Phòng chống Virus lây lan qua USB Flash Drive

[thegioivanconchuadu]

Phòng chống Virus lây lan qua USB Flash Drive

Code:

Tên bài : Phòng chống Virus lây lan qua USB Flash Drive
Ngày viết: June 11, 2007 bởi fa2f
Thể loại : Anti-virus
Độ Khó : Trung bình
Công cụ : Tay, bất cần CT Anti-virus
Hệ ĐHành : Windows anything

Thực trạng
Gần đây các virus lây lan qua đường USB Flash Drive (trong bài này gọi tắt là virus) xuất hiện khá nhiều và hoành hành ở VN, gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này bất đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng virus tốt nhất.

Mục đích
Mặc dù bất am hiểu nhiều về lĩnh vực virus và anti-virus, tui vẫn mạo muội viết bài này, với mục đích cơ bản là cung cấp cho người dùng những cái nhìn logic và "vật lý" hơn về virus, bất còn nỗi đen tối ảnh về "bóng ma" virus và sự e dè khi sử dụng USB Flash Drive. Bài viết chỉ đề cập đến các virus hay xuất hiện ở USB Flash Drive.

Khuyến cáo
Nội dung bài viết này có phần hướng dẫn, tuy bất mang tính kỹ thuật cao nhưng nếu thực hiện bất cẩn thận có thể sẽ gây nên những sau quả nguy hại đến máy tính của bạn. Use it as your own risk.



Cách thức lây lan cơ bản của virus

Cơ chế thứ nhất -- autorun (tự chạy)
Nếu bạn vừa từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, tất cả thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (autorun) đằng sau đó, và chắc chắn ít nhiều vừa có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng ngựa hiểm độc nhắm hủy hoại máy tính của bạn? Đó là virus.
Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa tiềm năng autorun này. tui bất nói rằng autorun là một chức năng xấu, nhưng đây là cơ chế lây lan cơ bản của hầu hết các virus. Bạn sẽ phải dè chừng nó.

Cơ chế thứ hai -- fake icon (giả icon)
Virus do con người viết nên, hơn nữa nó còn tại trong máy tính -- vốn cũng do con người làm ra (tạo) nên và được bạn tin tưởng mua về. Do đó bạn có thể yên tâm loại bỏ ý nghĩ rằng virus là thứ siêu nhiên và không hình, có quyền lực tuyệt cú đối và chỉ có Đức Chúa Trời Anti-virus mới trừng trị được.
Do đó: Phải có một chương trình nào đó được thực thi thì virus mới lấy nhiễm được vào máy tính của bạn.
Trong trường hợp trên, cơ chế autorun vừa thực thi virus. Còn trường hợp phổ biến thứ 2, một "con" virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là vừa thực thi 1 file .exe -- vậy là máy của bạn nhiễm virus.

Phòng chống

Các động tác cơ bản
Trước hết bạn cần nhớ rằng nếu bạn đang sử dụng một tài khoản giới hạn (limit account) của Windows thì virus sẽ khó mà lộng hành được gì. Bởi vì tất cả ngõ ngách đều bị khóa đối với limit account. Do đó tốt nhất bạn nên làm ra (tạo) một tài khoản giới hạn bên cạnh tài khoản quản trị của mình, login vào tài khoản giới hạn này và yên tâm làm chuyện với các USB Drive (tất nhiên nếu máy tính của bạn vừa bị nhiễm virus rồi thì chuyện này thật không nghĩa).
Trước khi bắt đầu với đám virus, chúng ta nên có một số thao tác đón đầu trước để cuộc sống dễ dàng hơn:Vào My Computer, chọn menu Tool > Folder Options...


