Các bạn thử xem ai đã bị
dính con Virus này chưa? Khi bị dính virus này, nó sinh ra một file.exe
giống tên thư mục gốc, đồng thời ẩn luôn thư mục đó đi. Máy chủ của mình
bị nhiễm, sau khi diệt virus này thì ko thể làm thay đổi thuộc tính của
folder bị nhiễm. Virus này có tạo ra một thư mục là Netsky.exe nhưng nó
ko phải là virus ngoại đâu nhé, mình dùng SAV 9.0 + NOD32 update thường
xuyên mà ko phát hiện được. Duy nhất có chú BKAV là bắt được nhưng
không thể khôi phục lại thuộc tính của các folderr bị ẩn. Ai có cao kiến
giúp với !!!
Thanks trước
Mình dùng AVG 7.5 để diệt sạch được con này. Tuy nhiên sau
khi cài xong bạn nên down update database virus của trương trình này
về ngay thì diệt mới có hiệu quả! (
http://grisoft.com) . Mà sài trình diệt virus
nào cũng vậy, muốn diệt các loại virus có hiệu quả, ngoài
việc cài đặt chương trình thì bạn nên update ngay database virus
mới nhất cho trương trình ấy thì diệt mới mong có hiệu quả cao. (và
nhớ là định kỳ ít nhất 1 tuần 1 lần update mới nhé
)
Con virus này làm ẩn đi các folder. Sở dĩ ta ko thể bỏ đc thuộc tính
hidden này mặc dù biết rất rõ là chỉ cần bỏ thuộc tính ẩn đi là folder
trở lại bình thường là vì con virus này nó set luôn thuộc tính
System cho folder đó. Các chương trình diệt virus lại chỉ diệt mà ko
khôi phục thuộc tính ẩn của các folder. Vì vậy để lấy lại folder
ẩn bạn vào Run/cmd
Ở dấu nhắc dòng lệnh DOS bạn gõ cú pháp lệnh:
Code:
C:\attrib -S -H -R <path file name> /S /D
với các tham số:
-S -H -R là lần lượt hủy các thuộc tính system, hidden, read-only
của files (folders)
<path file name> là đường dẫn đến file (folders) bạn cần
khôi phục các thuộc tính bình thường
/S : Cho phép bạn khôi phục thuộc tính bình thường cho cả những
thư mục con và những file thuộc thư mục con này.
/D : ko có tham số này là ko khôi phục thuộc tính cho folders
được đâu nha (chỉ khôi phục cho files được thôi).
Gud luk!
Bro down chương trình này về chạy, rồi chọn nơi lưu trữ folder ẩn rồi
click " start restore " là OK !
Link download:
Code:
http://echip.com.vn/echiproot/Softwares/2007/restore.exe
Chúc may mắn !
Câu hỏi 1: Xin cho biết các
thao tác cần nắm để phòng tránh Virus máy tính ?
Trả lời:
Những thao tác cần nắm để phòng
tránh Virus khi xài máy tính
1) Trước khi chạy (thực thi) một file nào đó (với bất kì định dạng
nào, cho dù là tấm hình hoặc bài nhạc) được lấy từ bất kì nguồn nào (từ
người thân gửi, hoặc download từ Internet, hoặc từ Yahoo chat ...) (và
file đó chưa được chính mình xác định có Virus hay không) (và cho dù máy
bạn đang có nhiều AntiVirus chăng nữa), phải tiến hành gửi file đó lên
Internet để kiểm tra độ an toàn.
Kiểm tra bằng 2 cách thông dụng
sau:
a1) Vào site : http://www.virustotal.com/ ,
click
vào "Choose File" rồi chọn File mà mình chưa xác định
an toàn và cần kiểm tra. Sau đó nhấn "Send File" và
chờ.
Khi gửi file lên site này kiểm tra, có khoảng 40 AntiVirus
cùng quét độ an toàn của file ấy.
