Khắc phục tác hại của virus lây qua USB

Thảo luận trong 'Tin học với aqua' bắt đầu bởi Hecxogen, 8/4/08.

  1. Hecxogen

    Hecxogen Moderator

    Tham gia:
    3/9/06
    Bài viết:
    564
    Thích đã nhận:
    392
    Đến từ:
    hanoi
    Trước hết, bạn phải đảm bảo máy tính đã sạch virus, nếu không, mọi hành động sẽ là vô nghĩa. Virus sẽ nhanh chóng nhận biết các thay đổi của bạn và tiếp tục điều chỉnh lại hệ thống theo ý của chúng, còn nhanh hơn bạn rất nhiều lần.


    1. Bị khoá Registry

    Triệu chứng: Khi bấm Start > Run > gõ regedit chỉ nhận được một thông báo "Registry editor has been disabled by your administrator".

    Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file UnHookExec.inf

    [Version]
    Signature="$Chicago$"
    Provider=Symantec

    [DefaultInstall]
    AddReg=UnhookRegKey

    [UnhookRegKey]
    HKLM, SoftwareCLASSES atfileshellopencommand,,,"""%1"" %*"
    HKLM, SoftwareCLASSEScomfileshellopencommand,,,"""%1"" %*"
    HKLM, SoftwareCLASSESexefileshellopencommand,,,"""%1"" %*"
    HKLM, SoftwareCLASSESpiffileshellopencommand,,,"""%1"" %*"
    HKLM, SoftwareCLASSES egfileshellopencommand,,,"regedit.exe ""%1"""
    HKLM, SoftwareCLASSESscrfileshellopencommand,,,"""%1"" %*"
    HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies
    System,DisableRegistryTools,0x00000020,0

    Hoặc tải file này http://securityresponse.symantec.com...UnHookExec.inf về sử dụng luôn.

    Sau khi lưu, nhấn chuột phải vào nó rồi chọn "Install". Nếu cần restart lại máy.



    2. Mất Folder Option

    Triệu chứng: Mở Explorer, tại Menu Tools, thấy biến mất menu Folder Option.

    Khắc phục: Có 2 cách sau đây:

    Cách 1

    Bấm Start > Run gõ vào Regedit:

    Nếu Registry bị khoá thì thực hiện theo phần 1.
    Nếu mục Run bị khoá thì thực hiện theo phần 6 ở bên dưới.

    Tìm đến khoá sau:

    User Key: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
    System Key: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies Explorer

    Bên cửa sổ bên phải bạn sẽ thấy một giá trị REG-DWORD có tên là "NoFolderOptions"
    Bạn click double để chỉnh sửa giá trị của nó như sau:
    Value: 0 - hiện menu , 1 - ẩn menu.

    Cách 2

    Bây giờ vào Start > Run.

    Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.

    Gõ vào GPEdit.msc rồi chọn OK.
    Sau đó vào tiếp User Configuration/Administrative Template/Windows Component/Windows Explorer

    Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS...và chọn Disable. Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.


    3. Không hiển thị được file ẩn

    Triệu chứng: Bạn thấy biến mất dữ liệu, không nhìn thấy nó mặc dù biết chắc chắn là nó vẫn ở đó. Mở Explorer, bấm Menu Tools, chọn Folder Options (nếu không nhìn thấy Folder Options thì thực hiện mục 2 của bài viết này). Vào tab View/Advanced Settings, mục "Hidden files and folders". Cho dù bạn có bấm xuống "Show Hidden Files and Folders" rồi bấm Apply hay OK thì file ẩn vẫn cứ ẩn. Mở lại Setting đó thì nó lại như cũ.

    Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file ShowHiddenFile.reg

    REGEDIT4

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionexplorerAdvancedFolderHiddenSHOWALL]
    "RegPath"="SoftwareMicrosoftWindowsCurrentVers ion
    ExplorerAdvanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000000
    "HKeyRoot"=dword:80000001
    "HelpID"="update.hlp#51105"

    Hoặc tải file này http://files.myopera.com/trandungkts/blog/
    ShowHiddenFileandFolder.reg về sử dụng luôn, nếu code trên do lỗi hiển thị trên mạng chạy không đúng.

    Sau khi save, bạn nhấn đúp chuột vào nó để import vào registry. Nếu cần restart lại máy. Rồi vào Folder Options để hiệu chỉnh Show Hidden Files and Folder.


    4. Bị ẩn (hidden) file và folder dữ liệu


    Triệu chứng: Thấy biến mất dữ liệu. Mở Folder Options, chọn show all files lên thì nhìn thấy dữ liệu tự động bị ẩn (bị đặt thuộc tính Hidden hoặc System). Bỏ check Hidden đi thì không bỏ được. Thuộc tính System thì Windows đã bỏ không cho sử dụng, mặc dù thuộc tính này của file vẫn tồn tại.

    Khắc phục: Mở cửa sổ Explorer ra, chuyển đến chỗ có chứa các file ẩn, bấm chuột phải vào đâu đó trên vùng trống của cửa sổ Explorer. Tại menu bật ra, chọn New/Shortcut.

    Một cửa sổ Creat Shortcut sẽ xuất hiện. Tại ô Type the location of the item, bạn copy và dán dòng sau đây vào đó:

    attrib.exe -s -r -h

    Bấm Next. Tại ô Type a name for this shortcut, bạn đặt tên cho Shortcut, ví dụ như showfile chẳng hạn. Bạn sẽ có một file shortcut có tên là Showfile.lnk.

