1/ Để USB "thông báo" cho mình mỗi khi có virus:
Đây là cách mình thường dùng, đơn giản nhưng hiệu quả tuyệt đối, bằng cách tạo icon cho USB. Ban đầu chọn 1 icon (đẹp đẹp 1 tý), copy vào USB, tên là usb.ico chẳng hạn. Tiếp đó tạo 1 file autorun.inf trong USB có nội dung như sau:

[autorun]
icon=usb.ico

Sau đó mỗi lần bạn plug USB vào máy thì trong My computer sẽ hiện icon của USB là icon bạn chọn thay cho icon mặc định. Khi mà bạn thấy USB không hiện icon bạn chọn thì có nghĩa là USB bạn đã dính virus. Bạn nên chọn thuộc tính hidden cho cả file icon và file autorun.inf, phòng khi bạn xóa nhầm .

Tại sao lại như vậy?
Rất đơn giản, cơ chế của virus lây qua USB là tạo 1 file autorun.inf để khi mình click chuột để vào USB thì file virus sẽ chạy và lây nhiễm vào máy bạn. Do đó, nếu bạn tạo icon cho USB, khi USB bị nhiễm virus, nội dung file autorun mà bạn tạo bị thay đổi, do đó sẽ không hiển thị cái icon đẹp đẹp của bạn nữa .

2/Cách truy cập USB:
Khi bạn sử dụng USB của người khác, bạn nên truy cập theo cách sau để tránh nhiễm: Click Folder button trên thanh công cụ của explorer, click phải vào thư mục USB của explorer, chọn Expand.

3/ Cách diệt virus khi phát hiện:
Khi bạn phát hiện virus trong USB mình, bạn cũng có thể dùng cách trên để truy cập USB và xóa bằng tay file virus và file autorun. Hoặc bạn cũng có thể dùng chương trình anti-virus của mình để scan USB. Sau đó, bạn tạo lại file autorun như trên và chờ đợi con virus tiếp theo .

4/Cách disable file AutoRun của USB:
Các virus khi lây vào trong USB thường tạo ra file autorun.inf. Vậy ta tạo sẵn file autorun.inf trong usb của mình. Nhưng có những con virus thông minh ghi đè lên file autorun trong usb, vậy ta phải chuyển usb sang định dạng NTFS và đặt quyền cấm ghi đè cho file autorun.inf
Bước 1: Xác định tên ổ USB bằng cách chuột phải vào my Computer.

Bước 2: Chuyển đổi hệ thống file sang NTFS bằng cách vào Start ~~>Run sau đó gõ convert : /FS:NTFS. Ví dụ ổ usb của bạn là ổ E ta sẽ gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không phần mềm chơi nhạc của bạn không thể chạy các file MP3 được.

Bước 3: Tạo một file autorun.inf với nội dung bất kì trong thư mục gốc của USB, thậm chí để trống cũng được. Tuy nhiên bạn cũng có thể tạo file autorun.inf để nó hiển thị một ICON vui nhộn như cách số 1.

Bước 4: Chuột phải vào file autorun.inf và chọn thuộc tính cho file này là Read-only, bạn cũng có thể chọn thêm hidden.

Bước 5: Cấm mọi quyền truy nhập vào file autorun.inf này bằng cách vào Start~~>Run, gõ cacls tên_ổ_usb:autorun.inf /D Everyone rồi chọn Yes. Ví dụ ổ usb của bạn là ổ E thì bạn gõ cacls E:autorun.inf /D Everyone

Chúc các bạn thành công!

Bài viết hay lắm anh.

Em thấy phần diệt virus USB khi bị dính rồi anh làm hơi sơ sài đó. Vì nếu dính rồi nó dễ tự sao chép vào các nơi khác trong máy tính, đồng thời tạo 1 loạt key trong registry hay lây vào các file exe, như thế diệt tận gốc nó mới được. Thêm nữa là nếu nó đang chạy thì xóa file autorun cũng gặp khó khăn.

