Trong console b n l n l t th c hi n các l nh sau đây: ạ ầ ượ ự ệ ệ
DEL c:\autorun.* /f /a /s /q
DEL d:\autorun.* /f /a /s /q
DEL e:\autorun.* /f /a /s /q
3. Xóa b virus ỏ
Trong c a s console b n gõ các l nh sau: ử ổ ạ ệ
CD c:\windows\system32
DIR /a avp*.*
B n s th y hi n th các file avpo.exe ho c avpo0.dll ạ ẽ ấ ể ị ặ
Ti p t c gõ ế ụ
ATTRIB -r -s -h avpo.exe
DEL avpo.exe
ho c ặ
ATTRIB -r -s -h avpo0.dll
DEL avp0.dll
Ti p t c gõ ế ụ
DIR /a kavo*.*
N u xu t hi n 1 ho c các file kavo.exe và kavo0.dll hay kavo1.dll ế ấ ệ ặ
Th c hi n các l nh xóaự ệ ệ
ATTRIB -r -s -h kavo.exe
DEL kavo.exe
ATTRIB -r -s -h kavo.dll
DEL kavo.dll
ATTRIB -r -s -h kavo1.dll
DEL kavo1.dll
Ti p t c gõ trong console ế ụ
CD\
ATTRIB -r -s -h ntde1ect.com
DEL ntde1ect.com
4. Ch nh s a Regedit ỉ ử
Trong c a s Task Manager, Ch n File > New Task (Run...) ử ổ ọ
Hi n th h p lênh Run, b n gõ regedit ể ị ộ ạ
B n vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows >ạ
CurrentVersion > Run
Trong panel bên trái c a c a s Regedit, n u trong đó có dòng avpo.exe, b n clickủ ử ổ ế ạ
chu t ph i vào và xóa b dòng ch đó đi ộ ả ỏ ữ
tìm key HKEY_LOCAL_MACHINE=> SOFTWARE => MICROSOFT => WINDOWS
=> Currentversion=> Explorer => Advance => Folder=> Hidden=> SHOWALL=>
delete key CheckedValue r i t o key m i tên CheckedValue (ki u DWORD) set valueồ ạ ớ ể
là 1(tr c đó 100% key này mang giá tr là 0) ướ ị
Vào Statup b ng cách vào Run > gõ msconfig ằ
B check Kavo, ho c Avpo ỏ ặ
Kh i đ ng l i máy tính c a b n l n n a.ở ộ ạ ủ ạ ầ ữ
M t s khoá trong regedit mà virus hay s d ng và thay đ i:ộ ố ử ụ ổ
* các khoá ch y khi kh i đ ng máyạ ở ộ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* Các khoá dùng đ th c thi vi c khoá các ng d ng, khoá các ch ong trìnhể ự ệ ứ ụ ư
c a windows nh folder otions, regedit, task manager, khoá file .ủ ư exe, .com,
.bat....
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polici
es
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies
HKEY_CLASSES_ROOT\cmdfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\exefile\shell\open\command
* Các khoá làm n file, n đuôi m r ngẩ ẩ ở ộ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explo
rer\Advanced
Giá tr m c đ nh c a 3 khoá ị ặ ị ủ
Hidden = 1
HideFileExt = 0
ShowSuperHidden = 1
n u b thay đ i t c là đã b nế ị ổ ứ ị ẩ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\nohidden
giá trị
CheckedValue = 2
Type = radio
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\showall
Giá trị
CheckedValue = 1
Type = radio
Nh ng n i mà trojan n trong h th ng c a b nữ ơ ẩ ệ ố ủ ạ
Trong tr ng h p b nhi m virus, chúng ta s không t đ ng gán vào khoáườ ợ ị ễ ẽ ự ộ
HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry
có nhi u n i mà virus thay thêm vào các đo n script và các shortcut khi kh i ch y ti nề ơ ạ ở ạ ế
trình trong start up:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnc
e]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer
vices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer
vicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
L u ý: M t s khoá sau trong registry, giá tr đúng c a nó là “%1%*”. B t c ch ngư ộ ố ị ủ ấ ứ ươ
trình nào mà thêm giá tr này s th c thi các file nh phân nh (.exe, .com) vid :ị ẽ ự ị ư ụ
“virus.exe %1%*”
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
Cũng ki m tra t i các n i sauể ạ ơ
Startup folder: kích vào Start->Programs->Startup, and right click on Startup and
select "Open" from the menu. Check every file in this folder and make sure you know
what they are. These files will startup automatically every time you login to your
systems.
