intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Kinh nghiệm diệt virus

Chia sẻ: Nguyễn Hải Nam Nam | Ngày: | Loại File: DOC | Số trang:6

60
lượt xem
12
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Chào các bạn Hôm nọ có người nhờ mình kiểm tra máy nghi là bị nhiễm virus. Hiện tượng được mô tả lại như sau: - Các folder bị biến thành file .exe, tuy nhiên gõ đường dẫn vẫn có thể truy cập

Chủ đề:
Lưu

Nội dung Text: Kinh nghiệm diệt virus

  1. Chào các bạn Hôm nọ có người nhờ mình kiểm tra máy nghi là bị nhiễm virus. Hiện tượng được mô tả lại như sau: - Các folder bị biến thành file .exe, tuy nhiên gõ đường dẫn vẫn có thể truy cập được - Không show được file ẩn - Hệ thống tự động logout sau một thời gian (có một số trường hợp không thể login vào được Windows. - Không sử dụng được các công cụ giám sát hệ thống. Nếu nhấn Ctrl+Alt+Del sẽ bị logout. - Chỉ sử dụng được CMD. Trong quá trì trình thực hiện kiểm tra PC bị nhiễm virus trên, mình phát hiện ra một số điều lý thú. Mặc dù chưa thể giải quyết hết các vấn đề nhưng qua những phân tích của mình, hi vọng bài viết này sẽ giúp ích cho các bạn trong việc đối đầu với những loại virus dạng này. Nếu bạn nào có cao kiến gì trong những vấn đề mình còn bỏ ngõ thì mời bạn upload lên cho anh em cùng tham khảo nhé! Các bạn click vào đây để download bài viết: http://www.4shared.com/account/dir/6...ng.html?rnd=36 Mountain. thay đổi nội dung bởi: Mountain, 05-11-2008 lúc 06:02 PM. Mountain Xem hồ sơ Gởi nhắn tin tới Mountain Send email to Mountain Find More Posts by Mountain 05-12-2008, 06:01 PM #2 hanjyung Supper Mod Bác Mountain còn may là vào được CMD đấy! em Senior nhiều lúc phải bó tay vì chẳng vào gì được cả, kể cả safemode! cuối cùng đành Reinstall cho nhanh!
  2. __________________ hanjyung Athena Training Center 2 Bis Dinh Tien Hoang, DaKao, Dist 1, Ho Chi Minh Tham gia: Sep 2006 city Posts: 104 www.athena.edu. vn MD5: ef0cbdd2539f6729cdfd3b0cedee26a8 SHA1: 83bc16f4cdcc82e58ca139fe72d52df1779a6cb0 hanjyung Xem hồ sơ Gởi nhắn tin tới hanjyung Send email to hanjyung Find More Posts by hanjyung 05-13-2008, 01:33 PM #3 Mountain ̀ viên chinh Thanh ́ thức Chào Hanjyung Groupie Tham gia: Dec 2007 Posts: 32 Trong tình huống mình gặp, cái gì con virus cũng disable hết kể cả safe mode, cũng may là con virus này quên mất cái CMD mà thật ra là chủ quan. Như bạn biết đấy toàn bộ file .exe đã bị virus khống chế, nó chuyển hướng gọi virus trước khi trả lại cho .exe. Ở đây mình khống chế nó bằng cách tạo ra 1 console theo dõi sự xuất hiện của nó và kill nó thật nhanh nếu có thể. Thế mới biết CMD có lợi như thế nào, vì vậy nhất định phải am tường CMD mới được. Nhân đây cũng xin nói thêm về kỹ thuật không cho một application nào khởi động (khác với kỹ thuật chuyển hướng): VD mình muốn không cho CMD chạy mình thực hiện chỉnh sửa Registry như sau:
  3. HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Explorer\DisallowRun Tạo 1 String name bất kỳ với value là cmd.exe Bạn có thể làm tương tự cho bất kỳ application nào bạn muốn. Mình đã tạo sẵn một cái bạn nào có làm biếng thì download về mà xài ở đây http://www.athena.com.vn/forum/showthread.php?t=3160 Mountain. Mountain Xem hồ sơ Gởi nhắn tin tới Mountain Send email to Mountain Find More Posts by Mountain 05-13-2008, 05:10 PM #4 hanjyung Supper Mod Thank nhé! nhưng mà trong trường hợp này thì Senior mình tạo ra một file *.reg với lệnh là allowcmd, tức là khởi chạy cmd khi bị virus khống chế được không nhỉ? nhân tiện đây em nói thêm: bác vào được Win là siêu rồi đấy ! __________________ Tham gia: Sep 2006 hanjyung Posts: 104 Athena Training Center 2 Bis Dinh Tien Hoang, DaKao, Dist 1, Ho Chi Minh city www.athena.edu. vn MD5: ef0cbdd2539f6729cdfd3b0cedee26a8 SHA1: 83bc16f4cdcc82e58ca139fe72d52df1779a6cb0 hanjyung