Chọn trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau:



tui sẽ giải thích chuyện này:Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file) ra, bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi.
Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd .exe .doc .txt) cho tất cả các file. Chút nữa đọc xuống dưới bạn sẽ hiểu tại sao lại làm vậy.
Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được đánh mác Recommended, tức là khuyến cáo là nên chọn chứ bất nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu bất may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách "ban" cho nó làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nhớ: bất xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus.
Được rồi, bây giờ chúng ta đi vào chi tiết.

Phòng chống Autorun
Khi cắm một USB Drive vừa bị nhiễm virus vào máy tính, có thể bất cần bạn làm gì tiếp theo cả, tất cả thứ sẽ được nhanh chóng thực thi, virus nhanh chóng nhiễm luôn vào máy tính.Do đó động tác đầu tiên cần thực hiện là đè phím Shift bên trái cho đến khi Windows báo là nhận xong phần cứng là USB Drive bạn cắm vào. Nếu USB Drive của bạn vừa được máy tính nhận diện trước đó, bạn nên đè Shift đủ lâu trước và sau khi cắm USB Drive. Động tác này báo cho Windows hoãn bất thực thi lệnh autorun (nếu có).
Tiếp theo, bạn kiểm tra xem USB Drive vừa cắm vào có tính chuyện autorun trên máy của bạn hay không. Việc kiểm tra khá đơn giản nhưng bạn cần cẩn thận đừng double click lung tung, vì chuyện double click vào một ổ đĩa autorun cùng nghĩa với chuyện thực thi autorun này.
Bạn chỉ cần vào My Computer hay Explorer, click chuột phải vào ổ USB Drive mà bạn muốn xem. Nếu menu hiện ra có dòng AutoPlay (đầu tiên) thì ổ đĩa này có chứa những thông tin autorun.



Ngược lại, nếu ổ đĩa bất có thông tin autorun thì thủ tục mặc định là Open.


Nếu trên USB Drive có Autorun, chúng ta xem xét kỹ hơn liệu đây có là virus. Bạn click chuột phải lên ổ USB Drive này và chọn Open, hay dùng frame bên trái của Explorer (nhớ: bất double click). Nếu bạn thấy có nhiều file ẩn trong ổ đĩa (những file mờ), đây là dấu hiệu virus đầu tiên.
Bạn tìm đến file autorun.ini hay antorun.inf và mở nó lên (đây là file text nên bạn double click thoải mái, hay click chuột phải rồi open). Nội dung file này có dạng kiểu như:



Bạn chú ý đến dòng

Code:

open=gì gì đó.exe

Trở lại với My Computer, lần theo tên file này trong USB Drive, bạn sẽ thấy 1 file thực thi. Nếu file này được ẩn đi và có vẻ mờ đen tối (không có icon, size nhỏ, properties về nhà phát hành bất rõ ràng...) thì 99% đây là virus. Bạn có thể xóa file .exe này đi, và xóa luôn cả file autorun. hay nếu muốn, bạn có thể đưa tên file hoặc/và chụp ảnh màn hình USB Drive của bạn đưa lên đây để tất cả người giúp bạn. Các file ẩn còn lại (nếu có) bạn cũng có thể xóa đi (đặc biệt là file .exe).
Bây giờ bạn cẩn thận thực hiện lại các bước 1-5 đối với tất cả các ổ cứng để xem máy của mình vừa bị nhiễm virus loại này chưa. Nhớ: Nếu có thì bạn đừng xóa gì cả, chuyển xuống đọc phần Cách diệt Virus.

Phòng chống Fake icon
Mỗi chương trình, mỗi loại file mang trên mình mỗi icon, muôn hình vạn trạng, bạn thấy đó:



Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này. Mặc định, Windows giấu đi phần đuôi của những chương trình, file vừa biết. Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP. Nếu file này mang icon của một thư mục, thật khó phân biệt. Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục:



Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này "loài đuôi" ra ngay là file thực thi:



Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application):


Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder.
Ở cột Size, ứng dụng có size còn thư mục thì không.
Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v.
Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi .exe. hay cũng có thể view ở chế độ details và chú ý đến các Application. Nếu gặp các virus loại này? Hãy xóa thẳng tay.
Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy vừa bị nhiễm virus loại này chưa.