Về chuyển USB sang NTFS tuy bảo mật hơn, nhưng nhiều người phản ánh là giảm tuổi thọ USB đáng kể nên nhiều người ít chuyển.

OK, Lãng khách sẽ hướng dẫn cách làm toàn diện nhất, diệt trừ virus hoàn hảo nhất, nhưng cũng yêu cầu mọi người ai chưa quen cũng phải cố thử làm một lần, để lần sau tự mình giải quyết được vấn đề mà không cần sự hỗ trợ nào của Antivirus, hoặc giả Antivirus chưa update thì ta cũng không phải bị động.

Nếu đã nhiễm virus, tắt System Restore trước khi bắt đầu diệt trừ virus. Nếu không tắt System Restore, sẽ không thể diệt được các virus đã được Windows sao lưu để ... bảo vệ chúng.
Để tắt System Restore trong Windows XP, thực hiện như sau:

- Nhấn phải chuột trên My Computer, chọn Properties

- Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy chọn Turn off System Restore on all drivers và nhấn OK.

- Chọn Yes khi xuất hiện yêu cầu xác nhận việc này.

Nếu sử dụng Windows ME, thực hiện như sau:

- Trên màn hình Desktop, nhấn phải chuột vào biểu tượng My Computer và chọn Properties.

- Trong cửa sổ System Properties, chọn Performance. File System. Troubleshooting

- Đánh dấu tùy chọn lên Disable System Restore và nhấn OK

- Chọn Close và Yes để khởi động lại Windows.
Sau đó dùng soft này, chỉ cần tải về, open rồi thoát, tự động Task Manager và Regedit được mở khóa:

http://www.vnpower.org/forums/index.php?ac...ost&id=4201

Tiếp tục, dùng Process Explorer để tìm đường dẫn tới một con virus bất kì:

http://www.vnpower.org/forums/index.php?ac...ost&id=4423

Để chắc chắn là Folder Options và Hidden Files and Folders được bật, hãy chạy file FolderOptions&HiddenFilesEnable.reg (Lãng khách đã làm đủ)
http://www.vnpower.org/forums/index.php?ac...ost&id=4425
đính kèm bên dưới bài viết. Nếu vẫn chưa bật được, chạy thêm file showhiddenfilesfinal.vbs
http://www.vnpower.org/forums/index.php?ac...ost&id=4424
nữa là xong (không cần khởi động lại máy đâu).
Xem ở cửa sổ Process Explorer để tìm tới đường dẫn chính xác của con virus. Sau đó, phải chuột virus, phải chuột Properties, trong thẻ General, xem ngày giờ tạo lập để xác nhận thời điểm virus được tạo ra trong máy, làm tiền đề cho bước nhận biết virus ở kết quả tìm kiếm sau này. Sau đó, bấm Windows + F để mở cửa sổ Search.
Trong cửa sổ Search, chọn "All Files and Folders", nhấp vào "When was it modified", nếu vừa cắm USB, ta chọn "Specify date" (chỉ tìm kiếm các file được tạo ra trong ngày hiện tại), sau đó nhấp tiếp "More advanced options", chọn cả 3 tùy chọn "Search system folders", "Search hidden files and folders", "Search subfolders" để tìm kiếm toàn diện, bao gồm tất cả các files ẩn, chứa trong folders ẩn (dạng ẩn thông thường và dạng ẩn files hệ thống). Nếu chỉ muốn tìm kiếm các file thi hành thôi, trong ô tìm kiếm "All or the part of the file name" gõ *.exe, còn để tìm tất cả, thì để trống ô này.
Cuối cùng, nhấp "Search" để bắt đầu tìm kiếm. Chờ kết quả tìm kiếm hoàn thành, phải chuột một chỗ trống bất kì trong cửa sổ kết quả tìm kiếm, phải chuột chọn "View", "Details" để xem dạng chi tiết. Tiếp tục phải chuột vào thanh "Search companion" chọn "Date Created" để thêm Tab hiển thị theo ngày giờ tạo lập của tất cả các files. Tiếp tục trái chuột vào Tab này để hiển thị theo ngày giờ tạo lâp của tất cả các files theo thứ tự từ mới nhất hoặc sớm nhất. Nếu máy bị virus, thì tất cả các files virus tạo ra sẽ được tạo ra gần như đồng loạt, ta thừa sức biết files nào là virus (file lạ), files nào là files lành. Sau khi liệt kê rõ ràng như vậy, bật Process explorer, kill tất cả các process lạ (virus tạo ra), bằng cách nhấp lần lượt, bấm fím del. Nếu ta có PrcView thì có thể bấm Ctrl rồi chọn lần lượt từng process sau đó bấm del sẽ cùng lúc kill tất cả các tiến trình đang chạy thường trú trong máy. Nếu các bạn biết về Registry, hãy ghi nhớ các key mà virus đã tạo ra, để sau đó vào xóa bằng tay. Các key này chỉ có nhiệm vụ chạy start up virus, disable Task Manager, Regedit, ... thôi,...
Nếu không xem các key bị thay đổi ở Regedit cũng không cần thiết, các sosft dọn dẹp Registry nổi tiếng và toàn diện như AusLogics Boost Speed sẽ làm giúp ta điều này sau khi diệt xong virus.
Sau khi kill hết các tiến trình, ta mới xóa được virus. Trong cửa sổ kết quả tìm kiếm, giữ Shift rồi chọn virus đầu tiên, tiếp tục nhấp virus cuối cùng trong danh sách, rồi bấm Shift + Delete. Có thể giữ Ctrl rồi chọn lần lượt từng virus, hoặc Ctrl + Shift để chọn từng vùng liền nhau riêng lẻ. Các bạn hiểu rồi chứ?