    Sau đó, bất cứ file hay folder nào bị đặt thuộc tính "không bình thường" (bị Read Only, bị Hidden, bị System) bạn cứ kéo file hoặc folder đó thả vào biểu tượng của Shortcut Showfile (drag and drop).



    5. Bị khoá Task Manager

    Triệu chứng: Bấm Ctrl-Alt-Del, chỉ thấy nhận được thông báo "Task Manager has been disabled by your administrator".

    Khắc phục : Chọn một trong hai cách sau:

    Cách 1. Thay đổi Registry

    Bấm Start > Run gõ vào Regedit:

    Nếu registry bị khoá thì thực hiện theo phần 1 của bài viết này.
    Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.

    Tìm đến khoá sau:
    HKEY_CURRENT_USERSoftwareMicrosoftWindows
    CurrentVersionPolicies System

    Tại cửa sổ bên phải, bạn sẽ thấy một giá trị REG-DWORD có tên "DisableTaskMgr"

    Bạn click double để chỉnh sửa giá trị của nó như sau:
    Value: 1= Cấm Task manager.
    Value: 0= Mở khoá TaskManager.

    Hoặc đơn giản là xoá đi, bạn sẽ mở được Task Manager.

    Cách 2 . Dùng Administrative Tool

    Bây giờ hãy vào START --> RUN

    Nếu mục Run bị khoá thì thực hiện theo mục 6 của bài viết này.

    Gõ vào GPEdit.msc rồi chọn OK

    Ở cửa sổ Group Policy settings, chọn User ConfigurationAdministrative TemplatesSystem

    Chọn Options Ctrl+Alt+Delete

    Chọn Remove Task Manager

    Nhấn đúp chuột vào vào mục Remove Task Manager và chọn Disable.

    Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.



    6. Mất mục Run

    Triệu chứng: Đáng nhẽ ở menu Start, phải có mục Run để chúng ta chạy các phần mềm không nằm trong Start Menu. Nhưng giờ nó đã biến mất.

    Khắc phục: Bấm Start/All Programs/Accessories. Mở Command Prompt.

    Cửa sổ Command Prompt sẽ xuất hiện. Giờ thì gõ thẳng "Regedit.exe" vào dòng lệnh của Command Prompt. Bạn sẽ mở được Registry Editor.

    Bạn tìm đến khoá sau:

    HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced.

    Ở cửa sổ bên phải, Bạn sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun".

    Sửa giá trị thành 0 nếu muốn tắt, 1 nếu muốn khoá.

    Hoặc đơn giản là xoá nó đi. Khởi động lại máy.
     
  2. tuanhung

    tuanhung Well-Known Member

    Tham gia:
    12/12/05
    Bài viết:
    47
    Thích đã nhận:
    1
    Đến từ:
    HCMC
    Tôi bị dính 1 con mà quét không ra. Cứ nhấn lệnh in là bị restart máy. Chơi game full load máy thì không sao mà cứ nhấn in là bị restart mới điên. Không biết làm sao mà diệt con này
     
  3. aeolus

    aeolus ...overload...

    Tham gia:
    31/1/07
    Bài viết:
    3,338
    Thích đã nhận:
    1,778
    Đến từ:
    hcm
    Cài lại máy cho lành :D
    .........................
     
  4. waterfall

    waterfall Member

    Tham gia:
    10/5/08
    Bài viết:
    19
    Thích đã nhận:
    0
    Đến từ:
    Quy Nhơn
    có 1 cách để chống không bị malware lây lan qua thẻ nhớ USB là tắt tính năng Shell Hardware Detection đi. Đây là tính năng tự nhận dạng và thực thi autoplay cho các thiết bị ngoại vi gắn kèm như USB. Tính năng này bị malware lợi dụng để tự động thực thi mã độc mỗi khi USB được gắn vào máy.
     
  5. trangvt

    trangvt Well-Known Member

    Tham gia:
    8/4/07
    Bài viết:
    70
    Thích đã nhận:
    15
    Đến từ:
    Vũng tàu
    waterfall, bạn có thể chỉ rõ hơn các bước thực hiện cụ thể để tắt chức năng tự động dò này không? Như thế các ACE không thạo máy tính cũng có thể làm được. Cảm ơn bạn trước.
     
  6. waterfall

    waterfall Member

    Tham gia:
    10/5/08
    Bài viết:
    19
    Thích đã nhận:
    0
    Đến từ:
    Quy Nhơn
    để tắt tính năng Shell Hadware Detection thì ta làm như sau:
    - vào menu Start -> Run gõ lệnh services.msc
    - Tìm Shell Hadware Detection trong danh sách các dịch vụ ở đó, nhấn đôi vào nó. Tại mục Startup Type chọn Disable, sau đó nhấn Stop, cuối cùng OK.

    Nói thêm tí: Shell Hadware Detection là dịch vụ dùng để nhận dạng và khởi động tất cả các loại thiết bị lưu trữ như ổ đĩa quang, usb, thẻ nhớ... dịch vụ này đồng thời sẽ cho chạy lệnh trong tập tin autorun.inf trong thiết bị lưu trữ hoặc tự động chơi các đĩa CD, DVD, memory stick.. thành ra tạo thành lỗ hổng cho kẻ xấu lợi dụng. Việc tắt tính năng này kết hợp với sử dụng tính năng Classic Folder View thay vì tính năng Smart View của Windows Explorer sẽ gần như loại bỏ hoàn toàn khả năng tự kích hoạt của malware khi ta gắn thiết bị vào máy và duyệt file bằng Windows Explorer.
     

Chia sẻ trang này