video hướng dẫn diệt virus bằng tay

Thảo luận trong '[Win] Hỏi đáp - CSKN' bắt đầu bởi tuananhvvt, 14/11/09. Trả lời: 9, Xem: 7656.

  1. tuananhvvt

    tuananhvvt Thành viên

    các bạn chú ý tôi sẽ kết hợp giữa bài viết và video .vì lý do hạn chế về thời gian cho một đoạn video nên những đoạn video chỉ lướt nhanh qua những vấn đề trọng tâm và những vấn đề khác liên quan tôi sẽ đề cập đi kèm theo bài viết.
    [​IMG]
    giờ chúng ta bắt đầu vào công việc
    chắc cũng không phải nói văn hoa to tát làm gì ,ai cũng biết virus nói chung gây phá hoại , ăn cắp thông tin .... hôm nay tôi sẽ giới thiệu cho các bạn phương pháp để xóa bỏ virus exe ,một loại virus thường gặp hiện nay và gây khó chịu . thường thì nó là kẻ phá hoại như làm giảm tốc độ của máy tính , phá hỏng file , gây lỗi hệ thống,không cho tắt máy ....
    tuy nhiên việc diệt virut bằng tay đôi khi mất khá nhiều thời gian với những con virus hàng khủng ,chỉ nên tự diệt khi mà phần mềm diệt virus chưa cập nhật con virut đó để khỏi tốn thời gian
    tóm lược bài viết :
    bước 1: trả lời câu hỏi : làm sao để biết máy có nhiễm virus .
    bứơc 2: loại trừ khả năng chúng khởi động cùng hệ điều hành
    bước 3: kiểm tra tiến trình và file gốc của virus
    bước 4: xóa bỏ virus ra khỏi máy tính
    bước 5: kiểm tra lại và sửa chữa lỗi do virus gây ra
    bước 6: rút ra bài học là phòng còn hơn chống
    sau đó tôi sẽ có một số ví dụ với một số con virus khác để các bạn tham khảo


    trước hết các bạn download các gói công cụ tối thiểu dành cho việc diệt virus
    RRT:
    Trích dẫn:
    http://www.mediafire.com/download.php?jttfj2cfyzy
    ProcessExplorer:
    Trích dẫn:
    http://www.mediafire.com/download.php?j2ywzq1yyn1
    Autorun eater:
    Trích dẫn:
    http://www.mediafire.com/download.php?fq2yizu2ihd
    HijackThis:
    Trích dẫn:
    http://www.filehippo.com/download_hijackthis
    sửa lỗi registry:
    Trích dẫn:
    http://www.mediafire.com/download.php?fz2mumygz2l
    và download về vài con virut để thực hành
    Trích dẫn:
    http://www.mediafire.com/download.php?tmiqkyyrwd2

    chú ý mấy con virus này là hàng cũ , các bạn có thể dễ dàng kiếm được phần mềm để diệt nó . nên không có gì ngại ngần khi sử dụng nó .
    bước 1:
    kiểm tra máy có nhiễm virus hay không .
    XEM VIDEO:
    khi bạn sử dụng máy tính thấy một số dấu hiệu như không hiện ẩn được mặc dù bạn đã mở ẩn , có thể bạn đã mở ẩn được nhưng trong chốc lát nó tự động bị ẩn đi . không vào được task manager . không vào được registry ,msconfig,gpedit.msc hay tồi tệ hơn nó thể thể bị khóa cả mục run hay tắt máy hoặc reset mà không được . nói chung những dấu hiệu mà virus .exe gây ra thường thấy rất rõ ràng .
    trong trường hợp không mở được ẩn chúng ta cần sử dụng chương trình winrar hoặc cmd của windows hoặc các chương trình chuyên dụng khác để nhìn ra các file ẩn .
    sau đó bạn cắm usb vào thường thì virut loại này nó sẽ tạo ra file lây nhiễm nằm trong usb và một file autorun.inf . chú ý rằng loại virus .exe này còn gọi là virus autorun vì nó làm việc theo nguyên tắc là file autorun.inf (chức năng để tự khởi động) sẽ gọi tới file .exe vì thế khi cắm usb vào là nó sẽ tự động lây nhiễm ,hoặc khi ta mở usb ra bằng cách nhấn đúp hoặc chọn open.
    trong ví dụ này tôi sẽ chỉ cho các bạn cách diệt con virut Special . nội dung autorun của nó như sau

