Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:
1.Vào windows/system32/cmd.exe để mở cmd.
2.Start - Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.
Nếu không khóa run trong REGISTRY thì tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.
-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.
Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.
ẩn/hiện Folder Option
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).
Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng nhất : tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.
Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này còn tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... thì bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... thì 90% đó là virus.
Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd
Sau khi quan sát trong msconfig,thấy dc đưòng dẫn của virus rồi thì bứoc tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rùi tìm cách để cách ly hoặc xoá chúng ra khỏi máy.
Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh
Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe
r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi
Sau đó hãy dùng lệnh del để xoá chúng đi
Code:
del c:\windows\system32\hkcmd.exe
Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB
Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý.
Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy
Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy
Hướng dẫn cách phát hiện và diệt virus Keylog bằng tay trên máy
Trước hết AE phải biết cấu trúc của virus Keylog khi cài đặt vào máy. Sẽ có 3 file virus là: ***.exe, ***hk.exe, và ***wb.exe. *** là tên bất kì của nó. Nói đơn giản thế này thôi, muốn xóa Keylog thì cần phải tìm ra và xóa đc 3 file trên
Phần mềm cần thiết để hỗ trợ tìm và diệt virus Keylog nên Download những thứ sau đây:
- 1. Search Everything (phần mềm tìm kiếm nhanh nhất thế giới)
- 2. Unlocker mới nhất (xóa tất cả những file cứng đầu nhất)
Các bạn nên lên Google tìm và Download những phần mềm trên nhé. Sau khi Download và cài đặt xong 2 phần mềm trên, các bạn bật Search Everything lên và vào theo đường dẫn C:\WINDOWS\system32\ để tìm kiếm ở đây.
Đầu tiên tìm từ khóa bpk => nếu có xuất hiện bất cứ file nào, các bạn bấm chuột phải dùng Unlocker xóa ngay => con Keylog đã bị tiêu diệt
Nếu k thấy thì các bạn Search tiếp từ khóa wb và sau đó tìm tiếp là từ khóa hk, nếu có Keylog thì nó sẽ hiện 2 file có mấy kí tự đầu giống nhau, các bạn chỉ cần dùng Unlocker để xóa chúng => Keylog đã bị xóa khỏi máy.
Nếu cả 3 từ khóa trên đều ko tìm thấy file nào thì yên tâm là máy của bạn an toàn và ko bị nhiễm Keylog.
Cách này là do mình nghĩ ra, vì bản thân mình ngày xưa cũng đã từng nghịch cái này. Hôm nay mình Share cho AE cách này và hi vọng AE chơi Game, chat chit thoải mái mà ko sợ mất nick nữa nhé.
P/S: Đây là cách Delete con Perfect Keylog, còn 1 số con khác cũng có thể lấy Pass của các bạn. Cách này chủ yếu để các bạn tham khảo. Ngoài ra, các bạn có thể sử dụng công cụ diệt virus bằng tay 1 Click tại đây để diệt virus Keylog cũng rất hiệu quả. Chúc các bạn thành công!
Hướng dẫn tìm và diệt virus W32.Bagle.B mới xuất hiện
9 giờ sáng nay, ngày 18 tháng 2 năm 2004, Trung tâm An Ninh Mạng Bkis nhận được một số email có tiêu đề "ID ajeearrohy... thanks" và "ID nwchv... thanks", các email này đều có đính kèm các file .exe kích thước khoảng 11 Kbyte. Qua nhận định ban đầu của trung tâm An Ninh Mạng thì đây là một loại virus mới và bắt đầu xuất hiện ở Việt Nam. Chúng tôi ngay lập tức tiến hành phân tích và giải mã mẫu virus này. Đến chiều nay thì việc phân tích virus đã hoàn thành và phiên bản Bkav497 cập nhật virus W32.Bagle.B (xem mô tả chi tiết virus ở phần dưới) được đưa ra lúc 18 giờ 45 phút.
Để diệt virus W32.Bagle.B bạn cần thực hiện theo các bước sau:
1. Tải phần mềm Bkav phiên bản Bkav497 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.
3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.
4. Chạy Bkav497, chọn quét tất cả các file, tất cả các ổ đĩa.
5. Khởi động lại máy tính.
Mô tả chi tiết virus W32.Bagle.B:
Sâu BeagleB lan truyền qua thư điện tử, nó sẽ tự động gửi thư tới các địa chỉ email tìm thấy trên máy.
1. Bức thư virus gửi ra ngoài có dạng như sau:
Gửi từ (From):
Một địa chỉ bị virus giả mạo.
Tiêu đề (Subject):
ID.......... thanks
Nội dung:
Yours ID
--
Thank
File đính kèm( Attachment):
.exe
File đính kèm này khi được ghi ra đĩa sẽ có biểu tượng là một file audio của Windows.
2. Khi được kích hoạt trên một máy tính của người sử dụng, BeagleB sẽ kiểm tra xem máy tính này đã bị nhiễm virus chưa.Nếu phát hiện máy tính chưa bị nhiễm virus, nó sẽ gọi file Sndrec32.exe (Windows Sound Recorder) để đánh lừa người dùng, sau đó thực hiện copy chính nó vào thư mục hệ thống của hệ điều hành dưới tên au.exe.
3. BeagleB tạo khoá "au.exe" vào trong key
HKEY_CURRENT_USER\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
để virus này có thể được tự kích hoạt mỗi khi khởi động Windows.
4. Virus tự động thêm vào trong key
HKEY_CURRENT_USER\SOFTWARE\Windows2000
các dòng sau:
"frn" = "0x00000001" hoặc là "frn" = "0x00000000"
"gid" = ""
Giá trị ngẫu nhiên của key "gid" sẽ được hacker sử dụng như 1 số để nhận dạng.
5. Sâu Beagle.B có kỹ thuật của một backdoor, đợi ở cổng 8866 cho phép hacker upload Trojan lên máy tính bị nhiễm dưới dạng file .exe trong thư mục Windows của hệ điều hành với tên ngẫu nhiên bắt đầu bởi "bsupld" rồi gọi file này chạy với tham số là "-upd".
6. Cứ 10000 giây, BeagleB lại kết nối tới các website sau đây và thông qua đó gửi đi các thông tin về máy tính đang bị nhiễm virus này như IP, máy tính đang mở cổng nào và số nhận dạng của máy đó:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
7. Virus thực hiện quét toàn bộ các ổ cứng trong máy và phân tích các file có phần mở rộng như sau để tìm các địa chỉ email trong máy:
.wab
.txt
.htm
.html
8. Sâu BeagleB được lập trình để chỉ hoạt động đến ngày 25/02/2004. Nếu quá ngày này, sâu Beagle sẽ tạo ra file a.bat để thực hiện tự động loại bỏ chính nó ra khỏi máy tính của người sử dụng.
(St)