Hỏi Đáp Về Xử Lý Virus, Trojan, Máy Tính

1. Có phần mềm diệt virus nào free và tốt không ?
+ AVG Anti Virus Free: http://free.grisoft.com/
+ Active Virus Shield: http://www.activevirusshield.com/
+ Avira Antivir: http://www.free-av.com/

Trong nước:
+ BKAV: http://www.bkav.com
+ D32: http://www.echip.com.vn/echiproot/html/d32.html
+ Moon Secure Antivirus: http://moonav.sourceforge.net/
+ Master AntiVirus Internetwork Security 2003 (MAVIS): http://www.echip.com.vn/echiproot/html/softm.html
+ [FireLion] FastHelper: http://fasthelper.fire-lion.com/


Tham khảo thêm tại:
http://www.freebyte.com/antivirus/

2. Vậy còn diệt spyware ?
+ AVG Anti-Spyware Free: http://free.grisoft.com/
+ Spybot Search & Destroy: http://www.safer-networking.org/en/spybotsd/index.html


3. Tại sao tôi có cài Anti Virus nhưng máy vẫn bị nhiễm ?
_ Có rất nhiều nguyên nhân để máy bạn có thể bị nhiễm virus, bạn phải kiểm tra lại một số nguyên nhân sau:
- Chương trình Anti Virus của bạn có được cập nhật thường xuyên hay không (có bạn down chương trình về với dữ liệu virus cả năm trời thì làm sao quét được virus mới ?)
- Tắt System Restore trước khi quét
- Vì người dùng tự kích hoạt/vô tình kích hoạt con malware đó.
- Các file chức malware được nén có mật khẩu, trở thành hiểm họa tiềm tàng về sau.
- Nhiều người dùng cảm thấy phần auto protect của AV "chướng tai gai mắt" nên turn off nó.
- Phần mềm AV đó đã hết hạn sử dụng(crack không thành công), mất chức năng tiêu diệt.
- Phần mềm AV đó lấy từ nguồn không được kiểm chứng(tức có malware trong bộ cài).
- Sử dụng crack AV từ nguồn không có kiểm chứng.
- Bởi vì AV bạn cài ra chỉ có tác dụng ngăn ngừa những loại virus mà nó đã phát hiện ra(đã được cập nhật trong CSDL về virus của nó) nên nếu bạn kích hoạt một con virus mà AV của bạn chưa cập nhật thì Av sẽ kô ngăn cản con virus đó lây vào máy của bạn.
- Thậm chí bạn vừa update AV nửa phút trước đây nhưng nó vẫn kô ngăn đựoc máy bạn nhiễm virus. dù AV của bạn có mạnh và nổi tiếng đến đâu. Vì kô có AV nào cập nhật được hết tất cả các loại virus.
- Thậm chí có AV cập nhật được hết tất cả các loại virus đi nữa thì nó cũng kô thể cập nhật ngay khi virus mới được tạo ra. Thường thì phải có ai đó nhiễm rồi gửi mẫu tới cho trung tâm AV rồi AV đó mới cập nhật con virus đó( trừ khi tác giả kô phát tán mà gửi mẫu luôn cho trung tâm AV) vì thế nếu bạn là 1 trong những người đầu tiên "may mắn" đó thì máy bạn vẫn bị nhiễm virus dù AV của bạn có khủng đến đâu

4. Tại sao tôi không nên double click on USB drive?
Vì làm như vậy, nếu trong USB của bạn có virus thì rất có thể con virus đó sẽ được kích hoạt.

