Phòng chống Virus lây lan qua USB Flash Drive

[anhnguyet.fashion]

Máy của mình nhiễm virus W32.Covert.Worm. Mắc dù vừa diệt nhưng không tiềm quan

Các icon trong Control Panel vừa bị mất.

Tất cả các chức năng như Task Manager, regedit, msconfig... đều vừa mất, thậm chí cả Run as.. cũng không còn.

Ko thể vào Properties của My Computer vì hiện lên thông báo file rundll32 không tìm thấy.

Đối với các file .zip cũng không thể vào được, hiện lên thông báo Retrictions: This operation há been cancelled due to retrictions in effect on this computer. Please contact your system administrator.

Xin hãy giúp mình với. Thank các bạn nhiều.

 

[cogaitinhnghich123c]

ko muốn làm tất cả người & fa2f mất hứng, nhưng nhiều rõ hơn liên quan đến virus còn ấu trĩ quá khiến tui.. bức xúc

Quote:

Được gửi bởi fa2f 1- bạn nên làm ra (tạo) một tài khoản giới hạn bên cạnh tài khoản quản trị của mình, login vào tài khoản giới hạn này và yên tâm làm chuyện với các USB Drive 2- Cẩn thận dùng Explorer dạo qua tất cả các ổ cứng và xóa hết các thông tin autorun và file thực thi (.exe) của virus. 3- Bạn tìm đến file autorun.ini hay antorun.inf và mở nó lên (đây là file text nên bạn double click thoải mái, hay click chuột phải rồi open). 4- Rất có thể đây là virus nội của các script kiddie...

1- Limit Account chỉ làm bạn bị giới hạn, chứ không phải virus. không thể diệt virus nếu đang dùng tài khoản này. Dù sao đây vẫn là 1 gợi ý tốt.

2- dùng explorer tìm file virus mà cẩn thận ư? explorer.exe là đối tượng can thiệp đầu tiên của hầu hết virus khi nhiễm vào máy bạn.

3- dòng lệnh trong file autorun.inf rất mạnh, n` virus giờ đây không thèm chạy file = lệnh của fa2f (autorun=???.exe), chúng còn thêm các dòng lệnh chạy ngay khi bạn Open hay Explore (đừng nghĩ không dbclik là thoát nạn nha).

4- không phải kiddie đâu bạn, cái này là trả toàn có thể đó! virus nén source trong 1 file nào đó bám vào explorer (10 trình diệt top gì đó cũng không tìm ra), bạn chỉ cần khởi động máy lại là virus lại dc tái tạo, các khóa registry sẽ lại như cũ. Tại sao là explorer.exe? vì thằng này là file hệ thống luôn chạy sau login và dễ can thiệp = nhiều tham số registry. Virus sau này con ma đầu hơn, thay đổi file userinit.exe (cũng là 1 file hệ thống nạp trước explorer), vì thế mà nhiều người sau khi diệt virus này không thể login dc nữa.

- những đoạn script & gpedit.msc can thiệp vào registry của fa2f chỉ tác dụng khi virus chưa hoạt động hay vừa bị diệt, nếu máy dính virus rồi thì tiêu: bạn sửa xong, không đầy 30'' là virus update lại.

virus là do con người làm ra (tạo) ra, trời biến vạn hóa, không muốn kể tiếp sợ tất cả người.. hết ngủ. Tuy nhiên vẫn có 1 số biện pháp đềphòng chốnghữu hiệu:

1. làm ra (tạo) và dùng tài khoản Limited (nhớ rằng virus vẫn dễ dàng vượt qua tài khoản này)

2. Disable autorun trên tất cả ổ đĩa, có thể gây bất tiện vì không còn chương trình nào tự động chạy khi bạn đưa USB hay CD vào PC. phải mở trình mong muốn = explorer.

