Trang Chính
Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.
I. Lời giới thiệu:
- Chào các bạn, tiếp nối 2 chủ để của [You must be registered and logged in to see this link.], [You must be registered and logged in to see this link.] hôm nay Q.Hà thay mặt nhóm King of the Dark xin phép viết tiếp tut này nhằm giúp các bạn chủ động trong cách phòng chống virus và tự mình có thể giải quyết các vấn đề liên quan đến vấn đề virus.
- Trong thực tế có rất nhiều soft theo dõi sự thay đổi hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ, định kỳ nâng cấp và đặc biệt là free.
- Q.Hà xin đưa ra một số kinh nghiệm của mình đã tích lũy được sau những lần phân tích mẫu.
II. Tổng quan về System Explorer
- Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart Security (một Fake AV nổi tiếng và khó chịu).
- Sau khi dùng System Explore để theo dõi ta được log, đọc file log này ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart Security sẽ:
+ Thêm các file:
Code:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
C:\Documents and Settings\Administrator\Application Data\Smart Security
C:\Documents and Settings\Administrator\Desktop\82.mof
C:\Documents and Settings\Administrator\Desktop\Quarantine Items
C:\Documents and Settings\Administrator\Desktop\SMSSys
C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
C:\Documents and Settings\Administrator\Recent\FW.exe
C:\Documents and Settings\Administrator\Recent\FW.sys
C:\Documents and Settings\Administrator\Recent\ddv.drv
C:\Documents and Settings\Administrator\Recent\eb.drv
C:\Documents and Settings\Administrator\Recent\fan.tmp
C:\Documents and Settings\Administrator\Recent\grid.sys
C:\Documents and Settings\Administrator\Recent\hymt.sys
C:\Documents and Settings\Administrator\Recent\kernel32.drv
C:\Documents and Settings\Administrator\Recent\ppal.dll
C:\Documents and Settings\Administrator\Recent\runddl.sys
C:\Documents and Settings\Administrator\Recent\sld.dll
C:\Documents and Settings\Administrator\Recent\sld.sys
C:\Documents and Settings\Administrator\Recent\snl2w.dll
C:\Documents and Settings\Administrator\Recent\snl2w.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
C:\Documents and Settings\All Users\Application Data\f12fb
C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat
- Sửa trang chủ của IE:
Code:
[You must be registered and logged in to see this link.]
- Tạo key khởi động:
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security "C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe" /s /d
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
- Tạo một loạt key chống cài đặt AV dạng:
Code:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAWTray.exe\Debugger svchost.exe
- Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:
+ Bước 1: Kill các tiến trình đang chạy của "em" nó:
[You must be registered and logged in to see this link.]
+ Xóa các key khởi động:
[You must be registered and logged in to see this link.]
+ Xóa file:
[You must be registered and logged in to see this link.]
+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: [You must be registered and logged in to see this link.]).
+ Khởi động lại PC và KT:
[You must be registered and logged in to see this link.]
+ Không còn dấu hiệu của Smart Security.
PS: Q.Hà biết trên diễn đàn có rất nhiều bạn đã từng sử dụng SystemExplorer và rất thành thạo về nó...bài viết này Q.Hà có tham khảo qua các bài viết trên Virus.vn và một số diễn đàn khác. Với kinh nghiệm còn hạn chế rất mong các bạn thảo luận, trao đổi và góp ý để bài viết hoàn thiện hơn, giúp ích cho thành viêm Bkav Form tốt hơn.
Xin cảm ơn các bạn!
I. Lời giới thiệu:
- Chào các bạn, tiếp nối 2 chủ để của [You must be registered and logged in to see this link.], [You must be registered and logged in to see this link.] hôm nay Q.Hà thay mặt nhóm King of the Dark xin phép viết tiếp tut này nhằm giúp các bạn chủ động trong cách phòng chống virus và tự mình có thể giải quyết các vấn đề liên quan đến vấn đề virus.