Nguyên nhân: Virus có thể sao chép chính nó lên usb, và tạo ra một file Autorun.inf (thuộc tính ẩn) để kích hoạt tính năng Autoplay của ổ đĩa. Khi bạn double click vào ổ đĩa USB, bạn đã vô tình chạy con virus này
Vậy:
5. Làm thế nào để biết được USB có virus hay không?
Thường thì bạn sẽ double click on My Computer rồi double click tiếp vào ổ đĩa USB. Bây giờ, bạn nên tập từ bỏ thói quen đó, hãy thử nhấn <Windows> + E (hoặc right click on Start rồi chọn Explore) để mở cửa sổ Explore. Tiếp theo, hãy right click vào ổ USB, bạn hãy để ý dòng bôi đậm trên cùng ở menu sổ xuống, nếu là Autoplay thì rất nhiều khả năng USB của bạn đã bị nhiễm virus (Bình thường dòng này sẽ là Explore hoặc Open)
ps: Đôi khi 2 dòng đầu trong menu này còn biến thành những ký tự "loằng ngoằng"

Nếu bạn gặp trường hợp này, thì chắc chắn USB của bạn đã bị nhiễm virus.

Một cách khác, hãy sử dụng một trình duyệt file nào đó như: Total Commander, Free Commander, Far Manager. Chọn ổ đĩa usb, rồi xem nội dung file Autorun.inf, nếu bạn nhìn thấy như sau:
Code:
autorun
shellexecute="<Path nào đó>"

chứng tỏ USB của bạn đã bị nhiễm virus và nếu bạn double click file Autorun.inf này sẽ kích hoạt con virus trong đường dẫn đó
6. Tôi xài máy ở công ty, máy tôi luôn bật antivirus, đột nhiên chương trình xuất hiện thông báo đã diệt virus liên tục dẫn đến máy chạy rất chậm? Net ì ạch? Nguyên nhân do đâu?
- Đó là do virus đang trực tiếp truyền từ một máy nào đó bị nhiễm, có thể bạn đã share thư mục hay ổ đĩa cho họ và họ đã map nó làm ổ đĩa. Tốt nhất là tạm thời ngắt kết nối từ máy bạn rồi diệt sạch máy bị nhiễm mới kết nối lại.

- Khi AV đặt chế độ quét tự động theo lịch cũng có thể xảy ra hiện tượng đó khi đến giờ hẹn và Av tự động quét.

- Nếu AV thông báo đã phát hiện và diệt virus thì phải để ý xem cái file bị phát hiện đó nó nằm ở đâu thì mới kết luận chính xác được.

- Có thể bạn đang lướt web "đen" và vô tình tải virus về và AV đã phát hiện --> cũng tự động bật lên thông báo như vậy

- Khi AV đang quét thì nó ngốn rất nhiều tài nguyên máy nên dẫn đến máy chậm,nét ì ạch là chuyện đương nhiên.

8. Những thao tác nào của người dùng máy tính dẫn đến virus được kích hoạt ?

- kích đúp trực tiếp lên file mầm của virus. ví dụ: kích đúp lên các file hình folder có đuôi .exe
- Mở ổ đĩa chứa file Autorun.inf bằng thao tác kích đúp lên ổ đĩa. mà cái file Autorun.inf ấy nó lại có tác dụng kích hoạt một file mầm của virus nằm quanh đâu đấy smilie Ví dụ mở USB chứa Autorun bằng thao tác click đúp.
- Nguyên nhân click vào các thứ trên mạng cũng chiếm tỉ lệ cao nhưng rất đa rạng và có vẻ khó đề phòng.
9. Tại sao khi tôi double-click vào một ổ đĩa, tôi nhận được thông báo Open With?
_ Có thể máy bạn đã bị nhiễm dòng Worm (sâu( tạo file autorun.inf ở ngoài thư mục gốc. Khi con worm này bị diệt, file autorun.inf vẫn còn, bạn double-click vào ổ đĩa, tập tin autorun.inf sẽ thực thi Worm (không có), nên dẫn đến thông báo lỗi. Để khắc phục điều này, bạn có 2 phương pháp:
- Thay vì double-click vào ổ đĩa, bạn hãy right-click vào ổ đĩa, chọn open và xoá file autorun.inf ngoài thư mục gốc (trong một số trường hợp, tập tin autorun.inf bị đặt thuộc tính ẩn, bạn phải hiển thị ra)
- Sử dụng công cụ AutoRun Fixer đi kèm theo [FireLion] FastHelper
10 Làm sao tắt System Restore ?