Anh viết thế, có chỗ nào thừa, có chỗ nào khó hiểu hay cần phải bổ sung thêm không L2H?

Đấy là trường hợp diệt bằng tay. Còn nếu em cần một công cụ miễn phí mà cực mạnh (không thiếu thứ gì), hơn hẳn BKAV PRO (mất phí của Việt nam) thì em hãy xem Fire Lion, một phần mềm giúp phát hiện và diệt virus Việt nam mạnh chưa từng có. Phải nói đây là gói công cụ "Tất Cả Trong Một", xuất sắc tuyệt đối từ ý tưởng cho tới cách thức thực hiện. Hãy thử một lần và cảm nhận nó. Cách sử dụng hoàn toàn là Tiếng Việt, giao diện trực quan, nên dễ dàng sử dụng cho mọi đối tượng:

http://www.vnpower.org/forums/Khac-tinh-cu...B-v-t36949.html

Anh viết tốt quá rồi , thế này thì newbie cũng có thể làm được.

Em hỏi thêm 1 chút: phần mềm KillXXX trong bài có thể hiện được file ẩn khi chức năng này bị khóa không? Có 1 số trường hợp virus tắt chức năng này đi, tức là dù có chọn Show hidden files thì vẫn không hiện được (mặc dù process của nó đã bị kill rồi).

Nếu gặp trường hợp này, em bổ xung cách hiện file ẩn qua registry mà không ảnh hưởng tới phần Folder Options (thực tế là khi đó 2 ô Show và Do not show đều không được đánh dấu), ở đây giả định registry đã truy cập được nhờ KillXXX:

Truy cập vào Registry, tìm đến khóa:


Ở cửa sổ bên phải sửa giá trị của Hidden thành 1 (mặc định là 2). Logoff hoặc Restart lại máy.

Chú ý: kill process và các khóa startup cũng như các lệnh startup của virus trước khi logoff hay restart (hình như anh cũng chưa nói đến những vị trí startup này).

PS: Cái này nói ngoài lề 1 chút. Sở dĩ những chương trình diệt virus mạnh không phát hiện và diệt được những virus loại này (những virus kiểu như SPIM Y!M, làm thay đổi homepage, khóa Task Manager, Registry), ... vì chúng coi đây không phải là những virus . Đối với chúng, virus là những chương trình độc hại, còn những con thuộc loại này manh tính nghịch ngợm hơn.

