Please login or register.

Login with username, password and session length

Author Topic: Các Tiện Ích Nhỏ Gọn và Hiệu Quả  (Read 11215 times)

08 Tháng Mười, 2008, 04:34:22 PM
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài windows) thì cần bảo đảm 6 công cụ chính là:

1. msconfig  - Công cụ quản lý các dịch vụ,driver,ứng dụng tự khởi động
2. cmd        - Môi trường điều khiển máy tính = chế độ dòng lệnh
3. regedit    - Công cụ chỉnh sửa registry - một cơ sở dữ liệu các cấu hình, thông số của windows
4. notepad   - Trình soạn thảo
5. gpedit.msc - Quản lý các thông số,cấu hình được thiết lập trong Windows.
6. taskmgr    - Task manager,công cụ quản lý các tiến trinh đang hoạt động.
 
vẫn hoạt động tốt (không bị cấm, bị lỗi...).

Thường thì các virus “thú dữ” sẽ khoá các công cụ ở trên, hay gặp nhất là khoá task manager và regedit.

Mở/khoá task manager

Cách 1: Vào Start - Run – Cmd, copy đoạn lệnh sau, paste vào rồi Enter :

Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)

Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.

Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này

Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr”=dword:00000000

Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.

Mở/khoá regedit

Có 2 cách :

1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.

2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào

Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy

Mở/khoá Run trong Start Menu

Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:

1.Vào windows/system32/cmd.exe để mở cmd.

2.Start – Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này

Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced

Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.

Nếu không khóa run trong REGISTRY thì tham khảo cách sau:

Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.

-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL

Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.

Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.

 

Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng nhất : tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.

Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này còn tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... thì bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... thì 90% đó là virus.



Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd

Sau khi quan sát trong msconfig,thấy được đưòng dẫn của virus rồi thì bứoc tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rùi tìm cách để cách ly hoặc xoá chúng ra khỏi máy.

Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là

Code:
c:\windows\hkcmd.exe

Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh

Code:
attrib -r -a -s -h c:\windows\hkcmd.exe

r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi

Sau đó hãy dùng lệnh del để xoá chúng đi



Code:
del c:\windows\system32\hkcmd.exe

Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.

Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB

Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý.

Nguyễn Công Minh
(http://www.xahoithongtin.com.vn/home/252/14975/thu-thuat-tim-va-diet-virus-may-tinh-bang-tay-phan-2.html)
**************************************

Bài trên rất hay và rất có ích :)>-
« Last Edit: 17 Tháng Mười Một, 2008, 01:29:50 PM by Linkin Park »

10 Tháng Mười, 2008, 10:56:56 AM
Reply #1
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Những đồ để "chơi" với virus có rất nhiều nhưng có lẽ cách dùng Hiren Boot và Mini PE là hai cách phổ biến nhất trong trường hợp không login vào windows để diệt virus được.

Hai đĩa này có thể ra quán hỏi mua. Hiren Boot có đĩa mới nhất là 9.6 hoặc ta có thể vào các trang để download, ví dụ như:

Hiren Boot 9.6

Để download Mini PE có thể vào trang www.minipe.org sau đó download file rar rồi giải nén với password: "thecavern" (không có dấu "", để trong ngoặc kép để chú ý khi giải nén thôi)) ta sẽ được file ISO, chọn một trình ghi đĩa (ví dụ Nero hoặc MagicISO...) để ghi ra đĩa.

Trong trường hợp trong tay chỉ có Hiren Boot mà không có Mini PE, mà khi đó ta lại cần phải vào chỉnh sửa trong registry, ta có thể dùng cách của Overflow (bên www.virusvn.com) để làm như sau:
*************************************
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong Hiren's Boot để vào thư mục System32
B2: Thay thế file Sethc.exe bằng cmd.exe (bằng cách gõ: copy cmd.exe sethc.exe /y)
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn Shilt 5 lần để hiện cửa sổ Command Line
B5: gõ vào regedit.exe
Nếu an toàn thì bạn có thể sao lưu file Sethc.exe sang thư mục khác để khôi phục lại khi cần
************************************
« Last Edit: 10 Tháng Mười, 2008, 11:21:35 AM by Linkin Park »

10 Tháng Mười, 2008, 11:38:40 AM
Reply #2
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Bộ 6 công cụ hữu ích giúp sửa lỗi máy tính khi bị nhiễm virus

Khi virus có công lực đủ mạnh xâm nhập vào máy tính, đa phần chúng sẽ khoá các ứng dụng như Task Manager (taskmgr.exe), Registry Editor (regedit.exe), Command Prompt (cmd.exe), System Configuration Utility (msconfig.exe), không cho cấu hình Folder Options và ẩn Run từ Start Menu.

