lephuong_rong

New Member
các bạn chú ý tui sẽ kết hợp giữa bài viết và video .vì lý do hạn chế về thời (gian) gian cho một đoạn video nên những đoạn video chỉ lướt nhanh qua những vấn đề trọng tâm và những vấn đề khác liên quan tui sẽ đề cập đi kèm theo bài viết.



để xem đầy đủ về bài viết và các video .



giờ chúng ta bắt đầu vào công chuyện


chắc cũng không phải nói văn hoa to tát làm gì ,ai cũng biết virus nói chung gây phá hoại , ăn cắp thông tin .... hôm nay tui sẽ giới thiệu cho các bạn phương pháp để xóa bỏ virus exe ,một loại virus thường gặp hiện nay và gây khó chịu . thường thì nó là kẻ phá hoại như làm giảm tốc độ của máy tính , phá hỏng file , gây lỗi hệ thống,không cho tắt máy ....


tuy nhiên chuyện diệt virut bằng tay đôi khi mất khá nhiều thời (gian) gian với những con virus hàng khủng ,chỉ nên tự diệt khi mà phần mềm diệt virus chưa cập nhật con virut đó để khỏi tốn thời (gian) gian



tóm lược bài viết :


bước 1: trả lời câu hỏi : làm sao để biết máy có nhiễm virus .


bứơc 2: loại trừ khả năng chúng khởi động cùng hệ điều hành


bước 3: kiểm tra tiến trình và file gốc của virus


bước 4: xóa bỏ virus ra khỏi máy tính


bước 5: kiểm tra lại và sửa chữa lỗi do virus gây ra


bước 6: rút ra bài học là phòng còn hơn chống



sau đó tui sẽ có một số ví dụ với một số con virus khác để các bạn tham khảo




trước hết các bạn download các gói công cụ tối thiểu dành cho chuyện diệt virus


RRT:



Trích dẫn:



ProcessExplorer:



Trích dẫn:



Autorun eater:



Trích dẫn:



HijackThis:



Trích dẫn:



sửa lỗi registry:



Trích dẫn:



và download về vài con virut để thực hành



Trích dẫn:



chú ý mấy con virus này là hàng cũ , các bạn có thể dễ dàng kiếm được phần mềm để diệt nó . nên không có gì ngại ngần khi sử dụng nó .




bước 1: kiểm tra máy có nhiễm virus hay không .



khi bạn sử dụng máy tính thấy một số dấu hiệu như không hiện ẩn được mặc dù bạn vừa mở ẩn , có thể bạn vừa mở ẩn được nhưng trong chốc lát nó tự động bị ẩn đi . không vào được task manager . không vào được registry ,msconfig,gpedit.msc hay tồi tệ hơn nó thể thể bị khóa cả mục run hay tắt máy hay reset mà không được . nói chung những dấu hiệu mà virus .exe gây ra thường thấy rất rõ ràng .


trong trường hợp không mở được ẩn chúng ta cần sử dụng chương trình winrar hay cmd của windows hay các chương trình chuyên dụng khác để nhìn ra các file ẩn .


sau đó bạn cắm usb vào thường thì virut loại này nó sẽ tạo ra file lây nhiễm nằm trong usb và một file autorun.inf . chú ý rằng loại virus .exe này còn gọi là virus autorun vì nó làm chuyện theo nguyên tắc là file autorun.inf (chức năng để tự khởi động) sẽ gọi tới file .exe vì thế khi cắm usb vào là nó sẽ tự động lây nhiễm ,hay khi ta mở usb ra bằng cách nhấn đúp hay chọn open.


trong ví dụ này tui sẽ chỉ cho các bạn cách diệt con virut Special . nội dung autorun của nó như sau




PHP Code:



[AutoRun]


shellopenDefault=1


shellopenCommand=Special.exe


shellexploreCommand=Special.exe




trong đó con virus chính là Special.exe



vui lòng xem video:




bước 2:kiểm tra và loại trừ virus không cho khởi động cùng hệ điều hành



- kiểm tra thư mục starup . bạn vào Start -> Programs -> Startup -> Trỏ phải chuột vào thư mục Startup và chọn Open. nếu thầy một shortcut lạ hãy xóa bỏ nó đi . đây là thư mục chứa shortcut của một file nào đó khi khởi động máy nó sẽ khởi động file đó


- Hủy bỏ trong registry: Bạn vào Start -> Run -> Tại hộp hội thoại gõ msconfig.


