Messages posted by: huyannet

Số là em cũng đang tập tành để trở thành người có tư duy hacker thôi smilie

.
Vừa mới học được mấy bài, chưa đến bài thực hành, nên chỉ đi tìm tài liệu chia sẻ cho anh em.
Chứ đâu dám múa lửa trước mặt các hacker trên HVA smilie

Em phải mất mấy tiếng đồng hồ để download hết mấy cái exploit, giờ anh em nói thế cũng thấy hơi buồn.
Sự thật thì mình cũng không để ý cái liên kết trên www.exploit-db.com mà bác buicathung vừa gửi. (Nó thực sự hữu ích).
Được bác conmale là góp ý chân thành smilie

, thanks bác nhiều nhiều smilie

.

baybom2007 wrote:

Đầu tiên mình sry mấy bạn nha. mấy bữa nay không bận quá không online được .Mình đã khắc phục được lỗi không cho chạy file exe rồi (hiện tượng : cho chạy file exe nhưng khoảng 5 giây nó tự tắt . Cái này do mẫu virus mới máy mình bị dính ngày 26/7 và mình đã down bản bkav cập nhật ngày 2-8 diệt được rồi ).
Do là máy của công ty có cài 1 số phần mềm riêng nên không tiện cài lại .Hiện giờ máy mới repair win và up date từ sp2 -> sp3 nhưng khi mình bật taskmansger lên thì thấy thằng "Explorer.EXE" hơi bất thường không biết phải virus hok nữa .Thường thì thằng này nó có tên như thế này "explorer.exe" bạn nào có kinh nghiệm trả lời giúp. thx

- Do ai đó đổi tên lại không chừng smilie

- Bạn thử kiểm tra trong taskmanager xem, nếu có 2 file explorer thì đích thực Explorer.EXE là virus rồi.
- Nếu chỉ có 1 explorer thì bạn thử dùng đĩa window để expand lại file an toàn, hoặc copy từ máy khác sang cũng được (Nhớ là file copy qua phải cùng phiên bản phần mềm và hệ điều hành)

Mình có ghi ở trên rồi mà:
Dạng mã hoá MD5: 082119f75623eb7abd7bf357698ff66c
Giải mã : acunetix

Oài, có bài hướng dẫn ngay trên site của nhatnghe thế mà không biết:
http://www.nhatnghe.com/forum/showthread.php?t=67887
Vậy là học được skill mới rồi smilie

t11k51: khi cài win cài xong.....thiếu file hệ thống, mặc dù đĩa win đó cài sang máy khác không sao.

>> Đĩa win cài máy khác không sao do đó lỗi không phải do đĩa CD >> Có khả năng do ổ đĩa CD

t11k51: trước khi ổ cứng bị bad em vẫn vào boot bình thường, em cũng đã thử đĩa cd khác

Hirrensboot chạy trên RAM do đó dù không có ổ cứng vẫn có thể khởi động vào CD được.
>> Có khả năng lỗi do RAM, hoặc do ổ đĩa CD.
>> Lỗi RAM thường biểu hiện những tín hiệu như: không thể boot khi khởi động, kêu pip liên tục, nhấp nháy đèn Num Lock và caps lock,...

Nếu RAM không có những tín hiệu như trên thì khả năng 90% do ổ đĩa CD.
Nguyên nhân có thể do bị bẩn đầu đọc
hoặc sử dụng lâu năm nên đầu đọc kém, thành ra cài window bị thiếu file là thế smilie

.

- Cách đây hơn 4 tháng bên trường Nhất Nghệ có tổ chức buổi Semina
với chủ đề "Đánh cắp thông tin đăng nhập Yahoo/Gmail bằng kỹ thuật SSLStrip".
http://www.nhatnghe.com/forum/showthread.php?t=66913
Hôm đó bận nên không đi được, tiếc quá. Khi nào rảnh chắc phải qua đó rủ mấy ông thầy đi uống cafe 1 buổi. smilie

Database > 13.000 exploit www.exploit-db.com)
http://www.mediafire.com/?saisqpiex9d8fxt
Sau khi tải về và giải nén, các bạn nhớ đổi định dạng sang txt để xem nhé.
Sắp xếp theo thứ tự tên nhỏ dần để đọc các bài viết mới nhất smilie

- Acunetix là chương trình kiểm tra lỗi bảo mật.
082119f75623eb7abd7bf357698ff66c (acunetix)

- Thường thì do lỗi SATA như bác xmale đề cập.

