Hiện nay đang nổi lên dịch virus, mạnh nhất là mấy con autoIT và Brontok.A
Bài này tui sẽ hướng dẫn các bạn cách diệt virus không cần dùng đến chương trình Anti-vis cũng nhưng format cài lại máy (đó là cách làm tốn công, hiệu quả thì có hiệu quả nhưng mà ngán lắm)
* Triệu chứng virus:
- Tắt taskmanager, hoặc tên user trong Taskmanager bị biến mất để bạn không phân biệt đựơc đâu là chương trình của mình, hoặc do vis kích hoạt để Endtask nó đi. Triệu chứng là chỉ mục Task Manager khi right-clk lên start bar bị mờ, Alt+Ctrl+Del thì "your task has been disable".
- Không cho phép vào Registry, khi Run - > Regedit thì cũng có triệu chứng như trên, hoặc nếu vào được thì nó sẽ tắt ngay.
- Không cho đụng tới MSConfig, có thể bị khởi động lại nếu vào msconfig
- Tắt luôn chỉ mục Folder Options trên Tools
- Xuất hiện các tập tin exe giống hình thư mục, file txt (Brontok kiểu này)
- "Bóp cổ" chương trình anti-vis danh tiếng như Norton, Kaspersky...(không tính BKAV vì BKAV không tính là chương trình diệt Vis :D)
* Cách chữa trị:
- Diệt thằng vis đang chạy ngầm
- Diệt hết dây mơ rễ má trong registry, mở lại taskmanager, registry,msconfig
- Tìm diệt hết file virus
* Bắt đầu :
I. Diệt vis chạy ngầm:
Vào Google, gõ download Procview. Đây là chương trình thay thế taskmanager toàn diện, có thể cho bạn biết đường dẫn của chương trình đang chạy và cả những gì chương trình đang sử dụng.
Đề nghị tải từ trang gốc:http://www.blumentals.de/products/procview.php ->http://www.ltn.lv/~kblums/download/pview.exe
Để đạt hiệu quả thì bạn nên tắt tất cả chương trình nào còn tắt được, để khỏi bị nhầm lẫn, châm ngôn là "thà tắt lầm còn hơn bỏ sót" :D
II. Diệt hết dây mơ rễ má trong reg:
Hầu hết vis sẽ tắt luôn chức năng vào reg bằng cách sửa trong reg. Bạn cũng đừng mơ đến việc dùng soft để sữa lỗi reg vì reg không có lỗi đâu mà sửa :)
Để có thể làm việc lại với Reg, bạn vào google tải tiếp TuneUp Utilities, chạy phần Edit Reg của nó.
Tìm lấy khóa ; HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies chú ý đến phần các giá trị trong khóa này, bạn có thể sẽ tìm thấy các đơn vị như Disable Reg, Dis Task..., chờ gì nữa nào không sửa lại cho đúng :D
Có thể bạn không tìm thấy các mục này nhưng vẫn bị "Your task has been dis by...", chuyển tiếp sang nhánh HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System ngay bên dưới, cũng làm tương tự.
III. Diệt hết file vis:
Sau khi hoàn thành phần 2 như trên thì coi như hệ thống đã được cứu và có thể trở lại bình thường, nhưng bạn nên dùng chức năng kiểm soát Startup của TuneUP để "xử" các file vis autoRun with Win kẻo lại toi công.
Bạn cố gắng tìm một file vis, coi xem định dạng của nó, r?#8220;i dùng Search Files của win để tìm với kích thước tương đương (vd: vis là 268kb với exe, thì tìm *.exe, size ~ 300kb)
Nhớ là phải cho hiện file ẩn và các tập tin hệt thống để tìm cho kỹ.
Có thể dùng phần mềm diệt vis bự một chút để quét lại nhằm đảm bảo an toàn(hầu hết sẽ không tìm ra vis vì vis có thể là mới hơn updates của soft)
IV. Cẩn thận vis:
Tắt Hide file extension trong Folder options. Từ nay bạn cẩn thận với những cái gì giống như folder, txt file mà có .exe
Mở USB thì bạn cẩn thận Right Click xem nó có cái Auto run nào không, nếu có thì USB bị dính vis, format nó ngay.
Thế thôi.

Nói nghe thì dài dòng hơn là cài lại win nhưng mà thực ra thực hiện chỉ khoảng 20 phút, vừa nhanh vừa thú vị nữa. Hãy.. thử một lần cho bít :D Mỏi tay quá, tui đi chơi đây :))
[Lưu ý: không copy hoặc in sao bài viết dưới mọi hình thức :w00t: ]

bài viết quá hay
nhưng có chổ em chưa hiểu
I. Diệt vis chạy ngầm:
cái này em chưa hiểu nè
:((
anh hết mỏi tay chưa
giải giúp em với hen
thanks

vis chắc là virus hoặc service. Đúng không

........................No thanks

broktok mà virus cái gì, nó giống malware hơn là virus
Mà con này tay ko kill nó như thường
cứ c:\windows\inf\*.exe
và C:\Documents and Settings\user_profle\application_data\ kill them all
và C:\documents\*.exe -> kill them all
thế là tiu con brontok :)

broktok mà virus cái gì, nó giống malware hơn là virus
Mà con này tay ko kill nó như thường
cứ c:\windows\inf\*.exe
và C:\Documents and Settings\user_profle\application_data\ kill them all
và C:\documents\*.exe -> kill them all
thế là tiu con brontok :)
Bạn nghe dễ ăn quá :shifty: Nên nhớ khi truy xuất bất cứ folder nào (dù bằng GUI hay console) sâu Rontok đều tạo 1 biến thể của nó theo dạng tênthưmục.exe :innocent:
Các bạn có thể tham khảo thông tin các biến thể Rontok mới nhất tại
http://www.bkav.com.vn/frmView.aspx?Noidung=bkav844.htm
Vấn đề diệt virus = tay chỉ thực hiện được khi bạn thật am hiểu về OS bạn đang sử dụng và có 1 số công cụ hỗ trợ khác chứ ko thể ngang nhiên del được con virus khi nó đang điều khiển chính cái windows bạn đang sử dụng.
Mình có thể bảo đảm 100% nếu máy bạn bị nhiễm virus (đơn cử là sâu Rontok) bạn ko thể diệt nó ngay trong windows được :)
Ngay cả các phần mềm AV còn ko xóa được phải đưa vào Quarantined mà các bạn có thể xóa nó chắc Kaspersky hay Symantec phải thuê các bạn về làm code manager quá :bb:
http://img264.imageshack.us/img264/6589/virusfj7.jpg

hà hà :)
trước nay tôi kill bằng tay đó bạn(chỉ xài thêm VC hay NC), nhưng mất cũng 2,3 tiếng đồng hồ mày mò bức tóc và sau chục lần restart thì mới "khỏi bệnh"

bạn ko thể diệt nó ngay trong windows được -> okie

Theo mình nghĩ thì cách của bạn khuongCOMPUTER cũng khá hay, nhưng nếu chỉ vậy thôi thì sẽ khó diệt 1 số loại virus mạnh khác. Nên cài thêm 1 chương trình diệt virus mạnh phối hợp với cách diệt trên thì sẽ hiệu quả hơn.

mấy thủ thuật trên chỉ diệt những virus đơn giản mà Bkav cũng làm được, vậy thà dùng Bkav còn hơn...
những virus có đuôi *.exe thì áp dụng được cho bài này chứ những virus có đuôi khác như *dll, *tmp, *js...thì rất khó phát hiện.
dù sao cũng học được vài thủ thuật của bạn khuongCOMPUTER ^.^

Chính vì chỉ diệt được virus đơn giản như autoIT nên tui mới bảo là quét lại bằng cái gì bự một chút (đừng nghĩ tiêu cực :D)

broktok mà virus cái gì, nó giống malware hơn là virus
Mà con này tay ko kill nó như thường
cứ c:\windows\inf\*.exe
và C:\Documents and Settings\user_profle\application_data\ kill them all
và C:\documents\*.exe -> kill them all
thế là tiu con brontok
Bác làm sao xóa chương trình đang chạy được hay vậy hả ?

Bác làm sao xóa chương trình đang chạy được hay vậy hả ?
- Ra Dos rồi xóa.
À cho mình hỏi chút nha!
mcou_antispam.dll
có phải là virus hay adware không ?
Cám ơn nhe.

Mình bị virus như trong hình Teraby post lên vì khi cắm USB vào máy bạn bị nhiễm virus . Mong Teraby và các bạn hướng dẫn scan virus này .Cám ơn nhiều nhiều

Nói nghe thì dài dòng hơn là cài lại win nhưng mà thực ra thực hiện chỉ khoảng 20 phút, vừa nhanh vừa thú vị nữa.

