Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^ * Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir /ah dùng để xem tất cả những file ẩn b. sử dụng lệnh tasklist để xem tiến trình đang chạy * Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình” Vidu: tasklist /svc /fi “imagename eq svchost.exe” c. sử dụng lệnh taskkill để tắt tiến trình đang chạy * lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe taskkill /f /pid 768 • muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên tiến trình taskkill /f /pid id1 /pid id2 /pid id3… taskkill /f /im tientrinh1 /im tientrinh2… vidu: d. sử dụng lệnh del để xóa các file Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa 2. Ngăn chặn file chạy sử dụng gpedit.msc khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok vào Run  gõ Gpedit.msc computer configuration  windows settings  security settings software restrictions policies chuột phải vào software restrictions policies chọn creat new policies chọn additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình đang thực thi Bây giờ thử mở regedit ko thể đựoc nữa rồi :> 3. Sử dụng auturuns + APT + Gmer + Icesword * Autoruns process: chương trình autoruns dùng để xem những file khởi chạy, những file thư viện động (dll) chạy trong regedit Chương trình có thế được download tại http://technet.microsoft.com/en- us/sysinternals/bb963902.aspx Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy ở drivers - các dịch vụ(services) và chạy ở drivers - - chạy ở tác vụ(tasks) chạy ở tác vụ(tasks) - - những thay đổi trong winlogon những thay đổi trong winlogon - - những phần đính vào (addins) trong IE và trong Explorer. những phần đính vào (addins) trong IE và trong Explorer. - - một số phần khác phụ thêm…. một số phần khác phụ thêm…. Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong autoruns này chỉ thể hiện các khóa nằm trong regedit. • Advanced Process Termination (APT 4.0) : sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này để dừng(suspend) tiến trình đó rồi tắt từng “chú” một Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một tiến trình theo nhiều cách Chế độ kernel kill của chương trình này khá mạnh.có thể tắt được nhiều chương trình cứng đầu, có đăth password như pcsecurity,… Download tại đây http://www.diamondcs.com.au/advancedseries/apt.php • GMER: Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn bằng các hàm API trong windows, để tìm những file .sys chạy trong c:\ window\system32\drivrers. [...]... chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix) b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau: http://www.hijackthis.de/en và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để... entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis : Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy: -Tiến hành tắt system restore và reboot máy vào chế độ safe mode -Cho chạy lại hijackthis và đánh dấu vào những entries... ấn vào config -> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa : đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry Hoặc có thể phân tích log như sau R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs R0, R1, R2, R3 – những trang bắt đầu chạy và search khi chạy IE F0, F1 - Tự động load các chương trình N1, N2, N3, N4 - những trang bắt đầu chạy và. .. dụ như coolwebsearch) Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp Tải về và cài đặt : Sau khi tải về hoặc tải về từ http://www.merijn.org/files/hijackthis.zip hoặc... bước khởi tạo và chạy thử cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus mà chúng ta vua chạy thử Các bạn kiểm tra bằng cách sau: vào C:\Sandbox\Administrator\virus, trong user virus xẽ hiển thị tất cả các file mà đã được kích hoạt Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file... trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi tìm key HKEY_LOCAL_MACHINE=> SOFTWARE => MICROSOFT => WINDOWS => Currentversion=> Explorer => Advance => Folder=> Hidden=> SHOWALL=> delete key CheckedValue rồi tạo key mới tên CheckedValue (kiểu DWORD) set value là 1(trước đó 100% key này mang giá trị là 0) Vào Statup bằng cách vào Run > gõ msconfig Bỏ check Kavo, hoặc Avpo... hình dưới đây Các bạn vào menu -> sandbox ->create new sandbox(tạo ra một user) Sau khi các bạn tạo user xong bước tiếp theo là: chọn start ->programs ->Sandboxie -> Run any program sandboxed tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse… Sau đó tìm đến thư mục bạn cần... thống [1] có thể là c:\program files\hijackthis\ Lỗi có thể gặp phải khi cài hijackthis : Thiếu MSVBVM60.DLL -> cách giải quyết là vào http://support.microsoft.com/?scid=kb%3Ben p;x=13&y=16 để tải VBRun60.exe về và cài vào máy Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của...• Icesword: Công cụ này có thể dùng thực thi trong regedit khi mà regedit bị khoá hay bị ngăn chặn không cho thực thi Và công cụ này cũng để tìm và xoá những file không thể xoá, nhìn thấy những file siêu ẩn, những file ẩn bằng hàm API tương tự như gmer Icesword cũng có nhiều chức năng giống gmer(nhưng tôi khoái gmer hơn :D) 4 sử dụng... protocols and protocol hijackers Những tờ mẫu người sử dụng hijack(User style sheet hijack ) 6 Một số kinh nghiệm “thực chiến”: * Cách diệt con kavo và một số biến thể của nó B.1- Run => msconfig,ở thẻ startup,bạn đành dấu bỏ chọn ở mục ckvo đi=>ok=>log off lại máy B.2- Run=>regedit ,tìm key HKEY_LOCAL_MACHINE=> SOFTWARE => MICROSOFT => WINDOWS => Currentversion=> Explorer => Advance => Folder=> Hidden=> SHOWALL=> . khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy. Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe,. trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file lây nhiễm và diệt theo đường dẫn mà chương trình sandboxed đã hiển