Tóm lại
Tóm lại, đểphòng chốngchống virus:
Khi đưa USB Drive vào nhớ đè phím Shift bên trái để tránh autorun.
Kiểm tra xem ổ USB Drive có autorun hay bất bằng cách click chuột phải.
Nếu có: xóa các file autorun và file .exe tìm thấy.
Kiểm tra xem có các file .exe giả mạo icon hay bất bằng cách xem đuôi file.


kỳ sau: Cách diệt virus

 

[gocua_tinhyeu_tk2492510]

_ Mình vừa xử lý xong con virus nhưng có vấn đề là : Trong Folder Option , nó làm mất cái show hidden files rồi
>>> Bác chỉ em cách nào để nó trở lại bt nhé

 

[[email protected]]

Hehehe, có Tool tiêu diệt con virus mất dạy này rồi! Chẳng nên phải lo gì nữa cho mệt cái thân...





Đại

 

[andongwoo_007]

không biết móc đâu ra cái này rồi bất có chỉ dẫn diệt kể cũng ngộ ghê

 

[chery_cute_iuox]

Quote:

_ Mình vừa xử lý xong con virus nhưng có vấn đề là : Trong Folder Option , nó làm mất cái show hidden files rồi >>> Bác chỉ em cách nào để nó trở lại bt nhé

Giờ đi có chuyện đã, bạn chờ đến tối tui sẽ viết phần 2 của bài.

 

[cobetinhnghich_nd_95]

Sao mãi bất thấy phần 2 vậy

 

[thutinh_online]

hic phần 2 gì? vừa là virut mà nó cho bạn tìm dễ thế sao? riêng cái cách bạn tìm file autorun của nó cũng khó nữa là, làm sao bạn tìm được file autorun? showhide lên hả? đến mai nhé, làm gì có. tìm thì phải đánh thẳng vào adress mới thấy cơ
e.g ::G:\autorun.inf
roài. xong
nhưng tìm ra virut nữa, đến ngày kia. tốt nhất là diên nó bằng các c trình đủ khỏe như :bitdephender, kapersky,...
thế là xong, tìm mãi mệt lắm bạn à.

 

[Darron]

dù sao cũng Thank bác fa2f

 

[beautifultoad1904]

Quote:

Sao mãi bất thấy phần 2 vậy

tui rất xin lỗi vì vừa nói là sẽ đưa phần 2 lên mà tới nay vẫn chưa làm xong. Những ngày này tui có ít chuyện đột xuất + đang thi cuối kỳ nên chưa trả thành được. tui xin lỗi một lần nữa. Cơ bản cũng tại vì tui viết bài này với mong muốn thay đổi quan niệm của các bạn về virus, nhưng bất thấy nhận được những phản hồi tích cực nên cũng hơi nản.

Quote:

đã là virut mà nó cho bạn tìm dễ thế sao?

Đã là chương trình máy tính thì có gì là bay logic? Neo còn phá được cả mạng Matrix.

Quote:

riêng cái cách bạn tìm file autorun của nó cũng khó nữa là, làm sao bạn tìm được file autorun? showhide lên hả? đến mai nhé, làm gì có. tìm thì phải đánh thẳng vào adress mới thấy cơ e.g ::G:\autorun.inf

Bạn có thể thấy được file autorun.inf trong thanh address, vậy tại sao nói là bất thể tìm được? Đã thấy được trong address bar thì TẤT NHIÊN là cũng có thể thấy được ngay trong Explorer thôi. Bạn xem lại cách hiển thị các file hệ thống ở bài trên nhé.

Quote:

dù sao cũng Thank bác fa2f

Thank bạn, tui sẽ trả thành sớm.