Cửa sổ System Configuration Utility hiện ra và bạn chọn thẻ Startup.


Tại đây, bạn cũng kiểm tra xem có các ứng dụng nào lạ, nghi ngờ là virus thì bạn bỏ nút check tại cột Startup Item để chúng không được chạy khi khởi động máy tính.


Bạn nên đặc biệt quan tâm tới tên ứng dụng tại cột Startup Item và đường dẫn của ứng dụng tại cột Command để xác định xem đó có phải là virus hay sâu máy tính không. Sau khi bỏ các chương trình nghi nhiễm virus xong, bạn chọn OK. Chú ý đừng chọn khởi động lại máy tính ngay vì bạn còn phải thực hiện tiếp bước 3.


- kiểm tra file userinit.exe và Explorer.exe bằng cách vào Start -> Run -> Tại hộp hội thoại gõ regedit , sau khi vào registry bạn nhấn Ctrl + F để và điền vào userinit.exe và bắt đầu tìm kiếm .


nếu như nội dung bạn tìm được là :



Trích dẫn:


C:\WINDOWS\system32\userinit.exe,



thì ok nhưng nếu nó có chỉnh sửa khác đi (chú ý userinit.exe, --> dấu phẩy cuối cùng đó nếu như nó bị thêm sau dầu ","đường dẫn nào đó hãy chắc chắn rằng đó là phần mềm bạn cài đặt vào còn không thì đó là virus 100%) thì chắc chắn rằng file userinit.exe của bạn vừa bị chuyển đường dẫn và file userinit.exe nằm trong đường dẫn mới chính là một file của virus nếu như vậy thì hãy ghi nhớ đường dẫn của nó vào để chút nữa ta sẽ xóa bỏ nó đi.còn với file Explorer.exe tui đã giới thiệu kĩ trong video bạn có thể tham kháo . tóm lại ở bước này chúng ta sẽ tìm và ngừng chuyện hoạt động của virus khi máy khởi động .


nếu như phát hiện một dấu hiệu nào trong bước này thì nó sẽ là cơ sở để ta tìm kiếm tất cả các file gốc của virut . ví dụ như khi bạn vào msconfig bạn tìm thấy một chương trình có cái tên lạ như ckvo từ đó ta có thể search trong registry để tìm ra đường dẫn tới nó cũng những file khác liên quan tới nó .



vui lòng xem video:





bước 3: kiểm tra tiến trình và file gốc của virut



đây là bước quan trọng nhất . nếu như bạn vừa có một thông tin nào đó trong bước trước thì tốt vì bạn có thể tìm ra file gốc của virut dễ dàng hơn. tuy nhiên nếu như không có thông tin nào từ bước trước cũng không sao .


giờ chúng ta bắt đầu sử dụng các công cụ vừa download về :


giờ để kiểm tra tiến trình chúng ta sử dụng ProcessExplorer hay HijackThis , bạn cũng có thể sử dụng task manager tuy nhiên nói chung nó không được hiệu quả lắm.



tui sẽ nói kĩ hơn về ProcessExplorer khi bạn khởi động nó ,nó sẽ liệt kê các tiến trình đang chạy của máy tính. chúng ta nên chú ý kĩ hơn các tiến trình nằm phía trên explorer.exe .


vấn đề bây giờ làm sao biết đâu là virus và đâu là các tiến trình của windows.theo tui phương pháp tốt nhất là ngừng tiến trình (kích chuột phải vào một tiến trình chọn kill process) ,nếucoi nhưvirut thì chuyện bạn ngừng tiến trình của nó thì nó sẽ cố gắng khởi động lại tiến trình đó nếu như vậy bạn có thể khẳng định đó là tiến trình của virus .tuy nhiên khi sử dụng cách ngừng tiến trình phải chú ý nên tắt bỏ tất cả các chương trình không cần thiết (để dễ xác định các tiến trình)


và không được ngừng các tiến trình sau :


smss.exe


csrss.exe


winlogon.exe


services.exe


svchost.exe


alg.exe


lsass.exe



thêm một chú ý nữa : những tiến trình tui vừa liệt kê vừa trên rất hay bị virus giả dạng ví dụ như


svchost.exe virus có thể giả dạng bằng một cái tên như svch0st.exe vì vậy phải hết sức chú ý.


nếu vừa phát hiện ra một tiến trình virut thì chuyện thật đơn giản chỉ cần lấy đường dẫn tới file hoạt động tiến trình đó để chút nữa xóa đi là song (file đó chính là virus) .


