siunhan_i2k
New member
- Xu
- 0
hic hôm trước loay hoay bị thăng hacker nó cho 1 nạm keylogg duiệ phê!!giờ cho anh em chút km 
!!
!!Dưới đây là perfect keylogger và easy keylogger
+. Với Perfect keylogger :
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : tasklist /m bpkhk.dll
Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :
INFO: No tasks running with the specified criteria.
Nếu có Keylogger màn hình sẽ hiển thị :
Image Name PID Modules Diễn giải
================ ==== ===== ====== =========
explorer*************** 468 bpkhk.dll <--- quen thuộc
DUMeter*************** 1444 bpkhk.dll <--- quen thuộc
ctfmon*************** 1548 bpkhk.dll <--- quen thuộc
acrotray*************** 1820 bpkhk.dll <--- quen thuộc
notepad*************** 1956 bpkhk.dll <--- quen thuộc
firefox*************** 2012 bpkhk.dll <--- quen thuộc
bdmcon*************** 1744 bpkhk.dll <--- quen thuộc
TOTALCMD*************** 2396 bpkhk.dll <--- quen thuộc
bpk*************** 2812 bpkhk.dll <--- nó đây rồi ( chứng tở máy bạn đã dính perfect key )
+. Với Easy Key:
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : tasklist /m Ekey.dll
Nếu không có Keylogger bạn sẽ nhận được 1 thông báo lỗi :
INFO: No tasks running with the specified criteria.
Nếu có Keylogger màn hình sẽ hiển thị :
Image Name -------- PID -- Modules ----- Diễn giải
================ ==== ===== ========
TOTALCMD*************** ----- 2040 ----- ekey.dll <--- quen thuộc
Easy Keylogger*************** -- 2340 ----- ekey.dll <--- nó đây rồi ( máy bạn đã dính Easy Key)
Mình nói thêm về cách diệt :
+, Với Perfect Key
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : taskkill /f /im bpk*************** /t
3. Tắt tất cả các chương trình đang chạy hiện thời (Explorer***************, bdswitch***************, DUMeter*************** ...)
4. Mở Explorer vào thư mục Windows\System32 xóa các tập tin bpk***************, bpkhk.dll, bpkwb.dll ...
Đã xong
+. Với Easy Key
1. Vào mục Start -> Run gõ : cmd
2. Ở màn hình Dos gõ : taskkill /f /fi "pid ge 2340" /im *
Đã xong
Lưu ý 1 chút đó là BPK có cho phép đổi tên các file bpk***************, các file .dll... nên khi các bạn không thấy file bpk*************** và bpk*.dll thì vẫn chưa thể yên tâm là trong máy ko có BPK.
Phần này nói về virus nói chung, vì vậy mang tính chất tham khảo bởi cả bài này quá dài
Nếu như bạn là người biết cảnh giác thì bạn có thể dễ dàng phòng tránh và tiêu diệt các loại Virus, Spyware nhiễm vào máy tính của mình mà không cần phải tốn tiền để mua hoặc mất thời gian download các phần mềm diệt Virus-Spyware. Bạn có thể thực hiện như sau:
1. Tắt chức năng System Restore: Mặc dù chức năng này giúp ích bạn trong việc sao lưu lại hệ thống nhưng lỡ như hệ thống của bạn đã bị nhiễm Virus thì bạn sẽ gặp khó khăn trong việc tiêu diệt chúng. Để tắt nó thì bạn vào Control Panel/System/System Restore, tiếp theo nhấp chọn vào mục Turn off System Restore on all drive.
2. Nhận diện các loại Virus trong IE: Trước khi sử dụng IE thì bạn cần phải nhận diện các loại Virus, để khi gặp chúng thì biết mà phòng tránh. Trước tiên bạn vào mục Tools/Internet Options/ Security/ Custom Level/ trong mục Security Settings, bạn chọn mục “Promt” cho tất cả các phần như là: ActiveX controls, scripts, downloading… Tiếp theo bạn vào phần Tools/ Internet Options/ Advanced, trong mục Settings, bạn đánh dấu chọn vào tất cả các mục bắt đầu bằng chữ "Check". Nếu như bạn phát hiện ra một file *************** lạ nào đó trong máy của mình thì bạn có thể vào Google hay vào trang web của Symantec hoặc McAfee để kiểm tra chúng.
3. Tắt các chương trình lạ trong Task Manager: Để biết có các chương trình lạ nào đang chạy ngoài các chương trình bạn đang dùng không thì bạn có thể nhấn tổ hợp phím Ctrl+Alt+Del. Trong phần Processes, bạn nên loại bỏ tất cả các chương trình có phần User name là SYSTEM.
4. Tắt các chức năng Services trong System Tools: Bạn nên tắt các chức năng khả nghi nào đó có thể bị nhiễm Virus hay Spyware, để tắt nó thì bạn vào Control Panel / Administrative Tools / Services thực hiện. Bạn nên chuyển các xác lập Services từ Automatic thành Manual.