Nếu file ấy đã được ai đó
(hoặc chính bạn) gửi lên kiểm tra từ trước thì nó sẽ ra kết quả lập tức,
và có dạng thông báo như 2 hình sau:
Hình 1
Hình 2
2 thông báo như hình trên đều có
dạng vắn tắt (vì file này trước đó đã có người gửi rồi)
Ở thông
số Results ở hình 1 là 0/40 , ý nghĩa
là : có 40 trình Antivirus quét file đó, và 40 trình đều báo cáo file
đó an toàn, hoặc cả 40 trình đều bị cái file Virus ấy qua mặt (nhưng đây
là trường hợp hiếm). Chúng ta nên tin tưởng nhiều vào thông báo của 40
trình Antivirus này.
Ở thông số Results ở hình 2
là 26/40 , ý nghĩa là : có 40 trình Antivirus quét
file đó, và có 26 trình phát hiện được file đó là Virus. Thông
thường thì cỡ khoảng từ 5/40 trở
lên là ta phải bắt đầu nghi ngờ Virus rồi nhé.
Ở trường
hợp thấy thông báo là Virus như hình 2, bạn có thể click vô nút "Show
last Report" để xem chi tiết trình nào phát hiện ra con virus
gì.
Đây là vài hình chi tiết để các bạn ngắm.
Những kết quả
mang màu đỏ tức là trình Anti ấy phát
hiện ra file đó là Virus, và đặt tên cho nó đc tô màu đỏ.
Hình 3
Hình 4
Đôi khi cũng có sự hiểu lầm của
AntiVirus , nó coi các file kia là Virus nhưng thực sự những file đó vô
hại.
Vì thế, cần tập quét nhiều để nhìn quen các thông báo trên
này.
Hoặc nếu ai chưa có khả năng hiểu thông báo thì nên gửi
link thông báo cho người rành Virus máy tính kiểm tra giúp.
a2)
Download và cài tool này http://www.virustotal.com/vtsetup.exe.
Đây là công cụ giúp rút gọn động tác gửi file để quét (như trên)
một cách nhanh chóng.
Cách dùng: Khi cần quét
kiểm tra 1 file nào đó có an toàn không, Right Click
lên file đó, chọn "Send to" -> VirusTotal
..... Và ngồi chờ như trên.
b) Cũng là kiểm
tra file như phần a, nhưng đây là ở Site khác http://virusscan.jotti.org/ .
Chọn "Choose File" -> "Submit"
-> ngồi chờ -> và đọc kết quả cũng tương tự site kia.
2) Thiết
lập cho
máy tính của mình để nếu lỡ USB có chứa Virus thì việc truy cập vào
USB cũng dễ dàng và an toàn hơn
a)
Vào Start, Run, gõ "gpedit.msc",
enter, rồi làm theo hình.
Chỉnh thành thế này
Rồi Vào chỗ này
Chỉnh thành thế này
b) Vào Start,
Run, gõ "Services.msc", enter,
rồi làm theo hình.
Chỉnh thành thế này
c) Vào
Start, Run, gõ "Regedit", enter.
_ Tìm xóa key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
_ Vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf
Thêm vào
key mặc định (Default) của nó giá trị @SYS:DoesNotExist
------------
RESTART lại
máy tính
(Nhiều người vẫn hay thiết lập cho USB để chống Virus
chiếm file, hoặc dùng các trình bảo vệ USB theo nhiều cách. Mình thấy
những điều đó là không cần thiết và rườm rà, bởi động tác thiết lập ở
máy tính là đủ cho việc an toàn truy cập USB bằng mọi cách.)
Nói
rõ thêm phần này:
Nếu bạn chưa thiết lập như hướng dẫn,
thì các động tác sau đây là nguy cơ để dính Virus từ USB:
_ Có thể
chỉ cần cắm USB_có_Virus là Virus đã tự chui vào máy rồi.
_ Double
click trực tiếp lên USB.
_ Right click lên USB, chọn bất kì dòng nào
để truy cập USB.