 

[dca20]

Cách diệt Virus lây lan qua USB Flash Drive

Code:

Tên bài : Cách diệt Virus lây lan qua USB Flash Drive
Ngày viết: June 24, 2007 bởi fa2f
Thể loại : Anti-virus
Độ Khó : Trung bình
Công cụ : Tay, bất cần CT Anti-virus
Hệ ĐHành : Windows anything

Thực trạng
Ở bài trước, tui đã nói sơ qua về các cơ chế lây lan cơ bản của các Virus hay xuất hiện trên USB Flash Drive (trong bài này gọi tắt là virus). tui cũng vừa nói rõ hơn về cáchphòng chốngchống các virus này. Như vậy, nếu các bạn thực hiện tốt các phương ánphòng chốngchống thì có thể yên tâm là máy bất bị nhiễm thêm virus nữa.
Nhưng nếu máy bạn vừa bị nhiễm virus từ trước?
Chúng ta sẽ diệt chúng.

Mục đích
Như tên bài viết, chúng ta sẽ đi trực tiếp vào cách diệt virus USB Flash Drive: xuất phát từ cách mở khóa các CT bị virus cô lập (regedit, folder options, cmd etc.), sau đó chúng ta cô lập virus và đánh trả.

Khuyến cáo
Bài viết chỉ dẫn gỡ bỏ virus bằng tay, chuyện làm này liên quan đến chuyện cấu hình những thành phần quan trọng trong Windows, nếu thực hiện bất cẩn thận có thể sẽ gây nên những sau quả nguy hại. Bạn nên chắc chắn là vừa sao lưu các dữ liệu quan trọng trước khi thực hiện. Use it as your own risk.



Thủ thuật của virus
Thử tưởng tượng một ngày đẹp trời bạn tìm thấy một rương gỗ, với tài năng + ổ khóa lỏng lẻo của cái rương bạn nhanh chóng mở được khóa và tìm thấy bên trong 1 kho báu kết sù. Kho báu quá lớn nên bạn quyết định lần này chỉ vơ vét 1 phần, rồi làm gì tiếp theo? Tât nhiên bạn sẽ khóa nó lại với ổ khóa mới của bạn, đảm bảo rằng chủ nhân thực sự của chiếc rương cũng bất thể tách bạn ra khỏi cái rương.
Virus cũng vậy, nó khóa windows của bạn lại để độc chiếm.
Bạn bất thể chạy những chương trình có thể gây nguy hại đến virus: regedit, cmd, task manager, folder options...
Chúng ta sẽ xem liệu virus có thông minh như tên cướp biển gian xảo.

Kiểm tra tình trạng hiện tại của bạn
Ghi chú: chuyện kiểm tra này rất có tiềm năng làm cho máy của bạn restart, hãy lưu hết dữ liệu.
Nếu tin rắng máy tính của mình vừa bị nhiễm virus, bạn hãy thử xem virus này là một sinh vật thông minh đến cỡ nào.
Thực hiện: thử mở các ứng dụng sau và xem virus vừa khóa ứng dụng nào. Một ứng dụng bị khóa sẽ bất thể được thực thi (thông báo lỗi, menu bị mờ đi) hay làm cho máy bạn restart. Hãy ghi nhớ các ứng dụng bị khóa.Task Manager: bấm Ctrl+Alt+Del hay click chuột phải vào thanh Start, chọn Task Manager.
Regedit: Vào Run từ menu Start > Run... (hay tổ hợp phím windows+R), gõ regedit rồi enter.
Folder Options: Mở My Computer, trong menu Tools thử xem có thể chạy Folder Options... không.
Nếu có thể mở Folder Options, vào tab View và xem mục Show hidden files and folders có ở đó không.
Cmd: Vào Run, gõ cmd rồi enter.

