PDA

View Full Version : Virus [Giả dạng Folder.exe (trùng tên Folder)]. & Fix các thư mục bị làm ẩn.



Tran Quang Ha
03/12/09, 11:34 AM
Mình thấy bài này của bạn flobg88 (http://forum.911.com.vn/member.php?u=427) rất hữu ích, công phu và cần học tập-> coppy về đây giới thiệu với AE:

Bước 1: "Tắt process của Virus"
Tải và chạy Process Approach (http://www.box.net/shared/uyu9s1dbd4).
Sau đó làm theo 2 hình dưới.
http://upanh.com/uploads/27-Oct-2009/8znoiy3y32n5y9nofgpr.png
http://upanh.com/uploads/27-Oct-2009/1m7nnczv335zfibb4hy.png
Bước 2: Tìm xóa các mầm virus cùng file autorun.inf ở tất cả các ổ đĩa và Fix lỗi autorun để tránh nhiễm lại ngay khi ta truy cập các ổ đĩa.

- Chạy XYploer.

http://www.xyplorer.com/- Chọn từng ổ đĩa bên trái, ngó qua bên phải để xóa các file autorun.inf (xem hình)
http://upanh.com/uploads/27-Oct-2009/lk75vn2jwrt8w9kmw41u.png
Tiếp theo, vào Start, Run, gõ "Regedit" rồi enter

Trong chtrình Regedit, tìm tới khóa:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2

Xóa khóa MountPoint2 ở bên trái đi (bằng cách chọn khóa đó rồi nhấn Delete).

http://upanh.com/uploads/27-Oct-2009/kmnm0cwlccpfxajrcb2o.png

Bước 3: Tìm xóa 2 file chạy của Virus.Userinit.exe và System.exe) (
Chú ý: phải đọc thật kĩ đường dẫn để tránh nhầm với file của hệ thống.

Vào C:\Windows\ , tìm xóa file Userinit.exe
Vào C:\Windows\System32\ , tìm xóa file System.exe

Bước 4: Sửa lại giá trị của khóa Userinit trong Registry để đảm bảo cho lần vào Win sau không bị Logoff.
(bước này cực quan trọng không thể thiếu).

Vào C:\Windows\System32\ , kiểm tra xem còn file Userinit.exe không. (phải đảm bảo còn file này ở đây).

Vào Start, Run , gõ "Regedit" rồi enter.

Trong chtrình quản lý Registry, tìm tới khóa sau:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Rồi ngó qua bên phải, double click vào value Userinit, sửa giá trị thành C:\Windows\System32\Userinit.exe, (nếu ổ C: là ổ chứa Windows)

http://upanh.com/uploads/27-Oct-2009/5ymi1amby6vbhqjmzazw.png
Để chắc chắn, bạn nên tải Autoruns (http://live.sysinternals.com/autoruns.exe) này. Chạy nó. Xem giống như hình sau thì ổn

Bước 5: "Tìm xóa các mầm exe giả dạng Folder trùng tên" và "Phục hồi những Folders bị Virus giấu đi (làm ẩn)"

a) Tìm xóa mầm giả dạng Folder.exe:

Chạy XYploer , mở bung chtrình ra toàn màn hình (Maximize), rồi thiết lập như hình dưới
http://upanh.com/uploads/27-Oct-2009/n9at0meahkezabp7kou.png

Sau khi Search ra tất cả các file .exe của của 1 ổ đĩa nào đó (ví dụ ổ E: như hình dưới), click vào tiêu đề cột SIZE để xếp các file giả dạng theo Size, và đương nhiên là chúng sẽ có cùng icon là hình Folder.

Chú ý 2 điểm này, xóa hết chúng đi.

http://upanh.com/uploads/27-Oct-2009/80x091rucs096d1gdzl.png
hao tác tương tự cho các ổ đĩa khác (luôn cả USB) để xóa triệt để các mầm giả dạng.

b) Phục hồi lại các Folders bị Virus làm ẩn:

Dùng tool này để phục hồi . Phuc hoi Hidden File Folder.bat (http://www.box.net/shared/z8z7ei9b4q).

http://c.upanh.com/uploads/25-Nov-2009/ffnl7ufo9ao02hfzznlr.png

winkyone
05/12/09, 11:26 AM
fix lại hình dùm cái anh ơi

Tran Quang Ha
05/12/09, 11:32 AM
fix lại hình dùm cái anh ơi

Cám ơn bạn!
- Mới hôm qua còn hình mà, để mình up lại hình nhé.