Bạn nhấn chuột phải vào Mycomputer trên màn hình chọn Properties ( hoặc nhấn tổ hợp phím Winkey+ Break) sau đó vào tab System restore. bạn sẽ thấy dòng Turn off System restore. Tíc vào đó. Bạn sẽ tắt được

11: shellexecute="<Path nào đó>"// "file autorun như thế nào thi ko nhiem virus?

-Bạn thử tạo 1 file autorun.inf trên một ổ đĩa như sau:
[autorun]
shellexecute=c:\windows\system32\cmd.exe
Sau đó khởi động lại máy. Khi nhấp vào ổ đĩa đó thì cmd.exe sẽ được bật lên. Vì vậy nếu autorun.inf có chứa một path nào đó thì bạn biết chắc gần như là virus.

12: Coi  khóa [HKCU\Software\Microsoft\Windows\CurrentVersion\Run ]
- Thông thường để khởi động 1 chương trình có rất nhiều cách. dùng khóa trên là một trong những cách đó. Ngoài ra bạn có thể thêm vào thư mục startup, autoexec.bat, tạo trong task schedule, trong boot.ini, hoặc tạo 1 service...
13: Giải thích một số ký hiệu trên windows
-- Lệnh Run trong Windows --

- access.cpl : Accessibility Controls ( chương trình cơ bản có trong Win)
- hdwwiz.cpl : Add Hardware Wizard ( tự động dò tìm phần cứng)
- appwiz.cpl : Add/Remove Programs ( thêm hoặc gỡ chương trình)
- control admintools : Administrative Tools ( công cụ quản trị)
- wuaucpl.cpl : Automatic Updates ( tự động cập nhật)
- fsquirt : Bluetooth Transfer Wizard ( khởi động Bluetooth)
- calc : Calculator ( máy tính )
- certmgr.msc : Certificate Manager
- charmap : Character Map ( bảng ký tự)
- chkdsk : Check Disk Utility ( kiểm tra đĩa)
- clipbrd : Clipboard Viewer ( mở clipboard)
- cmd : Command Prompt (mở cửa sổ Dos)
- dcomcnfg : Component Services ( quản lý các thành phần )
- compmgmt.msc : Computer Management (quản lý máy)
- timedate.cpl : Date and Time Properties ( thuộc tính ngày giờ)
- ddeshare : DDE Shares ( chia sẻ DDE)
- devmgmt.msc : Device Manager ( quản lý thiết bị
- directx.cpl : Direct X Control Panel (If Installed)*
- dxdiag : Direct X Troubleshooter
- cleanmgr : Disk Cleanup Utility ( quét rác)
- dfrg.msc : Disk Defragment ( chống phân mảnh đĩa)
- diskmgmt.msc : Disk Management (quản lý đĩa)
- diskpart : Disk Partition Manager (quản lý phân vùng)
- control desktop : Display Properties
- desk.cpl : Display Properties
control color : Display Properties (w/Appearance Tab Preselected)
- drwtsn32 : Dr. Watson System Troubleshooting Utility (sử lý lỗi hệ thống)
- verifier : Driver Verifier Utility
- eventvwr.msc : Event Viewer
- sigverif : File Signature Verification Tool
- findfast.cpl : Findfast
- control folders : Folders Properties
- control fonts : Fonts
- fonts : Fonts Folder
- freecell : Free Cell Card Game
- joy.cpl : Game Controllers
- gpedit.msc : Group Policy Editor (XP Prof)
- mshearts : Hearts Card Game
- iexpress : Iexpress Wizard
- ciadv.msc : Indexing Service
- inetcpl.cpl : Internet Properties
- ipconfig /all : IP Configuration (Display Connection Configuration)
- ipconfig /displaydns : IP Configuration (Display DNS Cache Contents)