Windows Scheduler - ki m tra n u b t kỳ ch ng trình xem nó đ c đ t ch y vàoể ế ấ ươ ượ ặ ạ
nh ng lúc nào. Đôi khi các virus th ng s d ng scheduler nh m t cách đ choữ ườ ử ụ ư ộ ể
ch ng trình th c thi. n m trong c:\windows\taskươ ự ằ
Ki m tra các file:ể
Win.ini (load=Trojan.exe or run=Trojan.exe)
System.ini (Shell=Explorer.exe trojan.exe)
autoexec.bat – Tìm xem nh ng file nào đ c thêm vào, có th theo các đuôi mữ ựơ ể ở
r ng : .exe, .scr, .pif, .com, .bat ộ
config.sys – Tìm xem nh ng file nào đ c thêm vàoư ượ
D i đây là nh ng file mà virus g n đây hay dùngướ ữ ầ
- explorer.exe là m t ch ng trình h p pháp n m trong th m c c:\windowsộ ươ ợ ằ ư ụ
ch không n m trong c:\windows\system32 ho c b t c n i đâu khácứ ằ ặ ấ ứ ơ
- taskmgr.exe là m t ch ng trình h p l c a windows đ oc g i làộ ươ ợ ệ ủ ự ọ
“taskmgr.exe” ch không ph i “taskmngr.exe” l u ý là virus r t hay giứ ả ư ấ ả
danh, đ i tên nh ng file h th ngổ ữ ệ ố
- rundll32.exe – là m t ch ng trình h p l c a windows và n m trongộ ươ ợ ệ ủ ằ
c:\windows\system32 ch không n m trong b t c n i nào khácứ ằ ấ ứ ơ
Hãy c n th n v i nh ng file, nh ng khoá trong registry khác mà virus có th ch y :>ẩ ậ ớ ữ ữ ể ạ
Update thêm 1 chút
A. Nh ng đi u t i thi u c n n m đ xài máy tính an toànữ ề ố ể ầ ắ ể
tr c nguy c Virus hi n nayướ ơ ệ
1) Tr c khi ch yướ ạ (th c thi) ự m t file nào đóộ (v i b t kì đ nh d ng nào, cho dù làớ ấ ị ạ
t m hình ho c bài nh c) ấ ặ ạ đ c l y t b t kì ngu n nàoượ ấ ừ ấ ồ (t ng i thân g i, ho cừ ườ ử ặ
download t Internet, ho c t Yahoo chat ...) (và file đó ch a đ c chính mình xác đ nhừ ặ ừ ư ượ ị
có Virus hay không) (và cho dù máy b n đang có nhi u AntiVirus chăng n a)ạ ề ữ , ph iả
ti n hành g i file đó lên Internet đ ki m tra đ an toàn.ế ử ể ể ộ
Ki m tra b ng 2 cách thông d ng sau:ể ằ ụ
a1) Vào site : , click vào "Choose File" r i ch n File màồ ọ
mình ch a xác đ nh an toàn và c n ki m tra. Sau đó nh n "ư ị ầ ể ấ Send File" và ch .ờ
Khi g i file lên site này ki m tra, có kho ng 40 AntiVirus cùng quét đ an toàn c a fileử ể ả ộ ủ
y.ấ
N u file y đã đ c ai đó (ho c chính b n) g i lên ki m tra t tr c thì nó s ra k tế ấ ượ ặ ạ ử ể ừ ướ ẽ ế
qu l p t c, và có d ng thông báo nh 2 hình sau:ả ậ ứ ạ ư
Hình 1
Hình 2
2 thông báo nh hình trên đ u có d ng v n t t (vì file này tr c đó đã có ng i g iư ề ạ ắ ắ ướ ườ ử
r i)ồ
thông s Ở ố Results hình 1 là ở 0/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và
40 trình đ u báo áo file đó an toàn, ho c c 40 trình đ u b cái file Virus y qua m tề ặ ả ề ị ấ ặ
(nh ng đây là tr ng h p hi m). Chúng ta nên tin t ng nhi u vào thông báo c a 40ư ườ ợ ế ưở ề ủ
trình Antivirus này.
