Killer Forum - Nơi hội tụ Teen tài năng
WelCum tu Killer 4Rum
Killer Forum - Nơi hội tụ Teen tài năng

Underground Teen
 
IndexIndex  Killer PortalKiller Portal  CalendarCalendar  Trợ giúpTrợ giúp  Tìm kiếmTìm kiếm  Thành viênThành viên  NhómNhóm  Đăng kýĐăng ký  Đăng NhậpĐăng Nhập  

Share | 
 

 Diệt Virus bằng tay

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Admin
Admin
Admin


Tổng số bài gửi : 70
Killer Coin : 11224
Danh tiếng : 10
Join date : 16/11/2010
Age : 22
Đến từ : NT-Town And DH Hood

Bài gửiTiêu đề: Diệt Virus bằng tay   Sat Nov 20, 2010 1:08 pm

Bước 1:
- Clear BIOS
- Ngắt các kết nối vào máy tính:
+ Ngắt mạng LAN (Nên rút cable, trong số ít trường hợp khi Disable card mạng virus vẫn có thể tạo kết nối)
+ Tháo dở USB, ổ đĩa rời, máy in, webcam,... vì Một số virus có khả năng lây nhiễm vào các thiết bị này.
- Suốt quá trình diệt không được nhấp trực tiếp vào các folder mà phải dùng bằng menu bên trái của Explorer để chọn folder (Window+E)
- End Process Tree các file virus trước khi diệt.
- Làm sạch RAM
.....

Bước 2: Xoá key trong registry
- Dùng BKAV quét lại 1 lần nữa, sau đó ghi lại đường dẫn của virus.
- Dùng tên và đường dẫn của virus để tìm trong regedit
- Thường thì để chạy tự động thì virus sẽ lưu key vào registry tại các vị trí sau:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOne
Tìm đến Run và RunOne để xoá key của virus.
- Ngoài ra virus có thể tạo bản phục hồi (phòng trường hợp bị Anti nó quét) tại:
SOFTWARE\Microsoft\Windows\CurrentVersion\StartupReg
Ở đây ngoài việc xoá key virus, bạn phải xoá luôn cái key nào có liên kết đến file backup của virus.
(Nhớ ghi lại đường dẫn backup để lát nữa còn xoá)
Để chắc ăn bạn nên xoá luôn cái nhánh chứa toàn bộ thông tin của nó.
- Dù là lưu ở vị trí nào trong registry, để chạy cùng window, virus đều phải trỏ về RUN và RUNONE.
Dùng đường dẫn của chính Run và RunOne để làm từ khóa kiếm ở các vị trí khác.
Từ khóa tìm kiếm: CurrentVersion\Run, CurrentVersion\RunOne

Bước 3: Tìm diệt ở vị trí nhạy cảm
- Hiện ẩn tất cả các ổ đĩa,
- Mở file Autorun.info ở đầu mỗi ổ đĩa bằng notepad.
Lưu ý: Không được nhấp trực tiếp mà phải bấm phải chuột vì virus có thể nhiễm lại.
- Lần theo đường dẫn ghi trong file Autorun để tìm virus, sau khi diệt được virus mới xóa Autorun.inf
- Kiểm tra ổ đĩa hệ thống các file có khả năng boot khi khởi động hay không,
Virus có thể tạo ra những file boot, hãy xóa những file lạ.
(Đừng xóa nhầm các file CONFIG.SYS, IO.SYS, MSDOS.SYS, ntldr)
- Xoá các file lạ ở đầu các ổ đĩa khác.
- Xóa tất cả các file trong folder STARTUP
- Làm sạch RECYCLE BIN
- Để đảm bảo: Xóa file trong các folder lưu tạm:
\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\
\Documents and Settings\Administrator\My Documents\Downloads\
\WINDOWS\Tasks\
\WINDOWS\system32\config\systemprofile\Cookies\
\WINDOWS\system32\config\systemprofile\Recent\
\WINDOWS\system32\config\systemprofile\Local Settings\Temp\
\WINDOWS\Temp\
\WINDOWS\system32\config\systemprofile\Templates\
\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\
\WINDOWS\system32\config\systemprofile\Favorites\
\WINDOWS\WinSxS\InstallTemp\
......


