Jump to content

Welcome to [ iT ] Forums
Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more. If you already have an account, login here - otherwise create an account for free today!
Cộng đồng Âm nhạc Việt Nam

Hình ảnh

Diệt Virus, trojan, keylog... bằng tay. (với sự hổ trợ TASKKILL)


  • Please log in to reply
47 replies to this topic

#1
Tăng Dương Triều

Tăng Dương Triều

    Cao đẳng CSTH

  • Advance Member
  • PipPipPipPip
  • 821 Bài Viết:
SOFT TASKKILL và bài hướng dẫn này mình viết củng đã lâu rồi nhưng chưa POSST lên CuaSoTinHoc mình thiết nghĩ nó cần thiết cho những bạn mới làm quen với Computer.

Nếu PRO nào thấy bài viết không có chất lượng xin bỏ qua nha, mình chỉ muốn đóng góp chút sức lực cho CuaSoTinHoc thôi.

Virus, Trojan, keylogg là nỗi ám ảnh của nhiều người sử dụng PC nó có nhiều tác hại nhưng chẵng được cái lợi gì. format ổ đĩa (làm mất hết data), chiếm rất nhiều ô nhớ (nguyên nhân làm chậm máy), đánh cắp thông tin (mail, nick chat, tài khoản ngân hàng), quảng cáo, spam thư….vv.

Để đối phó với nó thì có rất nhiều cách mình xin giới thiệu 3 cách cơ bản mà nhiều người hay dùng:

Cách thứ 1: khoản 90 % người sử dụng đó là…………..chẵng làm gì cả (mặc dù có cài chương AntiVirus nhưng mà không update cũng như không.). Họ tin rằng nó chẵng có hại gì ( phần vì không biết máy đã bị dính ) cứ để như vậy khi sự việc xảy ra (bị virus format mất data của công ty toàn những thứ quan trọng, bị keylogg cuỗn mất pass mail, acc game, tệ hơn nữa là tài khoản ngân hàng….) thì lúc đó đã quá muộn.

Cách thứ 2: khoản 9 % người dung là cứ nghi máy bị nhiểm là format, cài lại Win, ghost….xong …….cách này hiệu quả thì có thật, nhưng tốt công cài lại soft mất cả tiếng, mà rủi ro lại cao với những newbie.

Cách thứ 3: khoản 0,999% người dùng cài chương Antivirus Pro có update thường xuyên nên khả năng bị nhiễm virus là rất thấp. Nhưng cách này thì hơi bất tiện vì chương trình Antivirus Pro nào cũng khá cồng kềnh, làm cho máy chạy chậm hơn cả khi bị nhiễm virus, mà phải update verssion mới rồi lại tìm ***, key…đủ thứ.

Hôm nay mình xin giới thiệu cho các bạn một cách mà khá ít người dùng, đó là diệt virus bằng tay, với sự hổ trợ của một phần mềm. Xin giới thiệu phần mềm TASKKILL.

Posted Image


Cái này mình mới vừa code xong hôm nay 27/10, rất nhỏ gọn chỉ có 242 KB, khi chạy hâu như chẵng tốn bao nhiêu ô nhớ (khoản 500 K so với 21,500 k của BKAV). Chắc nhìn giao diện các ban cũng đã đoán biết cách sử dụng rồi chứ… ?

Nhưng để dễ hiểu, mình xin tự nguyên hi sinh, để cho một con Virus nhiểm vào máy rồi sau đó kill nó ra bằng chương trình này cho mọi người xem nha. ( chú ý: ở cuối bài viết mình sẽ cho Download virus về thực hành trước khi cho Virus nhiểm vào máy bạn nên sao lưu hệ thống trước phòng trường hợp bất trắc thì phục hồi lại… các bạn có thể Import registry, tạo một bản ghost tùy bạn…..! )

Sẵn trong USB mới nhiễm 1 con virus do cắm vào máy của thằng bạn, con này có tên scvshosts.exe nhưng có để tên tác giả là Nhatquanglan con này có dung lượng 248 KB. Hiện nay con này lây lan khá nhanh trên Trường máy nào cũng bị nhiểm.

Posted Image


Tuy lây lan nhanh nhưng con này khá cùi (mà đa số virus make in viet nam đều như vậy cả). Cách lẫn trốn của con này cũng cổ điển như các con khác đó là tắt hết các chương trình như BKAV, registry, msconfig, cmd, task manager…..vv

Posted Image


Để diệt được virus chúng ta làm 3 bước sau:

Bước 1: Kill nó………..!