Người Xứ Quảng
09/12/09, 12:18 PM
hay lắm , mình cũng có lần bị dính con này , các phầm mềm av bị nó nhai hết không còn cách nào mở ổ đỉa ra , cho vào mấy khác cho av quét thế là sách sẻ , có cách này thì bạn phải cài lại win , vì vài file hệ thống bị xoá không vào hệ điều hành được
bữa sau mà bị thử dùng cách này xem sao

songthuan08
09/12/09, 12:41 PM
Trước đây máy trong công ty tôi cũng bị virus này hoành hành, lúc đó giá như có bài này sớm thì đỡ khổ biết mấy. Nhưng mà lúc đó dùng BKAV quét cũng hết Virus, chỉ khổ là phục hồi hậu quả của nó. Xin cám ơn Tran Quang Ha (http://forum.bkav.com.vn/member.php?u=120)

hoatdong
11/01/10, 06:24 PM
Lúc trước mình cũng dính con Virus tạo ra các folder exe trùng tên, ẩn các folder thật đi, máy cực chậm, lủm mất Ghost luôn. Lúc đó cũng khốn đốn vì con này..nhờ kỹ thuật của Bkav giúp đỡ và nhận được file xử lý nhưng vẫn không ăn thua. Cuối cùng phải format toàn bộ ổ cứng và cài lại. Giá như có bài này lúc đó thì hay biết mấy :((:((

kukun
11/01/10, 10:56 PM
http://upanh.com/uploads/27-Oct-2009/kmnm0cwlccpfxajrcb2o.png
các bước trên các bạn ko nhất thiết phải dùng những chương trình mà tác giả nêu trong bái viết,như tắt virus khí nó đang chạy thì có thể dùng APT,còn fix lỗi của virus gây ra thì dùng RRT khá hay.
Chỉ có điều bước làm hình e đưa lên có tác dụng chi vậy anh Hà,em ko hiểu rõ lắm,anh nói rõ hơn dùm em nhe

Lãng khách
12/01/10, 05:47 AM
http://upanh.com/uploads/27-Oct-2009/kmnm0cwlccpfxajrcb2o.png
các bước trên các bạn ko nhất thiết phải dùng những chương trình mà tác giả nêu trong bái viết,như tắt virus khí nó đang chạy thì có thể dùng APT,còn fix lỗi của virus gây ra thì dùng RRT khá hay.
Chỉ có điều bước làm hình e đưa lên có tác dụng chi vậy anh Hà,em ko hiểu rõ lắm,anh nói rõ hơn dùm em nhe

Lãng khách có thể trả lời câu hỏi này của em.
AutoRun là cơ chế xuất hiện từ Windows 95, cho phép tự động chạy các ứng dụng mỗi khi một ổ đĩa được kết nối. Với người dùng, nó thường được gọi là AutoPlay. Trong các tài liệu, chúng ta thường thấy các thuật ngữ AutoRun và AutoPlay được dùng lẫn lộn (thiết lập AutoPlay trong Windows Policy làm thay đổi mục AutoRun trong Registry, tệp autorun.inf là tác nhân thêm "AutoPlay" vào trình đơn ngữ cảnh của ổ đĩa). Hai thuật ngữ này tiếp tục được dùng lẫn với nhau mà không có sự phân biệt nào cho đến khi có Windows XP và sự cải tiến cơ chế AutoPlay của Microsoft. Kể từ đó, để nâng cao tính bảo mật (hay cũng có thể chỉ đơn giản là phản ánh sự đa dạng của ứng dụng), người dùng được lựa chọn ứng dụng để gọi từ hộp thoại AutoPlay thay cho việc thiết bị tự quyết định. Các mục chọn của hộp thoại AutoPlay phụ thuộc vào loại tệp có trên ổ đĩa (ảnh, nhạc hay phim) và các thiết lập trong tệp Autorun.inf. Vì AutoPlay nghe có vẻ do người dùng điều khiển và “an toàn” hơn nên Windows đã kích hoạt nó một cách mặc định cho các ổ đĩa tháo lắp được.

Nếu mọi chuyện chỉ dừng lại ở đây thì đã không có gì phải lo lắng nhiều vì Microsoft đã cung cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, Microsoft tự động đặt lại giá trị mặc định của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003, Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory domain (http://support.microsoft.com/kb/895108). Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng (Microsoft đã phải cung cấp bản vá từ tháng 8/2008, nếu các bộ cài XP tải về sau thời điểm này thì đã được update bản vá). Chính vì sự không nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa), việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất. Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay, chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa trong Windows Explorer trở nên thừa thãi vì dù chúng ta có nhấn chuột phải và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông minh, miễn nhiễm với chúng.

