Virus Win32:Kavos Virus Kavo khiến Yahoo! Messenger tự “kết thúc”, Quản Trị Mạng đã tìm hiểu và đưa ra cách thức giúp bạn đọc nếu nhiễm phải con virus này có thể "bắt" và xóa nó bằng tay hoặc dùng phần mềm diệt virus hỗ trợ.

Cách diệt virus Kavo bằng phần mềm ClamWin Free Antivirus

Tải ClamWin Free Antivirus và cài đặt trên máy tính, đến màn hình Select Components, nếu không muốn tích hợp phần mềm vào Outlook và Widows Explorer thì bạn có thể bỏ tích chọn, rồi nhấn Next.

Sau khi cài xong, bạn nhấp vào biểu tượng phần mềm trên desktop để mở, bạn sẽ được nhắc tải dữ liệu virus mới nhất trwóc khi vào giao diện chính của phần mềm.

Bạn nhấn phím Shift và chọn tất cả các ổ đĩa hiện ra rồi nhấn phím Scan.

Phần mềm sẽ tiến hành quét máy tính, phát hiện và loại bỏ virus Kado, cũng như những malware khác trên máy tính.

Cách xóa virus Kavo thủ công

1. Chạy Task Manager

Bấm chuột phải vào thanh Taskbar ở dưới góc phải màn hình, chọn Task Manager, bạn sẽ thấy hiển thị ra cửa sổ của Task Manager

Hình 1: Chạy Task Manager

Tắt bỏ WScript.exe & Explorer.exe nếu 2 chương trình này đang chạy

Hình 2: Đóng wscript.exe

Hình 3: Đóng explorer.exe

2. Xóa bỏ các file Autorun.infĐặc điểm của con Kavo này là sinh ra các file Autorun nằm trong các thư mục gốc của các ổ đĩa cứng. Các file này giúp cho virus được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng. Để tránh việc tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun trong thư mục gốc của các ổ (Ở máy của tôi là ổ C, D, E)

Trong cửa sổ Task Manager bạn chọn File > New Task (Run...)

Hình 4: Mở hộp thoại run để thi hành 1 chương trình

Màn hình sẽ thị hộp lệnh Run, bạn gõ cmd để mở màn hình console, thực hiện các lệnh DOS

Hình 5: Chạy lệnh CMD

Trong console bạn lần lượt thực hiện các lệnh sau đây:

Hình 6: Màn hình Consonle để thi hành các dòng lệnh

DEL c:\autorun.* /f /a /s /q DEL d:\autorun.* /f /a /s /q DEL e:\autorun.* /f /a /s /q

3. Xóa bỏ virusTrong cửa sổ console bạn gõ các lệnh sau:

CD c:\windows\system32 DIR /a avp*.*

Bạn sẽ thấy hiển thị các file avpo.exe hoặc avpo0.dll

Tiếp tục gõ

ATTRIB -r -s -h avpo.exe DEL avpo.exe

hoặc

ATTRIB -r -s -h avpo0.dll DEL avp0.dll

Tiếp tục gõ

DIR /a kavo*.*

Nếu xuất hiện 1 hoặc các file kavo.exe và kavo0.dll hay kavo1.dll

Thực hiện các lệnh xóa

ATTRIB -r -s -h kavo.exe

DEL kavo.exe

ATTRIB -r -s -h kavo.dll DEL kavo.dll

ATTRIB -r -s -h kavo1.dll DEL kavo1.dll

Tiếp tục gõ trong console

CD\ ATTRIB -r -s -h ntde1ect.com DEL ntde1ect.com

4. Chỉnh sửa Regedit

Trong cửa sổ Task Manager, Chọn File > New Task (Run...) (Hình 4)

Hiển thị hộp lênh Run, bạn gõ regedit

Hình 7: Thi hành chương trình Regedit

Hình 8: Cửa sổ regedit

Hình 9: Xóa avpo.exe

Bạn vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

Trong panel bên trái của cửa sổ Regedit, nếu trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi

Kết thúc quá trình, bạn khởi động lại máy.

Vào lại windows, nếu chưa thấy hiển thị các file ẩn (do ảnh hưởng của virus) bạn có thể tải file Windows Registry sau về và chạy nó https://quantrimang.com/data/fixHiddenFiles.reg

Nó cung cấp một trình quét đa luồng linh hoạt và có thể mở rộng, trình quét dòng lệnh và nó có thể phát hiện Trojan horses, virus, phần mềm độc hại và các mối đe dọa độc hại khác. Nó cũng đi kèm với một công cụ tiên tiến để cập nhật cơ sở dữ liệu tự động qua Internet.