thông s Ở ố Results hình 2 là ở 26/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và
có 26 trình phát hi n đ c file đó là Virus. ệ ượ Thông th ng thì c kho ng t ườ ỡ ả ừ 5/40 tr lênở
là ta ph i b t đ u nghi ng Virus r i nhé.ả ắ ầ ờ ồ
tr ng h p th y thông báo là Virus nh hình 2, b n có th click vô nút "Ở ườ ợ ấ ư ạ ể Show last
Report" đ xem chi ti t trình nào phát hi n ra con virus gì.ể ế ệ
Đây là vài hình chi ti t đ các b n ng m.ế ể ạ ắ
Nh ng k t qu mang ữ ế ả màu đỏ t c là trình Anti y phát hi n ra file đó là Virus, và đ tứ ấ ệ ặ
tên cho nó đc tô màu đ .ỏ
Hình 3
Hình 4
Đôi khi cũng có s hi m l m c a AntiVirus , nó coi các file kia là Virus nh ng th c sự ể ầ ủ ư ự ự
nh ng file đó vô h i.ữ ạ
Vì th , c n t p quét nhi u đ nhìn quen các thông báo trên này.ế ầ ậ ề ể
Ho c n u ai ch a có kh năng hi u thông báo thì nên g i link thông báo cho ng iặ ế ư ả ể ử ườ
rành Virus máy tính ki m tra giúp.ể
a2) Download và cài tool này
Đây là công c giúp rút g n đ ng tác g i file đ quét (nh trên) m t cách nhanh chóng.ụ ọ ộ ử ể ư ộ
Cách dùng: Khi c n quét ki m tra 1 file nào đó có an toàn không, ầ ể Right Click lên file
đó, ch n "ọ Send to" -> VirusTotal ..... Và ng i ch nh trên.ồ ờ ư
b) Cũng là ki m tra file nh ph n a, nh ng đây là Site khác ể ư ầ ư ở .
Ch n "ọ Choose File" -> "Submit" -> ng i ch -> và đ c k t qu cũng t ng t site kia.ồ ờ ọ ế ả ươ ự
2) Thi t l p cho máy tính c a mình đ n u l USB có ch a Virus thì vi c truyế ậ ủ ể ế ỡ ứ ệ
c p vào USB cũng d dàng và an toàn h nậ ễ ơ
a) Vào Start, Run, gõ "gpedit.msc", enter, r i làm theo hình. ồ
Ch nh thành th này ỉ ế
R i Vào ch này ồ ỗ
Ch nh thành th này ỉ ế
b) Vào Start, Run, gõ "Services.msc", enter, r i làm theo hình. ồ
Ch nh thành th nàyỉ ế
RESTART l i máy tính. Sau đó download ạ tool này ch y 1 l n là đ c.ạ ầ ượ
T nay kh i lo virus t USB t chui vào máy b i nh ng đ ng tác truy c p USB thôngừ ỏ ừ ự ở ữ ộ ậ
th ng.ườ
(Nhi u ng i v n hay thi t l p cho USB đ ch ng Virus chi m file, ho c dùng cácề ườ ẫ ế ậ ể ố ế ặ
trình b o v USB theo nhi u cách. Mình th y nh ng đi u đó là không c n thi t vàả ệ ề ấ ữ ề ầ ế
r m rà, b i đ ng tác thi t l p máy tính là đ cho vi c an toàn truy c p USB b ngườ ở ộ ế ậ ở ủ ệ ậ ằ
m i cách.)ọ
Nói rõ thêm ph n nàyầ :
N u b n ch a thi t l p nh h ng d n, thì các đ ng tác sau đây là nguy c đ dínhế ạ ư ế ậ ư ướ ẫ ộ ơ ể
Virus t USB:ừ
_ Có th ch c n c m USB_có_Virus là Virus đã t chui vào máy r i.ể ỉ ầ ắ ự ồ
_ Double click tr c ti p lên USB.ự ế
_ Right click lên USB, ch n b t kì dòng nào đ truy c p USB.ọ ấ ể ậ
3) Tránh b đánh l a b i các Icon quen thu c:ị ừ ở ộ
Khi nh n 1 file t ai đó, n u khá tin t ng vào nó và b n b qua b c ki m tra bênậ ừ ế ưở ạ ỏ ướ ể
trên, thì cũng khoan hãy ch y nó.ạ
V i 5 ví d hình trên, c 5 đ u có th là Virus gi d ng Icon đánh l a.ớ ụ ở ả ề ể ả ạ ừ
_ Hình 1 : ta nghĩ đó là t m nh, nh ng khi m nh thì l i là 1 Virus còn nh thì khôngấ ả ư ở ả ạ ả
th y đâu.ấ
_ Hình 2 : nghĩ là 1 th m c, nh ng cũng có th là Virus gi d ng đánh l a. Và khi mư ụ ư ể ả ạ ừ ở
th m c đó s dính Virus vì đâu có t n t i th m c nào đâu. B n thân th m c đó là 1ư ụ ẽ ồ ạ ư ụ ả ư ụ
file th c thi Virus.ự
_ Hình 3 : là 1 file nh c, nh ng có th là 1 file Virus m n Icon c a file nh c đ l a taạ ư ể ượ ủ ạ ể ừ
m nghe.ở
_ Hình 4 : i chà, 1 file văn b n, quá an toàn, m nó ra thôi. Ai ng l i cũng có khố ả ở ờ ạ ả
năng là Virus.