Mở khóa
Bây giờ bạn vừa biết virus "khóa cẳng" bạn ở điểm nào, trò chơi bắt đầu...
Cẩn trọng: Trong suốt quá trình, tất cả thứ có thể trơn tru nhưng cũng có thể virus sẽ restart máy của bạn liên tực và chẳng làm được gì nhiều. tui khuyến cáo bạn hãyTắt chức năng system restore: click chuột phải vào logo My Computer trên desktop chọn Properties. Trong cửa sổ mới hiện ra chọn tab System Restore rồi tick vào Turn off System Restore on all drives, OK.
Restart máy tính về safe-mod: restart lại máy tính, bấm F8 lúc máy boot và chọn Safe-Mod.
Ghi chú: tui có đính kèm 1 phần mềm đơn giản ở cuối phần này, nếu thích bạn có thể download về và chạy. Task Manager, Regedit và Folder Options sẽ được enable hết, nhưng như thế thì mất đi tính manual của hướng dẫn.

Regedit
Nếu virus vừa khóa Regedit của bạn (thường hiện lên thông báo kiểu như Registry editing disabled by Adminstrator trong khi bạn đang là Adminstrator), hãy thử enable lại regedit:

Cách 1: làm ra (tạo) file .regLogin vào máy bằng tài khoản Administrator
Mở notepad và dán vào đoạn ngựa sau:

Code:

Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

Lưu lại với tên file .reg, ví dụ: regopen.reg
Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này chỉ dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả tương tự hệt như bạn vừa sửa regedit vậy


Kiểm tra lại regedit

Cách 2: làm ra (tạo) chương trình .NET Framework thực thi đoạn ngựa như file .reg
Điều kiện: máy của bạn phải có cài .NET Framework.
Kiểm tra bằng cách xem thư mục C:\WINDOWS\Microsoft.NET\Framework\vx.x.***x\ có còn tại hay bất (với C:\WINDOWS là nơi cài Windows của bạn; vx.x.***x là phiên bản Framework hiện tại, vd: v1.0.3705, v2.0.50727). Nếu bất có, bạn có thể tải về nhanh chóng từ trang Windows Update của Microsoft.Mở notepad và dán vào đoạn ngựa sau:

Code:

using System;
using Microsoft.Win32;

class RestoreReg
{
static void Main ()
{
RegistryKey polKey = Registry.CurrentUser.OpenSubKey
(@"Software\Microsoft\Windows\CurrentVersion\Policies\System", true) ;
polKey.SetValue ("DisableRegistryTools", 0) ;
polKey.Flush () ;
}
}

Lưu lại với tên file .cs, vd: restorereg.cs
Mẹo: Bạn nên lưu file ở nơi nào dễ truy cập, như C:\ chẳng hạn
Lưu xong, mở Command Prompt lên (vào Start > Run... > cmd rồi ENTER)
Di chuyển vào đường dẫn .NET Framework bạn tìm được ở trên, dùng lệnh cd, chẳng hạn:

Code:

cd %windir%\Microsoft.NET\Framework\v1.1.4322

Tiếp theo ta chuyển file nguồn .cs ở trên thành file thực thi .exe bằng lệnh

Code:

csc c:\restorereg.cs

csc ở đây là file csc.exe dùng để biên dịch có trong thư mục vx.x.***x
c:\restorereg.cs là đường dẫn đến file .cs mà bạn lưu ở trên. Chú ý nếu đường dẫn này có khoảng trắng (space) thì bạn phải dùng cặp dấu ngoặc "" để nhóm lại, vd:

Code:

csc "c:
ew folder\restore regedit.cs"

Nếu bất có sai sót gì thì file restorereg.exe vừa được làm ra (tạo) ra trong thư mục vx.x.***x, bạn dùng My Computer di chuyển đến đây và chạy file này, regedit sẽ được mở.
Nếu nhác, bạn có thể download file restorereg.exe tui đã biên dịch tại đây:

