1 – Dấu hiệu nhận biết 
– Nếu bạn gặp phải trường hợp PC của mình thường hay bị tắt đột ngột dù đã active windows bản quyền. Check lỗi thì nguyên nhân bị tắt là do BSOD. Mở file dump BSOD bằng phần mềm BlueScreenView thì thấy báo lỗi ở chương trình ntoskrnl.exe bị crash. Thật tế không phải chương trình ntoskrnl.exe bị lỗi mà có thể máy tính của bạn đã dính phải 1 loại virus biến máy tính của bạn trở thành 1 con bot đào coin. 

– CPU + Ram của VPS bị chiếm dụng bởi chương trình Isass.exe (giả mạo 1 chương trình real của windows). Luôn duy trì resource của VPS/Server ở mức 80%.
Link check VirusTotal

– Ngoài ra virus có xuất hiện ở các tên khác như explorer.exe, svhost.exe,…

Mở CMD và tìm xem PID của Virus có đang mở port nào để kết nối tới máy chủ điều khiển của hacker không bằng lệnh sau: netstat -nao | findStr PID

2 – Xóa virus 
– Hacker sẽ có 2 phương thức gọi virus sau khi bị kill (sẽ update nếu phát hiện thêm). Đó là chèn thêm regedit tại: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run và HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

– Hoặc sẽ tạo 1 Task Schedule để gọi lại Virus. Task Schedule thường được dấu tại đường dẫn Task Scheduler Library/Microsoft/Windows/RAC/BackupEvent

Sau khi kiểm tra và xóa không cho virus khởi động lại thì tiến hành tìm thư mục chứa virus bằng chương trình Process Explorer. Truy cập vào phân vùng chứa Virus sau đó điều chỉnh hiện file ẩn lên. 

Tìm tên virus ở mục Search in folder 

Phải chuột để xóa nhưng không bấm Yes vội. Mở Process Explorer -> Kill Process. Sau đó mới bấm Yes. 

Leave a Reply

Your email address will not be published. Required fields are marked *