Đang tải... (xem toàn văn)
- Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not show hidden files and folders và Show all hidden files and folders thì bạn tạo lại bằng c[r]
(1)DIỆT VIRUS ẨN FILE VÀ FOLDER BẰNG TAY KHƠNG
Bkav gọi virus W32.KavoESSys.worm, cịn Kaspersky Antivirus thì gọi trojan.generic có hành vi điển hình trojan: tự đăng ký với Windows thành phần được quyền tự khởi động boot máy.
Khi nhiễm virus này, máy tính bạn có triệu chứng hiển thị file folder có thuộc tính ẩn Nếu mở My Computer > Tool > Folder Options > View, chọn Show hidden files and folders, sau vào lại thì thấy lựa chọn bị tự động nhảy sang Do not show hidden files and folders, cho hiển thị file folder có thuộc tính ẩn
Muốn diệt virus này, bạn phải dùng chương trình có quyền, khơng phải chương trình có quyền diệt Các chương trình miễn phí có phát mà khơng diệt, diệt virus làm nhiều liệu hỏng hệ điều hành Hiện nay, virus hồnh hành dội, lại khơng có nhiều chương trình diệt nó, việc cảnh giác cần thiết
Biến thể tạm gọi loại virus tạo file Autorun.inf, Ntdelect.com, Kavo.exe Biến thể tạo Autorun.inf Kavo.exe thay Ntdelect.com Ntdeiect.com (gõ chữ thường hay chữ in được) Chú ý: file mở đầu chữ Nt kể virus xảo quyệt tạo để ngụy trang, nhằm làm cho người dùng khơng ý tưởng lầm file Ntdetect.com - file hệ thống Windows (chỉ khác chữ l hay chữ i so với chữ t) Không loại trừ khả máy bị nhiễm biến thể lúc Bài viết trình bày cách diệt hai Đây bước thực dành cho Windows XP, nắm vững nguyên tắc chung để diệt loại virus này, bạn làm tương tự Windows Vista, Windows
Nguyên tắc chung tắt System Restore, tìm xóa file Ntdelect.com, Ntdeiect.com, Autorun.inf Kavo.exe hệ thống Registry, sau sửa lại Registry để phục hồi option hiển thị file folder ẩn Các bước thực sau:
Tắt System Restore
(2)- Nếu System Restore bị virus vơ hiệu hóa, làm cho chữ dấu chọn bị mờ khơng thể thay đổi được, bạn vào Start > Run, gõ gpedit.msc, bấm OK Trong giao diện mở Group Policy, bạn bấm theo đường dẫn: Computer Configuration Administrative Templates System System Restore Bấm vào System Restore nhìn sang bên phải, bạn bấm đôi vào Turn off System Restore, chọn Enable OK Thốt khỏi Group Policy mà khơng khởi động lại máy
Xử lý Registry
- Bạn vào Start > Run, hộp thoại Run gõ regedit, bấm OK để chạy trình soạn thảo Registry Editor Sau giao diện Registry Editor ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội dung tìm kiếm NTdelect.com, đánh dấu chọn vào mục Keys, Values Data bấm Find Next để bắt đầu tìm kiếm Mỗi highlight (vệt thẫm) dừng giá trị bạn xóa giá trị cách bấm phải vào chỗ có highlight chọn Delete bấm phím Delete Enter để xóa Tiếp tục bấm F3 để tìm tiếp xóa việc tìm kiếm kết thúc (khi có thơng báo: Finished searching through the registry)
- Bạn làm tương tự cho từ tìm kiếm Kavo.exe Ntdeiect.com (chữ hoa chữ thường nhau) Xóa tất khóa tìm
Xử lý hệ thống
Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập BIOS Setup để máy khởi động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use NTFS DOS để hỗ trợ ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 chọn No), chọn Readwrite, chọn No cho câu hỏiDo you want to run CHKDSK (không quét đĩa) Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị ổ định dạng NTFS lên giao diện của Volkov Commander
- Sau giao diện VC ra, bấm Alt+F1 Alt+F2 để làm xuất menu chọn ổ vào thư mục gốc ổ logic để xóa tất file Ntdelect.com, Ntdeiect.com Autorun.inf Ví dụ: ổ C, ta tìm xóa C:Ntdeiect.com, C:Autorun.inf (đặt highlight vào file bấm F8)
(3)này, bạn tìm xóa file Ntdeiect.com-xxxxxxxx.pf Kavo.exe-xxxxxxxx.pf (nếu có).
