Trang chủ » Diệt virus - Spyware » Diệt Spyware & Malware

Hướng dẫn diệt virus folder virus ẩn

910 99
Sau đây mình sẽ hướng dẫn các bạn một số các để diệt virus tự động sinh ra thư mục folder.exe
loading...
1. Nhận biết virus
- Máy bạn chạy chậm, màn hình sau khi khởi động có hiện tượng chuột cứ hiển thị đồng hồ cát.
- Chức năng Task Manager bị khóa
- Khi click vào 1 Folder thì máy xử lý chậm và folder đc mở trên 1 cửa sổ mới.
- Bạn vào Tool/Folder Option check bỏ check vào ô Hide Extentions for known types. Cái này có chức năng hiển thị đuôi của các tập tin. Sau khi Ok bạn quay lại và nhìn các Folder nó sẽ có đuôi .exe thêm phía sau. Như vậy chắc chắn bị rồi.
- Để chắc ăn hơn bạn gõ vào hộp thoại Run từ khóa msconfig sau đó ok, chọn tab startup và quan sát có chương trình khởi động nào có tên là Nacl ko/
2. Tiến hành ( chú ý từng bước vì nếu sai thì virus sẽ lây ngược trở lại)
- Đầu tiên hãy dùng 1 bộ ghost sạch virus ghost lại máy hoặc có thể setup lại windows.
- Khởi động máy lần đầu sau khi ghost or setup win bạn ko nên mở bất kỳ 1 folder nào.
- Tắt chức năng Autoplay của windows : Run/gpedit.msc -> Administrator Templates/System/Turn of Autoplay ( chọn Enable + All Driver)
- Dùng Usb copy 1 phần mềm virus từ máy khác qua. Mình chọn Avira ( chú ý copy ở máy nào an toàn nhé)
Cắm USB vào máy , do ta đã tắt tính năng Autoplay nên ko sợ sự lây lan virus từ USB qua nữa.
- Mở My computer, kick chọn nút cây Folder bên trái ( ko click trực tiếp lên ổ USB nhé), rồi sau đó kick chọn USB ở bên cây thư mục.
- Setup chương trình virus sau đó tiến hành quét toàn bộ ổ cứng.
Sau khi quét xong máy bạn sẽ hoàn toàn trống trơn. Đừng lo. Bởi vì cơ chế lây nhiễm của Virus này nó sẽ ẩn đi các folder sau đó tạo ra 1 file có tên trùng với tên Folder nhưng có đuôi là exe nữa. Việc làm hiển thị lên folder của của các bạn ko thể chọn tính năng hiện file ẩn của win đc. Vậy phải làm sao? chẳng lẽ ngồi nhìn bao nhiêu dữ liệu ra đi.
Đừng lo. Bạn làm tiếp bước sau là sẽ đưa máy của mình trở về trạng thái như lúc chưa từng hề dính Virus.
- Mở Run, gõ cmd , sau đó gõ tiếp câu lệnh sau trong Dos :
gõ D: (chuyển về ổ D)
ATTRIB -s -h /s /d : câu lệnh này có chức năng hiển thị toàn bộ các file ẩn của ổ D
gõ E: ( chuyển về ổ E)
gõ tiếp câu lệnh như trên ATT.....
nếu có các ổ khác thì các bạn gõ lệnh tương tự.
3. Nâng cao : để xem xét kỹ hơn các bạn có thể dùng thêm HirentBoot để xem trước các Folder ẩn của mình

Diệt virus ẩn file và folder bằng tay không
      Bkav gọi virus này là W32.KavoESSys.worm, còn Kaspersky Antivirus thì gọi là trojan.generic vì nó có hành vi điển hình của một trojan: tự đăng ký một bản sao của chính nó với Windows như là một thành phần được quyền tự khởi động khi boot máy.

 

 Khi máy bắt đầu bị nhiễm thường có một thông báo xuất hiện. Khi đó, nếu máy có cài Bkav Home thì bạn sẽ nhận được thông báo máy bị nhiễm virus và đã diệt, nhưng sự thật là nó vẫn tồn tại. Muốn diệt được virus này, bạn phải dùng các chương trình có bản quyền, nhưng không phải chương trình nào cứ có bản quyền là diệt được. Các chương trình miễn phí có khi chỉ phát hiện mà không diệt, hoặc diệt được virus nhưng cũng làm mất nhiều dữ liệu hoặc hỏng cả hệ điều hành. Hiện nay, virus này đang hoành hành dữ dội, nhưng lại không có nhiều chương trình diệt được nó, vì vậy việc cảnh giác là cần thiết. Khi nhiễm virus này, máy tính của bạn có triệu chứng không thể hiển thị được các file và folder có thuộc tính ẩn. Nếu mở My Computer > Tool > Folder Options > View, chọn Show hidden files and folders, sau vào lại thì thấy lựa chọn đã bị tự động nhảy sang Do not show hidden files and folders, do vậy không thể cho hiển thị được các file và folder có thuộc tính ẩn.