Như vậy, virus sẽ phần nào tránh được "bàn tay sắt" của các chuyên gia với những công cụ kiểm tra và quản lý sẵn có trong Windows.

Thông thường, khi phát hiện ra có chương trình nghi vấn, công cụ đầu tiên người dùng sẽ sử dụng là Task Manager. Nếu Task Manager bị khoá thì có thể dùng tới dòng lệnh trong DOS ảo, nhưng CMD cũng rất dễ bị "tiêu huỷ". Các công cụ của Windows khác như cấu hình msconfig, registry...đóng một vai trò quan trọng để kiểm tra hệ thống. Và cũng như Task Manager hay CMD, đây là những đối tượng bị virus khử đầu tiên.

Để sử dụng được các công cụ bị virus phá hoại đó, người dùng có thể sử dụng một số ứng dụng miễn phí thay thế sau trong những trường hợp khẩn cấp.
1. Công cụ thay thế Task Manager

Task Manager có vai trò rất quan trọng bởi lẽ đây là nơi ta có thể thấy được tất cả các ứng dụng đang chạy cũng như các thông số về bộ nhớ và CPU đang dùng. Nếu tìm thấy bất kì ứng dụng nào nghi vấn, bạn có thể thử tắt nó đi. Khi không thể chạy được Task Manager, Windows sẽ hiển thị lỗi “Task Manager has been disabled by your administrator”. Với Process Explorer, một công cụ protable nhỏ gọn có thể sử dụng ngay trên ổ flash USB, Task Manager của bạn sẽ được "bồi hoàn" nguyên trạng kèm theo nhiều tính năng mở rộng khác nữa.
2. Công cụ thay thế Registry Editor

Khi không truy cập được registry của Windows, bạn sẽ không thể thay đổi các cấu hình các thiết lập của hệ điều hành và máy tính nói chung. Cách duy nhất khả thi là nhập vào tập tin REG chứa thông tin cấu hình registry. Môt khi virus khoá registry, người dùng sẽ nhận được thông báo “Registry editing has been disabled by your administrator” khi chạy registry với lệnh regedit trong Run. Một công cụ tốt có thể thay thế regedit là RegAlyzer, được phát triển bởi tác giả công cụ anti- spyware SpyBot nổi tiếng. Bạn cần phải cài RegAlyzer nhưng có thể sao chéo toàn bộ tập tin cài đặt RegAlyzer trên USB và sử dụng như một ứng dụng portable.
3. Công cụ thay thế Command Prompt

Command Prompt là công cụ điều khiển bằng dòng lệnh mạnh mẽ với sự hỗ trợ nhiều loại lệnh khác nhau ngay cả khi bạn không tìm trong Windows. Lúc bị virus khoá, sẽ có hiển thị “The command prompt has been disabled by your administrator. Press any key to continue” nếu bạn cố gắng gõ CMD trong Run. GS là công cụ có thể thay thế cmd nhưng hiện vẫn chưa có phiên bản nâng cấp thay thế cho phiên bản năm 2005 đã cũ. GS hoàn toàn miễn phí, nhỏ gọn và có dạng portable.
4. Công cụ thay thế hộp thoại Run

Thật khó khi khôi phục lại hộp thoại Run một khi bị virus phá hoại. Mặc dù nó không thật sự quan trọng nhưng với hộp thoại Run,  bạn có thể sử dụng các câu lệnh đầy sức mạnh. Run Dialog là một công cụ thay thế nhỏ gọn, có dung lượng chỉ 48 KB và không phải cài đặt. Nếu bạn có sẵn Process Explorer, có thể tận dụng để dùng hộp thoại Run chứa các dòng lệnh từ File > Run hoặc nhấp CTRL+R.
5. Công cụ thay thế System Configuration Utility