3) Tránh
bị đánh
lừa bởi các Icon quen thuộc:
Khi nhận 1
file từ ai đó, nếu khá tin tưởng vào nó và bạn bỏ qua bước kiểm tra bên
trên, thì cũng khoan hãy chạy nó.
Với 5 ví dụ ở hình trên, cả 5 đều
có thể là Virus giả dạng Icon đánh lừa.
_ Hình 1 : ta nghĩ đó là
tấm ảnh, nhưng khi mở ảnh thì lại là 1 Virus còn ảnh thì không thấy đâu.
_ Hình 2 : nghĩ là 1 thư mục, nhưng cũng có thể là Virus giả dạng đánh
lừa. Và khi mở thư mục đó sẽ dính Virus vì đâu có tồn tại thư mục nào
đâu. Bản thân thư mục đó là 1 file thực thi Virus.
_ Hình 3 : là 1
file nhạc, nhưng có thể là 1 file Virus mượn Icon của file nhạc để lừa
ta mở nghe.
_ Hình 4 : ối chà, 1 file văn bản, quá an toàn, mở nó ra
thôi. Ai ngờ lại cũng có khả năng là Virus.
_ Hình 5 : là chtrình
soạn thảo văn bản Notepad, hì, chạy nó thôi. Ấy chết, lại là Virus.
Một ví dụ khác
Ở 3 hình này, nhìn vào thấy canh
dep.jpg Nhac.mp3 Van ban.txt
cứ tưởng là máy đã mở chức năng xem đuôi file (định dạng file), thế
nhưng chỉ cần sơ ý 1 tí thôi là dính Virus theo kiểu lừa này.
Thực
ra máy tính lúc đó chưa mở chức năng xem đuôi file.
Và khi mở đuôi
file ra xem thì 3 file trong hình lòi ra cái đuôi lừa đảo (hình dưới là
sau khi mở đuôi để xem định dang)
Để có thể thấy được đuôi thực sự
của các file, ta vào MyComputer , Tools
- Folder Options - View , gỡ bỏ đánh
dấu ở "Hide extentions for known files type"
4) Những lời
khuyên sau cùng:
_ Nếu bạn thực sự nắm vững
những điều nói trên thì có thể không xài AntiVirus cũng vẫn an toàn.
Nhưng dù gì thì cũng cần có 1 AntiVirus lận lưng.
_ Không nên
cài quá nhiều AntiVirus trong 1 máy. 2 Anti là hết mức.
_ Hạn
chế vào các Web tìm Crack, vì hơn 50 % các file trong những web Crack đó
là có kèm Virus rồi.
_ Hạn chế vào các Web đồi trụy để tránh
các mối hiểm họa chưa lường trước.
_ Ở Yahoo Chat hoặc bất cứ
trình Chat Online nào, có ai gửi Link thì khoan hẳn click vào. Phải hỏi
lại thật kĩ người gửi nguồn link đó. Dù người gửi đã chắc chắn là an
toàn, nhưng ai biết được bản thân người gửi cũng không ngờ Link đó có
Virus. Bởi thế cần có thêm bước kiểm tra nữa, đó là quét Link Online.
Truy cập vào web site http://online.drweb.com/?url=1,
bỏ cái link cần kiểm tra vào khung, rồi nhấn SCAN. Nếu
nó ra kết quả CLEAN thì link kia sạch, ERROR thì là kiểm tra không
được, nếu báo màu đỏ thì link nguy hiểm. Tuy nhiên, vẫn không tuyệt đối
tin vào các kết quả.
Tuy những điều bên trên chưa phải là tuyệt đối an
toàn, nhưng nếu nắm vững thì ít ra không bị dính Virus một cách ngớ
ngẩn.
============================================
============================================
Câu hỏi 2: Máy tôi bị nhiễm con virus
images.exe khi vừa cắm USB vào, cho hỏi con này có tác hại
như thế nào? Và diệt nó ra sao?
Trả lời:
Cơ chế tự tổng hợp và phân rã của virus
image.exe
- khi được kích hoạt nó tạo ra 2 file C:\windows\system32\system.exe và
file
C:\windows\userinit.exe
Và 2 file virus đó có khả năng bảo vệ nhau.