Biến thể tạm gọi là 1 của loại virus này tạo ra các file Autorun.inf, Ntdelect.com, và Kavo.exe. Biến thể 2 cũng tạo ra Autorun.inf và Kavo.exe nhưng thay thế Ntdelect.com bằng Ntdeiect.com (gõ chữ thường hay chữ in đều được). Chú ý: các file mở đầu bằng chữ Nt kể trên là do virus xảo quyệt tạo ra để ngụy trang, nhằm làm cho người dùng không chú ý tưởng lầm đó là file Ntdetect.com - một file hệ thống của Windows (chỉ khác chữ l hay chữ i so với chữ t). Không loại trừ khả năng máy bị nhiễm cả 2 biến thể cùng một lúc. Bài viết này trình bày cách diệt cả hai. Đây là các bước thực hiện dành cho Windows XP, khi đã nắm vững nguyên tắc chung để diệt loại virus này, bạn có thế làm tương tự trên Windows Vista.

Nguyên tắc chung là tắt System Restore, tìm xóa các file Ntdelect.com, Ntdeiect.com, Autorun.infKavo.exe ở trên hệ thống và trong Registry, sau đó sửa lại Registry để phục hồi các option hiển thị file và folder ẩn. Các bước thực hiện như sau:

1. Tắt System Restore

- Nếu System Restore chưa bị virus vô hiệu hóa: bạn bấm phải vào biểu tượng My Computer > Properties > System Restore, đánh dấu chọn Turn off System restore on all drives > OK, không khởi động lại, và bạn cũng đừng bấm vào chỗ này chỗ nọ một cách không cần thiết để tránh làm cho virus phát tán trở lại.

- Nếu System Restore đã bị virus vô hiệu hóa, làm cho các chữ và dấu chọn bị mờ đi không thể thay đổi gì được, bạn vào Start > Run, gõ gpedit.msc, bấm OK. Trong giao diện mới mở ra của Group Policy, bạn bấm theo đường dẫn: Computer Configuration \ Administrative Templates \ System \ System Restore. Bấm vào System Restore và nhìn sang bên phải, bạn bấm đôi vào Turn off System Restore, chọn Enable rồi OK. Thoát khỏi Group Policy mà không khởi động lại máy.

2. Xử lý trong Registry

- Bạn vào Start > Run, trong hộp thoại Runregedit, bấm OK để chạy trình soạn thảo Registry Editor. Sau khi giao diện của Registry Editor hiện ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội dung tìm kiếm là NTdelect.com, đánh dấu chọn vào các mục Keys, ValuesData rồi bấm Find Next để bắt đầu tìm kiếm. Mỗi khi highlight (vệt thẫm) dừng tại giá trị nào thì bạn xóa ngay giá trị ấy bằng cách bấm phải vào chính chỗ có highlight và chọn Delete hoặc bấm phím Delete rồi Enter để xóa. Tiếp tục bấm F3 để tìm tiếp và xóa cho đến khi việc tìm kiếm kết thúc (khi có thông báo: Finished searching through the registry).

- Bạn làm tương tự cho từ tìm kiếm là Kavo.exe và Ntdeiect.com (chữ hoa và chữ thường như nhau). Xóa tất cả các khóa tìm được.

3. Xử lý trong hệ thống

Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập trong BIOS Setup để máy có thể khởi động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use NTFS DOS để hỗ trợ các ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 có thể chọn No), tiếp theo chọn Readwrite, chọn No cho câu hỏi Do you want to run CHKDSK (không quét đĩa). Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị các ổ định dạng NTFS lên giao diện của Volkov Commander.

- Sau khi giao diện của VC hiện ra, bấm Alt+F1 hoặc Alt+F2 để làm xuất hiện menu chọn ổ rồi vào thư mục gốc của các ổ logic để xóa tất cả các file Ntdelect.com, Ntdeiect.comAutorun.inf. Ví dụ: đối với ổ C, ta tìm và xóa được C:\Ntdeiect.com, và C:\Autorun.inf... (đặt highlight vào các file này rồi bấm F8).

- Xóa các file Ntdelect.com-xxxxxxxx.pf trong C:\Windows\Prefetch (trong đó mỗi dấu x đại diện cho một chữ cái hoặc một số nào đó). Cũng trong thư mục này, bạn tìm xóa các file Ntdeiect.com-xxxxxxxx.pfKavo.exe-xxxxxxxx.pf (nếu có).

- Xóa Kavo.exe trong C:\Windows\ System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả XP và Vista thì vào C:\Windows\System32.

- Xóa C:\Window\System32\Kavo0.dll.

4. Chỉnh sửa trong Registry

- Khởi động lại máy. Lúc này, nếu máy có cài Bkav, tính năng tự bảo vệ của Bkav không còn báo virus nữa nhưng nếu vào Folder Options để cho hiển thị các file ẩn thì vẫn chưa được vì trước đó virus đã làm thay đổi registry, và sau khi virus bị diệt thì vẫn chưa được tái lập lại. Bạn chạy Registry Editor lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\windows\CurrentVersion \Explorer\Advanced\Folder\Hidden \SHOWALL. Sau khi bấm vào SHOWALL, bạn hãy nhìn sang bên phải sẽ thấy tại cột Name, mục CheckedValue đang có giá trị bằng số trong ngoặc đơn là 0 (ở cột Data). Bạn hãy bấm đôi vào CheckedValue và gõ 1 vào ô Value data rồi bấm OK. Khởi động lại máy là hoàn tất. Lúc này, virus đã chết, việc hiển thị các file ẩn đã có thể tái lập theo ý bạn, và bạn có thể bật lại System Restore.

Xử lý flash usb bị nhiễm virus kavo

Theo kinh nghiệm của người viết bài, đối với virus Kavo, khi đã biết một đĩa flash USB bị nhiễm virus này, bạn đừng nghĩ có thể tránh cho máy khỏi nhiễm virus bằng cách giữ phím Shift trước rồi mới cắm vào để tránh làm kích hoạt tính năng Autorun. Thật ra, ngay sau khi bạn bấm chuột phải vào biểu tượng ổ USB và bấm Open để mở thì lập tức xuất hiện thông báo máy đã bị nhiễm virus rồi! Để tránh tình trạng này, bạn hãy làm như sau:

- Truy cập vào USB trong môi trường DOS, vốn không phải là đất dụng võ của Kavo để xóa 3 file trong thư mục gốc của ổ USB là Autorun.inf, Ntdeiect.com, Ntdelect.com (thường chỉ tìm thấy một cặp gồm Autorun.inf cùng với một trong hai file bắt đầu bằng chữ Nt). Muốn chạy được driver của USB trong DOS, bạn làm như sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD và khởi động lại máy. Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn 2 (Start Boot CD) rồi cắm USB flash vào cổng USB, bấm Enter rồi lần lượt theo các bước sau (nếu không phải đĩa Hiren’boot CD version 9.3 thì có thể khác đôi chút):

- Chọn 9. Next...

- Chọn 7. DOS...

- Chọn 1. USB support...

- Chọn 2. Load usb drivers NO EMM386.

- Enable IDE/SCSI CDROM support? (chọn YES).

- Load SCSI drivers? (chọn NO).

- Load standard CDROM driver? (chọn YES).

- Trong bảng USB OPTIONS, chọn mục 1 (gõ 1).

- Ở bảng cấu hình kế tiếp hiện ra, nếu PC của bạn là đời mới, bạn chọn vào dòng trên cùng (EHCI USB...) và bỏ chọn tất cả các dòng còn lại rồi bấm OK. Nếu PC của bạn là đời cũ thì chỉ chọn dòng thứ 3 (UHCI USB...), bỏ chọn tất cả các dòng còn lại rồi bấm OK. Tiếp đó, 4 hộp thoại lần lượt hiện ra, bạn đều chọn NO. Sau khi quá trình nạp driver kết thúc, xuất hiện giao diện dòng lệnh dạng R:\>, bạn gõ vào chữ m rồi gõ Enter.

- Chọn File Manager > Volkov Commander. Kể từ đây thì lại theo các bước giống như ở bước 3 (xử lý trong hệ thống). Sau khi giao diện của VC hiện ra, bạn vào ổ S (chính là ổ USB) và xóa các file Autorun.inf, Ntdelect.com hoặc Ntdeiect.com giống như phần trước. Rút USB ra là xong.

Theo cách nêu trên, bạn có thể dùng ngay cả một máy tính đã bị nhiễm Kavo để làm sạch cho một ổ flash USB bị nhiễm cùng loại virus này.