- ipconfig /flushdns : IP Configuration (Delete DNS Cache Contents)
- ipconfig /release : IP Configuration (Release All Connections)
- ipconfig /renew : IP Configuration (Renew All Connections)
- ipconfig /registerdns : IP Configuration (Refreshes DHCP & Re-Registers DNS)
- ipconfig /showclassid : IP Configuration (Display DHCP Class ID)
- ipconfig /setclassid : IP Configuration (Modifies DHCP Class ID)
- jpicpl32.cpl : ava Control Panel (If Installed)
- javaws : Java Control Panel (If Installed)
- control keyboard : Keyboard Properties
- secpol.msc : Local Security Settings
- lusrmgr.msc : Local Users and Groups
- logoff : Logs You Out Of Windows
- winchat : Microsoft Chat
- winmine : Minesweeper Game
- control mouse : Mouse Properties
- main.cpl : Mouse Properties
- control netconnections : Network Connections
- ncpa.cpl : Network Connections
- netsetup.cpl : Network Setup Wizard
- notepad : Notepad
- nvtuicpl.cpl : Nview Desktop Manager (If Installed)
- packager : Object Packager
- odbccp32.cpl : ODBC Data Source Administrator
- osk : On Screen Keyboard
- ac3filter.cpl : Opens AC3 Filter (If Installed)
- password.cpl : Password Properties
- perfmon.msc : Performance Monitor
- perfmon : Performance Monitor
- telephon.cpl : Phone and Modem Options
- powercfg.cpl : Power Configuration
- control printers : Printers and Faxes
- printers : Printers Folder
- eudcedit : Private Character Editor
- QuickTime.cpl : Quicktime (If Installed)
- intl.cpl : Regional Settings
- regedit : Registry Editor
- regedit32 : Registry Editor
- mstsc : emote Desktop
- ntmsmgr.msc : Removable Storage
- ntmsoprq.msc : Removable Storage Operator Requests
- rsop.msc : Resultant Set of Policy (XP Prof)
- sticpl.cpl : Scanners and Cameras
- control schedtasks : Scheduled Tasks
- wscui.cpl : Security Center
- services.msc : Services
- fsmgmt.msc : Shared Folders
- shutdown : Shuts Down Windows
- mmsys.cpl : Sounds and Audio
- spider : Spider Solitare Card Game
- cliconfg : SQL Client Configuration
- sysedit : System Configuration Editor
- msconfig : System Configuration Utility
- sfc /scannow : System File Checker Utility (Scan Immediately)
- sfc /scanonce : System File Checker Utility (Scan Once At Next Boot)
- sfc /scanboot : System File Checker Utility (Scan On Every Boot)
- sfc /revert : System File Checker Utility (Return to Default Setting)
- sfc /purgecache : System File Checker Utility (Purge File Cache)
- sfc /cachesize=x : System File Checker Utility (Set Cache Size to size x)
- sysdm.cpl : System Properties
- taskmgr : Task Manager
- telnet : Telnet Client
- nusrmgr.cpl : User Account Management
- utilman : Utility Manager
- firewall.cpl : Windows Firewall ( tường lửa)
- magnify : Windows Magnifier
- wmimgmt.msc : Windows Management Infrastructure
- syskey Windows System Security Tool ( công cụ bảo mật)
- wupdmgr : Windows Update Launches
- tourstart : Windows XP Tour Wizard
- write hoặc wordpad : Wordpad

