niduti
New member
Mấy tháng vừa qua có 1 loại virus ẩn tên giống với 1 file chạy hệ thống của Windown đó là file Svchost, nó đã làm chậm toàn bộ mạng LAN trong các công ty và mạng INTERNET, CPU 100% khiến máy chạy rất chậm và tự động gửi các thông số tới các địa chỉ Email lạ (email của bọn hacker) và nặng hơn là có thể máy tính của bạn sẽ bị bọn hacker điều khiển qua mang INTERNET mà bạn không hề hay biết. nó đã làm đau đầu các cư dân mạng và là nỗi sợ hãi của nhưng công ty lớn... Không phải nói nhiều về con virus Svchost.exe này nữa, cách diệt:
Gửi bởi :911.com.vn
Post bởi : niduti
Nội dung :
Đâu tiên mình nói qua về đặc điểm của con này là : Nhân đôi thư mục có dạng *.EXE , Khóa registry , ẩn Folder options , ẩn Task Manager
tự động lây nhiễm qua các thư mục Share Full ....
Khi bị nhiễm virus này người sử dụng máy tính văn phòng khó có thể phát hiện đâu là virus đâu là thư mục .
Khi nhìn thấy thư mục thì cứ Double click vào . chỉ cần cú Double đó là máy tính đã bị nhiễm Virus.
Là loại virus dạng thư mục nhưng khi chúng ta để ý quan sát thì Type of file : Application .
(Không phải là File Folder ) như hình mình họa ta có thể sác định rõ dung lượng, ngày, tháng, năm được tạo ra .
Đặc điểm của diệt virus bằng tay là nhìn vào dung lượng , ngày , tháng , năm .
Để bắt đầu diệt virus ta cần chuẩn bị một số công cụ như đĩa Hirent Boot 7.5 > hoặc Windows PE (Windows Preinstallation Environment ) chương trình Hijackthis .........
Đối với diệt virus thì môi trường DOS là tốt nhất vì lúc đấy nó ko hoạt động đựơc và hiện ẩn hoàn toàn tất cả các files and Folders . Hirent Boot các bạn vào ứng dụng Win98 Mini áp dụng với ổ đĩa FAT .
Nếu ổ cứng của bạn là NTFS thì bạn phải dùng đến đĩa Windows PE .
Windows PE, Windows 98 Mini , Safe Mode cách làm đều như nhau hôm này mình hưỡng dẫn cách diệt trên nền Safe Mode .
+ khởi động vào chế độ Safe Mode
Xóa hết các files rác như trong thư mục Temp ,Prefetch và Temporary Internet Files ( Máy dùng phần mên Kế Toán thì bỏ qua bước này vì một số phần mền kế toán sau khi xóa Temp và Prefetch nó bắt đăng ký lại )
Khi đã biết dung lượng , ngày , tháng , năm được tạo các bạn vào Start \Search for files or folder ...
Chọn All files and Folder . ở hộp thoại Search by any or all of the criteria below .
Ở ô All o Part of the file name : gõ *.exe (vì virus này có đuôi mở rộng *.EXE)
Look In : Chọn C ( sau đó thi chọn lần lượt các ổ còn lại )
kick chuột vào dòng What size is it ? tích dấu vào Specify size (in KB)
Tích vào dấu mũi tên chọn At most ở ổ bên cạnh gõ 300 ( vì virus này có dung lượng là 245 kb)
các bạn cứ để số dung lượng lớn hơn một chút .
Tiếp theo các bạn kick chuột vào More advanced options tích vào 3 hàng đầu tiên vì nó cho phép tìm cả các files ẩn
( Nếu dùng Win98Mini and Windows PE thì ko cần bước này )
Kick vào Search và chờ đến khi nào nó kết thúc .sau khi kết thúc các bạn kick vào Date Modified 2 lần để nó hiển thị các files được tạo ra mới nhất . cùng Dung lượng cùng Ngày Giờ cùng Tháng cùng Năm.
Sau đó các bạn Shift Delete . nếu chưa chắc chắn thì Delete ko Shift Delete . (xóa autorun.inf nếu có trên các ổ đĩa)
Sau đó Search lần lượt các ổ còn lại . Ko nên Search toàn bộ ổ cứng cùng một lúc khi xóa rất khó mà chỉ Search từng ổ một .