5. Xóa bỏ các phần trong HKEY_LOCAL_MACHINE và HKEY_CURRENT_USER: Bạn nên xóa bỏ tất cả những gì trong hai mục này ở các mục là: SOFTWARE/ MICROSOFT/ WINDOWS/ CurrentVersion/ Run, RunOnce, RunOnceEx, RunServices.
6. Kiểm tra các file ẩn trong thực mục C:/WINDOWS/SYSTEM 32: Bạn vào thư mục này để kiểm tra xem có các file lạ nào không? Bạn chỉ cần kiểm tra ngày, tháng, tên công ty, ngày tạo… là có thể phát hiện được chúng. Nếu như bạn phát hiện ra một file lạ nào đó thì bạn tạo một thư mục mới trong phần SYSTEM 32 này và chuyển tất cả chúng vào thư mục này. Bạn nên lưu ý một số file có dạng đuôi nguy hiểm là: ***************, .FTP, .XML, TFPT####... và các file không có đuôi.
7. Nên xóa bỏ tất cả những gì trong thư mục C:/WINDOW/ PREFETCH và Emty Recycle Bin.
8. Bạn nên vào Registry để Search Virus hay Spyware (Edit/ Find). Bạn có thể tìm kiếm chúng theo từ khóa của tên Virus, hay các các dấu hiệu của chúng, ví dụ như là: 180 Solutions, Twaintec…..Khi gặp chúng thì bạn nên xóa chúng ngay.
9. Nên dùng Windows Update (https://windowsupdate.microsoft.com/) để cập nhật các bản vá lỗi cho hệ điều hành của bạn.
Một cách khác:
Đối với các loại file hình ảnh như .jpg,.bmp,.png.....và các loại file nhạc audio (.mp3,.wma,.wav,.aac....) file video(.mpg,.avi,.wmv,.asf,.rmvb.....) thì không bao giờ bị nhiễm virus
Các loại file có thể nhiễm virus như :.dat,.com,***************,.bat,.pif,.msi....thì ta đặt thuộc tính cho chúng là Read-only( chỉ đọc) và Archive( chứa đựng), còn các loại tài liệu văn bản như .doc,.txt,.rtf,.xls... nếu đặt read-only thì khi muốn chỉnh sửa sẽ rất bất tiện, ta nên sao lưu chúng thành 2 bản.
Diệt virus bằng tay
Bước 1: Kiểm tra tình trạng máy tính của mình xem thực sự có bị nhiễm virus hay sâu không?
Bạn để ý đến tốc độ máy tính xem có chậm không, khi mà mình không chạy nhiều chương trình. Có thể xem phần trăm sử dụng CPU để biết được chính xác: ấn Ctrl + Alt + Del -> Chọn Task Manager -> Chọn Performance.
Tuy nhiên có một số sâu máy tính lại phá hỏng mất chức năng Task Manager và làm theo bước trên, bạn chỉ nhìn thấy chữ Task Manager bị mờ đi và không chọn được.
Đây là dấu hiệu máy tính của bạn bị nhiễm sâu. Hoặc bạn có thể vào Start -> Chọn Run. Tại hộp hội thoại, bạn gõ chữ regedit -> chọn OK -> Không thấy xuất hiện cửa sổ mới nào -> Đây cũng là dấu hiệu máy bạn bị nhiễm sâu.
Khi đã kết luận được máy tính của mình bị nhiễm con virus hoặc sâu nào đó, bạn thực hiện tiếp bước 2.
Bước 2: Khởi động lại máy tính (restart) và chạy Windows ở chế độ Safe Mode.
Để chạy Windows Xp ở chế độ Safe Mode, khi máy tính mới khởi động lại (lúc màn hình bắt đầu hiển thị các thông số về máy tính như ở cứng, bộ nhớ RAM,...), bạn ấn liên tục phím F8, sau đó màn hình sẽ hiện ra các lựa chọn chế độ khởi động, bạn dùng phím mũi tên để lựa chọn chế độ Safe Mode.
Khi bạn khởi động tại chế độ Safe Mode này, Windows sẽ chỉ chạy các ứng dụng cần thiết của hệ điều hành mà không chạy các ứng dụng cài thêm có trong thư mục Startup, có trong chế độ chạy khi khởi động của registry. Mà đây là 2 con đường để virus và sâu được kích hoạt.
Như vậy, chạy chế độ Safe Mode để máy tính của bạn không kích hoạt virus và sâu chạy. Sau khi đăng nhập vào máy tính của bạn một cách thông thường ở chế độ Safe ode, bạn tiếp tục thực hiện bước 3.
Bước 3: Hủy bỏ các chương trình chứa sâu và virus được tự động chạy khi khởi động máy tính
Hủy bỏ trong thư mục Startup: Bạn vào Start -> Programs -> Startup -> Trỏ phải chuột vào thư mục Startup và chọn Open.
Tại cửa sổ mới này, bạn kiểm tra vào nếu thấy chương trình phần mềm nào khả nghi, lạ, bạn chưa sử dụng bao giờ, bạn xóa nó đi hoặc cut và paste sang một chỗ khác để không cho nó tự động chạy khi khởi động máy tính.
