Hướng dẫn tìm virut trên máy tính

Cùng tham khảo những hướng dẫn tìm virut trên máy tính nhé các bạn, không cần đến phần mềm diệt virut bạn cũng có thể làm sạch máy tính của mình đấy.


Hướng dẫn tìm và diệt virus bằng tay


Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...). Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task manager và regedit

Mở/khoá task manager

Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :

Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)

Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.

Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này

Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.

Mở/khoá regedit

Có 2 cách :

1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.

2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào

Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy

Mở/khoá Run trong Start Menu

Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:

1.Vào windows/system32/cmd.exe để mở cmd.

2.Start - Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này

Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced

Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.

Nếu không khóa run trong REGISTRY thì tham khảo cách sau:

Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.

-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL

Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.

Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.

 



ẩn/hiện Folder Option

Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".

Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài.

Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).

 



Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng nhất : tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.

Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này còn tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... thì bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... thì 90% đó là virus.



Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd

Sau khi quan sát trong msconfig,thấy dc đưòng dẫn của virus rồi thì bứoc tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rùi tìm cách để cách ly hoặc xoá chúng ra khỏi máy.

Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là

Code:
c:\windows\system32\hkcmd.exe

Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh

Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe

r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi

Sau đó hãy dùng lệnh del để xoá chúng đi

 


Code:
del c:\windows\system32\hkcmd.exe

Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.

Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB

Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý.



Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy

 
Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy

Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy

Nếu nghi nghờ máy tính của mình bị nhiễm virus Keylog (hay mất mật khẩu, nghi ngờ hộp thư bị đọc trộm, nick Yahoo bị ai đó đăng nhập...) thì làm những bước sau để phát hiện và xóa virus Keylog nhé! Cách này khả năng thành công khoảng 99%

Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy

Trước hết AE phải biết cấu trúc của virus Keylog khi cài đặt vào máy. Sẽ có 3 file virus là: ***.exe, ***hk.exe, và ***wb.exe. *** là tên bất kì của nó. Nói đơn giản thế này thôi, muốn xóa Keylog thì cần phải tìm ra và xóa đc 3 file trên

Phần mềm cần thiết để hỗ trợ tìm và diệt virus Keylog nên Download những thứ sau đây:

  • 1. Search Everything (phần mềm tìm kiếm nhanh nhất thế giới)
  • 2. Unlocker mới nhất (xóa tất cả những file cứng đầu nhất)

Các bạn nên lên Google tìm và Download những phần mềm trên nhé. Sau khi Download và cài đặt xong 2 phần mềm trên, các bạn bật Search Everything lên và vào theo đường dẫn C:\WINDOWS\system32\ để tìm kiếm ở đây.

Đầu tiên tìm từ khóa bpk => nếu có xuất hiện bất cứ file nào, các bạn bấm chuột phải dùng Unlocker xóa ngay => con Keylog đã bị tiêu diệt

Nếu k thấy thì các bạn Search tiếp từ khóa wb và sau đó tìm tiếp là từ khóa hk, nếu có Keylog thì nó sẽ hiện 2 file có mấy kí tự đầu giống nhau, các bạn chỉ cần dùng Unlocker để xóa chúng => Keylog đã bị xóa khỏi máy.

Nếu cả 3 từ khóa trên đều ko tìm thấy file nào thì yên tâm là máy của bạn an toàn và ko bị nhiễm Keylog.

Cách này là do mình nghĩ ra, vì bản thân mình ngày xưa cũng đã từng nghịch cái này. Hôm nay mình Share cho AE cách này và hi vọng AE chơi Game, chat chit thoải mái mà ko sợ mất nick nữa nhé.

P/S: Đây là cách Delete con Perfect Keylog, còn 1 số con khác cũng có thể lấy Pass của các bạn. Cách này chủ yếu để các bạn tham khảo. Ngoài ra, các bạn có thể sử dụng công cụ diệt virus bằng tay 1 Click tại đây để diệt virus Keylog cũng rất hiệu quả. Chúc các bạn thành công!