Chú ý:

- Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not show hidden files and foldersShow all hidden files and folders thì bạn tạo lại bằng cách: trong giao diện trên của Registry Editor, bạn bấm phải chuột vào vùng trống ở bên phải chọn New/DWORD Value và gõ vào vùng con trỏ đang nhấp nháy cụm từ CheckedValue hoặc DefaultValue tùy theo bạn mất mục chọn nào, rồi bấm đôi vào mục vừa tạo để đưa vào các giá trị trong ngoặc đơn là 1 đối với CheckedValue (mất Show all files and folders) và là 2 đối với DefaultValue (mất Do not show hidden files and folders).

- Vì Registry là vùng nhạy cảm, Windows dễ bị hư luôn nếu thao tác sai nên bạn phải thận trọng sao lưu Registry trước khi xử lý nó (trên giao diện của Registry Editor vào Files > Export rồi gõ tên file bạn tự đặt vào ô File name vừa xuất hiện, chọn Save để lưu file vào thư mục My Documents phòng khi hữu sự thì sẽ import ngược trở lại. Nếu không kịp sao lưu, bạn có thể bấm liên tục F8 trong khi khởi động, và chọn Last known good configuration để phục hồi lại Registry trong trường hợp Windows bị trục trặc sau khi chỉnh sửa Registry.

- Bạn không nhất thiết tìm thấy file bị nhiễm trong tất cả các phép tìm kiếm và tại tất cả các vị trí đã nêu trên, mà tùy theo mức độ lây nhiễm của từng máy, kết quả có thể khác biệt chút ít, nhưng nếu bạn nắm vững nguyên tắc đã trình bày trên đây, nhất định các bạn sẽ thành công.
 

Nguồn tổng hợp - Tailieutinhoc.net

Cách Tạo USB Tự động quét virus mỗi khi Khởi Động lại Máy Tính

Cách Tạo USB Tự động quét virus mỗi khi Khởi Động lại Máy Tính Đăng bởi: Tài Liệu Tin Học 04-11-2014 mục Diệt Spyware & Malware

Microsoft vừa phát hành công cụ Windows Defender Offline cho phép bạn bào chế một USB hay CD có chức năng quét virus mỗi khi khởi động hệ thống.

Cho dù các phần mềm diệt virus hiện nay đều có tính năng bảo vệ máy tính theo thời gian thực thì nguy cơ nhiễm virus vẫn có thể xảy ra. Một số virus còn tàn phá khiến cho máy không thể khởi động vào Windows được. Những lúc thế này, giải pháp quét virus khi khởi động hệ thống là sự lựa chọn tối ưu nhất. Công cụ Windows Defender Offline Beta sẽ giúp bạn tạo ra một CD hay USB có tính năng boot và quét virus.

Cách Tạo USB Tự động quét virus mỗi khi Khởi Động lại Máy Tính

1711 Lượt xem

G DATA AntiVirus

G DATA AntiVirus Đăng bởi: Tài Liệu Tin Học 18-10-2014 mục Diệt Spyware & Malware
G DATA AntiVirus là một giải pháp bảo mật máy tính toàn diện mà bạn có thể sử dụng để giữ cho máy tính được an toàn khỏi các loại virus và phần mềm độc hại khác.
 
Dung lượng: 401,9 MB
Yêu cầu: Windows XP/Vista/7/8

G DATA AntiVirus

1229 Lượt xem

SuperAntiSpyware Free Edition

SuperAntiSpyware Free Edition Đăng bởi: Tài Liệu Tin Học 15-06-2014 mục Diệt Spyware & Malware
  • Phát hành: SUPERAntiSpyware
  • Internet mặc dù rất hấp dẫn bởi những tiện ích nó mang lại nhưng không thể phủ nhận rằng, cũng chính nó rất nguy hiểm bởi đầy rẫy những phần mềm gián điệp đang "nhăm nhe" xâm nhập vào máy tính và ăn cắp thông tin trên máy người truy cập.
  • Version: 5.7.1026
  • Dung lượng: 27,5 MB
  • Yêu cầu: Windows 2000/XP/2003/Vista/7/8

SuperAntiSpyware Free Edition

1124 Lượt xem

Hướng dẫn diệt virus tự send tin nhắn qua Facebook - Cập nhật liên tục

Hướng dẫn diệt virus tự send tin nhắn qua Facebook - Cập nhật liên tục Đăng bởi: Tài Liệu Tin Học 18-10-2014 mục Diệt Spyware & Malware
Trước hết bạn bị nhiễm loại virus nào thì cũng down PChunter free, download tại đây và chạy công cụ.

Nếu dưới đây ko có loại virus bạn đang nhiễm, hãy gửi dạng link virus và file virus cho mình. (Nén lại, up lên host bất kỳ rồi send tin nhắn cho mình)

Hướng dẫn diệt virus tự send tin nhắn qua Facebook - Cập nhật liên tục

752 Lượt xem