Cách diệt Virus lây lan qua USB Flash Drive


Tên bài : Cách diệt Virus lây lan qua USB Flash Drive
Ngày viết: June 24, 2007 bởi Hoàng Huỳnh
Thể loại : Anti-virus
Độ Khó : Trung bình
Công cụ : Tay, không cần CT Anti-virus
Hệ ĐHành : Windows anything

Thực trạng

bài trước, tôi đã nói sơ về các cơ chế lây lan cơ bản của các Virus hay xuất hiện trên USB Flash Drive (trong bài này gọi tắt là virus). Tôi cũng đã nói chi tiết về cách phòng chống các virus này. Như vậy, nếu các bạn thực hiện tốt các phương án phòng chống thì có thể yên tâm là máy không bị nhiễm thêm virus nữa.
Nhưng nếu máy bạn đã bị nhiễm virus từ trước? Trong bài này chúng ta tìm hiểu cách vô hiệu hóa chúng.

Mục đích

Như tên bài viết, chúng ta sẽ đi trực tiếp vào cách diệt virus: xuất phát từ cách mở khóa các CT bị virus cô lập (regedit, folder options, cmd etc.), sau đó chúng ta cô lập virus và đánh trả.

Khuyến cáo

Bài viết hướng dẫn gỡ bỏ virus bằng tay, việc làm này liên quan đến việc cấu hình những thành phần quan trọng trong Windows, nếu thực hiện không cẩn thận có thể sẽ gây nên những hậu quả nguy hại. Bạn nên chắc chắn là đã sao lưu các dữ liệu quan trọng trước khi thực hiện. Use it as your own risk.

Thủ thuật của virus

Thử tưởng tượng một ngày đẹp trời bạn tìm thấy một rương gỗ, với tài năng + ổ khóa lỏng lẻo của cái rương bạn nhanh chóng mở được khóa và tìm thấy bên trong 1 kho báu kết sù. Kho báu quá lớn nên bạn quyết định lần này chỉ vơ vét 1 phần, rồi làm gì tiếp theo? Tât nhiên bạn sẽ khóa nó lại với ổ khóa mới của bạn, đảm bảo rằng chủ nhân thực sự của chiếc rương cũng không thể tách bạn ra khỏi cái rương.
Virus cũng vậy, nó khóa windows của bạn lại để độc chiếm. Bạn không thể chạy những chương trình có thể gây nguy hại đến virus: regedit, cmd, task manager, folder options… Chúng ta sẽ xem liệu virus có thông minh như tên cướp biển gian xảo.

Kiểm tra tình trạng hiện tại của bạn

Ghi chú: việc kiểm tra này rất có khả năng làm cho máy của bạn restart, hãy lưu hết dữ liệu.
Nếu tin rắng máy tính của mình đã bị nhiễm virus, bạn hãy thử xem virus này là một sinh vật thông minh đến cỡ nào.

Kiểm tra: thử mở các ứng dụng sau và xem virus đã khóa ứng dụng nào. Một ứng dụng bị khóa sẽ không thể được thực thi (thông báo lỗi, menu bị mờ đi…) hoặc làm cho máy bạn restart. Danh sách này bao gồm:

  1. Task Manager: bấm Ctrl+Alt+Del hoặc click chuột phải vào thanh Start, chọn Task Manager.
  2. Regedit: Vào Run từ menu Start > Run… (hoặc tổ hợp phím windows+R), gõ regedit rồi enter.
  3. Folder Options: Mở My Computer, trong menu Tools thử xem có thể chạy Folder Options… không.
    Nếu có thể mở Folder Options, vào tab View và xem mục Show hidden files and folders có ở đó không.
  4. Cmd: Vào Run, gõ cmd rồi enter.

Mở khóa

Bây giờ bạn đã biết virus “khóa cẳng” bạn ở điểm nào, trò chơi bắt đầu…
Cẩn trọng: Trong suốt quá trình, mọi thứ có thể trơn tru nhưng cũng có thể virus sẽ restart máy của bạn liên tục và chẳng làm được gì nhiều. Trong trường hợp này bạn hãy

  1. Tắt chức năng system restore: click chuột phải vào logo My Computer trên desktop chọn Properties. Trong cửa sổ mới hiện ra chọn tab System Restore rồi tick vào Turn off System Restore on all drives, OK.
  2. Restart máy tính về safe-mod: restart lại máy tính, bấm F8 lúc máy boot và chọn Safe-Mode.
  3. Thực hiện tất cả các thao tác trong windows ở chế độ Safe-mode.

Ghi chú: Tôi có đính kèm 1 phần mềm đơn giản ở cuối phần này, nếu thích bạn có thể download về và chạy. Task Manager, Regedit và Folder Options sẽ được enable hết, nhưng như thế thì mất đi tính manual của hướng dẫn.

Regedit

Nếu virus đã khóa Regedit của bạn (thường hiện lên thông báo kiểu như Registry editing disabled by Adminstrator trong khi bạn đang là Adminstrator), hãy thử enable lại regedit:

Cách 1: tạo file .reg

  1. Login vào máy bằng tài khoản Administrator
  2. Mở notepad và dán vào đoạn mã sau:
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=dword:00000000
  3. Lưu lại với tên file .reg, ví dụ: regopen.reg
  4. Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này hướng dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả giống hệt như bạn vừa sửa regedit vậy
  5. Kiểm tra lại regedit

Cách 2: tạo chương trình .NET Framework thực thi đoạn mã như file .reg

Ghi chú: máy của bạn phải có cài .NET Framework. Có thể kiểm tra bằng cách xem thư mục C:\WINDOWS\Microsoft.NET\Framework\vx.x.xxxx\ có tồn tại hay không (với C:\WINDOWS là nơi cài Windows của bạn; vx.x.xxxx là phiên bản Framework hiện tại, vd: v1.0.3705, v2.0.50727). Nếu không có, bạn có thể tải về nhanh chóng từ trang Windows Update của Microsoft.

  1. Mở notepad và dán vào đoạn mã sau:
    using System;
    using Microsoft.Win32;
    class RestoreReg
    {
    static void Main ()
    {
    RegistryKey polKey = Registry.CurrentUser.OpenSubKey
    (@"Software\Microsoft\Windows\CurrentVersion\Policies\System", true) ;
    polKey.SetValue ("DisableRegistryTools", 0) ;
    polKey.Flush () ;
    }
    }
  2. Lưu lại với tên file .cs, vd: restorereg.cs
    Mẹo: Bạn nên lưu file ở nơi nào dễ truy cập, như C:\ chẳng hạn
  3. Lưu xong, mở Command Prompt lên (vào Start > Run… > cmd rồi ENTER)
  4. Di chuyển vào đường dẫn .NET Framework bạn tìm được ở trên, dùng lệnh cd, chẳng hạn:
    cd %windir%\Microsoft.NET\Framework\v1.1.4322
  5. Tiếp theo ta chuyển file nguồn .cs ở trên thành file thực thi .exe bằng lệnh
    csc c:\restorereg.cs
    csc ở đây là file csc.exe dùng để biên dịch có trong thư mục vx.x.xxxx
    c:\restorereg.cs là đường dẫn đến file .cs mà bạn lưu ở trên. Chú ý nếu đường dẫn này có khoảng trắng thì bạn phải dùng cặp dấu ngoặc “” để nhóm lại, vd:
    csc "c:\new folder\restore regedit.cs"
  6. Nếu không có sai sót gì thì file restorereg.exe đã được tạo ra trong thư mục vx.x.xxxx, bạn chạy file restorereg.exe, regedit sẽ được mở.
    Nếu nhác, bạn có thể download file restorereg.exe tôi đã biên dịch tại đây

Cách 3: dùng Group Policy Editor (Windows XP Professional only)

