Cùng phòng chống Virus máy tính

[3T]

vậy nghĩa là em phải đi mua phần mềm về xài à?trước giờ vẫn toàn xài đồ chùa.với lại nguồn gốc con virus này em còn chưa biết được.cách phá hoại của nó cũng kỳ quặc quá
à em tìm được tên của nó rồi Email-Worm.Win32.Brontok.q có ai biết gì về nó không ạ?

[dok]

À, có tên con virus là biết tình trạng máy em rồi. Anh search Google với tên con virus này, ở trang viruslist.com có mô tả về con này (http://www.viruslist.com/en/viruses/encyclopedia?virusid=121383), trang của phần mềm F-Secure (http://www.f-secure.com/v-descs/brontok_n.shtml) viết chữ to dễ đọc hơn. Tóm tắt khả năng ảnh hưởng của nó:

- Nó lây vào máy ai rồi thì khi người đó lên mạng, nó sẽ tạo spam email gửi đến những địa chỉ trong address book ở máy đó (chắc là lấy address book từ phần mềm Outlook hoặc Outlook Express), dùng máy của người đó để gửi đi, trong spam email đó sẽ có file .exe chứa bản sao của con virus đó.

- Nó tắt những chương trình làm mình có thể truy ra nguồn gốc hoặc tắt tạm thời nó: Task Manager, Registry Editor, ghê hơn là những phần mềm diệt virus thông dụng thì nó cũng không cho chạy .

- Nó bảo Windows không cho các phần mềm diệt virus connect vào trang chủ để tải bản update về.
...
Nhận xét của một người nước ngoài: It would be very uneasy to destroy the virus.

Năm ngoái anh cũng thấy một số máy bị cái này, máy của anh ở công ty cũng bị nhiễm, chữa mãi hình như được một phần, nhưng vẫn không mở được Task Manager và vào Internet Explorer thì menu Internet Options (trong Tools) bị nó làm biến mất -> cuối cùng format máy cài lại.

Nhưng giờ ở BKAV có hướng dẫn xử lý con này: http://www.bkav.com.vn/frmView.aspx?Noidung=bkav844.htm <- có thể em trị được nó, chúc may mắn .

[3T]

hihi.cảm ơn anh dok nhiều.em diệt được con virus ấy rồi.mấy bữa nay nó phiền em wá.diệt rồi thì nó lại xuất hiện.nhờ tuyệt chiêu turn off system restore của BKAV chỉ dẫn mới giết tận gốc được nó.nhưng mà trong lúc giết nó,1 số file exe wan trọng cũng bị mất luôn.giờ phải down lại.
nhưng mà không sao giết được con virus điên ấy là hạnh phúc rồi
PS:cảm ơn anh Bin với anh Shin luôn ạ

[kelangthang]

em lại gặp rắc rối nữa rồi.cái này chẳng biết post ở đâu nhưng nó là dư âm của con virus kia nên em post ở đây luôn.máy tính của em giờ không turn off được.em turn off xong thì nó lại tự restart lại.em chẳng hiểu.lúc đó em chẳng bít làm thế nào.cũng may nghĩ ra được 1 kế.trong lúc nó đang khởi động lại thì em ấn nút power.bây giờ chỉ có cách đó em mới tắt được máy thôi.hix.
các bác tìm hiểu giúp em với

* Có 1 số cách mình sưu tầm online:
- không biết bạn có 2,3 programs antivirus hay firewall gì đó cùng chung 1 computer không, nếu có thì chỉ xài 1 thôi. Vì nhiều khi các chương trình không tương ứng với nhau. Hoặc là drivers của các chương trình không thích hợp.

- Xem cái "power option" trong "Control Panel" của bạn đó, xem cái "power scheme" là gì, nếu là "always on" thì phải chỉnh lại là "home/office." Nếu bình thường thì xem cách tiếp theo

-- Khi windows restart lại "có thể" có 1 error message hiện lên, nhưng mà nhanh quá không thấy kịp. Bạn có thể làm theo cách sau để thấy message đó: nhấp chuột phải lên "my computer" > properties > chọn "Advance" tab > dưới "startup and recovery", chọn "settings" > bỏ dấu chọn ở "Automatically restart" check box trong phần "system failure." Sau đó restart lại máy xem có error message gì không -> lúc đó sẽ biết máy mình bị gì Ghi lại message sau đó lên google tìm kiếm cách sữa lỗi đó, nếu không tìm dược thì post vào đây để cho bà con ai rảnh thì tìm tiếp --> cách này giải quyết được nhiều chuyện, hiệu quả

- Nếu bạn chắc chắn đó cũng là con virus đó thì bạn thử xài phần mềm Avast xem sao  http://www.avast.com/eng/download-avast-home.html  . Phần mềm này free + có thể diệt được con virus mà bạn nói. (register for free) Thật ra mình cũng không tin tửơng bkav cho lắm (có 1 lần mình thử xài thì bkav bi freeze, không xài được, chắc window version không support hay sao đó).