3. Tạo icon cho USB, đây là mẹo phát hiện virus autorun chính xác 99%. khi cắm vào PC, dù chưa thao tác gì, trong explorer, USB của bạn sẽ có icon do bạn làm ra (tạo) ra, nếu icon biến mất tức là usb vừa dính virus. Lúc đó, chỉ chuyện đóng explorer rồi dùng winrar xóa các file lạ trong usb (thường là .inf, .dos, .bat, .exe, các file trùn tên thư mục...)

oa, viết dài quá, có gì tất cả người thông cảm nhé, have fun

 

[vtb_thuan]

Một cách tiện lợi nữa là các bạn xài autorun eater !Mình chỉ xài thằng này với BKAV

 

[jade_2192000]

@CounterStrike :

[/quote]dùng explorer tìm file virus mà cẩn thận ư? explorer.exe là đối tượng can thiệp đầu tiên của hầu hết virus khi nhiễm vào máy bạn.[/quote]

Bạn ấy bảo dùng explorer là để tránh kích hoạt virus. Cái này là đối với máy chưa bị virus muốnphòng chốngchống mà.

[/quote]những đoạn script & gpedit.msc can thiệp vào registry của fa2f chỉ tác dụng khi virus chưa hoạt động hay vừa bị diệt, nếu máy dính virus rồi thì tiêu: bạn sửa xong, không đầy 30'' là virus update lại.[/quote]

Cậu chưa đọc kĩ bài rồi. Trong bài có nói là thoát ra limit account rồi đăng nhập trở lại với user là Admin. Ở đây thì giả thuyết là chưa bị virus.

 

[Sean]

@emule

í tui là:

- dùng tài khoản limit vẫn bị dính virus thoai.

- dùng explore cũng không thể tránh kích hoạt virus.

okie okie, tui không có í gì đâu, chỉ lưu ý thoai.

fa2f vừa viết rất hay.

eace:

 

[gau_bong484]

@CS: Ah, Thank mấy lũy ý của CounterStrike! (đã làm sống lại topic này!)
Có điều mình thấy bạn dùng winrar để tìm & diệt thì khác gì dùng explorer đâu. Máy đang sạch thì dùng cái gì cũng vậy thôi. Máy vừa nhiễm thì chạy cái gì cũng vậy thôi. Tương tự, double click không autorun.ini thì cũng chẳng có gì là mạo hiểm cả, trừ file máy bạn vừa bị nhiễm virus tới mức nó sửa notepad.exe
@Fanfan16: Bạn dùng

You must be registered for see links

quét thử 1 phát rồi đưa file log lên đây cho tất cả người xem thử.

 

[vannho2610]

Cách diệt Virus lây lan qua USB Flash Drive

Code:

Tên bài : Cách diệt Virus lây lan qua USB Flash Drive

Ngày viết: June 24, 2007 bởi fa2f

Thể loại : Anti-virus

Độ Khó : Trung bình

Công cụ : Tay, bất cần CT Anti-virus

Hệ ĐHành : Windows anything

Thực trạng

Ở bài trước, tui đã nói sơ qua về các cơ chế lây lan cơ bản của các Virus hay xuất hiện trên USB Flash Drive (trong bài này gọi tắt là virus). tui cũng vừa nói rõ hơn về cáchphòng chốngchống các virus này. Như vậy, nếu các bạn thực hiện tốt các phương ánphòng chốngchống thì có thể yên tâm là máy bất bị nhiễm thêm virus nữa.

Nhưng nếu máy bạn vừa bị nhiễm virus từ trước?

Chúng ta sẽ diệt chúng.

Mục đích

Như tên bài viết, chúng ta sẽ đi trực tiếp vào cách diệt virus USB Flash Drive: xuất phát từ cách mở khóa các CT bị virus cô lập (regedit, folder options, cmd etc.), sau đó chúng ta cô lập virus và đánh trả.

Khuyến cáo

Bài viết chỉ dẫn gỡ bỏ virus bằng tay, chuyện làm này liên quan đến chuyện cấu hình những thành phần quan trọng trong Windows, nếu thực hiện bất cẩn thận có thể sẽ gây nên những sau quả nguy hại. Bạn nên chắc chắn là vừa sao lưu các dữ liệu quan trọng trước khi thực hiện. Use it as your own risk.