Lãng khách đã bổ sung thêm vào bài viết phần hiện Show hidden files and folders vào bài viết phía trên rồi. Còn Regedit key thì anh sẽ nói sau (phải dùng tools mới dễ nhìn và kiểm soát, có điều cũng không cần thiết, vì chỉ cần hiện được files ẩn và kill processes thì anh đã hướng dẫn rồi). Sau khi phát hiện, kill process và diệt xong virus, các key ở Regedit giờ mất chủ, các soft dọn rác sẽ giải quyết gọn gàng thôi mà . Còn phần hướng dẫn của em, vẫn còn thiếu, em có thể xem lại phần hướng dẫn của anh, và theo cách của anh không những đủ mà còn không phải restart máy mới có tác dụng (anh đã tính hết mọi trường hợp). Em xem xét có cần bổ sung gì nữa không nhé .

Chỉ tiếc là tất cả những gì Lãng khách đã nghĩ ra hay đã biết đều không vượt qua được Fire Lion.

Rất tiếc, sau khi về xem lại, Lãng khách mới thấy rằng, file REG của Lãng khách chưa đủ công dụng cần thiết. Nó chỉ bật Enable Folder Options đồng thời sau đó bật Show Hidden files and folders, nhưng, có 2 điểm chưa được:
1. Tuy bật được Folder Options, nhưng chúng ta hoặc phải Restart (ý tưởng của LearnToHack), hoặc phải Log Off (ý tưởng của Lãng khách 3 năm về trước). Cả 2 cách này đều có nhược điểm là mất thời gian, và tất cả những gì chúng ta đang làm dở dang trên các Apps khác sẽ bị "xóa sổ". Ý kiến đề nghị của Lãng khách đưa ra trong trường hợp này là, bật Process Explorer (đã đính kèm lên diễn đàn), tìm tới process "Explorer.exe" và phải chuột, chọn "Restart". Đây là soft duy nhất cho phép làm điều này, có tác dụng Restart bất kì Ứng dụng nào đang chạy trên máy sau khi thay đổi, thêm bớt các hiệu ứng mới để cho hiệu ứng có tác dụng, mà ở đây là Folder Options sẽ được bật-tắt ngay trên cửa sổ Explorer! Như vậy, ngoài Explorer được Restart (1-2 giây), tất cả các ứng dụng khác cũng như bộ nhớ trong và ngoài không có sự thay đổi gì!
2. Tuy Lãng khách cho phép hiện toàn bộ files và thư mục ẩn, kể cả thư mục hệ thống (cách của L2H không bật ẩn files hệ thống), và có kết quả ngay sau khi ta bấm F5 trên Explorer (trừ kết quả files ẩn trên Desktop, muốn hiện files&folders ẩn trên Desktop, ta phải thêm một bước "Restart" process "Explorer" như Lãng khách đã hướng dẫn ở phía trên, vì Desktop chưa được Refresh, nhưng hạn chế là phần Hide filetype chưa được bật (nghĩa là, phần đuôi của files vẫn ẩn đi, nên virus (có đuôi .exe) với biểu tượng thư mục, ta sẽ rất khó phân biệt. Và Lãng khách đã bổ sung thêm phần hiện định dạng cho files, tất cả virus thực thi ta đều có thể nhận biết thông qua phần mở rộng của nó!
Các files REG sau khi bổ sung, sửa chữa, Lãng khách sẽ đính kèm bên dưới bài viết này.
File REG thứ nhất có tác dụng Bật Folder Options và Hiện toàn bộ files&folders ẩn (bao gồm cả ẩn hệ thống), các bạn nhớ Restart Explorer.exe để thấy ngay tác dụng.
File REG thứ hai có tác dụng Bật Folder Options nhưng ẩn toàn bộ files&folders ẩn (bao gồm cả ẩn hệ thống).
File REG thứ ba có tác dụng Tắt Folder Options và ẩn toàn bộ files&folders ẩn (bao gồm cả ẩn hệ thống).
Cả 3 files này Lãng khách nén chung vào một file RAR, các bạn tải về và giải nén, sử dụng.