Bước 4: Tìm diệt file backup và virus
- Xoá file backup bằng đường dẫn mà bạn tìm được ở bước 1.
- Chọn start \ Search \ All files and folders
+ Ô file name, gõ vào TênVirus*. Lưu ý: không được gõ TênVirus.exe.
Nếu nhiều virus thì cách nhau bởi dấu phẩy: Virus1*, Virus2*,....
+ Tại mục More Advance Option đánh dấu chọn vào ô Search hidden files and folders. Nhấn tìm kiếm
+ Sau khi tìm xong bạn bắt đầu xóa các file backup trước rồi mới xóa virus.
File Virus chính là những file bạn đã End process tree,
còn file backup thường sẽ có đuôi mở rộng khác với file virus (để qua mặt Anti)
Ví dụ: Virus tên là ABC.exe, nhưng file backup tên là ABC.BAK hoặc ABC.khjfIKLFGIQkjhsj, XYZ.bak,....
Đó là nguyên nhân bạn không được tìm với từ khóa TênVirus.exe vì sẽ không tìm được file backup.
- Dùng các chương trình Anti để quét lại lần nữa.

Bước 5: Format Master Boot Record
- Dùng đĩa Hirren boot để Format Master Boot Record bằng lệnh: fdisk /MBR
- Một số virus ghi thông số vào MBR, nếu không Format MBR thì các bước ở trên sẽ vô hiệu.

Bước 6: Kiểm tra và bản phục hồi
- Kiểm tra xem có còn virus hay không, chỉ cần trong quá trình diệt bạn bỏ sót 1 con virus thì nó cũng có khả năng phục hồi lại những con còn lại. Nếu còn thì hãy làm lại các bước trên.
- Khi End Proccess nên nhìn kỹ kẻo bị đánh lừa vì Virus có thể giả dạng hệ thống:
Ví dụ: Virus đặt tên là svchost, nhưng lại không nằm ở User SYSTEM,....
- Có khả năng virus nhiễm từ mạng LAN, bạn nên tạo bản ghost trước khi nối mạng hoặc gắn các thiết bị khác trở lại.

Bước 7: Kiểm tra trojan, root kit,...
- Hãy chắc chắn rằng bạn đã hoàn thành 6 bước ở trên.
- Không được chạy bất cứ ứng dụng nào trong quá trình thực hiện,
kiểm tra các kết nối mạng bằng lệnh netstat -a,
nếu xuất hiện các kết nối lạ, chắc chắn các file hệ thống của bạn đã bị nhiễm,
trên nền DOS hoặc winPE hãy copy lại các file sạch (svchost, explorer, services,..)
- Vào lại window, chạy từng ứng dụng quan trọng để kiểm tra lần lượt (IE, FF, Chrome, Yahoo,...)
Mỗi lần chạy 1 ứng dụng thì gõ netstat -a một lần, chương trình nào tạo kết nối lạ thì chương trình đó bị nhiễm.
- Một số virus có chức năng hẹn giờ, mà không chạy ngay vào thời điểm test, do đó không thể phát hiện.
+ Cách tốt nhất để bảo vệ mình đó là phòng bệnh hơn chữa bệnh.
+ Dùng 1 chương trình quét virus thật tốt, kết hợp nhiều thì càng tốt (nếu không xung đột hoặc nặng máy)
Về Đầu Trang Go down
Xem lý lịch thành viên http://killer.5forum.net
 
Diệt Virus bằng tay
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
Killer Forum - Nơi hội tụ Teen tài năng :: Công Nghệ Thông Tin :: Hacker Mũ Trắng Và bảo mật mạng-
Chuyển đến