Sau khi đã xóa hết các bạn vào Windows .
Virus đã hết nhưng dư âm vẫn còn và nó để lại cho ta là Disable Registry ,ẩn Taskmanager , ẩn Folder Options .. có rất nhiều cách để phục hồi lại các tính năng này mình sẽ hưỡng dẫn một cách thủ công nhưng lại hiểu quả .
+ Một phần mền cực hay không thể thiếu để phát hiện virus , Fix lỗi disable registry , popup , set home page ......
Sử dụng chương trình HijackThis để fix . các bạn mở HijackThis ra chọn dòng Do a system scan only .
Nó có rất nhiều tính năng hay các bạn down về tham khảo sau .
Khi chọn Do a system Scan only nó sẽ liệt kê các files chạy sau đó tích dấu vào file nào nghi ngờ là virus sau đó chọn Fixed
Ở bước này thì chỉ mới mở được Registry và xóa hẳn các files nhân của Virus .
Mặc định khi virus làm ẩn Folder options , Task manager ... nó sẽ nằm ở 2 khóa sau của Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Các bạn tìm đến giá trị Disable Task manager trong khóa System và No Folder Options trong khóa Explorer .
Các bạn xóa nó đi . Tương đương với 2 đường dẫn trên thì các bạn cần vào theo khóa sau để kiểm tra nếu thấy thì cũng xóa luôn .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Oh Yes xong rồi !
Bài này chỉ mô phỏng tổng quan về cách phát hiện virus và diệt bằng tay chứ ko phải là tổng thể . Vì virus mỗi ngày ko biết có bao nhiêu loại được viết ra và đâu phải loại nào cũng giống loại nào .
*Ghi chú : Để phát hiện virus mới cần bỏ hết chế độ ẩn windows chọn dạng ngày tháng mới nhất , vào registry và Task Manager
kiểm tra xem file nào đang được chạy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+Dùng HijackThis để Fix và phát hiện virus
• Lựa thư mục HijackThis mà down
+Chuột phải chọn Open file Autorun.inf (nếu có) . mục đích để biết nó đang autorun cho file nào .
-> P/s: còn nếu máy tính của bạn đã bị mức độ nặng thì cách duy nhất là ghót lại win và connect lại mạng LAN of INTERNET :01::01::01:
Gửi bởi :911.com.vn
Post bởi : niduti
Nội dung :
Đâu tiên mình nói qua về đặc điểm của con này là : Nhân đôi thư mục có dạng *.EXE , Khóa registry , ẩn Folder options , ẩn Task Manager
tự động lây nhiễm qua các thư mục Share Full ....
Khi bị nhiễm virus này người sử dụng máy tính văn phòng khó có thể phát hiện đâu là virus đâu là thư mục .
Khi nhìn thấy thư mục thì cứ Double click vào . chỉ cần cú Double đó là máy tính đã bị nhiễm Virus.
Là loại virus dạng thư mục nhưng khi chúng ta để ý quan sát thì Type of file : Application .
(Không phải là File Folder ) như hình mình họa ta có thể sác định rõ dung lượng, ngày, tháng, năm được tạo ra .
Đặc điểm của diệt virus bằng tay là nhìn vào dung lượng , ngày , tháng , năm .
Để bắt đầu diệt virus ta cần chuẩn bị một số công cụ như đĩa Hirent Boot 7.5 > hoặc Windows PE (Windows Preinstallation Environment ) chương trình Hijackthis .........
Đối với diệt virus thì môi trường DOS là tốt nhất vì lúc đấy nó ko hoạt động đựơc và hiện ẩn hoàn toàn tất cả các files and Folders . Hirent Boot các bạn vào ứng dụng Win98 Mini áp dụng với ổ đĩa FAT .
Nếu ổ cứng của bạn là NTFS thì bạn phải dùng đến đĩa Windows PE .
Windows PE, Windows 98 Mini , Safe Mode cách làm đều như nhau hôm này mình hưỡng dẫn cách diệt trên nền Safe Mode .