MSCONFIG là nơi đầu tiên bạn có thể kiểm tra xem liệu máy của mình có bị nhiễm virus hay không. Nếu như chạy lệnh msconfig và vào tab Startup, sẽ thấy các chương trình đáng ngờ khởi động cùng Windows. Các virus "tinh ranh" thường sẽ xoá tập tin msconfig.exe gốc hoặc thay đổi chút ít thông số của MSCONFIG trong registry để có thể ẩn mình. Khi mscongif bị khoá, bạn sẽ nhận được thông báo “Windows cannot find ‘msconfig’. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.”

Một công cụ thay thế rất hữu ích là Autoruns, một chương trình có cùng tác giả với Process Explorer. Autoruns có thể nhận diện được tất cả các ứng dụng ẩn mình ở bất kì vị trí nào trên máy sẽ khởi động cùng Windows.
6. Khôi phục tính năng lựa chọn hiển thị thư mục và bảo vệ các tập tin hệ điều hành

Khi virus xâm nhập, nó sẽ thay đổi cài đặt chế độ hiển thị thư mục khiến người dùng không thể nhận diện được các tập tin ẩn và tập tin hệ thống. Với FreeCommander, bạn có thể khôi phục được cấu hình cài đặt cũ, cũng như giúp bảo vệ các tập tin hệ điều hành mà không liên can gì với các thông số cài đặt trong Folder Options. FreeCommander được giới thiệu ở đây là một ứng dụng portable có thể sử dụng trên USB khi cần thiết.

Với 6 công cụ trên, bạn đã có thể khôi phục lại các thông số cài đặt của hệ điều hành một cách đơn giản, ngay cả khi gặp những loại virus mạnh mẽ nhất.

6 công cụ tuyệt vời - Download Here

(www.benhvientinhoc.com)

17 Tháng Mười Một, 2008, 01:55:53 PM
Reply #3
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Các tiện ích này tuy nhỏ nhưng rất hiệu quả trong việc phát hiện, tìm và diệt (hoặc đóng băng) nhưng chương trình "láo" chạy ẩn trong máy.

Trong đó có VNFix là một chương trình rất hay để chuyên khắc phục hậu quả do virus để lại như lấy lại folder options, lấy lại Show hidden files and folders...

Hijackthis: phát hiện và fix nhưng chương trình có hại, chạy ẩn trong máy.

Process Explorer và Prc View: Phát hiện và kill các chương trình chạy ẩn.

Gmer: phát hiện các tiến trình chạy ẩn và có thể vào sửa trong registry khi Run bị khóa - rất hay. Chương trình này được đánh giá mạnh hơn Process Explorer.

Iceworld: đóng băng tiến trình, kill và cũng như Gmer có thể chỉnh sửa được registry - rất tiện khi bị khóa registry.

Nên kết hợp các chương trình vì mỗi chương trình có cái hay riêng và nếu chương trình này bị virus "cấm" thì còn chương trình khác.

Download
« Last Edit: 17 Tháng Mười Một, 2008, 02:14:54 PM by Linkin Park »

17 Tháng Một, 2009, 11:54:01 PM
Reply #4
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Hiện nay đang có một phần mềm diệt và khắc phục hệ thống Sniper DH3 do một bạn (tạm gọi là Sniper vì không biết tên thật hay w4s.info - tên đăng kí trên forum của hvaonline.net) đang phát triển cũng khá hay (đang dùng thử :D)

Tuy phần mềm chỉ có 618KB nhưng khá hiệu quả :D

Để sử dụng được nó thì ta phải kích hoạt. Để kích hoạt thì ta vào phần About --> Free


Kích hoạt thành công


Giao diện chương trình

Khi sử dụng, với một số loại virus mới chưa được các chương trình khác cập nhật thì tự ta có thể cập nhật bằng tay cho chương trình <=== đây là một điểm khác biệt của chương trình Sniper DH3 so với các chương trình hiện nay khi mà người dùng phải chờ chương trình cập nhật (password mặc định là SniperDH3IIS <=== password có phân biệt chữ hoa chữ thường).

