Để tìm kiếm và kill process, có thể dùng các phần mềm như APT 4.0 hay Process Explorer (có thể tìm phía trên đã có đủ các phần mềm này). Nhớ là phải tìm và kill hết toàn bộ những process bị gọi bởi những chương trình độc hại này. Việc nhận biết process nào được gọi bởi virus có thể dựa trên vài dấu hiệu như:
- Process đó chiếm khá nhiều tài nguyên hệ thống (CPU và Memory)
- Process có tên lạ, hoặc có tên gần giống với các process hệ thống. Một vài process hệ thống hay bị “nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe,.... chúng thường có tên giả kiểu như expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe chẳng hạn…
- Process bị tắt rồi tự động được chạy lại (tức ko thể tắt được): Trường hợp này là do virus gọi 1 lúc nhiều process, phải tìm được process gốc và những process liên quan để tắt hết chúng đi. Có thể tắt 1 lúc nhiều process, hoặc tắt “từ trên xuống dưới”, theo dạng cây hay dừng(suspend) process rồi mới del tiến trình đó.
- Theo như bạn mô tả, con Virus mà khóa luôn các tool process xp hay autoruns sao
giống con LSASS quá(cũng có những con khác làm được nhưng con này là điển hình). Nếu đúng con này thì hơi khó diệt đó.
KIẾN THỨC CƠ BẢN VỀ VIRUS LƯU NGỌC HẢI 11A1 LỚP TOÁN THPT CẨM THUỶ 2
Bạn nên kiếm mấy chương trình Antivirus mạnh, update rồi diệt nó thử coi được không, nếu không thì:
Bạn thử sử dụng các chương trình quản lý file của các hãng thứ 3 như Total Commander...để thấy file ẩn và file hệ thống tìm ngoài các ổ đĩa coi có file autorun.inf không, nếu có bạn mở file đó ra coi nó gọi tới file gì rồi tìm file đó xem nó tên gì rồi sử dụng Google tìm cách diệt hoặc nén nó lại upload lên diễn đàn này để mọi người xem rồi hướng dẫn cách giải quyết.
Mình cho bạn cái tool này
http://www.4shared.com/file/49509391/c96e22e3/Anti-key.html
cũng giống như process xp nhưng mạnh hơn nhiều, có tiếng Việt, có kiểm tra xuất xứ của chương trình...đặc biệt là có thể thấy được file .DLL được inject vào processes Explore mà chương trình process xp không thấy được. Nhưng có điều khi install, dịch giả của chương trình này có chèn vào registry cái key:
[HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To]
[HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To\command]
@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE\"http://giangho.cc.to" Writing by 911 Group >>>>>>>>>>>> Tai Long , Khan MC and FLobg88