    PHP Code:
    [AutoRun]
    shellopenDefault=1
    shellopenCommand=Special.exe
    shellexploreCommand=Special.exe

    trong đó con virus chính là Special.exe
    bạn phải đăng nhập mới được xem chế độ mở rộng toàn màn hình
    video bạn vừa xem có chất lượng hình ảnh thấp hãy download đoạn video gốc tại đây:
    Trích dẫn:
    http://www.mediafire.com/download.php?cm5mlowjg01

    bước 2:
    kiểm tra và loại trừ virus không cho khởi động cùng hệ điều hành
    - kiểm tra thư mục starup . bạn vào Start -> Programs -> Startup -> Trỏ phải chuột vào thư mục Startup và chọn Open. nếu thầy một shortcut lạ hãy xóa bỏ nó đi . đây là thư mục chứa shortcut của một file nào đó khi khởi động máy nó sẽ khởi động file đó
    - Hủy bỏ trong registry: Bạn vào Start -> Run -> Tại hộp hội thoại gõ msconfig.
    Cửa sổ System Configuration Utility hiện ra và bạn chọn thẻ Startup.
    Tại đây, bạn cũng kiểm tra xem có các ứng dụng nào lạ, nghi ngờ là virus thì bạn bỏ nút check tại cột Startup Item để chúng không được chạy khi khởi động máy tính.
    Bạn nên đặc biệt quan tâm tới tên ứng dụng tại cột Startup Item và đường dẫn của ứng dụng tại cột Command để xác định xem đó có phải là virus hoặc sâu máy tính không. Sau khi bỏ các chương trình nghi nhiễm virus xong, bạn chọn OK. Chú ý đừng chọn khởi động lại máy tính ngay vì bạn còn phải thực hiện tiếp bước 3.
    - kiểm tra file userinit.exe và Explorer.exe bằng cách vào Start -> Run -> Tại hộp hội thoại gõ regedit , sau khi vào registry bạn nhấn Ctrl + F để và điền vào userinit.exe và bắt đầu tìm kiếm .
    nếu như nội dung bạn tìm được là :
    Trích dẫn:
    C:\WINDOWS\system32\userinit.exe,
    thì ok nhưng nếu nó có chỉnh sửa khác đi (chú ý userinit.exe, --> dấu phẩy cuối cùng đó nếu như nó bị thêm sau dầu ","đường dẫn nào đó hãy chắc chắn rằng đó là phần mềm bạn cài đặt vào còn không thì đó là virus 100%) thì chắc chắn rằng file userinit.exe của bạn đã bị chuyển đường dẫn và file userinit.exe nằm trong đường dẫn mới chính là một file của virus nếu như vậy thì hãy ghi nhớ đường dẫn của nó vào để chút nữa ta sẽ xóa bỏ nó đi.còn với file Explorer.exe tôi đã giới thiệu kĩ trong video bạn có thể tham kháo . tóm lại ở bước này chúng ta sẽ tìm và ngừng việc hoạt động của virus khi máy khởi động .
    nếu như phát hiện một dấu hiệu nào trong bước này thì nó sẽ là cơ sở để ta tìm kiếm tất cả các file gốc của virut . ví dụ như khi bạn vào msconfig bạn tìm thấy một chương trình có cái tên lạ như ckvo từ đó ta có thể search trong registry để tìm ra đường dẫn tới nó cũng những file khác liên quan tới nó .
    vui lòng xem video:
    XEM VIDEO:
    [video]http://www.youtube.com/v/gvKfpH64kRY[/video]
    video bạn vừa xem có chất lượng hình ảnh thấp hãy download đoạn video gốc tại đây:
    Trích dẫn:
    http://www.mediafire.com/download.php?ujjzhynygzn