You must be registered for see links

Cách 3: dùng Group Policy Editor (Windows XP Professional only)Login vào máy bằng tài khoản Administrator
Chạy Run và gõ gpedit.msc rồi enter
Tìm đến User Configuration | Administrative Templates | System


Double-click lên mục Disable registry editing tools và chọn Not Configured
Thoát khỏi Group Policy Editor hay tiếp tục đọc phần sau nếu Task Manager của bạn cũng có vấn đề

Task Manager (Ctrl+Alt+Del)

Cách 1: sửa regeditVào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ở khung bên phải chú ý mục "DisableTaskMgr" (đang có giá trị '1'), double click vào đó đổi giá trị DWORD của nó thành 0

Thoát khỏi regedit

Cách 2: dùng Group Policy Editor (Windows XP Professional only)Vào Group Policy Editor như chỉ dẫn ngay trên
Tìm đến User Configuration | Administrative Templates | System | Ctrl+Alt+Del Options


Double-click lên mục Remove Task Manager và chọn Not Configured
Thoát khỏi Group Policy Editor (hay tiếp tục mày mò, có một số trò vui khác nếu bạn thích mạo hiểm)

Folder Options
Sau khi chắc chắn Regedit của bạn vừa có thể chạy được, bạn có thể mở khóa cho Folder Options.Vào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Ở khung bên phải chú ý mục "NoFolderOptions" đang có giá trị '1', double click vào đó đổi giá trị DWORD của "NoFolderOptions" thành 0 hay xóa luôn cả mục "NoFolderOptions" cũng được
Thoát khỏi Regedit
Ghi chú: Trong cùng đất chỉ Registry này còn có một số thông số thú vị khác như DisallowRun, NoControlPanel NoDriveTypeAutoRun, NoLowDiskSpaceChecks.

"Show Hidden Files and Folders"
Nếu bạn có thể truy cập Folder Options nhưng phần "Show Hidden Files and Folders" bị mất, phục hồi theo các cách sau:

Cách 1Vào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

Ở khung bên phải chú ý mục "Type", double click vào và nhập giá trị là group.


Sửa xong bấm F5 để refresh, kiểm tra lại Folder Options
Thoát khỏi Regedit

Cách 2Vào regedit tìm chính xác đến

Code:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Ở khung bên phải chú ý mục CheckedValue, sửa giá trị lại là 1
Thoát khỏi Regedit


Tiện ích mở khóa
Như vừa nói ở trên, có một tiện ích nhỏ giúp bạn nhanh chóng mở khóa của Task Manager, Regedit và Folder Options. Bạn chỉ cần tải về và chạy là xong, yên tâm đây là tiện ích "sạch".
Link:

You must be registered for see links

Xóa virus
Tắt System Restore và khởi động vào safe-mod (hướng dẫn ở trên)
Thực hiện các bước mở khóa cho windows, tham tiềmo lại bài 1 (cáchphòng chốngchống virus) để hiện các file ẩn nhằm nhận dạng virus
Cẩn thận dùng Explorer dạo qua tất cả các ổ cứng và xóa hết các thông tin autorun và file thực thi (.exe) của virus. Ghi chú: đừng double click -- tham tiềmo lại bài 1
Nếu máy tính nhiễm các virus dạng giả icon, hãy xem properties của 1 file như vậy, lấy file size và tiến hành search toàn bộ các ổ cứng (nhớ search cả file ẩn và file system) với file size vừa lấy được, định dạng file tìm kiếm là application file.
Khi quá trình tìm kiếm trả tất, kiểm tra lại các file này, tránh xóa nhầm những file "hiền" (những file virus thường có logo thư mục và file size bất đổi). Chọn tất cả các file virus và tiến hành xóa.


