Search
Latest topics
Affiliates
Các bước cơ bản về tự diệt virus bằng tay
Page 1 of 1
Các bước cơ bản về tự diệt virus bằng tay
Admin Tue Nov 09, 2010 10:06 am
Khi virus hoạt động chia làm 2 trường phái,một là âm thầm chạy, không bộc lộ ra một triệu chứng hay dấu vết nào (mang tính đánh cắp thông tin), loại khác là chạy cực kì sung sức, thực hiện nhiều hành động phá hoại công khai, chiếm nhiều tài nguyên của bộ xử lý (mang tính phá hoại). Có khi bạn mở Task manager ra thấy “CPU usage” luôn ở mức trên 90% trong khi máy đang không hoạt động gì cả, chạy cực kì chậm.
Phần 1 Phòng và tìm virut
Lý do là vì virus đã giả dạng là một ứng dụng hệ thống của hệ điều hành windows (ví dụ như là svchost.exe thì nó giả là svchoost,svhost,taskmgr.exe thì nó giả là taskmgrz.exe - một loại back door) và lén chạy nền.
Lúc này, bạn cần phải ra tay tiêu diệt lũ chuột bọ đang hoành hành phá hoại. Các công cụ cần thiết để tiến hành công việc, đã có sẵn trong Windows, chỉ cần vào start - run - gõ tên ứng dụng đó
1. msconfig //Công cụ quản lý các dịch vụ,driver,ứng dụng tự khởi động
2. cmd //Môi trường điều khiển máy tính = chế độ dòng lệnh
3. regedit //Công cụ chỉnh sửa registry - một cơ sở dữ liệu các cấu hình,thông số của windows
4. notepad //Trình soạn thảo
5. gpedit.msc //Quản lý các thông số,cấu hình dc thiết lập trong Windows
6. taskmgr //Task manager,công cụ quản lý các tiến trinh đang hoạt động
* Phòng “sâu bệnh”
Tất nhiên phương pháp đơn giản nhất mà ai cũng biết đó là cài đặt các chương trình antivirus như là Norton,McAfee,BKAV,… và để ở chế độ tự bảo vệ (auto protect). Nhưng ở đây chúng ta phòng bằng tay nên sẽ tập trung vào những kĩ năng, kinh nghiệm cần có để cảnh giác và đề phòng.
Nguyên tắc để lây nhiễm của virus là tự nhân bản và sao chép chính nó thông qua các phương tiện lưu trữ như : đĩa cứng,flash USB,đĩa mềm…Và thông thường chúng sẽ được tự nạp vào hệ điều hành mỗi khi khởi động xong.
Như vậy, để phòng ngừa thì các bạn cần ngăn cản không cho virus xâm nhập vào, bằng cách tăng cường cảnh giác :
- Không nên double click chuột để mở một thiết bị lưu trữ nào đó trong windows explorer,nhất là đối với flash USB (virus hay lây lan qua đường này nhất),mà các bạn nên click phải chuột,chọn “explore” từ menu ngữ cảnh, hoặc truy nhập vào từ thanh Address trên toolbar (nhấn phím F4).
Bởi vì khi bạn double click để mở 1 thiết bị lưu trữ,windows sẽ gọi ứng dụng được khai báo trong file autorun.inf (dòng OPEN=…) , và nếu ứng dụng này là virus thì như vậy virus đã được kích hoạt chạy,nó sẽ tự động sao chép chính nó vào ổ cứng của bạn (thường nằm trong thư mục Root\windows\system32\… hoặc một “chốn xó xỉnh” nào đó mà người dùng ít để ý, để có thể tiếp tục hoạt động lâu dài và kín đáo về sau.
- Không nên tùy tiện click vào những đường dẫn đến các website lạ, chấp nhận và chạy các script lạ khi duyệt web hoặc đọc các email, download và sử dụng những screen saver .scr hay các ựng dụng .exe, .com, .bat lạ
- Cảnh giác với các crack, patch,loader,tools,… được download về từ internet hay copy từ đâu đó.Tốt nhất là mỗi khi thử bạn nên chạy trên account Guest của Windows,khi đó do bị hệ điều hành giới hạn một số chức năng và quyên hạn nên virus sẽ không thực hiện được một số thao tác phá hoại (nếu có),hoặc nếu có thể - cài đặt riêng cả 1 hệ điều hành để vọc thì hay quá
Tất nhiên là dù 1 bro có giỏi đến đâu đi nữa thì cũng không thể chỉ dùng mắt mà quản lý và ngăn chặn được hết tất cả virus xâm nhập vào PC, bạn cũng nên kết hợp sử dụng một soft antivirus nào đó cảm thấy tâm đắc.