    bước 3:
    kiểm tra tiến trình và file gốc của virut
    đây là bước quan trọng nhất . nếu như bạn đã có một thông tin nào đó trong bước trước thì tốt vì bạn có thể tìm ra file gốc của virut dễ dàng hơn. tuy nhiên nếu như không có thông tin nào từ bước trước cũng không sao .
    giờ chúng ta bắt đầu sử dụng các công cụ đã download về :
    giờ để kiểm tra tiến trình chúng ta sử dụng ProcessExplorer hoặc HijackThis , bạn cũng có thể sử dụng task manager tuy nhiên nói chung nó không được hiệu quả lắm.
    tôi sẽ nói kĩ hơn về ProcessExplorer khi bạn khởi động nó ,nó sẽ liệt kê các tiến trình đang chạy của máy tính. chúng ta nên chú ý kĩ hơn các tiến trình nằm phía trên explorer.exe .
    vấn đề bây giờ làm sao biết đâu là virus và đâu là các tiến trình của windows.theo tôi phương pháp tốt nhất là ngừng tiến trình (kích chuột phải vào một tiến trình chọn kill process) ,nếu như là virut thì việc bạn ngừng tiến trình của nó thì nó sẽ cố gắng khởi động lại tiến trình đó nếu như vậy bạn có thể khẳng định đó là tiến trình của virus .tuy nhiên khi sử dụng cách ngừng tiến trình phải chú ý nên tắt bỏ tất cả các chương trình không cần thiết (để dễ xác định các tiến trình)
    và không được ngừng các tiến trình sau :
    smss.exe
    csrss.exe
    winlogon.exe
    services.exe
    svchost.exe
    alg.exe
    lsass.exe
    thêm một chú ý nữa : những tiến trình tôi vừa liệt kê vừa trên rất hay bị virus giả dạng ví dụ như
    svchost.exe virus có thể giả dạng bằng một cái tên như svch0st.exe vì vậy phải hết sức chú ý.
    nếu đã phát hiện ra một tiến trình virut thì việc thật đơn giản chỉ cần lấy đường dẫn tới file hoạt động tiến trình đó để chút nữa xóa đi là song (file đó chính là virus) .
    trong trường hợp bạn không chắc chắn đó có phải là virut hay không có thể sử dụng cách là lấy tên của tiến trình đó và đưa lên google bạn sẽ biết được đó có phải là file hệ thống hay không . từ đó bạn sẽ có một đánh giá chính xác nhất .
    trong trường hợp xấu nhất mà không phát hiện được tiến trình nào khả nghi . thì tôi chắc cú là con virus đó nó đã ngụy trang bằng cách ẩn đi ,nó tạm ngừng hoạt động và chỉ phá hoại trong một trường hợp nào đó . vậy công việc của ta lúc này là phải bắt nó hoạt động và hoạt động càng mạnh càng tốt để nó lộ ra tiến trình từ đó ta có thể tìm ra nơi nó cư trú của nó
    ,vậy làm sao để nó hoạt động mạnh đây , các bạn có thể xóa đi file lây nhiễm của nó (trong ví dụ video đó là file Special.exe) và file autorun.inf --> nó sẽ phải sinh ra file lây nhiễm khác. có thể dùng winrar để làm việc này ,cũng có thể chạy autorun eater để hỗ trợ (autorun eater) tự động xóa bỏ file autorun.inf. nếu mà xấu hơn nữa nó vẫn không hiện ra nguyên hình thì bạn nên rút usb ra và cắm trở lại cũng như thực hiện động thời các phương án trên , nhưng do khi nhiễm virus rồi chắc bạn sẽ không tháo được usb ra vậy thì sử dụng cách thô bạo một chút ( rút thẳng bằng tay cho nhanh )
    nếu mà tình trạng vẫn xấu hơn nữa bạn vẫn không thể cho nó lộ diện trong tiến trình thì tôi chịu thôi . phải tùy vào khả năng nhử mồi của bạn.
    tìm được nó rồi và lưu nhớ đường dẫn tới nó bước sau ta sẽ xóa bỏ nó .

