Diệt virus bằng tay thật ra rất ít người áp dụng nó , bởi vì khó có thể phân biệt đâu là virus đâu là file chạy của windows...
Diệt Virus bằng tay chi được áp dụng với các loại virus mới mà các chương trình Antivirus chưa có thuốc chữa.
Hôm nay mình giới thiệu qua một số cách nhận biết virus qua một số đặc điểm
( Dung lượng, ngày, tháng, năm, đuôi mởi rộng...)
bài này mình lấy con virus có tên SCVHOST.EXE để làm minh họa .
Đâu tiên mình nói qua về đặc điểm của con này là: Nhân đôi thư mục có dạng *.EXE , Khóa registry, ẩn Folder options, ẩn Task Manager, có thể khóa luôn lệnh Run
tự động lây nhiễm qua các thư mục Share Full ....
Khi bị nhiễm virus này người sử dụng máy tính văn phòng khó có thể phát hiện đâu là virus đâu là thư mục.
Khi nhìn thấy thư mục thì cứ Double click vào . chỉ cần cú Double đó là máy tính đã bị nhiễm Virus.
Là loại virus dạng thư mục nhưng khi chúng ta để ý quan sát thì Type of file: Application .
Không phải là File Folder và ta có thể xác định rõ dung lượng, ngày, tháng, năm được tạo ra.
Đặc điểm của diệt virus bằng tay là nhìn vào dung lượng, ngày, tháng, năm.
Để bắt đầu diệt virus ta cần chuẩn bị một số công cụ như đĩa Hirent Boot 7.5 > hoặc Windows PE (Windows Preinstallation Environment ) chương trình Hijackthis .........
Đối với diệt virus thì môi trường DOS là tốt nhất vì lúc đấy nó ko hoạt động đựơc và hiện ẩn hoàn toàn tất cả các files and Folders . Hirent Boot các bạn vào ứng dụng Win98 Mini áp dụng với ổ đĩa FAT.
Nếu ổ cứng của bạn là NTFS thì bạn phải dùng đến đĩa Windows PE.
Windows PE, Windows 98 Mini, Safe Mode cách làm đều như nhau hôm này mình hưỡng dẫn cách diệt trên nền Safe Mode.
+ khởi động vào chế độ Safe Mode
Xóa hết các files rác như trong thư mục Temp ,Prefetch và Temporary Internet Files ( Máy dùng phần mên Kế Toán thì bỏ qua bước này vì một số phần mền kế toán sau khi xóa Temp và Prefetch nó bắt đăng ký lại )
Khi đã biết dung lượng, ngày, tháng, năm được tạo các bạn vào Start \Search for files or folder...
Chọn All files and Folder. ở hộp thoại Search by any or all of the criteria below .
Ở ô All o Part of the file name: gõ *.exe (vì virus này có đuôi mở rộng *.EXE)
Look In: Chọn C ( sau đó thi chọn lần lượt các ổ còn lại )
kick chuột vào dòng What size is it? tích dấu vào Specify size (in KB)
Tích vào dấu mũi tên chọn At most ở ổ bên cạnh gõ 300 ( vì virus này có dung lượng là 245 kb)
các bạn cứ để số dung lượng lớn hơn một chút.
Tiếp theo các bạn kick chuột vào More advanced options tích vào 3 hàng đầu tiên vì nó cho phép tìm cả các files ẩn
( Nếu dùng Win98Mini and Windows PE thì ko cần bước này )
Kick vào Search và chờ đến khi nào nó kết thúc .sau khi kết thúc các bạn kick vào Date Modified 2 lần để nó hiển thị các files được tạo ra mới nhất . cùng Dung lượng cùng Ngày Giờ cùng Tháng cùng Năm.
Sau đó các bạn Shift Delete. nếu chưa chắc chắn thì Delete ko Shift Delete . (xóa autorun.inf nếu có trên các ổ đĩa)
Sau đó Search lần lượt các ổ còn lại. Ko nên Search toàn bộ ổ cứng cùng một lúc khi xóa rất khó mà chỉ Search từng ổ một.
Sau khi đã xóa hết các bạn vào Windows.
Virus đã hết nhưng dư âm vẫn còn và nó để lại cho ta là Disable Registry, ẩn Taskmanager, ẩn Folder Options.. có rất nhiều cách để phục hồi lại các tính năng này mình sẽ hưỡng dẫn một cách thủ công nhưng lại hiểu quả.
+ Một phần mền cực hay không thể thiếu để phát hiện virus, Fix lỗi disable registry, popup, set home page......
Sử dụng chương trình HijackThis để fix. các bạn mở HijackThis ra chọn dòng Do a system scan only.
Nó có rất nhiều tính năng hay các bạn down về tham khảo sau.
Khi chọn Do a system Scan only nó sẽ liệt kê các files chạy sau đó tích dấu vào file nào nghi ngờ là virus sau đó chọn Fixed
Ở bước này thì chỉ mới mở được Registry và xóa hẳn các files nhân của Virus.
Mặc định khi virus làm ẩn Folder options, Task manager... nó sẽ nằm ở 2 khóa sau của Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\Explorer
Các bạn tìm đến giá trị Disable Task manager trong khóa System và No Folder Options trong khóa Explorer.
Các bạn xóa nó đi. Tương đương với 2 đường dẫn trên thì các bạn cần vào theo khóa sau để kiểm tra nếu thấy thì cũng xóa luôn.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \policies\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \policies\Explorer
Oh Yes xong rồi !
Bài này chỉ mô phỏng tổng quan về cách phát hiện virus và diệt bằng tay chứ ko phải là tổng thể . Vì virus mỗi ngày ko biết có bao nhiêu loại được viết ra và đâu phải loại nào cũng giống loại nào.
*Ghi chú: Để phát hiện virus mới cần bỏ hết chế độ ẩn windows chọn dạng ngày tháng mới nhất, vào registry và Task Manager
kiểm tra xem file nào đang được chạy
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \Run
+Dùng HijackThis để Fix và phát hiện virus .
Link Download HijackThis:
http://www.mediafire.com/?b7eq66fim29bwrz
Không có nhận xét nào:
Đăng nhận xét