trong trường hợp bạn không chắc chắn đó có phải là virut hay không có thể sử dụng cách là lấy tên của tiến trình đó và đưa lên google bạn sẽ biết được đó có phải là file hệ thống hay không . từ đó bạn sẽ có một đánh giá chính xác nhất .


trong trường hợp xấu nhất mà không phát hiện được tiến trình nào khả nghi . thì tui chắc cú là con virus đó nó vừa ngụy trang bằng cách ẩn đi ,nó tạm ngừng hoạt động và chỉ phá hoại trong một trường hợp nào đó . vậy công chuyện của ta lúc này là phải bắt nó hoạt động và hoạt động càng mạnh càng tốt để nó lộ ra tiến trình từ đó ta có thể tìm ra nơi nó cư trú của nó


,vậy làm sao để nó hoạt động mạnh đây , các bạn có thể xóa đi file lây nhiễm của nó (trong ví dụ video đó là file Special.exe) và file autorun.inf --> nó sẽ phải sinh ra file lây nhiễm khác. có thể dùng winrar để làm chuyện này ,cũng có thể chạy autorun eater để hỗ trợ (autorun eater) tự động xóa bỏ file autorun.inf. nếu mà xấu hơn nữa nó vẫn không hiện ra nguyên hình thì bạn nên rút usb ra và cắm trở lại cũng như thực hiện động thời (gian) các phương án trên , nhưng do khi nhiễm virus rồi chắc bạn sẽ không tháo được usb ra vậy thì sử dụng cách thô bạo một chút ( rút thẳng bằng tay cho nhanh )


nếu mà tình trạng vẫn xấu hơn nữa bạn vẫn không thể cho nó lộ diện trong tiến trình thì tui chịu thôi . phải tùy vào khả năng nhử mồi của bạn.



tìm được nó rồi và lưu nhớ đường dẫn tới nó bước sau ta sẽ xóa bỏ nó .



vui lòng xem video :




bước 4: xóa bỏ virus



do virus đang hoạt động ta sẽ không thể xóa được nó cũng như tránh chuyện lây lan . chúng ta sẽ reset máy để ra khỏi hệ điều hành sau đó cho đĩa hiren's boot vào và bắt đầu sử dụng công cụ mini 98 của đĩa boot chúng ta sẽ xóa bỏ các file virus đó đi.


lại chú ý nhé ngoài chuyện xóa bỏ các file trên bạn phải xóa bỏ các file lây nhiếm . với các ổ cứng ( hay phân vùng) bạn chỉ cần vào trong ổ đó và xóa file virus nằm trong ổ (không phải vào các thư mục trong ổ) nhưng đối với usb ngoài chuyện xóa file virus ngoài bạn phải kiểm tra tất cả các thư mục trong usb xem có file virus hay không .tuy nhiên với những thư mục được đặt tên bằng tiếng việt bạn yên tâm là nó sẽ không lan vào trong đó nên không cần kiểm tra --> chắc bạn sẽ rút ra được kinh nghiệm để tránh virus lây vào những thư mục quan trọng trong usb. sau khi xóa bỏ sạch sẽ rồi thì ta mới yên tâm là máy hoàn toàn sạch . trong ví dụ ở video thì con virus đó sẽ tạo ra trong các ổ (phân vùng ) một file autorun.inf và một file System Volume Information.exe (giả dạng thư mục system restore ) .còn trong usb ngoài file Special.exe trong các thư mục của usb bị lây lan một file mang tên Nhac moi.exe (hàng việt nam chất lượng cao)


xem ảnh :






vui lòng xem video:




bước 5: kiểm tra lại và sửa lỗi virus gây ra .



giờ bạn sử dụng chương trình RRt như trong video dưới đây và mở task manager ra kiểm tra các tiến trình nếu ổn rồi thì ta sẽ làm bước cuối để hoàn tất .


khắc phục hậu quả của virut điều đầu tiên ta phải tính tới là sửa cái registry đầu tiên . bạn cài đặt file sua loi regedit.exe vừa download về và tiến hành chạy là xong.


giờ khắc phục một số trường hợp có thể xảy ra .



nếu bị khóa registry


Trước tiên, bạn vào Start - Run và gõ “cmd” để vào cửa sổ Command Line. Sau đó, gõ vào dòng sau để mở lại chức năng vào Registry.


REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f


Màn hình hiện ra thông báo “The operation complete successfully” là được.



nếu có một số lỗi khác xảy ra nên dùng cách repair bằng đĩa cài xp để sửa lỗi



vui lòng xem video:





cuối cùng là phòng trừ virus như thế nào ?



với loại virus này thì cách phòng là rất đơn giản . bạn chỉ cần cài đặt chương trình autorun eater nó sẽ tự động xóa bỏ file autorun.inf từ đó là vô tác dụng tự động cài đặt virut vào máy khi cắm usb công chuyện tiếp theo của bạn chỉ là vào và xóa file .exe đi thôi .


tuy nhiên nếu bạn cần thận hơn nữa có thể bổ sung thêm cách sau :



Chuyển USB về NTFS tạo một file autorun.inf rồi dùng lệnh sau để khoá file này:


cacls “:\autorun.inf” /d everyone



Sau đó gõ “Y” > Enter


Bạn cũng có thể làm tương tự để tạo thư mục Recycled và System Volume Information. Bây giờ virus có thể vào được USB nhưng không còn có tự chạy được nữa


Nếu muốn bỏ file này bạn phải vào đúng máy mà bạn vừa dùng khóa nó và gõ lệnh


cacls “:\autorun.inf” /g everyone:f



cách nữa là : Bạn vào Notepad và soạn tập tin Lock.bat với nội dung như sau:
PHP Code: @echo off

set drive=F

echo Xóa file Autorun.inf (nếu có)

attrib -r -s -h %drive%:\Autorun.inf >nul

del /f %drive%:\Autorun.inf >nul

echo Tạo thư mục Autorun.inf

md %drive%:\Autorun.inf\

md %drive%:\Autorun.inf\.Lock..\

md %drive%:\Autorun.inf\CON\

attrib +r +s +h %drive%:\Autorun.inf

echo Ok. Nhấn phím để kết thúc…

pause>nul 

Đây là một cách tương đối hiệu quả, tuy nhiên cách này chỉ áp dụng được trên một số máy, hơn nữa ****** Format mặc định của Windows không cho phép Format USB sang định dạng NTFS được nếu không thực hiện qua một số tiểu xảo khác.


Bạn thay kí tự F dòng thứ 2 tương ứng với kí tự ổ đĩa cần khóa. Kích hoạt file này để khóa file Autorun.inf trên ổ đĩa. Giờ bạn thử tạo hay chép bất kì file Autorun.inf nào lên ổ đĩa này thì bạn đều nhận một thông báo lỗi là không xử lí được.




Thư mục Autorun.inf được tạo ra trên ổ đĩa để ngăn ngừa Virus Autorun ghi thêm tập tin


Vì thư mục Autorun.inf tạo theo cách trên không thể xóa theo cách thông thường được nên để mở khóa ổ đĩa vừa được khóa theo cách trên, bạn dùng Notepad soạn file UnLock.bat có nội dung như sau:
PHP Code: @echo off

set drive=F

attrib -r -s -h %drive%:\Autorun.inf

rd /q %drive%:\Autorun.inf\CON\

rd /s /q %drive%:\Autorun.inf\

attrib +r +s +h %drive%:\Autorun.inf

echo Ok. Nhấn phím để kết thúc…

pause>nul 

 

Perry

New Member
thế em cung tương tự như thế nhưng không biết làm cach nào cả lam sao em chuyển usb thành dinh dang như anh nói đươc hả anh ca máy tính nữa mong anh giúp em mới Thank anh rất nhiều huhuhuhu
 

nh0k_ju_a

New Member
để chuyển usb về định dạng ntfs bạn kích chuột phải vào biểu tượng usb chọn fomat , hộp thoại hiện ra click chuyển định dạng fat32 sang ntfs ở dòng file system, sau đó nhấn start để fomat, sau khi format xong . usb của bạn vừa được chuyển về dạng ntfs
 

ngoc_tin

New Member
trời diệt bằng tay khổ vậy thui em chịu. mấy anh anti wet hong dc thì thui vậy
 
giờ mới biết diệt Virut bằng tay là thế nào đó, đó giờ dùng chương trình k hà, thank chủ thớt nha, để vọc thử xem sao , hehe
 
Hử! Diệt VR bằng tay à? Cần gì phức tạp thế, Chỉ cần cầm cái búa hay vật gì nằng nặng, ngồi tìm trong các folder, cứ thấy VR là đập, bảo đảm chả con nào sống nổi hehe
 

MacBeth

New Member
bước 2:kiểm tra và loại trừ virus không cho khởi động cùng hệ điều hành



- kiểm tra thư mục starup . bạn vào Start -> Programs -> Startup -> Trỏ phải chuột vào thư mục Startup và chọn Open. nếu thầy một shortcut lạ hãy xóa bỏ nó đi . đây là thư mục chứa shortcut của một file nào đó khi khởi động máy nó sẽ khởi động file đó


- Hủy bỏ trong registry: Bạn vào Start -> Run -> Tại hộp hội thoại gõ msconfig.