Bước 2: Phục hồi lại hệ thống.

Bước 3: Delete all.

1.Đầu tiên bạn chạy chương trình TASKKILL bạn click vào “Show”.

Posted Image


Một danh sách các chương trình đang chạy sẽ hiện ra như sau, để biết đâu là virus là cả một vấn đề lớn, yêu cầu bạn phải nắm rỏ tasklist của Windows để phát hiên đâu là chương trình lạ đang chạy trong máy của mình. Trong trường hợp này là scvshosts.exe là virus nó giả danh svchost .exe của hệ thống bạn phải chú ý mới biết được.

Posted Image


Khi biết được đâu là kẻ phá hoại thì việt còn lại khá đơn giản, bạn đánh tên virus vào ô textbox bên dưới ở đây là scvshosts.exe hay bạn nhập vào số PID của nó cũng được trong trường hợp này là 2024. Sau đó bạn click vào “Kill” click 2 – 3 cái cho chắc cú. Click vào “Show” xem lại thử còn scvshosts.exe không, nếu không còn bạn đã kill thành công.(chú ý là không nên Restart )

Posted Image


2. chuyển sang bước thứ 2 phục hồi hệ thống sau khi nhiểm vào máy nó Disabled khá nhiều chức năng của hệ thống. Trong chương trình mình đã cập nhật 8 chức năng chính ( phục hồi Folder options, registry, manage, task manager…vv) mà nhiều Virus hay Disable và mặc định đã check cả 8 chức năng bạn chỉ việc click vào “Run” là ok.

Chú ý: check là enabled, uncheck là disable.

Refresh vài phát cho nó trở lại như ban đầu, ok vậy các chức năng của Win đã enabled trở lại.

Vào start à run gõ regedit à Enter trong registry tìm đến khóa:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Xóa Yahoo Mesengger (chú ý: cái này là virus giả dạng chứ không phải Yahoo)

Posted Image


Tiếp theo tìm đến khóa:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Tìm “Shell” sửa giá trị của nó thành “Explorer.exe” tức là bạn phải xóa dòng “scvshosts.exe” như vậy virus mới không khởi động cùng win được.

Posted Image


3. như vậy là đã xong bước 2 chuyển sang bước 3, tìm và xóa virus. Có 1 thủ thuật nhỏ như thế này virus có icon giống như icon của thư mục của Windows để lừa người dùng click vào, nhưng bản thân virus là file thức thi (*.exe) còn thư mục thì không.

Ta sẽ lợi dụng điểm khác biệt này để tìm virus và xóa đi.

Trong thư mục bất kì vào Tools à Folder Options à Show hidden files and folder (nhớ uncheck 2 phần dưới như hình nha !)

Posted Image


Start à Search à For Files and Folder trong ô tìm kiếm “All or part of the file name:” bạn gõ vào từ khóa “*.exe” trong ô “Look in:” bạn chọn tấc cả các ổ đĩa.

Posted Image


Dưới phần “More advanced options” bạn check chon thêm “Search hidden files and folders” để nó tìm kiếm các file và thư mục ẩn.

Posted Image


Tiếp theo click search nó sẽ cho ra khá nhiều kết quả bạn cứ từ từ cho nó tìm xong hết đã, xong đâu vào đấy hết rồi bạn click chuột phải vào màn hình “Arrange Icons By” à Size (mục đích của việc này là sắp xếp các kết quả tìm được theo dung lượng)

Posted Image


Bạn kéo tìm theo dung lượng khoản 248 KB tìm cái nào có icon giống folder như có đuôi *.exe thì delete đi.( chú ý coi chừng xóa nhầm chương trình của hệ thống)

Posted Image


Xóa hết rồi Restart lại máy xem lại thử còn virus không nhé.