Có bất kỳ vấn đề/thắc mắc nào trong quá trình thực hiện, bạn hãy post lên.

kỳ sau: Kiểm tra các ứng dụng chạy lúc khởi động

 

[nh0kwa0]

Thank FA2F. Bài viết rất bổ ích. Máy của tui có lẽ bị virus qua USB. Hiện tượng như sau:

1/ Bị mất chức năng xem file ẩn trong Folder Option;

2/ Mất chức năng add/remove chương trình (trong Control Panel/Add or Remove Programs);

3/ Chức năng: cmd và regedit bất bị ảnh hưởng;

4/ Chức năng Msconfig có tiềm năng bị ảnh hưởng. Hiện tượng là: vẫn mở được; khi check/hay uncheck một mục nào đó; máy vẫn yêu cầu khởi động lại bình thường, khi khởi động lại có hiện cửa sổ yêu cầu xác nhận sửa đổi (nói chung là bất có gì bất thường) tuy nhiên sau đó nó lại phục hồi lại trạng thái lúc trước chứ bất lưu lại trạng thái vừa được sửa.

5/ Đã tắt system Restore; sau đó dung NAV, Kapersky, BKAV, Bid Defender, AVG ... tất cả đều vừa cập nhật phiên bản mới nhất nhưng bất tìm thấy virus.

tui vừa theo chỉ dẫn trong bài viết này, nhưng bất làm gì được vì:

- Máy này dùng windows Home, bất phải Pro nên bất chạy được gpedit

- Khi tui vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden

thì type vừa có sẵn giá trị là Group. Đã sửa lại theo chỉ dẫn nhưng vẫn bất được;

Bạn nào biết cách trị con virus này xin chỉ dẫn giúp. Thank các bạn rất nhiều.

 

[sosof_solo]

Con virus này trả toàn có thể diệt bằng tay được.Đã có rất nhiều bài viết và chỉ dẫn về vụ này rồi.Bây giờ đưa lên có thể là ..hơi muộn (xin lỗi vì mình nói thẳng) nhưng dẫu sao cũng Thank bạn rất nhiều

 

[peluntimboy]

Góp ý chút,ngoài lề thôi:
cái desktop background bạn để Icon tùm lum vậy mà bất thấy đau mắt sao trời
Mấy cái ảnh bạn làm vị trí cho người đọc.Chỉ cần khuông đỏ lại là được rồi chứ làm hiệu ứng rồi để trăng chỗ cần xem làm gì,hơi choáng

 

[k4kt2_sonadezi]

uh, bài viết hay lắm, cam ơn bạn, hì, bạn làm mình thấy co hứng hơn khi vào DDTH.COM rùi. thanks

 

[pe_kim_pro]

Trả lời TVD:

Quote:

1/ Bị mất chức năng xem file ẩn trong Folder Option; Khi tui vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden thì type vừa có sẵn giá trị là Group. Đã sửa lại theo chỉ dẫn nhưng vẫn bất được;

Bạn thử lại theo cách 2 ở bài trên xem.

Quote:

2/ Mất chức năng add/remove chương trình (trong Control Panel/Add or Remove Programs);

Bạn thử vào run chạy appwiz.cpl xem. Nếu máy báo bất tìm thấy thì file .cpl của Add or Remove Programs vừa bị mất, phải copy file này vào lại (dùng CD Windows XP). Nếu bất thì chỉ bị mất shortcut.

Quote:

4/ Chức năng Msconfig có tiềm năng bị ảnh hưởng. Hiện tượng là: vẫn mở được; khi check/hay uncheck một mục nào đó; máy vẫn yêu cầu khởi động lại bình thường, khi khởi động lại có hiện cửa sổ yêu cầu xác nhận sửa đổi (nói chung là bất có gì bất thường) tuy nhiên sau đó nó lại phục hồi lại trạng thái lúc trước chứ bất lưu lại trạng thái vừa được sửa.

Bạn thử kiểm tra lại system restore và cấu hình msconfig từ Safemod.

Quote:

5/ Đã tắt system Restore; sau đó dung NAV, Kapersky, BKAV, Bid Defender, AVG ... tất cả đều vừa cập nhật phiên bản mới nhất nhưng bất tìm thấy virus.