14: em dùng con bpk 1.68, tron option có phần gửi mail nhưng không sao test được mặc dù đã điền smtp, địa chỉ gmail, port rất hợp lệ (theo em biết thì là như vậy...), vậy còn nguyên nhân gì khiến máy không thể gửi mail được và cách khắc phục như thế nào
- Yahoo, Gmail, Hotmail, etc ko hỗ trợ thì xài cái khác. Nếu ko xài đc thì thử các chức năng vượt lửa xem.
- Khó hơn nữa thì xài FTP đi

15: AVG và Kapersky Internet seccurity thằng nào xài tốt hơn ? e thấy cái cái này thì nó yêu cầu gỡ bỏ cái kia, tại sao?
- Kas xài tốt hơn, xài một cái thôi chứ, 2 cái nặng máy thêm
16: Theo các a thì hiện nay phần mềm diệt virus nào tốt nhất (tất nhiên là free)
- có thể dùng avast,
17: Giả sử 1 máy trong mạng Lan dính 1 em virus(ko rõ), thì có làm chậm tốc độ duyệt web,lên mạng của các máy khác ko? có con virus nào làm chậm tốc độ duyệt web không?
- Có thể lây từ máy này sang máy khác qua mạng, làm chậm tốc độ lướt web là đương nhiên.
18: sau khi em quét virus trên máy rồi thì máy vẫn dính virus
- Ngắt máy tính ra khỏi mạng (để tránh lây từ các máy khác)
- Rút các thiết bị lưu trữ USB (như Flash Drive)
- Tắt chế độ System Restore
- Khởi động vào Safe Mode
- Scan máy

19: Cho mình hỏi ! Nếu Trojan, Backdoor đã được mã hóa, các phần mềm Antivirus hay Internet Security ko kiểm tra được. Và được chèn dưới 1 đoạn mã HTML bình thường. Minh` sẽ chống như thế nào ?
- Nếu chúng được "mã hóa" đến độ antivirus không phát hiện ra thì chèn dưới một đoạn mã HTML bình thường cũng chẳng thể thực thi được. Thế nên, chẳng có gì để "chống" cả.
20: Cho em hỏi nodenable.exe có phải là trojan hay backdoor không các bác???
- Đó là chương trình crack AV nod32 . Còn có phải trojan hay backdoor hay không thì tùy vào nguồn bạn lấy crack này .

21: Bé em nhà em đem USB từ trường học về cắm vào máy nhà, sau đó ổ D và ổ E có tình trạng, các thư mục bị sao chép và có đuôi EXE. Em đã dùng Total Commander mở ổ D và ổ E để xóa các thư mục sao chép đó đồng thời xóa luôn file Autorun.inf. USB thì em đã dùng HP USB Disk Storage Format Tool để format lại. Nhưng khi vào Computer:\D hoặc \E , em lại không thấy bất kỳ thư mục nào nữa, nhưng dùng Total Commander thì lại thấy các thư mục của em lúc trước.

- Các folder của bạn đã bị virus cài thuộc tính ẩn.Bạn mở TC lên và nhấp phỉa vào folder đó rồi bỏ chọn hidden đi.Thế là lại thấy bình thường thôi.
22: Các anh cho em hỏi! Máy em bi nhiểm con virut TR/SPy.gel trojan , em đã sử dụng pm diệt virut avg rùi mà cung ko diệt dc xin các anh chỉ em cách diệt đi!

- con virut này là loại autorun nó là một dang lỗi chương trình thì phải bạn thử sài NO32 thử xem, thường thì mình bắt bằng tay
Share on Google Plus

About Vo Uu

Tác Giả là người chuyên nghiên cứu về các kỹ thuật hacking, security, marketing, là người có góc nhìn lạ và đi sâu vấn đề cũng như là một con người thẳng thắn góp ý. Nếu sử dụng bài trên blog mong các bạn dẫn lại nguồn tác giả!!! Tác Giả rất mong có sự đóng góp hội ý từ cộng đồng để cho an toàn an ninh mạng việt nam ngày càng được an toàn hơn!!

0 nhận xét:

Post a Comment