Link Down Taskkill: http://www.box.net/shared/hh1gukbp7y
Link Down Virus scvshosts: http://www.box.net/shared/90v7tbpbqi


CHÚ Ý: soft TASKKILL được viết bằng AutoIt nên bị BKAV nhận nhầm là VIRUS (các chương trình ANTI khác không có)

Tệp Đính Kèm


Bài viết này được chỉnh sửa bởi Tăng Dương Triều: 13 May 2008 - 11:06 AM


#2
Võ Đang Đệ Nhất

Võ Đang Đệ Nhất

    Trình độ A CSTH

  • Advance Member
  • PipPip
  • 131 Bài Viết:
Cảm ơn bạn vì bài viết.
Mình phân vân thế này, vậy vấn đề khó nhất sẽ là tìm process nào có tên lạ đúng không (các phần còn lại dễ hơn, cứ theo bạn hướng dẫn mà làm). Nhưng rất khó phát hiện vì bản thân các process của windows ta cũng không biết hết được tất cả, chưa kể còn của ti tỉ các chương trình phần mềm do chúng ta cài thêm nữa.
À với cả ở phần cuối - search file, nếu file của virus khác hoàn toàn con số 248kb thì sao, ví dụ nó tầm 800-900k, hoặc cả MB đi, và nó có nhiều file, có thể có file giống tên process mà bạn tìm được, nhưng có 1 file khác nó đặt tên gì gì đó chẳng hạn thì rất khó tìm, và tìm cũng chưa chắc có can đảm xóa.

#3
Tăng Dương Triều

Tăng Dương Triều

    Cao đẳng CSTH

  • Advance Member
  • PipPipPipPip
  • 821 Bài Viết:

Cảm ơn bạn vì bài viết.
Mình phân vân thế này, vậy vấn đề khó nhất sẽ là tìm process nào có tên lạ đúng không (các phần còn lại dễ hơn, cứ theo bạn hướng dẫn mà làm). Nhưng rất khó phát hiện vì bản thân các process của windows ta cũng không biết hết được tất cả, chưa kể còn của ti tỉ các chương trình phần mềm do chúng ta cài thêm nữa.
À với cả ở phần cuối - search file, nếu file của virus khác hoàn toàn con số 248kb thì sao, ví dụ nó tầm 800-900k, hoặc cả MB đi, và nó có nhiều file, có thể có file giống tên process mà bạn tìm được, nhưng có 1 file khác nó đặt tên gì gì đó chẳng hạn thì rất khó tìm, và tìm cũng chưa chắc có can đảm xóa.


Thanks bạn đã góp ý!

chuyện size lớn hơn 248 hay nhỏ hơn không quan trọng bạn chỉ việc vào regedit tìm đến khóa run như mình hướng dẫn đây là đường dẫn của virus tìm đến nó xem nó size bao nhiêu là ok mà.

còn về process thì ko ai có thể nói được cả vì máy mỗi người mỗi khác, process của WIN khì ko kill được rồi, còn về process của soft thì có khả năng kill được nhưng tạm thời soft đó ko hoạt động được (chỉ hoạt động trở lại sau khi reset lại máy)

chuyện chuyện tên file của virus ko quan trọng bởi vì từ khóa search là "*.exe" và sắp xếp theo size (mà size của virus thì = nhau "có trường hợp ngoại lệ là đính kèm trong 1 file.exe khác nhưng lúc đó nó sẽ ko hoạt động được vì ko được kick hoạt" )

chúc bạn thành công!

Bài viết này được chỉnh sửa bởi Tăng Dương Triều: 14 May 2008 - 03:09 AM


#4
Võ Đang Đệ Nhất

Võ Đang Đệ Nhất

    Trình độ A CSTH

  • Advance Member
  • PipPip
  • 131 Bài Viết:
Mình hiểu rồi, cảm ơn bạn nhiều>

#5
Lệnh_Hồ_Xung84

Lệnh_Hồ_Xung84

    Trình độ A CSTH

  • Advance Member
  • PipPip
  • 146 Bài Viết:
Nếu như ko biết con nào la virus thì làm sao để nhận biết ma kill no vậy ban

thanks

#6
quansilip

quansilip

    Trình độ A CSTH

  • Advance Member
  • PipPip
  • 149 Bài Viết:
cho mình hỏi sao tên con nài fun.xls.exe kg thấy trên bảng tasklisk.tkt của Notepad vậy chỉ mình đi con nài nó có tác dụng gì đến máy mình kg
-chỉ dùm mình cách post bằng hình ảnh luôn nha
-cám ơn trước nha :))

Bài viết này được chỉnh sửa bởi quansilip: 14 May 2008 - 06:11 AM


#7
tulous

tulous

    Pé Mập

  • VIP
  • PipPipPipPipPip
  • 1047 Bài Viết:
Virus này sẽ chỉnh lại file autorun.inf --> khi mở ổ đĩa cũng chạy virus, thêm nữa vào mỗi thư mục nó có thể tạo các file có dạng tenthumuc.exe. Dùng process explorer tắt tiến trình đi sau đó dùng bkav dọn rác. Nếu bạn cần tham khảo thì vào đường link chỗ chữ ký của mình