  4. Xem hồ sơ Gởi nhắn tin tới hanjyung Send email to hanjyung Find More Posts by hanjyung 05-14-2008, 11:14 AM #5 Mountain ̀ viên chinh Thanh ́ thức Trích: Groupie Tham gia: Dec 2007 Nguyên văn bởi hanjyung Posts: 32 Thank nhé! nhưng mà trong trường hợp này thì mình tạo ra một file *.reg với lệnh là allowcmd, tức là khởi chạy cmd khi bị virus khống chế được không nhỉ? nhân tiện đây em nói thêm: bác vào được Win là siêu rồi đấy ! Gửi bạn Hanjyung 1. Khắc phục login: Như mình đã nói, nếu có trong tay những danh sách các file nghi ngờ đã bị xóa đi thì mới có khả năng "mò mẫm" login vào được còn không thì khó lắm. Nếu ai đó đưa cho mình cái máy bị logout nhưng không có file log diệt virus thì mình cũng chịu thua luôn. 2. Reg: Mình e là không được vì file .reg cũng gọi regedit.exe. Còn nữa, bạn viết cái gì trong đó? vì cơ chế của virus là chuyển hướng còn cơ chế của mình là ngăn chặn application cụ thể, mình đã thử tìm trong Registry rồi. À, liệu có thể disable tất cả các application bằng thay thế value là *.exe không? Nếu thực hiện như thế thì coi chừng gậy ông đập lưng ông đó.
  5. Mountain Mountain Xem hồ sơ Gởi nhắn tin tới Mountain Send email to Mountain Find More Posts by Mountain 08-27-2008, 11:56 PM #6 flobg88 Góp ý thêm cho bạn ̀ viên mới Thanh Trích: Newbie Tham gia: Aug 2008 Nguyên văn bởi Mountain Posts: 5 1. Khắc phục login: Như mình đã nói, nếu có trong tay những danh sách các file nghi ngờ đã bị xóa đi thì mới có khả năng "mò mẫm" login vào được còn không thì khó lắm. Nếu ai đó đưa cho mình cái máy bị logout nhưng không có file log diệt virus thì mình cũng chịu thua luôn. 2. Reg: Mình e là không được vì file .reg cũng gọi regedit.exe. Còn nữa, bạn viết cái gì trong đó? vì cơ chế của virus là chuyển hướng còn cơ chế của mình là ngăn chặn application cụ thể, mình đã thử tìm trong Registry rồi. À, liệu có thể disable tất cả các application bằng thay thế value là *.exe không? Nếu thực hiện như thế thì coi chừng gậy ông đập lưng ông đó. Mountain Theo kinh nghiệm của mình làm thì như trường hợp trên
  6. cmd vẫn sử dụng được là bạn còn có cách để trị con này Giờ Flo chỉ cho các bạn thấy nhé ! bạn vào Start >>> run gõ lệnh cmd vào đấy tiếp theo bạn dùng lệnh Reg delete "HKLM\software\microsoft\windows nt\" Giải thích cho các bạn tại sao lại del khóa này đi nhé vì trong khóa HKLM\software\microsoft\windows nt\currentversion\image file execution options\ trong này có nhiều khóa mà virus tạo ra để khóa không cho quyền truy cập 1 số tính năng của windows nói này ko biết các bạn có hiểu ko nhỉ Lệnh này dùng để del khóa trong registry Và delete nốt khóa bằng lệnh tiếp theo Reg delete "HKLM\software\microsoft\windows" Xong cập nhật lại 2 khóa windows và windows nt của HKLM để win hoạt động bình thường là ok bạn cập nhật 2 khóa này nhé http://www.4shared.com/account/file/...m_windows.html http://www.4shared.com/account/file/..._windownt.html ok xong rồi nhé ! còn muốn triệt tiếp các bạn thử vào driver trong system32 ở windows xem có thằng nào có đuôi .dll bem sạch đi , để ý hộ mình xem có file HBkernel.sys ko nhé và file explore ở C:\windows\system32 con này kể ra kill nó phải viết nhiều quá mà FLo buồn ngủ rồi ai bổ sung hộ mình nữa nhé ! Tẹo nữa thì quên con của bạn hình như là skynet ^^ nhưng ko sao cập nhật 2 cái kia của mình vẫn ok xong cập nhật phần mềm diệt virus symatec là ok diệt bằng tay con này ko khó nhưng mà mình ko nhớ nó là file nào bị nhiễm hixhix . bạn cập nhật khóa xong vào http://911.com.vn để down hiện registry nếu 2 cái kia vẫn ko làm hiện registry nhé ! log off lại xem có ok ko nào
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
4=>1