hanhkhat
20-03-2010, 07:43 PM
theo nguyện vọng của bạn saobang, tớ sẽ viết lại bài viết hướng dẫn diệt virus bằng tay. Bài viết lại, dùng hình của bài cũ, nếu có gì thắc mắc xin reply tại topic này nhé:MatCuoi:
các tool dùng trong bài viết
1.winrar (ai cũng có rồi)
2.usb disk security 5.0.38 (http://www.mediafire.com/?cedurwynweq)
Đầu tiên tớ sẽ cho hệ thống nhiễm virus, con virus được dùng ở đây là amvo(cùng loại với con kavo nổi tiếng 1 thời :) ).
//chú ý: trước khi thành công thì không được kích chuột vào ổ C,D,E,F hay bất kì ổ đĩa, usb nào hết vì sẽ làm virus chạy lại.
Bước 1: "không cho nó quậy nữa":MatCuoi (52):
Sau khi nhiễm vào hệ thống thì nó sẽ tạo ra một khoá trong registry để khởi chạy mỗi khi khởi động máy. Muốn tắt nó đi thì các bạn vào Run-> msconfig ->startup sẽ thấy. Chỉ cần bỏ chọn trước nó là được. đối với các con virus khác thì mẹo để biết được là nhìn vào đường dẫ của nó thường là ở system32. Ở System32 có 3 file không phải virus là hkcmd.exe, igfxpers.exe và igfxtray.exe, thường thì nhiều người sợ đây là virushttp://itvnn.net/images/smilies/MatCuoi/MatCuoi%20%2823%29.gif
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/1.jpg
Làm xong thì các bạn khởi động lại máy, sau đó vào msconfig xem lại coi trước con virus có dấu chọn không nhé, nếu không có thì thành công bước đầu, nêu có thì...bước đầu thất bại :D
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/2.jpg
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/3.jpg
Nếu không thành công thì làm như cái hình này để xoá các file tự khởi động cùng window.
1091
Nếu bước đầu đã thành công thì ta làm bước tiếp theo.
Bước 2: "truy tìm và tiêu diệt":MatCuoi (42):
Giả sử con virus nằm ở trong thư mục C:\window\system32 thì ta sẽ làm như sau để kiểm tra sự tồn tại của nó
Vào run -> cmd ->gõ lệnh dir C:\window\system32 /a:h
vì con virus thường là file ẩn nên câu lệnh dir có thêm /a:h để xem chỉ file ẩn
vd:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\mylove>dir %systemroot%\system32 /a:h
Volume in drive C has no label.
Volume Serial Number is 60DD-06C2
Directory of C:\WINDOWS\system32
10/30/2008 02:18 PM 104,064 amvo.exe
10/31/2008 04:46 AM 84,992 amvo0.dll
03/17/2010 09:57 PM 749 cdplayer.exe.manifest
03/18/2010 04:13 PM <DIR> dllcache
03/17/2010 09:57 PM 488 logonui.exe.manifest
03/17/2010 09:57 PM 749 ncpa.cpl.manifest
03/17/2010 09:57 PM 749 nwc.cpl.manifest
03/17/2010 09:57 PM 749 sapi.cpl.manifest
03/17/2010 09:57 PM 488 WindowsLogon.manifest
03/17/2010 09:57 PM 749 wuaucpl.cpl.manifest
9 File(s) 193,777 bytes
1 Dir(s) 19,669,569,536 bytes free
C:\Documents and Settings\mylove>
như trong ví dụ, những file .manifest ở cuối cùng là file của hệ thống, cái dllcache là thư mục nên không tính, còn 2 cái còn lại thì chắc chắn là của virus. (amvo.exe & amvo0.dll)
Bậy giờ chúng ta có 2 cách để "tiêu diệt" nó, nhưng cách dễ nhất là bạn mở winrar lên, dùng winrar vô thư mục system32 và xoá 2 file này đi là xong.
http://i202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/4.jpg
Bước 3: "Diệt trừ hậu hoạ"
Hậu hoạ ở đây mình nói là các file autorun.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/6.jpg
các bạn cài chương trình usb disk security vào, sau khi cài thì nó bảo có disable autorun không thì cứ ok nhé.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/5.jpg
Cài xong rồi thì bật chương trình lên làm theo 2 bước 1 và 2 như trong hình.
1087
nếu trong các ổ đĩa có file autorun.inf thì nó sẽ báo như trong hình dưới, chúng ta cứ ok:MatCuoi (23):
1088
Vậy là đã tạo được thư mục autorun.inf trong các ổ đĩa.
1089
Bi giờ chỉ cần xoá mấy con virus trong các ổ đĩa là xong bước này, các con virus thường có đuôi là .exe, .cmd, .com, bat...
//chú ý: tuyệt đối không được xoá các file sau đây: AUTOEXEC.BAT, boot.ini, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys và hiberit.sys . Đây là các file hệ thống, xoá là "tiêu" đó, trừ nó ra thì file nào cũng xoá được tuốt.
Bước 4: "Dọn dẹp hậu quả"
Hậu quả ở đây là các khoá registry bị khoá, folder bị ẩn không hiện được....
các bạn làm như hình bên dưới.
1090
Các bạn làm khoảng vài lần là ok:MatCuoi (23):
Bây giờ vào tool-> folder option rồi làm như trong hình để xem các file ẩn đã hiện ra chưa nhé.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/12.jpg
Nếu hiện rồi thì...đã xong. chưa hiện thì reboot máy, repair registry như bước trước:D và kiểm tra xem còn virus không nhá.