- Có thể là do install Roxio Easy CD Creator 5.0 or Direct CD 5.0 program không thích hợp với Windows. Bạn có thể vào website của nó để update drivers mới cho win XP

- không biết bạn có xài Office Xp không nhỉ Nếu có thì "Check Task Manager for MsOffice.exe, deactivate it and try shutting down. If that fixes the problem, then disable it in startup options. OfficeXp still works perfectly."

- Điều cuối cùng chắc là Bios của computer của bạn có vấn đề, check lại website của nhà sản xuất xem có update gì cho BIos đó không? <--cách này ít xảy ra lắm nhưng mà cũng có thể.

Nếu không cách nào được thì mình đành bó tay vậy

===kelangthang===

[3T]

xong rồi.cảm ơn kelangthang giúp đỡ nhé.hình như nguyên nhân là do cái thằng Orbit mới down về,đây là trình tăng tốc độ download.chẳng hiểu sao sau khi cài đặt dùng được 1 lần,nó không chạy được nữa.giờ thì nó vào thùng rác rồi cho thằng KAV đi theo luôn.vừt 2 thằng đó xong tự nhiên shutdown bình thường,không bị khởi động lại nữa 

[Công Thịnh]

Máy bị nhiễm virus lạ ! Chưa biết phải xử lý ra sao ! Ai đã bị như thế này và đã khắc phục được rồi thì làm ơn chỉ giúp với   

Triệu chứng như sau :

Tất cả các chương trình ứng dụng đều bị báo lỗi (hoặc xuất hiện cửa sổ Open With), không thể vào được msconfig, regedit, nhưng lại vẫn vào được gpedit.msc. Khi vào Tools --> Options để làm hiện các file ẩn nhưng không thể làm được !
Đã dùng AVG, update mới nhất (ngày 26/5) nhưng vẫn vô tác dụng.

(Bị như thế này do copy mấy file word của đứa bạn về).
Ai biết giúp với !

 Chào bạn (anh, chị  )!
Vấn đề với con Virus hơi bị quen trên mình xin được phép trình bày như sau:
- Một dạng Virus xuất hiện dưới dạng một tập tin exe được tự động kích hoạt khi bạn double click vào trong một ổ đĩa hay một file được gắn kèm nào đó. Lúc trưa hôm qua khi sửa máy cho người bạn cũng đã gặp trường hợp tương tự thế này.

- Triệu chứng: Trong Processes của Task Manager sẽ xuất hiện thêm rất nhiều tập tin exe đang chạy, chúng có một số tên rất là hệ thống ví dụ cmd.exe (mặc dù không mở Command Promt), comio.exe, svhost.exe (giống file trong kernel), init1.exe, IEEXPLORER.EXE (dù không mở IE), userinit.exe, sever.exe ... tắt cái này thì nó lại hiện ra cái khác và phần CPU Usage trong Perfomance có thể sẽ tăng lên đến cực cao là 100%, điều này có thể làm cho máy bạn bị treo, hoạt động chậm chạp, tất nhiên là nhiều file exe không chạy được do bị Virus này cắn nát rồi (không phải không có trường hợp ngoại lệ). Nó được tự động chạy mỗi khi Windows khởi động.

Thử tìm kiếm vị trí nó xem nào? Vào trong Explorer gõ vào thanh Address: C:\autorun.inf tương tự cho ổ D và E, tất cả đều giống nhau với một nội dung: các dòng lệnh kích hoạt file OSD.EXE (tùy máy có thể khác) trong thư mục cùng cấp với autorun.inf, sau đó copy file trên vào C:\Windows\System32 ...

Mấy cái con chạy theo Autorun này thì diệt dễ thôi, vấn đề là đã bị nhiễm rất nhiều trong Process rồi làm sao mà quản lí hết. Câu hỏi trên của bạn khắc phục cũng dễ và không phức tạp bằng máy mà MTX đã gặp. Bạn coi cách diệt ở dưới nha.

- Cách khắc phục: Tất nhiên là ta phải biết nguyên nhân, cách hoạt động cũng như xâm nhập và lây lan của nó, MTX xin nêu 2 cách mà MTX Team đã làm.