+ khởi động vào chế độ Safe Mode
Xóa hết các files rác như trong thư mục Temp ,Prefetch và Temporary Internet Files ( Máy dùng phần mên Kế Toán thì bỏ qua bước này vì một số phần mền kế toán sau khi xóa Temp và Prefetch nó bắt đăng ký lại )
Khi đã biết dung lượng , ngày , tháng , năm được tạo các bạn vào Start \Search for files or folder ...
Chọn All files and Folder . ở hộp thoại Search by any or all of the criteria below .
Ở ô All o Part of the file name : gõ *.exe (vì virus này có đuôi mở rộng *.EXE)
Look In : Chọn C ( sau đó thi chọn lần lượt các ổ còn lại )
kick chuột vào dòng What size is it ? tích dấu vào Specify size (in KB)
Tích vào dấu mũi tên chọn At most ở ổ bên cạnh gõ 300 ( vì virus này có dung lượng là 245 kb)
các bạn cứ để số dung lượng lớn hơn một chút .
Tiếp theo các bạn kick chuột vào More advanced options tích vào 3 hàng đầu tiên vì nó cho phép tìm cả các files ẩn
( Nếu dùng Win98Mini and Windows PE thì ko cần bước này )
Kick vào Search và chờ đến khi nào nó kết thúc .sau khi kết thúc các bạn kick vào Date Modified 2 lần để nó hiển thị các files được tạo ra mới nhất . cùng Dung lượng cùng Ngày Giờ cùng Tháng cùng Năm.
Sau đó các bạn Shift Delete . nếu chưa chắc chắn thì Delete ko Shift Delete . (xóa autorun.inf nếu có trên các ổ đĩa)
Sau đó Search lần lượt các ổ còn lại . Ko nên Search toàn bộ ổ cứng cùng một lúc khi xóa rất khó mà chỉ Search từng ổ một .
Sau khi đã xóa hết các bạn vào Windows .
Virus đã hết nhưng dư âm vẫn còn và nó để lại cho ta là Disable Registry ,ẩn Taskmanager , ẩn Folder Options .. có rất nhiều cách để phục hồi lại các tính năng này mình sẽ hưỡng dẫn một cách thủ công nhưng lại hiểu quả .
+ Một phần mền cực hay không thể thiếu để phát hiện virus , Fix lỗi disable registry , popup , set home page ......
Sử dụng chương trình HijackThis để fix . các bạn mở HijackThis ra chọn dòng Do a system scan only .
Nó có rất nhiều tính năng hay các bạn down về tham khảo sau .
Khi chọn Do a system Scan only nó sẽ liệt kê các files chạy sau đó tích dấu vào file nào nghi ngờ là virus sau đó chọn Fixed
Ở bước này thì chỉ mới mở được Registry và xóa hẳn các files nhân của Virus .
Mặc định khi virus làm ẩn Folder options , Task manager ... nó sẽ nằm ở 2 khóa sau của Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Các bạn tìm đến giá trị Disable Task manager trong khóa System và No Folder Options trong khóa Explorer .
Các bạn xóa nó đi . Tương đương với 2 đường dẫn trên thì các bạn cần vào theo khóa sau để kiểm tra nếu thấy thì cũng xóa luôn .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Oh Yes xong rồi !
Bài này chỉ mô phỏng tổng quan về cách phát hiện virus và diệt bằng tay chứ ko phải là tổng thể . Vì virus mỗi ngày ko biết có bao nhiêu loại được viết ra và đâu phải loại nào cũng giống loại nào .
*Ghi chú : Để phát hiện virus mới cần bỏ hết chế độ ẩn windows chọn dạng ngày tháng mới nhất , vào registry và Task Manager
kiểm tra xem file nào đang được chạy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+Dùng HijackThis để Fix và phát hiện virus
Mã:
https://skydrive.live.com/?cid=dad430f5381ffa89&id=DAD430F5381FFA89%21279+Chuột phải chọn Open file Autorun.inf (nếu có) . mục đích để biết nó đang autorun cho file nào .
-> P/s: còn nếu máy tính của bạn đã bị mức độ nặng thì cách duy nhất là ghót lại win và connect lại mạng LAN of INTERNET :01::01::01: