Cổng vào tri thức => Tin học => Topic started by: saos@ngmo on 06/12/08, 18:00 Return to Full Version

Title: Diệt virus lây qua USB
Post by: saos@ngmo on 06/12/08, 18:00
Các hướng dẫn sau đây sẽ giúp bạn loại bỏ tình trạng không truy cập được registry, mất Folder Options, không cho hiển thị file ẩn và file hệ thống, đồng thời làm ẩn một số tập tin dữ liệu khác... kể cả khi đã dùng phần mềm diệt virus.

Trước hết, bạn phải đảm bảo máy tính đã sạch virus, nếu không, mọi hành động sẽ là vô nghĩa. Virus sẽ nhanh chóng nhận biết các thay đổi của bạn và tiếp tục điều chỉnh lại hệ thống theo ý của chúng, còn nhanh hơn bạn rất nhiều lần.

1. Bị khoá Registry

Triệu chứng: Khi bấm Start > Run > gõ regedit chỉ nhận được một thông báo "Registry editor has been disabled by your administrator".
Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file UnHookExec.inf[Version]Signature="$Chicago$"Provider=Symantec[DefaultInstall]AddReg=UnhookRegKey[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0Hoặc tải file này http://securityresponse.symantec.com/avcenter/UnHookExec.inf về sử dụng luôn.
Sau khi lưu, nhấn chuột phải vào nó rồi chọn "Install". Nếu cần restart lại máy.

2. Mất Folder Option

Triệu chứng: Mở Explorer, tại Menu Tools, thấy biến mất menu Folder Option.
Khắc phục: Có 2 cách sau đây:
Cách 1 Bấm Start > Run gõ vào Regedit: Nếu Registry bị khoá thì thực hiện theo phần 1.Nếu mục Run bị khoá thì thực hiện theo phần 6 ở bên dưới.
Tìm đến khoá sau:
User Key: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ ExplorerSystem Key: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
Bên cửa sổ bên phải bạn sẽ thấy một giá trị REG-DWORD có tên là "NoFolderOptions"Bạn click double để chỉnh sửa giá trị của nó như sau:Value: 0 - hiện menu , 1 - ẩn menu.
Cách 2 Bây giờ vào Start > Run.
Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.Gõ vào GPEdit.msc rồi chọn OK.Sau đó vào tiếp User Configuration/Administrative Template/Windows Component/Windows Explorer
Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS...và chọn Disable. Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.

3. Không hiển thị được file ẩn
Triệu chứng: Bạn thấy biến mất dữ liệu, không nhìn thấy nó mặc dù biết chắc chắn là nó vẫn ở đó. Mở Explorer, bấm Menu Tools, chọn Folder Options (nếu không nhìn thấy Folder Options thì thực hiện mục 2 của bài viết này). Vào tab View/Advanced Settings, mục "Hidden files and folders". Cho dù bạn có bấm xuống "Show Hidden Files and Folders" rồi bấm Apply hay OK thì file ẩn vẫn cứ ẩn. Mở lại Setting đó thì nó lại như cũ.
Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file ShowHiddenFile.reg
REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000000"HKeyRoot"=dword:80000001"HelpID"="update.hlp#51105"
Hoặc tải file này http://files.myopera.com/trandungkts/blog/ShowHiddenFileandFolder.reg về sử dụng luôn, nếu code trên do lỗi hiển thị trên mạng chạy không đúng.Sau khi save, bạn nhấn đúp chuột vào nó để import vào registry. Nếu cần restart lại máy. Rồi vào Folder Options để hiệu chỉnh Show Hidden Files and Folder.

4. Bị ẩn (hidden) file và folder dữ liệu
Triệu chứng: Thấy biến mất dữ liệu. Mở Folder Options, chọn show all files lên thì nhìn thấy dữ liệu tự động bị ẩn (bị đặt thuộc tính Hidden hoặc System). Bỏ check Hidden đi thì không bỏ được. Thuộc tính System thì Windows đã bỏ không cho sử dụng, mặc dù thuộc tính này của file vẫn tồn tại.
Khắc phục: Mở cửa sổ Explorer ra, chuyển đến chỗ có chứa các file ẩn, bấm chuột phải vào đâu đó trên vùng trống của cửa sổ Explorer. Tại menu bật ra, chọn New/Shortcut.
Một cửa sổ Creat Shortcut sẽ xuất hiện. Tại ô Type the location of the item, bạn copy và dán dòng sau đây vào đó:attrib.exe -s -r -hBấm Next. Tại ô Type a name for this shortcut, bạn đặt tên cho Shortcut, ví dụ như showfile chẳng hạn. Bạn sẽ có một file shortcut có tên là Showfile.lnk.Sau đó, bất cứ file hay folder nào bị đặt thuộc tính "không bình thường" (bị Read Only, bị Hidden, bị System) bạn cứ kéo file hoặc folder đó thả vào biểu tượng của Shortcut Showfile (drag and drop).

5. Bị khoá Task Manager
Triệu chứng: Bấm Ctrl-Alt-Del, chỉ thấy nhận được thông báo "Task Manager has been disabled by your administrator".Khắc phục: Chọn một trong hai cách sau:
Cách 1. Thay đổi Registry
Bấm Start > Run gõ vào Regedit:
Nếu registry bị khoá thì thực hiện theo phần 1 của bài viết này.Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.Tìm đến khoá sau:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \SystemTại cửa sổ bên phải, bạn sẽ thấy một giá trị REG-DWORD có tên "DisableTaskMgr"
Bạn click double để chỉnh sửa giá trị của nó như sau:Value: 1= Cấm Task manager.Value: 0= Mở khoá TaskManager.Hoặc đơn giản là xoá đi, bạn sẽ mở được Task Manager.Cách 2. Dùng Administrative ToolBây giờ hãy vào START --> RUN
Nếu mục Run bị khoá thì thực hiện theo mục 6 của bài viết này.Gõ vào GPEdit.msc rồi chọn OK
Ở cửa sổ Group Policy settings, chọn User Configuration\Administrative Templates\System
Chọn Options Ctrl+Alt+Delete
Chọn Remove Task Manager
Nhấn đúp chuột vào vào mục Remove Task Manager và chọn Disable.
Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.

6. Mất mục Run
Triệu chứng: Đáng nhẽ ở menu Start, phải có mục Run để chúng ta chạy các phần mềm không nằm trong Start Menu. Nhưng giờ nó đã biến mất.
Khắc phục: Bấm Start/All Programs/Accessories. Mở Command Prompt.
Cửa sổ Command Prompt sẽ xuất hiện. Giờ thì gõ thẳng "Regedit.exe" vào dòng lệnh của Command Prompt. Bạn sẽ mở được Registry Editor.
Bạn tìm đến khoá sau:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced.
Ở cửa sổ bên phải, Bạn sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun".
Sửa giá trị thành 0 nếu muốn tắt, 1 nếu muốn khoá.Hoặc đơn giản là xoá nó đi. Khởi động lại máy.

Trần Ngọc Dũng, VnExpress.net
Title: Re: Diệt virus lây qua USB
Post by: saos@ngmo on 06/12/08, 18:01
Virus USB: Phòng bệnh hơn chữa bệnh

Là phương tiện sao chép dữ liệu phổ biến nhất hiện nay, các ổ đĩa flash USB đang trở thành "vectơ" lan truyền virus từ máy này đến máy khác. Cũng như trong y học, với phương châm "phòng bệnh hơn chữa bệnh", bạn hãy áp dụng một hoặc nhiều cách nêu trong bài viết này để giảm thiểu nguy cơ lây nhiễm cho máy tính cũng như ổ đĩa flash USB của mình.
Nhờ tính năng có thể ghi và xóa file với tốc độ ngày càng được cải thiện và tuổi thọ ngày càng nâng cao, ổ đĩa flash USB (gọi tắt là USB) hầu như đã thay thế đĩa mềm và đĩa quang trong vai trò là phương tiện lưu trữ di động. Nhưng cũng vì tính năng di động của nó mà lượng virus lây lan qua USB cũng đang tăng lên từng ngày. Tuy số lượng nhiều nhưng hầu hết chúng đều có phương thức lây nhiễm giống nhau, đó là lợi dụng chức năng Autorun của ổ đĩa trong Windows: Virus tạo ra 1 file mang tên Autorun.inf nằm trên thiết bị đó, file này sẽ chỉ định Windows cho file nào được chạy khi bấm đôi vào ổ đĩa, hay file nào được tự phép chạy khi thiết bị đã được nhận dạng... Và ta hoàn toàn có thể kiểm soát tính năng này của Windows, từ đó bảo vệ máy tính trước thảm họa virus USB, bằng nhiều cách như sau:

1. Bấm giữ phím Shift trái khi đưa bất cứ thiết bị lưu trữ di động nào vào máy tính, cả USB lẫn đĩa CD, DVD...
Cách làm này sẽ làm Windows hoãn lại tiến trình hoạt động theo sự chỉ định của file Autorun.inf. Đợi cho tên ổ đĩa hiện lên trên cửa sổ Window Explorer một lúc rồi hãy buông phím Shift ra.

2. Thay đổi thói quen mở USB
Chúng ta có thói quen bấm đôi vào ổ USB khi muốn mở nó ra. Đây là thói quen cần được thay đổi, bởi một USB khi đã bị nhiễm virus, tính năng Autoplay (điều khiển bởi Autorun.inf) sẽ được ưu tiên hơn Open và Explore. Cụ thể là đối với USB nào khi bấm phải lên, ta thấy 90% trường hợp Autoplay đứng đầu là chắc nó đã dính virus (đôi khi người ta dùng Autorun.inf với mục đích "thiện" nên không phải USB nào có Autoplay đứng đầu cũng đã dính virus). Khi bấm đôi vào USB như thế, thay vì mở ổ đĩa, virus sẽ được "triệu gọi" và kế đến người ta thường nói câu "kinh điển": máy tính đã bị nhiễm virus!

3. Trang trí USB của mình với một icon thật đẹp tạo hình nền cho ổ đĩa
Thật chứ không đùa, cách làm này dựa trên ý tưởng "Đặt tên tiếng Việt Unicode cho ổ đĩa trong Windows" đăng trên LBVMVT số 239 và cũng đã được hướng dẫn cụ thể trên LBVMVT số 115. Cách này phù hợp với những USB thường phải đi đây đi đó, bởi trong nó đã có sẵn một file Autorun.inf để quy định icon cho ổ đĩa. Khi icon này mất đi vô cớ thì nghĩa là đã có virus xâm nhập và tự ý ghi đè lên file Autorun có sẵn đó. Với cách này ta cũng lưu ý là không chỉ có file *.ico mới có thể làm icon cho một ổ đĩa mà ta vẫn có thể sử dụng các file *.png hay *.exe có icon độc lập. Link sau tập hợp một số file icon được sưu tập sẵn: http://www.mediafire.com/?ytozktsmpvx.

4. Ngăn cấm sự xuất hiện của các file Autorun.inf bất hợp pháp
Theo cách này, ta sẽ tạo một file Autorun.inf cố định bất di bất dịch trên USB, sau này có virus nhiễm vào thì nó chỉ có thể nằm đó mà không thể tự khởi động, nhờ đó USB gần như an toàn. Cách này chỉ hỗ trợ ổ đĩa có định dạng NTFS, vì thế nếu ổ đĩa USB còn đang ở định dạng FAT hoặc FAT32 (xác định bằng cách giữ phím Alt rồi bấm đúp lên ổ đĩa, xem dòng File system) thì ta chuyển qua định dạng NTFS bằng cách vào Start > Run, gõ cmd rồi Enter, nhập vào cửa sổ Command prompt dòng: convert X:/fs:ntfs trong đó X là ổ đĩa. Ví dụ: convert H:/fs:ntfs. Trước khi thực hiện chuyển đổi, ta nên chắc chắn là không một tiến trình nào còn hoạt động trên đĩa.
Kế đến tạo một file Autorun.inf (viết hoa hay không đều được, không cần có nội dung) ngay trên USB, giữ phím Alt và bấm đôi vào nó chọn Read-only, OK. Sau đó vào lại Command prompt đánh dòng: cacls X:\autorun.inf /d everyone rồi Enter (với X là ổ USB) bấm tiếp Y và Enter. Vậy là từ nay file autorun.inf này sẽ "trơ" ra đó trước mọi thao tác open, copy, delete... Lưu ý là nếu dùng cách này, ta không thể tạo icon cho ổ đĩa. Nếu muốn file Autorun.inf trở lại bình thường ta vào Command promt sử dụng câu lệnh: cacls X:\autorun.inf /p everyone:f.