--- Lần đầu tiên cài thử KAV (Kaspersky Anti Virus tên gọi khác là Kapesky) vào, tin không vui là không kích hoạt và không chạy được trong Win (phá hỏng file khi phát hiện ra search engine của các trình Anti thì phải - mình đoán thế).

Vào SafeMode (môi trường an toàn) cài thì sao? Rất tiếc báo lỗi Windows Installer không chạy được trong môi trường này, bật Task Manager lên xem, không phải là không có file "xấu" đang chạy trong Processes như ta đã nghĩ về SafeMode, buồn quá biết sao đây?  . Vào lại Windows chạy BKAV, ào ào như nước cuốn nhưng xui xẻo lần hai là nước cuốn không được cái gì cả mặc dù danh sách đen bất khả kill nằm lì lì trong Process mà thấy lòng không yên. Bó tay à? KAV cài vào cũng bị cắn, Bitdefender, NAV, NOD, AVG, McAFee ... chắc cũng đi theo luôn  (do máy thằng bạn nó không có nên cũng không cài thử - nhưng chắc cũng die  ) . Vậy làm sao đây, bó tay? Các tập tin chạy trên môi trường Windows đều bị hỏng hết.

Không được, phải diệt đến cùng. Không chơi trên Windows được thì quay lại thời xa xưa, chơi với DOS, bạn kiếm trong tay một đĩa Boot Hiren mới. Hiện trên mạng đã có 9.1 (MTX tải được trên một số trang ở .IR) ngoài tiệm thì có lẽ mới có 9.0 và trong đó mình chỉ cần dùng 2 công cụ trong bộ công cụ đầy đủ ấy là: McAFee (gọi tắt McA) và VolKol Commander. Từ từ mình sẽ nói mục đích sau.

McA thì ai cũng biết cả rồi phải không nào? Ở đây mình sẽ diệt trên dos bởi vì trên môi trường này Virus, Spyware sẽ không kích hoạt được. Ái chà chà, ổ C lúc trước đã phân vùng NTFS mất rồi làm sao đây nhỉ? Do đó trước tiên phải chạy Volkol Commander để Mount được cái định dạng NTFS đã rồi mới chạy McA. Ok, tất cả rất ok, chọn ổ đĩa hệ thống, chọn các ổ đĩa khác ...
..... Virus ... deleted in %\system32\net1.exe..
..... Virus ... deleted ......
......
vui quá xá luôn  tất cả đã bị McA chạy trong môi trường Dos kill hết. Lòng thấy chút thanh thản hơn rồi  . Quét xong ổ hệ thống thì quét luôn tất cả ổ còn lại, khà khà chính xác như ta đã check lúc đầu trong file autorun.inf là con OSD.EXE bị giết ngay tức thì. Ổ nào cũng có nó cả. Vui.

Khởi động lại máy và windows, chạy nhanh hơn hẳn, bật Task Manager xem nào ... không thấy con nào cả. Tuyệt cú mèo 

Xóa và cài lại KAV, active nó quét thêm lần nữa. Không thấy gì hết vui. 

-- Cách nữa hơi bị cổ điển là cài lại Windows, dù bạn có quét hết virus khỏi ổ cứng tuy nhiên bạn vẫn chưa thấy yên tâm về cái windows và rất nhiều file đã bị hỏng do virus phá nát rồi do đó tốt hơn hết là cài lại thôi. Backup Documents cẩn thận, một số thứ cần thiết trong ổ C. Format NTFS (kiểu Normal), cài lại xong. Vấn đề mình đặt trường hợp là không thực hiện cách một mà chơi an toàn cài lại win luôn (nhanh mà, có hơn 20' chút xíu) thì tụi phá hoại kia nó nằm rình sẵn trong D, E chờ mình dính bẫy. Bạn hãy đọc tiếp kinh nghiệm của MTX khi sống và làm việc với Virus như sau. 