#8
quansilip

quansilip

    Trình độ A CSTH

  • Advance Member
  • PipPip
  • 149 Bài Viết:

Virus này sẽ chỉnh lại file autorun.inf --> khi mở ổ đĩa cũng chạy virus, thêm nữa vào mỗi thư mục nó có thể tạo các file có dạng tenthumuc.exe. Dùng process explorer tắt tiến trình đi sau đó dùng bkav dọn rác. Nếu bạn cần tham khảo thì vào đường link chỗ chữ ký của mình

Bạn có thể hướng dẫn bằng hình ảnh cho mình đc kg
- Nếu có Bkav thì gủi lite dính kèm cho mình luôn nha
-cảm ơn

#9
tulous

tulous

    Pé Mập

  • VIP
  • PipPipPipPipPip
  • 1047 Bài Viết:
Bạn down process explorer về, còn bkav lên http://www.bkav.com....e/Download.aspx download bản bkav home về, cài đặt là xong. Link down process explorer và ảnh minh họa có trong bài viết ở chữ ký của mình đó. Nếu vẫn ko diệt được bạn post cái ảnh của process explorer chạy lên

#10
talagacongnghiep

talagacongnghiep

    Thành viên mới

  • Newbies
  • 25 Bài Viết:
Bạn cho mình hỏi, máy mình bị virus an folder sau khi diệt xong rồi nhưng có một vấn đề là các folder đó đều ở dạng ẩn, thuộc tính của nó lại là system không cho mình hiện lên, có cách nào để các folder đó hiện bình thường không
Mình cảm ơn trước

#11
Raymone

Raymone

    Made you happy

  • Super Moderator
  • PipPipPipPipPipPip
  • 2509 Bài Viết:

Bạn cho mình hỏi, máy mình bị virus an folder sau khi diệt xong rồi nhưng có một vấn đề là các folder đó đều ở dạng ẩn, thuộc tính của nó lại là system không cho mình hiện lên, có cách nào để các folder đó hiện bình thường không
Mình cảm ơn trước


Bạn vào My computer chọn tool -> folder options -> View và uncheck 2 options như hình bên dưới
Posted Image (hình của Tăng Dương Triều) thì các folder thuộc tính system sẽ hiện trở lại

#12
talagacongnghiep

talagacongnghiep

    Thành viên mới

  • Newbies
  • 25 Bài Viết:
không phải, ý mình là muốn folder mất thuộc tính hidden đi, trở lại bình thường, còn làm như bạn thì vẫn nhìn thấy folder nhưng sẽ thấy hình nó bị mờ, dù sao cũng cảm ơn vì đã trả lời :))

#13
DeNhatNgaMy

DeNhatNgaMy

    Diệt Virus

  • Super Moderator
  • PipPipPipPipPipPipPip
  • 4596 Bài Viết:

không phải, ý mình là muốn folder mất thuộc tính hidden đi, trở lại bình thường, còn làm như bạn thì vẫn nhìn thấy folder nhưng sẽ thấy hình nó bị mờ, dù sao cũng cảm ơn vì đã trả lời :P

Tình trạng bạn này y chang như mình nè, tác giả xem lại, vì bây giờ hkhoong thể dấu file ẩn nữa !
http://cuasotinhoc.v...o...st&p=470839

#14
talagacongnghiep

talagacongnghiep

    Thành viên mới

  • Newbies
  • 25 Bài Viết:
VD folder cua mình bị ẩn đi, sau khi diệt virus nếu mình vào propeties cua folder đó mục Attributes chỉ có 2 ô "Read-Olny", "Hidden", cái Hidden bị mờ không thể bỏ cái tick này đi được (do nó nhận folder này là system file). có pro nào cho ý kiến cách xử lý dùm không.
Có một máy ở nhà bị, sau khi cài lại Win thì thuộc tính của folder vẫn không đổi, vẫn như vậy :P

#15
tulous

tulous

    Pé Mập

  • VIP
  • PipPipPipPipPip
  • 1047 Bài Viết:
Keke hôm qua mới xử lý một số em trên máy đứa bạn cũng bị tỉnh trạng này. Mình nghĩ việc này là do virus đã file của bạn thành system file. Bạn thử thay đổi thuộc tính file xem:
-Giả dụ bạn có file yourfile.exe nằm trong ổ C bạn làm các bước sau:
+> Chạy cmd lên(start->run đánh vào cmd)
+>Đánh dòng lện attrib -s -h C:\yourfile.exe /s
Tham khảo lệnh này

ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [drive:][path][filename]
[/S [/D]]
+ Sets an attribute.
- Clears an attribute.
R Read-only file attribute.
A Archive file attribute.
S System file attribute.
H Hidden file attribute.
[drive:][path][filename]
Specifies a file or files for attrib to process.
/S Processes matching files in the current folder
and all subfolders.
/D Processes folders as well.