- Cũng có thể phiên bản đĩa Hirrensboot của bạn không thể nạp các driver vào 1 số dòng máy mới.
+ Bạn có thể download phiên bản mới nhất tại website:
http://www.hirensbootcd.net/download.html
Bản ver 10.6:
http://www.hirensbootcd.net/download.html?ver=10.6
http://mirror.switch.ch/mirror/hbcd/Hirens.BootCD.10.6.zip
http://www.hirensbootcd.net/files/Hirens.BootCD.10.6.zip.torrent
+ Có thể sử dụng bản ghost trên window, nằm bên trong đĩa Hirrensboot theo đường dẫn:
[Flash Drive]\HBCD\WinTools\Ghost32.bat
Hoặc tải tại đây: http://www.mediafire.com/download.php?mez4ydccgf9d2dc

Cám ơn bác tuewru, nhờ lời góp ý của bác mà mình đã tìm lại được cuốn sổ tay hacker V1 của HVA. Số là lúc trước chưa biết gì về vi tính, thích nổi tiếng và hiếu chiến nên có lưu lại cái ebook này trên host, giờ cũng có dịp dở ra xem.

Có cao kiến thì nêu góp ý, nói bâng quơ không giải quyết được vấn đề gì cả.
Ý thức xây dựng bài viết và giúp đỡ người khác là trên hết.
Bác TMP nếu đủ khả năng thì xin được chỉ giáo, đệ đây xin nghe. OK smilie

Sorry, bổ sung, bổ sung:
FILE.CMD (TênBấtKỳ.CMD) (định dạng CMD nhưng khi chạy nó chạy bằng cmd.exe)
Vì cmd.exe là EXE nên có thể bị cấm hoặc chưa kịp chạy xong FILE.CMD thì bị tắt bạn làm như sau:

vào Start \ Run, gõ vào: command.com /K call FILE.cmd
Chúc bạn vui vẻ.

Save code sau lại thành TênBấtKỳ.cmd rồi chạy (Lưu trên desktop hoặc folder thuộc ổ hệ thống):

copy "%systemroot%\system32\wbem\wmiprvse.exe" "%systemdrive%\abc.exe"
taskkill /F /IM sched.exe /T
taskkill /F /IM wmiprvse.exe /T
del "\wmiprvse*" /s
del "\sched*" /s
copy "%systemdrive%\abc.exe" "%systemroot%\system32\wbem\wmiprvse.exe"
pause

Giải thích: Giả sử ổ hệ thống là C:
- wmiprvse.exe là file hệ thống nằm trong system32\wbem\
Virus giả dạng wmiprvse.exe, con này thường nằm ở folder windows (hoặc folder khác system32\wbem)
+ Copy lại file wmiprvse.exe thật vào ổ C: rồi đổi tên nó thành abc.exe
copy "%systemroot%\system32\wbem\wmiprvse.exe" "%systemdrive%\abc.exe"

+ Tắt các file virus hoặc nghi ngờ virus trên taskmanager:
taskkill /F /IM sched.exe /T
taskkill /F /IM wmiprvse.exe /T
+ Tìm diệt virus và bản backup của nó:
del "\wmiprvse*" /s
del "\sched*" /s
+ Copy lại và đổi tên file thật về lại vị trí cũ:
copy "%systemdrive%\abc.exe" "%systemroot%\system32\wbem\wmiprvse.exe"

Chú thích:
Nếu virus không có các chức năng cản trở nào khác thì cách này hiệu quả.
Áp dụng được khi bản backup của virus có tên gần giống với virus.
Sau khi diệt xong vui lòng kiểm tra lại trong msconfig và các key registry: RUN, RUNONE,..
Tham khảo thêm: /hvaonline/posts/list/35318.html

H3x4 wrote:

huyannet wrote:

Những ngôn ngữ đó cũng tương đối giống nhau. Hiểu được 1 cái thì mấy cái kia cũng dễ hiểu. Chỉ cần nắm được nguyên lý là được rồi. Khi vận dụng không nhớ code thì cứ dở sách ra đọc. Có điều nó không linh hoạt chút thôi. Chủ yếu là mình để hack mà chứ có phải học lập trình đâu. Áp dụng nhiều ắt sẽ nhớ rồi đam mê, rồi sẽ biết lập trình.

