Máy bị nhiễm virus lạ ! Chưa biết phải xử lý ra sao ! Ai đã bị như thế này và đã khắc phục được rồi thì làm ơn chỉ giúp với
Triệu chứng như sau :
Tất cả các chương trình ứng dụng đều bị báo lỗi (hoặc xuất hiện cửa sổ Open With), không thể vào được msconfig, regedit, nhưng lại vẫn vào được gpedit.msc. Khi vào Tools --> Options để làm hiện các file ẩn nhưng không thể làm được !
Đã dùng AVG, update mới nhất (ngày 26/5) nhưng vẫn vô tác dụng.
(Bị như thế này do copy mấy file word của đứa bạn về).
Ai biết giúp với !
Chào bạn (anh, chị
)!
Vấn đề với con Virus
hơi bị quen trên mình xin được phép trình bày như sau:
- Một dạng Virus xuất hiện dưới dạng một tập tin exe được tự động kích hoạt khi bạn double click vào trong một ổ đĩa hay một file được gắn kèm nào đó. Lúc trưa hôm qua khi sửa máy cho người bạn cũng đã gặp trường hợp tương tự thế này.
- Triệu chứng: Trong Processes của Task Manager sẽ xuất hiện thêm rất nhiều tập tin exe đang chạy, chúng có một số tên rất là
hệ thống ví dụ cmd.exe (mặc dù không mở Command Promt), comio.exe, svhost.exe (giống file trong kernel), init1.exe, IEEXPLORER.EXE (dù không mở IE), userinit.exe, sever.exe ... tắt cái này thì nó lại hiện ra cái khác và phần CPU Usage trong Perfomance có thể sẽ tăng lên đến cực cao là 100%, điều này có thể làm cho máy bạn bị treo, hoạt động chậm chạp, tất nhiên là nhiều file exe không chạy được do bị Virus này cắn nát rồi (không phải không có trường hợp ngoại lệ). Nó được tự động chạy mỗi khi Windows khởi động.
Thử tìm kiếm vị trí nó xem nào? Vào trong Explorer gõ vào thanh Address: C:\autorun.inf tương tự cho ổ D và E, tất cả đều giống nhau với một nội dung: các dòng lệnh kích hoạt file OSD.EXE (tùy máy có thể khác) trong thư mục cùng cấp với autorun.inf, sau đó copy file trên vào C:\Windows\System32 ...
Mấy cái con chạy theo Autorun này thì diệt dễ thôi, vấn đề là đã bị nhiễm rất nhiều trong Process rồi làm sao mà quản lí hết. Câu hỏi trên của bạn khắc phục cũng dễ và không phức tạp bằng máy mà MTX đã gặp. Bạn coi cách diệt ở dưới nha.
- Cách khắc phục: Tất nhiên là ta phải biết nguyên nhân, cách hoạt động cũng như xâm nhập và lây lan của nó, MTX xin nêu 2 cách mà MTX Team đã làm.
--- Lần đầu tiên cài thử KAV (Kaspersky Anti Virus tên gọi khác là Kapesky) vào, tin không vui là không kích hoạt và không chạy được trong Win (phá hỏng file khi phát hiện ra search engine của các trình Anti thì phải - mình đoán thế).
Vào SafeMode (môi trường an toàn) cài thì sao? Rất tiếc báo lỗi Windows Installer không chạy được trong môi trường này, bật Task Manager lên xem, không phải là không có file "xấu" đang chạy trong Processes như ta đã nghĩ về SafeMode, buồn quá biết sao đây?
. Vào lại Windows chạy BKAV, ào ào như nước cuốn nhưng xui xẻo lần hai là nước cuốn không được cái gì cả mặc dù danh sách đen bất khả kill nằm lì lì trong Process mà thấy lòng không yên. Bó tay à? KAV cài vào cũng bị cắn, Bitdefender, NAV, NOD, AVG, McAFee ... chắc cũng đi theo luôn
(do máy thằng bạn nó không có nên cũng không cài thử - nhưng chắc cũng die
) . Vậy làm sao đây, bó tay?
Các tập tin chạy trên môi trường Windows đều bị hỏng hết.