Và người ta hay nói đối với virus (cả virus sinh học và virus tin học) thì phòng bệnh vẫn hơn chữa bệnh, ngăn cản không cho virus xâm nhập vào sẽ an toàn hơn là để nó vào rồi mới tìm cách xử lý. Bởi vì virus có rất nhiều loại, thiên biến vạn hóa khôn lường, rất khó để có thể tiêu diệt một cách hoàn toàn 100%,mà chủ yếu là ta chỉ cách ly chúng ra.Và nếu như bạn đã cảnh giác cao độ nhưng vẫn “dính chàm” thì đành phải tìm cách diệt chúng vậy.
*Tìm và diệt
Diệt virus chẳng qua là tìm xem virus nằm ở đâu để cách ly ra hoặc là xóa hẳn chúng, thông thường việc này sẽ được làm tự động thông qua một soft antivirus nhưng lẽ thường tình là máy tính vẫn không thể thông minh hơn con người, chúng chỉ giỏi ứng dụng, làm việc nhanh, chính xác cứ không thể biết nghiên cứu, suy luận và tư duy sáng tạo - Những đặc điểm mà chỉ con người mới có thông qua quá trình lao động và làm việc.
Virus thường là những file có thể thực thi .exe,.com,.scr hoặc là những file dữ liệu bị nhúng “mã độc”,như ở các file office của Windows hay bị nhúng những macro mang tính phá hoại, cả định dạng trình diễn .swf (shockwave flash) của Macromedia dạo gần đây cũng bị lợi dụng để phán tán virus, sau đó virus sẽ được bí mật tự động sao chép vào một chốn “xó xỉnh” nào đó, như là
-\Windows\system32\…
-\Windows\inf\…
-\Windows\system32\drivers\…
Và thường được ngụy trang rất kín đáo. Sau đây là một số cách ngụy trang phổ biến của virus:
-Giả làm …folder (là file thực thi .exe nhưng bề ngoài mang thuộc tính icon là folder) thế là bạn tò mò mở xem: “ủa thư mục nào lạ thế nhỉ?”
-Giả làm … file tài liệu : virus có thể “dụ khị” bằng cách đặt tên file có 2 đuôi,ví dụ như là tailieu.txt.exe với icon là của file text,nhìn vào bạn sẽ lầm tưởng là file text vô hại và tò mò mở ra xem thế là “dính chưởng”.
-Giả làm … các ứng dụng hệ thống trong windows như msconfig,task manager với các tên file thực thi gần giống,ví dụ như taskmgr.exe (thật) -> taskmgrz.exe (giả),svchost.exe (thật) -> svchoost.exe,svhost.exe (giả)
Các bạn nên thường xuyên vào những khu vực này để kiểm tra. Nếu phát hiện có những ứng dụng lạ nào vừa được thêm vào mà mà mình không hề biết nó về thuộc chương trình nào thì hết 99% có thể là virus.
Như vậy, để phòng ngừa thì các bạn cần ngăn cản không cho virus xâm nhập vào, bằng cách tăng cường cảnh giác :
- Không nên double click chuột để mở một thiết bị lưu trữ nào đó trong windows explorer,nhất là đối với flash USB (virus hay lây lan qua đường này nhất),mà các bạn nên click phải chuột,chọn “explore” từ menu ngữ cảnh, hoặc truy nhập vào từ thanh Address trên toolbar (nhấn phím F4).
Bởi vì khi bạn double click để mở 1 thiết bị lưu trữ,windows sẽ gọi ứng dụng được khai báo trong file autorun.inf (dòng OPEN=…) , và nếu ứng dụng này là virus thì như vậy virus đã được kích hoạt chạy,nó sẽ tự động sao chép chính nó vào ổ cứng của bạn (thường nằm trong thư mục Root\windows\system32\… hoặc một “chốn xó xỉnh” nào đó mà người dùng ít để ý, để có thể tiếp tục hoạt động lâu dài và kín đáo về sau.
- Không nên tùy tiện click vào những đường dẫn đến các website lạ, chấp nhận và chạy các script lạ khi duyệt web hoặc đọc các email, download và sử dụng những screen saver .scr hay các ựng dụng .exe, .com, .bat lạ
- Cảnh giác với các crack, patch,loader,tools,… được download về từ internet hay copy từ đâu đó.Tốt nhất là mỗi khi thử bạn nên chạy trên account Guest của Windows,khi đó do bị hệ điều hành giới hạn một số chức năng và quyên hạn nên virus sẽ không thực hiện được một số thao tác phá hoại (nếu có),hoặc nếu có thể - cài đặt riêng cả 1 hệ điều hành để vọc thì hay quá
Tất nhiên là dù 1 bro có giỏi đến đâu đi nữa thì cũng không thể chỉ dùng mắt mà quản lý và ngăn chặn được hết tất cả virus xâm nhập vào PC, bạn cũng nên kết hợp sử dụng một soft antivirus nào đó cảm thấy tâm đắc.