Thủ thuật của virus

Thử tưởng tượng một ngày đẹp trời bạn tìm thấy một rương gỗ, với tài năng + ổ khóa lỏng lẻo của cái rương bạn nhanh chóng mở được khóa và tìm thấy bên trong 1 kho báu kết sù. Kho báu quá lớn nên bạn quyết định lần này chỉ vơ vét 1 phần, rồi làm gì tiếp theo? Tât nhiên bạn sẽ khóa nó lại với ổ khóa mới của bạn, đảm bảo rằng chủ nhân thực sự của chiếc rương cũng bất thể tách bạn ra khỏi cái rương.

Virus cũng vậy, nó khóa windows của bạn lại để độc chiếm.

Bạn bất thể chạy những chương trình có thể gây nguy hại đến virus: regedit, cmd, task manager, folder options...

Chúng ta sẽ xem liệu virus có thông minh như tên cướp biển gian xảo.

Kiểm tra tình trạng hiện tại của bạn

Ghi chú: chuyện kiểm tra này rất có tiềm năng làm cho máy của bạn restart, hãy lưu hết dữ liệu.

Nếu tin rắng máy tính của mình vừa bị nhiễm virus, bạn hãy thử xem virus này là một sinh vật thông minh đến cỡ nào.

Thực hiện: thử mở các ứng dụng sau và xem virus vừa khóa ứng dụng nào. Một ứng dụng bị khóa sẽ bất thể được thực thi (thông báo lỗi, menu bị mờ đi) hay làm cho máy bạn restart. Hãy ghi nhớ các ứng dụng bị khóa.Task Manager: bấm Ctrl+Alt+Del hay click chuột phải vào thanh Start, chọn Task Manager.
Regedit: Vào Run từ menu Start > Run... (hay tổ hợp phím windows+R), gõ regedit rồi enter.
Folder Options: Mở My Computer, trong menu Tools thử xem có thể chạy Folder Options... không.

Nếu có thể mở Folder Options, vào tab View và xem mục Show hidden files and folders có ở đó không.
Cmd: Vào Run, gõ cmd rồi enter.

Mở khóa

Bây giờ bạn vừa biết virus "khóa cẳng" bạn ở điểm nào, trò chơi bắt đầu...

Cẩn trọng: Trong suốt quá trình, tất cả thứ có thể trơn tru nhưng cũng có thể virus sẽ restart máy của bạn liên tực và chẳng làm được gì nhiều. tui khuyến cáo bạn hãyTắt chức năng system restore: click chuột phải vào logo My Computer trên desktop chọn Properties. Trong cửa sổ mới hiện ra chọn tab System Restore rồi tick vào Turn off System Restore on all drives, OK.
Restart máy tính về safe-mod: restart lại máy tính, bấm F8 lúc máy boot và chọn Safe-Mod.
Ghi chú: tui có đính kèm 1 phần mềm đơn giản ở cuối phần này, nếu thích bạn có thể download về và chạy. Task Manager, Regedit và Folder Options sẽ được enable hết, nhưng như thế thì mất đi tính manual của hướng dẫn.

Regedit

Nếu virus vừa khóa Regedit của bạn (thường hiện lên thông báo kiểu như Registry editing disabled by Adminstrator trong khi bạn đang là Adminstrator), hãy thử enable lại regedit:

Cách 1: làm ra (tạo) file .regLogin vào máy bằng tài khoản Administrator
Mở notepad và dán vào đoạn ngựa sau:

Code:

Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

Lưu lại với tên file .reg, ví dụ: regopen.reg
Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này chỉ dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả tương tự hệt như bạn vừa sửa regedit vậy

Kiểm tra lại regedit

Cách 2: làm ra (tạo) chương trình .NET Framework thực thi đoạn ngựa như file .reg

Điều kiện: máy của bạn phải có cài .NET Framework.