- Xóa Kavo.exe C:Windows System32 (nếu ổ đĩa cài hệ điều hành ổ C)
- Xóa C:WindowSystem32Kavo0.dll Chỉnh sửa Registry
- Khởi động lại máy Lúc này, máy có cài Bkav, tính tự bảo vệ Bkav khơng báo virus vào Folder Options hiển thị file ẩn chưa trước virus làm thay đổi registry, sau virus bị diệt chưa tái lập lại Bạn chạy Registry Editor lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINESOFTWARE MicrosoftwindowsCurrentVersion ExplorerAdvancedFolderHidden SHOWALL Sau bấm vào SHOWALL, bạn nhìn sang bên phải sẽ thấy cột Name, mục CheckedValue có giá trị số ngoặc đơn (ở cột Data) Bạn bấm đôi vào CheckedValue gõ vào ô Value data bấm OK Khởi động lại máy hoàn tất Lúc này, virus chết, việc hiển thị file ẩn tái lập theo ý bạn, bạn bật lại System Restore
Xử lý flash usb bị nhiễm virus kavo
Đối với virus Kavo, biết đĩa flash USB bị nhiễm virus này, bạn đừng nghĩ tránh cho máy khỏi nhiễm virus cách giữ phím Shift trước cắm vào để tránh làm kích hoạt tính Autorun Thật ra, sau bạn bấm chuột phải vào biểu tượng ổ USB bấm Open để mở xuất thơng báo máy bị nhiễm virus rồi! Để tránh tình trạng này, bạn làm sau:
- Truy cập vào USB môi trường DOS, vốn đất dụng võ Kavo để xóa file thư mục gốc ổ USB Autorun.inf, Ntdeiect.com, Ntdelect.com (thường tìm thấy cặp gồm Autorun.inf với hai file bắt đầu chữ Nt) Muốn chạy driver USB DOS, bạn làm sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD khởi động lại máy Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn (Start Boot CD) cắm USB flash vào cổng USB, bấm Enter theo bước sau (nếu khơng phải đĩa Hiren’boot CD version 9.3 khác đôi chút):
(4)- Chọn DOS
- Chọn USB support
- Chọn Load usb drivers NO EMM386
- Enable IDE/SCSI CDROM support? (chọn YES) - Load SCSI drivers? (chọn NO)
- Load standard CDROM driver? (chọn YES) - Trong bảng USB OPTIONS, chọn mục (gõ 1)
- Ở bảng cấu hình ra, PC bạn đời mới, bạn chọn vào dòng (EHCI USB ) bỏ chọn tất dòng lại bấm OK Nếu PC bạn đời cũ chọn dịng thứ (UHCI USB ), bỏ chọn tất dòng lại bấm OK Tiếp đó, hộp thoại ra, bạn chọn NO Sau trình nạp driver kết thúc, xuất giao diện dịng lệnh dạng R:>, bạn gõ vào chữ m gõ Enter
- Chọn File Manager > Volkov Commander Kể từ lại theo bước giống bước (xử lý hệ thống) Sau giao diện VC ra, bạn vào ổ S (chính ổ USB) xóa file Autorun.inf, Ntdelect.com Ntdeiect.com giống phần trước Rút USB xong. Theo cách nêu trên, bạn dùng máy tính bị nhiễm Kavo để làm cho ổ flash USB bị nhiễm loại virus
Chú ý:
(5)- Vì Registry vùng nhạy cảm, Windows dễ bị hư thao tác sai nên bạn phải thận trọng lưu Registry trước xử lý (trên giao diện Registry Editor vào Files > Export gõ tên file bạn tự đặt vào ô File name vừa xuất hiện, chọnSave để lưu file vào thư mục My Documents phịng hữu import ngược trở lại Nếu khơng kịp lưu, bạn bấm liên tục F8 khởi động, chọn Last known good configuration để phục hồi lại Registry trường hợp Windows bị trục trặc sau chỉnh sửa Registry