Thật ra, nếu Pờ rồ một chút, các bạn cũng tự bật được Regedit và Task Manager bằng tay (tài khoản Adminitrator):

Click Start, Run và gõ gpedit.msc bấm ENTER
* Bạn chọn như sau:

User Configuration | Administrative Templates | System

* Double-click Disable registry editing tools (hoặc Prevent access to registry editing tools) và đặt nó thành Not Configured
* Thoát khỏi Group Policy Editor.

Để bật Task Manager:

Click Start, Run và gõ chính xác dòng lệnh sau (tốt hơn hết nên copy và paste)

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 0 /f

Rồi Enter.

Hoặc:
* Click Start, Run, gõ gpedit.msc và click OK.
* Bạn chọn như sau:

User Configuration / Administrative Templates / System / Ctrl+Alt+Delete Options / Remove Task Manager

* Double-click lựa chọn Remove Task Manager.
* Đặt nó thành Not Configured.
Thoát khỏi Group Policy Editor.

LK cho mình hỏi 1 chút nhé.Mình có cái mp3 8G(made in china ), nó bị dính virus,mình đã format lại nhưng mà có vẻ ko ổn, mình định cài lại firmware. Nhưng bây giờ khi mình kết nối máy với PC, có tình trạng mỗi khi mình kick chuột vào ổ đĩa của mp3 thì máy lại bị treo 1 lúc, cũng ko thể vào lấy file trong mp3, hiện giờ mình cũng ko thể nghe nhạc bằng mp3. LK biết tại sao lại vậy ko?

Tốt nhất bạn nên đem ra nơi bán, yêu cầu sửa chữa hoặc khắc phục. Họ có phần mềm chuyên dụng cho từng loại USB . Chi phí chắc chắn không đáng là bao đâu .

Bài viết của anh ổn lắm rồi , thanks anh nhiều.

PS1: Fire Lion mình bì khó lại, vì nó do trùm LeVuHoang viết mà, anh ấy đang dự định viết 1 chương trình diệt virus (hiện giờ đang tập hợp mẫu virus bên HVA). Mấy cách hoạt động của những con virus AutoIT này được nghiên cứu kĩ rồi, nên Fire Lion "gọt sạch" nó là phải. Anh em mình diệt bằng tay thì chỉ khử được phần nào. Ngày trước em gặp 1 con loại này, nhưng nó có cái oái oăm là ghi thêm mã của nó vào các file exe trên ổ cứng, bất cứ khi nào chạy các file exe này thì virus được kích hoạt. Mặc dù diệt hết file nguồn virus, khóa registry, các file nó tạo ra, nhưng còn cái đoạn lệnh nó chèn vào các file exe thì bó tay. Mấy phần mềm diệt virus không coi nó là virus , đâm ra phải xóa sạch các file exe này đi, chán thật.

PS 2: Nếu như phát hiện và kiểm soát hết tất cả các vị trí cũng như các file / process của con virus loại này, nên viết 1 file batch làm tự động hết những công việc trên (bao gồm kill process, sửa khóa registry và xóa các file do nó tạo ra). Như vậy khi gặp lại con này, chỉ đơn giản chạy file batch đó, rồi sử dụng thủ thuật của anh LK để restart Explorer.exe là xong.