Bảo vệ an toàn cho mình và hệ thống trước virus:
- Cẩn thận không double click vào các ổ đĩa nếu thật sự không thấy an toàn.
- Hãy bật một trình Anti nào đó trước khi cắm USB của thằng bạn vào máy mình. (của con bạn, chị bạn, cô bạn thì không cần phải sợ  , ai nghe lời mình chết ráng chịu  USB, tập tin gì của chị em phụ nữ cũng phải cẩn thận khi đụng tới hết  )
- Như câu hỏi trên của anh MTX làm như sau: Mở WinRar ra, chắc máy nào cũng có cái này rồi (c:\Program Files\WinRAR\WinRAR.exe). Trong phần địa chỉ, nhấn mũi tên chỉ xuống mở ổ D ra, chắc chắn trong đó sẽ có một file autorun.inf (không có MTX từ chức quản lí BOX CNTT luôn  ) mở ra coi nó sẽ thực hiện những lệnh để thực thi file nào. Xóa file exe đó đi (trước đó vào Processes tắt nó đi đã), MTX thường thấy máy bạn bè (có máy ba mình ngoài quê nữa, há há  ) cũng bị nhiễm một số file xấu như: fun.xls.exe, fun.exe, myini.exe ... trong đó con fun.xls.exe thấy hơi bị nhiều. Túm lại là các bạn nhớ: Xóa file exe, xóa autorun.inf đi.

À nói thêm. Tại sao mở ổ đĩa lại ra Openwith ...  . Khà khà, do autorun nó nằm bên trong, mà MTX đã nói rồi double click là file được include trong autorun sẽ được kích hoạt, trong khi đó BKAV (BKAV lúc này thì cũng diệt được con nhỏ nhỏ kia rồi), và một số trình Anti khác nó kill mất file xấu được include mất rồi lấy đâu nó chạy cho nên .... Openwith là phải rồi. Dùng WinRar như trên nhé!

[Công Thịnh]

À quên còn cái vụ disable: MSCONFIG, REGEDIT và cả TASKMANAGER (xui nhất là bị disable cái này).

MSCONFIG (System Configuration Utilitity) thì ta hay dùng để quản lí StartUp. (một số cái khác nữa khá hay trong Vista được thêm vào một thẻ mới để gọi tắt các ứng dụng ẩn).

REGISTRY thì rất là rộng lớn, y như là bộ chỉ huy của Windows rồi không bàn tới.

TASKMANAGER: một ngày mà không vào TASKMANAGER để xem có cái gì mới, lạ lạ trong đó, nghía cái Page File, Processes, nghía thêm cái CPU Usage ... y như là ngày đó không ăn cơm (mà ăn mì tôm, hủ tíu ... hoặc nhịn đói luôn :-])

Mục tiêu phản công của ta là vị trí trung tâm: REGEDIT, nhưng vào không được làm ăn sao đây?
Chà chà, sao ta không dùng một trình Biên tập REGISTRY trung gian nhỉ? Nhiều lắm, lên Google gõ vào: "Registry Editor" Enter một phát là có cỡ 15 triệu link để ta tham khảo (MTX check rồi mới dám nói 15tr á ^^).

Ta có thể dùng bất kì thằng nào cũng được, MTX hay dùng bộ công cụ nhiều chức năng: TuneUp Utilities 2007, nó có cả StartUp Manager luôn nên ta có thể không chơi với MSCONFIG nữa. Vào đó xóa file khởi động của file xấu (virus, spyware, trojan, adware ...) là tuyệt cú mèo.

Vào trong Registry Editor kiếm với từ khóa DisableTask để kiếm file ghi giá trị Disable vô hiệu hóa TaskManager xóa đi hoặc đổi 1 thành 0.
Tương tự như vậy cho MSCONFIG và REGEDIT, có điều theo mình là nên kiếm với từ khóa: diable đi, mặc dù kết quả có hơi nhiều tuy nhiên tìm kiếm rộng hơn, duyệt cái list đó ta kiếm được cho MSCONFIG và REGISTRY và TASKMANAGER và thay đổi dễ hơn.

Chúc bạn songbien1906 sống chung với Virus mà không bị làm sao cả nhé. hì hì!

[Công Thịnh]

Dạ hông! Đống file *.inf đó không quan trọng đâu anh ạ. File autorun.inf nằm ở ngay thư mục gốc của một ổ đĩa mới quan trọng, ví dụ như nó sẽ nằm ở: C:\autorun.inf, D:\autorun.inf ... etc.

Và điều quan trọng làm Search trong Windows không có tìm ra đâu, có mở ẩn tất cả cũng không ra luôn. Chỉ có thể thấy nó qua một số chương trình như: Winrar, NC Commander (bản chạy trên Win), một số chtr Explorer hệ thống là được, NeroBurning Room cũng có anh à. Vào trong DOS thì dùng một Soft nào đó có thể Mount được định dạng NTFS là được, trong đó thì tất tần tật đều hiện ra.

Kẻ thù gián tiếp và trước mắt: AUTORUN.INF, dù nó vô hại với các Anti nhưng bên trong nó chứa lệnh chạy file khác không hiền từ tí nào. Giết nó.