Bài viết này sẽ hướng dẫn bạn cài đặt và cấu hình ClamAV trên máy chủ web dựa trên DirectAdmin.

Lưu ý: Hướng dẫn này giả định rằng bạn đã quen với SSH và điều hướng dòng lệnh cơ bản. Các hướng dẫn này áp dụng cho các quản trị viên vận hành Máy chủ riêng ảo hoặc Máy chủ chuyên dụng.

Lưu ý: Cần có quyền truy cập cấp root, nếu không bạn sẽ không thể thực hiện các lệnh bên dưới

1. Cài đặt Clamav

Đăng nhập với quyền root và nhập các lệnh sau. Điều này sẽ bao gồm ClamAV trong cấu hình CustomBuild và biên dịch ClamAV:

cd /usr/local/directadmin/custombuild

./build update ./build set clamav yes ./build set clamav_exim yes ./build set exim yes ./build set eximconf yes ./build set eximconf_release 4.5 ./build clamav ./build exim ./build exim_conf

Trong trường hợp bạn gặp lỗi sau khi thử khởi động ClamAV:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

hoặc một lỗi liên quan khác:

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

Lỗi này đơn giản là cơ sở dữ liệu virus không thể được tìm thấy. Bạn có thể xây dựng lại cơ sở dữ liệu bằng cách sử dụng:

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

2. Cấu hình Clamav

Chỉnh sửa exim.conf và thêm vào sau "primary_hostname =":

av_scanner = clamd:127.0.0.1 3310

Bỏ qua bước trên nếu bạn đang chạy CustomBuild 2.0, vì nó bổ sung điều này cho bạn trong tệp sau:

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

3

Trong exim.conf tìm "check_message:", và sao chép trên dòng tiếp theo các chỉ thị ClamAV bên dưới:

deny message = This message contains malformed MIME ($demime_reason) demime = condition = ${if >{$demime_errorlevel}{2}{1}{0}} deny message = This message contains a virus or other harmful content ($malware_name) demime = malware = */defer_ok deny message = This message contains an attachment of a type which we do not accept (.$found_extension) demime = bat:com:pif:prf:scr:vbs warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus

Khởi động lại exim:

/etc/init.d/exim restart

Bắt đầu ClamAV daemon lần đầu tiên

service clamd start (stop / restart)

Kiểm tra xem Clamd có chạy không:

netstat -tap | grep clamd

Mà sẽ cho một đầu ra tương tự như thế này:

tcp 0 0 localhost.local:dyna-access : LISTEN 4405/clamd

3. Kiểm tra Clamav

Đôi khi, cơ sở dữ liệu virus ClamAV bị hỏng sau khi cập nhật. Điều này ngăn daemon ClamAV chạy. Kịch bản tùy chọn bên dưới đảm bảo rằng:

1. Daemon ClamAV đang chạy
2. Trong trường hợp không, cố gắng thử khởi động lại daemon
3. Nếu daemon không hoạt động, nó sẽ xóa cơ sở dữ liệu virus và tải xuống cơ sở dữ liệu mới.
4. Thử khởi động lại daemon
5. Nếu tất cả đều không thành công, một email sẽ được gửi đến địa chỉ email được cung cấp trong tập lệnh

1. Tạo tập tin thử nghiệm

Đầu tiên, tạo một tập tin thử nghiệm giả. Đây là một tệp trống mà clamd sẽ sử dụng để quét trong quá trình kiểm tra:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

0

2. Tạo kịch bản shell

Tạo một tập tin với tên "clamdcheck". Tập tin này sẽ chứa tập lệnh shell được sử dụng để kiểm tra ClamAV. Sử dụng:

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

4 hoặc

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

5. Tập tin này nên được đặt trong

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

6 directory. Thêm tập lệnh bên dưới và lưu tệp khi hoàn tất:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

1

Đảm bảo rằng các đường dẫn là chính xác và bạn đã đặt địa chỉ e-mail chính xác của mình để cảnh báo trong trường in đậm.

