cach phong cong virut

Cách phòng và diệt "autorun.ntf" 1


Cách phòng - Diệt Virus lây qua USB (một số) --
Cách phòng - Diệt Virus lây qua USB (một số) --
Đặc trưng của các virus lây qua USB là chúng tạo ra các file AUTORUN.INI hoặc AUTORUN.INF và kích hoạt một File virus khác có thể là File .exe hoặc file . com để setup virus khác.
Vì vậy mục đích chủ yếu là phòng và diệt file: AUTORUN

Phòng:
1. vào Run--gpedit.msc---vào COMPUTER CONFIG---ADMIN TEMP-- SYSTEM và bấm vào TURN OF autoplay--Enable và chuyển sang All.
2. Tương tự như vậy với USER CONFIG

3. vào USER CONFIG--ADMIN TEMP-- SYSTEM---LOGON-- RUN PROGRAM.....ENable ----SHOW---ADD và gõ vào : c:\dietvirus.bat sau đó OK--OK

Thoát khỏi POLICYTY
4. mở NOTE PAGE
và copy đoạn mã sau: có thể sửa theo ý bạn Sau đó SAVE vào ổ C với tên dietvirus.bat khi đó sẽ được c:\dietvirus.bat

Chú ý: Xem ổ USB của máy bạn là ổ gì thì thêm dòng:

Tên ổ CD: (ví dụ -- g: )
cd\
attrib -r -s -h autorun.ini
del autorun.ini


rem =====================================================

rem phan nay diet file trong he thong
c:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

d:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

e:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

f:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

g:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

h:
cd\
attrib -r -s -h autorun.inf
del autorun.inf

rem ..............
rem =======================================


5. khởi động lại máy (nó sẽ chạy file c:\dietvirus.bat và xoá hết file autorun.inf và ini trong usb)
Diệt:

bạn mở WinRAR và mở xem tất cả các ổ đĩa của bạn:L
Thấy file .exe hoặc .com nào khả nghi, lạ Xoá nó đi
vào các thư mục của USB và làm vậy

Chúc vui
-------------------------------

Cách Diệt virus "autorun" và "ntdelect.com" 2

Hì con này dạo này phát tán rất kinh. Mang USB ra mấy quán in là kiểu gì cũng được tặng miễn phí chú này

Con này ngoài cái Autorun kô làm hiện dọng Autoplay đậm trên đỉnh như bình thường thì cũng kô có gì đặc biệt. Diệt bằng tay rất đơn giản.

Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này mình kô nhớ rõ )

Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để kích hoạt file Kavo.exe khi vào win.

Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe

Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:

- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ. Và +s +h cho mấy file này (nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây. xóa cũng thế.)

Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết

Diệt nó bằng tay như sau:

Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra khỏi Process Explore.exe --> làm virus ngưng hoạt động.(rất đơn giản )

Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue" thành '1' rồi vào folder options mở ẩn thường và ẩn System ra.

Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống --> di chuột đến ổ cần vào --> click) chứ kô được vào bằng click đúp lên các ổ! để kô kích hoạt lại virus.
Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdelect.com đi. Chú ý ở ổ C có ntdelect.com(chữ thường) của virus và NTDELECT.COM (chữ in hoa) của OS --> chỉ xóa ntdelect.com(chữ thường)

Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?)

Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Restart lại máy --> xong Viết thì dài nhưng làm thì nhanh lắm

Vừa rồi gặp mấy con hay hay có vài cái muốn nhờ các pác phân tích code giúp để giải đáp mà ko có time

1. là con Auto.exe (tạo Autorun và file Auto.exe trong các ổ) Hijackthis kô thể thấy key kích hoạt của nó .(quên kô dùng SystemSnapShot của bác Hoàng để thử.)

2. Con gì mà lúc chạy thấy cả file .jpg, .zip, .txt, .reg, .doc (Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg) trong list process. Nó làm riêng file .exe kô hiện ra đuôi. tạo file .exe có icon hình folder để lừa victim. --> Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại có ai dính con này chưa?

Tất cả mấy con trên KAV đều đã diệt được.

Cách phòng - Diệt Virus lây qua USB (một số) --



Đặc trưng của các virus lây qua USB là chúng tạo ra các file AUTORUN.INI hoặc AUTORUN.INF và kích hoạt một File virus khác có thể là File .exe hoặc file . com để setup virus khác.

Vì vậy mục đích chủ yếu là phòng và diệt file: AUTORUN



Phòng:

1. vào Run--gpedit.msc---vào COMPUTER CONFIG---ADMIN TEMP-- SYSTEM và bấm vào TURN OF autoplay--Enable và chuyển sang All.

2. Tương tự như vậy với USER CONFIG



3. vào USER CONFIG--ADMIN TEMP-- SYSTEM---LOGON-- RUN PROGRAM.....ENable ----SHOW---ADD và gõ vào : c:\dietvirus.bat sau đó OK--OK



Thoát khỏi POLICYTY

4. mở NOTE PAGE

và copy đoạn mã sau: có thể sửa theo ý bạn Sau đó SAVE vào ổ C với tên dietvirus.bat khi đó sẽ được c:\dietvirus.bat



Chú ý: Xem ổ USB của máy bạn là ổ gì thì thêm dòng:



Tên ổ CD: (ví dụ -- g: )

cd\

attrib -r -s -h autorun.ini

del autorun.ini





rem =====================================================



rem phan nay diet file trong he thong

c:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



d:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



e:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



f:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



g:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



h:

cd\

attrib -r -s -h autorun.inf

del autorun.inf



rem ..............

rem =======================================





5. khởi động lại máy (nó sẽ chạy file c:\dietvirus.bat và xoá hết file autorun.inf và ini trong usb)





Diệt:



bạn mở WinRAR và mở xem tất cả các ổ đĩa của bạn:L

Thấy file .exe hoặc .com nào khả nghi, lạ Xoá nó đi

vào các thư mục của USB và làm vậy



Chúc vui