Hủy bỏ trong registry: Bạn vào Start -> Run -> Tại hộp hội thoại gõ msconfig.
Cửa sổ System Configuration Utility hiện ra và bạn chọn thẻ Startup.
Tại đây, bạn cũng kiểm tra xem có các ứng dụng nào lạ, nghi ngờ là virus thì bạn bỏ nút check tại cột Startup Item để chúng không được chạy khi khởi động máy tính.
Bạn nên đặc biệt quan tâm tới tên ứng dụng tại cột Startup Item và đường dẫn của ứng dụng tại cột Command để xác định xem đó có phải là virus hoặc sâu máy tính không. Sau khi bỏ các chương trình nghi nhiễm virus xong, bạn chọn OK. Chú ý đừng chọn khởi động lại máy tính ngay vì bạn còn phải thực hiện tiếp bước 4.
Bước 4: Xóa các file nghi nhiễm virus
ở bước 3, bạn đã có thể biết file nào nghi bị nhiễm virus và nó đang nằm ở đâu. Lúc này bạn nên tìm tới thư mục đó và Cut sau đó Paste file đó sang một thư mục tạm thời nào đó tại ổ C để lưu, phòng trường hợp sự nghi ngờ của mình là sai thì có thể khôi phục lại được.
Đồng thời có thể còn một số file bị nhiễm virus khác mà bạn có thể thấy khi quan sát trong Task Manager ở bước 1. Bây giờ bạn hãy dùng chức năng Search của Windows để tìm ra file đó và cũng Cut, Paste sang một thư mục tạm tại ổ C.
Một số file đuôi là exe với tên rất lạ nằm thư mục gốc ổ C, D thường là các file bị nhiễm virus. Hoặc các file autorun.ini, autorun.inf nằm tại thư mục gốc hoặc các thư mục khác (ngoại trừ thư mục copy dữ liệu từ đĩa CD) cũng là các file rất có thể bị nhiễm virus. Bạn chỉ cần kích hoạt các file này là máy bị nhiễm virus ngay lập tức.
Bước 5: Khởi động lại máy tính và chạy ở chế độ bình thường
Lúc này, nếu các nghi ngờ và thao tác tại các bước trên của bạn đúng. Máy tính của bạn sẽ "trong sạch" và hoạt động tốt. Tuy nhiên nếu các chức năng như Task manager, msconfig, regedit, Folder Options vẫn bị mờ hoặc không hoạt động được thì bạn nên vào website dưới đây để download các công cụ hoặc đọc hướng dẫn để khôi phục chúng: www.dougknox.com.
Lưu ý:
Do việc xác định các file bị lây nhiễm virus là quan sát của cá nhân bạn nên có thể có sự nhầm lẫn giữa file bị lây nhiễm virus và file bình thường. Vì vậy, bạn nên sao lưu các file nghi nhiễm virus ra trước khi xóa nó để có thể khôi phục khi cần thiết.
Đồng thời bạn chỉ nên làm theo các bước trên sau khi bạn đã diệt virus bằng các chương trình diệt virus mới nhất mà vẫn không hiệu quả. Chúc bạn thành công!
Cách phát hiện và diệt một số loại virus đang lây lan
Dư âm của nạn Virus nội vẫn chưa hết; và hiện nay, máy tính của các bạn có thể đang nuôi mầm mống của vài con virus như chơi. Chúng vẫn âm thầm nằm trong máy tính của bạn, vẫn khởi động cùng Windows, đang âm thầm cấu hình lại hệ thống... làm máy bạn chạy chậm đi thấy rõ và nguy cơ mất dữ liệu là vô cùng cao.
Vậy làm sao để phát hiện ra "bọn chúng" và xóa sổ chúng khỏi máy tính của bạn ? Bài viết này sẽ giúp các bạn làm được điều đó.
Một khi bạn thấy máy mình có hiện tượng lạ như chạy cực chậm, đổi mất trang chủ, mở web chậm, bị khóa một số chức năng hay đơn giản là bạn thấy dung lượng ổ đĩa tăng đột biến... thì bạn hãy nhanh chóng kiểm tra các chương trình đang hoạt động bằng cách mở TaskManager lên, tìm các file đang chạy có tên sau đây, nếu thấy chúng thì hãy "End Process" đi : SP00L*************** , ccPrxy*************** , WinCfgs*************** , SVOHOST*************** , SXS*************** , Inetsvr*************** , Update*************** ...
Sau đó, bạn hãy vào thư mục CindowsSystem32 và xóa tất cả những tập tin có tên trong danh sách nêu trên. Tiếp theo, bạn chạy ( Windows>Run) Msconfig , trong thẻ Startup , bạn bỏ chọn những điều kiểm lạ, chỉ để lại các chương trình như AntiVirus, bộ gõ, driver.
Cuối cùng, bạn hãy nhớ một điều rằng phòng còn hơn chữa, hãy cài một trình diệt Virus mạnh của nước ngoài như Norton, BitDefender , Kaspersky... trên máy và thường xuyên cập nhật danh sách virus.