VD nếu mình end C:\windows\system32\system.exe
thì con C:\windows\userinit.exe sẽ tự động nạp lại con kia
còn nếu minh end C:\windows\userinit.exe
thì con C:\windows\system32\system.exe tự động nạp con còn lại
2 file này sau khi mình soi bằng
IceSword122en
thì được biết chúng là 2 file HOOK có khả năng bảo vệ lẫn nhau và có khả
năng tự động nhận ra khi usb được cắm vào.
minh muốn hỏi là làm thế nào,hay người ta sử
dụng kỹ thuật nào để có thể phân rã được file image.exe thành 2 file
trên và khi cắm usb vào nó lại có khả năng tổng hợp 2 file trên thành
file image.exe
Mình sưu tầm được cách diệt con này bên Virusvn bạn
thử
nha:
Cách diệt con này đây
vào run gõ notepad copy đoạn dưới đây vào lưu dưới dạng file .bat
Chúc các bạn thành công
Taskkill /f /im explorer.exe /im ctfmon.exe /im
system.exe /im userinit.exe
Del /Q /F /A s %windir%\userinit.exe
Del /Q /F /A s %windir%\system32\system.exe
Del /a /s /q /f "system volume information.exe"
Del /Q /F /A s c:\autorun*
Del /Q /F /A s d:\autorun*
Del /Q /F /A s e:\autorun*
Del /Q /F /A s f:\autorun*
Del /Q /F /A s g:\autorun*
Del /Q /F /A s h:\autorun*
Del /Q /F /A s i:\autorun*
Del /Q /F /A s j:\autorun*
Del /Q /F /A s k:\autorun*
Del /Q /F /A s l:\autorun*
Del /Q /F /A s m:\autorun*
Del /Q /F /A s n:\autorun*
Del /Q /F /A s o:\autorun*
Del /Q /F /A s p:\autorun*
Del /Q /F /A s q:\autorun*
Del /Q /F /A s r:\autorun*
Del /Q /F /A s s:\autorun*
Del /Q /F /A s t:\autorun*
Del /Q /F /A s u:\autorun*
Del /Q /F /A s v:\autorun*
Del /Q /F /A s w:\autorun*
Del /Q /F /A s x:\autorun*
Del /Q /F /A s y:\autorun*
Del /Q /F /A s z:\autorun*
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v
Shell /t REG_SZ /d Explorer.exe /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v
Userinit /t REG_SZ /d C:\WINDOWS\system32\userinit.exe, /F
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ex
plorer\advanced\folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 1
/f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ex
plorer\advanced\folder\Hidden\SHOWALL" /v DefaultValue /t REG_DWORD /d 2
/f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ex
plorer\advanced\folder\Hidden\SHOWALL" /v Type /t REG_SZ /d radio /f
Reg delete
"HKU\S-1-5-21-861567501-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\policies"
Explorer
Test
./.
10 cách phát hiện và tận diệt virus máy tính
TTO - Vấn nạn virus máy tính luôn làm đau đầu nhiều
người. Tuy nhiên, không thiếu cách để họ có thể tự phòng vệ, phát hiện
và tiêu diệt virus máy tính.
{Gợi ý: Thường xuyên cập nhật các bản vá lỗi, sử dụng trình antivirus đáng
tin cậy là những việc cơ bản nhất để an toàn trước virus máy tính}
Kiểm tra hệ thống
1/ Microsoft Process Explorer (trước đây là Sysinternals)
Sử dụng tiện ích miễn phí Process Explorer sẽ giúp bạn
kiểm soát được tất cả tiến trình có trên hệ thống (Windows). Phần mềm
chuyên dụng này sẽ thông báo cho bạn biết chức năng của từng tiến
trình. Ngoài ra, nhờ vào Process Explorer, bạn có thể tạo ra những điểm
ngưng khi PC đang hoạt động bình thường. Một khi gặp trục trặc, chỉ cần
sử dụng Process Explorer và so sánh giữa các lần quét. Những sự khác
biệt mà tiện ích chỉ ra sẽ giúp bạn khám bệnh cho PC một cách dễ dàng
để phát hiện virus. Tải về tại đây.
