Chào các bạn
Hôm nọ có người nhờ mình kiểm tra máy nghi là bị nhiễm virus.
Hiện tượng được mô tả lại như sau:
- Các folder bị biến thành file .exe, tuy nhiên gõ đường dẫn vẫn
có thể truy cập được
- Không show được file ẩn
- Hệ thống tự động logout sau một thời gian (có một số trường
hợp không thể login vào được Windows.
- Không sử dụng được các công cụ giám sát hệ thống. Nếu nhấn
Ctrl+Alt+Del sẽ bị logout.
- Chỉ sử dụng được CMD.
Trong quá trì trình thực hiện kiểm tra PC bị nhiễm virus trên,
mình phát hiện ra một số điều lý thú. Mặc dù chưa thể giải quyết
hết các vấn đề nhưng qua những phân tích của mình, hi vọng bài
viết này sẽ giúp ích cho các bạn trong việc đối đầu với những
loại virus dạng này. Nếu bạn nào có cao kiến gì trong những vấn
đề mình còn bỏ ngõ thì mời bạn upload lên cho anh em cùng
tham khảo nhé!
Các bạn click vào đây để download bài viết:
ng.html?rnd=36
Mountain.
thay đổi nội dung bởi: Mountain, 05-11-2008 lúc 06:02 PM.

Mountain
Xem hồ sơ
Gởi nhắn tin tới Mountain
Send email to Mountain
Find More Posts by Mountain
05-12-2008, 06:01 PM
#2
hanjyung

Supper Mod
Senior

Bác Mountain còn may là vào được CMD đấy! em
nhiều lúc phải bó tay vì chẳng vào gì được cả, kể cả

Tham gia: Sep 2006
Posts: 104
safemode! cuối cùng đành Reinstall cho nhanh!
__________________
hanjyung
Athena Training Center
2 Bis Dinh Tien Hoang, DaKao, Dist 1, Ho Chi Minh
city
www.athena.edu. vn
MD5: ef0cbdd2539f6729cdfd3b0cedee26a8
SHA1:
83bc16f4cdcc82e58ca139fe72d52df1779a6cb0

hanjyung
Xem hồ sơ
Gởi nhắn tin tới hanjyung
Send email to hanjyung
Find More Posts by hanjyung
05-13-2008, 01:33 PM
#3
Mountain
Thành viên chính thức
Groupie


Tham gia: Dec 2007
Posts: 32
Chào Hanjyung
Trong tình huống mình gặp, cái gì con virus cũng disable
hết kể cả safe mode, cũng may là con virus này quên mất
cái CMD mà thật ra là chủ quan.
Như bạn biết đấy toàn bộ file .exe đã bị virus khống chế,
nó chuyển hướng gọi virus trước khi trả lại cho .exe. Ở đây
mình khống chế nó bằng cách tạo ra 1 console theo dõi sự
xuất hiện của nó và kill nó thật nhanh nếu có thể.
Thế mới biết CMD có lợi như thế nào, vì vậy nhất định
phải am tường CMD mới được.
Nhân đây cũng xin nói thêm về kỹ thuật không cho một
application nào khởi động (khác với kỹ thuật chuyển
hướng):
VD mình muốn không cho CMD chạy mình thực hiện
chỉnh sửa Registry như sau:
HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\Explorer\DisallowRun
Tạo 1 String name bất kỳ với value là cmd.exe
Bạn có thể làm tương tự cho bất kỳ application nào bạn
muốn.
Mình đã tạo sẵn một cái bạn nào có làm biếng thì
download về mà xài ở đây
/>Mountain.

Mountain
Xem hồ sơ
Gởi nhắn tin tới Mountain

Send email to Mountain
Find More Posts by Mountain
05-13-2008, 05:10 PM
#4
hanjyung
Supper Mod
Senior


Tham gia: Sep 2006
Posts: 104
Thank nhé! nhưng mà trong trường hợp này thì mình
tạo ra một file *.reg với lệnh là allowcmd, tức là khởi
chạy cmd khi bị virus khống chế được không nhỉ?
nhân tiện đây em nói thêm: bác vào được Win là siêu
rồi đấy !
__________________
hanjyung
Athena Training Center
2 Bis Dinh Tien Hoang, DaKao, Dist 1, Ho Chi Minh
city
www.athena.edu. vn
MD5: ef0cbdd2539f6729cdfd3b0cedee26a8
SHA1:
83bc16f4cdcc82e58ca139fe72d52df1779a6cb0

hanjyung
Xem hồ sơ
Gởi nhắn tin tới hanjyung
Send email to hanjyung

Find More Posts by hanjyung
05-14-2008, 11:14 AM
#5
Mountain
Thành viên chính thức
Groupie