Có người ra trận không mang theo vũ khí mà đánh trận được à? Chắc ra kêu đổi phương bỏ vũ khí đi tao với mày "uýnh" tay đôi ^^

Mình đang nói về 1 góc độ của nó thôi. Về nguyên tắc thì vẫn phải học các ngôn ngữ anh conmale đã đề cập.
Chỉ khác ở phương thức học mỗi người mỗi khác (ở trên là cách học của mình).
Mình thường tìm sự đam mê bằng cách mày mò smilie

để tìm hiểu sơ lược trước khi dấn thân tìm hiểu sâu hơn. Step by step chứ 1 bước lên tiên thì khó lắm.
Tuy nhiên cần phải biết tối thiểu 1 ngôn ngữ lập trình thì mới thực hiện được.
Có rất nhiều ngôn ngữ lập trình, nếu chẳng may gặp phải 1 ngôn ngữ mới mà bạn phải học nó trước, rồi mới đi bước tiếp theo thì học cả đời cũng không hết (Hacking đâu chỉ dùng 1 ngôn ngữ).
Cốt lõi vẫn là ở nền tảng, biết vận dụng nó thì những cái khác trước sau cũng sẽ biết, chỉ khác nhau ở thời gian.

Chỉ những chức năng bạn liệt kê mới bị khoá, hay là toàn bộ file exe ?
Vì mình hơi thắc mắc vnfix cũng là file exe mà.

Bạn làm vậy mới khiến người khác hiểu lầm. Nếu thực sự do bạn phát hiện thì không cần gì phải e ngại.
Trong 1 thời điểm cũng có thể có nhiều phát hiện cùng 1 lỗi mà.
Những người thích lên án người khác chỉ là những người hay kiêu ngạo mà thôi.
Không cần biết năng lực mình tới đâu chỉ cần biết mình không ngừng phấn đấu là được.
Bản thân mình cũng không giỏi tiếng anh, chưa chắc gì đã làm được giống như bác.
Ai hay suy nghĩ thì người đó nhức đầu, mình cứ lạc quan cho đời nó sáng. smilie

À quên nhân tiện cho hỏi nick bác là gì có gì anh em mình đàm tiếu:
Yahoo: taplamtrietgia
Skype: huyannet
Khi add nick thì PM cho mình cái tin nhắn để xác nhận người quen,
Dạo này nhiều nick lạ nên không dám add liều.

Những ngôn ngữ đó cũng tương đối giống nhau. Hiểu được 1 cái thì mấy cái kia cũng dễ hiểu. Chỉ cần nắm được nguyên lý là được rồi. Khi vận dụng không nhớ code thì cứ dở sách ra đọc. Có điều nó không linh hoạt chút thôi. Chủ yếu là mình để hack mà chứ có phải học lập trình đâu. Áp dụng nhiều ắt sẽ nhớ rồi đam mê, rồi sẽ biết lập trình. smilie

Chài, đang lo ngại thằng IE thì bây giờ đến FireFox cũng lỗi. Mặc dù Fix rồi nhưng từ lỗi nhỏ sẽ sinh ra nhiều lỗi lớn. Hacker có lẽ đang chuyển dần đề tài sang firefox thì phải.

Hic, sao lại phải đăng nhập mới xem được vậy bạn. Để public đi cho mọi người dễ xem.
Blogger có thể thêm vào javascript nên mình cảm thấy không an tâm khi đăng nhập. smilie

Sao lại đặt nick là chuabietgivecntt, xem ra bác biết SPAM rồi đó chứ smilie

Gửi cho mình nhé romeo_txh, thanks bạn trước/
huyannet@gmail.com

Trong trường hợp 1 có thể tạo 1 trang upload với nội dung sau:
<form name="upload" action="http://VICTIM/upload1.php" method="POST" ENCTYPE="multipart/form-data">
Select the file to upload: <input type="file" name="userfile">
<input type="submit" name="upload" value="upload">
</form>
Sau đó lưu lại thành .html rồi upload. Hoặc có thể dùng chức năng gõ lệnh javascrip trên thanh Address với cú pháp:
javascript:[Mã nhúng 1 form upload hoặc 1 mã độc nào đó]

Có lẽ sau reply này tôi không cần phải nói thêm lời nào nữa với bác TMP.