Cửa sổ System Configuration Utility hiện ra và bạn chọn thẻ Startup.


Tại đây, bạn cũng kiểm tra xem có các ứng dụng nào lạ, nghi ngờ là virus thì bạn bỏ nút check tại cột Startup Item để chúng không được chạy khi khởi động máy tính.


Bạn nên đặc biệt quan tâm tới tên ứng dụng tại cột Startup Item và đường dẫn của ứng dụng tại cột Command để xác định xem đó có phải là virus hay sâu máy tính không. Sau khi bỏ các chương trình nghi nhiễm virus xong, bạn chọn OK. Chú ý đừng chọn khởi động lại máy tính ngay vì bạn còn phải thực hiện tiếp bước 3.


- kiểm tra file userinit.exe và Explorer.exe bằng cách vào Start -> Run -> Tại hộp hội thoại gõ regedit , sau khi vào registry bạn nhấn Ctrl + F để và điền vào userinit.exe và bắt đầu tìm kiếm .
nếu như nội dung bạn tìm được là :



Trích dẫn:


C:\WINDOWS\system32\userinit.exe,



thì ok nhưng nếu nó có chỉnh sửa khác đi (chú ý userinit.exe, --> dấu phẩy cuối cùng đó nếu như nó bị thêm sau dầu ","đường dẫn nào đó hãy chắc chắn rằng đó là phần mềm bạn cài đặt vào còn không thì đó là virus 100%) thì chắc chắn rằng file userinit.exe của bạn vừa bị chuyển đường dẫn và file userinit.exe nằm trong đường dẫn mới chính là một file của virus nếu như vậy thì hãy ghi nhớ đường dẫn của nó vào để chút nữa ta sẽ xóa bỏ nó đi.còn với file Explorer.exe tui đã giới thiệu kĩ trong video bạn có thể tham kháo . tóm lại ở bước này chúng ta sẽ tìm và ngừng chuyện hoạt động của virus khi máy khởi động .


nếu như phát hiện một dấu hiệu nào trong bước này thì nó sẽ là cơ sở để ta tìm kiếm tất cả các file gốc của virut . ví dụ như khi bạn vào msconfig bạn tìm thấy một chương trình có cái tên lạ như ckvo từ đó ta có thể search trong registry để tìm ra đường dẫn tới nó cũng những file khác liên quan tới nó




--->>>bạn giải KẾT lại chỗ này dùm mình cái nha,quan trọng là chỗ tô đậm đó,của mình là C:\WINDOWS\system32\userinit.exe, (có cả dấu phẩy luôn) thì có bị virus không?thanks
 

vuhuong2010

New Member
linhcotomtep --->>>bạn giải KẾT lại chỗ này dùm mình cái nha,quan trọng là chỗ tô đậm đó,của mình là C:\WINDOWS\system32\userinit.exe, (có cả dấu phẩy luôn) thì có bị virus không?thanks có dấ phẩy là k có virus nhé, còn đằg sau dấu phẩy "," đó có đg dẫn thì sẽ có 2 trg hợp là :

- hay là đg dẫn của virus

- hay là đg dẫn của 1 trong các soft bạn vừa cài
 

Piero

New Member
mình có cái USB bị nhiễm con svchost.exe này. Nhưng không biết cách xóa nó đi. Tất cả file trong đó mình không tài nào xóa được. Cut ra ngoài rùi nhưng chỉ được 1 lúc nó lại về trạng thái ban đầu. Giúp mình với
 
cài phần mềm diệt virus cho nhanh

---------- Bài thêm lúc 09:39 ---------- Bài trước là lúc 09:39 ----------

khanhnhai123 mình có cái USB bị nhiễm con svchost.exe này. Nhưng không biết cách xóa nó đi. Tất cả file trong đó mình không tài nào xóa được. Cut ra ngoài rùi nhưng chỉ được 1 lúc nó lại về trạng thái ban đầu. Giúp mình với mang qua đây mình diệt cho
 

Các chủ đề có liên quan khác

Top