Chương trình cũng có thêm một số công cụ để Fix ví dụ: làm hiện file ẩn, lấy lại Folder Options ...
Mọi người có thể tự khám phá thêm.

(có thể đọc thêm chi tiết tại đây Sniper DH3

Ps: Nghe tác giả nói thì có thể đăng kí online và offline nhưng khi sử dụng thì quả thật mới chỉ đăng kí được online thôi chứ offline thì chưa phát hiện ra :D nên khi sử dụng chương trình thì các bạn bắt buộc phải có một đường truyền Internet.
Đây là một phần mềm Việt.
***********************************************
Điểm khác biệt nữa với các phần mềm diệt virus khác là khi diệt phim người lớn (và có thể là một số loại khác) thì hay bị "quên" Userinit dẫn tới trường hợp bị logoff khi sử dụng Windows sau khi quét xong virus (registry). Nhưng Sniper DH3 ISS thì khác, nó tự khôi phục cho mình --> Không còn bị logoff nữa <-- khá hay đối với người sử dụng bình thường.
(chả biết viết như thế này có đúng với dân chuyên nghiệp không nữa, thôi kệ, dân nghiệp dư mà :D - có gì bỏ qua nhé :D).
***********************************************
Hiện nay Sniper đã lên đến phiên bản 13.2!

Sniper DH3

Và một file đính kèm phòng trường hợp Mediafire lại die đột xuất :))
« Last Edit: 27 Tháng Ba, 2009, 08:08:11 AM by Linkin Park »

06 Tháng Hai, 2009, 08:52:16 AM
Reply #5
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Hôm trước đã làm một bài hướng dẫn rồi mà giờ tìm lại chả biết nó nằm ở chỗ nào :D Giờ viết lại vậy :D

Hướng dẫn sử dụng Hijackthis

Với Hijackthis ta có thể biết mọi chương trình đang làm gì trong máy của mình --> Căn cứ vào đó để phát hiện ra malware :D

Cài đặt:
Click doube vào file HJTInstall.exe



Chọn Install



Do a system scan and save a logfile

Đợi nó một chút để nó bắt đầu thực hiện việc quét toàn bộ hệ thống. Khi quét xong nó sẽ đưa ra 2 cửa sổ trong đó có một bản báo cáo (logfile.txt - Notepad) của chương trình.



Cái logfile này ta copy nó và vào trang www.hijackthis.de



Click chuột vào Analyze để bắt đầu thực hiện phân tích logfile.

Với dấu V màu xanh thì an toàn.
Với dấu ? màu vàng thì cần xem xét.
Với dấu X màu đỏ thì cần remove ngay lập tức.

Sau khi xác định được những chương trình độc hại rồi thì ta quay lại cửa sổ chính, tìm những key có hại và check vào nó (như trên hình) rồi click vào Fix Checked. Fix xong thì ta thực hiện scan lại một lần nữa.



Note: Có thể với một số loại chương trình ta phải làm trong Safe Mode thì mới có thể remove hết được. Để vào Safe Mode thì ta bấm vào F8 khi máy bắt đầu khởi động --> Safe Mode và nhớ tắt System Restore đi (chuột phải vào My Computer --> System Restore --> check vào Turn off ....)

***************************************************
HJTInstall.exe - Download


24 Tháng Mười Một, 2009, 05:59:35 PM
Reply #6
  • Cựu thành viên BĐH
  • ***
  • Posts: 685
  • Điểm bài viết: 97
    • quần áo trẻ em
D32 đã trở lại :))

Có thể download tại: www.d32av.vn

Cài đặt nhanh chóng, nhẹ. Chương trình sẽ nằm ở khay hệ thống:



Chuyển sang giao diện tiếng Việt: Vào View --> Vietnamese



Vào Tùy Chọn để thiết lập:





Vào phần công cụ --> Quản Lý Tiến Trình để theo dõi xem cái gì đang hoạt động. Để dừng các tiến trình này thì chuột phải chọn Hủy Tiến Trình:



Ngoài ra ta cũng còn có thể tự động cập nhật cơ sở dữ liệu cho chương trình...

Mọi người tự khám phá thêm nhé :D