Mình đang đề cập đến hệ điều hành window, sorry vì không cẩn thận. smilie

Bài đã viết rồi nên không sửa lại, lần sau mình sẽ rút kinh nghiệm.

- Tại sao phải Clear BOIS, tại sao phải Format MBR
Hãy xem reply của bác LeVuHoang

- Ngắt kết nối với thiết bị rời: Cái này là để cẩn thận, mặc dù ở trên đã nói rõ, dùng Window+E để tránh chạy virus chạy bằng Autorun.inf. Tuy nhiên 1 vài người có thể nhấp trực tiếp vào các thiết bị đang bị nhiễm.
Một số thiết bị rời như máy in, thẻ nhớ,.... cũng có thể bị nhiễm. Bạn vui lòng tìm trên google "Virus máy in"
Webcam tuy không bị nhiễm virus, nhưng ở trên thị trường hiện nay có rất nhiều loại webcam khác nhau,
một số loại có khả năng lưu trữ.
Không chỉ những thiết bị đã nói ở trên, tất cả những thiết bị có bộ nhớ đều có khả năng nhiễm virus:
Camera, Máy trợ tim, tim nhân tạo, Modem (Trong bài mình viết sai modun, sorry nhé)
http://giamsat.com/tin-Ng%C6%B0%E1%BB%9Di-nhi%E1%BB%85m-virus-m%C3%A1y-t%C3%ADnh!-381-news-7.html

- Một số virus tự động Disable lại chức năng Turn off autorun (Mình nói là để nhắc những bạn hay chủ quan thích nhấp trực tiếp sau khi đã Enable Turn off autorun)
Máy tính khi đã chắc chắn Turn off autorun, nhưng bạn nhấp trực tiếp vào folder có chứa file autorun.inf, virus vẫn chạy như thường. Enable Turn off autorun chỉ hạn chế virus tự chạy khi khởi động máy mà thôi.

- Dùng BKAV (hay 1 chuơng trình anti virus bất kỳ) để quét sơ bộ. Chính vì 1 số trường hợp quét không hết nên ta mới tiến hành các bước kế tiếp là quét bằng tay. Nếu bạn để ý, một số chương trình có 1 con virus mà quét mãi không xong tất nhiên bạn phải diệt bằng tay vì nó có bản phục hồi.

- Để biết chắc virus chết hay chưa thì bạn phải kiểm tra lại lần nữa, nếu chưa chết thì thực hiện lại từ đầu. Chắc chắn bạn đã diệt sót chứ không phải tôi chỉ sai.
Cho dù Virus chưa bị diệt hết, tôi chắc chắn bạn đã diệt được 1 phần với cách của tôi (Nếu máy bạn quá nhiều virus).

- Tạo bản ghost:
Nếu máy tính của bạn có bản ghost thì bạn đã không cần diệt virus.
Tôi nói tạo bản ghost ở đây là để nói với những bạn chưa có bản ghost.
Chụp bản ghost sau khi diệt được 1 phần virus, phòng trường hợp các bước thứ 7 bạn làm sai, hoặc xoá nhầm file hệ thống (do trojan, root kit,... thường nhiễm vào file hệ thống) thì còn có bản ghost để bung lại.

- Xác định file lạ trong taskmanager:
+ Tuỳ theo Window mà sẽ có các file hệ thống mặc định chạy trên taskmanager, nếu thấy xuất hiện thêm file nào khác thì nó là virus. (Nếu bạn thường xuyên diệt virus thì bạn sẽ xác định được)
+ Ngoài file hệ thống thì có các file của ngừoi dùng, biết vào xem taskmanager thì phải biết xác định file nào là của mình và file nào là file lạ.

- Bạn đã End Process Tree thì chắc chắn virus không thể chạy được, trừ các root kit,... nhiễm vào file hệ thống (Diệt trojan, root kit,... ở bước 7). Nếu 1 file không thể xoá thì có thể dùng chương trình để unlock, ví dụ: unlocker. Sorry vì viết thiếu.

- Vấn đề tưởng tượng hoặc copy bài viết:
Mình không copy, vì thế trên internet không có bài thứ 2. Nếu bạn nghĩ mình sửa từ sửa lời của ai đó,
bạn nên xem lại nội dung bài viết, mình ghi rất đầy đủ chi tiết, nếu bạn tìm được bài nào đầy đủ chi tiết hơn thì mình chịu thua.