Bài viết này được chỉnh sửa bởi tulous: 15 May 2008 - 11:57 AM


#16
giacmohoa

giacmohoa

    Thành viên mới

  • Newbies
  • 3 Bài Viết:
Sao trong file TASKKILL.rar tải về scan bằng Kaspersky nó ra con này:
Trojan-Downloader.Win32.Agent.ilo
không biết có phải virus ko?

#17
nhawe

nhawe

    Trung cấp CSTH

  • Advance Member
  • PipPipPip
  • 316 Bài Viết:
Cám ơn bạn chủ topic đã có công cụ và bài hướng dẫn công phu cho mọi người!

Thật ra những công cụ như thế này MS đã có cung cấp nhưng do chúng "ko quan tâm" (90% số người nhóm 1 ;;) )

Các bạn có thể sử dụng bộ công cụ sysinternal, hãng này đã được hãng MS mua lại.

- Để sử dụng các bạn vào:
Link: http://technet.micro...ls/default.aspx

- Vào mục: Sysinternals Process Utilities

- Có nhiều tools trong này, 2 tool tương ứng với công cụ trên của chủ topic là:
+ Process Explorer : view và quản lý các processes, muốn Kill cái nào bạn right-lick và chọn kill.
+ Autoruns : view tất cả những chuơng trình sẽ chạy tự động mỗi khi bool máy hoặc chạy IE !

Ngoài ra còn rất nhiều công cụ hay khác, tất cả điều nhỏ gọn và đặc biệt là được sự bảo đảm của Microsoft !

Bài viết này được chỉnh sửa bởi nhawe: 15 May 2008 - 03:27 PM


#18
chaerim

chaerim

    Thành viên mới

  • Advance Member
  • 34 Bài Viết:
;;) tại mọi người không chú ý thôi, 90% như ban nói àh.

Tuy nhiên chủ topic đáng được thanks :">

#19
Tăng Dương Triều

Tăng Dương Triều

    Cao đẳng CSTH

  • Advance Member
  • PipPipPipPip
  • 821 Bài Viết:

không phải, ý mình là muốn folder mất thuộc tính hidden đi, trở lại bình thường, còn làm như bạn thì vẫn nhìn thấy folder nhưng sẽ thấy hình nó bị mờ, dù sao cũng cảm ơn vì đã trả lời :d

Tình trạng bạn này y chang như mình nè, tác giả xem lại, vì bây giờ hkhoong thể dấu file ẩn nữa !
http://cuasotinhoc.v...o...st&p=470839


DeNhatNgaMy dùng file này thử xem!

Tệp Đính Kèm



#20
1thoivolam

1thoivolam

    Trung cấp CSTH

  • Advance Member
  • PipPipPip
  • 373 Bài Viết:
bạn nào xem lun hộ mình con nào là vius với tasklist nhà mình nè :

STT PID Process name

So 1 4 System
So 2 544 smss.exe
So 3 608 csrss.exe
So 4 632 winlogon.exe
So 5 684 services.exe
So 6 696 lsass.exe
So 7 852 svchost.exe
So 8 948 svchost.exe
So 9 1040 svchost.exe
So 10 1088 svchost.exe
So 11 1252 svchost.exe
So 12 1488 explorer.exe
So 13 1552 spoolsv.exe
So 14 360 alg.exe
So 15 480 CNAB4RPK.EXE
So 16 1024 svchost.exe
So 17 200 IDMan.exe
So 18 2804 firefox.exe
So 19 2196 TASKKILL.exe

nhà mình hiện đang bị con virus tự động hide folder . Bạn nào xem hộ mình cái T_T:D.Cảm ơn

Posted Image







Perfumista - Thong tin nuoc hoa

Stars Counter Game

Balloon vs. Thorns

MU Phuc Hung

Làm Việc Tài Nhà

Mu Da Nang

Tuyển Nhân Viên Bán Hàng

Tư vấn sức khỏe trực tuyến

Close [X]