_ Hình 5 : là chtrình so n th o văn b n Notepad, hì, ch y nó thôi. y ch t, l i là Virus.ạ ả ả ạ Ấ ế ạ
M t ví d khácộ ụ
3 hình này, nhìn vào th y Ở ấ canh dep.jpg Nhac.mp3 Van ban.txt c t ng là máy đãứ ưở
m ch c năng xem đuôi file (đ nh d ng file), th nh ng ch c n s ý 1 tí thôi là dínhở ứ ị ạ ế ư ỉ ầ ơ
Virus theo ki u l a này.ể ừ
Th c ra máy tính lúc đó ch a m ch c năng xem đuôi file.ự ư ở ứ
Và khi m đuôi file ra xem thì 3 file trong hình lòi ra cái đuôi l a đ o (hình d i là sauở ừ ả ướ
khi m đuôi đ xem đ nh dang)ở ể ị
Đ có th th y đ c đuôi th c s c a các file, ta vào ể ể ấ ượ ự ự ủ MyComputer , Tools - Folder
Options - View , g b đánh d u "ỡ ỏ ấ ở Hide extentions for known files type"
4) Nh ng l i khuyên sau cùng:ữ ờ
_ N u b n th c s n m v ng nh ng đi u nói trên thì có th không xài AntiVirus cũngế ạ ự ự ắ ữ ữ ề ể
v n an toàn. Nh ng dù gì thì cũng c n có 1 AntiVirus l n l ng.ẫ ư ầ ậ ư
_ Không nên cài quá nhi u AntiVirus trong 1 máy. 2 Anti là h t m c.ề ế ứ
_ H n ch vào các Web tìm Crack, vì h n 50 % các file trong nh ng web Crack đó là cóạ ế ơ ữ
kèm Virus r i.ồ
_ H n ch vào các Web đ i tr y đ tránh các m i hi m h a ch a l ng tr c.ạ ế ồ ụ ể ố ể ọ ư ườ ướ
_ Yahoo Chat ho c b t c trình Chat Online nào, có ai g i Link thì khoan h n clickỞ ặ ấ ứ ử ẳ
vào. Ph i h i l i th t kĩ ng i g i ngu n link đó. Dù ng i g i đã ch c ch n là anả ỏ ạ ậ ườ ử ồ ườ ử ắ ắ
toàn, nh ng ai bi t đ c b n thân ng i g i cũng không ng Link đó có Virus. B iư ế ượ ả ườ ử ờ ở
th c n có thêm b c ki m tra n a, đó là quét Link Online. Truy c p vào web siteế ầ ướ ể ữ ậ
b cái link c n ki m tra vào khung, r i nh n ỏ ầ ể ồ ấ SCAN.
N u nó ra k t qu CLEAN thì link kia s ch, ERROR thì là ki m tra không đ c, n uế ế ả ạ ể ượ ế
báo màu đ thì link nguy hi m. Tuy nhiên, v n không tuy t đ i tin vào các k t qu .ỏ ể ẫ ệ ố ế ả
~---~~---o0o---~~---~
Giang h hi m ác đ y l a l c ồ ể ầ ừ ọ
Click chu t, l t web, bi t đâu an toàn !? ộ ướ ế
Tuy nh ng đi u bên trên ch a ph i là tuy t đ i an toàn, nh ng n u n m v ngữ ề ư ả ệ ố ư ế ắ ữ
thì ít ra không b dính Virus m t cách ng ng n.ị ộ ớ ẩ
B . Tìm ki m Process đang ch y b i Virus (Malware) và t tế ạ ở ắ
nó.
