PDA

View Full Version : Tổng hợp biện pháp khắc phục virus nội lây lan qua USB



hrockvn
06-06-2007, 05:43 PM
Mặc dù đã có nhiều cảnh báo song gần đây Virus nội lẫn ngoại vẫn lây lan mạnh. Đặc biệt là những chú lây lan qua mạng LAN và ổ di động như CD, đĩa mềm và ổ Flash

(USB). Những loại này thường có đặc điểm sau:


- Tự động chạy khi bạn đưa đĩa hoặc ổ vào máy thông qua việc chạy một file Autorun.inf. File này có tác dụng gọi đến một file .exe khác là file virus. Nếu bạn nhấn chuột phải vào ổ đó bạn sẽ thấy có thêm lệnh Auto Play. Và nếu bạn nhấn đúp vào ổ, vô tình bạn đã kích hoạt virus vì khi đó lệnh Auto Play sẽ chạy chứ không phải lệnh Open mở ổ như mọi khi. Một số con mới nguy hiểm hơn là không cần làm gì, chỉ cần cắm vào là nó lây.
- Khóa registry của bạn.
- Khóa Task Manager.
- Giấu Folder Options.
- Copy vào C:\Windows\System32 một file *.exe của chương trình.
- Thêm vào StartUp lệnh gọi đến file *.exe ở trên để virus tự chạy khi bạn bật máy.
- Một số con còn làm cho máy tự khởi động lại sau một thời gian. Thậm chí như con Brontok còn tự khởi động lại nếu bạn định mở regedit hoặc bất cứ console nào để dùng lệnh. Khiếp.

Bài viết này sẽ hướng dẫn cách để bạn khắc phục các tình trạng trên. Xin làm theo những bước bắt buộc sau:
Bước 1:


1/ Tắt System Restore.
Nhấn chuột phải vào biểu tượng My Computer. Chọn Properties. Chọn thẻ System Restore. Bấm Turn off System Restore on all drivers.

2/ Khởi động vào SafeMod bằng cách khi máy bắt đầu khởi động thì bấm F8 liên tục. Khi có menu thì chọn Safe Mod with Networking để ta có thể vào mạng khi diệt virus.
Nếu bạn đã tải các file ở bài viết này rồi thì không cần chọn with networking mà chọn Safe Mod là đủ. Tôi khuyên bạn nên tải hết về rồi vào SafeMod thôi. Tránh đụng đến mạng khi đang diệt Virus. Trừ khi đang chạy Win mà máy cứ khởi động lại thì ta dùng SafeMod with Networking.

3/ Tải Hijack This tại http://www.merijn.org/programs.php#hijackthis hoặc file đính kèm trong máy. Cách dùng Hijack This tham khảo tại

http://www.daoduytu.net/forum/showthread.php?t=78

4/ Tải BKAV tai http://bkav.com.vn

5/ Tải các file đính kèm ở dưới bài viết này.


Bước hai:
Tùy vào tình trạng máy minh mà bạn chọn các phương án phù hợp.


I. Khôi phục Registry Editor:

Cách 1: Mở notepad lên (bằng cách đơn giản là nhập lênh notepad vào cửa sổ Run của Windows) và nhập vào nội dung sau:



REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System]
"DisableRegistryTools"=-

Tải file enable_registry_2k.rar ở dưới.
Lưu lại với tên tùy ý, đuôi mở rộng là .reg Sau đó hãy chạy file này bằng cách nhấn đúp chuột lên file hoặc nhấn chuột phải và chọn Merge. Cách này chỉ chạy tốt trên Win 2K còn Windows XP thì không được.

Cách 2: Mở notepad lên và nhập vào nội dung sau:



'Enable/Disable Registry Editing tools
'© Doug Knox - rev 12/06/99
'This code may be freely distributed/modified as long as it remains free of charge
'http://www.icpug.org.uk/national/features/030607fe.htm
'Edited by PatheticCockroach - http://patheticcockroach.com
Option Explicit
'Declare variables
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype
On Error Resume Next
Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools"
itemtype = "REG_DWORD"
jobfunc = "Registry Editing Tools are now "
ttl = "Result"
'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)
toggle=1
If (rr=1 or rr2=1) Then toggle=0
If toggle = 1 Then
WSHShell.RegWrite val, 1, itemtype
WSHShell.RegWrite val2, 1, itemtype
Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
WSHShell.RegDelete val
WSHShell.RegDelete val2
Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If

Tải file enable_registry_2k_xp.rar ở dưới.
Lưu lại với tên tùy ý, đuôi mở rộng là .VBS (Visual Basic Script). Thực thi file này bằng cách nhấn đúp chuột lên file đó. Cách này có thể chạy tốt trên cả Windows 2K và XP.

Cách 3:Copy dòng code sau rồi save lại với đuôi reg (ví dụ virus.reg):

//Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies]



[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000091

"NoInternetIcon"=dword:00000000

"ClearRecentDocsOnExit"=dword:00000001

"NoLowDiskSpaceChecks"=dword:00000001

"NoSaveSettings"=dword:00000000

"NoFolderOptions"=dword:0000000



[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System]



"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000



[HKEY_CURRENT_USER\Software\Policies\

Microsoft\Internet Explorer\Restrictions]

"NoBrowserOptions"=dword:00000000

//

Chạy file này. File này có thể mở Folder Options, mở Task Manager, Registry. Tải file enable_all.rar.
Cách 4: Đơn giản hơn là bạn chạy Hijack This. Chạy xong, tìm dòng nào có cái disalbe registry=1 thì tick vào đó và bấm Fix Checked.

II.Task manager has been disabled by adminisrator
Một số virus sau khi lây vào máy sẽ khóa Task Manager lại, mục đích là để bạn không thể truy cập thẻ Processes để tắt chương trình của nó đi.Sau đây là cách enable nó lên.