- Trong thực tế có rất nhiều soft theo dõi sự thay đổi hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ, định kỳ nâng cấp và đặc biệt là free.
- Q.Hà xin đưa ra một số kinh nghiệm của mình đã tích lũy được sau những lần phân tích mẫu.
II. Tổng quan về System Explorer
[You must be registered and logged in to see this link.]
Tác giả : Mister Group
Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
HĐH : Windows 2000/XP/Vista/7
Trang chủ : systemexplorer.mistergroup.org
Link tải:
Code:
[You must be registered and logged in to see this link.]
- System Explorer là chương trình theo dõi hệ thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các tính năng sau:
+ Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của Windows chỉ có thể hiển thị thông tin về tên chương trình.
[You must be registered and logged in to see this link.]
- Hiển thị thông tin về một chương trình cho phép biết tất cả các tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy bằng chương trình cmd của Windows.
+ Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được do có một chương trình đang chiếm giữ, nhưng lại không thể biết là chương trình nào, kết quả là không thể xóa được tập tin. Thành phần "Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao tác lại trên tập tin đó
+ Dễ dàng kiểm tra các file khả nghi thông qua [You must be registered and logged in to see this link.].
+ Kiểm tra các Sevices của hệ thống:
[You must be registered and logged in to see this link.]
+ Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.
[You must be registered and logged in to see this link.]
+ Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.
[You must be registered and logged in to see this link.]
+ Hỗ trợ đa ngôn ngữ và Plugin.
+ Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi động, các service của Windows, các driver, các connection đến hệ thống máy tính của bạn, các add-on của Internet Explorer, và chương trình Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.
III. Sử dụng System Explorer để theo dõi hành động của virus.
1. Chuẩn bị:
- Máy ảo (Q.Hà SD máy ảo VMware Workstation);
- Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.
[You must be registered and logged in to see this link.]
- Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.
[You must be registered and logged in to see this link.]
2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.
- Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt toàn bộ các chương trình không cần thiết để KQ được chính xác hơn. (Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã qua khá nhiều thông tin về sự thay đổi của hệ thống).
[You must be registered and logged in to see this link.]
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)
Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).
[You must be registered and logged in to see this link.]
- Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.
[You must be registered and logged in to see this link.]
- Bước 4: Tiến hành so sánh (Compare Snapshost):
[You must be registered and logged in to see this link.]
Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....
[You must be registered and logged in to see this link.]
- Đọc log:
[You must be registered and logged in to see this link.]
- Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).
- Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).
[You must be registered and logged in to see this link.]
- Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).
[You must be registered and logged in to see this link.]
Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng, Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ
- Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
[You must be registered and logged in to see this link.]
IV. Thực hành.Tác giả : Mister Group
Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
HĐH : Windows 2000/XP/Vista/7
Trang chủ : systemexplorer.mistergroup.org
Link tải:
Code:
[You must be registered and logged in to see this link.]
- System Explorer là chương trình theo dõi hệ thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các tính năng sau:
+ Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của Windows chỉ có thể hiển thị thông tin về tên chương trình.
[You must be registered and logged in to see this link.]
- Hiển thị thông tin về một chương trình cho phép biết tất cả các tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy bằng chương trình cmd của Windows.
+ Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được do có một chương trình đang chiếm giữ, nhưng lại không thể biết là chương trình nào, kết quả là không thể xóa được tập tin. Thành phần "Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao tác lại trên tập tin đó
+ Dễ dàng kiểm tra các file khả nghi thông qua [You must be registered and logged in to see this link.].
+ Kiểm tra các Sevices của hệ thống:
[You must be registered and logged in to see this link.]
+ Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.
[You must be registered and logged in to see this link.]
+ Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.
[You must be registered and logged in to see this link.]
+ Hỗ trợ đa ngôn ngữ và Plugin.
+ Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi động, các service của Windows, các driver, các connection đến hệ thống máy tính của bạn, các add-on của Internet Explorer, và chương trình Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.
III. Sử dụng System Explorer để theo dõi hành động của virus.
1. Chuẩn bị:
- Máy ảo (Q.Hà SD máy ảo VMware Workstation);
- Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.
[You must be registered and logged in to see this link.]
- Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.
[You must be registered and logged in to see this link.]
2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.
- Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt toàn bộ các chương trình không cần thiết để KQ được chính xác hơn. (Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã qua khá nhiều thông tin về sự thay đổi của hệ thống).
[You must be registered and logged in to see this link.]
Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)
Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).
[You must be registered and logged in to see this link.]
- Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.
[You must be registered and logged in to see this link.]
- Bước 4: Tiến hành so sánh (Compare Snapshost):
[You must be registered and logged in to see this link.]
Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....
[You must be registered and logged in to see this link.]
- Đọc log:
[You must be registered and logged in to see this link.]
- Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).
- Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).
[You must be registered and logged in to see this link.]
- Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).
[You must be registered and logged in to see this link.]
Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng, Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ
- Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
[You must be registered and logged in to see this link.]
- Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart Security (một Fake AV nổi tiếng và khó chịu).
- Sau khi dùng System Explore để theo dõi ta được log, đọc file log này ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart Security sẽ:
+ Thêm các file:
Code:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
C:\Documents and Settings\Administrator\Application Data\Smart Security
C:\Documents and Settings\Administrator\Desktop\82.mof
C:\Documents and Settings\Administrator\Desktop\Quarantine Items
C:\Documents and Settings\Administrator\Desktop\SMSSys
C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
C:\Documents and Settings\Administrator\Recent\FW.exe
C:\Documents and Settings\Administrator\Recent\FW.sys
C:\Documents and Settings\Administrator\Recent\ddv.drv
C:\Documents and Settings\Administrator\Recent\eb.drv
C:\Documents and Settings\Administrator\Recent\fan.tmp
C:\Documents and Settings\Administrator\Recent\grid.sys
C:\Documents and Settings\Administrator\Recent\hymt.sys
C:\Documents and Settings\Administrator\Recent\kernel32.drv
C:\Documents and Settings\Administrator\Recent\ppal.dll
C:\Documents and Settings\Administrator\Recent\runddl.sys
C:\Documents and Settings\Administrator\Recent\sld.dll
C:\Documents and Settings\Administrator\Recent\sld.sys
C:\Documents and Settings\Administrator\Recent\snl2w.dll
C:\Documents and Settings\Administrator\Recent\snl2w.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
C:\Documents and Settings\All Users\Application Data\f12fb
C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat
- Sửa trang chủ của IE:
Code:
[You must be registered and logged in to see this link.]
- Tạo key khởi động:
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security "C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe" /s /d
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk
- Tạo một loạt key chống cài đặt AV dạng:
Code:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAWTray.exe\Debugger svchost.exe
- Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:
+ Bước 1: Kill các tiến trình đang chạy của "em" nó:
[You must be registered and logged in to see this link.]
+ Xóa các key khởi động:
[You must be registered and logged in to see this link.]
+ Xóa file:
[You must be registered and logged in to see this link.]
+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: [You must be registered and logged in to see this link.]).
+ Khởi động lại PC và KT:
[You must be registered and logged in to see this link.]
+ Không còn dấu hiệu của Smart Security.
PS: Q.Hà biết trên diễn đàn có rất nhiều bạn đã từng sử dụng SystemExplorer và rất thành thạo về nó...bài viết này Q.Hà có tham khảo qua các bài viết trên Virus.vn và một số diễn đàn khác. Với kinh nghiệm còn hạn chế rất mong các bạn thảo luận, trao đổi và góp ý để bài viết hoàn thiện hơn, giúp ích cho thành viêm Bkav Form tốt hơn.
Xin cảm ơn các bạn!
