Phát hiện và Loại bỏ Rootkit khỏi Máy tính bằng Blacklight

Rootkits là đáng sợ và trở thành một mối đe dọa lớn hơn và lớn hơn để máy tính của chúng tôi mỗi ngày. Trước đây nếu máy tính của chúng tôi bị nhiễm một phần của phần mềm độc hại, chúng tôi chỉ cần gỡ bỏ nó và chúng tôi đã được sạch sẽ của nhiễm trùng. Bây giờ các rootkit thường đi kèm với phần mềm độc hại khác, quá trình này làm sạch thậm chí còn khó hơn. Hướng dẫn này sẽ giới thiệu cách sử dụng F-Secure Blacklight để quét máy tính của bạn để rootkit và giúp bạn loại bỏ chúng.

Sử dụng Blacklight để loại bỏ rootkit từ máy tính của bạn

Bước đầu tiên là tải xuống Blacklight. Bạn có thể tải Blacklight trực tiếp từ trang web của F-Secure tại liên kết này:

Liên kết tải về Blacklight

Một khi bạn nhấp vào liên kết ở trên, bạn sẽ được nhắc nhở về những gì bạn muốn làm với tệp. Tôi đề nghị bạn lưu các tập tin trực tiếp vào máy tính để bàn của bạn, nơi chúng tôi sẽ chạy nó từ đó. Khi tệp đã hoàn tất, bạn sẽ thấy biểu tượng tương tự như trong Hình 1 bên dưới.

Biểu tượng F-Secure Blacklight
Hình 1: Biểu tượng F-Secure Blacklight

Để bắt đầu chương trình, chỉ cần nhấp đúp chuột vào biểu tượng blbeta.exe và bạn sẽ được trình bày theo thỏa thuận cấp phép như thể hiện trong hình 2 bên dưới.

Thoa thuan Flight Securelight

Hình 2. Thoả thuận Flight Securelight

Chọn tùy chọn được dán nhãn I accept the agreement và sau đó nhấn nút Next . Bây giờ bạn sẽ được trình bày với một màn hình tương tự như trong Hình 3 bên dưới.

Bat đau quet

Hình 3. Bắt đầu quét

Để bắt đầu quét máy tính của bạn cho các rootkit có thể, nhấn nút Scan. Blacklight bây giờ sẽ bắt đầu quét máy tính của bạn cho bất kỳ tập tin hoặc quy trình ẩn. Khi quét các quy trình và tệp của bạn, nó sẽ cập nhật trạng thái của nó để phản ánh chức năng quét và nếu nó tìm thấy bất kỳ mục ẩn nào như thể hiện trong hình 4 bên dưới.

Quet he thong cua ban cho rootkits

Hình 4. Quét hệ thống của bạn cho rootkits

Khi quá trình quét hoàn tất, nút Next sẽ trở nên có sẵn và bạn nên nhấp vào nó. Nếu Blacklight không tìm thấy bất kỳ mục ẩn nào, bạn sẽ thấy một màn hình cho thấy không tìm thấy các mục ẩn nào. Sau đó bạn có thể nhấn nút Close để thoát khỏi chương trình như Blacklight đã không tìm thấy bất kỳ rootkits trên máy tính của bạn.

Nếu mặt khác, Blacklight đã tìm thấy một số mục ẩn, bạn sẽ được trình bày với một màn hình tương tự như Hình 5 dưới đây cho thấy một danh sách các quá trình và các tập tin ẩn trên máy tính của bạn.

Làm sạch các rootkit được tìm thấy bởi Blacklight

Hình 5. Làm sạch các rootkit được tìm thấy bởi Blacklight

Trong màn hình Làm sạch mục ẩn như thể hiện trong hình 5 bên trên, bạn sẽ thấy một danh sách các tiến trình và chương trình được ẩn trên máy tính của bạn. Bên cạnh mỗi tệp là một biểu tượng chỉ định loại mục đó. Những loại này được giải thích trong Bảng 1 dưới đây.

Bảng 1. Các loại khác nhau của các mặt hàng đã tìm thấy trong Blacklight

 

Biểu tượng
Sự miêu tả
Biểu tượng này đại diện cho một tập tin đang được ẩn.
Biểu tượng này đại diện cho một quá trình đang được ẩn.
Quá trình này đại diện cho một quá trình và tập tin liên quan của nó đang được ẩn.