//chú ý: đây là phần hướng dẫn dựa trên virus amvo và thực hiện trên win xp.
không phải win nào làm cũng giống win nào, tuỳ hứng mà làm nhá:MatCuoi (1):
các tool dùng trong bài viết
1.winrar (ai cũng có rồi)
2.usb disk security 5.0.38 (http://www.mediafire.com/?cedurwynweq)
Đầu tiên tớ sẽ cho hệ thống nhiễm virus, con virus được dùng ở đây là amvo(cùng loại với con kavo nổi tiếng 1 thời :) ).
//chú ý: trước khi thành công thì không được kích chuột vào ổ C,D,E,F hay bất kì ổ đĩa, usb nào hết vì sẽ làm virus chạy lại.
Bước 1: "không cho nó quậy nữa":MatCuoi (52):
Sau khi nhiễm vào hệ thống thì nó sẽ tạo ra một khoá trong registry để khởi chạy mỗi khi khởi động máy. Muốn tắt nó đi thì các bạn vào Run-> msconfig ->startup sẽ thấy. Chỉ cần bỏ chọn trước nó là được. đối với các con virus khác thì mẹo để biết được là nhìn vào đường dẫ của nó thường là ở system32. Ở System32 có 3 file không phải virus là hkcmd.exe, igfxpers.exe và igfxtray.exe, thường thì nhiều người sợ đây là virushttp://itvnn.net/images/smilies/MatCuoi/MatCuoi%20%2823%29.gif
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/1.jpg
Làm xong thì các bạn khởi động lại máy, sau đó vào msconfig xem lại coi trước con virus có dấu chọn không nhé, nếu không có thì thành công bước đầu, nêu có thì...bước đầu thất bại :D
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/2.jpg
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/3.jpg
Nếu không thành công thì làm như cái hình này để xoá các file tự khởi động cùng window.
1091
Nếu bước đầu đã thành công thì ta làm bước tiếp theo.
Bước 2: "truy tìm và tiêu diệt":MatCuoi (42):
Giả sử con virus nằm ở trong thư mục C:\window\system32 thì ta sẽ làm như sau để kiểm tra sự tồn tại của nó
Vào run -> cmd ->gõ lệnh dir C:\window\system32 /a:h
vì con virus thường là file ẩn nên câu lệnh dir có thêm /a:h để xem chỉ file ẩn
vd:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\mylove>dir %systemroot%\system32 /a:h
Volume in drive C has no label.
Volume Serial Number is 60DD-06C2
Directory of C:\WINDOWS\system32
10/30/2008 02:18 PM 104,064 amvo.exe
10/31/2008 04:46 AM 84,992 amvo0.dll
03/17/2010 09:57 PM 749 cdplayer.exe.manifest
03/18/2010 04:13 PM <DIR> dllcache
03/17/2010 09:57 PM 488 logonui.exe.manifest
03/17/2010 09:57 PM 749 ncpa.cpl.manifest
03/17/2010 09:57 PM 749 nwc.cpl.manifest
03/17/2010 09:57 PM 749 sapi.cpl.manifest
03/17/2010 09:57 PM 488 WindowsLogon.manifest
03/17/2010 09:57 PM 749 wuaucpl.cpl.manifest
9 File(s) 193,777 bytes
1 Dir(s) 19,669,569,536 bytes free
C:\Documents and Settings\mylove>
như trong ví dụ, những file .manifest ở cuối cùng là file của hệ thống, cái dllcache là thư mục nên không tính, còn 2 cái còn lại thì chắc chắn là của virus. (amvo.exe & amvo0.dll)
Bậy giờ chúng ta có 2 cách để "tiêu diệt" nó, nhưng cách dễ nhất là bạn mở winrar lên, dùng winrar vô thư mục system32 và xoá 2 file này đi là xong.
http://i202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/4.jpg
Bước 3: "Diệt trừ hậu hoạ"
Hậu hoạ ở đây mình nói là các file autorun.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/6.jpg
các bạn cài chương trình usb disk security vào, sau khi cài thì nó bảo có disable autorun không thì cứ ok nhé.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/5.jpg
Cài xong rồi thì bật chương trình lên làm theo 2 bước 1 và 2 như trong hình.
1087
nếu trong các ổ đĩa có file autorun.inf thì nó sẽ báo như trong hình dưới, chúng ta cứ ok:MatCuoi (23):
1088
Vậy là đã tạo được thư mục autorun.inf trong các ổ đĩa.
1089
Bi giờ chỉ cần xoá mấy con virus trong các ổ đĩa là xong bước này, các con virus thường có đuôi là .exe, .cmd, .com, bat...
//chú ý: tuyệt đối không được xoá các file sau đây: AUTOEXEC.BAT, boot.ini, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys và hiberit.sys . Đây là các file hệ thống, xoá là "tiêu" đó, trừ nó ra thì file nào cũng xoá được tuốt.
Bước 4: "Dọn dẹp hậu quả"
Hậu quả ở đây là các khoá registry bị khoá, folder bị ẩn không hiện được....
các bạn làm như hình bên dưới.
1090
Các bạn làm khoảng vài lần là ok:MatCuoi (23):
Bây giờ vào tool-> folder option rồi làm như trong hình để xem các file ẩn đã hiện ra chưa nhé.
http://s202.photobucket.com/albums/aa312/Phucpro_2007/upload%20web/12.jpg
Nếu hiện rồi thì...đã xong. chưa hiện thì reboot máy, repair registry như bước trước:D và kiểm tra xem còn virus không nhá.
//chú ý: đây là phần hướng dẫn dựa trên virus amvo và thực hiện trên win xp.
không phải win nào làm cũng giống win nào, tuỳ hứng mà làm nhá:MatCuoi (1):