Em không thể kiểm soát được hết đâu. Thật ra do "virus" là do người Việt viết, nên họ cũng cập nhật được "cách diệt". Process thì chỉ cần đổi tên file là xong, Registry key thì em không để ý thôi, KIS có thể kiểm soát được sự thay đổi, đây cũng có thể coi là thông báo quan trọng khi có "Virus Việt" tấn công. Để lúc nào rỗi, anh sẽ phân tích cho em thấy . Kaspersky có một chế độ đặc biệt bảo vệ Registry, đó là "Registry Guard". Với khả năng của em, tin chắc nếu em dùng Kaspersky, sẽ thấy nó đặc biệt hay như thế nào. Khi ta biết chắc những key nào có khả năng virus sẽ xâm nhập, và "buộc phải" xâm nhập, ta chỉ cần thiết lập chế độ bảo vệ cho những key này. Khi đó, tất cả những process muốn "thử" thay đổi các key này sẽ được nhận diện tới tận "hang cùng ngõ hẻm" để ta quyết định sẽ "xử" chúng thế nào. Và một khi ta chưa đồng ý, thì không thể thay đổi các key đã được bảo vệ một cách tùy tiện, nhất là từ các process! Nếu không thay đổi được Registry, thì virus coi như đồ bỏ. Kaspersky còn có các chế độ "cho phép chương trình được tin tưởng chạy" và "phân tích các process có khả năng can thiệp sâu vào hệ thống". Nếu bật toàn bộ các chế độ này, ta sẽ phải lần lượt add các chương trình thường dùng và các modules của nó vào phần Trusted zone để các ứng dụng có thể chạy. Nếu không thực hiện bước này, sẽ không có ứng dụng nào được phép tự chạy, và thậm chí, khi ta open, tuy ứng dụng không được chạy, mà Kaspersky còn cung cấp cho ta tất cả thông tin về tiến trình, bao gồm khả năng, đường dẫn, các modules, các file thư viện được gọi, sự can thiêp vào Registry tới những key nào. Thiết nghĩ, như vậy là quá đủ cho chúng ra rồi phải không L2H ?








Lãng khách xin bổ sung, nếu không có process explorer, các bạn có thể tự reset được Explorer.exe theo cách sau:
Ctrl + Alt + Del, chọn Tab Processes, tìm tới Explorer.exe và phải chuột, chọn End process. Sau bước này, nhấp thực đơn File ở cửa sổ Windows Task Manager, choịn New Task (Run...). Gõ Explorer rồi Enter. Thế là ta đã hoàn thành bước Restart Explorer.exe rồi đấy .

Lần trước, em có nhắc Lãng khách đã không đề cập đến việc các Key Registry được thêm vào, hay bị sửa đổi. Thì đây, Lãng khách xin cung cấp cho em một công cụ mà Lãng khách luôn mang theo USB mấy năm nay. Sau khi chạy nó, em hãy chọn hiển thị Everything nhé. Tất cả các key em cần đều có ở đó, thậm chí còn nhiều hơn em muốn. Còn có cả các modules, các process, các file thư viện .dll chạy ngầm nữa. Không thiếu gì cả! Chỉ mang tính khám phá, còn khả năng xử lí thông tin thế nào phụ thuộc vào chính bản thân em!

Dùng thử và hãy quên đi những cái key khó tìm!!! .

Em có đọc đâu đó có nói về chạy một chương trình bất kỳ dưới quyền hệ thống, thấy bảo là có thể enable lại những chức năng bị khoá<lệnh là a:bPM /interactive “cmd.exe”,a:bpm là thời gian chỉ định...rồi làm gì đó nữa>,vậy chứ có thể bật lại task manager và registry bằng quyền hệ thống hem?

Các nội dung bên trên của Lãng khách đều có hướng dẫn cách làm bằng tay, không cần soft mà?

Anh Lãng Khách à,nói một chúc về chạy một trình ứng dụng dưới quyền system đi,có thể áp dụng nó để mở khóa registry và task manager hem?

http://www.vnpower.org/forums/index.php?sh...st&p=192080

Nghe hay lém, tớ cũng góp ý 1 chút. Nếu hệ thống dùng NTFS thì vào DOS dủng lệnh
cacls <o dia>\Autorun.inf /D Everyone để loại -RSH thuộc tính nha

This post has been edited by PhsTiger: Sep 8 2007, 11:18 PM