Không được, phải diệt đến cùng. Không chơi trên Windows được thì quay lại thời xa xưa, chơi với DOS, bạn kiếm trong tay một đĩa Boot Hiren mới. Hiện trên mạng đã có 9.1 (MTX tải được trên một số trang ở .IR) ngoài tiệm thì có lẽ mới có 9.0 và trong đó mình chỉ cần dùng 2 công cụ trong bộ công cụ đầy đủ ấy là: McAFee (gọi tắt McA) và VolKol Commander. Từ từ mình sẽ nói mục đích sau.
McA thì ai cũng biết cả rồi phải không nào? Ở đây mình sẽ diệt trên dos bởi vì trên môi trường này Virus, Spyware sẽ không kích hoạt được. Ái chà chà, ổ C lúc trước đã phân vùng NTFS mất rồi làm sao đây nhỉ? Do đó trước tiên phải chạy Volkol Commander để Mount được cái định dạng NTFS đã rồi mới chạy McA. Ok, tất cả rất ok, chọn ổ đĩa hệ thống, chọn các ổ đĩa khác ...
..... Virus ... deleted in %\system32\net1.exe..
..... Virus ... deleted ......
......
vui quá xá luôn
tất cả đã bị McA chạy trong môi trường Dos kill hết. Lòng thấy chút thanh thản hơn rồi
. Quét xong ổ hệ thống thì quét luôn tất cả ổ còn lại, khà khà chính xác như ta đã check lúc đầu trong file autorun.inf là con OSD.EXE bị giết ngay tức thì. Ổ nào cũng có nó cả. Vui.
Khởi động lại máy và windows, chạy nhanh hơn hẳn, bật Task Manager xem nào ... không thấy con nào cả. Tuyệt cú mèo
Xóa và cài lại KAV, active nó quét thêm lần nữa. Không thấy gì hết vui.
-- Cách nữa hơi bị cổ điển là cài lại Windows, dù bạn có quét hết virus khỏi ổ cứng tuy nhiên bạn vẫn chưa thấy yên tâm về cái windows và rất nhiều file đã bị hỏng do virus phá nát rồi do đó tốt hơn hết là cài lại thôi. Backup Documents cẩn thận, một số thứ cần thiết trong ổ C. Format NTFS (kiểu Normal), cài lại xong. Vấn đề mình đặt trường hợp là không thực hiện cách một mà chơi an toàn cài lại win luôn (nhanh mà, có hơn 20' chút xíu) thì tụi phá hoại kia nó nằm rình sẵn trong D, E chờ mình dính bẫy. Bạn hãy đọc tiếp kinh nghiệm của MTX khi sống và làm việc với Virus như sau.
Bảo vệ an toàn cho mình và hệ thống trước virus:
- Cẩn thận không double click vào các ổ đĩa nếu thật sự không thấy an toàn.
- Hãy bật một trình Anti nào đó trước khi cắm USB của thằng bạn vào máy mình. (của con bạn, chị bạn, cô bạn thì không cần phải sợ
, ai nghe lời mình chết ráng chịu
USB, tập tin gì của chị em phụ nữ cũng phải cẩn thận khi đụng tới hết
)
- Như câu hỏi trên của anh MTX làm như sau: Mở WinRar ra, chắc máy nào cũng có cái này rồi (c:\Program Files\WinRAR\WinRAR.exe). Trong phần địa chỉ, nhấn mũi tên chỉ xuống mở ổ D ra, chắc chắn trong đó sẽ có một file autorun.inf (không có MTX từ chức quản lí BOX CNTT luôn
) mở ra coi nó sẽ thực hiện những lệnh để thực thi file nào. Xóa file exe đó đi (trước đó vào Processes tắt nó đi đã), MTX thường thấy máy bạn bè (có máy ba mình ngoài quê nữa, há há
) cũng bị nhiễm một số file xấu như: fun.xls.exe, fun.exe, myini.exe ... trong đó con fun.xls.exe thấy hơi bị nhiều. Túm lại là các bạn nhớ: Xóa file exe, xóa autorun.inf đi.
À nói thêm. Tại sao mở ổ đĩa lại ra Openwith ...
. Khà khà, do autorun nó nằm bên trong, mà MTX đã nói rồi double click là file được include trong autorun sẽ được kích hoạt, trong khi đó BKAV (BKAV lúc này thì cũng diệt được con nhỏ nhỏ kia rồi), và một số trình Anti khác nó kill mất file xấu được include mất rồi lấy đâu nó chạy cho nên .... Openwith là phải rồi. Dùng WinRar như trên nhé!