Kiểm tra bằng cách xem thư mục C:\WINDOWS\Microsoft.NET\Framework\vx.x.***x\ có còn tại hay bất (với C:\WINDOWS là nơi cài Windows của bạn; vx.x.***x là phiên bản Framework hiện tại, vd: v1.0.3705, v2.0.50727). Nếu bất có, bạn có thể tải về nhanh chóng từ trang Windows Update của Microsoft.Mở notepad và dán vào đoạn ngựa sau:

Code:

using System;

using Microsoft.Win32;

class RestoreReg

{

static void Main ()

{

RegistryKey polKey = Registry.CurrentUser.OpenSubKey

(@"Software\Microsoft\Windows\CurrentVersion\Policies\System", true) ;

polKey.SetValue ("DisableRegistryTools", 0) ;

polKey.Flush () ;

}

}

Lưu lại với tên file .cs, vd: restorereg.cs

Mẹo: Bạn nên lưu file ở nơi nào dễ truy cập, như C:\ chẳng hạn
Lưu xong, mở Command Prompt lên (vào Start > Run... > cmd rồi ENTER)
Di chuyển vào đường dẫn .NET Framework bạn tìm được ở trên, dùng lệnh cd, chẳng hạn:

Code:

cd %windir%\Microsoft.NET\Framework\v1.1.4322

Tiếp theo ta chuyển file nguồn .cs ở trên thành file thực thi .exe bằng lệnh

Code:

csc c:\restorereg.cs

csc ở đây là file csc.exe dùng để biên dịch có trong thư mục vx.x.***x

c:\restorereg.cs là đường dẫn đến file .cs mà bạn lưu ở trên. Chú ý nếu đường dẫn này có khoảng trắng (space) thì bạn phải dùng cặp dấu ngoặc "" để nhóm lại, vd:

Code:

csc "c:
ew folder\restore regedit.cs"

Nếu bất có sai sót gì thì file restorereg.exe vừa được làm ra (tạo) ra trong thư mục vx.x.***x, bạn dùng My Computer di chuyển đến đây và chạy file này, regedit sẽ được mở.
Nếu nhác, bạn có thể download file restorereg.exe tui đã biên dịch tại đây:

You must be registered for see links

Cách 3: dùng Group Policy Editor (Windows XP Professional only)Login vào máy bằng tài khoản Administrator
Chạy Run và gõ gpedit.msc rồi enter
Tìm đến User Configuration | Administrative Templates | System

Double-click lên mục Disable registry editing tools và chọn Not Configured
Thoát khỏi Group Policy Editor hay tiếp tục đọc phần sau nếu Task Manager của bạn cũng có vấn đề

Task Manager (Ctrl+Alt+Del)

Cách 1: sửa regeditVào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ở khung bên phải chú ý mục "DisableTaskMgr" (đang có giá trị '1'), double click vào đó đổi giá trị DWORD của nó thành 0

Thoát khỏi regedit

Cách 2: dùng Group Policy Editor (Windows XP Professional only)Vào Group Policy Editor như chỉ dẫn ngay trên
Tìm đến User Configuration | Administrative Templates | System | Ctrl+Alt+Del Options

Double-click lên mục Remove Task Manager và chọn Not Configured
Thoát khỏi Group Policy Editor (hay tiếp tục mày mò, có một số trò vui khác nếu bạn thích mạo hiểm)

Folder Options

Sau khi chắc chắn Regedit của bạn vừa có thể chạy được, bạn có thể mở khóa cho Folder Options.Vào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Ở khung bên phải chú ý mục "NoFolderOptions" đang có giá trị '1', double click vào đó đổi giá trị DWORD của "NoFolderOptions" thành 0 hay xóa luôn cả mục "NoFolderOptions" cũng được
Thoát khỏi Regedit

Ghi chú: Trong cùng đất chỉ Registry này còn có một số thông số thú vị khác như DisallowRun, NoControlPanel NoDriveTypeAutoRun, NoLowDiskSpaceChecks.