  1. Login vào máy bằng tài khoản Administrator
  2. Chạy Run và gõ gpedit.msc rồi enter
  3. Tìm đến User Configuration | Administrative Templates | System
  4. Double-click lên mục Disable registry editing tools và chọn Not Configured
  5. Thoát khỏi Group Policy Editor hoặc tiếp tục đọc phần sau nếu Task Manager của bạn cũng có vấn đề

Task Manager (Ctrl+Alt+Del)

Cách 1: sửa regedit

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  2. Ở khung bên phải chú ý mục “DisableTaskMgr” (đang có giá trị ‘1’), double click vào đó đổi giá trị DWORD của nó thành 0
  3. Thoát khỏi regedit

Cách 2: dùng Group Policy Editor (Windows XP Professional only)

  1. Vào Group Policy Editor như hướng dẫn ngay trên
  2. Tìm đến User Configuration | Administrative Templates | System | Ctrl+Alt+Del Options
  3. Double-click lên mục Remove Task Manager và chọn Not Configured
  4. Thoát khỏi Group Policy Editor (hoặc tiếp tục mày mò, có một số trò vui khác nếu bạn thích mạo hiểm)

Folder Options

Sau khi chắc chắn Regedit của bạn đã có thể chạy được, bạn có thể mở khóa cho Folder Options.

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  2. Ở khung bên phải chú ý mục “NoFolderOptions” đang có giá trị ‘1’, double click vào đó đổi giá trị DWORD của “NoFolderOptions” thành 0 hoặc xóa luôn cả mục “NoFolderOptions” cũng được
  3. Thoát khỏi Regedit

Ghi chú: Trong cùng địa chỉ Registry này còn có một số thông số thú vị khác như DisallowRun, NoControlPanel NoDriveTypeAutoRun, NoLowDiskSpaceChecks.

“Show Hidden Files and Folders”

Nếu bạn có thể truy cập Folder Options nhưng phần “Show Hidden Files and Folders” bị mất, phục hồi theo các cách sau:

Cách 1

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
  2. Ở khung bên phải chú ý mục “Type”, double click vào và nhập giá trị là group.
  3. Sửa xong bấm F5 để refresh, kiểm tra lại Folder Options
  4. Thoát khỏi Regedit

Cách 2

  1. Vào regedit tìm chính xác đến
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  2. Ở khung bên phải chú ý mục CheckedValue, sửa giá trị lại là 1
  3. Thoát khỏi Regedit

Tiện ích mở khóa

Như đã nói ở trên, có một tiện ích nhỏ giúp bạn nhanh chóng mở khóa của Task Manager, Regedit và Folder Options. Bạn chỉ cần tải về và chạy là xong, yên tâm đây là tiện ích “sạch”.
Bạn có thể tải về tại đây.

Xóa virus

  1. Tắt System Restore và khởi động vào safe-mode (hướng dẫn ở trên).
  2. Thực hiện các bước mở khóa cho windows, tham khảo lại bài 1 (cách phòng chống virus) để hiện các file ẩn nhằm nhận dạng virus.
  3. Cẩn thận dùng Explorer dạo qua tất cả các ổ cứng và xóa hết các thông tin autorun và file thực thi (.exe) của virus.
    Ghi chú: đừng double click — tham khảo lại bài 1.
  4. Nếu máy tính nhiễm các virus dạng giả icon, hãy xem properties của 1 file như vậy, lấy file size và tiến hành search toàn bộ các ổ cứng (nhớ search cả file ẩn và file system) với file size vừa lấy được, định dạng file tìm kiếm là application file.
  5. Khi quá trình tìm kiếm hoàn tất, kiểm tra lại các file này, tránh xóa nhầm những file “hiền” (những file virus thường có logo thư mục và file size không đổi). Chọn tất cả các file virus và tiến hành xóa.

Có bất kỳ vấn đề/thắc mắc nào trong quá trình thực hiện, bạn hãy post lên.