 

Hướng dẫn tìm và diệt virus W32.Bagle.B mới xuất hiện

 

9 giờ sáng nay, ngày 18 tháng 2 năm 2004, Trung tâm An Ninh Mạng Bkis nhận được một số email có tiêu đề "ID ajeearrohy... thanks" và "ID nwchv... thanks", các email này đều có đính kèm các file .exe kích thước khoảng 11 Kbyte. Qua nhận định ban đầu của trung tâm An Ninh Mạng thì đây là một loại virus mới và bắt đầu xuất hiện ở Việt Nam. Chúng tôi ngay lập tức tiến hành phân tích và giải mã mẫu virus này. Đến chiều nay thì việc phân tích virus đã hoàn thành và phiên bản Bkav497 cập nhật virus W32.Bagle.B (xem mô tả chi tiết virus ở phần dưới) được đưa ra lúc 18 giờ 45 phút.

Để diệt virus W32.Bagle.B bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav497 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav497, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Mô tả chi tiết virus W32.Bagle.B:

Sâu BeagleB lan truyền qua thư điện tử, nó sẽ tự động gửi thư tới các địa chỉ email tìm thấy trên máy.

1. Bức thư virus gửi ra ngoài có dạng như sau:

Gửi từ (From):

Một địa chỉ bị virus giả mạo.

Tiêu đề (Subject):

ID.......... thanks

Nội dung:

Yours ID
--
Thank

File đính kèm( Attachment):

.exe

File đính kèm này khi được ghi ra đĩa sẽ có biểu tượng là một file audio của Windows.

2. Khi được kích hoạt trên một máy tính của người sử dụng, BeagleB sẽ kiểm tra xem máy tính này đã bị nhiễm virus chưa.Nếu phát hiện máy tính chưa bị nhiễm virus, nó sẽ gọi file Sndrec32.exe (Windows Sound Recorder) để đánh lừa người dùng, sau đó thực hiện copy chính nó vào thư mục hệ thống của hệ điều hành dưới tên au.exe.

3. BeagleB tạo khoá "au.exe" vào trong key

HKEY_CURRENT_USER\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run

để virus này có thể được tự kích hoạt mỗi khi khởi động Windows.

4. Virus tự động thêm vào trong key

HKEY_CURRENT_USER\SOFTWARE\Windows2000

các dòng sau:

"frn" = "0x00000001" hoặc là "frn" = "0x00000000"

"gid" = ""

Giá trị ngẫu nhiên của key "gid" sẽ được hacker sử dụng như 1 số để nhận dạng.

5. Sâu Beagle.B có kỹ thuật của một backdoor, đợi ở cổng 8866 cho phép hacker upload Trojan lên máy tính bị nhiễm dưới dạng file .exe trong thư mục Windows của hệ điều hành với tên ngẫu nhiên bắt đầu bởi "bsupld" rồi gọi file này chạy với tham số là "-upd".

6. Cứ 10000 giây, BeagleB lại kết nối tới các website sau đây và thông qua đó gửi đi các thông tin về máy tính đang bị nhiễm virus này như IP, máy tính đang mở cổng nào và số nhận dạng của máy đó:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php

7. Virus thực hiện quét toàn bộ các ổ cứng trong máy và phân tích các file có phần mở rộng như sau để tìm các địa chỉ email trong máy:

.wab
.txt
.htm
.html

8. Sâu BeagleB được lập trình để chỉ hoạt động đến ngày 25/02/2004. Nếu quá ngày này, sâu Beagle sẽ tạo ra file a.bat để thực hiện tự động loại bỏ chính nó ra khỏi máy tính của người sử dụng.



 

 

• Hỏi đáp về
Bạn muốn biết thêm về chủ đề xin vui lòng đặt câu hỏi tại đây để được trợ giúp
Gửi
Hỏi đáp của bạn phải gõ bằng tiếng việt có dấu và có nội dung lành mạnh, không mang nôi dung phản động, không vi phạm thuần phong mỹ tục Việt Nam. Hỏi đáp có nội dung xấu sẽ bị xóa.

Bài viết trong chủ đề này


      Không có bài viết nào!

• Các nội dung liên quan:

Top 10 Câu hỏi mới nhất

avatar
An_nick hỏi về chủ đề này trong Hỏi đáp 6 giờ trước
0 Trả lời 2 click
avatar
An_nick hỏi về chủ đề này trong Hỏi đáp 6 giờ trước
0 Trả lời 2 click
avatar
An_nick hỏi về chủ đề này trong Hỏi đáp 7 giờ trước
0 Trả lời 2 click
avatar
An_nick hỏi về chủ đề này trong Hỏi đáp 7 giờ trước
0 Trả lời 3 click
avatar
An_nick hỏi về chủ đề này trong Hỏi đáp 9 giờ trước
0 Trả lời 1 click