Chỉ cần 2 phút là xong với Brontok.

http://www.4shared.com/file/10028112/d4f3c33e/VanTuMinh_AnBrok.html

- bạn chứa file gì trong đó vậy StudyAdsense? tớ tấy nó là file .exe nhưng k rõ trong đó chứa gì nhỉ???
- À, còn cái file "mcou_antispam.dll" của "hongbiet" thì đó là 1 dạng Anti-Spam Outlook plugin đó, k phải víu, cái này chắc do Kaspersky cảnh báo nhầm đấy.

[QUOTE=nguyentheloi;669789]- bạn chứa file gì trong đó vậy StudyAdsense? tớ tấy nó là file .exe nhưng k rõ trong đó chứa gì nhỉ??? QUOTE]

Bạn nghi ngờ cũng đúng !

Đó là chương trình do mình viết để diệt các con Brontok và tự động sửa lại regedit.Về nguyên lý khá giống với các bạn ở trên đã nói chỉ có điều là nó làm tự động mà thôi.

Có file chạy nào mà không phải là *.exe hay *.com chứ?

uh, nếu vậy thì ok! vì dạo này "đạo chích" nước ngoài dữ quá nên mình hỏi lại cho chắc vậy thôi. hihi, thanks

Tôi quét bằng NoAdware báo có Adware
mở regedit find thấy mcou_antispam.dll ở HKEY_CLASSES_ROOT\CLSID\{C704648D-6030-47E9-ADBA-1E13B6A784AE}
trong \Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\
nên thắc mắc có phải là virus hay adware hay gì gì ... đó không (vì Kaspersky Internet Security 6.0 ***** mà)
Cám ơn bạn nguyentheloi nha. Mình sẽ xem lại.

Các bạn có thể sử dụng Process Explorer
Download tại đây : http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Proces***plorer.mspx

Tôi quét bằng NoAdware báo có Adware
mở regedit find thấy mcou_antispam.dll ở HKEY_CLASSES_ROOT\CLSID\{C704648D-6030-47E9-ADBA-1E13B6A784AE}
trong \Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\
nên thắc mắc có phải là virus hay adware hay gì gì ... đó không (vì Kaspersky Internet Security 6.0 ***** mà)


Tìm file đó, click phải chọ Properties, xem phần Product Name có chữ "Kaspersky..." là yên tâm, khỏi xóa.

@huynhbathanh: ko có chương trình nào kill hết các process đang chạy đâu!

Bác làm sao xóa chương trình đang chạy được hay vậy hả ?
- Ra Dos rồi xóa.
À cho mình hỏi chút nha!
mcou_antispam.dll
có phải là virus hay adware không ?
Cám ơn nhe.

Thế bác vào DOS sẵn tiện ctrl+F tìm xem có con virus nào không nhé :shifty:

mình bị dính trojan nè , hầu như ko xài đc chương trình nào hết lun,cả IE,vô là cứ bị lỗi,vậy làm sao nè???^^

Chung quy lại là toàn các cao thủ cả . Nhưng các huynh-đệ nghĩ giùm cho các Mem xoàng xoàng bậc trung như bọn tôi cái ==> Ko rành kỹ thuật và PC lắm nên khi chỉ giáo nên viết ngọn ngành chút cho anh em còn hiểu và làm theo được . Tôi thấy cũng rất ...rất nhiều bạn đang bị đính con Brontok đó, vì vậy anh em nào Write link cho em và bày luôn cách s/d luôn đi . Trong d/d có khá nhiều bài viết về cách s/d diệt vruts nhưng tìm lại thì lâu quá, lại toàn " cao thủ " viết nên đọc hổng hiểu.(Có cao thủ nào đọc mà "cáu" thì chửi be bé thui nha, cháu nhà nó đang ngủ trưa-> Tỉnh dậy đòi ..bú tí bố nó thì..tòe mỏ)

Bác ơi ! Em bị mất msconfig , regedit .
Ko mất folder option nhưng hiện hidden files thì ko đươc.
Làm theo cách bác vô cái reg chẳng thấy có gì

Thời đại ngừ ta lếy tên lửa nện visus ềm ềm mấy poa ngồi đây diệt = tay móa ơi hĩ hĩ

lolz đó là phương cách cơ bản, và tìm hiểu quy tắc hoạt động của virus thì mới chăn đầu and KILL BILL. hehehehe