Đừng quên kiểm tra:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

2

3. Cài đặt Cronjob

Cron là một trình nền lập lịch biểu sẽ chạy các chương trình và tập lệnh vào các thời điểm hoặc khoảng thời gian tùy ý. Chúng tôi cần thiết lập một Cronjob để đảm bảo tập lệnh của chúng tôi chạy theo một khoảng thời gian định kỳ (đừng đặt nó quá thường xuyên vì một quy trình Freshclam hoàn chỉnh sẽ mất một thời gian để hoàn thành):

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

3

Điều này sẽ đưa bạn vào trình soạn thảo mặc định của bạn. Thêm cronjob:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

4

Sử dụng các cài đặt này cứ sau nửa giờ thì cronjob chạy. Đảm bảo lưu tệp và thoát

Để hiển thị tất cả các cronjobs:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

5

4. Cập nhật cơ sở dữ liệu virus cho Clamav tự động

Bạn có thể thêm một cronjob khác để cập nhật CSDL virus tự động:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

3

Mã dưới đây đặt ví dụ cronjob để thực thi hàng ngày, vào lúc 5 giờ 38 phút sáng:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

7

5. Một số lệnh tùy chọn quét bằng tay

Để kiểm tra tất cả các tệp trên máy tính, hiển thị tên của từng tệp:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

8

Để kiểm tra tất cả các tệp trên máy tính, nhưng chỉ hiển thị các tệp bị nhiễm và rung chuông khi tìm thấy:

[root@server ~]# /etc/init.d/clamd start Starting clamd: LibClamAV Error: cli_loaddb(): No supported database files found in /usr/share/clamav ERROR: Can't open file or directory

                                                      [FAILED]

9

Để kiểm tra các tập tin trong tất cả các thư mục nhà của người dùng:

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

0

Để kiểm tra các tệp trong thư mục nhà USER và di chuyển các tệp bị nhiễm sang thư mục khác:

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

1

Để kiểm tra các tệp trong thư mục chính của USER và xóa các tệp bị nhiễm (CẢNH BÁO: Các tệp đã biến mất.):

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

2

sẽ quét thư mục nhà của người dùng và xuất kết quả ra tệp đã chỉ định. Tùy chọn -i được sử dụng để chỉ báo cáo các tệp bị nhiễm.

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

3

Khi sử dụng --exclude setting bạn có thể loại trừ các thư mục con khỏi quá trình quét.

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

4

Khi sử dụng --remove chuyển đổi bạn có thể loại bỏ các tập tin bị nhiễm bệnh.

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

5

6. Mẹo với screen session

Khi chạy quét chiều dài, rất thuận tiện để khởi động screen session. Một screen session có thể được khởi động lại trong trường hợp bạn mất kết nối SSH, do lỗi kết nối hoặc hết thời gian của phiên.

Để bắt đầu screen session, hãy nhập screen, theo sau là lệnh clamscan mà bạn yêu cầu (xem phần tùy chọn quét để biết cú pháp chính xác):

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

6

Bạn có thể tách ra và đính kèm phiên màn hình. Trong trường hợp bạn bị mất kết nối, bạn sử dụng các lệnh sau để kết nối lại.

Liệt kê các phiên màn hình có sẵn.

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

7

Bây giờ bạn có thể đính kèm bằng cách sử dụng sau đây.

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

8

hoặc

LibClamAV Error: cl_load(): Can't get status of /usr/share/clamav

9

Bạn sẽ nhận được kết quả quét vào cuối. Chỉ các tập tin bị nhiễm sẽ được liệt kê. Bạn có thể tìm thấy các tập tin trong tập tin /var/log/clamscan.log. (grep từ FOUND) Bạn có thể xóa hoặc sửa các tệp này theo cách thủ công hoặc nếu không thì chạy lệnh bên dưới sẽ xóa vĩnh viễn tất cả các tệp bị nhiễm trong hệ thống của bạn (Đảm bảo chạy trong phiên màn hình)

7. Trợ giúp cho một số tùy chọn của clamav

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

0

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

1

8. Sử dụng thành phần mở rộng cho clamAV

Bạn có khả năng sử dụng cơ sở dữ liệu malware/virus được biên dịch từ bên thứ 3 để mở rộng cơ sở dữ liệu quét của ClamAV. Một số nguồn bổ sung đáng tin cậy từ

• Malware Expert
• Linux Malware Detect
• interserver.net

Thêm các dòng cơ sở dữ liệu sau vào

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

7 ở dưới cùng của tập tin:

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

2

cd /usr/share mkdir -p clamav chown clamav:clamav clamav freshclam -v

8 is a Generic Hex pattern PHP malware, which can cause false positive alarms, because there are generic eval, base64 and other hex pattern signatures (very low false positive rate). We want to scan all .php files and check the false positives manually for malware. If some signature causes to you problems, you can whitelist them. It may contain false positive alerts due to normal PHP code having legit use for specific PHP patterns i.e. eval/base64. You may need to manually inspect files that are reported as malware.