Đ tìm ki m và kill process, có th dùng các ph n m m nh APT 4.0 hay Processể ế ể ầ ề ư
Explorer (có th tìm phía trên đã có đ các ph n m m này). Nh là ph i tìm và kill h tể ủ ầ ề ớ ả ế
toàn b nh ng process b g i b i nh ng ch ng trình đ c h i này. Vi c nh n bi tộ ữ ị ọ ở ữ ươ ộ ạ ệ ậ ế
process nào đ c g i b i virus có th d a trên vài d u hi u nh :ượ ọ ở ể ự ấ ệ ư
- Process đó chi m khá nhi u tài nguyên h th ng (CPU và Memory)ế ề ệ ố
- Process có tên l , ho c có tên g n gi ng v i các process h th ng. M t vàiạ ặ ầ ố ớ ệ ố ộ
process h th ng hay b “nhái” là explorer.exe, svchost.exe; lsass.exe,ệ ố ị
winlogon.exe,.... chúng th ng có tên gi ki u nh expl0rer.exe, schost.exe,ườ ả ể ư
1sass.exe, WIN1OGON.exe ch ng h n… ẳ ạ
- Process b t t r i t đ ng đ c ch y l i (t c ko th t t đ c): Tr ngị ắ ồ ự ộ ượ ạ ạ ứ ể ắ ượ ườ
h p này là do virus g i 1 lúc nhi u process, ph i tìm đ c process g c vàợ ọ ề ả ượ ố
nh ng process liên quan đ t t h t chúng đi. Có th t t 1 lúc nhi u process,ữ ể ắ ế ể ắ ề
ho c t t “t trên xu ng d i”, theo d ng cây hay d ng(suspend) process r iặ ắ ừ ố ướ ạ ừ ồ
m i del ti n trình đó.ớ ế
- Theo như bạn mô tả, con Virus mà khóa luôn các tool process xp hay autoruns sao giống con
LSASS quá(cũng có những con khác làm được nhưng con này là điển hình). Nếu đúng con này
thì hơi khó diệt đó.
Bạn nên kiếm mấy chương trình Antivirus mạnh, update rồi diệt nó thử coi được không, nếu
không thì:
Bạn thử sử dụng các chương trình quản lý file của các hãng thứ 3 như Total Commander.....để
thấy file ẩn và file hệ thống tìm ngoài các ổ đĩa coi có file autorun.inf không, nếu có bạn mở file
đó ra coi nó gọi tới file gì rồi tìm file đó xem nó tên gì rồi sử dụng Google tìm cách diệt hoặc
nén nó lại upload lên diễn đàn này để mọi người xem rồi hướng dẫn cách giải quyết.
Mình cho bạn cái tool này
key.html
cũng giống như process xp nhưng mạnh hơn nhiều, có tiếng Việt, có kiểm tra xuất xứ của
chương trình.....đặc biệt là có thể thấy được file .DLL được inject vào processes Explore mà
chương trình process xp không thấy được. Nhưng có điều khi install, dịch giả của chương trình
này có chèn vào registry cái key:
[HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To]
[HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To\command]
@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE\""
C. Tìm - Di t Virus quaệ m ngạ
Đôi khi b n mu n nh ng i thân ho c k thu t viên nào đó đ n di t virus ho c làm 1ạ ố ờ ườ ặ ỹ ậ ế ệ ặ
vi c gì đó cho b n >> nh ng nhà b n quá xa v y thì ph i làm th nào ? . T t nhiên làệ ạ ư ạ ậ ả ế ấ
ta c n đ n ph n m m đi u khi n máy tính t xa , có r t nhi u ph n m m khác nhauầ ế ầ ề ề ể ừ ấ ề ầ ề
nh ng đây tôi ch nh c đ n ph n m m ư ở ỉ ắ ế ầ ề
Teamviewer (download)
Sau khi down v , b n ti n hành cài đ t theo các b c sau:ề ạ ế ặ ướ
_ Ch n ọ Install
_ Khi nó h i 3 l a ch n, b n ch n ỏ ở ự ọ ạ ọ Personal / Non-Commercial Use.
_ Đánh d u Accept c 2 r i Next - Next - Finish.ấ ả ồ
_ Khi l n đ u ch y teamviewer mà có b h i Block gì đó, thì b n ch n ầ ầ ạ ị ỏ ạ ọ UnBlock.
_ Teamviewer đ c m lên s th này.ượ ở ẽ ế
V y là g n nh h n mà còn đ v t v cho b n khi tr c tr c 1 l i nh khôngậ ọ ẹ ơ ỡ ấ ả ạ ụ ặ ỗ ỏ
đáng ph i m t công các anh k thu t viên ^^ đúng ko v y ?ả ấ ỹ ậ ậ
D. 1 s link download h u ích cho các b n thích mày mò v i virusố ữ ạ ớ
Ebook câu l nh trong dosệ
Ebook Registry
T ng quan v virus c a cu dũng còiổ ề ủ
T ng h p l i các chú virus th ng g p cho anh em th c t pổ ợ ạ ườ ặ ự ậ
Tool Quick [Kill Some Malware] [Fix] [Get Info] (14/4)
Ebook Virus Code Database Dictionary
Ebook Windows Xp Error
Writing by Deface Virus TEAM + Khanmc
Các file đính kèm theo tài liệu này:
- Tìm và diệt virus.pdf