2/ HiJackThis của Trend Micro
HiJackThis cũng có tính năng gần giống với Process
Explorer khi giúp bạn tạo ra những điểm ngưng hệ thống, để so sánh phát
hiện virus máy tính khi cần thiết.
Trong trường hợp không thể loại bỏ được phần mềm độc
hại, bạn có thể gửi tập tin HiJackThis “xét nghiệm” (log file) PC cho
các dịch vụ web “chăm sóc” trực tuyến phân tích, tiêu biểu là
HiJackThis.de Security và NetworkTechs.com. Tải HiJackThis về tại đây.
3/ GetSystemInfo của Kaspersky
{Gợi ý: Kaspersky, công cụ an ninh mạng hàng đầu hiện nay, với chi phí dưới 300.000 đồng cho một năm sử dụng}
Hãng bảo mật lừng danh Kaspersky cũng có một ứng dụng
tương tự HiJackThis với tên gọi GetSystemInfo. Đây là “bác sĩ máy tính”
miễn phí trên mạng của Kaspersky. Bạn chỉ cần tải tập tin “nghi phạm”
lên và dịch vụ sẽ tự động phân tích “khám bệnh” giúp.
Cũng giống như một số dịch vụ quét virus trực tuyến
khác, GetSystemInfo rất hữu hiệu mỗi khi bạn muốn biết trên PC của bạn
có gì và nhất là để phát hiện các phần mềm hiểm độc có len lỏi vào
chiếc máy tính hay không.
Lưu ý: bạn phải nắm rõ kiến thức chuyên sâu về hệ điều
hành để có thể can thiệp hợp lý một khi PC gặp rắc rối theo khuyến cáo
của vị “bác sĩ” này. Chi tiết tại đây.
Quét lỗ hổng hệ thống
Sự xâm nhập của virus máy tính bắt nguồn từ các lỗ
hổng hệ thống, ngoài ra có thể do người dùng sử dụng chủ quan, thiếu
kinh nghiệm. Một khi gặp trục trặc, bạn có thể nhờ tới các công cụ diệt
virus (anti-malware, antivirus). Thường chúng có khả năng bảo vệ theo
thời gian thực, đồng thời sẵn sàng trở thành chiến binh giúp bạn dọn
dẹp các “phần tử” nguy hiểm. Tuy nhiên, trước hết, bạn hãy sử dụng một
số công cụ phát hiện lỗi hệ thống sau đây:
4/ Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) là tiện
ích dò quét các lỗ hổng hệ thống thiếu an toàn trên Windows, đồng thời
phát hiện những sản phẩm nào của hãng phần mềm này chưa được cập nhật
các bản vá lỗi. Công cụ của Microsoft sẽ rất hữu ích với các nhà quản
trị hệ thống và cả người dùng cá nhân. Tải về tại đây.
5/ “Máy quét” của Secunia
Công cụ quét hệ thống của Secunia cũng tương tự như
MBSA khi xử lý các sản phẩm của Microsoft. Nhưng khác với MBSA, Secunia
còn có thể “khám bệnh” cho hàng trăm ứng dụng thứ ba. Đó là một trong
những điểm mạnh làm nên tên tuổi của ứng dụng này.
Với hai phương án hỗ trợ (quét trực tuyến hoặc nhờ vào trình ứng dụng), bạn có thêm lựa chọn để nhờ Secunia xử lý. Chi tiết tại đây.
6/ Sử dụng các trình diệt virus chuyên dụng
Hiện nay có hàng loạt phần mềm antivirus để lựa chọn.
Chúng có khả năng phát hiện và tận diệt phần mềm hiểm độc xuất hiện
trên PC. Ngoài việc bỏ ra một khoản nho nhỏ để sở hữu phần mềm bản
quyền những chương trình diệt virus nổi tiếng như Kaspersky,
Bitdefender... bạn có thể tin tưởng một số công cụ tương tự miễn phí,
như Avast (antivirus) hay Comodo (tường lửa) trên Windows.
