Bài giảng
Tìm và diệt virus
1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd
* Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong
C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc
chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các
thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở
các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^
* Bây giờ virus thường chạy cùng một lúc nhiều tiến trình
Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó
rồi tắt từng tiến trình một
a. sử dụng lệnh dir để xem file
lệnh dir /ah dùng để xem tất cả những file ẩn
b. sử dụng lệnh tasklist để xem tiến trình đang chạy
* Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy
* Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó
Ta dùng lệnh tasklist /svc
Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta
dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình”
Vidu: tasklist /svc /fi “imagename eq svchost.exe”
c. sử dụng lệnh taskkill để tắt tiến trình đang chạy
* lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó
vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe
taskkill /f /pid 768
• muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên
tiến trình
taskkill /f /pid id1 /pid id2 /pid id3…
taskkill /f /im tientrinh1 /im tientrinh2…
vidu:
d. sử dụng lệnh del để xóa các file
Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f

Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa
2. Ngăn chặn file chạy sử dụng gpedit.msc
khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách
chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok
vào Run  gõ Gpedit.msc computer configuration  windows settings 
security settings software restrictions policies
chuột phải vào software restrictions policies chọn creat new policies chọn
additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình
mình cần chặn ko cho khởi chạy
vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm
tới tận gốc của nó, tức nơi mà chương trình đang thực thi
Bây giờ thử mở regedit ko thể đựoc nữa rồi :>
3. Sử dụng auturuns + APT + Gmer + Icesword
* Autoruns process: chương trình autoruns dùng để xem những file khởi chạy,
những file thư viện động (dll) chạy trong regedit
Chương trình có thế được download tại />us/sysinternals/bb963902.aspx
Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc
đăng nhập
Những khoá chạy ở Run và
Những khoá chạy ở Run và folders
Startup
Startup
-
-
chạy ở Shell, và userinit
chạy ở Shell, và userinit
- các dịch vụ(services) và chạy ở drivers
- các dịch vụ(services) và chạy ở drivers
-
-

chạy ở tác vụ(tasks)
chạy ở tác vụ(tasks)
-
-
những thay đổi trong winlogon
những thay đổi trong winlogon
-
-
những phần đính vào (addins) trong IE và trong Explorer.
những phần đính vào (addins) trong IE và trong Explorer.
-
-
một số phần khác phụ thêm….
một số phần khác phụ thêm….
Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong
hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong
autoruns này chỉ thể hiện các khóa nằm trong regedit.
• Advan ced Process Termination (APT 4.0) :
sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ
Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này
để dừng(suspend) tiến trình đó rồi tắt từng “chú” một
Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một
tiến trình theo nhiều cách
Chế độ kernel kill của chương trình này khá mạnh.có thể tắt được nhiều
chương trình cứng đầu, có đăth password như pcsecurity,…
Download tại đây />• GMER:
Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn
bằng các hàm API trong windows, để tìm những file .sys chạy trong c:\
window\system32\drivrers.

• Icesword:
Công cụ này có thể dùng thực thi trong regedit khi mà regedit bị khoá hay bị
ngăn chặn không cho thực thi. Và công cụ này cũng để tìm và xoá những file
không thể xoá, nhìn thấy những file siêu ẩn, những file ẩn bằng hàm API
tương tự như gmer. Icesword cũng có nhiều chức năng giống gmer(nhưng tôi
khoái gmer hơn :D)
4. sử dụng sand boxie control để phân tích virus, các bạn có thể tải chương
*. trình sand boxie control(dung lượng 244 kb)các bạn có thể phần mềm
sendboxie tại địa chỉ sau: www. sandboxie.com .
sendboxie control là một chương trình tạo lên một bộ nhớ tạm , và mọi tác
vụ đọc/ghi đều thông qua bộ nhớ đệm này nên sau đó có thể xoá sạch
không để lại dấu vết gì trên ổ cứng, không ảnh hưởng gì đến hệ thống của
bạn. như vậy bạn có thể yên tâm chạy thử chương trình mới khi chưa biết
tác dụng của nó như thế nào, có an toan hay ảnh hưởng gì không ….
*.cách sử dụng chương trình sendboxie control
Sau khi cài đặt xong các bạn xẽ thấy biểu tượng của sendboxie dưới thanh
taskbar như hình dưới đây.
Các bạn vào menu -> sandbox ->create new
sandbox(tạo ra một user)
Sau khi các bạn tạo user xong bước tiếp theo là:
chọn start ->programs ->Sandboxie -> Run any program sandboxed.
tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn
mới khởi tạo và chọn OK
tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse…
Sau đó tìm đến thư mục bạn cần chạy thử.
Đó là tất cả các bước khởi tạo và chạy thử.
cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus
mà chúng ta vua chạy thử. Các bạn kiểm tra bằng cách sau:
vào C:\Sandbox\Administrator\virus, trong user virus xẽ hiển thị tất cả

các file mà đã được kích hoạt
Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm
sau đó dùng chương trình sandboxed để tìm ra các file lây nhiễm và diệt theo
đường dẫn mà chương trình sandboxed đã hiển thị như bài hưưóng dẫn trên.
5. cách sử dụng hijackthis
Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là
Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình
thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như
coolwebsearch). Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm
tra và phát hiện các trình phá hoại khác được cài vào hệ thống.
Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải
quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người
giúp.
Tải về và cài đặt :
Sau khi tải về hoặc tải về từ hoặc
bạn cần sử dụng winzip để giải
nén tệp tin đã được nén lại dưới dạng file.zip vào một thư mục được tạo sẵn [1]
cho nó để cho hijackthis có thể tạo backup cho những thay đổi của bạn đối với hệ
thống.
Hiện đã có bản 2.02 của trendsecure với một số cải tiến ở đây :
ckthis/download
đề nghị sử dụng bản này khi tạo log để có hỗ trợ tốt hơn.
Rất quan trọng: bạn nên tạo riêng một thư mục cho hijackthis để trong trường hợp
cần thiết có thể chỉnh lại được những thay đổi của chương trình đối với hệ thống.
[1] có thể là c:\program files\hijackthis\
Lỗi có thể gặp phải khi cài hijackthis :
Thiếu MSVBVM60.DLL > cách giải quyết là vào
p;x=13&y=16 để tải VBRun60.exe
về và cài vào máy.
Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình

phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn
có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi
cho chạy hijackthis.
Sử dụng hijackthis tạo log-file:
1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis
(ví dụ như ở trong bài này là c:\program files\hijackthis\
2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương
trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng
tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng).
3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user
quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save
a log file”.
4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của
notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này
bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\