Theo Nick Brown, người đấ sáng tạo ra phương pháp thêm một key

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist" vào Registry (em tham khảo thêm nội dung chủ đề Tắt autorun trên các phiên bản Windows thật dễ dàng (http://forum.bkav.com.vn/showthread.php?p=31961#post31961)) để chống autorun tuyệt đối, thì Windows lưu các thông tin về tính năng AutoRun của các thiết bị nhớ gắn ngoài như USB đã được kết nối vào máy tính tại mục
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\MountPoints2 của registry. Vì vậy, ngay cả nếu tính năng AutoRun đã được vô hiệu bằng một trong hai cách là sử dụng NoDriveAutoRun hoặc NoDriveTypeAutoRun, Windows vẫn có thể tự động chạy các ứng dụng - có thể là virus - trên các USB thân quen (đã từng gắn vào PC trước thời điểm thiết lập các hạn chế bởi 2 key nói trên). Mặt khác, virus vì một lí do nào đó, có thể tạo thủ công các thiết lập trong key MountPoints2 này. Vì vậy, thường là chúng ta sẽ được khuyên xóa cả mục MountPoints2 của tất cả các tài khoản trên máy để tránh hậu họa.
Lãng khách cũng nhớ đã đọc đâu đó (tài liệu nước ngoài) khuyến cáo là không nên xóa bỏ key MountPoints2 đề phòng có sự hoạt động bất thường của Windows đối với các thiết bị nhớ gắn ngoài, và lời khuyên đưa ra là chỉ cần sử dụng key

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"là hoàn toàn đầy đủ và tối ưu nhất. Tuy nhiên nếu các bạn xóa bỏ các thiết lập của Windows trong key MountPoints2 mà máy hoạt động bình thường thì cũng không có vấn đề gì :).

TheCrack
12/01/10, 05:52 AM
Sau khi tham khảo nội dung bài viết trên của Mod Lãng khách, mình đã hiểu vì sao mà dù tắt AutoPlay hay AutoRun thì nếu có autorun.inf với thiết lập Icon cho USB mà USB vẫn có thể hiển thị trong một số trường hợp (tức là Windows vẫn "âm thầm" thực hiện lệnh của autorun.inf mặc dù đã thiết lập cho máy tính ngắt AutoRun).

thanhlongkt
12/01/10, 07:21 AM
Bài này hay đấy, cảm ơn anh em nha, mình bị con này nhưng quét BK không hết bực mình lắm, làm thủ ngay lập tức đây

flobg88
19/07/10, 10:01 AM
Ko ngờ FLo bé nhỏ mà được các bạn quan tâm thế này ;)) .

duymeo
19/07/10, 10:15 AM
Ko ngờ FLo bé nhỏ mà được các bạn quan tâm thế này ;)) .
Hừm, độ tương thích với mọi win chứ chú Flo?

thanhthai
18/05/11, 11:12 AM
ko nhìn thấy hình anh ơi ((

Lãng khách
18/05/11, 11:21 AM
Hậu quả của sử dụng upanh.com đây mà :). Giờ cập nhật lại mấy bức hình này cũng bực mình phết :D.
Lần sau bạn có thể tạm thời Google ra bài tương đương nhưng còn ảnh nhờ Google nhé :). Ví dụ:
http://vnitclub.org/forum/showthread.php?t=4764

tuanhai601
20/05/11, 09:28 PM
Trường hợp bị khóa toàn bộ regedit, quyền admin, không cho chạy file .vbs, .reg, không install đc từ file inf thì làm thế nào các bác.

thangkho
20/05/11, 10:44 PM
thử cách này xem http://forum.bkav.com.vn/showthread.php?23415-Diet-autorun-va-fix-loi-win-trong-nhay-m-t-
hoặc xem dưới mấy topic ở dưới chữ ký Super Moderator duymeo

toan293
21/05/11, 08:17 AM
Anh quangHa ơi có thể cho em code của dòng virus này không!
Cảm ơn anh nhiều!

toan293
01/06/11, 07:31 AM
Anh Quang Ha ơi !
Anh có thể text mẫu đó lên đây được không ? Em muốn thực hành luôn !

Tran Quang Ha
01/06/11, 07:58 AM
Hiện tại mình đang ở cơ quan-> không có mẫu. Nếu em cần mẫu để test ... anh gửi cho (trưa về anh mới gửi được).

toan293
25/06/11, 07:50 AM
Anh Quang Hà ơi em đang muốn tự bào chế file .bat để điệt nó luôn nhưng mà em không biết cách thiết lập cho chương trình này chỉ del virus thôi
VD em chỉ muốn nó xoá các file exe có kích thước là 500kb thôi chẳng hạn thì em phải làm sao anh giúp em với !
Em cảm ơn anh nhiêu !