Để gắn thẻ một tệp hoặc quy trình cụ thể mà bạn muốn dọn dẹp, bạn cần nhấp chuột trái vào mục bằng con chuột để nó được làm nổi bật, sau đó nhấn nút Rename . Khi bạn thực hiện việc này, hành động sẽ thay đổi từ None sang Rename . Khi bạn đặt một tệp tin để Rename  , bạn có thể bỏ chọn nó bằng cách nhấn nút None để bất kỳ hành động nào được thực hiện trên mục cụ thể này.

Nếu bạn muốn biết thêm thông tin về mục này, bạn có thể nhấp đúp vào nó bằng chuột. Thao tác này sẽ hiển thị một màn hình nhỏ hiển thị thông tin chi tiết hơn về tệp hoặc quá trình như vị trí của tệp tin, thông tin mô tả và thông tin công ty. Thông thường mô tả và thông tin của công ty là trống nên đừng lo lắng nếu không có gì được liệt kê ở đó.

Lưu ý rằng các rootkit có thể ẩn các quy trình và tệp tin hợp pháp. Ví dụ rootkit trong màn hình ở trên đang ẩn Explorer.EXE và Winlogon.exe cả hai đều là các tập tin và quá trình Microsoft Windows hợp pháp. Vì vậy, khi chọn các tệp mà bạn muốn đổi tên, hãy chắc chắn rằng bạn chỉ đổi tên các tệp phần mềm độc hại khi đổi tên các tệp sai có thể gây ra sự cố với cài đặt Windows của bạn. 

Sau khi bạn đã chọn tất cả các tệp bạn muốn đổi tên, bạn nên nhấn nút Next . Một màn hình cảnh báo bây giờ sẽ cho thấy rằng đổi tên các tập tin hợp pháp có thể gây Windows không hoạt động đúng cách. Nếu bạn vẫn muốn tiếp tục đổi tên các tệp, hãy đánh dấu kiểm vào hộp kiểm có nhãn tôi đã hiểu cảnh báo và muốn tiếp tụcvà sau đó nhấn nút OK . Sau đó bạn nhấn Restart Now , và sau đó nhấn nút OK một lần nữa, để khởi động lại máy tính của bạn và đổi tên các tập tin được chọn.

 

Đối với người dùng cấp cao:
Khi Blacklight đặt lại tên cho một tệp tin, nó sẽ làm điều này bằng cách thêm nó vào khoá Registry sau:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager]
“PendingFileRenameOperations”

Khi Windows khởi động nó sẽ kiểm tra giá trị Registry và xóa hoặc đổi tên các tệp được liệt kê trong giá trị này dựa trên các hướng dẫn được đưa ra. Thật không may có một số phần mềm độc hại thăm dò giá trị này và khi họ tìm thấy bất kỳ dữ liệu nào trong đó, sẽ xóa giá trị này để Windows không thực hiện thao tác mong muốn khi khởi động. Khi điều này xảy ra, bạn có thể cần phải sử dụng các phương pháp thay thế khác để xóa rootkit chẳng hạn như đĩa khởi động hoặc quá trình xóa ngoại tuyến khác.

Khi máy tính khởi động lại nó sẽ đổi tên các tập tin với một phần mở rộng .ren . Vì các tệp này không còn được tải khi khởi động, chúng sẽ trở nên hiển thị để bạn có thể xóa chúng. Ví dụ, nếu chúng ta đổi tên các tập tin:

klgcptini.dat
fux87.ini

Nó bây giờ sẽ được đặt tên:

klgcptini.dat.ren
fux87.ini.ren

Miễn là các tệp này được xác nhận là có chứa phần mềm độc hại, sau đó bạn có thể xóa chúng khỏi máy tính của mình. Đen khi thực hiện quét sẽ tạo tệp nhật ký trong cùng thư mục mà bạn đã chạy chương trình. Nếu bạn làm theo các bước trong hướng dẫn này, thư mục đó sẽ là Windows Desktop của bạn. Tên tệp của tệp nhật ký sẽ bắt đầu bằng fsbl – theo sau là dữ liệu và một số số khác. Một ví dụ là fsbl-20060518203951.log.

Một khi các tệp rootkit này đã bị xóa, bạn nên quét máy tính của mình bằng phần mềm chống vi-rút và phần mềm chống phần mềm gián điệp để loại bỏ bất kỳ tệp tin còn sót lại nào. Hầu hết các chương trình dưới đây đều có thời gian sử dụng dùng thử miễn phí hết hạn sau một khoảng thời gian nhất định.

Add Your Comment