Một khi phát hiện hệ thống bị nhiễm virus, hoặc các
chương trình ứng dụng chưa được cập nhật bản vá an ninh, hai việc thiết
yếu bạn nên làm là cài đặt ngay chương trình antivirus đáng tin cậy và
tìm cách cập nhật bản hotfix vá lỗi từ nhà sản xuất phần mềm.
Có hai điểm lưu ý là: hacker thường phát tán những
phần mềm malware mới chưa được các hãng sản xuất phần mềm nhận diện, do
đó, để tránh trở thành nạn nhân bạn nên thường xuyên cập nhật cơ sở dữ
liệu virus của trình ứng dụng, ngoài ra sử dụng tường lửa và phần mềm
antivirus là một trong những phương án tỏ ra tương đối hiệu quả.
Ngoài ra, lợi dụng sơ hở của người dùng, các hacker
còn “bào chế” những phần mềm antivirus giả mạo, quảng cáo trên mạng
Internet hoặc do adware phát tán. Bạn phải cảnh giác để tránh tải về
“kẻ trộm”. Hãy tham khảo lời khuyên từ các chuyên gia và chỉ tải phần
mềm từ những trang đáng tin cậy như softpedia.com, download.com... Khi
gặp phải các phần mềm giả mạo, bạn có thể tham khảo cách gỡ bỏ chúng tại đây.
7/ Sử dụng Malicious Software Removal Tool của Microsoft
Malicious Software Removal Tool (MSRT) là một công cụ
khác của gã khổng lồ phần mềm trong nỗ lực bảo vệ Windows cho người
dùng. Bạn có thể tin tưởng vào tiện ích tận diệt phần mềm hiểm độc này.
Ba lý do để sử dụng MSRT:
• Quá trình quét và tận diệt virus hoàn toàn tự động
• Sử dụng Windows Update để cập nhật cơ sở dữ liệu một cách tự động
• Có nhiều điểm mạnh với tư cách là sản phẩm của nhà sản xuất gốc nên dễ sử dụng, quản lý
Tải về tại đây.
8/ Dùng tiện ích SUPERAntiSpyware
SUPERAntiSpyware là một công cụ quét virus khác có khả
năng dò, phát hiện và gỡ bỏ hàng loạt malware. SUPERAntiSpyware nhận
được sự đánh giá khá cao của các thành viên TechRepublic, một diễn đàn
chuyên sâu về công nghệ. Đây được coi là ứng cử viên duy nhất (phần mềm
miễn phí) có thể sánh với các phần mềm thương mại tương tự trong danh
sách thống kê năm 2009. Tuy nhiên, lưu ý, SUPERAntiSpyware chủ yếu tận
diệt các phần mềm gián điệp (spyware).
Bạn có thể tải bản miễn phí dành cho người dùng cá nhân tại đây.
9/ Anti-Malware của Malwarebyte
Malwarebytes Anti-Malware (MBAM) được xem là công cụ
tốt nhất trong nhóm này. Hiện tại, MBAM không phải là “bất bại” trước
virus, nhưng trong những trường hợp các phần mềm khác đã “bó tay”, bạn
có thể tham khảo MBAM. Chi tiết tại đây.
10/ GMER - diệt rootkit
Hiện trên thị trường không nhiều phần mềm chuyên dụng
gỡ bỏ rootkit. Tuy nhiên, GMER là một trong những lựa chọn bạn có thể
tin cậy. Chi tiết và tải về tại đây.
Lưu ý:
Sử dụng các công cụ, thủ thuật nói trên có thể đảm bảo cho bạn tránh được mọi virus, malware nhưng cần chú ý:
• Luôn cập nhật phần mềm, cơ sở dữ liệu mới nhất
• Chạy công cụ kiểm định hệ thống, lưu lại log file
• Quét virus định kỳ
Zumong (Theo Techrepublic)