5. Tắt tính năng Autoplay của Windows
Hai cách trên có thể sử dụng cho các USB mà bạn có thể kiểm soát, thế còn đối với USB của "thiên hạ" thì sao? Cách thủ công bấm giữ phím Shift trái không thể đem lại sự chắc chắn cho máy tính không bị lây nhiễm, bởi thế ta có thể tắt luôn tính năng Autoplay của Windows. Với Windows XP bạn hãy chọn Start > Run gõ gpedit.msc > Enter. Trong hộp thoại hiện ra, khung bên trái dò theo đường dẫn: Local Computer Policy > Computer Configuration > Administrative Templates > System. Khung bên phải tìm và bấm đôi lên dòng Turn off Autoplay. Đánh dấu chọn Enable rồi chọn All drives ở dòng Turn off Autoplay on > Enter rồi thoát ra.
Với Windows Vista ta chọn Start > Search, gõ dòng gpedit.msc vào khung rồi bấm Enter. Chọn Continue nếu có cảnh báo User Account Control (UAC) xuất hiện. Bên trái ta dò theo đường dẫn: Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies, bấm đôi vào mục Turn off Autoplay, chọn Enable rồi OK. Tiếp đến, bấm đôi vào mục Default behavior for AutoRun, chọn Enable và Do not execute any autorun commands rồi bấm OK.
Ngoài ra với những ai đã có chút hiểu biết về máy vi tính thì nên để Windows ở trạng thái hiển thị file ẩn (với ngay cả các file cần được bảo vệ của hệ thống vì virus cũng có thể tự phong cho mình cái đặc quyền này) cùng phần mở rộng của file: tại cửa sổ My Computer chọn Tools > Folder Options... chọn thẻ View và đánh dấu chọn "Show hidden files and folders", bỏ chọn "Hide extensions for known file types" và "Hide protected operating system files".
Nếu đột nhiên máy tính không còn hiện file ẩn nữa thì chắc chắn đã bị nhiễm virus. Khi hiển thị file ẩn, ta có thể dễ dàng nhận ra sự có mặt của các file lạ trong máy tính hoặc USB, hãy lập tức xóa nó đi.Nhưng hãy cẩn thận: đôi khi ta có thể tự tay xóa nhầm file hệ thống dẫn đến hỏng hệ điều hành. Vì thế có một số file đáng để lưu ý, như trên ổ C:\ ta có Autoexec.bat, Boot.ini, Ntdetect.com cùng một số file *.sys và *.sqm khác. Mỗi ổ đĩa có thể sẽ có một thư mục Recycle nếu máy tính ở chế độ mỗi ổ đĩa một thùng rác, và một thư mục System Volume Information nếu System Restore đang turn on. Nếu thấy một số thư mục hiện lên có phần tên màu xanh dương thì đó có thể là các file được mã hóa (chỉ sử dụng cho mỗi user của Windows) hoặc được nén NTFS (chỉ nén trên phân vùng NTFS, nhưng không hiệu quả bằng Winrar và Winzip), cụ thể là có thể thấy chúng trong thư mục C:\Windows.
Khi Windows hiện phần mở rộng cho các file thì ta sẽ dễ dàng nhận diện được cơ chế Fake icon của virus. Sử dụng cơ chế này, virus sẽ tự mình cải trang y như một thư mục bình thường hay thư mục thùng rác (Recycle), nhưng thực ra phần mở rộng lại là một file *.exe. Nếu không hiện phần mở rộng ta chỉ có thể nhận ra bằng chế độ View > Details, không cẩn thận mà bấm vào chúng thì coi như tiêu!
Đối với các máy tính đã bị nhiễm virus rồi, không thể tìm ra menu Tools > Folder Options... thì ta có thể sử dụng Remove Restrictions Tool (RRT) là một phần mềm nhỏ gọn chia sẻ trên mạng để tìm lại Folder Options. Hay ta có thể sử dụng một chương trình "made in Vietnam" để sử dụng, đó là VNFix1.1 được lập trình bởi http://benhvientinhoc.com, chương trình có giao diện tiếng Việt dễ sử dụng. Nếu máy tính bị lỗi gì thì đánh chọn vào mục đó rồi chọn Fix Now. Tải VNFix1.1 tại http://www. mediafire.com/?3yw1agyjqtm.
HÀ NGHĨA HIỆP knightcd2075@gmail.com, Bao Khoa Hoc Pho Thong
Title: Re: Diệt virus lây qua USB
Post by: cop_xong_paste on 06/12/08, 21:39
ảnh chỉ em cách đổi icon với.