*************************************
Em thi năm thứ 5 anh à. Em đang ở học ở BCVT TP HCM.

[Công Thịnh]

Dạ, ý cha quên trả lời câu hỏi của anh mất. Với lại em đính chính là Volkov chứ không phải volkol ^^
Volkov Commander, trong Mục File Manager trong Boot Hiren đó.

Em nhớ coi ... anh vào đó, nó quét quét cái gì đó, hỏi anh mấy cái anh đều OK, Yes hết, tới cái phần Scandisk thì bỏ qua, Read & Write thì chọn đầy đủ quyền, Mount NTFS thì chọn Ok, em nhớ sơ sơ thế nhưng chắc là cũng đủ hết rồi.

Vào trong đó thì nó có giao diện giống như NC (Norton Commander) vậy.
Anh có thể nhấn F10 để thoát nó ra ngoài, tiếp theo gõ M để vào list các Tools sau đó chọn McAfee chẳng hạn rồi quét Virus.
Xong! 

[Tú Uyên]

Lang thang nhà a.Bin, đọc ké được tạp chí "Thế giới @", "trộm" được cái nì, share với mọi người này.

CÁC NGUỒN TIN VỀ VIRUS MÁY TÍNH

• Security Focus:
  http://www.securityfocus.com
• Security News:
  http://www.securitynewsportal.com
• Security Magazine:
  http://www.scmagazine.com/
• CNET News:
  http://www.news.com.com
• Security Team:
  http://www.securityteam.com
• Symantec:
  http://www.symantec.com
• Trend Micro
  http://www.trendmicro.com
• Panda Software:
  http://pandasoftware.com

[Tú Uyên]

KHI MÁY TÍNH BẠN NHIỄM VIRUS LẠ, BẠN PHẢI LIÊN LẠC VỚI AI?

• Xử lí nhanh số máy 911 - http://911.com.vn
• Trung tâm an ninh mạng Bách Khoa - http://bkav.com.vn
• Anh Trương Minh Nhật Quang, tác giả D32 - http://www.quantrimang.com
• Bệnh viện Máy tính iCare - http://icare.com.vn
• Trung tâm an ninh mạng Việt Nam - http://www.security.com.vn

[bluespider]

Khi bị khóa hết cả 3 thứ: MSCONFIG, REGEDIT và TASKMANAGER

Bạn còn một hy vọng đó là tạo một tài khoản administrator. Khởi động lại máy bằng cách ấn F8 để bỏ qua các startup. Đăng nhập bằng tài khoản vừa tạo.

Như vậy là đã giành được quyền admin - tiếp sau đó là công đoạn thanh lọc những tiến trình có virus - cái này thì không phải ai cũng làm được - bạn vào msconfig, thấy service hoặc chương trình nào đăng ký khởi động mà bạn thấy nghi ngờ... tắt hết nó đi... nếu ổn thỏa thì bạn thoát còn nếu không bạn sẽ lại mất quyền admin một lần nữa.

Máy tính của tôi rất ít khi phải cài lại win, nguyên nhân thật đơn giản: tôi dùng Avast (bản free nhé!), windows defender và firewall có sẵn của win kết hợp với firewall filter của Avast ---> thấy cũng khá hiệu quả.

[minhhieu]

Cái avast mình dùng nhiều rồi nhưng chưa biết sử dụng mấy. Nó làm mình nối mạng cũng chỉ được 1 lúc rồi sau đó không vào web được nữa (nhất là với olympia). Sử dụng được một thời gian tự dưng nó báo virus nhưng diệt mãi không được, sau đó vài hôm thì Win die luôn -> phải cài lại. Mình chỉ nhớ con đấy là rootkit thôi.
Ai có kinh nghiệm trong việc dùng phần mềm chống virus chỉ cho mình xem nên dùng phần mềm nào mà vẫn diệt được virus lại lướt web an toàn, ổn định không?

[3T]

Em đang dùng KAV, thấy nó rất ổn. Có điều có những lúc nó bảo vệ hơi bị thái quá. Tức là nó cảnh giác cao độ với những cái không có tí gì nguy hiểm

[Bin]

Lúc trước anh cũng dùng KAV nhưng lâu lâu lại phải đi tìm key, lười quá nên bây giờ chuyển sang dùng AVG (free). Nó mới nâng cấp lên bản 8.0 (http://www.grisoft.cz/filedir/inst/avg_free_stf_all_8_100a1295.exe)
Từ lúc anh dùng cái này vẫn chưa bị nhiễm virus