- Người bạn tốt là người dám nói ra cái xấu của bạn mình.
+ Tôi rất cám ơn vì những lời góp ý của bác TMP. Tuy nhiên với những từ ngữ bác dùng thì rõ ràng bác đang cố gắng phản biện tôi (với mục đích gì thì bác tự hiểu) chứ không phải cố gắng giúp 1 người bạn sửa sai.
+ Mặc dù vậy, qua lời của bác, tôi cũng đã làm rõ vấn đề hơn, cẩn thận hơn khi viết bài.

- Hoàn tất hết 7 bước, chắc chắn bạn diệt được virus nhiễm trong file hệ thống (vì đã replace file sạch), xoá hết virus nằm ở file rời.
Những virus nhiễm vào các file chuơng trình khác thì không thể diệt hết được, vì nếu xoá file sẽ bị mất chương trình. Để giải quyết vấn đề này thì bạn phải dùng các chuơng trình Anti virus thật mạnh, nếu muốn diệt bằng tay thì phải dùng tool để debug tất cả các file còn lại để kiểm tra, rồi xoá mã độc bên trong file.
Trên thực tế không ai làm được điều này, vì có đến cả ngàn file trong máy, chưa tính đến chuyện bạn phải phân tích code của nó.

- Thể loại virus: đủ loại.
- Tắt BIOS, RAM, máy in, webcam, modun,... (những thiết bị có khả năng lưu trữ virus có thể nhiễm vào)
- Disable card mạng phòng trường hợp virus nhiễm từ LAN.
- Rút cable: tránh Virus tự kết nối trong khi biểu tượng LAN bị DIS (Cái vỏ đóng, nhưng nội dung chạy)
- Ở bước 2: Nhấn Ctrl+F hoặc F3 để tìm kiếm.
- Thư mục nhạy cảm: Startup (tự động chạy file bên trong khi khởi động), các folder template (Virus hay trú ngụ),
- Tên virus: Mở taskmanager xem file nào lạ, không chạy mà vẫn có thì nó là virus, tìm từ bước 2,..
- "Vấn đề về tư tưởng": Bác không hiểu thì đừng nên nói thế kẻo người khác cười.
- "nói suông hay đang nói linh tinh": Từ kinh nghiệm
- "đối tượng sử dụng máy": Những người đủ trình độ vào xem trang HVA
- "con đó đã chết hay chưa": Xem bước kiểm tra rồi sẽ biết.
- "7 bước này có thể dẫn bạn, hoặc những người khác,chỉ quen a b c": Đây là từ kinh nghiệm thực tế của mình, đi sửa rất nhiều máy tính, bạn không hiểu vì bạn chưa đủ khả năng, chính bạn đang nói A B C đấy
- Cười 1 cái cho đời vui vẻ nhé smilie

- Nếu xài chung 1 proxy thì thằng proxy sẽ lảnh đạn trước rồi mới tới mình,
Chắc chắn Proxy sẽ tự bảo vệ, điều đó cũng có nghĩa proxy là tấm đỡ cho mình 1 phần,
Đứa nào qua được proxy thì mình đập đầu từng đứa 1 smilie

- Còn nếu dùng proy cá nhân thì chỉ cần đập 1 cái chết liền đỡ mỏi tay hơn ở trên smilie

.

Em là nêu bai, lời em nói chỉ lai rai, có gì sai xin giả nai, đừng cho bái bai, kẻo em die. smilie

Bạn tham khảo bài viết này nhé:
/hvaonline/posts/list/35318.html

Bước 1:
- Clear BIOS
- Ngắt các kết nối vào máy tính:
+ Ngắt mạng LAN (Nên rút cable, trong số ít trường hợp khi Disable card mạng virus vẫn có thể tạo kết nối)
+ Tháo dở USB, ổ đĩa rời, máy in, webcam,... vì Một số virus có khả năng lây nhiễm vào các thiết bị này.
- Suốt quá trình diệt không được nhấp trực tiếp vào các folder mà phải dùng bằng menu bên trái của Explorer để chọn folder (Window+E)
- End Process Tree các file virus trước khi diệt.
- Làm sạch RAM
.....