Kỳ sau: Kiểm tra các ứng dụng chạy lúc khởi động

16 responses to “Cách diệt Virus lây lan qua USB Flash Drive

  1. Pingback: Phòng chống Virus Autorun lây lan qua USB Flash Drive « test your brain, your mind and your head too!

  2. Pingback: Vô hiệu hóa chức năng autorun để phòng ngừa virus « Hoang Huynh on WordPress

  3. Em có tải những bài hát trên mạng,khi tải xong thì tất cả các bài hát đều nghe được.Em k tải trực tiếp qua USB mà tạo một file trong My Document sao đó em coppy vào USB. Nhưng khi nghe thì có bài nghe được có bài k?, Em cũng k hiểu tại sao nữa. Đã vậy trong USB còn có 2 File giống hệt file của em tạo, nhưng mở thì k được. Nó dạng ([.shell.las, F-90E9-C.338, sicAlbum.m, tid=4e43.F51).
    Anh có thể hướng dẫn từng bước để em diệt được k?,Trong USB em có cài Bakv nhưng k diệt được, đã thế nó còn VIRUS nữa.
    À, sao anh k có email vậy.

    Em cáml ơn anh nhiều.

  4. Chao anh,toi ko biet USB cua toi da nhiem loai virus gi,nhung khi hien thi bang explore thi chi co 1 folder duy nhat mang ten “Bi Mat”. Virus nay da nhiem vao may tinh cua toi,co lap hoan toan cac file he thong cua windows (regedit,msconfig,task manager,folder Option…) ngay ca chuong trinh virus cung ko the chay dc va ko the duyet web (google.com.vn,bkav.com.vn). Khi chay cac ung dung nhu tren,chi hien cua so va bien mat ngay lap tuc,ko de cho toi kip thuc hien bat ky xu ly nao va ko biet dc day la loai virus nao.
    Anh co the giup toi giai quyet dc ko???

  5. Chào Jonny K và Truong Huu Nghi,
    Tôi nghĩ rằng bây giờ tốt nhất là các bạn khởi động máy về chế độ safe-mode (restart lại máy bấm F8 lúc khởi độc) rồi vào Windows dùng hijackthis (www.filehippo.com/download_hijackthis/) quét sơ bộ máy tính. (Cần lưu ý rằng nhiều khi virus cũng cô lập hijacthis không cho chương trình này chạy, lúc đó bạn hãy thử đổi tên chương trình, thành abc.exe chẳng hạn.) Sau đó lưu file log lại và vào http://hijackthis.de upload file này lên để kiểm tra. Tất cả các kết quả khả khi sẽ được liệt kê, bạn chuyển qua lại chương trình hijackthis và tick vào các kết quả đó rồi fix. Sau đó cũng cần quét triệt để các tàn dư của từng virus cụ thể.
    Các bạn cũng có thể đưa file log lên đây để mọi người cùng xem xét.
    Thân.

  6. Dạ anh ơi cho hỏi, máy em vừa mới cài lại em k sd internet, chi chép dữ liệu qua USB thui, có lẽ nó bị niễm virus rùi hay sao ma bi giờ chạy chương trình adobe illustrator rat chậm, save là máy bị treo luôn, phần mềm diệt virus trên máy cũng có nhưng vẫn k phát hiện và diệt dc, anh có thể giúp em k? và nên chọn phần mềm diệt virus nao để diệt dc nó bây giờ, có cần phải cài lại máy k anh?