"Show Hidden Files and Folders"

Nếu bạn có thể truy cập Folder Options nhưng phần "Show Hidden Files and Folders" bị mất, phục hồi theo các cách sau:

Cách 1Vào Run gõ regedit rồi enter. Tìm chính xác đến

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

Ở khung bên phải chú ý mục "Type", double click vào và nhập giá trị là group.

Sửa xong bấm F5 để refresh, kiểm tra lại Folder Options
Thoát khỏi Regedit

Cách 2Vào regedit tìm chính xác đến

Code:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Ở khung bên phải chú ý mục CheckedValue, sửa giá trị lại là 1
Thoát khỏi Regedit

[

[=========> Bổ sung bài viết <=========]

toi khong download duoc file restorereg.exe vi khong vao duoc trang

You must be registered for see links

 

[[email protected]]

hix hix,rảnh quá đi.Xin lỗi nhé,nói hơi thẳng,topic này buồn ngủ quá.Bạn chỉ nêu ra vấn đề diệt virus,tức là chữa bệnh.Thôi nói thẳng vào vấn đề.Gặp misakavo.exe chưa
Chưa gặp thì tốt,gặp rồi thì đừng bàn nhớ.Toàn bộ hệ thống treo,reset-->mất task manager,die msconfig,regedit bị unfind,group policy bất hiển thị cái gì cả.thế làm sao đây???Safe mode cứng đờ,làm gì đây.Bạn có thấy thừa không??,mất bò mới lo làm chuồng nhưng bất biết kẻ trộm vẫn còn trong nhà,mà nó còn mời thêm đàn em đàn anh của nó vào.Bó chiếu nhé.Mai nói tip đi ngủ đây

 

[baby_bebong_lovely]

Quote:

Được gửi bởi Vietkingofmetal _ Mình vừa xử lý xong con virus nhưng có vấn đề là : Trong Folder Option , nó làm mất cái show hidden files rồi >>> Bác chỉ em cách nào để nó trở lại bt nhé

của pác đây: hiện khóa

You must be registered for see links

 

[ncongly]

Hi!
Nghe các pro bàn luận về virus mình thấy hay thiệt, thank các pác nhiều!
Nhưng mà nè đụng thằng virus file hay PE thì mấy cách trên chỉ giúp một phần thôi. Còn cái quan trọng làm làm sao cho nó die trả toàn kìa!
Với lại diệt bằng tay mà đụng mấy con rootkit thì hơi mệt đó! Nó inject code tùm lum!
Nói thiệt mình khuyên các pác nên dùng soft AV đi, cho chắc ăn!

 

[kumatri185]

Thế còn chống virus từ các máy tính xâm nhập vào usb của bạn thì sao nhỉ??

 

[melody_a4]

Mình thấy fa2f nói cách nhận diện virus đúng đấy, và cả khi vào explore cũng bị dính virus cũng trả toàn đúng.

Bằng chứng là mình vừa mới cầm USB chức phần mền diệt virus cho máy thằng em (máy nó bị dính virus New folder.exe). Vừa cắm usb không máy mình bất chọn mở từ autorun của USB mà mở = explore, vừa mở ra con New Folder.exe chạy dô USB mình nằm luôn, nó còn làm cho mấy chương trình diệt virus bất chạy nữa.

May mình còn nhớ lời thầy chỉ là virus chỉ cần máy tự khởi động là tự động gọi nó cho nên cần diệt nó lúc nó ngủ.

Vậy bất cần boot windows ở ổ đĩa cứng mà dùng HĐH trên đĩa CD. Vì dùng HĐH trên đĩa virus chưa bị đánh thức ta cứ xóa nó.

Mình vừa dùng MiniWindow trên Hiren Boot diệt con New folder.exe được rồi đấy. Bạn có thể dùng HĐH Linux hay một số HĐH dùng đĩa khác để diệt virus

 

[Gti_vn]

các bạn nên dùng total commander đi:

You must be registered for see links