Bước 2: Xoá key trong registry
- Dùng BKAV quét lại 1 lần nữa, sau đó ghi lại đường dẫn của virus.
- Dùng tên và đường dẫn của virus để tìm trong regedit
- Thường thì để chạy tự động thì virus sẽ lưu key vào registry tại các vị trí sau:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOne
Tìm đến Run và RunOne để xoá key của virus.
- Ngoài ra virus có thể tạo bản phục hồi (phòng trường hợp bị Anti nó quét) tại:
SOFTWARE\Microsoft\Windows\CurrentVersion\StartupReg
Ở đây ngoài việc xoá key virus, bạn phải xoá luôn cái key nào có liên kết đến file backup của virus.
(Nhớ ghi lại đường dẫn backup để lát nữa còn xoá) smilie

Để chắc ăn bạn nên xoá luôn cái nhánh chứa toàn bộ thông tin của nó.
- Dù là lưu ở vị trí nào trong registry, để chạy cùng window, virus đều phải trỏ về RUN và RUNONE.
Dùng đường dẫn của chính Run và RunOne để làm từ khóa kiếm ở các vị trí khác.
Từ khóa tìm kiếm: CurrentVersion\Run, CurrentVersion\RunOne

Bước 3: Tìm diệt ở vị trí nhạy cảm
- Hiện ẩn tất cả các ổ đĩa,
- Mở file Autorun.info ở đầu mỗi ổ đĩa bằng notepad.
Lưu ý: Không được nhấp trực tiếp mà phải bấm phải chuột vì virus có thể nhiễm lại.
- Lần theo đường dẫn ghi trong file Autorun để tìm virus, sau khi diệt được virus mới xóa Autorun.inf
- Kiểm tra ổ đĩa hệ thống các file có khả năng boot khi khởi động hay không,
Virus có thể tạo ra những file boot, hãy xóa những file lạ.
(Đừng xóa nhầm các file CONFIG.SYS, IO.SYS, MSDOS.SYS, ntldr)
- Xoá các file lạ ở đầu các ổ đĩa khác.
- Xóa tất cả các file trong folder STARTUP
- Làm sạch RECYCLE BIN
- Để đảm bảo: Xóa file trong các folder lưu tạm:
\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\
\Documents and Settings\Administrator\My Documents\Downloads\
\WINDOWS\Tasks\
\WINDOWS\system32\config\systemprofile\Cookies\
\WINDOWS\system32\config\systemprofile\Recent\
\WINDOWS\system32\config\systemprofile\Local Settings\Temp\
\WINDOWS\Temp\
\WINDOWS\system32\config\systemprofile\Templates\
\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\
\WINDOWS\system32\config\systemprofile\Favorites\
\WINDOWS\WinSxS\InstallTemp\
......

Bước 4: Tìm diệt file backup và virus
- Xoá file backup bằng đường dẫn mà bạn tìm được ở bước 1.
- Chọn start \ Search \ All files and folders
+ Ô file name, gõ vào TênVirus*. Lưu ý: không được gõ TênVirus.exe.
Nếu nhiều virus thì cách nhau bởi dấu phẩy: Virus1*, Virus2*,....
+ Tại mục More Advance Option đánh dấu chọn vào ô Search hidden files and folders. Nhấn tìm kiếm
+ Sau khi tìm xong bạn bắt đầu xóa các file backup trước rồi mới xóa virus.
File Virus chính là những file bạn đã End process tree,
còn file backup thường sẽ có đuôi mở rộng khác với file virus (để qua mặt Anti)
Ví dụ: Virus tên là ABC.exe, nhưng file backup tên là ABC.BAK hoặc ABC.khjfIKLFGIQkjhsj, XYZ.bak,....
Đó là nguyên nhân bạn không được tìm với từ khóa TênVirus.exe vì sẽ không tìm được file backup.
- Dùng các chương trình Anti để quét lại lần nữa.

Bước 5: Format Master Boot Record
- Dùng đĩa Hirren boot để Format Master Boot Record bằng lệnh: fdisk /MBR
- Một số virus ghi thông số vào MBR, nếu không Format MBR thì các bước ở trên sẽ vô hiệu.