Cách 1:
Mở notepad lên (bằng cách đơn giản là nhập lênh notepad vào cửa sổ Run của Windows) và nhập vào nội dung sau:


REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System]
"DisableTaskMgr"=-


Tải file: enable_task_manager_2k.rar
Lưu lại với tên tùy ý, đuôi mở rộng là .reg Sau đó hãy chạy file này bằng cách nhấn đúp chuột lên file hoặc nhấn chuột phải và chọn Merge.

Cách 2: Mở notepad lên và nhập vào nội dung sau:


'Enable/Disable Task Manager
'By PatheticCockroach - based on an idea by Doug Knox
'© 2005 MPAM Rebooted - http://patheticcockroach.com
'This code may be freely distributed/modified as long as it remains free of charge
Option Explicit
'Declare variables
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype
On Error Resume Next
Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr"
itemtype = "REG_DWORD"
jobfunc = "Task Manager is now "
ttl = "Result"
'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)
toggle=1
If (rr=1 or rr2=1) Then toggle=0
If toggle = 1 Then
WSHShell.RegWrite val, 1, itemtype
WSHShell.RegWrite val2, 1, itemtype
Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
WSHShell.RegDelete val
WSHShell.RegDelete val2
Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If

Lưu lại với tên tùy ý, đuôi mở rộng là .VBS (Visual Basic Script). Thực thi file này bằng cách nhấn đúp chuột lên file đó. Tải file enable_task_manager_2k_xp.vbs

Bạn có thể thực hiện bằng 1 trong 2 cách đã đưa ra ở trên. Cách tạo file VBS có thể chạy tốt trên Windows 2K và XP.
Cách 3:

Gõ Windows + R, nhập gpedit.msc
Tại menu bên trái chọn: User configuration-->administrative templates-->system-->ctrl+alt+del options-->double click vào remove task manager: chọn disable-->OK
vào run gõ gpupdate /force rồi mở lại.


III. Remove Folder Options from menu.
Một số Virus sau khi lây lan vào máy sẽ xóa menu Folder Options mục đích để ta không thể điều chỉnh cho hiện các file ẩn hoặc file hệ thống lên được. Vì thế ta không thể thấy đc các con virus này vì mặc định chúng cũng là file ẩn.
Gõ Windows + R, nhập gpedit.msc
Tại menu bên trái chọn: User Configuration --> Windows Components ---> Windows Explorer.
Tại menu bên phải bấm đúp vào Removes the Folder Options menu item from the Tools menu. Chọn Enable để xóa menu Folder Options khỏi menu Tools. Chọn Disable để không xóa hoặc Not Configured để giữ nguyên mặc định hiện tại.

IV. Tắt/Bật chức năng Auto Play của ổ CD-ROM và USB.
Gọi chung lại là các ổ cắm rời. Chức năng này sẽ làm cho các đĩa CD-ROM hoặc USB khi đưa vào không tự động chạy nữa. Chính vì thế loại bỏ được các Virus có cách thức lây lan qua ổ di động bằng cách tự chạy chương trình.
Gõ Windows + R, nhập gpedit.msc
Tại menu bên trái chọn: User Configuration --> System. Tai danh sách bên phải bấm đúp vào Turn off Autoplay và chọn Enable để tắt AutoPlay hoặc để Not Configured hoặc Disable để bật.

V. Kết luận.
Virus ngày một nhiều và tinh vi. Cách tốt nhất là bạn nên cảnh giác và có kiến thức chút ít về máy tính. Bản thân tôi dù không thích dùng Soft Antivirus nhưng tôi khuyên các bạn nên chạy BKAV. Dù gì thì gì với các con nội BKAV vẫn diệt rất ổn. Ngoài ra BKAV cũng nắm tình hình trong nước tốt hơn. Ngoài ra, nếu có thể chạy luôn cả BitDefender nữa.

Nếu đã chạy Antivirus, hãy thường xuyên Update, nếu ko update thì đừng dùng nữa.

Nhấn Shift trong 30 giây để ngăn chạy Autorun khi đưa đĩa vào nếu ko tắt Autorun của các ổ.

Không tò mò mở các trang web chưa biết.


Viết vội nên có thể còn thiếu sót, mong các bạn chia sẻ cách tiêu diệt. Nhưng, dù gì thì quan trọng nhất vẫn là phòng chứ không phải diệt







Phần 2 nói về cách diệt vài con, sơ qua thôi để tối tớ viết co

haidh
11-06-2007, 06:47 PM
Cách của badboy tôi là: tự tạo file autorun.inf riêng, quẳng nó vào USB.
Mở USB thì mở bằng Explorer!

hrockvn
12-06-2007, 12:15 PM
Đúng, tạo file autorun cho riêng mình. Thiết lập quyền Read Only và Hidden cho nó cũng đc là một cách.

duynamckbk7
12-06-2007, 12:18 PM
Máy anh bị đúng mỗi con W32.j`j` đó, chú có cái diệt víu nào chỉ cần diệt hoàn toàn con này không chỉ anh với, chứ mấy cái như Bit10 mí lại notron... nó báo liên tục làm anh ức chế wa'

hrockvn
12-06-2007, 12:21 PM
Làm ơn cho tụi em cái triệu chứng. Nói cái tên W32 thì con nào chả W32.

duynamckbk7
12-06-2007, 01:24 PM
oài, nó chẳng có triệu chứng j` cả. nó chỉ lây rõ nhanh, ngoài ra thì anh cứ cài antivirus nào cái thì nó cũng báo liên tục,chưa thấy ảnh hưởng j` đến máy mà chỉ ức chế khi không diệt được nó :(