    XEM VIDEO:
    video vừa xem có chất lượng hình ảnh thấp . hãy download bản gốc của video này
    Trích dẫn:
    http://www.mediafire.com/download.php?jj1mkkmjz1c


    bước 4:
    xóa bỏ virus

    do virus đang hoạt động ta sẽ không thể xóa được nó cũng như tránh việc lây lan . chúng ta sẽ reset máy để ra khỏi hệ điều hành sau đó cho đĩa hiren's boot vào và bắt đầu sử dụng công cụ mini 98 của đĩa boot chúng ta sẽ xóa bỏ các file virus đó đi.
    lại chú ý nhé ngoài việc xóa bỏ các file trên bạn phải xóa bỏ các file lây nhiếm . với các ổ cứng ( hoặc phân vùng) bạn chỉ cần vào trong ổ đó và xóa file virus nằm trong ổ (không phải vào các thư mục trong ổ) nhưng đối với usb ngoài việc xóa file virus ngoài bạn phải kiểm tra tất cả các thư mục trong usb xem có file virus hay không .tuy nhiên với những thư mục được đặt tên bằng tiếng việt bạn yên tâm là nó sẽ không lan vào trong đó nên không cần kiểm tra --> chắc bạn sẽ rút ra được kinh nghiệm để tránh virus lây vào những thư mục quan trọng trong usb. sau khi xóa bỏ sạch sẽ rồi thì ta mới yên tâm là máy hoàn toàn sạch . trong ví dụ ở video thì con virus đó sẽ tạo ra trong các ổ (phân vùng ) một file autorun.inf và một file System Volume Information.exe (giả dạng thư mục system restore ) .còn trong usb ngoài file Special.exe trong các thư mục của usb bị lây lan một file mang tên Nhac moi.exe (hàng việt nam chất lượng cao)
    xem ảnh :

    XEM VIDEO:
    có thể download video gốc về tại đây :
    http://www.fileden.com/files/2009/7/14/2508600/4.avi

    bước 5:
    kiểm tra lại và sửa lỗi virus gây ra .

    giờ bạn sử dụng chương trình RRt như trong video dưới đây và mở task manager ra kiểm tra các tiến trình nếu ổn rồi thì ta sẽ làm bước cuối để hoàn tất .
    khắc phục hậu quả của virut điều đầu tiên ta phải tính tới là sửa cái registry đầu tiên . bạn cài đặt file sua loi regedit.exe đã download về và tiến hành chạy là xong.
    giờ khắc phục một số trường hợp có thể xảy ra .
    nếu bị khóa registry
    Trước tiên, bạn vào Start - Run và gõ “cmd” để vào cửa sổ Command Line. Sau đó, gõ vào dòng sau để mở lại chức năng vào Registry.
    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
    Màn hình hiện ra thông báo “The operation complete successfully” là được.
    nếu có một số lỗi khác xảy ra nên dùng cách repair bằng đĩa cài xp để sửa lỗi

    XEM VIDEO:
    bạn phải đăng nhập mới được xem chế độ mở rộng toàn màn hình

    video vừa xem có chất lượng hình ảnh thấp . hãy download bản gốc của video này
    Trích dẫn:
    http://www.mediafire.com/download.php?mm2d4nm3uoj
    cuối cùng là phòng trừ virus như thế nào ?
    với loại virus này thì cách phòng là rất đơn giản . bạn chỉ cần cài đặt chương trình autorun eater nó sẽ tự động xóa bỏ file autorun.inf từ đó là vô tác dụng tự động cài đặt virut vào máy khi cắm usb công việc tiếp theo của bạn chỉ là vào và xóa file .exe đi thôi .
    tuy nhiên nếu bạn cần thận hơn nữa có thể bổ sung thêm cách sau :
    Chuyển USB về NTFS tạo một file autorun.inf rồi dùng lệnh sau để khoá file này:
    cacls “:\autorun.inf” /d everyone
    Sau đó gõ “Y” > Enter
    Bạn cũng có thể làm tương tự để tạo thư mục Recycled và System Volume Information. Bây giờ virus có thể vào được USB nhưng ko còn có tự chạy được nữa
    Nếu muốn bỏ file này bạn phải vào đúng máy mà bạn đã dùng khóa nó và gõ lệnh
    cacls “:\autorun.inf” /g everyone:f
    cách nữa là : Bạn vào Notepad và soạn tập tin Lock.bat với nội dung như sau:

    Mã:

    @echo off
    set drive=F
    echo Xóa file Autorun.inf (nếu có)
    attrib -r -s -h %drive%:Autorun.inf >nul
    del /f %drive%:Autorun.inf >nul
    echo Tạo thư mục Autorun.inf
    md %drive%:Autorun.inf
    md %drive%:Autorun.inf.Lock..
    md %drive%:Autorun.infCON
    attrib +r +s +h %drive%:Autorun.inf
    echo Ok. Nhấn phím để kết thúc…
    pause>nul

    Đây là một cách tương đối hiệu quả, tuy nhiên cách này chỉ áp dụng được trên một số máy, hơn nữa ****** Format mặc định của Windows không cho phép Format USB sang định dạng NTFS được nếu không thực hiện qua một số tiểu xảo khác.
    Bạn thay kí tự F dòng thứ 2 tương ứng với kí tự ổ đĩa cần khóa. Kích hoạt file này để khóa file Autorun.inf trên ổ đĩa. Giờ bạn thử tạo hay chép bất kì file Autorun.inf nào lên ổ đĩa này thì bạn đều nhận một thông báo lỗi là không xử lí được.
    [​IMG]
    Thư mục Autorun.inf được tạo ra trên ổ đĩa để ngăn ngừa Virus Autorun ghi thêm tập tin
    Vì thư mục Autorun.inf tạo theo cách trên không thể xóa theo cách thông thường được nên để mở khóa ổ đĩa đã được khóa theo cách trên, bạn dùng Notepad soạn file UnLock.bat có nội dung như sau:
    Mã:
    @echo off
    set drive=F
    attrib -r -s -h %drive%:Autorun.inf
    rd /q %drive%:Autorun.infCON
    rd /s /q %drive%:Autorun.inf
    attrib +r +s +h %drive%:Autorun.inf
    echo Ok. Nhấn phím để kết thúc…
    pause>nul
     
    :
    ngphucvn, vuanhtuan3000, nqh792 người khác thích nội dung này.
  2. Iphon3

    Iphon3 Thành viên

    hjz. dài wa. lam bieng doc nua. ra mua cai key kaspersky co 290k ve tha hồ mà diệt :))
     
  3. tuananhvvt

    tuananhvvt Thành viên

    up up up
    bạn phải hiểu được
    và xem VIDEO mình đã demo
    ủng hộ nào pà con ^^
     
    phanthiet_valentine thích nội dung này.
  4. phanthiet_valentine

    phanthiet_valentine Thành viên

    up.......lên nào........cảm ơn bác vì tinh thần chia sẻ nhé!
     
  5. saobekolak

    saobekolak Thành viên

    Bài viết công phu quá
    ___________________
     
  6. nqh79

    nqh79 Thành viên

    cảm ơn bác nhìu nhìu vì tinh thần xây dựng của bác,mình đang dùng bkav pro ko biết có an toàn ko bác vì mình mù tịt về IT lắm nên cứ dùng hàng việt cho nó lành...
     
  7. khanhhoa1912

    khanhhoa1912 Thành viên

    thx bác nhiều....theme tinhte mới nên ko tìm they nút thanks ở chỗ nào
     
  8. hoanhtuan

    hoanhtuan Thành viên

    bài viết hay, nhưng trình bày dài dòng quá
     
  9. kyokarmazen

    kyokarmazen Núp Lùm

    Trình bày hơi bị dày dòng đó bác ... bày viết này hay đấy chứ
     
  10. tuananhvvt

    tuananhvvt Thành viên

    thank các pác đã xây dựg góp ý :)