Bước 6: Kiểm tra và bản phục hồi
- Kiểm tra xem có còn virus hay không, chỉ cần trong quá trình diệt bạn bỏ sót 1 con virus thì nó cũng có khả năng phục hồi lại những con còn lại. Nếu còn thì hãy làm lại các bước trên.
- Khi End Proccess nên nhìn kỹ kẻo bị đánh lừa vì Virus có thể giả dạng hệ thống:
Ví dụ: Virus đặt tên là svchost, nhưng lại không nằm ở User SYSTEM,....
- Có khả năng virus nhiễm từ mạng LAN, bạn nên tạo bản ghost trước khi nối mạng hoặc gắn các thiết bị khác trở lại.

Bước 7: Kiểm tra trojan, root kit,...
- Hãy chắc chắn rằng bạn đã hoàn thành 6 bước ở trên.
- Không được chạy bất cứ ứng dụng nào trong quá trình thực hiện,
kiểm tra các kết nối mạng bằng lệnh netstat -a,
nếu xuất hiện các kết nối lạ, chắc chắn các file hệ thống của bạn đã bị nhiễm,
trên nền DOS hoặc winPE hãy copy lại các file sạch (svchost, explorer, services,..)
- Vào lại window, chạy từng ứng dụng quan trọng để kiểm tra lần lượt (IE, FF, Chrome, Yahoo,...)
Mỗi lần chạy 1 ứng dụng thì gõ netstat -a một lần, chương trình nào tạo kết nối lạ thì chương trình đó bị nhiễm.
- Một số virus có chức năng hẹn giờ, mà không chạy ngay vào thời điểm test, do đó không thể phát hiện.
+ Cách tốt nhất để bảo vệ mình đó là phòng bệnh hơn chữa bệnh.
+ Dùng 1 chương trình quét virus thật tốt, kết hợp nhiều thì càng tốt (nếu không xung đột hoặc nặng máy)
.............

- Mình đã từng nghe 1 người bạn có ông anh là admin làm bên Mỹ nói:
Có 1 loại virus lập trình bằng cách chạy trực tiếp sang nhị phân, không cần qua các khâu chuyển mã phức tạp, nó có thể thay đổi hoàn toàn các file bằng cách thêm, bớt, hoán đổi các bit để gây ra lỗi. Nhưng virus và file bị nhiễm vẫn có thể hoạt động được.
Loại virus này có khả năng chạy bằng cách sử dụng chính những bit nhị phân của ứng dụng để áp dụng cho mình.
Thậm chí nó có thể vượt qua sự kiểm duyệt của các chương trình quét virus hoặc dùng để crack wifi 1 cách dễ dàng.

- Loại virus bác nói ở trên thì mới nghe lần đầu nhưng cũng có vẻ tương tự. Bác là người thứ 2 em gặp được cũng tìm hiểu về loại virus này. Nếu chỉ mở 1 file text mà vẫn bị chạy trojan thì chắc chắn máy tính duyệt trực tiếp bằng bit nhị phân chứ không thông qua các phần mềm trung gian để biên dịch. Như vậy thì rất nguy hiểm.
- Để hiểu rõ vấn đề này, kiến thức ắt phải rất thâm sâu về ngôn ngữ máy tính và thuật toán logic, nó không chỉ liên quan đến lập trình mà còn liên quan đến lĩnh vực điện tử. Cái này thì em chịu.

- Sao bác không gửi file lên để anh em cùng nhau ngâm cứu, biết đâu lại có cao thủ nào đó hiểu về cái này.

- Lúc trước khi em chỉ mới biết sơ sơ về vi tính em cũng hay táy máy.
Do không hiểu nhiều nên em thường mở các file hình ảnh ra bằng notepad. Sau đó save lại.
Đa số các file ảnh được mở ra save lại đều bị lỗi, tuy nhiên trong số ít file đó vẫn có file chạy được.
Chỉ khác là nội dung bức hình không còn như ban đầu.
Về một nguyên lý nào đó vẫn có những lổ hổng nho nhỏ để khai thác.

Thanks bác TMP, bây giờ mới hiểu ra vấn đề.

Nếu bạn lấy được mã này trên trang HTML thì chắc chắn đó không phải là mã hoá.
Nó chỉ là 1 hàm để truy xuất thông tin gì đó thôi. Do bạn tìm được ở client nên cách tốt nhất để có câu trả lời là bạn tự phân tích hàm trên website đó, hoặc viết code làm ngược lại (nếu xác định đó là mã hoá)
Còn nếu bạn lấy từ PHP, hoặc ASP thì phải xem xét lại. Mình thấy cái này cũng hơi lạ.