  7. Chào Yen,
    Thường thì máy tính ở Việt Nam bị nhiễm virus qua đường USB hơn là internet. Để khắc phục chuyện này, lần sau bạn nhớ khi cắm USB vào máy tính bạn đừng vào thẳng USB bằng cách kích đúp chuột vào biểu tượng đĩa USB trong My Computer — thay vào đó bạn vào Explorer (bấm chuột phải vào My Computer & chọn Explorer) rồi mở đĩa USB và các thư mục bằng cây thư mục bên khung bên tay trái.
    Giờ để diệt virus trên máy bạn có lẽ bạn nên nhờ ai đó có kinh nghiệm thử cài một số chương trình anti-virus mới cập nhật vào máy (như NOD32, AVG, Norton Anti-virus, McAfee v.v.) rồi tiến hành diệt thử. Bạn có thể tìm hiểu thêm về chương trình hijackthis và trang http://hijackthis.de để kiểm soát nhanh tình trạng virus của máy tính.
    Nhân tiện, sau khi bạn đã diệt được virus, cách tốt nhất để miễn nhiễm lần sau là bạn tạo 1 tài khoản mới với quyền limited thay vì quyền administrator — khi bạn muốn “an toàn” thì cứ việc thoải mái duyệt web/dùng USB với user account này, virus sẽ không lây nhiễm được. Khi nào cần thiết (cài đặt chương trình mới chẳng hạn) bạn lại chuyển qua account có quyền administrator.

    Thân,
    –Hoàng

  8. Hi anh Hoang

    Em co mot van de nho nay muon nho anh giup:
    Em co 1 may MP4 co chuc nang USB, khong hieu co nhiem virus khong ma khi em su dung may tinh cua co quan thi van mo duoc cac file trong day, nhung khi dung may tinh o nha thi lai khong mo duoc file nao trong USB het. Nhung khi em lay 1 USB khac de su dung voi may tinh o nha thi van mo duoc???

    Em cung da lam day du va chinh xac cac thao tac nhu chi dan de khoi phuc lai Folder Options ma ko hieu sao van khong lam duoc anh a

    Anh co loi khuyen nao giup em voi
    Em cam on anh nhieu
    Nguyen Phuoc Trang

  9. chào anh máy tui nhiễm new folder nhưng các tính năng như anh nói đều không sao cả. chỉ có một việc là tôi không thể nào xóa nó được (xóa xong lại sinh ra)anh có cách nào để xóa nó không vậy. Lưu ý là máy tôi bị nhiễm nhưng tất cả các tính năng regedit, cmd, folder option đều ổn không bị ảnh hưởng gì cả

  10. Chào máy tính nhỏ,

    Bạn thử cách này xem sao:

    1. Khởi động máy tính vào safe-mode (lúc máy vừa bật bấm F8 rồi chọn safe-mode)
    2. Tìm và diệt TẤT CẢ các file new folder.exe

    Cách này chỉ hiệu quả khi bạn xóa sạch sẽ các file .exe bị nhiễm virus. Có lẽ bạn nên dùng 1 chương trình antivirus để quét lại lần nữa.

    Bạn cũng có thể làm thêm cách này để xem virus còn chạy trong máy bạn không:

    1. Download chương trình nhỏ Hijackthis tại http://www.filehippo.com/download_hijackthis
    2. Chạy chương trình này và lưu file log lại
    3. Vào http://hijackthis.de và upload file này lên để kiểm tra
    4. Sau khi có kết quả, bạn chuyển qua lại chương trình hijackthis và hijacthis.de để tick vào các kết quả bị nghi vấn rồi chọn fix.

  11. Chào bạn
    Tình trạng máy của mình bị cũng như bạn Truong Huu Nghi (ko vào được regedit,task manager,folder option,gpedit.msc)và cũng có folder mang tên bimat ở ổ USB làm theo cách của bạn như trên
    tạo file .reg

    1. Login vào máy bằng tài khoản Administrator
    2. Mở notepad và dán vào đoạn mã sau:
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    “DisableRegistryTools”=dword:00000000
    3. Lưu lại với tên file .reg, ví dụ: regopen.reg
    4. Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này hướng dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả giống hệt như bạn vừa sửa regedit vậy
    5. Kiểm tra lại regedit
    thì regedit vẫn mở ko được ??!!
    Khởi động lại máy thì vào safe mode cũng ko được vào rồi 1 lát nó cũng tự restart ko vào win ở chế độ safe mode được vậy bân giờ mình phải làm sao mong bạn chỉ giúp.
    Nếu bạn ko phiền xin send mình nick YM để mình tiện liên lạc
    thân!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s