Và người ta hay nói đối với virus (cả virus sinh học và virus tin học) thì phòng bệnh vẫn hơn chữa bệnh, ngăn cản không cho virus xâm nhập vào sẽ an toàn hơn là để nó vào rồi mới tìm cách xử lý. Bởi vì virus có rất nhiều loại, thiên biến vạn hóa khôn lường, rất khó để có thể tiêu diệt một cách hoàn toàn 100%,mà chủ yếu là ta chỉ cách ly chúng ra.Và nếu như bạn đã cảnh giác cao độ nhưng vẫn “dính chàm” thì đành phải tìm cách diệt chúng vậy.
*Tìm và diệt
Diệt virus chẳng qua là tìm xem virus nằm ở đâu để cách ly ra hoặc là xóa hẳn chúng, thông thường việc này sẽ được làm tự động thông qua một soft antivirus nhưng lẽ thường tình là máy tính vẫn không thể thông minh hơn con người, chúng chỉ giỏi ứng dụng, làm việc nhanh, chính xác cứ không thể biết nghiên cứu, suy luận và tư duy sáng tạo - Những đặc điểm mà chỉ con người mới có thông qua quá trình lao động và làm việc.
Virus thường là những file có thể thực thi .exe,.com,.scr hoặc là những file dữ liệu bị nhúng “mã độc”,như ở các file office của Windows hay bị nhúng những macro mang tính phá hoại, cả định dạng trình diễn .swf (shockwave flash) của Macromedia dạo gần đây cũng bị lợi dụng để phán tán virus, sau đó virus sẽ được bí mật tự động sao chép vào một chốn “xó xỉnh” nào đó, như là
-\Windows\system32\…
-\Windows\inf\…
-\Windows\system32\drivers\…
Và thường được ngụy trang rất kín đáo. Sau đây là một số cách ngụy trang phổ biến của virus:
-Giả làm …folder (là file thực thi .exe nhưng bề ngoài mang thuộc tính icon là folder) thế là bạn tò mò mở xem: “ủa thư mục nào lạ thế nhỉ?”
-Giả làm … file tài liệu : virus có thể “dụ khị” bằng cách đặt tên file có 2 đuôi,ví dụ như là tailieu.txt.exe với icon là của file text,nhìn vào bạn sẽ lầm tưởng là file text vô hại và tò mò mở ra xem thế là “dính chưởng”.
-Giả làm … các ứng dụng hệ thống trong windows như msconfig,task manager với các tên file thực thi gần giống,ví dụ như taskmgr.exe (thật) -> taskmgrz.exe (giả),svchost.exe (thật) -> svchoost.exe,svhost.exe (giả)
Các bạn nên thường xuyên vào những khu vực này để kiểm tra. Nếu phát hiện có những ứng dụng lạ nào vừa được thêm vào mà mà mình không hề biết nó về thuộc chương trình nào thì hết 99% có thể là virus.
Phần 2 Xử lý virus
Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,…). Thường thì các virus “thú dữ” sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
- Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)
- Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
- Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“DisableTaskMgr”=dword:00000000
Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào
- Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“**.del.DisableRegistryTools”=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“**del.DisableRegistryTools”=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
“NoSaveSettings”=dword:00000000
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:
1.Vào windows/system32/cmd.exe để mở cmd.
2.Start - Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này
- Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Nếu không khóa run trong REGISTRY thì tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize…->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.
-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó …ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá
- Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersionExplorer\Advanced\Folder\Hidden\SHOWALL
Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.
ẩn/hiện Folder Option
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập “Removes the Folder Options menu item from the Tools menu”.
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - “Turn off Autoplay”: Enable (Bạn nhớ chọn “Turn off autoplay on”: All driver).
Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng nhất : tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.
Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào …lạ.Sẽ có bạn hỏi ” nhứ thế nào gọi là lạ?”.Cái này còn tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,… thì bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,… thì 90% đó là virus.
Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd
Sau khi quan sát trong msconfig,thấy dc đưòng dẫn của virus rồi thì bứoc tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rùi tìm cách để cách ly hoặc xoá chúng ra khỏi máy.
Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,… của file này = cách chạy lệnh
Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe
r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi
Sau đó hãy dùng lệnh del để xoá chúng đi
Click this bar to view the full image.
Click the image to open in full size.
Code:
del c:\windows\system32\hkcmd.exe
Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB
Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý.
Admin- Admin
- Tổng số bài gửi : 782
Join date : 2009-08-15 -
Similar topics» Phần mềm diệt virus giả có trên hàng triệu máy tính
» Các bước của Hacker
» Các bước cơ bản để đột nhập trong LAN
» Danh sách 114 chương trình diệt vi rút giả mạo
» 7 bước khắc phục thành công mạng Windows
» Các bước của Hacker
» Các bước cơ bản để đột nhập trong LAN
» Danh sách 114 chương trình diệt vi rút giả mạo
» 7 bước khắc phục thành công mạng Windows
Page 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum
» Tuyệt kỹ cua giai
» NETCAT.........
» Bảo mật CSDL bằng phương pháp mã hóa.
» Hàm mã hóa MD5 bằng JavaScript
» Giá của món quà
» Sẽ chỉ yêu ai?
» Cách đọc bảng chữ cái!
» Gắn trojan, keylog, virus vào website, forum