Rất có thể đây là virus nội của các script kiddie.

-- fa2f

 

[jomyolovejulyes]

Mình thấy topic chỉ dẫn này rất có ích, máy tính của mình cũng đang bị nhiễm virus từ usb. Nhờ một người bạn của mình vừa giải quyết được vấn đề tương tự như cách chỉ dẫn của các bạn ở đây. Nhưng hiện giờ máy mình còn vấn đề : mặc dù folder option được mở và phần chức năng xem file ẩn vẫn cho đánh dấu chọn để hiện file ẩn nhưng khi mình chọn hiển thị file ẩn,tiếp đó bấm apply và ok thì các file ẩn đều không hiện lên được. Khi xem lại folder option thì nó vẫn mặc định ở vị trí bất hiển thị file ẩn.

Mong các bạn cho chỉ dẫn cách giải quyết.

Thank các bạn nhiều nhiều.

 

[dreams_realization]

Quote:

Nhưng hiện giờ máy mình còn vấn đề : mặc dù folder option được mở và phần chức năng xem file ẩn vẫn cho đánh dấu chọn để hiện file ẩn nhưng khi mình chọn hiển thị file ẩn,tiếp đó bấm apply và ok thì các file ẩn đều không hiện lên được. Khi xem lại folder option thì nó vẫn mặc định ở vị trí bất hiển thị file ẩn.

Ngay sau khi bạn Apply (chưa bấm OK) thì các file ẩn có hiện ra không?
Bạn gặp vấn đề ngay khi bấm OK hay sau khi restart lại máy?
Bạn có thể mô tả thêm một số triệu chứng (phá hoại) bởi virus?
Bạn thử dùng các chỉ dẫn ở trên để chỉnh sửa dùng regedit và gpedit.msc xem có kết quả gì không?
Cuối cùng, bạn dùng cmd để kiểm tra qua các file ẩn xem có vấn đề gì không? (Dùng lệnh dir /ash)

 

[xuan_quynh303]

Bài viết của sư huynh fa2f rất hay và giúp em học được nhiều thứ. Nhưng khi vào task manager/processes thì làm thế nào để phân biệt được đâu là file hệ thống, đâu là virus, những file hệ thống là những file như thế nào . Anh giúp em với nhé. Thank anh nhiều nhiều

 

[pu_diem]

duong_chieu2010: bạn có thể boot vào safe mode và Ctrl Atl Del lên xem các process đang chạy, ghi chú chúng lại (có thể chụp ảnh màn hình lưu lại đâu đó). Một cách khác là vào start > run > cmd rồi dùng lệnh tasklist >c:\list.txt để lưu danh sách này tại c:\list.txt (tất nhiên cũng thực hiện trong safe mode).
Khi khởi động bình thường vào windows, các process dôi ra là các chương trình bạn cài thêm hay cũng có thể là virus.
Bài sau tui sẽ nói về cách quản lý các process.

 

[yesterdaylove_quyen]

Vừa rồi bạn Vietkingmetal có hỏi tui về lỗi của chức năng Hibernate/Stand by trong Windows XP, cụ thể là trong Power Options Properties mục Hibernation lúc được enabled lúc không. tui cũng biết một số lỗi khác như bất thể Hibernate trả toàn hay treo máy sau khi Hibernate, v.v.
Trước hết, thường thì đây bất phải là lỗi do virus gây ra. Theo tui có nhiều nguyên nhân có thể gây ra các lỗi này, từ phần cứng cũng như phần mềm. Việc bàn về lỗi này có thể hơi ngoài chủ đề của topic này, nhưng tui sẽ dành thời (gian) gian để nói về nó trong trả lời sau.
các bạn nếu vừa gặp các vấn đề tương tự có thể sẻ chia kinh nghiệm?