Tham gia: Dec 2007
Posts: 32
Trích:
Nguyên văn bởi hanjyung
Thank nhé! nhưng mà trong trường hợp này thì
mình tạo ra một file *.reg với lệnh là allowcmd,
tức là khởi chạy cmd khi bị virus khống chế được
không nhỉ? nhân tiện đây em nói thêm: bác vào
được Win là siêu rồi đấy !
Gửi bạn Hanjyung
1. Khắc phục login:
Như mình đã nói, nếu có trong tay những danh sách
các file nghi ngờ đã bị xóa đi thì mới có khả năng "mò
mẫm" login vào được còn không thì khó lắm. Nếu ai
đó đưa cho mình cái máy bị logout nhưng không có
file log diệt virus thì mình cũng chịu thua luôn.
2. Reg:
Mình e là không được vì file .reg cũng gọi regedit.exe.
Còn nữa, bạn viết cái gì trong đó? vì cơ chế của virus
là chuyển hướng còn cơ chế của mình là ngăn chặn
application cụ thể, mình đã thử tìm trong Registry rồi.
À, liệu có thể disable tất cả các application bằng thay
thế value là *.exe không? Nếu thực hiện như thế thì

coi chừng gậy ông đập lưng ông đó.
Mountain

Mountain
Xem hồ sơ
Gởi nhắn tin tới Mountain
Send email to Mountain
Find More Posts by Mountain
08-27-2008, 11:56 PM
#6
flobg88
Thành viên mới
Newbie

Tham gia: Aug 2008
Posts: 5
Góp ý thêm cho bạn
Trích:
Nguyên văn bởi Mountain
1. Khắc phục login:
Như mình đã nói, nếu có trong tay những danh sách
các file nghi ngờ đã bị xóa đi thì mới có khả năng "mò
mẫm" login vào được còn không thì khó lắm. Nếu ai
đó đưa cho mình cái máy bị logout nhưng không có
file log diệt virus thì mình cũng chịu thua luôn.
2. Reg:
Mình e là không được vì file .reg cũng gọi regedit.exe.
Còn nữa, bạn viết cái gì trong đó? vì cơ chế của virus
là chuyển hướng còn cơ chế của mình là ngăn chặn
application cụ thể, mình đã thử tìm trong Registry rồi.

À, liệu có thể disable tất cả các application bằng thay
thế value là *.exe không? Nếu thực hiện như thế thì coi
chừng gậy ông đập lưng ông đó.
Mountain
Theo kinh nghiệm của mình làm thì như trường hợp trên
cmd vẫn sử dụng được là bạn còn có cách để trị con này
Giờ Flo chỉ cho các bạn thấy nhé !
bạn vào Start >>> run gõ lệnh cmd vào đấy
tiếp theo bạn dùng lệnh
Reg delete "HKLM\software\microsoft\windows nt\"
Giải thích cho các bạn tại sao lại del khóa này đi nhé vì
trong khóa HKLM\software\microsoft\windows
nt\currentversion\image file execution options\ trong này
có nhiều khóa mà virus tạo ra để khóa không cho quyền
truy cập 1 số tính năng của windows nói này ko biết các
bạn có hiểu ko nhỉ
Lệnh này dùng để del khóa trong registry
Và delete nốt khóa bằng lệnh tiếp theo Reg delete
"HKLM\software\microsoft\windows"
Xong cập nhật lại 2 khóa windows và windows nt của
HKLM để win hoạt động bình thường là ok bạn cập nhật 2
khóa này nhé
m_windows.html
_windownt.html
ok xong rồi nhé ! còn muốn triệt tiếp các bạn thử vào
driver trong system32 ở windows xem có thằng nào có
đuôi .dll bem sạch đi , để ý hộ mình xem có file
HBkernel.sys ko nhé và file explore ở
C:\windows\system32 con này kể ra kill nó phải viết nhiều
quá mà FLo buồn ngủ rồi ai bổ sung hộ mình nữa nhé !

Tẹo nữa thì quên con của bạn hình như là skynet ^^ nhưng
ko sao cập nhật 2 cái kia của mình vẫn ok xong cập nhật
phần mềm diệt virus symatec là ok diệt bằng tay con này
ko khó nhưng mà mình ko nhớ nó là file nào bị nhiễm
hixhix .
bạn cập nhật khóa xong vào để down
hiện registry nếu 2 cái kia vẫn ko làm hiện registry nhé !
log off lại xem có ok ko nào