zombie3011
15/07/11, 03:11 AM
Mình thấy giống với cái điện thoại của mình: Máy đt của mình cắm vô máy tính để cop ít dữ liệu ùi rút ra lúc mình vào thẻ nhớ ( vào bằng đt) thì tất cả các file của mình biến mất hết cắm lại máy tính thì thấy có foder imager click vô thế là xong cái máy tính tự nhiên bi h máy tính khi bật lên vào trong window ko hiển thị được icon và thanh taskbar lun ùi hixhix
Mong mọi người giúp đỡ em 1 việc là: Lấy lại file ảnh trong đt (diệt hết virus trong ý đi nữa, mình đã dùng bkav pro quét thẻ nhớ mà ko thấy có virus)

tan_td
15/07/11, 07:40 AM
Mình thấy giống với cái điện thoại của mình: Máy đt của mình cắm vô máy tính để cop ít dữ liệu ùi rút ra lúc mình vào thẻ nhớ ( vào bằng đt) thì tất cả các file của mình biến mất hết cắm lại máy tính thì thấy có foder imager click vô thế là xong cái máy tính tự nhiên bi h máy tính khi bật lên vào trong window ko hiển thị được icon và thanh taskbar lun ùi hixhix
Mong mọi người giúp đỡ em 1 việc là: Lấy lại file ảnh trong đt (diệt hết virus trong ý đi nữa, mình đã dùng bkav pro quét thẻ nhớ mà ko thấy có virus)
Bạn phải đưa mẫu lên thì mới biết dính con nào chứ. Bạn dùng BkavPro thì có thể gửi Log đến hỗ trợ kỹ thuật ấy...

Truong Van Hieu
15/07/11, 07:42 AM
Bạn đọc bài này của mình, mình nghĩ nó sẽ giúp ích cho bạn đó : http://forum.bkav.com.vn/showthread.php?28278-Giup-diet-virus-lam-cac-file-file-exe&p=307632#post307632

Chúc bạn thành công!

lyhieubinh
15/07/11, 03:09 PM
Các bạn dùng BKAV pro 2011 đi, quét toàn bộ, rồi sao đó sử dụng chức năng hiện file ẩn của BKAV, đảm bảo không còn lặp lại trường hợp cũ, làm chi mà thâm nhập vào registry cho nguy hiểm, sơ ý chỉnh nhầm biết đâu mà chỉnh lại.

thanh_vip9x
16/07/11, 10:26 AM
máy nhà em đang bị như vậy!!tks anh nha đã post bài này

ohenri100
16/07/11, 10:32 AM
Chào mọi người,

Virus folder.exe này khá phổ biến, mình thấy khá nhiều. Khi máy tính chưa bị nhiễm, cách đơn giản là cẩn thận xem trong usb coi có virus này không và xóa nó thôi. Để thấy được virus này trong usb thì vô tool --> Folder option--> show file ẩn và file hệ thống lên là thấy hết.
Xem thêm bài này:
http://forum.bkav.com.vn/showthread.php?26348-Diet-virus-bang-tay-co-ban-cho-nguoi-dung-pho-thong-Khong-chuyen&highlight=

rongcodoc12
16/07/11, 11:23 AM
các bạn có thể tải bkav home về diệt ngon lành hoặc dùng trình MBAM diệt cũng được hoặc 1 AV bất kì ( avira là ok chém hơi bị tốt ) sau đó dùng cái này để fix file ẩn
http://www.mediafire.com/?nwtxmqmnl4j
hoặc là
http://www.mediafire.com/?kjmbnzn2ddn

ucnhols
15/09/13, 11:18 AM
hình lại lỗi rồi bạn ơi. fix lại cái. máy đang bị dính virus tự tạo thư mục .exe đây :( cắm box vào cũng dính nốt rồi :(
mà cái phục hồi các file bị ẩn sử dụng như nào thế :( new member nên chưa biết. mong mn chỉ giúp

Bkav Tech Support #ID:686
16/09/13, 08:42 AM
hình lại lỗi rồi bạn ơi. fix lại cái. máy đang bị dính virus tự tạo thư mục .exe đây :( cắm box vào cũng dính nốt rồi :(
mà cái phục hồi các file bị ẩn sử dụng như nào thế :( new member nên chưa biết. mong mn chỉ giúp

Chào bạn,

Các mẫu virus fake folder đã được cập nhật vào bộ mẫu nhận diện của Bkav, bạn hãy sử dụng phần mềm diệt virus Bkav để xử lý nhé.

phamthaiha
16/09/13, 08:48 AM
Link ảnh die hết rồi, up lại ảnh đi bạn ơi!

duymeo
16/09/13, 08:51 AM
Sau 1 thời gian, hình ảnh đi đâu hết hoặc ko nhìn rõ.

lehuybao2010
16/09/13, 09:07 AM
Hậu quả của sử dụng upanh.com đây mà :). Giờ cập nhật lại mấy bức hình này cũng bực mình phết :D.
Lần sau bạn có thể tạm thời Google ra bài tương đương nhưng còn ảnh nhờ Google nhé :). Ví dụ:
http://vnitclub.org/forum/showthread.php?t=4764
Source của LK đưa cũng tèo luôn rồi :D
Chắc nhờ anh em nào có up lại ảnh cho bài viết :)