Đang tải... (xem toàn văn)
ách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd Tất cả các file đuôi ẩn.exe, .dll, .bat, .txt, .vbs, .jsnằm trong C:windows, c:windowssystem32, c:windowssystemđều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c: . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir ah dùng để xem tất cả những file ẩn
Bài giảng Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^ * Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir /ah dùng để xem tất cả những file ẩn b. sử dụng lệnh tasklist để xem tiến trình đang chạy * Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình” Vidu: tasklist /svc /fi “imagename eq svchost.exe” c. sử dụng lệnh taskkill để tắt tiến trình đang chạy * lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe taskkill /f /pid 768 • muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên tiến trình taskkill /f /pid id1 /pid id2 /pid id3… taskkill /f /im tientrinh1 /im tientrinh2… vidu: d. sử dụng lệnh del để xóa các file Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa 2. Ngăn chặn file chạy sử dụng gpedit.msc khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok vào Run gõ Gpedit.msc computer configuration windows settings security settings software restrictions policies chuột phải vào software restrictions policies chọn creat new policies chọn additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình đang thực thi Bây giờ thử mở regedit ko thể đựoc nữa rồi :> 3. Sử dụng auturuns + APT + Gmer + Icesword * Autoruns process: chương trình autoruns dùng để xem những file khởi chạy, những file thư viện động (dll) chạy trong regedit Chương trình có thế được download tại http://technet.microsoft.com/en- us/sysinternals/bb963902.aspx Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy ở drivers - các dịch vụ(services) và chạy ở drivers - - chạy ở tác vụ(tasks) chạy ở tác vụ(tasks) - - những thay đổi trong winlogon những thay đổi trong winlogon - - những phần đính vào (addins) trong IE và trong Explorer. những phần đính vào (addins) trong IE và trong Explorer. - - một số phần khác phụ thêm…. một số phần khác phụ thêm…. Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong autoruns này chỉ thể hiện các khóa nằm trong regedit. • Advan ced Process Termination (APT 4.0) : sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này để dừng(suspend) tiến trình đó rồi tắt từng “chú” một Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một tiến trình theo nhiều cách [...]... bước khởi tạo và chạy thử cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus mà chúng ta vua chạy thử Các bạn kiểm tra bằng cách sau: vào C:\Sandbox\Administrator \virus, trong user virus xẽ hiển thị tất cả các file mà đã được kích hoạt Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file... entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis : Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy: -Tiến hành tắt system restore và reboot máy vào chế độ safe mode -Cho chạy lại hijackthis và đánh dấu vào những entries... http://www.diamondcs.com.au/advancedseries/apt.php • GMER: Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn bằng các hàm API trong windows, để tìm những file sys chạy trong c:\ window\system32\drivrers • Icesword: Công cụ này có thể dùng thực thi trong regedit khi mà regedit bị khoá hay bị ngăn chặn không cho thực thi Và công cụ này cũng để tìm và xoá những file không thể xoá, nhìn thấy những file siêu ẩn, những... dụ như coolwebsearch) Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp Tải về và cài đặt : Sau khi tải về hoặc tải về từ http://www.merijn.org/files/hijackthis.zip hoặc... files\hijackthis\ Lỗi có thể gặp phải khi cài hijackthis : Thiếu MSVBVM60.DLL -> cách giải quyết là vào http://support.microsoft.com/?scid=kb%3Ben p;x=13&y=16 để tải VBRun60.exe về và cài vào máy Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file com... (answer that work) http://computercops.biz/CLSID.html ( CLSID list) www.google.com (:-)) http://www.viruslist.com/en/find?search_mo p;x=21&y=11 (virus list) https://www.virusbtn.com/login (Vgrep) Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp... thể tạo log-file và sau đó vào trang sau: http://www.hijackthis.de/en và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn... hình dưới đây Các bạn vào menu -> sandbox ->create new sandbox(tạo ra một user) Sau khi các bạn tạo user xong bước tiếp theo là: chọn start ->programs ->Sandboxie -> Run any program sandboxed tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse… Sau đó tìm đến thư mục bạn cần... khởi động lại máy nó sẽ không thể chạy file này nữa Giả sử sau này tớ phát hiện ra nó là file hợp lệ -> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup -> tớ cho chạy lại hijackthis, chọn "none of the above, just start the program" -> ấn vào config -> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa : đánh dấu vào entry đó và chọn restore,... đã được kích hoạt Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file lây nhiễm và diệt theo đường dẫn mà chương trình sandboxed đã hiển thị như bài hưưóng dẫn trên 5 cách sử dụng hijackthis Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm . Bài giảng Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll,. khởi động và lúc đăng nhập Những khoá chạy ở Run và Những khoá chạy ở Run và folders Startup Startup - - chạy ở Shell, và userinit chạy ở Shell, và userinit - các dịch vụ(services) và chạy. sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse… Sau đó tìm đến thư mục bạn cần chạy